ΗΜΕΡΑ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 2024

Ημέρα Προστασίας Προσωπικών Δεδομένων

Η Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων πλησιάζει! Στις  28 Ιανουαρίου θα εορτάσουμε την 18η επέτειο από την καθιέρωσή της. Ωστόσο, έχουμε αναρωτηθεί τον λόγο που η αξία των  προσωπικών  δεδομένων αυξάνεται διαρκώς;

Η Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων έχει σκοπό να αφυπνίσει και να ευαισθητοποιήσει τους πολίτες, σχετικά με την προστασία των πληροφοριών τους και της ιδιωτικότητάς τους. Παρά το γεγονός ότι η εφαρμογή του GDPR έχει τεθεί σε ισχύ από τον Μάιο του 2018, τα φαινόμενα παραβίασης προσωπικών δεδομένων ακολουθούν να βρίσκονται σε ανοδική πορεία. Μόλις το 1ο εξάμηνο του 2023 τα πρόστιμα για τον GDPR ξεπέρασαν το ποσό των 1,6 δισεκατομμυρίων ευρώ. Επίσης, παρατηρείται ότι σε μεγάλο βαθμό οι οργανισμοί δεν είναι σε θέση να βεβαιώσουν την πλήρη συμμόρφωσή τους με τον GDPR.

Έρευνα για την επιβολή προστίμων

Οι αρμόδιες αρχές για την προστασία των προσωπικών δεδομένων φαίνεται να βρίσκονται σε εγρήγορση. Σύμφωνα με έρευνα για την επιβολή  προστίμων για παραβιάσεις προσωπικών δεδομένων, η Ελλάδα κατατάχθηκε στην 6η θέση μεταξύ των χωρών που έχουν βάλει τα περισσότερα πρόστιμα για τον GDPR, τα τελευταία 5 έτη.

Παραθέτουμε τις 10 χώρες, που έχουν επιβάλει τα περισσότερα πρόστιμα για την παραβίαση προσωπικών δεδομένων τα τελευταία 5 έτη:

  1. Ισπανία επέβαλε 651 πρόστιμα
  2. Ιταλία επέβαλε 265 πρόστιμα
  3. Γερμανία επέβαλε 148 πρόστιμα
  4. Ρουμανία επέβαλε 144 πρόστιμα
  5. Ουγγαρία επέβαλε 67 πρόστιμα
  6. Ελλάδα επέβαλε 57 πρόστιμα
  7. Νορβηγία και Πολωνία επέβαλαν 50 πρόστιμα
  8. Βέλγιο επέβαλε 39 πρόστιμα
  9. Κύπρος επέβαλε 37 πρόστιμα

Σύμφωνα με την εν λόγω έρευνα, τα πρόστιμα που επιβλήθηκαν αφορούσαν την ανεπαρκή νομιμοποιητική βάση για την επεξεργασία δεδομένων, την μη συμμόρφωση με τις γενικές αρχές επεξεργασίας δεδομένων. Επίσης, οι οργανισμοί φαίνεται να μην λάμβαναν τα απαραίτητα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών. Ακόμη, τα πρόστιμα που επιβλήθηκαν αφορούσαν την ανεπαρκή εκπλήρωση της υποχρέωσης για ενημέρωση των υποκειμένων των δεδομένων, την ανεπαρκή εκπλήρωση των δικαιωμάτων των υποκειμένων των δεδομένων, την ανεπαρκή συνεργασία με την Εποπτική Αρχή, την ανεπαρκή εκπλήρωση των υποχρεώσεων γνωστοποίησης παραβίασης δεδομένων, την ανεπαρκή συμμετοχή του Υπεύθυνου Προστασίας Δεδομένων. Τέλος, διαπιστώθηκε ότι οι Υπεύθυνοι Επεξεργασίας δεδομένων δεν υπογράφουν με τους Εκτελούντες την Επεξεργασία Σύμβαση Επεξεργασίας Δεδομένων (ΣΕΔ).

5 TIPS για την προστασία των προσωπικών σας δεδομένων

Όπως παρατηρούμε παρά το ότι ο GDPR έχει τεθεί σε εφαρμογή πάνω από 5 έτη, διαπιστώνουμε ότι τα πρόστιμα δεν μειώνονται. Αντιθέτως, επιβάλλονται για ζητήματα που θέτουν σε κίνδυνο την ιδιωτικότητα του ατόμου. Όμως είναι σημαντικό να κατανοήσουμε ότι η προστασία των προσωπικών μας δεδομένων αρχίζει από την δική μας πλευρά. Μάλιστα, η ΑΠΔΠΧ προτείνει τρόπους για να διατηρούμε τον έλεγχο των προσωπικών μας δεδομένων.

Σας παραθέτουμε 5 tips για τον έλεγχο των προσωπικών σας δεδομένων:

  1. Σκεφτόμαστε πριν αποκαλύψουμε τα προσωπικά δεδομένα μας σε τρίτον.
  2. Διαβάζουμε την πολιτική ιδιωτικότητας στις ιστοσελίδες, που επισκεπτόμαστε.
  3. Μην διστάσετε να ενημερωθείτε για την επεξεργασία των προσωπικών σου δεδομένων.
  4. Μη χρησιμοποιείτε εύκολα passwords.
  5. Κρατείστε τη συσκευή σας ασφαλή, χρησιμοποιώντας firewall και antivirus.

Εσείς πόσα γνωρίζετε για την προστασία των προσωπικών δεδομένων;

Μπορείτε να συμπληρώσετε το QUIZ για να μάθετε!

Σας ευχόμαστε μία ασφαλή καθημερινότητα!

επιτευγματα και προκλήσεις

Τα επιτεύγματα του 2023 και οι αναμενόμενες προκλήσεις στις υπηρεσίες GDPR για το 2024

Το 2023 οδεύει προς το τέλος του, αφήνοντας υλικό προς συζήτηση και προς μελλοντική επεξεργασία. Όπως διαπιστώνουμε, τα δεδομένα είναι απαραίτητα και πολύτιμα «περιουσιακά στοιχεία» για τις επιχειρήσεις. Ας δούμε τα επιτεύγματα του 2023 στον τομέα της προστασίας των προσωπικών δεδομένων και τις αναμενόμενες προκλήσεις, που θα συναντήσουμε κατά τη διάρκεια του 2024.

2023: Επιτεύγματα και ορόσημα στη συμμόρφωση με τον GDPR 

 1) Διατλαντική Διαβίβαση Δεδομένων – Απόφαση  Ευρωπαϊκής Επιτροπής σχετικά με τις ΗΠΑ

Στις 10 Ιουλίου του 2023, η Ευρωπαϊκή Επιτροπή εξέδωσε  νέα απόφαση σχετικά με την διατλαντική διαβίβαση στις ΗΠΑ. Ειδικότερα, η εν λόγω απόφαση, κατόπιν τροποποιήσεων στην εθνική νομοθεσία των ΗΠΑ, εξασφαλίζει  επαρκές επίπεδο προστασίας για τα προσωπικά δεδομένα που διαβιβάζονται από την ΕΕ σε εταιρείες των ΗΠΑ. Οι πολίτες της ΕΕ θα επωφεληθούν με διάφορες δυνατότητες προσφυγής, σε περίπτωση που τα δεδομένα τους αποτελέσουν αντικείμενο εσφαλμένης διαχείρισης από εταιρείες των ΗΠΑ. Επιπλέον, οι πολίτες της ΕΕ θα έχουν πρόσβαση σε ανεξάρτητο και αμερόληπτο μηχανισμό προσφυγής, ο οποίος περιλαμβάνει το νεοσυσταθέν Δικαστήριο Ελέγχου της Προστασίας Δεδομένων (Data Protection Review Court).

2) Νέο μοντέλο επιβολής του GDPR σε διασυνοριακές υποθέσεις (αποκεντρωμένο μοντέλο επιβολής του GDPR)

Στις  4 Ιουλίου του 2023, η Ευρωπαϊκή Επιτροπή, προτείνει για πρώτη φορά  νέους κανόνες, με σκοπό τον εξορθολογισμό της συνεργασίας μεταξύ των Αρχών Προστασίας Δεδομένων των κρατών μελών της ΕΕ (DPAs). Στόχος των νέων κανόνων είναι η ορθή  εφαρμογή του GDPR σε διασυνοριακές υποθέσεις. Ο GDPR με αυτόν τον τρόπο υιοθετεί για πρώτη φορά ένα αποκεντρωμένο μοντέλο επιβολής. Συνεπώς, σε περιπτώσεις με διασυνοριακά στοιχεία, ο GDPR απαιτεί την συνεργασία των εμπλεκόμενων Αρχών Προστασίας Δεδομένων  σύμφωνα με το “one-stop-shop” του GDPR μέσω μηχανισμών συνεργασίας και συνέπειας.

3) Συμφωνία – Ορόσημο τον Δεκέμβριο του 2023 για εναρμόνιση της Τεχνητής Νοημοσύνης (ΑΙ) με τον Γενικό Κανονισμό Προστασίας Δεδομένων

Μέσα σε ένα ταχέως εξελισσόμενο τεχνολογικό περιβάλλον η Τεχνητή Νοημοσύνη φαίνεται να μας απασχόλησε το 2023 και θα συνεχίσει να μας απασχολεί το 2024, αλλά και τα επόμενα χρόνια. Τον Δεκέμβριο του 2023, το Ευρωπαϊκό Συμβούλιο προχώρησε πρώτη φορά σε προσωρινή συμφωνία σχετικά με την πρόταση εναρμονισμένων κανόνων για την τεχνητή νοημοσύνη (AI).

Το σχέδιο κανονισμού, στοχεύει να διασφαλίσει ότι τα συστήματα τεχνητής νοημοσύνης που διατίθενται στην ευρωπαϊκή αγορά και χρησιμοποιούνται στην ΕΕ είναι ασφαλή και σέβονται τα θεμελιώδη δικαιώματα και τις αξίες της ΕΕ. Αυτή η πρόταση ορόσημο στοχεύει επίσης να τονώσει τις επενδύσεις και την καινοτομία στην τεχνητή νοημοσύνη στην Ευρώπη. Η χρήση της Τεχνητής Νοημοσύνης θα εξακολουθεί να αποτελεί μία πρόκληση για τα επόμενα χρόνια.

4)Ανοδική πορεία προστίμων το 2023

Κατά τη διάρκεια του 2023, προέκυψαν  ζητήματα, τα οποία δεν μπορούμε να παραλείψουμε. Από τα σημαντικότερα είναι η ανοδική πορεία  των προστίμων σχετικά με τον GDPR. Μάλιστα το εν λόγω ζήτημα τεκμηριώνεται από ποικίλες στατιστικές μελέτεςκατά την διάρκεια του 2023.  Οι στατιστικές καταδεικνύουν ότι οι παραβιάσεις σχετικά με την προστασία των προσωπικών δεδομένων έχουν αυξηθεί και τα πρόστιμα για τον GDPR ξεπερνούν το ποσό των 1,6 δισεκατομμυρίων ευρώ. Σύμφωνα με στοιχεία τουenforcementtracker.com, κατά το πρώτο εξάμηνο του 2023 παρατηρούνται περισσότερα πρόστιμα, συγκριτικά με τα έτη 2019, 2020 και 2021 μαζί.

 

Οι  προκλήσεις στον τομέα των προσωπικών δεδομένων για το  έτος 2024

1)Εκτόξευση του όγκου δεδομένων για το 2024

Η  ασφάλεια των προσωπικών δεδομένων αποτελεί ακρογωνιαίο λίθο για τις σύγχρονες επιχειρήσεις εντός και εκτός Ευρώπης, καθώς η  διαχείρισή τους  είναι ζωτικής σημασίας για την εμπορική, την οικονομική και για κάθε είδους επιχειρηματική τους δραστηριότητα. Κρίσιμο ζήτημα για τις επιχειρήσεις, είναι η αποδοτική διαχείριση του μεγάλου όγκου δεδομένων, ο οποίος  αναμένεται   να εκτοξευτεί μέσα στο 2024!

Η εν λόγω αύξηση του όγκου δεδομένων καθιστά μεγαλύτερη την  πιθανότητα παραβίασης  τους.  Αυτό έχει ως αποτέλεσμα να απαιτείται νέα προσαρμογή του GDPR, ώστε να ληφθούν υπόψιν αυτοί οι νέοι και πιο σύνθετοι κίνδυνοι παραβιάσεων που ενδέχεται να προκύψουν  το 2024. Το θέμα των παραβιάσεων των προσωπικών δεδομένων  είναι  φλέγον, συμπέρασμα το οποίο επαληθεύεται και από την πρόσφατη μελέτη της IBM , σύμφωνα με την οποία το μέσο κόστος μιας παραβίασης δεδομένων είναι 4,85 εκατομμύρια δολάρια.

2) Μεγάλη αύξηση του αριθμού επιχειρήσεων που θα χρησιμοποιούν την τεχνολογία Cloud ως μέσο αποθήκευσης δεδομένων για το 2024

Ήδη από το  2023, το 45,2% των επιχειρήσεων που δραστηριοποιούνται στην ΕΕ αγόρασαν υπηρεσίες υπολογιστικού νέφους Cloud Computing Services (υπηρεσίες που χρησιμοποιούνται μέσω του Internet για πρόσβαση σε λογισμικό, υπολογιστική ισχύ, χωρητικότητα αποθήκευσης κ.λπ.), γεγονός το οποίο μαρτυρά την αυξητική τάση και ανάγκη των επιχειρήσεων να χρησιμοποιούν στην καθημερινή λειτουργία τους την cloud τεχνολογία. Πρόκειται λοιπόν για αύξηση 4,2 ποσοστιαίων μονάδων σε σύγκριση με το 2021.

Σύμφωνα με τον επίσημο ιστότοπο της Ε.Ε, η Ευρωπαϊκή Επιτροπή έχει ως στόχο να παρέχει στις ευρωπαϊκές επιχειρήσεις και στις δημόσιες αρχές πρόσβαση σε ασφαλείς, βιώσιμες και διαλειτουργικές υποδομές και υπηρεσίες υπολογιστικού νέφους. Το γεγονός αυτό μαρτυρά την ανάγκη προσαρμογής του GDPR στις νέες τεχνολογικές προκλήσεις που δημιουργούνται από την ευρεία χρήση της  cloud τεχνολογίας για το έτος 2024.

Ας δούμε λοιπόν τις 8 πιο αναμενόμενες τάσεις  στον τομέα των προσωπικών δεδομένων  για το  2024!

  • Αυστηρότερα μέτρα απορρήτου – Τεχνολογίες Κρυπτογράφησης – Έμφαση στην ασφάλεια του Cloud.
  • Αύξηση των προστίμων από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε περιπτώσεις παραβιάσεων των προσωπικών δεδομένων.
  • Κάλυψη νομοθετικών κενών στον τομέα της Τεχνητής  Νοημοσύνης.
  • Τα δικαιώματα φορητότητας δεδομένων θα γίνουν πολύ ισχυρότερα.
  • Η διαδικτυακή ασφάλεια των ανηλίκων θα βρίσκεται στο επίκεντρο.
  • Η μεγάλη αύξηση της τηλεργασίας θα θέσει πιθανόν νέες ρυθμίσεις στο GDPR.
  • Περισσότερη νομοθετική πρόβλεψη για την αύξηση της αποτελεσματικότητας της διασυνοριακής επιβολής του GDPR.
  • Το 75% του παγκόσμιου πληθυσμού αναμένεται να έχει τα δεδομένα του προστατευμένα βάσει κανονιστικών νόμων, μέχρι το τέλος του 2024, σύμφωνα με ερευνητές της Gartner.

Για την ανασκόπηση στην πορεία του GDPR, μπορείτε να ανατρέξετε εδώ.

ανοδική πορεία προστίμων gdpr

GDPR: Η ανοδική πορεία των προστίμων

Ανοδική πορεία  των προστίμων σχετικά με τον GDPR παρατηρείται από ποικίλες στατιστικές μελέτες κατά την διάρκεια του 2023.  Οι στατιστικές καταδεικνύουν ότι οι παραβιάσεις σχετικά με την προστασία των προσωπικών δεδομένων έχουν αυξηθεί. Παρά το γεγονός ότι το 2023 δεν έχει ακόμη ολοκληρωθεί, τα πρόστιμα για τον GDPR ξεπερνούν το ποσό των 1,6 δισεκατομμυρίων ευρώ. Σύμφωνα με στοιχεία του enforcementtracker.com, κατά το πρώτο εξάμηνο του 2023 παρατηρούνται περισσότερα πρόστιμα, συγκριτικά με τα έτη 2019, 2020 και 2021 μαζί.

Η ανοδική ποτρεία των προστίμων σχετικά με τον GDPR για το έτος 2023, οφείλεται κυρίως στο πρόστιμο ρεκόρ που επεβλήθη στη Meta. Ειδικότερα, το πρόστιμο ανέρχεται στο ποσό των 1,2 δισεκατομμυρίων ευρώ. Αφορμή αποτέλεσε η παράνομη μεταφορά δεδομένων προσωπικού χαρακτήρα στις ΗΠΑ.  Αναμφίβολα, μέχρι την επιβολή του προστίμου στη Meta,  στις πρώτες θέσεις των εταιρειών με τα υψηλότερα πρόστιμα, βρισκόταν η Amazon και η Criteo. Συγκεκριμένα, για την τελευταία της επεβλήθη πρόστιμο ύψους 40 εκατομμυρίων ευρώ, λόγω έλλειψης των συναινέσεων των χρηστών σχετικά με τη εξατομικευμένη διαφήμιση.

Με αφορμή, τα παραπάνω πρόστιμα δεν πρέπει να ξεχνάμε, ότι η συμμόρφωση με τον GDPR είναι σημαντική για την εύρυθμη λειτουργία των εταιρειών. Μάλιστα, από το σύνολο των προστίμων προκύπτουν τρεις κοινές παραβιάσεις, οι οποίες μπορούν να λειτουργήσουν ως αφύπνιση για τις υπόλοιπες εταιρείες.  Τα τρία κοινά λάθη είναι τα εξής:

Μη λήψη ενημέρωσης για την συναίνεση του χρήστη

Σύμφωνα με τον GDPR, οι εταιρείες πρέπει να διασφαλίζουν ότι οι πελάτες τους αντιλαμβάνονται πλήρως και συναινούν με τον τρόπο επεξεργασίας και χρήσης των δεδομένων τους. Επομένως, σημαίνει ότι οι σχετικές πληροφορίες παρατίθενται στους πελάτες, με προσιτό τρόπο, αποφεύγοντας την περίπλοκη νομική ορολογία. Απαραίτητο είναι τα άτομα να δίνουν ελεύθερα ή να αρνούνται τη συγκατάθεσή τους.

Χαρακτηριστικό παράδειγμα εταιρείας  που δεν διασφάλισε τη συναίνεση των χρηστών της είναι η Google. Το πρόστιμο, που της επεβλήθη από την Γαλλική Αρχή Προστασίας Δεδομένων ανήλθε στα 57 εκατομμύρια δολάρια, το 2019. Η δημοφιλής μηχανή αναζήτησης δεν είχε παράσχει στους χρήστες σαφείς και διαφανείς πληροφορίες σχετικά με τον τρόπο συλλογής και χρήσης των προσωπικών τους δεδομένων, με σκοπό την εξατομικευμένη  διαφήμιση.

Διαβίβαση προσωπικών δεδομένων εκτός ΕΕ

Μέρος της  συμμόρφωσης με τον GDPR περιλαμβάνει τον τρόπο μεταφοράς των δεδομένων εκτός της Ευρωπαϊκής Ένωσης (ΕΕ). Το άρθρο 44 του GDPR ορίζει ότι οι οργανισμοί πρέπει να προβλέπουν επαρκείς διασφαλίσεις για τη μεταφορά προσωπικών δεδομένων σε χώρες με λιγότερο αυστηρούς νόμους σχετικά με την προστασία δεδομένων.

Όπως εξάλλου αναφέρθηκε και ανωτέρω, επεβλήθη στη Meta πρόστιμο 1,2 δισεκατομμυρίων ευρώ από την Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας.  Η εταιρεία δεν συμμορφώθηκε με απόφαση του ανώτατου δικαστηρίου της Ευρωπαϊκής Ένωσης του 2020. Αναλυτικότερα, το ανώτατο δικαστήριο έκρινε ότι τα δεδομένα των Ευρωπαίων χρηστών που μεταφέρθηκαν από την εταιρεία στις Ηνωμένες Πολιτείες, δεν έχουν επαρκή προστασία έναντι των αμερικανικών αρχών.

Παράνομη επεξεργασία δεδομένων ανηλίκων

Η προστασία των δεδομένων των ανηλίκων αποτελεί κορυφαία προτεραιότητα στο πλαίσιο του GDPR. Επομένως, οι οργανισμοί υποχρεούνται να λαμβάνουν ρητή συγκατάθεση από τον κηδεμόνα ενός ανηλίκου, πριν επεξεργαστούν προσωπικά δεδομένα παιδιών ηλικίας κάτω των 16 ετών ή μικρότερης ηλικίας, όπως ορίζεται από κάθε κράτος μέλος της ΕΕ.

Η παραβίαση των νομοθετικών υποχρεώσεων που εδραιώνονται με τον Γενικό Κανονισμό Προστασίας Δεδομένων μπορεί να έχει σημαντικές επιπτώσεις σε μία εταιρεία. Σε παράνομη επεξεργασία δεδομένων ανηλίκων προέβη η δημοφιλής πλατφόρμα κοινωνικής δικτύωσης TikTok. Ειδικότερα, της επιβλήθηκε πρόστιμο 12,7 εκατομμυρίων λιρών για παράνομη επεξεργασία δεδομένων 1,4 εκατομμυρίων παιδιών κάτω των 13 ετών χωρίς τη γονική συναίνεση. Σύμφωνα με τον GDPR, η διασφάλιση του απορρήτου και της ευημερίας των νεαρών χρηστών είναι απαραίτητο στοιχείο για την επίτευξη της συμμόρφωσης.

Τι μπορούμε να μάθουμε από αυτά τα πρόστιμα;

Λαμβάνοντας υπόψιν τα πρόστιμα του 2023 σχετικά με τον GDPR, επισημαίνεται η κρίσιμη σημασία της συμμόρφωσης με τον Κανονισμό. Αναμφισβήτητα, οι εταιρείες οφείλουν να δώσουν προτεραιότητα στη λήψη ενημέρωσης και συναίνεσης των χρηστών, να εξασφαλίζουν ασφαλείς μεταφορές δεδομένων εκτός ΕΕ και να τηρούν τους κανόνες σχετικά με την προστασία των δεδομένων των ανηλίκων.

Επομένως, οι εταιρείες πρέπει να μάθουν από τα λάθη των άλλων και να λάβουν προληπτικά μέτρα. Είναι σημαντικό να εστιάσουν  στην προστασία του απορρήτου των χρηστών, στη μείωση πιθανού κινδύνου, στην οικοδόμηση εμπιστοσύνης και στην αποφυγή των νομικών και οικονομικών συνεπειών με τη μη συμμόρφωση με τον GDPR.

 

Πηγές:

  • CPO Magazine: Lessons Learned From GDPR Fines in 2023/ Διαθέσιμο εδώ.
  • Statista: Data Protection Fines Reach Record High in 2023/ Διαθέσιμο εδώ.
  • Τechcrunch: Adtech giant Criteo hit with revised €40M fine by French data privacy body over GDPR breaches/ Διαθέσιμο εδώ.

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

Πρόστιμο σε νοσοκομείο για φωτογραφίες ασθενούς

Περιεχόμενο καταγγελίας

Το Συμβούλιο Προστασίας Προσωπικών Δεδομένων (Personal Data Protection Board) της Τουρκίας επέβαλε πρόστιμο σε Νοσοκομείο, κατόπιν καταγγελίας σχετικά με την κοινοποίηση φωτογραφιών ασθενούς.  Οι φωτογραφίες τραβήχτηκαν κατά τη διάρκεια χειρουργικής επέμβασης. Μάλιστα, ακολούθησε δημοσίευση των φωτογραφιών στον λογαριασμό των μέσων κοινωνικής δικτύωσης ιατρού που εργάζεται σε αυτό.

Σύμφωνα με την καταγγελία υποστηρίζεται ότι τα προσωπικά δεδομένα του υποκειμένου των δεδομένων υποβλήθηκαν σε παράνομη επεξεργασία. Συγκεκριμένα, ο ασθενής δεν έδωσε ρητή συγκατάθεση, για την κοινοποίηση φωτογραφιών, που τραβήχτηκαν κατά τη διάρκεια της επέμβασης, από τρίτον στα μέσα κοινωνικής δικτύωσης. Μάλιστα, ο χρόνος διατήρησης  των φωτογραφιών από τον ιατρό  του Νοσοκομείου  υπολογίζεται στα 2 χρόνια.

Το Συμβούλιο έκανε τις ακόλουθες εξηγήσεις σχετικά με την καταγγελία

Οι φωτογραφίες που αποτελούν το αντικείμενο της καταγγελίας αποτελούν προσωπικά δεδομένα. Ειδικότερα, τα μέρη του προσώπου του υποκειμένου των δεδομένων, (π.χ. τα φρύδια, το μουστάκι κ.λπ.) καθιστούν το άτομο αναγνωρίσιμο. Τα  εν λόγω μέρη περιλαμβάνονται σαφώς και δεν έχουν ανωνυμοποιηθεί .

Από την άλλη πλευρά, το Νοσοκομείο (ως υπεύθυνος επεξεργασίας) υποστηρίζει  ότι έλαβαν τη ρητή συναίνεση του υποκείμενου των δεδομένων. Ωστόσο, οι εν λόγω φωτογραφίες υποβλήθηκαν σε επεξεργασία από ιατρό, που εργάζεται στο Νοσοκομείο και όχι από το ίδιο το  Νοσοκομείο.

Η ρητή συγκατάθεση που δόθηκε στο Νοσοκομείο δεν παρέχει νομιμοποιητική βάση για τη χρήση φωτογραφιών από τον ιατρό. Τα προσωπικά δεδομένα του υποκειμένου των δεδομένων έχουν υποστεί παράνομη επεξεργασία. Το Νοσοκομείο, που είναι υπεύθυνος επεξεργασίας δεδομένων, έχει γνώση αυτής της κατάστασης. Επομένως, η κοινοποίηση των φωτογραφιών του υποκειμένου των δεδομένων στα μέσα κοινωνικής δικτύωσης από τρίτον υποδηλώνει, ότι δεν ελήφθησαν τα απαραίτητα τεχνικά και οργανωτικά μέτρα από το Νοσοκομείο.

Η απόφαση του Συμβουλίου

Το Συμβούλιο αποδέχτηκε ότι το υποκείμενο των δεδομένων έχει δώσει ρητή συγκατάθεση για την επεξεργασία των δεδομένων του προς το Νοσοκομείο (που λειτουργεί εν προκειμένω ως υπεύθυνος επεξεργασίας δεδομένων). Παρά ταύτα ο ιατρός  του Νοσοκομείου δεν είχε λάβει ρητή συγκατάθεση σχετικά με την κοινοποίηση των εικόνων στα μέσα κοινωνικής δικτύωσης.

Επομένως, δεδομένου ότι το Νοσοκομείο γνώριζε την διενεργηθείσα κοινοποίηση και την επέτρεψε τεκμαίρεται ότι ο  υπεύθυνος επεξεργασίας δεδομένων δεν λαμβάνει επαρκή τεχνικά και οργανωτικά μέτρα. Το Νοσοκομείο δεν εξασφάλισε το κατάλληλο επίπεδο ασφάλειας. Συνεπώς, δεν απέτρεψε την παράνομη πρόσβαση και την επεξεργασία προσωπικών δεδομένων, για να εξασφαλίσει την προστασία τους. Στο πλαίσιο αυτό το Συμβούλιο επέβαλε διοικητικό πρόστιμο στο Νοσοκομείο ύψους 4.657 ευρώ.

Πηγή:

Lexology.com/ Hospital fined after doctor shares surgery photos on social media / Διαθέσιμο εδώ

Turkish Law-Blog/ Sharing the Photos Taken During Surgery /Διαθέσιμο εδώ

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

Δεδομένα υγείας και cookies: πρόστιμο 380.000 €

Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε στον ιστότοπο DOCTISSIMO πρόστιμο 380.000 ευρώ, καθώς η συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον GDPR ήταν ανεπαρκής. Το πρόστιμο αφορούσε τα δεδομένα υγείας και την χρήση των cookies. Ο DOCTISSIMO προέβη στη συλλογή και χρήση των δεδομένων υγείας των υποκειμένων και η συμμόρφωση με τους κανόνες για τα cookies ήταν ανεπαρκής.

Γενικές πληροφορίες

Ο ιστότοπος DOCTISSIMO δημιουργήθηκε αρχικά για την ενημέρωση των επισκεπτών στον τομέα της υγείας. Διαθέτει τεστ, κουίζ και φόρουμ συζήτησης που αφορούν την υγεία και την ευεξία για το ευρύ κοινό. Κατόπιν καταγγελίας της ένωσης PRIVACY INTERNATIONAL, η Γαλλική Αρχή διεξήγαγε 4 έρευνες για τον DOCTISSIMO.

Κατά τη διάρκεια των ερευνών, η Γαλλική Αρχή  εντόπισε αρκετές παραβιάσεις. Συγκεκριμένα, οι παραβιάσεις αφορούσαν τον χρόνο διατήρησης δεδομένων, τη συλλογή δεδομένων υγείας μέσω online tests, την ασφάλεια των δεδομένων και τον τρόπο με τον οποίο τα cookies συλλέγουν τα δεδομένα των χρηστών.

Η Γαλλική Αρχή επέβαλε 2 πρόστιμα στον ιστότοπο DOCTISSIMO:
  • Αρχικά, επέβαλε πρόστιμο 280.000 ευρώ για παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Το πρόστιμο αυτό λήφθηκε σε συνεργασία με όλους τους ευρωπαϊκούς ομόλογους της Γαλλικής Αρχής, διότι η ιστοσελίδα δύναται να έχει επισκέπτες από όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης.
  • Το δεύτερο πρόστιμο των 100.000 ευρώ επεβλήθη για τη μη συμμόρφωση με τη χρήση των cookies (άρθρο 82 της γαλλικής νομοθεσίας για την προστασία δεδομένων). Σε αυτήν την περίπτωση, η Γαλλική Αρχή έχει τη δικαιοδοσία να ενεργεί από μόνη της.
Κυρώσεις για παραβιάσεις

Παραβίαση της βασικής αρχής του περιορισμού της περιόδου αποθήκευσης· (Άρθρο 5.1(ε) GDPR)

Ο ιστότοπος διατηρούσε δεδομένα από τα tests που συμπλήρωναν οι χρήστες. Ο χρόνος διατήρησης των δεδομένων ανερχόταν στους 24 μήνες. Η Γαλλική Αρχή υποστήριξε ότι αυτές οι περίοδοι διατήρησης είναι υπερβολικές, διότι δεν συνάδουν με τις ανάγκες του ιστότοπου. Επιπλέον, υπήρξε διατήρηση δεδομένων των χρηστών των οποίων ο λογαριασμός ήταν ανενεργός για περισσότερο από τρία χρόνια, χωρίς καμία διαδικασία ανωνυμοποίησης.

Μη λήψη συναίνεσης των επισκεπτών για τη συλλογή των δεδομένων υγείας τους (άρθρο 9 GDPR)

Ο εν λόγω ιστότοπος δεν προέβλεπε κανέναν ειδικό μηχανισμό προειδοποίησης ή συναίνεσης στα online tests, για να διασφαλίσει τη συναίνεση των επισκεπτών για την επεξεργασία των δεδομένων υγείας τους. Σύμφωνα με την εταιρεία, η συλλογή δεδομένων υγείας αφορούσε περίπου το 5% των τεστ.

Ανεπαρκές νομικό πλαίσιο για τις ενέργειες των από κοινού υπευθύνων επεξεργασίας (άρθρο 26 GDPR)

Η εταιρεία DOCTISSIMO υλοποιεί επεξεργασία προσωπικών δεδομένων με άλλες εταιρείες, ιδίως για διαφημιστικούς σκοπούς στον ιστότοπο. Αυτές οι σχέσεις κοινής ευθύνης δεν πλαισιώθηκαν από κανένα επίσημο έγγραφο, όπως μια σύμβαση. Ειδικότερα, ένα τέτοιο έγγραφο πρέπει να αναφέρει την κατανομή των υποχρεώσεων μεταξύ των από κοινού υπευθύνων επεξεργασίας.

Μη διασφάλιση της ασφάλειας των προσωπικών δεδομένων (άρθρο 32 GDPR)

Μέχρι τον Οκτώβριο του 2019, η εταιρεία χρησιμοποιούσε ένα πρωτόκολλο επικοινωνίας «http», το οποίο δεν είναι ασφαλές. Στη συνέχεια, εξέθετε τα δεδομένα σε κίνδυνο επιθέσεων ή παραβίασης δεδομένων. Επιπλέον, διατηρούσε τους κωδικούς πρόσβασης των χρηστών σε ανεπαρκώς ασφαλή μορφή.

Μη συμμόρφωση με τις υποχρεώσεις της χρήσης των cookies (άρθρο 82 της γαλλικής νομοθεσίας περί προστασίας δεδομένων)

Η Γαλλική Αρχή παρατήρησε ότι  ο τερματικός των χρηστών υφίστατο παρακολούθηση από διαφημιστικό cookie από τη στιγμή που εισήλθαν στον ιστότοπο, χωρίς τη συγκατάθεσή τους. Περαιτέρω, διαπιστώθηκε παρακολούθηση από 2 διαφημιστικά cookies, μετά την επιλογή του κουμπιού «Απόρριψη όλων».

Συμπέρασμα:

Ο εκάστοτε Υπεύθυνος Επεξεργασίας που συλλέγει με οποιονδήποτε τρόπο προσωπικά δεδομένα, θα πρέπει να προβλέπει τη συμμόρφωση και με το υφιστάμενο νομοθετικό πλαίσιο περί προστασίας τους. Εν προκειμένω, ο Υπεύθυνος Επεξεργασίας επέλεξε την συλλογή ειδικών κατηγοριών προσωπικών δεδομένων (δεδομένα υγείας) των επισκεπτών του ιστοτόπου του με διάφορα μέσα, χωρίς όμως να πληροί καμία από τις προϋποθέσεις της εγχώριας και της κοινοτικής νομοθεσίας.

Αυτό είχε σαν αποτέλεσμα την παράνομη επεξεργασία των προσωπικών δεδομένων των Υποκειμένων και την κατ’ εξακολούθηση διακινδύνευση των θεμελιωδών δικαιωμάτων των προσώπων που επισκέπτονταν τον ιστότοπο του. Από τα πρόστιμα της Γαλλικής Αρχής προκύπτει επομένως ότι ένας ιστότοπος που παρέχει ψηφιακό περιεχόμενο σχετικό με την υγεία, θα πρέπει να  είναι συμμορφομένος πλήρως με τον GDPR, ώστε να αποτρέψει τις ενδεχόμενες παραβιάσεις των δεδομένων που συλλέγει και να προστατεύσει τα δικαιώματα των χρηστών που τον επισκέπτονται.

Πηγή:

CNIL: Health data and use of cookies: DOCTISSIMO fined €380,000/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας

Παγκόσμια Ημέρα Κωδικού Πρόσβασης

Η Παγκόσμια Ημέρα Κωδικού Πρόσβασης (World Password Day) δημιουργήθηκε από την εταιρεία Intel. Η ιδέα προήλθε από το βιβλίο “Perfect Passwords” του ερευνητή ασφαλείας, Mark Burnett. Η πρώτη Πέμπτη του Μαΐου ορίστηκε Παγκόσμια Ημέρα Κωδικού Πρόσβασης και εορτάστηκε για πρώτη φορά το 2013. Σκόπος της ημέρας είναι η ενημέρωση και η αποτελεσματικότητα των κωδικών πρόσβασης.

 

Πώς μπορεί να μας αφυπνίσει η Παγκόσμια Ημέρα Κωδικού Πρόσβασης;
  • Ο ενημερωμένος «user» είναι λιγότερο εκτεθειμένος στους κινδύνους.
  • Η ημέρα αυτή μπορεί να αποτελέσει ένα έναυσμα για να ενημερωθούμε σχετικά με την ενίσχυση της αποτελεσματικότητας των κωδικών πρόσβασής μας.
  • Μπορούμε να κοινοποιήσουμε σχετικά άρθρα ή να ενημερώσουμε το κοντινό μας περιβάλλον για την δημιουργία ισχυρών κωδικών πρόσβασης, ώστε να τους προστατέψουμε από πιθανές παραβιάσεις και τον ανεπιθύμητο αντίκτυπό τους.

 

Οι κωδικοί πρόσβασης στην καθημερινότητά μας

Οι κωδικοί πρόσβασης φαίνεται να είναι απαραίτητοι στην καθημερινότητα μας. Η πρόσβαση στους υπολογιστές κατά τη διάρκεια της εργασίας μας, το log in σε πλατφόρμες που έχουμε εγγραφεί, η πρόσβαση σε τραπεζικούς λογαριασμούς, το άνοιγμα των mails, ακόμη και η πρόσβαση στα μέσα κοινωνικής  δικτύωσης, αποτελούν καθημερινές μας συνήθειες. Παρατηρούμε ότι  το κοινό τους χαρακτηριστικό είναι η είσοδος με κωδικό πρόσβασης (password).

 

Η δημιουργία κωδικού πρόσβασης

Από την άλλη πλευρά, η δημιουργία ενός κωδικού πρόσβασης δεν είναι αρκετή, καθώς οι περισσότεροι χρησιμοποιούν απλούς και εύκολους κωδικούς, με σκοπό την εύκολη απομνημόνευσή τους. Επομένως, δημιουργούμε έναν αδύναμο κωδικό πρόσβασης.

Με αυτόν τον τρόπο, μειώνουμε την προστασία των προσωπικών δεδομένων μας και γινόμαστε ευάλωτοι σε επιθέσεις κακόβουλων λογισμικών και των hackers. Η δημιουργία αποτελεσματικών κωδικών πρόσβασης, λειτουργεί ως ασπίδα προστασίας των προσωπικών μας δεδομένων. Αποτρέποντας την υποκλοπή ταυτότητας, κλοπή χρηματικού ποσού, την διαρροή προσωπικών  δεδομένων ειδικών κατηγοριών ή μη.

Σύμφωνα με την Google, οι ισχυροί κωδικοί πρόσβασης συμβάλλουν στη διατήρηση της ασφάλειας των προσωπικών μας δεδομένων. Ακόμη, προστατεύουν τα μηνύματα και τα αρχεία του ηλεκτρονικού ταχυδρομείου και εμποδίζουν κάποιον να εισέλθει στον λογαριασμό μας.

 

Τα passwords στον GDPR

Οι ισχυροί και ασφαλείς κωδικοί πρόσβασης είναι ζωτικής σημασίας, ειδικά τώρα που το μεγαλύτερο μέρος της δουλειάς μας γίνεται διαδικτυακά. Επομένως, είναι καλύτερο να έχετε πολύπλοκους και μοναδικούς κωδικούς πρόσβασης, που δεν είναι εύκολο να συνδυαστούν. Ακόμη κι αν υπάρχει ένας ισχυρός κωδικός πρόσβασης, θα πρέπει να αλλάζει μία φορά κάθε λίγες εβδομάδες ή και μήνες.

Με αυτόν τον τρόπο, ακόμα κι αν οι κωδικοί πρόσβασής σας, είτε προσωπικής είτε επαγγελματικής χρήσης, διαρρεύσουν λόγω παραβίασης δεδομένων, ένας νέος ισχυρότερος κωδικός πρόσβασης μπορεί να αποτρέψει την πρόσβαση στα προσωπικά σας στοιχεία.

Κατά τη συμμόρφωση μιας εταιρείας με τον GDPR, στο Σχέδιο Ασφαλείας και συγκεκριμένα στην Πολιτική Αποδεκτής Χρήσης Πληροφοριακών και Επικοινωνιακών Συστημάτων προβλέπεται η διαδικασία δημιουργίας ενός ισχυρού κωδικού πρόσβασης (password). Επομένως, σκοπός της συγκεκριμένης πολιτικής είναι η βέλτιστη προστασία των  λογαριασμών των χρηστών μιας εταιρείας.

 

Τα passwords και οι στατιστικές

Σύμφωνα με στατιστικές μελέτες διαπιστώνεται ότι:

  • Το 99,9% των απειλών για τους κωδικούς πρόσβασης, μπορεί να περιοριστεί χρησιμοποιώντας έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), σύμφωνα με τη Microsoft.
  • Το 2020 ήταν η χρονιά κατά την οποία ο τύπος πληροφοριών που κλάπηκαν παγκοσμίως ήταν τα διαπιστευτήρια (credentials).
  • Σε έρευνα του 2020, το 40%  των ατόμων που συμμετείχαν, δήλωσε ότι τα δεδομένα της εταιρείας τους παραβιάστηκαν εξαιτίας ενός αδύναμου κωδικού πρόσβασης.
  • Το 82% των εργαζομένων παραδέχεται ότι ανακυκλώνει τους ίδιους κωδικούς πρόσβασης.

 

Τα 3 πιο κοινά passwords  και πόσο χρειάζεται για να παραβιαστούν:
  • 123456: Λιγότερο από 1 δευτερόλεπτο για να σπάσει. με 3,5 εκατομμύρια χρήσεις.
  • Password: Λιγότερο από 1 δευτερόλεπτο για να σπάσει, με 1,7 εκατομμύρια χρήσεις .
  • abc123 : Λιγότερο από 1 δευτερόλεπτο για να σπάσει, με 610.000 χρήσεις.

 

Η δημιουργία ισχυρών κωδικών πρόσβασης είναι η λύση!

Οι ισχυροί κωδικοί πρόσβασης είναι κωδικοί που δεν είναι εύκολο να μαντέψει κανείς ή να σπάσει. Αδιαμφισβήτητα, οι hackers χρησιμοποιούν συχνά αλγόριθμους για να δημιουργήσουν κοινούς συνδυασμούς γραμμάτων, αριθμών και συμβόλων σε μια προσπάθεια να πάρουν το σωστό συνδυασμό για τον κωδικό πρόσβασής σας. Αντίθετα, οι ισχυροί κωδικοί πρόσβασης συνδυάζουν γράμματα με αριθμούς και ειδικούς χαρακτήρες, καθιστώντας πιο δύσκολο στους hackers να σπάσουν τον συνδυασμό.

 

Τί περιέχει ένας ισχυρός κωδικός πρόσβασης;
  • Περιέχει τουλάχιστον 12 χαρακτήρες
  • Συνδυασμός κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων
  • Δεν χρησιμοποιούμε προσωπικά στοιχεία
  • Ένας μοναδικός κωδικός πρόσβασης για κάθε λογαριασμό και όχι έναν για όλους
  • Προσπαθήστε να εφαρμόσετε ένα ή περισσότερα από τα στοιχεία όταν δημιουργείτε τους κωδικούς πρόσβασής σας. Όσο περισσότερα στοιχεία εφαρμόζετε, τόσο ισχυρότερος θα είναι ο κωδικός πρόσβασης.
  • Αλλάζετε περιστασιακά τον κωδικό πρόσβασής σας για να βεβαιωθείτε ότι παραμένει ασφαλής.

 

Συμπέρασμα

Η Παγκόσμια Ημέρα Κωδικού Πρόσβασης καθιερώθηκε για να μας υπενθυμίζει την σημασία που έχουν οι ισχυροί κωδικοί πρόσβασης. Θυμηθείτε, όσο λιγότερο απλός είναι ο κωδικός πρόσβασής σας, τόσο λιγότερες είναι οι πιθανότητες να παραβιαστεί.

 

Πηγές:

Forbes: How To Create A Strong Password/ Διαθέσιμο εδώ.

National TodayWorld Password Day – May 4, 2023/  Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

ChatGPT

ChatGPT: Εργαλείο ή Απειλή της ιδιωτικότητας

Η κυκλοφορία του «ChatGPT» έχει κάνει αισθητή  την παρουσία του σε ποικίλους τομείς. Θέτοντας το δίλημμα σχετικά με το αν η χρήση της εφαρμογής αποτελεί εργαλείο ή απειλή της ιδιωτικότητας των χρηστών.

Τί είναι το ChatGPT;

Το ChatGPT είναι μία εφαρμογή τεχνητής νοημοσύνης, την οποία κυκλοφόρησε η OpenAI, τον Νοέμβριο του 2022. Σκοπός της είναι να διευκολύνει τους χρήστες του Διαδικτύου στις αναζητήσεις τους τόσο από την μηχανή της Google όσο και από άλλες μηχανές αναζήτησης .

Δηλώσεις της OpenAI

OpenAI: «Δημιουργήσαμε ένα μοντέλο που ονομάζεται ChatGPT. Το εν λόγω μοντέλο αλληλεπιδρά με τον χρήστη σε μορφή διαλόγου. Η μορφή διαλόγου επιτρέπει στο ChatGPT να απαντά σε επακόλουθες ερωτήσεις, να παραδέχεται τα λάθη του, να αμφισβητεί λανθασμένες εγκαταστάσεις και να απορρίπτει ακατάλληλα αιτήματα». Επίσης, η OpenAI υποστηρίζει ότι το ChatGPT πληροί όλες τις προϋποθέσεις συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της ΕΕ.

Οι δηλώσεις  στο BBC:

Το OpenAI σε συνέντευξή του στο BBC δήλωσε ότι: Εκατομμύρια άνθρωποι έχουν χρησιμοποιήσει το ChatGPT από τότε που κυκλοφόρησε. Συγκεκριμένα, η εφαρμογή μπορεί να απαντήσει σε ερωτήσεις χρησιμοποιώντας φυσική γλώσσα, ενώ μπορεί να μιμηθεί άλλα στυλ γραφής, χρησιμοποιώντας ως βάση δεδομένων του το Διαδίκτυο όπως ήταν το 2021.

Η Microsoft έχει ξοδέψει δισεκατομμύρια δολάρια σε αυτό και προστέθηκε και στο Bing τον περασμένο μήνα. Ακόμη, θα ενσωματώσει μια έκδοση της στις εφαρμογές του Office, συμπεριλαμβανομένων των Word, Excel, PowerPoint και Outlook.

Οι επιφυλάξεις των Αρχών Προστασίας Δεδομένων

Η Ιταλική Αρχή Προστασίας Δεδομένων έθεσε σε προσωρινή παύση τη λειτουργία του ChatGPT στην Ιταλία. Υποστηρίζει ότι το εργαλείο τεχνητής νοημοσύνης μπορεί να έχει παραβιάσει τον GDPR κατά τη διάρκεια πρόσφατης διαρροής δεδομένων. Η OpenAI έλαβε 20 ημέρες για να αντιμετωπίσει τα ζητήματα απορρήτου, ειδάλλως κινδυνεύει από την επιβολή μεγάλων προστίμων μέχρι και το 4% του ετήσιου τζίρου της.

Αφορμή στάθηκε η πρόσφατη διαρροή δεδομένων στο ChatGPT, κατά την οποία ένα δοκιμαστικό σύστημα αιτημάτων γνωστοποίησε κατά λάθος μέρη συνομιλιών ορισμένων χρηστών σε άλλους. Επιπλέον, μία δυσλειτουργία του ChatGPT εξέθεσε προσωπικές πληροφορίες, συμπεριλαμβανομένων των στοιχείων πληρωμής κάποιων χρηστών.

Η Ιρλανδική Αρχή Προστασίας Δεδομένων παρακολουθεί το ζήτημα με την Ιταλική Αρχή Προστασίας για να κατανοήσει τη βάση της δράσης της και «θα συντονιστεί με όλες τις αρχές προστασίας δεδομένων της ΕΕ» σε σχέση με την απαγόρευση. Η Ανεξάρτητη Ρυθμιστική Αρχή Δεδομένων του Ηνωμένου Βασιλείου, θα «υποστηρίξει» τις εξελίξεις στην τεχνητή νοημοσύνη. Ωστόσο, επιφυλάσσεται να «αμφισβητήσει τη μη συμμόρφωση» με τους νόμους περί προστασίας δεδομένων της εφαρμογής.

Τίθενται ζητήματα σχετικά με τον τρόπο συλλογής των δεδομένων που χρησιμοποιεί η εφαρμογή για να απαντήσει σε ερωτήσεις και τον χρόνο διατήρησης των δεδομένων. Εξίσου σημαντικά είναι τα μέτρα προστασίας που θα  λάβει για τους ανήλικους χρήστες, δεδομένου ότι δεν διαθέτει κανενός είδους σύστημα ελέγχου ηλικίας. Αναγκαίες είναι οι εκτιμήσεις για την παράνομη συλλογή δεδομένων και την έκθεση σε δυνητικά επικίνδυνους διαλόγους – συνομιλίες.

Η άποψη του Michael Rinehart

Ο Michael Rinehart, Αντιπρόεδρος Τεχνητής Νοημοσύνης της εταιρείας Securiti, επισημαίνει ότι η ασφάλεια και η προστασία της ιδιωτικότητας μέσω σχεδιαστικών προσεγγίσεων είναι πιθανώς ο τρόπος για να αναπτυχθεί η τεχνητή νοημοσύνη. Μάλιστα υποστηρίζει ότι: «Η απόφαση της ιταλικής αρχής προστασίας δεδομένων να απαγορεύσει το ChatGPT υπογραμμίζει τη σημασία της υιοθέτησης μιας προσέγγισης με προτεραιότητα το απόρρητο για την εκπαίδευση μοντέλων Generative AI. Το απόρρητο των δεδομένων δεν αποτελεί απλώς μια ανησυχία για το σύστημα δεδομένων. Όπως αποδεικνύεται από τη σειρά των δημοσίως διαθέσιμων επιθέσεων άμεσων μηχανικών κατά του ChatGPT, οι ad-hoc τεχνικές για την προστασία του απορρήτου «εν προτροπή» μπορεί να έχουν εύκολα εκμεταλλεύσιμες αδυναμίες. Παρά τις προκλήσεις, οι επιχειρήσεις μπορούν να αποκομίσουν τα οφέλη του Generative AI, δίνοντας προτεραιότητα στην προστασία του απορρήτου μέσω της σωστής διαχείρισης των δεδομένων τους».

Συμπέρασμα

Η εφαρμογή ChatGPT έχει τη δυνατότητα να ωφελήσει  τη διαδικτυακή  αγορά, ωστόσο υπάρχουν καίρια ζητήματα που πρέπει να επιλυθούν, με σκοπό την ασφαλή χρήση της. Όπως διαπιστώνεται η προστασία των δεδομένων θα πρέπει να αποτελέσει κύριο μέλημα σε ένα τέτοιο εγχείρημα.

 

Πηγές:

BBC: ChatGPT banned in Italy over privacy concerns/ Διαθέσιμο εδώ.

ChatGPT-style tech brought to Microsoft 365/ Διαθέσιμο εδώ.

CPO Magazine: Italian DPA Puts a Temporary Ban on ChatGPT Over Privacy Concerns/ Διαθέσιμο εδώ.

OpenAI: Introducing ChatGPT/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

εμπιστοσύνη καταναλωτών

Eμπιστοσύνη καταναλωτών και Προστασία δεδομένων

εμπιστοσύνη καταναλωτώνΗ εμπιστοσύνη των καταναλωτών φαίνεται να κλονίζεται από την επιλογή προστασίας δεδομένων, που  θέτουν οι επιχειρήσεις. Συμπεραίνεται ότι οι επιχειρήσεις χρειάζεται  να επαναξιολογήσουν τον τρόπο με τον οποίο διαχειρίζονται τα δεδομένα των πελατών τους. Ύψιστη προτεραιότητα των επιχειρήσεων πρέπει να αποτελεί η λήψη  κατάλληλων οργανωτικών και τεχνικών μέτρων, με σκοπό την ασφαλή διατήρηση των δεδομένων στο διαδίκτυο.

Οι καταναλωτές έχοντας υπόψιν τον τρόπο διαχείρισης των δεδομένων τους από τις επιχειρήσεις, περιμένουν από εκείνες τις βέλτιστες εγγυήσεις για την προστασία των δεδομένων τους. Με αφορμή τη Παγκόσμια Ημέρα του Καταναλωτή (15/03), δίνεται η ευκαιρία να αναδείξουμε τον ρόλο που διαδραματίζει η προστασία των δεδομένων στις αγορές των καταναλωτών.

Έρευνες για τους καταναλωτές

Σύμφωνα με έρευνα του Οργανισμού Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, το 41% των Ευρωπαίων δεν είναι πρόθυμοι να διαθέσουν τα προσωπικά τους δεδομένα σε επιχειρήσεις. Έκθεση της Cisco αποκάλυψε ότι το 76% των καταναλωτών δεν θα πραγματοποιούσε αγορά προϊόντος από επιχείρηση, που δεν της εμπιστεύονται τα στοιχεία τους. Είναι σαφές ότι η προστασία των δεδομένων αποτελεί σημαντικό κριτήριο για τις αγορές των καταναλωτών.

Ο ΓΚΠΔ και οι καταναλωτές

Η αποσύνδεση μεταξύ των προσδοκιών και της πραγματικότητας υφίσταται όταν τα πρότυπα του κλάδου δεν ανταποκρίνονται στις ανάγκες του καταναλωτή. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) καθορίζει τους νόμους σε σχέση με την προστασία των δεδομένων στην Ευρώπη. Μοιραία συμβάλλει στην εκπλήρωση των προαναφερθέντων αναγκών του καταναλωτή λόγω της υποχρεωτικής του εφαρμογής.

Οι καταναλωτές από την πλευρά τους, αρχίζουν να αντιλαμβάνονται  ότι οι ενδεχόμενες δωρεάν διαδικτυακές υπηρεσίες σημαίνουν απλώς ότι αποτιμώνται σε χρήμα. Αναμένουν από τους οργανισμούς να συμπεριφέρονται σύμφωνα με το πρότυπο που ορίζει ο ΓΚΠΔ.

Σε κάθε περίπτωση συμπεριλαμβανομένων των οργανισμών που συμμoρφώνονται με τον ΓΚΠΔ, η ποικιλία των επιπέδων συμμόρφωσης μέσα από συγκεχυμένες και πολύπλοκες επιλογές αποδοχής στους ιστότοπους, δημιουργεί δυσπιστία σε όλους τους τομείς.

Οι κίνδυνοι απώλειας δεδομένων και συμμόρφωση

Η ανεπιτυχής διασφάλιση δεδομένων των καταναλωτών και η μη συμμόρφωση με τους σχετικούς νόμους περί ιδιωτικότητας μπορεί να έχει αρνητικό αντίκτυπο σε μια επιχείρηση. Οι πιθανότητες απώλειας πελατών και δυσφήμισης μίας επιχείρησης είναι μεγάλες. Εάν οι επιχειρήσεις επιλέξουν να μην είναι διαφανείς στη διαχείριση των δεδομένων, διατρέχουν τον κίνδυνο να χάσουν το ανταγωνιστικό τους πλεονέκτημα στην αγορά.

Μελέτες για την εμπιστοσύνη των καταναλωτών

Μελέτη της Cisco του 2023 «Data Privacy Benchmark Study»  έδειξε ότι το 94% των επιχειρήσεων δήλωσε ότι η εμπιστοσύνη των πελατών τους εξαρτάται από την προστασία της ιδιωτικότητας τους. Μάλιστα από μελέτη του 2022 συμπεραίνεται ότι το 81% των καταναλωτών  επιβεβαιώνει, ότι ο τρόπος με τον οποίο μία επιχείρηση διαχειρίζεται τα δεδομένα τους, αποδεικνύει την αξιοπιστία της.

Τα θετικά αποτελέσματα της διαφάνειας

Οι πολιτικές διαχείρισης δεδομένων που διακατέχονται από διαφάνεια, μπορούν να αποτελέσουν ισχυρό παράγοντα ανάπτυξης μια επιχείρησης. Παράδειγμα αποτελεί, η εφαρμογή κρυπτογραφημένης ανταλλαγής μηνυμάτων Signal. Η συγκεκριμένη εφαρμογή προσέφερε προστασία των δεδομένων στους καταναλωτές, σε σύγκριση με τους ανταγωνιστές. Κέρδισε πάνω από 42 εκατομμύρια χρήστες σε 1 μόνο έτος. Διαπιστώνουμε ότι η προστασία των δεδομένων έχει πλεονεκτική θέση στην αγορά.

Συμπέρασμα

Η σύγχρονη κοινωνία βασίζεται στα δεδομένα και οι επιχειρήσεις  είναι αναγκαίο να διασφαλίσουν τα δεδομένα που λαμβάνουν από τους καταναλωτές. Τα δεδομένα των καταναλωτών πρέπει να αντιμετωπίζονται με τη μέγιστη δυνατή ακεραιότητα. Μόνο τότε οι εππιχειρήσεις θα είναι σε θέση να δημιουργήσουν μια επωνυμία που είναι σεβαστή και αξιόπιστη. Συμπεραίνεται ότι η προστασία των δεδομένων είναι  άμεσα συνυφασμένη τόσο με την εμπιστοσύνη των καταναλωτών όσο  με τις αγορές τους.

 

Πηγή:

CPO Magazine: The Data Privacy Disconnect Between Businesses and Consumers/ Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

Παραβιάσεις Δεδομένων

Παραβιάσεις δεδομένων και συνέπειες

Παραβιάσεις ΔεδομένωνΟι παραβιάσεις δεδομένων (data breaches) αυξάνονται ραγδαία και οι συνέπειες είναι ανησυχητικές. Σύμφωνα με μια πρόσφατη μελέτη του Check Point, ο αριθμός των κυβερνοεπιθέσεων εναντίον των επιχειρήσεων παγκοσμίως έχει αυξηθεί κατά 50% ετησίως. Από τη μελέτη προκύπτει ότι 925 κυβερνοεπιθέσεις αντιμετωπίζονται κάθε εβδομάδα παγκοσμίως.

Σε αντίθεση με την μικρή χρονική διάρκεια που απαιτεί μια παραβίαση δεδομένων, τόσο ο εντοπισμός της όσο η εκτίμηση της παραβίασης χρειάζονται πολύ περισσότερο χρόνο. Καθίσταται αναγκαίο στους οργανισμούς να κατανοούν πόσο επιζήμιες είναι οι παραβιάσεις δεδομένων.

Πόσο σοβαρή είναι μια παραβίαση δεδομένων;

Οι παραβιάσεις δεδομένων είναι αναμφίβολα σοβαρές. Μερικές από τις συνέπειες που απορρέουν, είναι η διαρροή ευαίσθητων δεδομένων, η κλοπή ταυτότητας, η απώλεια πνευματικής ιδιοκτησίας και φήμης. Οι παραβιάσεις δεδομένων έχουν σημαντικό αντίκτυπο στα προσωπικά δεδομένα.

Οι συνέπειες των παραβιάσεων

Οι παραβιάσεις δεδομένων έχουν ως αποτέλεσμα την απώλεια ευαίσθητων προσωπικών δεδομένων, όπως κωδικοί πρόσβασης, διευθύνσεις IP, διαπιστευτήρια σύνδεσης, βιομετρικά δεδομένα και άλλες πληροφορίες, που με την απώλειά τους δημιουργούν καταστροφικές συνέπειες.

Η  απώλεια βιομετρικών δεδομένων της Antheus Technologia

Χαρακτηριστικό παράδειγμα απώλειας δεδομένων αποτελεί, η Antheus Technologia, μια βιομετρική εταιρεία με εξειδίκευση στην ανάπτυξη συστημάτων αναγνώρισης δακτυλικών αποτυπωμάτων. Η Antheus Technologia αντιμετώπισε μια παραβίαση που αποκάλυψε 76.000 μοναδικά αρχεία δακτυλικών αποτυπωμάτων. Υπάρχουν 2,3 εκατομμύρια σημεία δεδομένων που μπορούν να αναδημιουργήσουν το αρχικό δακτυλικό αποτύπωμα χρησιμοποιώντας την τεχνική αντίστροφης μηχανικής. Τα βιομετρικά δεδομένα είναι πολύτιμα για τους εγκληματίες του κυβερνοχώρου.

Οι νομικές προεκτάσεις των παραβιάσεων

Οι οργανισμοί είναι νομικά υποχρεωμένοι να ακολουθούν τους κανονισμούς περί προστασίας προσωπικών δεδομένων, όπως ορίζει ο GDPR  και ο CCPA , για τη διατήρηση της προστασίας δεδομένων και του απορρήτου.

Σύμφωνα με τους κανονισμούς, οι οργανισμοί πρέπει να χρησιμοποιούν διαδικτυακά εργαλεία ασφάλειας, όπως το VPN για να διασφαλίσουν την ασφάλεια των δεδομένων και το απόρρητο. Εάν γίνει παραβίαση δεδομένων σε έναν οργανισμό, τα υποκείμενα των δεδομένων μπορούν να κινηθούν νομικά εναντίον του οργανισμού, επειδή δεν προστατεύθηκαν τα δεδομένα τους. Με αποτέλεσμα, οι οργανισμοί δύνανται να υποστούν βαριές ποινές και αγωγές που επηρεάζουν τη φήμη τους.

Συμβουλές για τον περιορισμό των κινδύνων παραβίασης δεδομένων
  • Βελτιώστε την ασφάλεια του οργανισμού εισάγοντας πολιτικές ασφαλείας, που συμβάλλουν στην ελαχιστοποίηση των κινδύνων.
  • Επενδύστε σε ένα πρόγραμμα ασφάλειας στον κυβερνοχώρο, καθώς βοηθά στην ανάκτηση των ζημιών που προκλήθηκαν κατά τη διάρκεια μιας παραβίασης.
  • Μην ξεχνάτε να εφαρμόζετε τις Βασικές Αρχές του GDPR, για την καλύτερη προστασία των δεδομένων.
  • Εάν οι εργαζόμενοι χρησιμοποιούν τις προσωπικές τους συσκευές για την εργασία τους, βεβαιωθείτε ότι χρησιμοποιούν λογισμικό κρυπτογράφησης όπως VPN ή λογισμικό προστασίας από ιούς.
  • Βεβαιωθείτε ότι οι εργαζόμενοι χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης σε όλους τους λογαριασμούς τους. Το 81% των παραβιάσεων δεδομένων ευθύνεται στη χρήση αδύναμων διαπιστευτηρίων.
  • Πραγματοποιείστε εκπαιδεύσεις στους εργαζόμενους, σχετικά με την προστασία των προσωπικών δεδομένων.
Συμπέρασμα

Οι οργανισμοί οφείλουν να λαμβάνουν τα απαραίτητα μέτρα, ώστε να αντιμετωπίσουν τις παραβιάσεις δεδομένων, που αυξάνονται ραγδαία.  Η δημιουργία πολιτικών ασφαλείας και η εκπαίδευση των εργαζομένων σχετικά με την προστασία δεδομένων είναι οι δύο καλύτεροι τρόποι για την πρόληψη παραβιάσεων δεδομένων.

 

Πηγές:

Biometric Update.com: Biometrics company allegedly leaves unhashed fingerprint data of thousands exposed to internet/ Διαθέσιμο εδώ.

Check Point: Check Point Research: Cyber Attacks Increased 50% Year over Year/ Διαθέσιμο εδώ.

Info-security: Reducing the Risk of Severe Data Breaches/  Διαθέσιμο εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

 

ιδιωτικότητα και φωνητικά δεδομένα

Ιδιωτικότητα και Φωνητικά Δεδομένα

ιδιωτικότητα και φωνητικά δεδομένα

Η ιδιωτικότητα (privacy) και τα φωνητικά δεδομένα (voice data) απασχολούν ιδιαίτερα τον επιχειρηματικό τομέα. Η είσοδος των προϊόντων με φωνητική υποστήριξη τόσο σε οικιακούς όσο σε εργασιακούς χώρους έχει οδηγήσει σε νέα μονοπάτια. Αυτή η καινοτομία μπορεί να διευκολύνει την καθημερινότητά μας, ωστόσο δημιουργούνται καίρια ζητήματα. Το βασικότερο είναι η επιρροή που ασκείται στην ιδιωτικότητά από αυτή την καινοτομία. Ένα άλλο ζήτημα είναι η συλλογή φωνητικών δεδομένων που τροφοδοτεί το στοχευμένο μάρκετινγκ. Πηγή πληροφοριών αποτελούν οι ηχογραφήσεις που καταγράφονται από τα συγκεκριμένα προϊόντα. Επομένως, διαπιστώνεται κίνδυνος παραβίασης της ιδιωτικότητας του ατόμου.

Η άποψη του Marc Rotenberg

Η τεχνολογία για τα προϊόντα με φωνητική υποστήριξη αναπτύχθηκε ραγδαία την τελευταία δεκαετία, με σημείο αναφοράς την κυκλοφορία της Siri ως χαρακτηριστική λειτουργία του iPhone από την Apple. Τρία χρόνια αργότερα, η Amazon κυκλοφόρησε την Alexa. Μια φωνητική βοηθό που μπορούσε να εκτελέσει τραγούδια ή να αναζητήσει ότι της έχει ζητηθεί. Αμέσως μετά, η Google κυκλοφόρησε το Google Assistant, μια λειτουργία αναγνώρισης φωνής διαθέσιμη στις συσκευές Android και Google Home.

Ο ιδρυτής και διευθυντής του μη κερδοσκοπικού Κέντρου Τεχνητής Νοημοσύνης και Ψηφιακής Πολιτικής (Non – Profit Center for AI and Digital Policy), Marc Rotenberg, δήλωσε στο ABC News «Τα προϊόντα με φωνητική υποστήριξη είναι ένα ιδιαίτερο ζήτημα, καθώς όλο και περισσότεροι άνθρωποι χρησιμοποιούν συσκευές που ενεργοποιούνται με φωνητικές εντολές όπως είναι η Alexa και η Siri». Ακόμη, χαρακτήρισε την συλλογή φωνητικών δεδομένων «ωρολογιακή βόμβα».

Απάτη υψηλής τεχνολογίας με τη χρήση φωνητικών δεδομένων

Σύμφωνα με δημοσίευση της ιστοσελίδας Forbes, πραγματοποιήθηκε απάτη υψηλής τεχνολογίας με την τεχνική «deep voice» (αντιγραφή φωνής).  Εγκληματίες του κυβερνοχώρου κλωνοποίησαν τα φωνητικά δεδομένα ενός Διευθυντή εταιρείας στα Ηνωμένα Αραβικά Εμιράτα και κατάφεραν να αποσπάσουν το ποσό των 35.000.000 δολαρίων από τράπεζα του Χονγκ Κονγκ. Η έγκριση μεταφοράς του ποσού έγινε από την τράπεζα του Χονγκ Κονγκ χωρίς να αντιληφθεί την περίτεχνη απάτη. Διαπιστώνεται ότι η εγκληματική χρήση της τεχνολογίας μπορεί να αποτελέσει απειλή της ιδιωτικότητας, της οικονομίας και της επιχειρηματικότητας.

Η επιστημονική έρευνα της Global Market Insights

Σύμφωνα με την εταιρεία έρευνας Global Market Insights, η παγκόσμια αγορά αναγνώρισης φωνής ξεπέρασε τα 3,5 δισεκατομμύρια δολάρια το 2021 και αναμένεται να φτάσει τα 10 δισεκατομμύρια δολάρια μέχρι το 2028. Η ανάπτυξη της τεχνολογίας προσελκύει τις επιχειρήσεις , καθώς επιθυμούν να εξερευνήσουν τις δυνατότητες που προσφέρει η χρήση φωνητικών δεδομένων. Ωστόσο, ακόμη και οι φαινομενικά αβλαβείς χρήσεις της τεχνολογίας με φωνητική υποστήριξη μπορούν να προκαλέσουν ανησυχίες σχετικά με την ιδιωτικότητα.

Οι ανησυχίες για την ιδιωτικότητα και τα φωνητικά δεδομένα

Ανησυχίες δημιουργούνται για τα προϊόντα με φωνητική υποστήριξη, καθώς φαίνεται πως οι εταιρείες συγκεντρώνουν μεγαλύτερο όγκο ευαίσθητων δεδομένων από ό,τι οι χρήστες μπορούν να αντιληφθούν. Με αυτόν τον  τρόπο επιτρέπουν στις εταιρείες να επωφεληθούν δεδομένα από τις συνομιλίες που πραγματοποιούνται στον οικιακό ή εργασιακό χώρο, παραβιάζοντας τις βασικές αρχές του GDPR.

Η φωνή ενός καταναλωτή θα μπορούσε να χρησιμοποιηθεί για να αποκαλύψει μια πληθώρα προσωπικών δεδομένων, όπως ύψος, βάρος, εθνικότητα, χαρακτηριστικά προσωπικότητας και δεδομένα υγείας. Επομένως, η ακαταλόγιστη χρήση φωνητικών δεδομένων προς όφελος των επιχειρήσεων οδηγεί στην αναπόφευκτη παραβίαση της ιδιωτικότητας.

 


Πηγές:

ABC news/ Collection of voice data for profit raises privacy fears/ διαθέσιμο εδώ.

Forbes/Fraudsters Cloned Company Director’s Voice In $35 Million Bank Heist, Police Find/ Διαθέσιμο εδώ.

IAPP/ Use of voice collection data for marketing puts individuals’ privacy at risk/ διαθέσιμο εδώ.

Global Market Insights/Voice Recognition Market Size By Deployment Model (Cloud, On-Premise), By Technology (AI-Based, Non-AI Based), By End-Use (Aerospace, Automotive, BFSI, Consumer Electronics, Government & Defense, Healthcare), COVID-19 Impact Analysis, Regional Outlook, Growth Potential, Competitive Market Share & Forecast, 2022 – 2028/ διαθέσιμό εδώ.

 

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

Top