ανοδική πορεία προστίμων gdpr

GDPR: Η ανοδική πορεία των προστίμων

Ανοδική πορεία  των προστίμων σχετικά με τον GDPR παρατηρείται από ποικίλες στατιστικές μελέτες κατά την διάρκεια του 2023.  Οι στατιστικές καταδεικνύουν ότι οι παραβιάσεις σχετικά με την προστασία των προσωπικών δεδομένων έχουν αυξηθεί. Παρά το γεγονός ότι το 2023 δεν έχει ακόμη ολοκληρωθεί, τα πρόστιμα για τον GDPR ξεπερνούν το ποσό των 1,6 δισεκατομμυρίων ευρώ. Σύμφωνα με στοιχεία του enforcementtracker.com, κατά το πρώτο εξάμηνο του 2023 παρατηρούνται περισσότερα πρόστιμα, συγκριτικά με τα έτη 2019, 2020 και 2021 μαζί.

Η ανοδική ποτρεία των προστίμων σχετικά με τον GDPR για το έτος 2023, οφείλεται κυρίως στο πρόστιμο ρεκόρ που επεβλήθη στη Meta. Ειδικότερα, το πρόστιμο ανέρχεται στο ποσό των 1,2 δισεκατομμυρίων ευρώ. Αφορμή αποτέλεσε η παράνομη μεταφορά δεδομένων προσωπικού χαρακτήρα στις ΗΠΑ.  Αναμφίβολα, μέχρι την επιβολή του προστίμου στη Meta,  στις πρώτες θέσεις των εταιρειών με τα υψηλότερα πρόστιμα, βρισκόταν η Amazon και η Criteo. Συγκεκριμένα, για την τελευταία της επεβλήθη πρόστιμο ύψους 40 εκατομμυρίων ευρώ, λόγω έλλειψης των συναινέσεων των χρηστών σχετικά με τη εξατομικευμένη διαφήμιση.

Με αφορμή, τα παραπάνω πρόστιμα δεν πρέπει να ξεχνάμε, ότι η συμμόρφωση με τον GDPR είναι σημαντική για την εύρυθμη λειτουργία των εταιρειών. Μάλιστα, από το σύνολο των προστίμων προκύπτουν τρεις κοινές παραβιάσεις, οι οποίες μπορούν να λειτουργήσουν ως αφύπνιση για τις υπόλοιπες εταιρείες.  Τα τρία κοινά λάθη είναι τα εξής:

Μη λήψη ενημέρωσης για την συναίνεση του χρήστη

Σύμφωνα με τον GDPR, οι εταιρείες πρέπει να διασφαλίζουν ότι οι πελάτες τους αντιλαμβάνονται πλήρως και συναινούν με τον τρόπο επεξεργασίας και χρήσης των δεδομένων τους. Επομένως, σημαίνει ότι οι σχετικές πληροφορίες παρατίθενται στους πελάτες, με προσιτό τρόπο, αποφεύγοντας την περίπλοκη νομική ορολογία. Απαραίτητο είναι τα άτομα να δίνουν ελεύθερα ή να αρνούνται τη συγκατάθεσή τους.

Χαρακτηριστικό παράδειγμα εταιρείας  που δεν διασφάλισε τη συναίνεση των χρηστών της είναι η Google. Το πρόστιμο, που της επεβλήθη από την Γαλλική Αρχή Προστασίας Δεδομένων ανήλθε στα 57 εκατομμύρια δολάρια, το 2019. Η δημοφιλής μηχανή αναζήτησης δεν είχε παράσχει στους χρήστες σαφείς και διαφανείς πληροφορίες σχετικά με τον τρόπο συλλογής και χρήσης των προσωπικών τους δεδομένων, με σκοπό την εξατομικευμένη  διαφήμιση.

Διαβίβαση προσωπικών δεδομένων εκτός ΕΕ

Μέρος της  συμμόρφωσης με τον GDPR περιλαμβάνει τον τρόπο μεταφοράς των δεδομένων εκτός της Ευρωπαϊκής Ένωσης (ΕΕ). Το άρθρο 44 του GDPR ορίζει ότι οι οργανισμοί πρέπει να προβλέπουν επαρκείς διασφαλίσεις για τη μεταφορά προσωπικών δεδομένων σε χώρες με λιγότερο αυστηρούς νόμους σχετικά με την προστασία δεδομένων.

Όπως εξάλλου αναφέρθηκε και ανωτέρω, επεβλήθη στη Meta πρόστιμο 1,2 δισεκατομμυρίων ευρώ από την Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας.  Η εταιρεία δεν συμμορφώθηκε με απόφαση του ανώτατου δικαστηρίου της Ευρωπαϊκής Ένωσης του 2020. Αναλυτικότερα, το ανώτατο δικαστήριο έκρινε ότι τα δεδομένα των Ευρωπαίων χρηστών που μεταφέρθηκαν από την εταιρεία στις Ηνωμένες Πολιτείες, δεν έχουν επαρκή προστασία έναντι των αμερικανικών αρχών.

Παράνομη επεξεργασία δεδομένων ανηλίκων

Η προστασία των δεδομένων των ανηλίκων αποτελεί κορυφαία προτεραιότητα στο πλαίσιο του GDPR. Επομένως, οι οργανισμοί υποχρεούνται να λαμβάνουν ρητή συγκατάθεση από τον κηδεμόνα ενός ανηλίκου, πριν επεξεργαστούν προσωπικά δεδομένα παιδιών ηλικίας κάτω των 16 ετών ή μικρότερης ηλικίας, όπως ορίζεται από κάθε κράτος μέλος της ΕΕ.

Η παραβίαση των νομοθετικών υποχρεώσεων που εδραιώνονται με τον Γενικό Κανονισμό Προστασίας Δεδομένων μπορεί να έχει σημαντικές επιπτώσεις σε μία εταιρεία. Σε παράνομη επεξεργασία δεδομένων ανηλίκων προέβη η δημοφιλής πλατφόρμα κοινωνικής δικτύωσης TikTok. Ειδικότερα, της επιβλήθηκε πρόστιμο 12,7 εκατομμυρίων λιρών για παράνομη επεξεργασία δεδομένων 1,4 εκατομμυρίων παιδιών κάτω των 13 ετών χωρίς τη γονική συναίνεση. Σύμφωνα με τον GDPR, η διασφάλιση του απορρήτου και της ευημερίας των νεαρών χρηστών είναι απαραίτητο στοιχείο για την επίτευξη της συμμόρφωσης.

Τι μπορούμε να μάθουμε από αυτά τα πρόστιμα;

Λαμβάνοντας υπόψιν τα πρόστιμα του 2023 σχετικά με τον GDPR, επισημαίνεται η κρίσιμη σημασία της συμμόρφωσης με τον Κανονισμό. Αναμφισβήτητα, οι εταιρείες οφείλουν να δώσουν προτεραιότητα στη λήψη ενημέρωσης και συναίνεσης των χρηστών, να εξασφαλίζουν ασφαλείς μεταφορές δεδομένων εκτός ΕΕ και να τηρούν τους κανόνες σχετικά με την προστασία των δεδομένων των ανηλίκων.

Επομένως, οι εταιρείες πρέπει να μάθουν από τα λάθη των άλλων και να λάβουν προληπτικά μέτρα. Είναι σημαντικό να εστιάσουν  στην προστασία του απορρήτου των χρηστών, στη μείωση πιθανού κινδύνου, στην οικοδόμηση εμπιστοσύνης και στην αποφυγή των νομικών και οικονομικών συνεπειών με τη μη συμμόρφωση με τον GDPR.

 

Πηγές:

  • CPO Magazine: Lessons Learned From GDPR Fines in 2023/ Διαθέσιμο εδώ.
  • Statista: Data Protection Fines Reach Record High in 2023/ Διαθέσιμο εδώ.
  • Τechcrunch: Adtech giant Criteo hit with revised €40M fine by French data privacy body over GDPR breaches/ Διαθέσιμο εδώ.

Περισσότερα άρθρα μπορείτε να διαβάσετε στο BLOG της εταιρείας μας.

ΤΑ ΖΗΤΗΜΑΤΑ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΤΩΝ COOKIES

ΤΑ ΖΗΤΗΜΑΤΑ ΣΤΗΝ ΠΟΛΙΤΙΚΗ ΤΩΝ COOKIES

Παρά την προσπάθεια που καταβάλουν οι επιχειρήσεις για την δημιουργία των αναδυόμενων παραθύρων ενημέρωσης για τη συναίνεση των cookies, παρατηρείται αύξηση των προστίμων και των αγωγών σχετικά με την ιδιωτικότητα. Αυτό συμβαίνει, διότι οι συγκεκριμένες ενημερώσεις αποδεικνύονται ανεπαρκείς για την προστασία τόσο των πελατών όσο και των εταιρειών. Ακόμη, προκύπτουν προβλήματα, τα οποία στις περισσότερες φορές είναι εκτός του άμεσου ελέγχου τους.

Το θέμα των cookies στις επιχειρήσεις

Ειδικότερα, αναφορικά με το θέμα των cookies, πέρα από το γεγονός ότι η πλειονότητα των ανθρώπων προσπερνά γρήγορα τα αναδυόμενα παράθυρα συναίνεσης των cookies επιλέγοντας την “Αποδοχή όλων”, ουσιαστικά δεν  προστατεύονται ούτε οι επιχειρήσεις που ζητούν αυτές τις συναινέσεις ούτε οι πελάτες τους. Το κύριο πρόβλημα που συναντάται στις πιο πρόσφατες νομικές διαφορές είναι η ύπαρξη διάφορων τρόπων παρακολούθησης των καταναλωτών στο διαδίκτυο χωρίς τη χρήση των cookies.

Το ζήτημα είναι εγγενές με τον τρόπο δημιουργίας των ιστοτόπων, καθώς η πλειονότητα των επιχειρήσεων κατασκευάζουν τις ιστοσελίδες τους χρησιμοποιώντας υπηρεσίες τρίτων, όπως είναι το cloud. Αυτές οι υπηρεσίες περιλαμβάνουν εφαρμογές όπως το CRM (Διαχείριση Πελατειακών Σχέσεων), αλλά και προγράμματα παρακολούθησης επισκεψιμότητας που χρησιμοποιούνται από διαφημιστές.

Η περίπτωση του Meta Pixel

Το Meta pixel είναι η ιδανική απεικόνιση αυτού. Λειτουργεί ως ιχνηλάτης που στέλνει πληροφορίες πίσω στην εταιρεία Meta. Συγκεκριμένα, η εσφαλμένη χρήση δεδομένων του Meta Pixel στους ιστότοπους προκάλεσε παραβιάσεις δεδομένων τόσο στις ΗΠΑ όσο και σε χώρες της Ευρωπαϊκής Ένωσης. Στη περίπτωση των ΗΠΑ, υπήρξε σοβαρός αντίκτυπος σε πολυάριθμους οργανισμούς υγειονομικής περίθαλψης.

Το σύστημα υγειονομικής περίθαλψης, Advocate Aurora Health (AAH), όπου υπάγονται σε αυτό 26 νοσοκομεία των πολιτειών Wisconsin και Illinois,, ανακοίνωσε παραβίαση δεδομένων που αφορούσε τα προσωπικά δεδομένα 3.000.000 ασθενών. Η παραβίαση αυτή προκλήθηκε από την εσφαλμένη χρήση δεδομένων του Meta pixel στον ιστότοπο του AAH, όπου οι ασθενείς εγγράφονται και εισάγουν ευαίσθητα δεδομένα, όπως είναι τα δεδομένα υγείας.

Οι επιπτώσεις στην ιδιωτικότητα του ατόμου

Οι πληροφορίες που προκύπτουν από τις εφαρμογές που χρησιμοποιούν για την ορθή λειτουργεία των ιστοτόπων οι τρίτες εταιρείες (CRM κλπ.), μπορούν να χρησιμοποιηθούν από τους διαφημιστές για να προσαρμόσουν τις διαφημίσεις σε πιθανούς πελάτες και να ενημερωθούν για την αποτελεσματικότητα της εκάστοτε καμπάνιας μάρκετινγκ που κάνουν. Ωστόσο, αυτοί οι ιχνηλάτες συγκεντρώνουν επίσης συγκεκριμένα και λεπτομερή προσωπικά δεδομένα που στη συνέχεια προστίθενται σε ήδη υπάρχοντα αποθηκευμένα (portfolio) δεδομένα.

Με αυτόν τον τρόπο, όταν κάποιος επισκέπτεται έναν ιστότοπο υγειονομικής περίθαλψης, ενημερώνει παραδείγματος χάριν το Facebook για μια ιατρική πάθηση που ερευνά. Επομένως, η ιδιωτικότητα του ατόμου συγκρούεται με τις τρέχουσες τεχνικές της ψηφιακής διαφήμισης.

Συμπέρασμα

Εν κατακλείδι, δεν απαιτείται μόνο η βελτίωση της πολιτικής των cookies μέσα από τα αναδυόμενα παράθυρα συναίνεσης των προαιρετικών ιχνηλατών. Απαραίτητη είναι η εστίαση σε περαιτέρω τεχνικές από τις επιχειρήσεις, οι οποίες πρέπει να έχουν την δυνατότητα να παρατηρούν, να παρακολουθούν και να ελέγχουν τις πτυχές της εμπλοκής στον ιστότοπο που σχετίζονται με το πρόγραμμα περιήγησης, τις οποίες φαίνεται πως δεν ελέγχουν αυτήν την στιγμή.

 

Πηγές:

https://www.cpomagazine.com/cyber-security/blocking-cookies-is-insufficient/

https://www.cybersecurity-insiders.com/meta-pixel-hack-leads-to-us-healthcare-provider-data-breach-affecting-3-million-patients/

 

ΤΟ ΠΑΘΗΜΑ – ΜΑΘΗΜΑ ΤΗΣ ΜΕΤΑ

Σε συνέχεια του προστίμου ύψους 405 εκατομμυρίων ευρώ που επιβλήθηκε από την Ιρλανδική Αρχή Προστασίας Δεδομένων  στην εταιρεία Meta για παραβιάσεις δεδομένων που αφορούν το Instagram – το δεύτερο υψηλότερο πρόστιμο  μετά την ποινή της Amazon-, η Εταιρεία αποφάσισε να αυξήσει το επίπεδο των ρυθμίσεων ασφαλείας της και να αναβαθμίσει τις ενημερώσεις απορρήτου της, ώστε να επιτύχει ένα καλύτερο επίπεδο προστασίας.

Πιο συγκεκριμένα, η Meta πρόσφατα ανακοίνωσε ότι εισάγει νέες ενημερώσεις απορρήτου για τους εφήβους στο Instagram και το Facebook. Συγκεκριμένα, θα υπάρχουν πλέον περισσότερες προεπιλεγμένες ρυθμίσεις απορρήτου για όσους χρήστες είναι κάτω των 16 ετών ή κάτω των 18 ετών σε ορισμένες χώρες, από τη στιγμή της εγγραφής τους στις εν λόγω εφαρμογές.

Έτσι, για τους εφήβους που χρησιμοποιούν ήδη την εφαρμογή, το Facebook πρόκειται να τους προτείνει να επιλέγουν περισσότερες ρυθμίσεις απορρήτου όσον αφορά το ποιος μπορεί να δει τις λίστες των φίλων τους, τις αναρτήσεις στις οποίες έχουν προστεθεί με ετικέτα, τα άτομα και τις λίστες που ακολουθούν, καθώς και ποιος επιτρέπεται να σχολιάζει τις δημόσιες αναρτήσεις τους.

Επιπλέον, η Meta, στην προσπάθειά της να δημιουργήσει ένα ασφαλές περιβάλλον για τους εφήβους, τους αποτρέπει πλέον να αποστείλουν μήνυμα σε ύποπτους ενήλικες με τους οποίους δεν είναι συνδεδεμένοι. Ύποπτος λογαριασμός ορίζεται αυτός που ανήκει σε ενήλικα και έχει πρόσφατα αποκλειστεί ή αναφερθεί από νεαρό χρήστη. Στο Facebook, η Meta δεν θα εμφανίζει ύποπτους λογαριασμούς στις συστάσεις των εφήβων ως «Άτομα που ίσως γνωρίζετε». Ακόμη, πρόκειται να καταργήσει το κουμπί αποστολής μηνυμάτων στους λογαριασμούς των εφήβων στο Instagram όταν τους προσεγγίζουν ύποπτοι λογαριασμοί.

Σημαντική, επίσης, είναι η  πρωτοβουλία που παίρνει για να προτρέπει τους νεαρούς χρήστες να αναφέρουν ένα ύποπτο λογαριασμό αφού τον μπλοκάρουν, με την Meta να στέλνει σχετικές ενημερώσεις για την ασφάλειά τους. Μάλιστα, μετά την εφαρμογή του συγκεκριμένου μέτρου, παρατηρήθηκε ότι περισσότεροι από 1 εκατομμύριο χρήστες  έλαβαν ειδοποιήσεις ασφαλείας απευθείας από την Meta. Διευκολύνοντας έτσι την πρόσβαση σε εργαλεία αναφοράς, διαπιστώθηκε στατιστική αύξηση αναφορών από ανήλικους χρήστες σε ποσοστό άνω των 70%, συγκριτικά με τα ποσοστά των τελευταίων μηνών του 2021 και του πρώτου τριμήνου του 2022.

Επιπλέον, η Meta συνεργάζεται με το Εθνικό Κέντρο για Εξαφανισμένα Παιδιά και Παιδιά που έχουν πέσει θύματα εκμετάλλευσης (National Center for Missing and Exploited Children) για τη δημιουργία μιας παγκόσμιας πλατφόρμας για εφήβους που θα προλαμβάνουν την κοινοποίηση ευαίσθητων φωτογραφιών τους σε δημόσιες διαδικτυακές πλατφόρμες χωρίς τη συγκατάθεσή τους. Ο στόχος της πλατφόρμας είναι να βοηθήσει τη Meta να αποτρέψει τη δημοσίευση ευαίσθητων φωτογραφιών ενός εφήβου στο διαδίκτυο. Η πλατφόρμα θα λειτουργεί παρόμοια με το τρέχον σύστημα της Meta που έχει σχεδιαστεί για να αποτρέπει την κοινή χρήση προσωπικών εικόνων από ενήλικες. Η Meta επισημαίνει ότι μόλις κατασκευαστεί η πλατφόρμα, θα μπορεί να χρησιμοποιηθεί από άλλες εταιρείες σε όλη τη βιομηχανία της τεχνολογίας, αν και φυσικά εδώ περαιτέρω ζητήματα προστασίας της ιδιωτικότητας θα πρέπει να λυθούν.

Είναι φανερός επομένως ο διορθωτικός χαρακτήρας του προστίμου που επεβλήθη στην Meta ώστε να την προτρέψει να λάβει σοβαρότερα το ζήτημα της προστασίας της ιδιωτικότητας των ανήλικων χρηστών της και να συμμορφωθεί με το κανονιστικό πλαίσιο. Φυσικά, δεν πρέπει να αμελείται η σημασία της τήρησης των αρχών Privacy by Default και by Design, ούτως ώστε εξ αρχής τα συστήματα και οι εφαρμογές των Εταιρειών να δημιουργούνται με γνώμονα την προστασία των υποκειμένων των δεδομένων.

Instagram: Πρόστιμο 405 εκ. Ευρώ για παραβίαση της ιδιωτικότητας παιδιών

Η Αρχή Προστασίας Δεδομένων της Ιρλανδίας επέβαλε πρόστιμο 405 εκατομμυρίων Ευρώ στο Instagram για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ ή “GDPR”), οι οποίες επήλθαν ως αποτέλεσμα λάθος χειρισμών των δεδομένων των παιδιών από το Instagram, συμπεριλαμβανομένης μίας δημοσίευσης με διευθύνσεις email και αριθμούς τηλεφώνων παιδιών, σύμφωνα με την Politico.

«Λάβαμε την τελική μας απόφαση την περασμένη Παρασκευή και μέσω αυτής επιβάλλεται πρόστιμο 405 εκατομμυρίων Ευρώ», δήλωσε στην Washington Post ο Graham Doyle, αναπληρωτής Επίτροπος της Ιρλανδικής Αρχής Προστασίας Δεδομένων, προσθέτοντας ότι οι πλήρεις λεπτομέρειες θα ανακοινωθούν την επόμενη εβδομάδα.

Η απόφαση της Ιρλανδικής Αρχής ήταν αποτέλεσμα διετούς έρευνας στους επιχειρηματικούς λογαριασμούς του Instagram, τους λεγόμενους “business accounts”, οι οποίοι παρέχουν στους χρήστες δυνατότητες προηγμένων μετρήσεων για την παρακολούθηση προβολών και likes ενός προφίλ και που πριν το 2019 ήταν επιρρεπείς στη δημοσίευση αριθμών τηλεφώνου και διευθύνσεων email των χρηστών υπό προεπιλεγμένες ρυθμίσεις. Διευκρινίζεται ότι η ελάχιστη ηλικία για τη χρήση του Instagram είναι τα 13 έτη.

Αυτό είναι το δεύτερο υψηλότερο πρόστιμο που επιβάλλεται βάσει του GDPR μετά από αυτό των 746 εκατομμυρίων Ευρώ κατά της Amazon. Αποτελεί επίσης το τρίτο πρόστιμο που επιβάλλεται στο Instagram από την ιρλανδική εποπτική αρχή, ενώ είναι και το υψηλότερο πρόστιμο που έχει επιβληθεί σε εταιρεία που ανήκει στην Meta, μετά από αυτό των 225 εκατομμυρίων Ευρώ στην  WhatsApp και το πρόστιμο των 17 εκατομμυρίων Ευρώ στο Facebook.

«Αυτή η έρευνα επικεντρώθηκε σε παλιές ρυθμίσεις, τις οποίες ενημερώσαμε πριν από περισσότερο από ένα χρόνο και έκτοτε έχουμε κυκλοφορήσει πολλές νέες δυνατότητες για να βοηθήσουμε τους εφήβους να παραμένουν ασφαλείς και οι πληροφορίες τους ιδιωτικές», ανέφερε σε δήλωσή του εκπρόσωπος της Meta, προσθέτοντας ότι η εταιρεία εξετάζει προσεκτικά την απόφαση καθώς και το ενδεχόμενο έφεσης κατά αυτής. «Συνεργαζόμαστε πλήρως με την Ιρλανδική Αρχή καθ’ όλη τη διάρκεια της έρευνάς τους και εξετάζουμε προσεκτικά την τελική απόφασή τους».

Η Ιρλανδική ρυθμιστική Αρχή επέβαλε το πρόστιμο αφού χρειάστηκε να ενεργοποιήσει τον μηχανισμό επίλυσης διαφορών σχετικά με τη συμβολή άλλων ευρωπαϊκών αρχών προστασίας δεδομένων σχετικά με το πρόστιμο.

Τέλος, αξίζει να αναφερθεί ότι η Ιρλανδική Αρχή διεξάγει επί του παρόντος τουλάχιστον έξι ακόμη έρευνες σε εταιρείες που ανήκουν στη Meta, αφού υπό την εποπτεία της Αρχής τελεί ένας μεγάλος αριθμός πολυεθνικών τεχνολογικών κολοσσών, συμπεριλαμβανομένων της Apple, Google, Meta και άλλων εταιρειών που έχουν την E.U. έδρα στην Ιρλανδία.

Top