Η αποστολή ανεπιθύμητης αλληλογραφίας (spamming)

Της Μαγδαληνής Σκόνδρα*

Η σύγχρονη αλληλογραφία δεν θα μπορούσε να μην ακολουθήσει την ψηφιακή εποχή, κατά την οποία η ταχύτητα, η ευκολία και το μηδενικό κόστος ανταλλαγής μηνυμάτων, αποτελούν τόσο θελκτικά προνόμια, που έχουν κάνει την ηλεκτρονική αλληλογραφία το δημοφιλέστερο μέσο επικοινωνίας. Η εμπορική προώθηση προϊόντων βρήκε στην ηλεκτρονική αλληλογραφία ένα άμεσο και αδάπανο εργαλείο. Όπως και κάθε άλλη πρακτική που αποκτά τέτοια απήχηση, έτσι και η ηλεκτρονική αλληλογραφία δεν θα μπορούσε να μη συνδεθεί τόσο με απλώς αθέμιτες πρακτικές, όσο και με παράνομες ενέργειες, ορισμένες εκ των οποίων είναι ακόμη και ποινικά αδικήματα.

Η λέξη SPAM, με την οποία αναφερόμαστε σύντομα στην ανωτέρω πρακτική,  προέρχεται από το εμπορικό όνομα αμερικανικού προϊόντος κρέατος σε κονσέρβα στη δεκαετία του 1960 το οποίο εισαγόταν στη Μεγάλη Βρετανία σε μεγάλες ποσότητες. Το 1970, οι Μόντυ Πάιθονς έγραψαν το σκετς Σπαμ ως μέρος της εκπομπής Το ιπτάμενο τσίρκο των Μόντυ Πάιθονς όπου μια ομάδα Βίκινγκς επαναλάμβαναν δυνατά ένα τραγούδι με μόνα λόγια το «σπαμ σπαμ σπαμ…ωραίο σπαμ…εξαίρετο σπαμ». Στη συνέχεια, στη δεκαετία του 1980 οι εταιρείες αποστολής τέτοιων μηνυμάτων τα ονόμαζαν SPAM ως ακρωνύμιο του Sales Promotion and Marketing (Προώθηση Πωλήσεων και Μάρκετινγκ) [1]. Η νομική της έννοια βέβαια, είναι διαφορετική, καθώς δεν χρειάζεται η επικοινωνία να είναι μαζική (νομικά, σπαμ μπορεί να είναι και 1 μόνο μήνυμα), αλλά το περιεχόμενο πρέπει είναι διαφημιστικό (να προωθεί προϊόντα, υπηρεσίες, απόψεις, ή γενικά την «εικόνα» αυτού που το στέλνει).

Το κοινοτικό δίκαιο[2], ορίζει ότι η χρησιμοποίηση συσκευών αυτόματων κλήσεων, φαξ, emails, κλπ.  για απευθείας εμπορική προώθηση επιτρέπεται μόνο στην περίπτωση συνδρομητών ή χρηστών οι οποίοι έχουν δώσει εκ των προτέρων τη συγκατάθεσή τους.

Το ελληνικό δίκαιο που ενσωμάτωσε αυτήν την κοινοτική οδηγία[3], προβλέπει το ίδιο.

Ο ελληνικός νόμος προβλέπει την προστασία προσωπικών δεδομένων και στις ηλεκτρονικές επικοινωνίες. Μάλιστα, στην έννοια του δεδομένου προσωπικού χαρακτήρα έχει κριθεί ότι εμπίπτει, και ο τηλεφωνικός αριθμός και ο λογαριασμός ηλεκτρονικού ταχυδρομείου[4] [5] [6] [7].

Η πολιτική επικοινωνία ως σπαμ

Όπως είπαμε παραπάνω, η νομική έννοια της μη νόμιμης αποστολής αζήτητης (ή αυτόκλητης) επικοινωνίας[8], προϋποθέτει την χωρίς ανθρώπινη παρέμβαση επικοινωνία που γίνεται, όμως, συγκεκριμένα, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, χωρίς προηγούμενη ρητή συγκατάθεση[9] του παραλήπτη (σύστημα opt in). Στην έννοια της εμπίπτουν όλα τα μηνύματα που υπηρετούν διαφημιστικούς σκοπούς, και τέτοιοι θεωρούνται και όσοι στοχεύουν να προωθούν δράσεις φιλανθρωπικών ιδρυμάτων ή πολιτικών κομμάτων.

Έτσι, ακόμα και η πολιτική επικοινωνία οφείλει να συμμορφώνεται με τους κανόνες που ισχύουν για το spam[10]. Η Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ) έχει εκδώσει σχετική Οδηγία ήδη από το 2010[11], αλλά και νεότερη πρόσφατα, τον Απρίλιο του 2019, σχετικά με αυτό το ζήτημα[12], μετά και τη σχετική υπ΄ αριθμόν 2/2019 δήλωση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Έτσι, στις τελευταίες Ευρωεκλογές, η ΑΠΔΠΧ, με την υπ’ αριθμό 19/2019 απόφασή της, επέβαλε πρόστιμο 2.000€ για την αποστολή ενός και μόνο μηνύματος υποψηφίου ευρωβουλευτή σε δικηγόρο-ψηφοφόρο, της οποίας την ηλεκτρονική  διεύθυνση είχε συλλέξει από τους δημοσιευμένους καταλόγους στοιχείων επικοινωνίας δικηγόρων[13].

Τι σημαίνει ηλεκτρονικό ταχυδρομείο; Είναι μόνο το email?

Σύμφωνα με το νόμο[14] και με την ΑΠΔΠΧ[15], στην έννοια του ηλεκτρονικού ταχυδρομείου εντάσσονται όχι μόνο τα emails, όπως θα πίστευε κανείς, αλλά όλα τα ακόλουθα είδη μηνυμάτων:

  1. μηνύματα ηλεκτρονικού ταχυδρομείου
  2. υπηρεσίες μηνυμάτων με χρήση κινητής τηλεφωνίας (SMS, MMS)
  3. υπηρεσίες φαξ
  4. υπηρεσίες στιγμιαίων μηνυμάτων (instant messaging), π.χ. Facebook Messenger, WhatsApp, Viber, MSN, Yahoo Messenger, Google Chat, κ.ά.
  5. υπηρεσίες ηλεκτρονικής ανταλλαγής μηνυμάτων, όπως σελίδες κοινωνικής δικτύωσης, π.χ. Facebook, Twitter, LinkedIn, κ.ά.

Πότε επιτρέπονται μηνύματα ηλεκτρονικού ταχυδρομείου για προωθητικούς σκοπούς;

Μόνη εξαίρεση στον κανόνα της προηγούμενης συγκατάθεσης του παραλήπτη, προβλέπει ο νόμος[16], στην περίπτωση που αυτός που στέλνει το μήνυμα έχει αποκτήσει το τηλέφωνο ή το μέιλ του παραλήπτη, με την ευκαιρία συναλλαγής μαζί του, (π.χ. κατά την αγορά προϊόντων) χωρίς την προηγούμενη συγκατάθεσή του, υπό την προϋπόθεση ότι του δίνει την ευκαιρία να αρνηθεί ήδη από τη στιγμή που του ζητά τα στοιχεία του, αλλά και σε κάθε μήνυμα, σε περίπτωση που αρχικά δεν είχε διαφωνήσει(πχ μέσω ενός κουμπιού «απεγγραφή» ή “unsubscribe”).

Αναγκαία προϋπόθεση είναι όμως η προηγούμενη ενημέρωση του συνδρομητή-πελάτη[17]. Η ενημέρωση αυτή θα πρέπει να παρέχεται κατά τη στιγμή της συλλογής των στοιχείων επικοινωνίας -δηλαδή, την ώρα της συναλλαγής- και να περιλαμβάνει με σαφήνεια την πρόθεση χρήσης των στοιχείων επικοινωνίας του συναλλασσόμενου, συγκεκριμένα για σκοπούς προωθητικών ενεργειών.

Η πρακτική του spamming ως ευκαιρία φθηνής διαφημιστικής προβολής, αλλά και ως ευκαιρία παρανομίας

Η συλλογή στοιχείων επικοινωνίας με τη χρήση ειδικών λογισμικών, των λεγόμενων spambots, αποτελεί ποινικό αδίκημα.

Η ευκολία και το μικρό κόστος της ηλεκτρονικής επικοινωνίας, δεν θα μπορούσε να αφήσει αδιάφορες τις επιχειρήσεις, αλλά και τις διαφημιστικές εταιρίες. Διαμορφώθηκε έτσι, σταδιακά, ως παγκόσμια πρακτική,  η τάση της δημιουργίας λιστών διευθύνσεων ηλεκτρονικού ταχυδρομείου ή/και τηλεφωνικών αριθμών. «Με τη βοήθεια ειδικών λογισμικών, των λεγόμενων spambots, πραγματοποιείται εύκολα αυτοματοποιημένη σάρωση ιστοσελίδων και άλλων πηγών του Διαδικτύου, για την συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου από αυτές. Στη συνέχεια το spambot δημιουργεί λίστα των συλλεχθεισών διευθύνσεων»[18].

Τα λογισμικά αυτά συχνά χρησιμοποιούνται από hackers, για να πραγματοποιήσουν επιθέσεις με μολυσμένα μηνύματα ή κακόβουλο κώδικα σε ιστότοπους ή σε διακομιστές. Μετά την δημιουργία τέτοιων λογισμικών, οι έτοιμες λίστες διευθύνσεων που αυτά παρήγαγαν, αποτέλεσαν συχνά και προϊόν πώλησης διαφημιστικών εταιριών στο πελατολόγιο τους. Επικράτησε έτσι το παγκόσμιο φαινόμενο, κάθε επιχείρηση που ήθελε να διαφημιστεί, είτε να αγοράζει τέτοιες έτοιμες λίστες, είτε να παραγγέλλει την δημιουργία τους.

Η συλλογή στοιχείων επικοινωνίας με χρήση τέτοιων λογισμικών, αποτελεί ποινικό αδίκημα[19].

Εκτός του σπαμ, η χρήση των στοιχείων που αποκτήθηκαν με τέτοια λογισμικά, συχνά αποσκοπεί στην αποστολή κακόβουλου λογισμικού κάθε είδους, όπως ιούς, σκουλήκια, λογισμικό παρακολούθησης κλπ,  ή με σκοπό αποστολή νέων ηλεκτρονικών μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing) προσωπικών στοιχείων, κυρίως στοιχείων ηλεκτρονικής τραπεζικής (e-banking), με απώτερο στόχο την αφαίρεση χρηματικών ποσών από λογαριασμούς[20]. Οι ενέργειες αυτές, συνδέονται άμεσα και με την αζήτητη αλληλογραφία, καθώς παρατηρείται ότι σε αρκετές  περιπτώσεις, εμφανίζονται με το μανδύα του διαφημιστικού μηνύματος, που όμως είτε υποκρύπτει κακόβουλο λογισμικό, είτε προτρέπει τους χρήστες στην γνωστοποίηση προσωπικών τους στοιχείων[21].

Νομικό πλαίσιο: Ν. 3471/2006: lex specialis σε σχέση με το Ν. 2472/1997 (και ήδη με τον GDPR και τον Ν. 4624/2019).

Ποια όμως νομοθεσία εφαρμόζεται στις περιπτώσεις αυτές; Ο Νόμος 3471/2006 που αφορά τις ηλεκτρονικές επικοινωνίες και την επεξεργασία προσωπικών δεδομένων κατά τη χρήση ηλεκτρονικών επικοινωνιών, ή η γενικότερη νομοθεσία για τα προσωπικά δεδομένα (τον παλαιότερο νόμο 2472/1997, τον GDPR και τον νέο Νόμο 4624/2019);

Το ερώτημα έχει τεράστια πρακτική σημασία, καθώς οι διαφορές των διοικητικών προστίμων που προβλέπουν τα νομοθετήματα αυτά, είναι εξαιρετικά μεγάλες.

Ρητά, ορίζεται[22] ότι ο νόμος των ηλεκτρονικών επικοινωνιών (3471/2006) συνιστά ειδικότερο νόμο (lex specialis) σε σχέση με τον γενικότερο Ν. 2472/1997[23]. Κατά τη γενική αρχή του δικαίου, ο ειδικότερος νόμος απωθεί την εφαρμογή του γενικότερου[24].

Στο παρελθόν, όμως, η σχέση γενικού προς ειδικό μεταξύ των δύο νομοθετημάτων, αποτέλεσε αντικείμενο συχνής παρανόησης στις αποφάσεις των δικαστηρίων και της ΑΠΔΠΧ[25].[26].

Οι παραπάνω διαπιστώσεις εξακολουθούν να ισχύουν και μετά την κατάργηση του Ν. 2472/1997 από το Ν. 4624/2019 και την έναρξη ισχύος του GDPR[27].

Παράλληλα, ο νέος  νόμος 4624/2019 ρητά προβλέπει ότι κάθε αναφορά στο παλιό νομοθετικό πλαίσιο νοείται πια ως αναφορά στον νέο νόμο και τον GDPR[28].

Επομένως, τα νομοθετήματα αυτά εφαρμόζονται συμπληρωματικά το ένα προς το άλλο, όπως εκτίθεται αμέσως παρακάτω.

Ποιες  κυρώσεις προβλέπονται για όποιον παραβιάζει το νόμο;

Η αποστολή αζήτητης ηλεκτρονικής αλληλογραφίας, επισύρει :

-1ον Δυνατότητα αποζημίωσης του παραλήπτη και μάλιστα ποσού τουλάχιστον 10.000€ για κάθε μήνυμα[29], με προσφυγή στα πολιτικά δικαστήρια.

-2ον Διοικητικό πρόστιμο, μεταξύ 880,00 και 146.735,00€[30], που επιβάλλεται από την ΑΠΔΠΧ, είτε αυτεπαγγέλτως, είτε κατόπιν καταγγελίας πολίτη, που υποβάλλεται ηλεκτρονικά[31]. Εάν όμως, η ΑΠΔΠΧ διαγνώσει παράλληλα και παραβίαση διατάξεων του GDPR, όπως έχουμε ήδη δει να συμβαίνει σε αποφάσεις της, το διοικητικό πρόστιμο θα ανέλθει στα δυσθεώρητα επίπεδα του GDPR (πρόστιμα έως και 20.000.000€ ή έως 4% του τζίρου). Είναι δε σχεδόν απίθανο να έχει σημειωθεί παράβαση ανεπιθύμητης ηλεκτρονικής αλληλογραφίας και να μην έχει ταυτόχρονα παραβιαστεί κάποια από τις γενικές αρχές και υποχρεώσεις, που ρυθμίζονται από τον GDPR.

Χαρακτηριστική περίπτωση αποτέλεσε η απόφαση 34/2019[32] της ΑΠΔΠΧ, με την οποία επιβλήθηκε διοικητικό πρόστιμο ύψους 200.000 ευρώ στον ΟΤΕ, όταν εξαιτίας τεχνικού σφάλματος, κατέστη αδύνατη η ικανοποίηση του δικαιώματος εναντίωσης των συνδρομητών στη λήψη προωθητικών μηνυμάτων.

Συμπεράσματα

Όπως γίνεται σαφές από τα παραπάνω, η δυνατότητα αποστολής προωθητικών μηνυμάτων χωρίς προηγούμενη συγκατάθεση του παραλήπτη, ΔΕΝ είναι καταρχήν δυνατή σε άτομα με τα οποία ο αποστολέας δεν είχε καμία συναλλαγή στο παρελθόν. Ούτε βέβαια είναι νόμιμο να σταλεί ένα πρώτο μήνυμα με το οποίο να ζητείται η άδεια -συγκατάθεση του παραλήπτη, αφού ήδη και η πρώτη αυτή επικοινωνία θα έχει γίνει κατά παράβαση του ανωτέρω κανόνα.

Μόνος νόμιμος τρόπος να συλλέξει κανείς τα στοιχεία επικοινωνίας ατόμων με τα οποία δεν είχε ποτέ προηγούμενη συναλλαγή, είναι είτε κατά πρόσωπο, είτε μέσω τηλεφώνου, ζητώντας τους να συγκατατεθούν. Κάτι τέτοιο συμβαίνει για παράδειγμα κυρίως με την ευκαιρία εμπορικών εκθέσεων.

Σύμφωνα με τις σαφείς οδηγίες της ΑΠΔΠΧ[33], η χρήση διευθύνσεων ηλεκτρονικού ταχυδρομείου για την αποστολή διαφημιστικών μηνυμάτων ή για την εμπορία των διευθύνσεων αυτών είναι παράνομη όταν αυτές συλλέγονται:

-Με αγορά ή δωρεάν προμήθεια λιστών ηλεκτρονικών διευθύνσεων από εταιρείες χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των κατόχων των ηλεκτρονικών διευθύνσεων.

-Από καταλόγους που δεν έχουν συσταθεί για το σκοπό της απευθείας εμπορικής προώθησης ή κάθε άλλου είδους διαφήμισης και τα πρόσωπα που περιέχονται σε αυτούς δεν έχουν δώσει τη συγκατάθεση τους για τη λήψη τέτοιας μορφής ηλεκτρονικής επικοινωνίας. (πχ οι κατάλογοι των επαγγελματικών ενώσεων, των σωματείων, συλλόγων, κατάλογοι εκθέσεων κ.λ.π).

-Μέσω Διαδικτύου (harvesting) από μπλογκ και ιστοσελίδες που περιέχουν ηλεκτρονικές διευθύνσεις χρηστών ή κοινών διευθύνσεων επαφής εταιριών, social media, ενημερωτικές λίστες ηλεκτρονικού ταχυδρομείου (mailing lists), white yellow pages κ.ά., ανεξαρτήτως εάν η συλλογή διευθύνσεων πραγματοποιείται χειροκίνητα ή αυτόματα (π.χ. μέσω προγραμμάτων αράχνης (web crawlers).

-Από τρίτους, για παράδειγμα από άτομα που δίνουν τις διευθύνσεις φίλων τους χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των φίλων.

Οι εταιρείες-υπεύθυνοι επεξεργασίας, είναι υπόλογοι στην Αρχή για κάθε διαφημιστική ενέργεια μέσω αζήτητης επικοινωνίας που τους αφορά, ακόμα και αν αυτή γίνεται μέσω κάποιας διαφημιστικής εταιρείας για λογαριασμό τους.

Η συχνή παρανόηση ακόμη και  δικαστικών λειτουργών, ότι προσωπικά δεδομένα που έχουν δημοσιευτεί στο διαδίκτυο δεν προστατεύονται από το νόμο, είναι παντελώς λανθασμένη και συνήθως εντοπίζεται στη σύγχυση μεταξύ του πλαισίου προστασίας του απορρήτου των επικοινωνιών με το πλαίσιο για την προστασία των προσωπικών δεδομένων: κάτι τέτοιο μπορεί να ισχύει μόνο για το απόρρητο των επικοινωνιών, που έχει νόημα προστασίας του, όσο η επικοινωνία διεξάγεται -κατά τη βούληση των συμμετεχόντων-ιδιωτικά και όχι δημόσια.

Αντίθετα, το δίκαιο προστασίας προσωπικών δεδομένων, ορίζει ότι επεξεργασία προσωπικών δεδομένων μπορεί να γίνει μόνο εφόσον υπάρχει μία από τις 6 προβλεπόμενες στο δίκαιο νομικές βάσεις και μόνο για συγκεκριμένο θεμιτό και νόμιμο σκοπό, ανεξάρτητα αν τα δεδομένα είναι δημοσιευμένα ή όχι.

Επομένως, για παράδειγμα, κατάλογοι στοιχείων επαγγελματιών, που έχουν δημοσιευτεί προκειμένου να μπορούν να επικοινωνούν μαζί τους πελάτες και συνεργάτες ή συνάδελφοι, δεν μπορούν να χρησιμοποιηθούν για άλλους σκοπούς, καθώς οι συμμετέχοντες στον κατάλογο έδωσαν τη συγκατάθεσή τους μόνο για το συγκεκριμένο σκοπό του καταλόγου και όχι για τη λήψη διαφημιστικών μηνυμάτων.

Έτσι, η φθηνή διαφημιστική λύση που παρείχε για δεκαετίες η πρακτική του spamming, ιδιαίτερα μετά την εφαρμογή του GDPR, μπορεί τελικά να έχει εξαιρετικά «ακριβό» τίμημα. Ο Κανονισμός αυτός, αν και δεν είναι το κατεξοχήν νομοθέτημα που εφαρμόζεται στην περίπτωση που εξετάζουμε, οδηγεί σταδιακά σε μεγαλύτερα ποσοστά ευαισθητοποίησης το μέσο πολίτη, όσον αφορά την πραγματική ουσία του δικαιώματός του στην προστασία των δεδομένων του, ενώ παράλληλα, οι αυστηρές του κυρώσεις, μπορούν να λειτουργήσουν αποτρεπτικά για κάθε τέτοια πρακτική, που συνηθέστατα θα σημαίνει και παραβίαση των όσων προβλέπει.

* Η Μαγδαληνή Σκόνδρα, CIPP/E, είναι δικηγόρος Θεσσαλονίκης, απόφοιτος της Νομικής σχολής του Α.Π.Θ.. Είναι  Αντιπρόεδρος του μη κερδοσκοπικού Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος και μέλος της Ελληνικής Ένωσης για την Ιδιωτικότητα και τα Προσωπικά Δεδομένα. Εργάζεται ως δικηγόρος, DPO ιδιωτικών φορέων και σύμβουλος προστασίας προσωπικών δεδομένων.

ΠΗΓΕΣ – ΒΙΒΛΙΟΓΡΑΦΙΑ

    • [1] Τσίπης,Γεώργιος, ‘Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας’ (Μεταπτυχιακή διατριβή, ΠΑΠΕΙ, Τμήμα Πληροφορικής, 2012). και ‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 3/2008, Ιούλιος – Αύγουστος – Σεπτέμβριος – Χ. Γ. Μουζάκης, Ανεπιθύμητη εμπορική ηλεκτρονική αλληλογραφία – Η αντιμετώπιση του φαινομένου στην ελληνική και διεθνή έννομη τάξη’, ημερομηνία πρόσβασης 30 Νοέμβριος 2019, https://www.nbonline.gr/journals/8/volumes/134/issues/479/lemmas/4639915?searchid=376993.
    • [2] Οδηγία 2002/58/ΕΚ
    • [3] Άρθρο 11 του Ν.3471/2006
    • [4] Βλ. αποφάσεις ΑΠΔΠΧ 70/2017, 59/2012, 59/2011, 83/2009, Οδηγία 1/2010, αλλά και ΟΕ29 Γνώμη 2/2004
    • [5] Ειδικότερα η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει κρίνει ότι: «η διεύθυνση ηλεκτρονικού ταχυδροµείου ενός φυσικού προσώπου αποτελεί προσωπικό δεδοµένο, αφού µπορεί να λειτουργήσει ως στοιχείο έµµεσης αναγνώρισης του κατόχου της, επιτρέποντας την επικοινωνία µε αυτόν, ενώ σε αρκετές περιπτώσεις φέρει ακόµα και στοιχεία του ονόµατος του κατόχου. Επισηµαίνεται δε ότι, σύµφωνα και µε τη Γνώµη 4/2007 της οµάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά µε την έννοια των προσωπικών δεδοµένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έµµεσης αναγνώρισης, όπως η διεύθυνση ηλεκτρονικού ταχυδροµείου, µπορούν επαρκώς σε ορισµένες περιπτώσεις να διακρίνουν ένα άτοµο από άλλα στο πλαίσιο ενός συγκεκριµένου συνόλου, ακόµα και αν δεν έχει γίνει η εξακρίβωση του ονόµατός του».ΑΠΔΠΧ απόφαση 70/2017
    • [6] Ορ. σχετ. απόφαση ΑΠΔΠΧ, 11/2019
    • [7]Συναφώς, τυγχάνουν εδώ εφαρμογής οι υπ΄ αριθ. 255/2017 κατευθυντήριες γραμμές της Ομάδας Εργασίας  του άρθρου 29 σχετικά με τη συγκατάθεση. ‘ARTICLE29 Newsroom – Guidelines on Consent under Regulation 2016/679 (wp259rev.01) – European Commission’, ημερομηνία πρόσβασης 1 Δεκέμβριος 2019, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
    • [8] όπως αυτή οριοθετείται από την Οδηγία ΕΚ 2002/58 και το άρθρο 11 του Ν. 3471/2006
    • [9] Ορ. άρθρο 5 παρ. 3 Ν. 3471/2006.
    • [10] Ορ. σχετ. απόφαση ΑΠΔΠΧ 51/2018, http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=64,30,245,14,250,206,129,84
    • [11] Οδηγία ΑΠΔΠΧ 1/2010
    • [12] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=50,73,143,76,63,114,10,147
    • [13] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=64,30,245,14,250,206,129,84
    • [14] άρθρο 2 περ. 7 του Ν.3471/2006
    • [15] https://www.dpa.gr/portal/page?_pageid=33,127423&_dad=portal&_schema=PORTAL
    • [16] άρθρο 11 παρ. 3 του Ν. 3471/2006
    • [17] Ορ. και ΑΠΔΠΧ 66/2018
    • [18] Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας Τσίπης,Γεώργιος, ‘Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας’.
    • [19] Καθώς είναι προφανές ότι τέτοιου είδους συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου μπορεί να υπαχθεί στο άρθρο 370Β΄ΠΚ, αφού με αυτήν το δίχως άλλο αποκτάται χωρίς δικαίωμα πρόσβαση σε ηλεκτρονικά δεδομένα, αλλά και στη διάταξη του άρθρου 38 του Ν.4624/2019, στο βαθμό που η συλλογή αφορά διευθύνσεις ΙΡ και ηλεκτρονικού ταχυδρομείου φυσικών προσώπων, που εμπίπτουν στην έννοια των προσωπικών δεδομένων Έτσι και Εμμανουήλ Μεταξάκης, ‘Η ποινική προστασία της διεύθυνσης ηλεκτρονικού ταχυδρομείιου, του ονόματος χρήστη, του κωδικού πρόσβασης και της διεύθυνσης διαδικτυακού πρωτοκόλλου’, 2014, ΞΔ 2014, 2014, 8., σύμφωνα με τον οποίο ακόμη και οι δυναμικές διευθύνσεις θα πρέπει να θεωρούνται προσωπικά δεδομένα, άποψη που υιοθέτησε και το ΔΕΕ στην C-582.14 Patrick Breyer vs Bundesrepublik Deutschland  (http://curia.europa.eu/juris/document/document.jsf?text=&docid=186346&pageIndex=0&doclang=EL&mode=req&dir=&occ=first&part=1&cid=6481564)
    • [20] Αυτό  μπορεί να συνιστά και το αδίκημα της απάτης μέσω υπολογιστή, εφόσον ο δράστης έχει σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος Έτσι και ‘ΜΕΤΑΞΑΚΗΣ ΠΟΙΝΔΙΚ 2015 681
    • [21] Κατά την ΑΠΔΠΧ, τα μηνύματα σπαμ μπορεί να περιέχουν εκτός των άλλων και :
    • -ένα κακόβουλο μήνυμα εξαπάτησης με στόχο την εξαγωγή προσωπικών δεδομένων (phishing), όπως ονόματα χρήστη, κωδικούς, αριθμούς πιστωτικής κάρτας, κ.λπ.
    • -ένα κακόβουλο μήνυμα με στόχο την οικονομική εξαπάτηση (scamming)
    • -μηνύματα φαινομενικά εμπορικά που παραπέμπουν σε ιστοσελίδες με κακόβουλο κώδικα (malware) , https://www.dpa.gr/portal/page?_pageid=33,127453&_dad=portal&_schema=PORTAL
    • [22] Κατά το άρθρο 3 του Ν. 3471/2006, οριοθετείται το πεδίο εφαρμογής του ως εξής: «1. Οι διατάξεις των άρθρων 1 έως 17 του παρόντος νόμου έχουν εφαρμογή κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση του απορρήτου των επικοινωνιών, στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών περιλαμβανομένων αυτών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη διαθεσίμων στο κοινό δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, εφαρμόζεται ο ν. 2472/1997 (Α`50), όπως ισχύει.»
    1. Ο ν. 2472/1997, όπως ισχύει, και οι εκτελεστικοί του άρθρου 19 του Συντάγματος νόμοι, όπως ισχύουν, εφαρμόζονται για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών, που δεν ρυθμίζεται ειδικότερα από τον παρόντα νόμο.».
    • [23] Ορ. σχετ. πρόσφατη υπ’ αριθ. 11/2019 απόφαση της ΑΠΔΠΧ, που σε παραβίαση του άρθρου 11 παρ. 1 του ν. 3471/2006, έκρινε  ότι «η Αρχή κρίνει ότι πρέπει να απευθύνει αυστηρή προειδοποίηση στο υπεύθυνο επεξεργασίας, με βάση το άρθρο 21 παρ. 1 εδαφ. α) του Ν 2472/1997, καθότι, σύμφωνα με το άρθρο 3 παρ. 1 και 2 του Ν 3471/2006, εφαρμογή στην προκειμένη περίπτωση έχει ο Ν 2472/1997 και όχι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679.»
    • [24]Αυτονοήτως, αυτό γίνεται δεκτό και από τη θεωρία και τους ακαδημαϊκούς: «Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών συνεχίζει να εφαρμόζεται ο ν. 2472/1997 (άρθρο 3 ν. 3471/2006). Η παραπάνω ρύθμιση σημαίνει πρώτα απ’ όλα ότι για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πεδίο των παρεχόμενων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ο ν. 3471/2006 υπερισχύει του ν. 2472/1997, συνεπώς εφαρμόζεται για τις παρεχόμενες στο κοινό υπηρεσίες επικοινωνίας μέσω του διαδικτύου»  ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΚΑΙ ΚΑΤΑΧΡΗΣΕΙΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΪΑΦΑ-ΓΚΜΠΑΝΤΙ, ‘ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΚΑΙ ΚΑΤΑΧΡΗΣΕΙΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ’, ΑΡΜΕΝΟΠΟΥΛΟΣ σ.1058.
    • [25]. Έτσι, επικρίθηκε η απόφαση 19/2008 της ΑΠΔΠΧ, η οποία εφάρμοσε και μνημόνευσε το Ν. 2472/1997, αν και εξέταζε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, υπαγόμενων στο πεδίο εφαρμογής του Ν.3471/2006: «Στη σχολιαζόμενη απόφαση γίνεται ρητά αναφορά σε στοιχεία και δεδομένα προσωπικού χαρακτήρα των «συνδρομητών» του Παρόχου, δηλαδή αναφέρεται στην ειδική κατηγορία δεδομένων των Οδηγιών 97/66/ΕΚ και 2002/58/ΕΚ. Παρά ταύτα, ουδεμία αναφορά γίνεται στο Ν 3471/2006, ούτε αιτιολογείται με ποια συλλογιστική καταλήγει κανείς στο συμπέρασμα ότι τα στοιχεία αυτά αποτελούν «απλά» δεδομένα προσωπικού χαρακτήρα του Ν 2472/1997, τη στιγμή κατά την οποία αφορούν συνδρομητές Παρόχου υπηρεσιών τηλεφωνίας και επομένως υπάγονται στις διατάξεις του Ν 3471/2006 και εφαρμόζονται μόνο οι εκεί προβλεπόμενοι κανόνες επεξεργασίας.» ‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 2/2008, Απρίλιος – Μάιος – Ιούνιος – Γ. Τσόλιας, Δεδομένα προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και «αντίστροφη αναζήτηση» αυτών για λόγους διακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων Εξ αφορμής της υπ’ αρ. 19/2008 απόφασης της ΑΠΔΠΧ’, ημερομηνία πρόσβασης 2 Δεκέμβριος 2019, https://www.nbonline.gr/journals/8/volumes/134/issues/478/lemmas/4639824.
    • [26]Μάλιστα, στην αναφερόμενη μελέτη, ο Γ.Τσόλιας κάνει λόγο για «ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα» στο Ν 3471/2006 σε αντιδιαστολή με τα «απλά δεδομένα» του Ν. 2472/1997 «1. Από τις διατάξεις του Ν 3471/2006 προκύπτει η τυποποίηση περισσότερων κατηγοριών δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών σε δημόσια δίκτυα και μόνον  :Στην πρώτη κατηγορία υπάγονται τα δεδομένα κίνησης και θέσης (άρθρο 2 παρ. 3, 4 και άρθρο 6). Στην ίδια κατηγορία, υπάγεται η περίπτωση των δεδομένων θέσης, τα οποία τυγχάνουν επεξεργασίας στο πλαίσιο της παροχής υπηρεσιών προστιθέμενης αξίας (άρθρο 2 παρ. 7 σε συνδυασμό με άρθρο 6 παρ. 3). Στη δεύτερη κατηγορία υπάγονται τα δεδομένα προσωπικού χαρακτήρα που παράγονται ή τυγχάνουν επεξεργασίας στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα, τα οποία όμως δεν αποτελούν δεδομένα κίνησης ή θέσης. Στην Αιτιολογική σκέψη υπ’ αρ. 15 της Οδηγίας 2002/58/ΕΚ γίνεται λόγος για την υπαγωγή του ονόματος, της αρίθμησης ή της διεύθυνσης στην έννοια των δεδομένων κίνησης , στοιχεία τα οποία συνδέονται με το γεγονός και τη μετάδοση της επικοινωνίας.»‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 2/2008, Απρίλιος – Μάιος – Ιούνιος – Γ. Τσόλιας, Δεδομένα προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και «αντίστροφη αναζήτηση» αυτών για λόγους διακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων Εξ αφορμής της υπ’ αρ. 19/2008 απόφασης της ΑΠΔΠΧ’.
    • [27] ο οποίος ρητά προβλέπει ότι εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου. (Αιτ. σκέψη 173 GDPR)
    • [28] «άρθρο 83 παρ. 1:Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του GDPR και του παρόντος.» Περαιτέρω, κατά την δεύτερη παράγραφο του ίδιου άρθρου «2. Οι οδηγίες και κανονιστικές πράξεις της Αρχής διατηρούνται σε ισχύ, εφόσον δεν προσκρούουν στον GDPR και στις ρυθμίσεις του παρόντος».
    • [29] Άρθρο 14 παρ. 2 Ν. 3471/2006
    • [30] βάσει της διατηρουμένης σε ισχύ διάταξης του άρθρου 21 του Ν. 2472/97 : Το άρθρο 84 του Ν. 4624/2019, διατήρησε σε ισχύ το άρθρο 21 του Ν. 2472/1997, που αφορά την επιβολή διοικητικών κυρώσεων σύμφωνα με το άρθρο 13 παράγραφος 4 του ν. 3471/2006
    • [31] http://www.dpa.gr/portal/page?_pageid=33,211532&_dad=portal&_schema=PORTAL
    • [32] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=47,129,81,44,214,237,129,37
    • [33] https://www.dpa.gr/portal/page?_pageid=33,127438&_dad=portal&_schema=PORTAL


Ασφάλεια υπολογιστών και προστασία της ιδιωτικότητας εν μέσω της πανδημίας COVID-19

Γράφει ο Γιάννης Κωνσταντινίδης*

Zούμε αδιαμφισβήτητα πρωτόγνωρες καταστάσεις. Ενώ φυσικά είναι προτεραιότητα να σωθούν ανθρώπινες ζωές και να περιοριστεί η εξάπλωση του κορωνοϊού, δεν πρέπει να ξεχνάμε τη σπουδαιότητα της θωράκισης μας ενάντια σε ψηφιακές απειλές. Γιατί δυστυχώς, αυτούς τους μήνες παρατηρούμε ότι αρκετοί επιτήδειοι χρησιμοποιούν την πανδημία ως «ευκαιρία» για να εξαπολύσουν επιθέσεις και απάτες μέσω του Διαδικτύου. Όπως θα δούμε στη συνέχεια μέσα από πραγματικά παραδείγματα, από τις κυβερνοεπιθέσεις σημειώνεται τεράστιο αρνητικό αντίκτυπο τόσο στους τελικούς χρήστες του Διαδικτύου όσο και στις κρίσιμες υποδομές που εστιάζουν στην αντιμετώπιση του COVID-19.

Σε αυτό το άρθρο, θα μελετήσουμε ορισμένα πρόσφατα γεγονότα κυβερνοασφάλειας και θα σχολιάσουμε τρόπους με τους οποίους μπορούμε να προστατευτούμε από αυτές. Όσοι εργάζεστε απομακρυσμένα από το σπίτι και χρησιμοποιείτε ψηφιακά εργαλεία τηλεσυνεργασίας και τηλεδιάσκεψης, είναι σημαντικό να ακολουθείτε τις διαδικασίες και κατευθυντήριες γραμμές που έχει θεσπίσει ο εργοδότης σας. Πρέπει να είμαστε εξαιρετικά προσεκτικοί στις ηλεκτρονικές επικοινωνίες (e-communications) και συναλλαγές (e-transactions) μας, γιατί άθελα μας μπορεί να εκθέσουμε τους εαυτούς μας ή/και άλλους.

Ηλεκτρονικό Ταχυδρομείο και SMS

Σε ένα περιστατικό, που δυνητικά «εκμεταλλεύεται» την παρούσα κατάσταση, οι επιτιθέμενοι υποδύονται στελέχη της Ελληνικής Αστυνομίας και αποστέλλουν αληθοφανή μηνύματα ηλεκτρονικού ταχυδρομείου (e-mails) σε υποψήφια θύματα τους. Το περιεχόμενο αυτών των μηνυμάτων έχει συνήθως αυστηρό ύφος, προσπαθεί να δημιουργήσει ένα κλίμα άγχους και προτρέπει τους χρήστες σε μία άμεση ενέργεια. Μέσα από τέτοιες επιθέσεις, οι επιτήδειοι προσπαθούν να παραπλανήσουν τους χρήστες και έχουν πιθανότατα ως απώτερο στόχο να μεταδώσουν κακόβουλο λογισμικό (malicious software) και να αποσπάσουν στοιχεία πιστωτικών καρτών, κωδικούς πρόσβασης σε ηλεκτρονικές υπηρεσίες και κοινωνικά δίκτυα, κ.α.

Στο παρακάτω στιγμιότυπο οθόνης, μπορούμε να δούμε στην πράξη το περιεχόμενο και τη δομή ενός μηνύματος που έφτασε απαρεμπόδιστα στο ηλεκτρονικό γραμματοκιβώτιο (e-mailbox).

Στο παράδειγμα αυτό, δυστυχώς το σύστημα ηλεκτρονικής αλληλογραφίας δεν κατόρθωσε να το χαρακτηρίσει αυτομάτως ως ανεπιθύμητο (spam). Επομένως, δεν πρέπει να βασιζόμαστε εξ’ ολοκλήρου στην παρουσία των προκαθορισμένων μηχανισμών ελέγχου. Χρειάζεται να είμαστε πάντοτε επιφυλακτικοί.

 

Κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο παρουσιάζεται ως επιστολή της Ελληνικής Αστυνομίας και περιλαμβάνει ύποπτο αρχείο.

Εξετάζοντας λίγο πιο προσεκτικά αυτό το μήνυμα, παρατηρούμε αρχικά ότι η διεύθυνση αποστολής είναι αληθοφανής. Το όνομα χώρου (domain name) που απεικονίζεται είναι το hellenicpolice.gr. Αυτό όμως δεν εξασφαλίζει σε καμία περίπτωση ότι το μήνυμα όντως στάλθηκε επίσημα από την υποδομή της Ελληνικής Αστυνομίας. Έπειτα, βλέπουμε ότι έχει γίνει επισύναψη (attach) ενός αρχείου με κατάληξη .iso που μάλλον δεν είναι κάτι που φυσιολογικά θα περιμέναμε. Ταυτόχρονα, παρατηρούμε ότι υπάρχουν ορθογραφικά λάθη και έλλειψη συνοχής σε αρκετά τμήματα του κειμένου. Τέλος, η επιστολή αυτή ούτε απευθύνεται σε κάποιο συγκεκριμένο άτομο ούτε αναφέρεται σε συγκεκριμένες καταστάσεις και αυτό κινεί αρκετά τις υποψίες.

H ανάγνωση της κεφαλίδας (header) ενός μηνύματος ηλεκτρονικής αλληλογραφίας μπορεί να μας βοηθήσει να κατανοήσουμε περισσότερες πληροφορίες σχετικά με την προέλευση του. Είναι ένας τρόπος που συχνά προδίδει τον επιτιθέμενο. Αυτή η μέθοδος προϋποθέτει ωστόσο κάποιες τεχνικές γνώσεις και σε αυτό το άρθρο δεν σκοπεύουμε να την αναλύσουμε περαιτέρω.

Η Ελληνική Αστυνομία, σε ανακοίνωση της, επιβεβαίωσε το περιστατικό. Φυσικά, παρόμοιες επιθέσεις έχουν εμφανιστεί σε πολλές ακόμη χώρες. Σε τέτοιου είδους απόπειρες προτείνεται η άμεση διαγραφή των μηνυμάτων και η επικοινωνία με τις διωκτικές αρχές εφόσον κρίνεται απαραίτητο.

Σε άλλα επεισόδια που αποτυπώθηκαν από υπηρεσίες κυβερνοασφάλειας του Ηνωμένου Βασιλείου και των Ηνωμένων Πολιτειών, επιθέσεις ηλεκτρονικού ψαρέματος (phishing) πραγματοποιούνται εξίσου μέσω SMS. Συγκεκριμένα, σε ένα μήνυμα που παρουσιάζεται ως επίσημη επικοινωνία της Κυβέρνησης του Ηνωμένου Βασιλείου, οι χρήστες προτρέπονται να επισκεφτούν σύνδεσμο που λέγεται ότι περιέχει πληροφορίες σχετικά με την καταβολή ενός υποτιθέμενου επιδόματος. Αντιθέτως, πρόκειται για παγίδα και οι επιτιθέμενοι επιθυμούν την υποκλοπή λογαριασμών χρηστών, τραπεζικών στοιχείων, κ.α. Πέραν αυτού, τέτοιες επικοινωνίες μπορεί να χρησιμοποιηθούν ως μέσο για επιθέσεις ransomware οι οποίες μπορεί να έχουν ολέθριες συνέπειες για τις υποδομές και τα άτομα που μάχονται ενάντια στον κορωνοϊό.

Απόπειρα ηλεκτρονικού ψαρέματος μέσω SMS που παρουσιάζεται ως επίσημη επικοινωνία της Κυβέρνησης του Ηνωμένου Βασιλείου (πηγή).

Τηλεργασία

Η εργασία από το σπίτι είναι ομολογουμένως δύσκολη, αν σκεφτούμε ότι ίσως να μοιράζονται πολλά άτομα τον ίδιο χώρο. Όμως, οι δραστηριότητες επεξεργασίας εμπιστευτικών ή προσωπικών δεδομένων είναι αναγκαίο να διεκπεραιώνονται σε ένα απομονωμένο μέρος λαμβάνοντας διαρκώς υπόψιν τις κατευθυντήριες γραμμές του εργοδότη και τηρώντας τη νομοθεσία. Δεν αποκαλύπτουμε τα δεδομένα σε όσους δεν έχουν αιτιολογημένη και εξουσιοδοτημένη πρόσβαση και ταυτόχρονα ορίζουμε τεχνικά μέτρα για την προστασία τους από πιθανούς επιτιθέμενους. Ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) έχει δημοσιεύσει συμβουλές κυβερνοασφάλειας για την εξ’ αποστάσεως εργασία. Επιπρόσθετες συμβουλές μπορούν μάλιστα να βρεθούν αναρτημένες σε σελίδα του Υπουργείου Ψηφιακής Διακυβέρνησης. Ιδιαίτερα σημαντικές είναι και οι πρόσφατες κατευθυντήριες γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας.

Σε προηγούμενο άρθρο είχε αναφερθεί ότι ακόμα και με το συνδυασμό HTTPS και TLS δεν παρέχεται προστασία απέναντι στην ανάλυση της δικτυακής κίνησης (network traffic analysis). Ένας κακόβουλος αναλυτής μπορεί να είναι σε θέση να παρακολουθήσει τη συμπεριφορά μας και να αντλήσει ουσιαστικές πληροφορίες. Με την αξιοποίηση κατάλληλα ρυθμισμένων εικονικών ιδιωτικών δικτύων (virtual private networks), τα δεδομένα περνούν κρυπτογραφημένα μέσα από «τούνελ» προτού φτάσουν στον εκάστοτε προορισμό καθιστώντας δυσκολότερη την ανίχνευση τους. Τους τελευταίους μήνες έχουν καταγραφεί ραγδαίες αυξήσεις στη χρήση VPNs σε παγκόσμιο επίπεδο. Βέβαια, η επιλογή παρόχων VPNs δεν είναι πάντα εύκολη υπόθεση καθώς μερικοί υποκύπτουν σε κυβερνοεπιθέσεις και άλλοι δε σέβονται την ιδιωτικότητα των χρηστών τους.

Διαθέτει ο εργοδότης μας υπηρεσία VPN; Λογισμικό κρυπτογράφησης; Ακολουθούμε την εκάστοτε προβλεπόμενη διαδικασία και ερχόμαστε σε επικοινωνία με το τμήμα τεχνικής υποστήριξης σε περίπτωση που αντιμετωπίσουμε πρόβλημα ή εάν έχουμε οποιουδήποτε είδους αμφιβολία.

Οι επικοινωνίες σε πραγματικό χρόνο (real-time communications) είναι καθοριστικές στο πλαίσιο της τηλεργασίας. Το FBI των ΗΠΑ έχει προειδοποιήσει για περιπτώσεις όπου άγνωστοι εισήλθαν σε ελεύθερα προσβάσιμες Διαδικτυακές τηλεδιασκέψεις και παρεμπόδισαν την ομαλή τους διεξαγωγή. Οι διοργανωτές των συνεδριών τηλεδιάσκεψης οφείλουν να ελέγχουν ποιοι εισέρχονται σε αυτές και να ορίζουν—όπου καθίσταται δυνατό—κωδικούς εισόδου και άλλα συναφή μέτρα. Προτιμούμε υπηρεσίες και εφαρμογές που προσφέρουν κρυπτογράφηση από-άκρο-σε-άκρο (end-to-end encryption) για τον περιορισμό φαινομένων διαρροής.

Μαθαίνουμε επίσης ότι περίπου πεντακόσιες χιλιάδες στοιχεία λογαριασμών της πλατφόρμας Zoom, γνωστής υπηρεσίας τηλεδιασκέψεων διοχετεύτηκαν στον σκοτεινό ιστό (dark web). Έναν παράγοντα αποτέλεσαν τα προβλέψιμα και αδύναμα συνθηματικά που χρησιμοποιούσαν οι χρήστες. Με τον ορισμό μακροσκελών και πολύπλοκων συνθηματικών και με την ενεργοποίηση—όπου είναι εφικτό—της αυθεντικοποίησης πολλαπλών παραγόντων (multi-factor authentication) διαφυλάσσουμε τους λογαριασμούς μας.

Συσκευές και Λογισμικό

Εμφανίστηκε μία νέα επίθεση που στοχεύει σε οικιακούς δρομολογητές (routers) και κατορθώνει να αλλάξει τις καταχωρημένες ρυθμίσεις DNS—θυμηθείτε ότι έχει γίνει σύντομη αναφορά στο DNS σε προηγούμενο άρθρο—με αποτέλεσμα ορισμένες φορές να ανακατευθύνει τους χρήστες σε διαφορετική σελίδα.

Εκεί, οι επιτιθέμενοι προτρέπουν στους χρήστες να εγκαταστήσουν μία υποτιθέμενη εφαρμογή του Παγκόσμιου Οργανισμού Υγείας (World Health Organization) που προσφέρει ενημέρωση και οδηγίες για τον κορωνοϊό. Στην πραγματικότητα, αποτελεί κακόβουλο λογισμικό με τελικό σκοπό την υποκλοπή κωδικών πρόσβασης και λοιπών πληροφοριών.

Σελίδα στην οποία ανακατευθύνεται ο χρήστης και προτρέπει τη λήψη μίας υποτιθέμενης εφαρμογής του Παγκόσμιου Οργανισμού Υγείας (πηγή).

Κάποιοι προσπαθούν να εκμεταλλευτούν την πιθανή ανησυχία των πολιτών σχετικά με την πανδημία και προωθούν «σκιώδεις» εφαρμογές. Απαιτείται μεγάλη προσοχή κάθε φορά που εγκαθιστούμε λογισμικό. Προτιμούμε να λαμβάνουμε αξιόπιστες εφαρμογές από τα προεπιλεγμένα καταστήματα εφαρμογών (application marketplaces) που αντιστοιχούν στη συσκευή/λειτουργικό σύστημα που χρησιμοποιούμε. Επιπλέον, φροντίζουμε να κρατάμε το λογισμικό μας ενημερωμένο και δε λαμβάνουμε ενημερώσεις από μη-εγκεκριμένες πηγές.

Τελικές Σκέψεις

Με την πανδημία COVID-19 να έχει εξαναγκάσει τους περισσότερους να βρίσκονται στο σπίτι και να χρησιμοποιούν υπηρεσίες του Διαδικτύου για επαγγελματικούς λόγους και για ψυχαγωγία, τα φαινόμενα ηλεκτρονικών επιθέσεων και εγκλημάτων έχουν αυξηθεί. Είναι σημαντικό να βρισκόμαστε σε διαρκή επαγρύπνηση ώστε να εντοπίζουμε και να αντιμετωπίζουμε αποτελεσματικά διάφορες απόπειρες. Ας μην ξεχνάμε βέβαια και όσους δεν έχουν τόσο μεγάλη εξοικείωση με τις νέες τεχνολογίες, παρέχοντας τους συμβουλές και καθοδήγηση σε προβλήματα που ίσως αντιμετωπίζουν.

Για περισσότερες πληροφορίες σχετικά με την προστασία των προσωπικών δεδομένων εν μέσω της πανδημίας του κορωνοϊού, μπορείτε να διαβάσετε το άρθρο της Ελπίδας Βαμβακάς και της Μαρίνας Ζαχαροπούλου. Παράλληλα, ο Ιωάννης Κροντήρης στο άρθρο του δίνει έμφαση στην κινητή τηλεφωνία και στις εφαρμογές ιχνηλάτησης.

*Ο Γιάννης Κωνσταντινίδης εργάζεται ως σύμβουλος σε θέματα κυβερνοασφάλειας και διαχείρισης επικινδυνότητας. Είναι απόφοιτος του Τμήματος Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου και νυν μεταπτυχιακός φοιτητής στον τομέα της Ηλεκτρονικής Διακυβέρνησης. Συμμετέχει επί έτη σε πολλαπλά έργα ελεύθερου και ανοικτού λογισμικού και δίνει ομιλίες σχετικά με θέματα ιδιωτικότητας και προστασίας δεδομένων, πνευματικών δικαιωμάτων και ανοικτών τεχνολογιών.


Προστασία προσωπικών δεδομένων κατά την παροχή υπηρεσιών υγείας

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc*

Σε μια εποχή που κρίνεται παραπάνω από επιτακτική η προστασία των προσωπικών δεδομένων, τίθεται το ερώτημα ποιος είναι ο ορθός τρόπος επεξεργασίας των δεδομένων των επισκεπτών σε μονάδες παροχής υπηρεσιών υγείας (πχ. νοσηλευόμενων σε Νοσοκομεία ή Κλινικές, επισκέπτες σε διαγνωστικά εργαστήρια κλπ.) και ποια είναι τα δικαιώματα τους, σύμφωνα και με τον ευρωπαϊκό Κανονισμό 679/2016 και την κείμενη νομοθεσία.

Λαμβάνοντας υπόψη ότι στην περίπτωση αυτή διακινούνται «ειδικές κατηγορίες δεδομένων», όπως ενδεικτικά δεδομένα που αφορούν την υγεία, γενετικά δεδομένα ή/και βιομετρικά δεδομένα του λήπτη των υπηρεσιών υγείας, είναι κρίσιμης σημασίας ο τρόπος της συνολικής επεξεργασίας των δεδομένων από τον πάροχο των υπηρεσιών, από την αρχική τους συλλογή, έως και την μετέπειτα διαχείριση και τήρηση τους στον ιατρικό φάκελο.

Ακεραιότητα και εμπιστευτικότητα δεδομένων

Σύμφωνα με την αρχή της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, ο επισκέπτης σε μονάδα παροχής υπηρεσιών υγείας θα αναμένει από την μονάδα να προστατεύσει τα προσωπικά του δεδομένα μέσω κατάλληλων οργανωτικών και τεχνικών μέτρων προστασίας, τόσο σε φυσικό επίπεδο (έντυπη πληροφορία) και ηλεκτρονικό επίπεδο (ηλεκτρονική πληροφορία), όσο και σε  επίπεδο προφορικής διαχείρισης της πληροφορίας.

Η παραπάνω υποχρέωση της μονάδας υγείας, με την ιδιότητα του «υπευθύνου επεξεργασίας» των δεδομένων, προκύπτει από το άρθρο 32 του ΓΚΠΔ, σχετικά με την διασφάλιση του απορρήτου και την ασφάλεια της επεξεργασίας των προσωπικών δεδομένων.

Τα κατάλληλα οργανωτικά και τεχνικά μέτρα αφορούν την γενικότερη οργάνωση και λειτουργία της μονάδας σχετικά με θέματα προστασίας δεδομένων, όπως ενδεικτικά την ύπαρξη σχετικών διαδικασιών και εσωτερικών δικλείδων ασφαλείας, την ύπαρξη ρητρών εμπιστευτικότητας προσωπικού καθώς και την εκπαίδευση του, την συνολική συμμόρφωση της μονάδας υγείας με τον ΓΚΠΔ κλπ. Με αυτόν τον τρόπο, μπορούν να ελαχιστοποιηθούν οι πιθανότητες μιας «μη εξουσιοδοτημένης πρόσβασης ή τυχαίας αποκάλυψης δεδομένων», όπως και μιας «μη εξουσιοδοτημένης ή τυχαίας αλλαγής δεδομένων», σύμφωνα με το άρθρο 5 του ΓΚΠΔ.

Ορισμένα από τα σημαντικότερα δικαιώματα του λήπτη υπηρεσιών υγείας

Ο λήπτης υπηρεσιών υγείας θα πρέπει να γνωρίζει ποια είναι τα δικαιώματα του  σύμφωνα με τον ΓΚΠΔ και να αναμένει από την μονάδα υγείας να είναι σε θέση να τα εξυπηρετήσει, όποτε προκύψει η ανάγκη:

Ενημέρωση σχετικά με την προστασία δεδομένων

Η επεξεργασία των δεδομένων συνήθως ξεκινάει από την επίσκεψη του ασθενή ή εξεταζόμενου στην μονάδα παροχής υπηρεσιών υγείας και, συγκεκριμένα, κατά την εισαγωγή των στοιχείων του στο ηλεκτρονικό πρόγραμμα της μονάδας από την γραμματεία υποδοχής ή το γραφείο κίνησης. Σε ορισμένες περιπτώσεις, η επεξεργασία μπορεί να έχει ήδη ξεκινήσει πριν από την πρώτη επίσκεψη, όπως για παράδειγμα στην περίπτωση ασφαλισμένων σε ιδιωτικές ασφαλιστικές εταιρίες, όπου προηγούνται επικοινωνίες μεταξύ της μονάδας, του ασθενή και της ασφαλιστικής του εταιρίας.

Λαμβάνοντας υπόψη την αρχή της νομιμότητας, της αντικειμενικότητας και της διαφάνειας (άρθρο 5 του ΓΚΠΔ), ο ασθενής / επισκέπτης, με την ιδιότητα του «υποκειμένου των δεδομένων», θα πρέπει κατά την φάση της εισαγωγής και πριν την έναρξη παροχής της υπηρεσίας, να ενημερώνεται από την μονάδα υγείας για την επικείμενη επεξεργασία προσωπικών δεδομένων.

Η ενημέρωση θα πρέπει:

– να πραγματοποιείται με απλό, σαφή και κατανοητό τρόπο, μέσω σχετικού ενημερωτικού εντύπου και

-να περιλαμβάνει όλες τις απαραίτητες πληροφορίες για την ταυτότητα και τα στοιχεία επικοινωνίας της μονάδας υγείας, τις σχετικές κατηγορίες δεδομένων, τους τρόπους και τους σκοπούς της επεξεργασίας των δεδομένων, τους πιθανούς αποδέκτες των δεδομένων, τα δικαιώματα του ασθενή / επισκέπτη, τις υποχρεώσεις της μονάδας υγείας, το χρονικό διάστημα στο οποίο θα αποθηκευτούν τα δεδομένα κλπ.

Δεδομένου ότι η νομική βάση για την επεξεργασία των προσωπικών δεδομένων στην εξεταζόμενη περίπτωση είναι η παροχή ιατρικών υπηρεσιών, η εν λόγω ενημέρωση δεν συνιστά λήψη συγκατάθεσης από τον επισκέπτη (άρθρο 9.2 του ΓΚΠΔ).

Ωστόσο, απαιτείται ξεχωριστή λήψη συγκατάθεσης σε περίπτωση περαιτέρω επεξεργασίας των δεδομένων για ειδικούς σκοπούς (πχ. λήψη προσωπικής ηλεκτρονικής διεύθυνσης για μελλοντική αποστολή Newsletter κλπ.).

Πρόσβαση στον ιατρικό φάκελο

Μετά την παροχή της υπηρεσίας, ο λήπτης της υπηρεσίας έχει το δικαίωμα να αιτηθεί αντίγραφα των δεδομένων του που σχετίζονται με την πορεία της υγείας του, όπως ενδεικτικά πρακτικό ιατρικής επέμβασης, αποτελέσματα ιατρικών εξετάσεων κλπ. Η πρόσβαση στα δεδομένα θα πρέπει να είναι απρόσκοπτη, χωρίς χρέωση και κατόπιν έγγραφης αίτησης του αιτούντα προς την μονάδα υγείας. Πολύ σημαντική είναι η ταυτοπροσωπία, τόσο κατά την διάρκεια της παραλαβής του αιτήματος, όσο και κατά την παράδοση των αντιγράφων από το ιατρικό αρχείο.

Δικαίωμα  στη Λήθη (διαγραφή)

Ο λήπτης των υπηρεσιών υγείας έχει το δικαίωμα να ζητήσει από την μονάδα υγείας τη διαγραφή των προσωπικών του δεδομένων, αλλά, σε κάθε περίπτωση, όχι πριν τα 10 χρόνια για την πρωτοβάθμια περίθαλψη ή 20 χρόνια για την δευτεροβάθμια περίθαλψη, από την τελευταία του επίσκεψη (άρθρο14 Ν.3418/2005 – Κώδικας Ιατρικής Δεοντολογίας).

Περιορισμός της επεξεργασίας

Ο λήπτης των υπηρεσιών υγείας θα αναμένει από την μονάδα υγείας να τηρεί την αρχή της ελαχιστοποίησης και του περιορισμού της επεξεργασίας των δεδομένων, συλλέγοντας και αποθηκεύοντας τα απολύτως απαραίτητα δεδομένα που απαιτούνται για την επιτυχή έκβαση της θεραπείας ή ιατρικής εξέτασης και τίποτα παραπάνω.

Παραδείγματα κατά την εξυπηρέτηση ασθενή / εξεταζόμενου

Η υλοποίηση όλων των απαραίτητων οργανωτικών και τεχνικών μέτρων από την μονάδα υγείας, θα πρέπει να εφαρμόζονται πριν την έναρξη της παροχής υπηρεσίας υγείας, κατά την διάρκεια αυτής, αλλά και μετά την λήξη της παροχής υπηρεσίας.

-Πριν την νοσηλεία

Για παράδειγμα, πριν μια από νοσηλεία σε Νοσοκομείο ή Κλινική, μπορεί να έχουν προηγηθεί επικοινωνίες και ενημερώσεις μεταξύ του «υποκειμένου» και της μονάδας υγείας, να έχουν πραγματοποιηθεί προεγχειρητικοί έλεγχοι ή/και υπογραφεί έντυπα (πχ. συγκατάθεση για ιατρική πράξη), να εμπλέκεται ασφαλιστική εταιρία ή λοιποί διαμεσολαβητές κλπ. Καθότι το «ταξίδι» των προσωπικών δεδομένων του επικείμενου πελάτη (απλές και ειδικές κατηγορίες δεδομένων) έχει ήδη ξεκινήσει, προκύπτει λοιπόν από τα πρώτα κιόλας στάδια η ανάγκη προσεκτικής φύλαξης από την μεριά του Νοσοκομείου / Κλινικής των δεδομένων σε φυσική ή /και ηλεκτρονική μορφή, η προσοχή κατά την πιθανή επανάκληση στο τηλέφωνο για παροχή πληροφοριών (προς τον αιτούντα), γενικότερη μέριμνα για ασφαλείς  επικοινωνίες  (ηλεκτρονικά, τηλεφωνικά, έντυπα, fax), καθώς και τήρηση όλων των κανόνων ασφαλείας κατά την πιθανή επικοινωνία με τρίτα μέρη ή/και διαμεσολαβητές (ασφαλιστικές εταιρίες, εξουσιοδοτημένοι εκπρόσωποι του επικείμενου πελάτη κλπ.).

-Κατά την διάρκεια της νοσηλείας

Από την φάση της εισαγωγής και της ενημέρωσης του νοσηλευόμενου, την προετοιμασία για ιατρική πράξη / επέμβαση και την υλοποίηση αυτής, την ανάνηψη του και την μετέπειτα μεταφορά του σε θάλαμο νοσηλείας, την γενικότερη «εξυπηρέτηση» του νοσηλευόμενου κατά την περίοδο της ανάρρωσης του έως και το εξιτήριο του,  το Νοσοκομείο / η Κλινική πρέπει να μεριμνά διαρκώς για την προστασία κάθε μορφής προσωπικών δεδομένων του νοσηλευόμενου, όπως αυτά συλλέγονται σε κάθε στάδιο.

Ενδεικτικά και όχι περιοριστικά, αποφυγή προσφώνησης του σε κοινόχρηστους χώρους με το ονοματεπώνυμο του, προσεκτική διαχείριση των έντυπων και ηλεκτρονικών του δεδομένων σε κάθε φάση της νοσηλείας του (πχ. προσεκτικός τρόπος μετακίνησης φακέλου ασθενή από τμήμα σε τμήμα, προστασία υπηρεσιακών βιβλίων και εντύπων στις στάσεις νοσηλείας, προσεκτική τήρηση και διαβίβαση ηλεκτρονικών δεδομένων μέσω του συστήματος ή/και με e-mail κλπ.), αποτελεσματική αντιμετώπιση ιδιαιτεροτήτων κατά την νοσηλεία και το επισκεπτήριο (με την παρουσία κόσμου), προσεκτική αποστολή βιολογικών δειγμάτων σε τρίτα εργαστήρια, προσεκτική αποστολή δεδομένων σε ασφαλιστικά ταμεία και άλλες δημόσιες υπηρεσίες (πχ. ληξιαρχεία, ινστιτούτο υγείας του παιδιού κλπ.),προσεκτική αποστολή δεδομένων σε άλλα νοσηλευτικά ιδρύματα ή/και ιατρούς (εφόσον κριθεί αναγκαίο για την υγεία του νοσηλευόμενου), ενημέρωση για ύπαρξη και λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV) για την προστασία προσώπων και αγαθών κλπ.

-Μετά το εξιτήριο

Όπως αναφέρθηκε, θα πρέπει η μονάδα υγείας να μπορέσει να εξυπηρετήσει το «υποκείμενο» και μετά την νοσηλεία του, όπως να του προσκομίζει αντίγραφα από τον ιατρικό του φάκελο, κατόπιν αιτήματος του. Η υποχρέωση τήρησης ιατρικού αρχείου και τα κατάλληλα μέτρα φύλαξης του, αλλά και η ενδεδειγμένη καταστροφή του μετά την απαιτούμενη περίοδο διακράτησης (πχ. καταστροφή φυσικού αρχείο σε καταστροφέα εγγράφων, διαγραφή ηλεκτρονικού αρχείου και κάθε αντίγραφου σε άλλα ηλεκτρονικά μέσα αποθήκευσης κλπ.), θα πρέπει να θεωρούνται αυτονόητα από την μεριά της μονάδας υγείας, σύμφωνα και με τις αρχές της ακεραιότητας, της εμπιστευτικότητας και της απαίτησης για διασφάλιση του απορρήτου και της ασφάλειας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

* Ο Δημοσθένης Κωστούλας, Quality Manager και DPO στην Κλινική ΓΕΝΕΣΙΣ στην Θεσσαλονίκη, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, αποτελεί γενικό γραμματέα και μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professionals (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές:

    • Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
    • Υπουργείο Υγείας της Ελληνικής Δημοκρατίας (Ιούλιος 2018), Οδηγός Προετοιμασίας – Βασικές Κατευθύνσεις, Αθήνα, 1η Έκδοση
    • https://www.moh.gov.gr/articles/gdpr/5667-syxnes-erwthseis
    • https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL


Fake News και Κορονοϊός

Γράφει η Καλλιόπη Τερζίδου*

Η πανδημία του κορονοϊού χαρακτηρίζεται όχι μόνο από την ταχεία εξάπλωση του ιού και την αδυναμία άμεσης αντιμετώπισης του αλλά και από την ταχύτητα εξάπλωσης σχετικών fake news. Ψευδείς  και αβάσιμες πληροφορίες διαδίδονται μέσω ιστοσελίδων, μέσων κοινωνικής δικτύωσης και blogs.

Η ευκολία δημοσίευσης και κοινοποίησης τους από οποιοδήποτε μέρος, σε οποιαδήποτε στιγμή εγγυάται τη διάδοση τους σε μεγαλύτερο κοινό αποδεκτών και την αύξηση του ποσοστού παραπληροφόρησης.

Σκέψου πόσες φορές έχεις δει στην αρχική σελίδα ειδήσεις για νέες θεραπείες, θαυματουργά φάρμακα και θεωρίες συνωμοσίας για τη διάδοση του κορονοϊού.

Η πλειοψηφία των ψευδών ειδήσεων γύρω από τον ιό αφορά πιθανές αιτίες εμφάνισης, τρόπους διάδοσης, ενδεχόμενες θεραπείες και προληπτικά μέτρα.

Μεταξύ άλλων, έχει ακουστεί ότι ο ιός είναι προϊόν Κινεζικών εργαστηριακών πειραμάτων, ότι διαδόθηκε από Αμερικανούς στρατιώτες, ότι μεταδίδεται μέσω κουνουπιών, ότι δεν επιβιώνει σε υψηλές θερμοκρασίες ή ότι αντιμετωπίζεται με απλά αντιβιοτικά.

Αίτια έξαρσης των fake news

Γενικότερα, το διαδίκτυο προσφέρει εύκολη και γρήγορη πρόσβαση σε ένα μεγάλο όγκο πληροφοριών, γεγονός που εκμεταλλεύονται διάφορες online εκδόσεις εντύπων και ιδιώτες δημοσιεύοντας κείμενα με υπερβολικούς τίτλους για να δελεάσουν το κοινό, τεχνική γνωστή και ως clickbait.

Όσο πιο πολλές ψευδείς ειδήσεις διαβάζουμε στο διαδίκτυο τόσο πιο πολύ σχετικό περιεχόμενο εμφανίζεται ως προτεινόμενο.

Ειδικά όμως σε περίοδο πανδημίας, η κατάσταση πανικού που προκαλεί η εξάπλωση του ιού και η έλλειψη σχετικών βιωμάτων που θα έδιναν μια κατεύθυνση στην αντιμετώπιση του καθιστά τον κόσμο επιρρεπή σε παραπλανητικές ειδήσεις.

Η ασυμφωνία και ποικιλία απόψεων ειδικών του ιατρικού κλάδου για την εξάλειψη του ιού δημιουργεί αυτόματα μια αίσθηση δυσπιστίας, ανασφάλειας και εν τέλει επιφύλαξης στις δηλώσεις εκπροσώπων δημόσιων αρχών. Επιπρόσθετα, η δυσκολία του κοινού να κατανοήσει τη διάσταση της κατάστασης οδηγεί στην υποτίμηση του κίνδυνου για τη δημόσια υγεία.

Έτσι, ο κόσμος ταυτίζεται περισσότερο με ειδήσεις που αμφισβητούν την  ύπαρξη του κινδύνου και την αποτελεσματικότητα των προληπτικών μέτρων. Το γεγονός αυτό εντείνεται από τη δραστική αλλαγή στη ρουτίνα και εν γένει στον τρόπο ζωής των ανθρώπων που προκάλεσε η αυστηροποίηση των μέτρων.

Επιπτώσεις αποδοχής ψευδών ειδήσεων

Η αποδοχή αναπόδεικτων τρόπων θεραπείας και η κατανάλωση εναλλακτικών «φαρμάκων» μπορούν να οδηγήσουν ακόμα και σε θανατηφόρα αποτελέσματα.

Γνωστή είναι η περίπτωση του θανάτου άντρα μετά την κατανάλωση ποσότητας υγρού για τον καθαρισμό ενυδρείων το οποίο περιείχε μεταξύ άλλων χλωροκίνη, ουσία που χρησιμοποιείται σε πειραματικό ακόμα στάδιο και χορηγείται με το συνδυασμό άλλων ουσιών για την προσωρινή αντιμετώπιση του κορονοϊού ελλείψει εμβολίου.

Πιθανή είναι και η δημιουργία αισθήματος ρατσισμού και ξενοφοβίας. Ήδη από τις απαρχές της εμφάνισης του ιού, άτομα Κινεζικής προέλευσης αντιμετωπίζουν τη διάκριση και την περιθωριοποίηση έξω από την Κίνα. Αντιδράσεις όπως αυτή του Αμερικανού Προέδρου Τραμπ, ο οποίος αναφέρεται στον κορονοϊό ως «ο Κινέζικος ιός», ενθαρρύνουν ανάλογες συμπεριφορές. Ρατσισμό βιώνουν και άτομα που είναι γνωστό ότι εκτέθηκαν ή έχουν αναρρώσει από τον ιό και, ως εκ τούτου, περιθωριοποιούνται από τους γνωστούς τους εξαιτίας του φόβου μετάδοσης της ασθένειας.

Μέθοδοι αντιμετώπισης του φαινομένου

Ο Ποινικός Κώδικας αντιμετωπίζει τη διάδοση ψευδών ειδήσεων. Σύμφωνα με το άρθρο 191 (1), “όποιος δημόσια ή μέσω του διαδικτύου διαδίδει ή διασπείρει με οποιονδήποτε τρόπο ψευδείς ειδήσεις με αποτέλεσμα να προκαλέσει φόβο σε αόριστο αριθμό ανθρώπων ή σε ορισμένο κύκλο ή κατηγορία προσώπων, που αναγκάζονται έτσι να προβούν σε μη προγραμματισμένες πράξεις ή σε ματαίωσή τους, με κίνδυνο να προκληθεί ζημία στην οικονομία, στον τουρισμό ή στην αμυντική ικανότητα της χώρας ή να διαταραχθούν οι διεθνείς της σχέσεις, τιμωρείται με φυλάκιση έως τρία έτη ή χρηματική ποινή.”

Ωστόσο, ο πιο απλός και αποτελεσματικός τρόπος για τη λύση του προβλήματος είναι η ευαισθητοποίηση και ενημέρωση όλων μας. Ακολουθούν μερικά βήματα για την ορθή αξιολόγηση των πηγών και των πληροφοριών που διαβάζουμε εν μέσω της πανδημίας:

  • Συγγραφέας

Η ιδιότητα του συγγραφέα είναι σημαντικό στοιχείο για την εγκυρότητα της ενημέρωσης, που είναι πιο πιθανή αν η είδηση προέρχεται από εθνικές αρχές δημόσιας υγείας, περιφερειακούς οργανισμούς όπως το Ευρωπαϊκό Κέντρο Πρόληψης και Ελέγχου Νόσων (ECDC) ή ο Παγκόσμιος Οργανισμός Υγείας (ΠΟΥ) και αναγνωρισμένους επιστήμονες.

Η προσέγγιση πρέπει να γίνεται πάντα με κριτικό πνεύμα, καθώς δεν υπάρχει μέχρι στιγμής κοινή αντιμετώπιση του ιού από την επιστημονική κοινότητα ενώ ακόμα και εκπρόσωποι του κράτους μπορεί να μεταδίδουν σκοπίμως ή άθελα ψευδείς ειδήσεις.

  •  Χώρος δημοσίευσης

Αν πρόκειται για μια απλή ανάρτηση σε ιστότοπους κοινωνικής δικτύωσης, όπως το Facebook και το Twitter, θα ήταν καλύτερο το περιεχόμενο της δημοσίευσης να αντιμετωπίζεται ως γνώμη παρά ως είδηση. Αν πάλι η ανάρτηση έχει γίνει σε ιστοσελίδα αναγνωρισμένου παρόχου ειδήσεων, όπως το Reuters, τότε η αξιοπιστία της είναι πολύ μεγαλύτερη.

  • Ποιότητα κειμένου

Πριν την ανάρτηση κειμένων σε έγκυρες ιστοσελίδες, το περιεχόμενο τους ελέγχεται από την εκάστοτε συντακτική ομάδα ώστε το τελικό προϊόν να είναι ευανάγνωστο και το μήνυμα του να μεταδίδεται με επιτυχία στον αναγνώστη. Αν, για παράδειγμα, το κείμενο παρουσιάζει ορθογραφικά και συντακτικά λάθη ή χρησιμοποιούνται πολλά σημεία στίξης και πολλές λέξεις σε κεφαλαία γράμματα, τότε ίσως η πηγή να μην είναι αξιόπιστη.

  •  Λεπτομέρειες κειμένου

Η ανάρτηση περιέχει ή συνίσταται πολλές φορές σε φωτογραφίες και βίντεο. Οι λεπτομέρειες των μέσων αυτών μπορεί να αποκαλύπτουν τη βασιμότητα ή μη της είδησης. Ένα στοιχείο στο background του βίντεο ή τα metadata της φωτογραφίας μπορεί να  φανερώσουν την πραγματική τοποθεσία και ημερομηνία των γεγονότων που εκτυλίσσονται.

  • Ημερομηνία δημοσίευσης

Μια ανάρτηση μπορεί να αποτελεί απλά αναδημοσίευση ενός παλαιότερου post στην ίδια ή διαφορετική ιστοσελίδα. Υπάρχουν sites που εξειδικεύονται στην αναπαραγωγή ειδήσεων ή λογαριασμοί που έχουν δημιουργηθεί από αλγόριθμους και λειτουργούν μέσω bots. Στην τελευταία περίπτωση, είναι χρήσιμο να ελέγχουμε αν ο λογαριασμός είναι επαληθευμένος, αν υπάρχει σύνδεσμος σε επίσημη ιστοσελίδα και, σε ορισμένες περιπτώσεις, στους πόσους αριθμούνται οι ακόλουθοι του για την εξακρίβωση της αξιοπιστίας του.

  • Πηγές

Η ενσωμάτωση πηγών στις υποσημειώσεις του κειμένου υποστηρίζει περαιτέρω τα αναφερθέντα επιχειρήματα. Μια χρήσιμη πρακτική είναι η αντίστροφη αναζήτηση πηγών και φωτογραφιών ή βίντεο για τον έλεγχο της ορθής χρήσης τους στο κείμενο. Προβληματισμό δημιουργεί η έλλειψη πηγών όταν χρησιμοποιούνται αποσπάσματα από ανακοινώσεις δημόσιων φορέων.

Βέβαια, είναι πιο δύσκολο να εφαρμοστεί η συγκεκριμένη προσέγγιση σε ιστοσελίδες κοινωνικής δικτύωσης, όπου ένα post συνήθως δεν αναφέρεται σε πηγές. Για αυτόν το λόγο θα πρέπει να αντιμετωπίζουμε σχετικές αναρτήσεις πιο κριτικά και να ελέγχουμε τη βασιμότητα τους ψάχνοντας για σχετικό περιεχόμενο στο διαδίκτυο.

  • Fact-checking

Υπάρχουν ιστοσελίδες που ειδικεύονται στη διασταύρωση των πληροφοριών που περιέχονται στις δημοσιεύσεις, όπως οι FactCheck.org, International Fact-Checking Network (IFCN), PolitiFact.com και Snopes.com. Οι συγκεκριμένες ιστοσελίδες είναι διαθέσιμες για δωρεάν χρήση από το κοινό.

  • Αναφορά δημοσίευσης ως ακατάλληλου περιεχομένου

Τα μέσα κοινωνικής δικτύωσης δίνουν τη δυνατότητα αναφοράς δημοσίευσης με ακατάλληλο ή προσβλητικό περιεχόμενο. Η αναφορά είναι ανώνυμη και συμβάλλει στην αποτροπή της εξάπλωσης της παραπληροφόρησης.

Η απάντηση της ΕΕ

H Ευρωπαϊκή Επιτροπή (EC) έλαβε μέτρα για την αντιμετώπιση της παραπληροφόρησης, συνιστώντας σε όλους να τηρούν τις συμβουλές και τις ενημερώσεις που προέρχονται απευθείας από αξιόπιστες πηγές. Στη σελίδα “Καταπολέμηση της παραπληροφόρησης” απαριθμούνται αξιόπιστες πληροφορίες σχετικά με τη βαρύτητα του ιού, τη διαθεσιμότητα μιας θεραπείας και άλλα ζητήματα σε σχέση με τον κορονοϊό.

Περαιτέρω, η ομάδα εμπειρογνωμόνων υψηλού επιπέδου (Ηigh-level group of experts) της Ευρωπαϊκής Επιτροπής δημοσίευσε το Μάρτιο του 2018 έκθεση για στρατηγικές πρωτοβουλίες στην αντιμετώπιση των ψευδών ειδήσεων και της παραπληροφόρησης στο διαδίκτυο. Η έκθεση περιέχει μια σειρά από λύσεις με σημείο αναφοράς, μεταξύ άλλων, τις  αρχές της διαφάνειας, ορθής πληροφόρησης, ελευθερίας έκφρασης χρηστών του διαδικτύου και δημοσιογραφικής ελευθερίας.

Λύσεις από τον ιδιωτικό τομέα

Με αφορμή την έξαρση των fake news και τη διάδοση τους, σε μεγάλο ποσοστό, μέσω των μέσων κοινωνικής δικτύωσης, εταιρίες όπως οι Facebook, Twitter και Google εφαρμόζουν ειδικά μέτρα καταστολής σχετικών δημοσιεύσεων.

Οι εταιρίες «κατεβάζουν» αναρτήσεις με ανακριβές και αβάσιμο περιεχόμενο. Το Twitter έχει αναθεωρήσει την πολιτική καταπολέμησης fake news γύρω από τον ιό ενώ το Facebook διαγράφει αναρτήσεις με παραπλανητική ενημέρωση για πιθανές θεραπείες η εφαρμογή των οποίων μπορεί να οδηγήσουν σε βλάβες στη σωματική ακεραιότητα.

Αντίστοιχα, το WhatsApp περιόρισε το όριο του αριθμού συνομιλιών στις οποίες μπορούν να κοινοποιηθεί ταυτόχρονα viral περιεχόμενο και το YouTube διαγράφει βίντεο που παρουσιάζουν τον κορονοϊό ως επίπτωση ανάπτυξης του δίκτυού 5G.

Η συγκεκριμένη στρατηγική δε χωρεί εξαιρέσεις αφού απευθύνεται ακόμα και σε αρχηγούς κρατών. Το Facebook, συγκεκριμένα, διέγραψε βίντεο που ανήρτησε ο Πρόεδρος της Βραζιλίας Μπολσονάρου στο οποίο ισχυριζόταν ότι η ουσία της υδροξυχλωροκίνης ήταν απόλυτα αποτελεσματική στην καταπολέμηση του ιού.

Ένας ακόμη τρόπος καταστολής fake news από τις ιστοσελίδες κοινωνικής δικτύωσης θα ήταν η προτεραιοποίηση έγκυρων πηγών πληροφόρησης, χρησιμοποιώντας φίλτρα για τον εντοπισμό ψευδών ειδήσεων και την οριστική διαγραφή τους από την πλατφόρμα. Η συνεργασία μεταξύ περισσότερων εταιριών είναι εξίσου σημαντική για τη γνωστοποίηση λογαριασμών που «ειδικεύονται» στις ψευδείς ειδήσεις.

Κίνδυνοι στην ελευθερία έκφρασης και πληροφόρησης

Oποιοδήποτε περιοριστικό μέτρο πρέπει να εξετάζεται υπό το φως της αρχής της αναλογικότητας υπό ευρεία έννοια με νόμιμο σκοπό την καταπολέμηση των fake news

Η διαγραφή δημοσιεύσεων στα μέσα κοινωνικής δικτύωσης από τις ίδιες τις εταιρείες δύναται, σε ορισμένες περιπτώσεις, να αποτελέσει δυσανάλογο μέτρο με σοβαρές συνέπειες στην άσκηση της ελευθερίας έκφρασης. Από την άλλη μεριά,  η ύπαρξη και διάδοση ψευδών ειδήσεων αποτελεί περιορισμό του δικαιώματος στην πληροφόρηση που κατοχυρώνεται σε διεθνείς συνθήκες, όπως το Διεθνές Σύμφωνο για τα Ατομικά και Πολιτικά Δικαιώματα (Άρθρο 19), την Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου (Άρθρο 10) και τον Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ (Άρθρο 11), υπό την ελευθερία της έκφρασης. Το Σύνταγμα της Ελλάδας κατοχυρώνει συγκεκριμένα το δικαίωμα στην πληροφόρηση στο Άρθρο 5Α.

Περιορισμοί της ελευθερίας έκφρασης εξηγούνται στο μέτρο που προφυλάσσουν το κοινό από ενδεχόμενη παραπλάνηση εξαιτίας της αβασιμότητας των ειδήσεων.

Το Ευρωπαϊκό Δικαστήριο Δικαιωμάτων του Ανθρώπου δήλωσε στην υπόθεση Bowman κατά Ηνωμένου Βασιλείου ότι σε προεκλογική περίοδο και κατά τη διεξαγωγή εκλογών μπορεί να θεωρηθεί αναγκαία «η επιβολή συγκεκριμένων περιορισμών, που σε διαφορετική περίπτωση θα ήταν απαράδεκτη, στην ελευθερία της έκφρασης» έτσι ώστε να εξασφαλιστεί «η ελευθερία έκφρασης της γνώμης στην επιλογή νομοθεσίας». Μια αναλογική εφαρμογή στο φαινόμενο των fake news θα περιόριζε την ελευθερία έκφρασης χρηστών που δημοσιεύουν ψευδείς ειδήσεις προς διασφάλιση της ποιοτικής και έγκυρης πληροφόρησης του κοινού.

Σε κάθε περίπτωση, οποιοδήποτε περιοριστικό μέτρο πρέπει να εξετάζεται υπό το φως της αρχής της αναλογικότητας υπό ευρεία έννοια με νόμιμο σκοπό την καταπολέμηση των fake news.

Πιο συγκεκριμένα, το μέτρο πρέπει να είναι κατάλληλο για να επιτευχθεί ο σκοπός της εξάλειψης των ψευδών ειδήσεων. Περαιτέρω, το μέτρο πρέπει να είναι αναγκαίο, δηλαδή να μην υπάρχει ηπιότερο μέτρο που θα μπορούσε να εφαρμοστεί εναλλακτικά στη συγκεκριμένη περίπτωση. Τέλος, σύμφωνα με την αρχή της αναλογικότητας υπό τη στενή έννοια του όρου, πρέπει να επιτευχθεί ισορροπία μεταξύ των αντιτιθέμενων δικαιωμάτων, δηλαδή της ελευθερίας της έκφρασης των χρηστών του διαδικτύου κατά την ανάρτηση περιεχομένου και του δικαιώματος στην ορθή πληροφόρηση του κοινού που συνεπάγεται την προστασία του από παραπλανητικές ειδήσεις.

Αντί επιλόγου

Η πανδημία του κορονοϊού ανέδειξε περισσότερο από ποτέ την ανάγκη συλλογικής προσπάθειας για την αντιμετώπιση του ιού. Η πρωτοβουλία Μένουμε Σπίτι έχει στόχο τη διατήρηση ενός ασφαλούς περιβάλλοντος απαλλαγμένου από τον ιό. Τι γίνεται όμως με το online περιβάλλον που είναι γεμάτο από fake news απειλώντας το δικαίωμα μας στην ορθή πληροφόρηση;

Ο πιο αποτελεσματικός τρόπος περιορισμού των ψευδών ειδήσεων είναι λοιπόν η συνεργασία. Το πρώτο βήμα είναι να αντιληφθούμε ότι η δημοσίευση και αναπαραγωγή περιεχομένου αμφίβολης εγκυρότητας αυξάνει τον κίνδυνο παραπληροφόρησης. Αλλά και αργότερα όταν ερχόμαστε αντιμέτωποι με τέτοιες «ειδήσεις» πρέπει να τις αντιμετωπίζουμε κριτικά, ακολουθώντας τα παραπάνω βήματα για την επαλήθευση της εγκυρότητας τους.

*Η Καλλιόπη Τερζίδου είναι απόφοιτος της Νομικής Σχολής του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης,  με μεταπτυχιακές σπουδές στο Δίκαιο και τις Ψηφιακές Τεχνολογίες στο Πανεπιστήμιο του Leiden


Αγορές στο διαδίκτυο: Πληρώνουμε όλοι την ίδια τιμή για το ίδιο προϊόν;

Γράφει η Ειρήνη Βολικού*

Σε ένα βιβλιοπωλείο μπαίνουν την ίδια μέρα τρείς πελάτες με σκοπό να αγοράσουν όλοι το βιβλίο «Τα μυστικά του Διαδικτύου». Η λιανική τιμή πώλησης του βιβλίου είναι 20€, όμως δεν αναγράφεται πουθενά. Στον πρώτο πελάτη, έναν καλοντυμένο άνδρα που κρατάει δερμάτινο χαρτοφύλακα και το καινούριο iphone, ο βιβλιοπώλης χρεώνει το βιβλίο 25€. Λίγο αργότερα καταφθάνει ένας τακτικός πελάτης για τον οποίο ο βιβλιοπώλης γνωρίζει ότι πρόκειται για φοιτητή με λιγοστές οικονομίες και του πωλεί το βιβλίο προς 15€. Κατόπιν εμφανίζεται και ο τρίτος πελάτης, μια γυναίκα που δείχνει αρκετά βιαστική να κάνει την αγορά. Ο βιβλιοπώλης πωλεί στη γυναίκα «Τα μυστικά του Διαδικτύου» έναντι 23€. Κανένας από τους πελάτες δεν γνωρίζει ότι χρεώθηκε τιμή διαφορετική από τους υπόλοιπους επειδή ο βιβλιοπώλης χρησιμοποίησε πληροφορίες από το «προφίλ» τους για να εκτιμήσει την αγοραστική τους ικανότητα ή προθυμία. 

Ως καταναλωτές πώς θα χαρακτηρίζαμε μια τέτοια πρακτική;

Είναι δίκαιη ή άδικη, σωστή ή λανθασμένη, νόμιμη ή παράνομη;

Και πώς θα αντιδρούσαμε εάν γνωρίζαμε ότι εφαρμόζεται και σε μας;

Η παραπάνω ιστορία είναι πέρα ως πέρα φανταστική, θα μπορούσε, όμως, να συμβεί στην πραγματικότητα;

Κατά κανόνα, στο «συμβατικό» εμπόριο οι συνθήκες δεν προσφέρονται για να υλοποιηθεί το φανταστικό μας σενάριο. Η υποχρέωση αναγραφής της τιμής των προϊόντων στα εμπορικά καταστήματα συνεπάγεται τη δραματική μείωση της ευχέρειας των εμπόρων να προσαρμόζουν – και ιδιαίτερα προς τα πάνω – την αναγραφόμενη τιμή στα μέτρα του κάθε πελάτη. Στο ηλεκτρονικό εμπόριο, ωστόσο, η πραγματικότητα μπορεί να κρύβει εντυπωσιακές ομοιότητες με τη φανταστική ιστορία μας.

Η πραγματικότητα του διαδικτύου ή αλλιώς… ο «βιβλιοπώλης» ζει

Σε ηλεκτρονικές πλατφόρμες πωλήσεων παρατηρείται, όχι και τόσο σπάνια, ότι η αναγραφόμενη τιμή ενός προϊόντος ή υπηρεσίας δεν είναι μια και μοναδική για όλους αλλά διαφοροποιείται ανάλογα με το προφίλ του υποψήφιου πελάτη.

Το προφίλ του καθενός μας στο διαδίκτυο συντίθεται από στοιχεία όπως: φύλο, ηλικία, οικογενειακή κατάσταση, το είδος και ο αριθμός των συσκευών μέσω των οποίων συνδεόμαστε στο διαδίκτυο, η γεωγραφική μας τοποθεσία (χώρα ή ακόμη και γειτονιά), η εθνικότητα, οι προτιμήσεις και οι καταναλωτικές μας συνήθειες (ιστορικό αναζήτησης ή αγορών) και άλλα. 

Οι πληροφορίες αυτές γίνονται γνωστές στους ιστότοπους που επισκεπτόμαστε μέσω των cookies, της διεύθυνσης πρωτοκόλλου διαδικτύου (γνωστής ως διεύθυνσης ΙΡ ή IP address) και των στοιχείων σύνδεσης χρήστη (user log-in information) και μπορούν να χρησιμοποιηθούν όχι μόνο για να εμφανίζουν σχετικά με εμάς αποτελέσματα αναζήτησης και διαφημίσεις αλλά και για να συμπεράνουν την αγοραστική μας ικανότητα και προθυμία. Με άλλα λόγια, το ρόλο του φανταστικού βιβλιοπώλη παίζουν αλγόριθμοι ανάλυσης δεδομένων που χρησιμοποιούν τα προφίλ μας για μας κατατάξουν σε κατηγορίες, να υπολογίσουν αυτοματοποιημένα και να μας παρουσιάσουν μία τελική τιμή την οποία θα ήμασταν διατεθειμένοι να πληρώσουμε για το αντικείμενο της αναζήτησής μας. 

Η τιμή αυτή μπορεί να διαφέρει μεταξύ των διάφορων χρηστών ή κατηγοριών χρηστών, οι οποίοι συχνά δεν γνωρίζουν ούτε ότι λαμβάνει χώρα η διάκριση αυτή ούτε ποια τιμή θα πλήρωναν αν δεν ήταν διαθέσιμα τα προσωπικά τους δεδομένα.

 Η πρακτική αυτή συνήθως ονομάζεται εξατομικευμένη τιμολόγηση (personalised pricing) ή διάκριση ως προς την τιμή (price discrimination). 

Δεν πρέπει να συγχέεται με τη λεγόμενη δυναμική τιμολόγηση (dynamic pricing) η οποία αναφέρεται στην προσαρμογή της τιμής βάσει κριτηρίων που σχετίζονται όχι με τον εκάστοτε καταναλωτή αλλά με τις απαιτήσεις της αγοράς όπως είναι, για παράδειγμα, η προσφορά και η ζήτηση.

Το ζήτημα της εξατομικευμένης τιμολόγησης ξεκίνησε να απασχολεί την κοινή γνώμη ήδη από το 2000, όταν τακτικοί χρήστες της Amazon παρατήρησαν ότι εάν διέγραφαν ή μπλόκαραν τα σχετικά cookies από τον υπολογιστή τους (με συνέπεια να θεωρούνται από την εταιρία ως νέοι χρήστες) μπορούσαν να αγοράσουν DVD σε χαμηλότερες τιμές. Έκτοτε, η εξάπλωση του ηλεκτρονικού εμπορίου σε συνδυασμό με τη γιγάντωση της συλλογής και επεξεργασίας των προσωπικών δεδομένων μας στο διαδίκτυο (profiling, data scraping, Big Data) έχουν σίγουρα δημιουργήσει πρόσφορο έδαφος για τη διευκόλυνση και την εξάπλωση της εξατομικευμένης τιμολόγησης.

Το πείραμα ή αλλιώς… ο «βιβλιοπώλης» εν δράσει

Για του λόγου το αληθές πραγματοποιήθηκαν εντός της ίδια ημέρας (17/12/2019) διαδοχικές αναζητήσεις και σύγκριση τιμών για το ίδιο δωμάτιο – ένα «comfort» δίκλινο με ένα διπλό ή 2 μονά κρεβάτια- με πρωινό για 2 επισκέπτες, στο ίδιο ξενοδοχείο στη Φρανκφούρτη της Γερμανίας για τις 3-5 Ιανουαρίου 2020. Οι αναζητήσεις έγιναν σε ιστότοπους 2 διαφορετικών εταιριών που εξειδικεύονται στην εξεύρεση και κράτηση καταλυμάτων και σε όλες τις περιπτώσεις αφορούσαν στη χαμηλότερη, «μη επιστρέψιμη» τιμή δωματίου. Τα αποτελέσματα ήταν τα εξής:

Εταιρία Α

Συσκευή Περιήγηση Εκδοχή ιστότοπου Τιμή σε €
1 Τablet Περιηγητής (browser) Ελληνική 159,60
2 Tablet Περιηγητής (browser) Γερμανική 167,60
3 Tablet Εφαρμογή (application) Ελληνική 162,46
4 Tablet Εφαρμογή (application) Γερμανική 159,62

 

Εταιρία Β

Συσκευή Περιήγηση Εκδοχή ιστότοπου Τιμή σε €
5 Laptop Περιηγητής (browser) Ελληνική 169,00
6 Laptop Ανώνυμη (incognito browser) Ελληνική 172,00
7 Smartphone Περιηγητής (browser) Ελληνική 179,00

 

Αναζήτηση 1

Αναζήτηση 2

Αναζήτηση 3

Αναζήτηση 4

Αναζήτηση 5

Αναζήτηση 6

Αναζήτηση 7

Από τα αποτελέσματα των αναζητήσεων γίνεται φανερό ότι υπάρχει πληθώρα τιμών για το ίδιο ακριβώς δωμάτιο τις ίδιες ημερομηνίες.

Σημαντική διαφοροποίηση στην τιμολόγηση παρατηρείται ανάλογα με τη χώρα ή τοποθεσία του καταναλωτή. Ακόμη, όμως, και για την ίδια χώρα οι τιμές ποικίλουν ανάλογα με το είδος της συσκευής σε συνδυασμό με το είδος της περιήγησης. 

Όλες αυτές οι πληροφορίες ή ακόμη και η απουσία πληροφοριών στην περίπτωση της ανώνυμης περιήγησης φαίνεται να παίζουν ρόλο στον τελικό υπολογισμό της τιμής και συνεπώς στη διαφορετική τιμολόγηση των χρηστών.

Πώς αντιμετωπίζεται η εξατομικευμένη τιμολόγηση;

Εύλογα υποστηρίζεται ότι η εφαρμογή της πρακτικής αυτής παρουσιάζει και πλεονεκτήματα, ιδιαίτερα για καταναλωτές με περιορισμένη οικονομική ευχέρεια οι οποίοι, μέσω  χαμηλότερων τιμών ή εκπτώσεων, μπορούν να έχουν πρόσβαση σε προϊόντα ή υπηρεσίες που διαφορετικά δεν θα είχαν τη δυνατότητα να αγοράσουν. Προβληματίζει, ωστόσο, το γεγονός ότι η κατηγοριοποίηση των καταναλωτών και η διαφοροποίηση των τιμών είναι μία διαδικασία ως επί το πλείστον άγνωστη και αδιαφανής ως προς τα κριτήρια που χρησιμοποιεί.

Παράλληλα, η χρήση παραμέτρων όπως αυτών που φάνηκαν να επηρεάζουν την τιμή στο πείραμά μας – η χώρα/γλώσσα, η συσκευή και το είδος της περιήγησης – δεν εγγυάται κατάταξη αγοραστικής ικανότητας η οποία να ανταποκρίνεται στην πραγματικότητα. Έρευνες δείχνουν ότι καταναλωτές που ενημερώθηκαν σχετικά με την εφαρμογή της πρακτικής την απορρίπτουν κατά πλειοψηφία ως άδικη ή μη αποδεκτή. Αυτό ισχύει σε μεγάλο βαθμό και στις περιπτώσεις που η εξατομικευμένη τιμολόγηση θα τους ευνοούσε, εάν ταυτόχρονα γνώριζαν ότι προϋποθέτει τη συλλογή δεδομένων και την παρακολούθηση της διαδικτυακής ή μη συμπεριφοράς τους.

Όσον αφορά τη νομική αντιμετώπισή της, η εξατομικευμένη τιμολόγηση απασχολεί διάφορους κλάδους του δικαίου.

Στο πλαίσιο του δικαίου προστασίας προσωπικών δεδομένων, ο Γενικός Κανονισμός Προστασίας Δεδομένων (‘ΓΚΠΔ’) δεν προβλέπει ρητά την περίπτωση της εξατομικευμένης τιμολόγησης. Προβλέπει, ωστόσο, ότι εάν κάποια εταιρία χρησιμοποιεί τα προσωπικά μας δεδομένα (στα οποία συμπεριλαμβάνονται και η διεύθυνση IP, η τοποθεσία μας, τα cookies που είναι αποθηκευμένα στις συσκευές μας και λοιπά), αυτή είναι υποχρεωμένη να ενημερώνει για ποιους σκοπούς τα χρησιμοποιεί.

Επομένως, εάν τα προφίλ μας χρησιμοποιούνται για το σκοπό υπολογισμού της τιμής προϊόντων ή υπηρεσιών, αυτό θα πρέπει κατ’ ελάχιστον να αναφέρεται στην πολιτική απορρήτου της ιστοσελίδας που κάνουμε τις αγορές μας.

Ο ΓΚΠΔ προϋποθέτει και τη συναίνεση του καταναλωτή εάν η εξατομικευμένη τιμολόγηση έχει στηριχθεί σε προσωπικά δεδομένα του ή όταν τα προσωπικά του δεδομένα χρησιμοποιούνται για την αυτοματοποιημένη λήψη αποφάσεων που τον αφορούν.

Από τη σκοπιά του δικαίου προστασίας του καταναλωτή ισχύει ότι, κατά κανόνα, οι έμποροι μπορούν να καθορίζουν ελεύθερα τις τιμές τους, εάν ενημερώνουν δεόντως τους καταναλωτές για τις τιμές ή για τον τρόπο υπολογισμού τους και η εξατομικευμένη τιμολόγηση απαγορεύεται μόνο εάν συνδυάζεται με αθέμιτες εμπορικές πρακτικές που προβλέπονται από τη σχετική ευρωπαϊκή Οδηγία 2005/29/ΕΚ.

Στην άρση της αβεβαιότητας των καταναλωτών και στη βελτίωση της θέσης τους έρχεται να συνδράμει η νέα Οδηγία (ΕΕ) 2019/2161 που έχει στόχο την καλύτερη εφαρμογή και τον εκσυγχρονισμό των κανόνων προστασίας του καταναλωτή στην ΕΕ.

Με τις τροποποιήσεις που επιφέρει η Οδηγία αυτή πλέον όχι μόνο αναγνωρίζεται η πρακτική της εξατομικευμένης τιμολόγησης αλλά θεσμοθετείται και η υποχρέωση να ενημερώνεται ο καταναλωτής όταν η τιμή που πληρώνει έχει εξατομικευθεί με αυτοματοποιημένο τρόπο ούτως ώστε να λάβει υπόψη στην απόφαση αγοράς το ενδεχόμενο ρίσκο (αιτιολογική σκέψη 45 και άρθρο 4§4 της Οδηγίας). Η Οδηγία 2019/2161 δημοσιεύτηκε στην Επίσημη Εφημερίδα της ΕΕ στις 18/12/2019 και τα κράτη-μέλη υποχρεούνται να θέσουν σε εφαρμογή τα μέτρα που την ενσωματώνουν το αργότερο έως 28/5/2022.

Αξίζει να αναφερθεί ότι η εξατομικευμένη τιμολόγηση απασχολεί και τον κλάδο του δικαίου του ελεύθερου ανταγωνισμού και ιδιαίτερα το ενδεχόμενο της χρέωσης υψηλότερων τιμών σε συγκεκριμένες κατηγορίες καταναλωτών για λόγους που δεν συνδέονται με υψηλότερο κόστος ή σε αγαθά/υπηρεσίες κοινής ωφέλειας από επιχειρήσεις οι οποίες κατέχουν δεσπόζουσα θέση σε μια αγορά.

Σε κάθε περίπτωση η προστασία μας στο διαδίκτυο είναι και προσωπική μας υπόθεση.

Στον Οδηγό Ασφαλούς Πλοήγησης της Homo Digitalis αναφέρονται οι συμπεριφορές που μπορούμε να υιοθετήσουμε για την προστασία των προσωπικών μας δεδομένων κατά την πλοήγησή μας.

Για την αντιμετώπιση της εξατομικευμένης τιμολόγησης συγκεκριμένα προτείνεται η ενδελεχής έρευνα αγοράς, η σύγκριση τιμών σε διαφορετικές ιστοσελίδες ή γλωσσικές εκδοχές ιστοσελίδων, η δοκιμή διαφορετικών τύπων περιήγησης και, εάν είναι δυνατόν, διαφορετικών συσκευών. Ως χρήστες του ηλεκτρονικού εμπορίου πρέπει να ενημερωνόμαστε και να βρισκόμαστε σε εγρήγορση εάν δεν επιθυμούμε να γίνεται το καταναλωτικό μας προφίλ εργαλείο για τη χρέωση υψηλότερων τιμών.

*Η Ειρήνη Βολικού, LL.M είναι νομικός με ειδίκευση στο Ευρωπαϊκό Δίκαιο και Ευρωπαϊκό Δίκαιο του Ανταγωνισμού. Έχει εκτεταμένη εμπειρία στη νομική εκπαίδευση επαγγελματιών στο Δίκαιο του Ανταγωνισμού, έχοντας εργαστεί ως Αναπληρώτρια Διευθύντρια του Τμήματος Δικαίου Επιχειρήσεων στην Ακαδημία Ευρωπαϊκού Δικαίου στη Γερμανία και επί του παρόντος, ως Συντονίστρια Προγράμματος με την Οργάνωση Jurisnova της Νομικής Σχολής του Πανεπιστημίου Νόβα της Λισαβόνας.

ΠΗΓΕΣ

1) European Commission – Consumer market study on online market segmentation through personalized pricing/offers in the European Union (2018)

2) Οδηγία (ΕΕ) 2019/2161 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Νοεμβρίου 2019 για την τροποποίηση της οδηγίας 93/13/ΕΟΚ του Συμβουλίου, και των οδηγιών 98/6/ΕΚ, 2005/29/ΕΚ και 2011/83/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά την καλύτερη επιβολή και τον εκσυγχρονισμό των κανόνων της Ένωσης για την προστασία των καταναλωτών

3) Οδηγία 2005/29/EK του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαΐου 2005, για τις αθέμιτες εμπορικές πρακτικές των επιχειρήσεων προς τους καταναλωτές στην εσωτερική αγορά και για την τροποποίηση της οδηγίας 84/450/ΕΟΚ του Συμβουλίου, των οδηγιών 97/7/ΕΚ, 98/27/ΕΚ, 2002/65/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του κανονισμού (ΕΚ) αριθ. 2006/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Οδηγία για τις αθέμιτες εμπορικές πρακτικές)

4) Έγγραφο Εργασίας των Υπηρεσιών της Επιτροπής – Κατευθυντήριες Γραμμές σχετικά με την εκτέλεση/εφαρμογή της Οδηγίας 2005/29/ΕΚ για τις αθέμιτες εμπορικές πρακτικές [SWD(2016) 163 final]

5) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)

6) Poort, J. & Zuiderveen Borgesius, F. J. (2019). Does everyone have a price? Understanding people’s attitude towards online and offline price discrimination. Internet Policy Review, 8(1)

7) OECD, ‘Personalised Pricing in the Digital Era’, Background Note by the Secretariat for the joint meeting between the OECD Competition Committee and the Committee on Consumer Policy on 28 November 2018 [DAF/COMP(2018)13]

8) BEUC, ‘Personalised Pricing in the Digital Era’, Note for the joint meeting between the OECD Competition Committee and the Committee on Consumer Policy on 28 November 2018 [DAF/COMP/WD(2018)129]

9) http://news.bbc.co.uk/2/hi/business/914691.stm


Κινητά τηλέφωνα στη μάχη κατά του κορωνοϊού: Συμβιβασμοί στην προστασία προσωπικών δεδομένων;

Γράφει ο Ιωάννης Κροντήρης*

Όσο η κρίση του κορωνοϊού (SARS-Cov-2) μεγαλώνει, τόσο πληθαίνουν οι φωνές από κυβερνήσεις αλλά και μη κυβερνητικούς οργανισμούς που προτείνουν την επιστράτευση τεχνολογικών μέσων για την ανίχνευση της εξάπλωσης του ιού. Ειδικά η ιδέα να χρησιμοποιήσουμε εφαρμογές στα κινητά τηλέφωνα των πολιτών οι οποίες θα ανιχνεύουν τις κοινωνικές επαφές που κάθε χρήστης της εφαρμογής έχει στην καθημερινή του ζωή (Contact Tracing apps ή αλλιώς και Proximity Tracing) βρίσκεται στο επίκεντρο των συζητήσεων όλο και περισσότερο τις τελευταίες εβδομάδες.

Ανεξάρτητα από το κατά πόσο χρήσιμες μπορεί να είναι αυτές οι εφαρμογές στην αντιμετώπιση της πανδημίας, θα πρέπει να κρατήσουμε στο προσκήνιο ένα βασικό στοιχείο: υπάρχει στη διάθεσή μας μια συλλογή από πολλά τεχνολογικά εργαλεία που μας επιτρέπουν να αναπτύξουμε αυτές τις εφαρμογές χωρίς κανέναν συμβιβασμό στην προστασία των προσωπικών δεδομένων, αρκεί βέβαια να τα λάβουμε υπόψη μας από την αρχή («προστασία δεδομένων ήδη από τον σχεδιασμό»).

Εξ όσων γνωρίζουμε, με τα ως τώρα δεδομένα, ο νέος κορωνοϊός μπορεί να είναι μεταδοτικός από απόσταση περίπου ενός μέτρου. Ο στόχος, λοιπόν, αυτών των εφαρμογών είναι να στείλουν ειδοποίηση στο κινητό κάποιου και να τον ενημερώσουν ότι ένα από τα άτομα που συνάντησε στο πρόσφατο παρελθόν (και πιθανώς να μη το γνωρίζει προσωπικά) είναι ασθενής που έχει δαγνωσθεί ως φορέας του SARS-Cov-2, ώστε να λάβει τα απαραίτητα μέτρα (να κάνει το τεστ, να μπει σε καραντίνα).

Η ταχύτητα με την οποία μπορούμε να ανιχνεύσουμε τις επαφές που κάποιος είχε στο πρόσφατο παρελθόν και να τους ειδοποιήσουμε μπορεί να αποτελέσει κλειδί στο να σπάσουμε την αλυσίδα εξάπλωσης του ιού όσο γίνεται συντομότερα και, εν τέλει, να εμποδίσουμε αποτελεσματικά την εξάπλωσή του. Ωστόσο, πρέπει να πούμε εδώ ότι δεν είναι ακόμα ξεκάθαρο αν και κατά πόσο οι εφαρμογές ανίχνευσης επαφών μπορούν να μειώσουν όντως τον ρυθμό μετάδοσης του ιού και υπάρχουν ακόμα πολλά αναπάντητα ερωτήματα τα οποία οι επιδημιολόγοι εξετάζουν.

Εξάλλου, υπάρχουν πληθυσμιακές ομάδες της κοινωνίας μας που δεν χρησιμοποιούν smartphones και επομένως ούτε θα έχουν τη δυνατότητα να χρησιμοποιήσουν την εφαρμογή αλλά και ούτε να περιληφθούν στα σημεία επαφής που θα εντοπίζει η εν λόγω εφαρμογή.

Τεχνικά, η ανάπτυξη εφαρμογών ανίχνευσης επαφών μπορεί να γίνει εγκαθιστώντας μια εφαρμογή στα κινητά τηλέφωνα σε μαζική κλίμακα. Η εφαρμογή γνωρίζοντας την ακριβή τοποθεσία του κάθε χρήστη και επικοινωνώντας με τα κινητά που βρίσκονται σε κοντινή απόσταση μπορεί να κρατάει ακριβές ιστορικό όλων των επαφών μεταξύ των ανθρώπων.

Η λειτουργία αυτή, συμπεριλαμβανομένης της ανταλλαγής πληροφορίας μπορεί να επιτευχθεί χρησιμοποιώντας διάφορες τεχνολογίες, όπως για παράδειγμα Bluetooth, WiFi, NFC, GPS tracking, οι οποίες προσφέρουν μεγαλύτερη ακρίβεια στη συλλογή δεδομένων θέσης σε σύγκριση με την πληροφορία που μπορούμε να συλλέξουμε μέσω των δικτύων κινητής τηλεφωνίας.

Τέτοιες εφαρμογές εγείρουν αμέσως το ζήτημα της προστασίας προσωπικών δεδομένων, καθότι σχετίζονται με τη συλλογή:

-της τοποθεσίας και κατ’ επέκταση της διαδρομής,

-των επαφών των πολιτών, και

-των ιατρικών δεδομένων.

Το ερώτημα που μας απασχολεί σε αυτό το άρθρο είναι:  Χρειάζεται να θυσιάσουμε τις αρχές της προστασίας των προσωπικών δεδομένων με την αιτιολογία ότι ζούμε σε εποχή κρίσης και απαιτούνται δραστικά μέτρα;

Η συζήτηση αυτή είναι έντονη στην Ευρώπη. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (European Data Protection Supervisor-EDPS) αναφέρθηκε στην ανάγκη μιας κοινής πανευρωπαϊκής προσπάθειας και τόνισε ότι καινούργιες τεχνικές λύσεις για την αντιμετώπιση του κορωνοϊού  θα πρέπει να αναπτύσσονται με τέτοιον τρόπο ώστε να διασφαλίζονται οι αρχές ιδιωτικού απορρήτου και προστασίας δεδομένων ήδη από την αρχή («προστασία δεδομένων ήδη από τον σχεδιασμό»).

Προς αυτή την κατεύθυνση, πολύ πρόσφατα δημιουργήθηκε η ευρωπαϊκή κίνηση PEPP-PT αποτελούμενη από περισσότερους από 130 επιστήμονες και ειδικούς από οκτώ ευρωπαϊκές χώρες. Ο στόχος τους είναι να βοηθήσουν εθνικές προσπάθειες να δημιουργήσουν τέτοιου είδους εφαρμογές με τρόπο που να είναι απολύτως συμβατός με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), θέτοντας κοινές αρχές και στάνταρντ.

Τεχνολογικά υπάρχουν ήδη μηχανισμοί και τρόποι τους οποίους μπορούμε να χρησιμοποιήσουμε για να αναπτύξουμε τέτοιες εφαρμογές χωρίς “εκπτώσεις” στην ιδιωτικότητα των πολιτών, και χωρίς καθυστερήσεις. Συγκεκριμένα, είναι τεχνικά δυνατόν αυτές οι εφαρμογές να πετύχουν τον σκοπό τους χωρίς να συλλέγουν περιττά προσωπικά δεδομένα όπως τοποθεσία, διαδρομές, επαφές ή χαρακτηριστικά που ταυτοποιούν τους κατόχους των κινητών τηλεφώνων.

Τι τεχνικές προϋποθέσεις θα έπρεπε λοιπόν να ικανοποιεί ιδανικά μια εφαρμογή, αν θέλουμε να είμαστε βέβαιοι ότι, παράλληλα, σέβεται και προστατεύει την ιδιωτικότητα των πολιτών; Τρία σημαντικά σημεία είναι τα ακόλουθα:

-Το σύστημα πρέπει να συλλέγει μόνο αυτά τα δεδομένα που είναι απαραίτητα για να επιτευχθεί ο σκοπός της εφαρμογής και όχι δεδομένα όπως για παράδειγμα η τοποθεσία των ατόμων, τα οποία δεν σχετίζονται άμεσα με τον σκοπό. Όντως, η πληροφορία που μας ενδιαφέρει εδώ είναι οι επαφές των ατόμων, και όχι το που βρίσκονται,

-Το σύστημα πρέπει να συλλέγει δεδομένα τα οποία να μην συνδέονται άμεσα ή έμμεσα με την ταυτότητα των εμπλεκομένων ατόμων, ούτε να επιτρέπουν τη δημιουργία προφίλ κινήσεων και επαφών,

-Τα δεδομένα που συλλέγονται για κάθε άτομο θα πρέπει να διατηρούνται για το ελάχιστο δυνατό χρονικό διάστημα που απαιτείται και μετά να διαγράφονται.

Μια πιο αναλυτική λίστα δημοσίευσε πρόσφατα το Chaos Computer Club, εξετάζοντας τις τεχνικές και κοινωνικές προϋποθέσεις σε μεγαλύτερο βάθος και εστιάζοντας, μεταξύ άλλων, στην αποκεντρωμένη επεξεργασία των προσωπικών δεδομένων, την χρήση ανοικτού κώδικα, και την ανωνυμοποίηση των δεδομένων.

Μια ευρωπαϊκή προσπάθεια από μια ομάδα επιφανών ερευνητών με το όνομα DP-3T δημοσίευσε πρόσφατα τον σχεδιασμό μιας τεχνικής λύσης η οποία αποτελεί παράδειγμα του πώς μπορούμε να παρακολουθήσουμε την εξάπλωση του ιού μέσω κινητών τηλεφώνων χωρίς να συλλέγουμε ευαίσθητα δεδομένα και χωρίς να παρακολουθούμε τις κινήσεις των πολιτών.

Η λύση τους αξίζει ιδιαίτερης αναφοράς γιατί στηρίζεται σε μια κατανεμημένη αρχιτεκτονική. Παρόλο που υπάρχει ένας κεντρικός server, αυτός δεν παίζε κανένα ρόλο στη συλλογή και επεξεργασία ευαίσθητης πληροφορίας. Αυτό συμβαίνει μόνο στα κινητά τηλέφωνα των χρηστών.

Η βασική ιδέα είναι απλή: δεν έχει σημασία σε ποια τοποθεσία κάποιος ήρθε σε επαφή με κάποιον ασθενή COVID-19, οπότε δεν χρειάζεται εξ αρχής να αποθηκεύουμε την τοποθεσία. Το μόνο που έχει σημασία να ξέρουμε είναι αν δυο άνθρωποι ήρθαν τόσο κοντά ο ένας στον άλλον ώστε να υπάρχει κίνδυνος μετάδοσης του ιού.

Αυτό, μπορούμε να το καθορίσουμε με την χρήση του Bluetooth ώστε να γνωρίζουμε ποιες άλλες συσκευές κινητών τηλεφώνων βρίσκονται στη γύρω περιοχή και για πόση ώρα. Πιο συγκεκριμένα, η εφαρμογή στο κινητό τηλέφωνο δημιουργεί ένα προσωρινό ψευδώνυμο, το οποίο αλλάζει κατά συχνά χρονικά διαστήματα το οποίο μεταδίδεται μέσω του κινητού τηλεφώνου στις άλλες συσκευές που βρίσκονται στη γύρω περιοχή.

Όταν κάποιο άλλο κινητό τηλέφωνο, που επίσης έχει αυτήν την εφαρμογή, πλησιάσει αρκετά, τότε τα δυο κινητά τηλέφωνα είναι σε ακτίνα αρκετή να “ακούσουν” το ένα το προσωρινό ψευδώνυμο του άλλου και να το αποθηκεύουν στη μνήμη τους (δηλαδή τοπικά στο τηλέφωνο) σε κρυπτογραφημένη μορφή. ‘Ετσι, κάθε συσκευή κρατάει (θυμάται) όλα τα ψευδώνυμα που έχει συναντήσει στο παρελθόν. Μέχρι εδώ καμία πληροφορία δεν στέλνεται σε κάποιο κεντρικό Server.

Εάν τώρα κάποιος από τους χρήστες της εφαρμογής διαγνωστεί θετικός στον SARS-Cov-2, ο γιατρός ζητάει από τον ασθενή να στείλει -με τη σύμφωνη γνώμη του- σε έναν κεντρικό server τη λίστα με τα ψευδώνυμα που έχει παράγει το κινητό του φορέα του ιού στο παρελθόν.

Ο server διανέμει αυτή τη λίστα στα κινητά τηλέφωνα των υπολοίπων χρηστών, καθένα από τα οποία συγκρίνει τη λίστα που έλαβε με τη λίστα που έχει αποθηκευμένη στη μνήμη του, για να διαπιστώσει εάν έχει συναντήσει κάποιο από αυτά τα ψευδώνυμα στο παρελθόν. Αν βρεθεί τέτοια περίπτωση, τότε η εφαρμογή παράγει μια ειδοποίηση στον χρήστη για να τον ενημερώσει και να του δώσει οδηγίες τι να κάνει και με ποιόν να επικοινωνήσει.

Όλο το παραπάνω στάδιο εκτελείται και πάλι με κρυπτογραφημένη επικοινωνία και χωρίς να αποκαλύπτεται η ταυτότητα όσων συμμετέχουν. Βλέπουμε, λοιπόν, ότι οι αρχές προστασίας προσωπικών δεδομένων δεν εμποδίζουν τη συλλογή και χρήση δεδομένων για οποιαδήποτε εφαρμογή, ακόμα και για την αντιμετώπιση κρίσεων όπως μια πανδημία.

Το ερώτημα είναι, πώς μπορούμε να το κάνουμε αυτό σωστά και με σεβασμό στην ιδιωτικότητα των πολιτών. Για αυτό τον σκοπό, εδώ και δεκαετίες, έχουν αναπτυχθεί από κρυπτογράφους και άλλους ερευνητές εργαλεία και μέθοδοι που μας επιτρέπουν να επιτυγχάνουμε αυτόν τον στόχο. Ενδεχομένως αυτή η πανδημία να σταθεί αφορμή ώστε να αναδειχτούν ευρύτερα οι δυνατότητες αυτών των εργαλείων.

Αλλά, ίσως είναι ακόμα πιο σημαντικό να συνειδητοποιήσουμε, ότι τεχνικές λύσεις για την αντιμετώπιση του κορωνοϊού μπορούν να είναι αποτελεσματικές μόνο αν υιοθετηθούν σε μεγάλη κλίμακα από τους πολίτες. Και κάτι τέτοιο μπορεί να συμβεί μόνο αν τέτοιες λύσεις σέβονται την ιδιωτικότητα και μπορούν να εμπνεύσουν την εμπιστοσύνη των πολιτών. Για να χτιστεί αυτή η εμπιστοσύνη δεν αρκούν υποσχέσεις κυβερνήσεων και οργανισμών ότι θα σεβαστούν τα προσωπικά δεδομένα που συλλέγουν. Χρειάζονται και τεχνικές λύσεις που δίνουν τις αντίστοιχες εγγυήσεις με τρόπο που δεν μπορεί να αμφισβητηθεί.

* Ο Ιωάννης Κροντήρης είναι απόφοιτος του τμήματος Μηχανικών Η/Υ του Πολυτεχνείου Κρήτης και κατέχει διδακτορικό τίτλο στην Πληροφορική απο το Πανεπιστήμιο του Mannheim της Γερμανίας. Απο το 2014 εργάζεται ως ερευνητής σε θέματα τεχνολογιών προστασίας της ιδιωτικότητας στο ερευνητικό κέντρο της Huawei στο Μόναχο.


Woman wearing mask

H προστασία των προσωπικών δεδομένων στην πανδημία του κορωνοϊού

Γράφουν οι Ελπίδα Βαμβακά και Μαρίνα Ζαχαροπούλου*

Μετά το χαρακτηρισμό του νέου κορωνοϊού (COVID-19) ως παγκόσμια πανδημία από τον Παγκόσμιο Οργανισμο Υγείας (ΠΟΥ), η Ευρώπη έγινε το επίκεντρο της κρίσης στον τομέα της υγείας, καθώς ο αριθμός των νέων κρουσμάτων ξεπέρασε εκείνους της Κίνας, χώρα-αφετηρία του ιού.

Κυβερνήσεις, δημόσιοι και ιδιωτικοί οργανισμοί σε ολόκληρη την Ευρώπη λαμβάνουν μέτρα για να περιορίσουν και να μετριάσουν τις επιπτώσεις του COVID-19.

Τα μέτρα αυτά συχνά, συνεπάγονται την επεξεργασία διαφόρων τύπων προσωπικών δεδομένων.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) προβλέπει τις νόμιμες βάσεις που επιτρέπουν στους εργοδότες και στις αρμόδιες αρχές δημόσιας υγείας να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των επιδημιών, χωρίς να απαιτείται η συναίνεση του υποκειμένου των δεδομένων.

Αυτό ισχύει για παράδειγμα, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας ή για την προστασία ζωτικών συμφερόντων (άρθρα 6 και 9  GDPR) ή για τη συμμόρφωσή τους με άλλη νομική υποχρέωση.

Οι αιτιολογικές σκέψεις 46, 52 και 54 του Γενικού Κανονισμού δίνουν μία σαφή προσέγγιση γύρω από τα ζητήματα της επεξεργασίας προσωπικών δεδομένων στην περίπτωση μιας πανδημίας, όπως αυτή που αντιμετωπίζουμε σήμερα.

Βοήθημα κατά την τελική διαμόρφωση της διαδικασίας λήψης αποφάσεων σχετικά με τα μέτρα που εφαρμόζονται για τη διαχείριση του COVID-19, τα οποία αφορούν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα σε κάθε οργανισμό αποτελεί η Πράξη Νομοθετικού Περιεχομένου “Κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19” ( ΦΕΚ Α’64/14-3-2020).

Το άρθρο 5 της Πράξης αναφέρει ρητά τις κατηγορίες προσωπικών δεδομένων που επιτρέπεται να κοινοποιούνται, τα τεχνικά και οργανωτικά μέτρα που πρέπει να λαμβάνονται, το σκοπό της συγκεκριμένης επεξεργασίας, καθώς και το διάστημα που μπορούν τα δεδομένα αυτά να διατηρηθούν (έως και έναν (1) μήνα μετά από τη λήξη της περιόδου εφαρμογής των κατεπειγόντων μέτρων για την αποφυγή της διασποράς του κορωνοϊού COVID-19 και πάντως όχι πέραν της 31.12.2020).

Είναι σημαντικό να κρατήσουμε τη δήλωση  που έκανε τη Δευτέρα η Andrea Jelinek, Πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB),  σύμφωνα με την οποία, οι κανόνες προστασίας δεδομένων (όπως οι διατάξεις του GDPR) δεν εμποδίζουν τα μέτρα που λαμβάνονται για την καταπολέμηση της πανδημίας του κορωνοϊού.

Η Πρόεδρος υπογράμμισε ότι, ακόμη και σε αυτές τις εξαιρετικές περιόδους, ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων και επομένως θα πρέπει να ληφθούν υπόψη ορισμένες εκτιμήσεις για να εξασφαλιστεί η νόμιμη επεξεργασία τους. 

Πολλές ευρωπαϊκές αρχές προστασίας δεδομένων, έχουν αρχίσει να παρέχουν καθοδήγηση προς εργοδότες και εργαζόμενους. Όπως θα δούμε παρακάτω μεταξύ των Αρχών υπάρχουν διαφορετικές απόψεις σχετικά με τον τρόπο με τον οποίο οι εργοδότες θα πρέπει να συμμορφώνονται με τις απαιτήσεις προστασίας δεδομένων.

Πιο αναλυτικά:

Περιορισμοί στις δραστηριότητες επεξεργασίας παρακολούθησης δεδομένων υγείας των εργαζομένων:

Ιταλία, Γαλλία, Λουξεμβούργο και Βέλγιο

H Αρχή Προστασίας Προσωπικών Δεδομένων της Ιταλίας ενήργησε ταχέως.

Στις 2 Μαρτίου προειδοποίησε τους εργοδότες να μην εκτελούν «αυτόνομους» ιατρικούς ελέγχους ή να ζητούν προσωπικές πληροφορίες σχετικά με τα μη επαγγελματικά ταξίδια και τις επαφές των εργαζομένων.

Με τη δήλωσή της, η Αρχή Προστασίας Δεδομένων δήλωσε ότι οι εργοδότες πρέπει να απέχουν από τη συλλογή, εκ των προτέρων και με συστηματικό και γενικευμένο τρόπο, πληροφοριών σχετικά με την παρουσία τυχόν συμπτωμάτων γρίπης στον εργαζόμενο και στις πλησιέστερες επαφές του – μεταξύ άλλων μέσω συγκεκριμένων αιτήσεων προς τον εργαζόμενο ή μη εγκεκριμένων ερευνών.

Πρόσθεσε ότι, όλοι οι Υπεύθυνοι Επεξεργασίας δεδομένων πρέπει να συμμορφώνονται αυστηρά με τις οδηγίες που παρέχονται από το Υπουργείο Υγείας και τα αρμόδια όργανα για την πρόληψη της εξάπλωσης του κορωνοϊού, χωρίς να αναλαμβάνουν αυτόνομες πρωτοβουλίες με στόχο τη συλλογή δεδομένων για την υγεία των εργαζομένων, αν οι πρωτοβουλίες δεν ρυθμίζονται από το νόμο ή δεν διατάσσονται από τους αρμόδιους φορείς. 

Στην ίδια γραμμή, η CNIL στη Γαλλία, πληροφόρησε τους οργανισμούς ότι δεν πρέπει να συλλέγουν πληροφορίες σχετικά με τη θερμοκρασία του σώματος του συνόλου των εργαζομένων ή των επισκεπτών τους ή γενικευμένες πληροφορίες για την υγεία και πιθανά συμπτώματα COVID-19.

Αυτό φυσικά, δεν εμποδίζει τους εργοδότες να αναφέρουν συγκεκριμένες περιπτώσεις εργαζομένων με COVID-19 στις αρμόδιες υγειονομικές αρχές.

Η CNIL έχει δηλώσει ρητά ότι, αν ένας εργοδότης ειδοποιηθεί για κρούσμα COVID-19 που αφορά σε υπάλληλό του, ο εργοδότης μπορεί να καταγράφει:

– την ημερομηνία και την ταυτότητα του προσώπου για το οποίο υπάρχει υποψία ότι έχει εκτεθεί στον ιό,

– τα οργανωτικά μέτρα που λαμβάνονται (απομόνωση, απομακρυσμένη εργασία, επαφή με τον γιατρό στο χώρο εργασίας κ.λπ.).

Η Αρχή Προστασίας Δεδομένων του Λουξεμβούργου, προειδοποίησε τους εργοδότες να μην απαιτούν από τους υπαλλήλους να ενημερώνουν καθημερινά για τις θερμοκρασίες του σώματος τους ή να συμπληρώνουν τα ιατρικά φύλλα ή τα ερωτηματολόγια.

Τέλος,  η βελγική εποπτική αρχή στις οδηγίες που εξέδωσε αναφέρει ότι η δημόσια υγεία και η πρόληψη των ασθενειών δεν είναι ασυμβίβαστες με το δικαίωμα στην ιδιωτική ζωή. 

Η επεξεργασία των προσωπικών δεδομένων μπορεί να γίνει βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) και του άρθρου 9 παράγραφος 2 στοιχείο β) του GDPR σε κάθε περίπτωση. Πρέπει, όμως, να τηρούνται οι αρχές της αναλογικότητας, της ελαχιστοποίησης των δεδομένων,της διαφάνειας και της εμπιστευτικότητας.

Υπό το πρίσμα αυτό, ο εργοδότης δεν μπορεί να αποκαλύψει τα ονόματα των μολυσμένων υπαλληλων με COVID-19.

Ο εργοδότης μπορεί να ενημερώσει μόνο τους άλλους υπαλλήλους για την κατάσταση χωρίς να αναφέρει την ταυτότητα τους.

Συλλογή και γνωστοποίηση προσωπικών δεδομένων των εργαζομένων:

Ιρλανδία, Ισπανία, Δανία και Ηνωμένο Βασίλειο

Η Αρχή της Ιρλανδίας, η οποία είναι αρμόδια για πολλές εταιρείες της Silicon Valley, εξέδωσε οδηγίες, σύμφωνα με τις οποίες οι υπηρεσίες υγείας ενδέχεται να βρεθούν υποχρεωμένες να αποκαλύψουν προσωπικά δεδομένα προκειμένου να αποτρέψουν σοβαρές απειλές για τη δημόσια υγεία εφόσον εφαρμόζονται οι κατάλληλες διασφαλίσεις.

Αυτές οι διασφαλίσεις μπορεί να περιλαμβάνουν περιορισμό της πρόσβασης στα δεδομένα, αυστηρές προθεσμίες για τη διαγραφή και άλλα μέτρα, όπως κατάλληλη εκπαίδευση προσωπικού για την προστασία των δικαιωμάτων προστασίας των δεδομένων των ατόμων.

Στην ίδια κατεύθυνση κινείται και η Αρχή της Ισπανίας. Διευκρινίζει παράλληλα ότι, η επεξεργασία δεδομένων προσωπικού χαρακτήρα με βάση το ζωτικό συμφέρον άλλου φυσικού προσώπου θα πρέπει κατ’ αρχήν να διενεργείται μονάχα εάν είναι πρόδηλο ότι η επεξεργασία δεν μπορεί να έχει άλλη νομική βάση.

Ταυτόχρονα, υπογραμμίζει ότι θα πρέπει να τηρούνται όλες οι αρχές αναφορικά με την επεξεργασία που περιέχονται στο άρθρο 5 του GDPR.

Η Δανέζικη Αρχή, έχει επίσης εκδώσει οδηγίες  και  αναγνωρίζει ότι σε ορισμένες περιπτώσεις μπορούν να συλλέγονται και να γνωστοποιούνται προσωπικά δεδομένα, συμπεριλαμβανομένων ευαίσθητων προσωπικών δεδομένων, υπογραμμίζοντας όμως την σημασία της αξιολόγησης της νομιμότητας της επεξεργασίας και του περιορισμού στο μέτρο που είναι απαραίτητο.

Η Δανέζικη Αρχή συνιστά συνεπώς στους εργοδότες να εξετάσουν:

– εάν υπάρχει σοβαρός λόγος συλλογής ή αποκάλυψης των εν λόγω προσωπικών δεδομένων,

– εάν τα συγκεκριμένα προσωπικά δεδομένα είναι απαραίτητα, συμπεριλαμβανομένου του κατά πόσον ο σκοπός του εργοδότη μπορεί να επιτευχθεί με τη συλλογή λιγότερων,

– αν είναι απαραίτητο να γνωστοποιήσουν το όνομα του προσβεβλημένου προσώπου ή της καραντίνας αυτού.

Η Αρχή του Ηνωμένου Βασιλείου (ICO), στις οδηγίες που εξέδωσε αναφέρει ότι, οι νόμοι για την προστασία δεδομένων και την ηλεκτρονική επικοινωνία δεν εμποδίζουν την κυβέρνηση, ή άλλους επαγγελματίες Υγείας να αποστέλλουν μηνύματα δημόσιας υγείας στους ανθρώπους, είτε μέσω τηλεφώνου, μηνυμάτων ή ηλεκτρονικού ταχυδρομείου, καθώς αυτά τα μηνύματα δεν αποτελούν άμεσο μάρκετινγκ.

Ούτε τους εμποδίζει να χρησιμοποιούν την πιο πρόσφατη τεχνολογία για να διευκολύνουν ασφαλείς και γρήγορες διαβουλεύσεις και διαγνώσεις.

Οι δημόσιοι φορείς ενδέχεται να απαιτούν πρόσθετη συλλογή και ανταλλαγή δεδομένων προσωπικού χαρακτήρα για την προστασία από σοβαρές απειλές κατά της δημόσιας υγείας.

Μία πιο ουδέτερη στάση: 

Σλοβακία, Σλοβενία, Νορβηγία, Σουηδία, Πολωνία και Γερμανία

Η Αρχή της Σλοβακίας υπογραμμίζει ότι οι μετρήσεις θερμοκρασίας εμπίπτουν στην επεξεργασία μιας ειδικής κατηγορίας δεδομένων προσωπικού χαρακτήρα και ο GDPR προβλέπει ειδικούς όρους στο άρθρο 9 για τη νόμιμη επεξεργασία τέτοιων δεδομένων.

Η Αρχή της Σλοβενίας αναφέρει ότι οι αρμόδιες αρχές πρέπει να κάνουν εκτιμήσεις κατά περίπτωση και να καθορίσουν ποιες πληροφορίες απαιτούνται για την προστασία των ζωτικών συμφερόντων των πολιτών.

Η Αρχή της Νορβηγίας και η Αρχή της Σουηδίας στις οδηγίες που εξέδωσαν αναφέρουν ότι  πληροφορίες όπως το ότι ένας υπάλληλος επέστρεψε από “περιοχή κινδύνου” και ότι έχει τεθεί σε καραντίνα (χωρίς όμως να δίνονται περισσότερες λεπτομέρειες σχετικά με την αιτία) δε θεωρούνται πληροφορίες σχετικές με την υγεία του εργαζομένου.

Ο Πρόεδρος της Πολωνικής Αρχής σε δήλωσή του αναφέρει ότι ο GDPR δεν μπορεί να θεωρηθεί εμπόδιο στην καταπολέμηση του COVID-19, στηρίζοντας τις δηλώσεις του στην αιτιολογική σκέψη 46 του GDPR.

Τέλος, ο Γερμανός Ομοσπονδιακός Επίτροπος Προστασίας αποδέχεται ότι παρόλο που η επεξεργασία των δεδομένων για την υγεία είναι ουσιαστικά δυνατή μόνο με περιοριστικό τρόπο, τα δεδομένα μπορούν να συλλεχθούν και να χρησιμοποιηθούν για να περιοριστεί η πανδημία ή για την προστασία των εργαζομένων. Πρέπει όμως πάντοτε να τηρείται η αρχή της αναλογικότητας.

Για παράδειγμα, σύμφωνα με τον Επίτροπο, τα ακόλουθα μέτρα  για τον περιορισμό και την καταπολέμηση της πανδημίας μπορούν να θεωρηθούν νόμιμα:

– Συλλογή και επεξεργασία προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων υγείας) των εργαζομένων από τον εργοδότη προκειμένου να προληφθεί ή να περιοριστεί η διάδοση του ιού στους εργαζομένους όσο το δυνατόν καλύτερα. Αυτό περιλαμβάνει ιδίως πληροφορίες σχετικά με τις περιπτώσεις στις οποίες έχει εντοπιστεί μία λοίμωξη ή ο εργαζόμενος έχει έρθει σε επαφή με ένα αποδεδειγμένα μολυσμένο άτομο και κατά τις οποίες πραγματοποιήθηκε κατά την σχετική περίοδο διαμονή σε περιοχή χαρακτηρισμένη  ως περιοχή κινδύνου.

– Συλλογή και επεξεργασία προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων για την υγεία) από τους επισκέπτες, ιδίως για να διαπιστωθεί εάν έχουν μολυνθεί από τον ιό ή έχουν έρθει σε επαφή με ένα αποδεδειγμένα μολυσμένο άτομο.

Μπορείτε να μείνετε ενημερωμένοι αναφορικά με σχετικές αποφάσεις Αρχών Προστασίας Προσωπικών Δεδομένων ανά τον κόσμο εδώ.

Η Ελληνική Αρχή

Την Τετάρτη 18 Μαρτίου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε με τη σειρά της κατευθυντήριες γραμμές τονίζοντας ότι η εφαρµογή του νοµικού πλαισίου για την προστασία των δεδοµένων προσωπικού χαρακτήρα δεν συνιστά εµπόδιο στη λήψη των αναγκαίων µέτρων αντιµετώπισης του κορωνοϊού.

Η Αρχή, κινούμενη στην ίδια σελίδα με τις περισσότερες αρχές της Ευρώπης, υπογραμμίζει ότι το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωµα και πρέπει να εκτιµάται σε σχέση µε τη λειτουργία του στην κοινωνία και να σταθµίζεται σε σχέση µε άλλα θεµελιώδη δικαιώµατα, σύµφωνα µε την αρχή της αναλογικότητας.

Διευκρινίσεις για τον ιδιωτικό τομέα 

Ο εκάστοτε εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζοµένων λαµβάνοντας τα αναγκαία προστατευτικά µέτρα προς αποφυγή επέλευσης σοβαρού, άµεσου και αναπόφευκτου κινδύνου αυτών, εγγυώµενος το ασφαλές και υγιές περιβάλλον εργασίας µε τη συνδροµή των εργαζοµένων στηριζόμενος στα άρθρα 42,45 και 49 του ν 3850/2010.

Γενικές Οδηγίες

Η Αρχή διευκρινίζει ότι:

– Οι πληροφορίες σχετικά µε την κατάσταση της υγείας ενός φυσικού προσώπου, περιλαµβανοµένης της παροχής υπηρεσιών υγειονοµικής φροντίδας σε αυτό, συνιστούν δεδοµένα προσωπικού χαρακτήρα που αφορούν την υγεία, δηλαδή ειδικής κατηγορίας δεδοµένα προσωπικού χαρακτήρα, τα οποία υπόκεινται σε αυστηρότερο καθεστώς προστασίας.

– Πληροφορίες όπως εάν ένα υποκείµενο των δεδοµένων ταξίδεψε πρόσφατα σε αλλοδαπό κράτος µε εκτεταµένη διάδοση του κορωνοϊού ή εάν οικείος ή συνεργάτης του είναι ασθενής ή έχει προσβληθεί από τον κορωνοϊό, δεν αφορούν την υγεία του συγκεκριµένου υποκειµένου και, συνεπώς, δεν αποτελούν δεδοµένα προσωπικού χαρακτήρα ειδικής κατηγορίας, αλλά δύναται υπό προϋποθέσεις να συνιστούν απλά δεδοµένα προσωπικού χαρακτήρα. 

Επιτρέπεται η θερµοµέτρηση των εισερχοµένων ή η υποβολή συµπλήρωσης ερωτηµατολογίου σχετικά µε την κατάσταση της υγείας των εργαζοµένων ή οικείων τους, πρόσφατου ιστορικού ταξιδίου σε αλλοδαπό κράτος µε αυξηµένο κίνδυνο µετάδοσης του κορωνοϊου  κ.λπ. ή η ενηµέρωση των λοιπών εργαζοµένων για το γεγονός ή και τα στοιχεία ταυτότητας ήδη νοσούντος εργαζοµένου;

Ο υπεύθυνος επεξεργασίας δεν µπορεί εκ προοιµίου να αποκλείσει ως απαγορευµένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιµη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται οι προϋποθέσεις του Γενικου Κανονισμού. Είναι αυτονόητο ότι η επεξεργασία αυτή πραγµατοποιείται στο πλαίσιο της αρχής της λογοδοσίας. Ιδιαίτερη προσοχή πρέπει να δοθεί στην αξιολόγηση του ενδεχοµένου συλλογής µόνο των αναγκαίων πληροφοριών που συνδέονται αποκλειστικά µε τον επιδιωκόµενο σκοπό τηρουµένης της αρχής της ασφαλούς επεξεργασίας μέσω της λήψης απαραίτητων τεχνικών και οργανωτικών µέτρων ασφαλείας.

Η συλλογή και η εν γένει επεξεργασία των δεδοµένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισµό ατοµικών δικαιωµάτων, όπως π.χ. η θερµοµέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα.

Επεξεργασία δεδοµένων προσωπικού χαρακτήρα θανόντων: Δεν εµπίπτει καταρχήν στο προστατευτικό πεδίο των κανόνων προστασίας δεδοµένων προσωπικού χαρακτήρα ∆εδοµένου, ωστόσο, ότι η αποκάλυψη των στοιχείων ταυτοποίησης θανόντων από τον κορωνοϊό ενδέχεται να οδηγεί σε έµµεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων για τους οποίους εφαρµόζονται οι συναφείς κανόνες, πρέπει η επεξεργασία να γίνεται σύµφωνα µε τις γενικές αρχές επεξεργασίας του άρθρου 5 παρ. 1 σε συνδυασµό µε το άρθρο 6 ΓΚΠ∆.

Γνωστοποίηση σε τρίτους πληροφοριών για την κατάσταση υγείας των υποκειµένων των δεδοµένων Ακόµη και αν καταρχήν διενεργείται στο πλαίσιο των άρθρων 5, 6 και 9 ΓΚΠ∆, δεν είναι επιτρεπτή, αν δηµιουργεί κλίµα προκατάληψης και στιγµατισµού, και ενδέχεται να δρα αποτρεπτικά στην τήρηση των µέτρων που ανακοινώθηκαν από τις αρµόδιες δηµόσιες αρχές µε αποτέλεσµα να αντιστρατεύεται τελικά την αποτελεσµατικότητα τους.

Επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς

Προ της τυχόν επεξεργασίας δεδοµένων προσωπικού χαρακτήρα για δηµοσιογραφικούς σκοπούς , ιδίως ως προς την κατάσταση υγείας των υποκειµένων σε σχέση µε τον κορωνοϊό, πέραν των προαναφεροµένων (ιδίως των σκέψεων υπ’ αρ. 9 της παρούσας) θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειµένου (π.χ. ονοµατεπώνυµο, φωτογραφία και άλλα προσδιοριστικά στοιχεία), δεδοµένου µάλιστα ότι οι αρµόδιες αρχές (Εθνικός Οργανισµός ∆ηµόσιας Υγείας [Ε.Ο.∆.Υ.] και Γενική Γραµµατεία Πολιτικής Προστασίας [Γ.Γ.Π.Π.]) επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα πολιτών επιδηµιολογικού συσχετισµού, δίχως τον προσδιορισµό προσωπικών στοιχείων ταυτότητας (βλ. άρ. 19

Δημόσιες Αρχές

– Από το Γενικό Κανονισμό παρέχονται οι νοµικές βάσεις για την αναγκαία επεξεργασία που διενεργείται από τις αρµόδιες δηµόσιες αρχές για τη λήψη των αναγκαίων κατά περίπτωση µέτρων, σύµφωνα µε τις οικείες Πράξεις Νομοθετικού Περιεχομένου, προς τον σκοπό της αποφυγής κινδύνου εµφάνισης ή διάδοσης του κορωνοϊού, που ενδέχεται να έχουν σοβαρές επιπτώσεις στη δηµόσια υγεία, µε την επιφύλαξη ότι τηρούνται οι βασικές αρχές και εξασφαλίζονται οι σχετικές ουσιαστικές και διαδικαστικές εγγυήσεις και προϋποθέσεις σύννοµης επεξεργασίας ( άρθρα 6 παρ. 1 εδ. γ’, δ’ και ε’ και 9 παρ. 2 εδ. β’, ε’ , η’ και θ’ του ΓΚΠΔ )

– Η επεξεργασία δεδοµένων προσωπικού χαρακτήρα υγείας στο πλαίσιο λήψης µέτρων κατά του κορωνοϊού διενεργείται από τις αρµόδιες δηµόσιες αρχές ως απαραίτητη για λόγους δηµοσίου συµφέροντος στον τοµέα της δηµόσιας υγείας, στις οποίες περιλαµβάνεται και η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας κατ’ άρ. 9 παρ. 2 εδ. θ’ ΓΚΠ∆ (βλ. αιτ. σκ. 46 και 52 ΓΚΠ∆).

– Οι αρµόδιες δηµόσιες αρχές αποτελούν τους υπευθύνους επεξεργασίας που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα απλά και υγείας (ειδικής κατηγορίας) για την προστασία της δηµόσιας υγείας.

– Η προφορική ενηµέρωση ότι το υποκείµενο των δεδοµένων νοσεί από τον κορωνοϊό ή ότι η σωµατική θερµοκρασία του έχει µετρηθεί ως ανώτερη του φυσιολογικού συνιστούν µεν δεδοµένα προσωπικού χαρακτήρα, πλην όµως η σχετική νοµοθεσία δεν εφαρµόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστηµα αρχειοθέτησης σε περίπτωση µη αυτοµατοποιηµένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοµατοποιηµένη επεξεργασία.

Αντί επιλόγου

Οι κατευθυντήριες γραμμές που εξέδωσε η ΑΠΔΠΧ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαχείρισης του COVID-19 αποτελούν ένα σημαντικό βοήθημα στην καθημερινή λειτουργία κάθε οργανισμού.

Οι μέρες που διανύουμε σαφώς ανέδειξαν περισσότερο από ποτέ την ανάγκη για ατομική υπευθυνότητα και δράση.

Η δική μας συμβουλή, είναι ότι δεν χρειάζεται πανικός και βιαστικές κινήσεις ούτε στα εργασιακά ζητήματα.

Οι οργανισμοί που θα επεξεργαστούν δεδομένα προσωπικού χαρακτήρα (που ενδεχομένως να αφορούν την υγεία) θα πρέπει πρώτα να θεσπίσουν τις απαραίτητες, ανάλογες και σωστά αιτιολογημένες διαδικασίες λήψης αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τη διαχείριση του COVID-19.

Αυτές θα πρέπει να είναι διαφανείς, συμπεριλαμβανομένου του σκοπού της συλλογής των προσωπικών δεδομένων και του χρόνου διατήρησής τους.

Κάθε επεξεργασία δεδομένων στο πλαίσιο της πρόληψης της εξάπλωσης του COVID-19, πρέπει να διεξάγεται κατά τρόπο που εξασφαλίζει την ασφάλεια των δεδομένων, ιδίως όσον αφορά τα δεδομένα υγείας.

Η ταυτότητα των προσβεβλημένων ατόμων, δεν θα πρέπει να γνωστοποιείται στους συναδέλφους, παρά μόνο στην περίπτωση όπου θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, για την επίτευξη της διασφάλισης των ζωτικών συμφερόντων των εργαζομένων.

Όπως συμβαίνει με κάθε επεξεργασία δεδομένων, πρέπει να υποβληθεί σε επεξεργασία μόνο το ελάχιστο απαραίτητο ποσό δεδομένων για την επίτευξη των σκοπών εφαρμογής μέτρων για την πρόληψη ή τη διατήρηση της εξάπλωσης του COVID-19 και μόνο για τον σκοπό αυτό και όχι για άλλους.

Μια συστηµατική, διαρκής και γενικευµένη συλλογή δεδοµένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζοµένων, δύσκολα θα µπορούσε να χαρακτηριστεί ως σύµφωνη µε την αρχή της αναλογικότητας.

Η επόμενη ημέρα από την πανδημία θα έρθει και είναι σημαντικό να βγούμε από αυτή την κατάσταση  με όσο το δυνατόν λιγότερες απώλειες σε όλους τους τομείς.

Και όπως εύστοχα τονίζει η καθηγήτρια κ. Μήτρου “Δεν πρέπει να αποτελέσει η πανδημία την θρυαλλίδα νέων μορφών κρατικού ή/και κοινωνικού ελέγχου ή μίας γενικευμένης εισβολής στην ιδιωτική ζωή των ανθρώπων”.

*Η Μαρίνα Ζαχαροπούλου είναι απόφοιτος της Νομικής Σχολής του Εθνικού και Καποδιστριακού Πανεπιστημίου Αθηνών και ασκούμενη δικηγόρος. Αυτή την περίοδο παρακολουθεί τις μεταπτυχιακές της σπουδές  με τίτλο ” Artificial Intelligence/ Digital Technology Management” στο Πανεπιστήμιο της Bologna.


Τι είναι η Ομομορφική Κρυπτογράφηση;

Γράφει ο Αναστάσιος Αραμπατζής*

Κάθε μέρα επιχειρήσεις, οργανισμοί και υπηρεσίες χειρίζονται πολλές ευαίσθητες πληροφορίες, όπως προσωπικά και χρηματοοικονομικά δεδομένα, τα οποία πρέπει να κρυπτογραφούνται τόσο όταν αποθηκεύονται όσο και κατά τη μετάδοσή τους.

Αν και το «σπάσιμο» των σύγχρονων αλγορίθμων κρυπτογράφησης απαιτεί πολύ μεγάλη επεξεργαστική ισχύ, το οποίο καθιστά την όλη διαδικασία πολύ δαπανηρή και χρονοβόρα για να είναι εφικτή (τουλάχιστον μέχρι την έλευση της κβαντικής υπολογιστικής), είναι επίσης αδύνατο να επεξεργαστούμε τα δεδομένα χωρίς να τα αποκρυπτογραφήσουμε πρώτα. Και η αποκρυπτογράφηση των δεδομένων, τα καθιστά ευάλωτα σε κακόβουλους δρώντες.

Το πρόβλημα με την κρυπτογράφηση των δεδομένων είναι ότι αργά ή γρήγορα θα απαιτηθεί να τα αποκρυπτογραφήσουμε. Μπορούμε να αποθηκεύσουμε τα αρχεία μας κρυπτογραφικά κωδικοποιημένα σε οποιοδήποτε «σύννεφο», αλλά μόλις απαιτηθεί να κάνουμε κάτι με αυτά τα αρχεία, οτιδήποτε από την επεξεργασία ενός εγγράφου του Word έως την υποβολή ερωτημάτων σε μια βάση χρηματοοικονομικών δεδομένων, θα πρέπει πρώτα να «ξεκλειδώσουμε» τα δεδομένα και να τα αφήσουμε ευάλωτα.

Η ομομορφική κρυπτογράφηση (homomorphic encryption), μια σημαντική εξέλιξη στην επιστήμη της κρυπτογραφίας, υπόσχεται να λύσει αυτό το πρόβλημα.

Τι είναι όμως η Ομομορφική Κρυπτογράφηση;

Ο σκοπός της ομομορφικής κρυπτογράφησης είναι να επιτρέψει την εκτέλεση υπολογισμών σε κρυπτογραφημένα δεδομένα. Έτσι τα δεδομένα μπορούν να παραμείνουν εμπιστευτικά κατά την επεξεργασία τους, επιτρέποντας την επίτευξη χρήσιμων εργασιών με τα αυτά ενώ είναι αποθηκευμένα σε μη αξιόπιστα περιβάλλοντα. Σε έναν κόσμο κατανεμημένων υπολογιστικών πόρων και ετερογενούς δικτύωσης, αυτή είναι μια εξαιρετικά πολύτιμη δυνατότητα.

Ένα ομομορφικό κρυπτογραφικό σύστημα είναι σαν τις άλλες μορφές ασύμμετρης κρυπτογράφησης, επειδή χρησιμοποιεί ένα δημόσιο κλειδί για την κρυπτογράφηση των δεδομένων και επιτρέπει μόνο στο άτομο με το κατάλληλο ιδιωτικό κλειδί να προσπελάσει τα μη κρυπτογραφημένα δεδομένα.

Ωστόσο, αυτό που το ξεχωρίζει από άλλες μορφές κρυπτογράφησης είναι ότι χρησιμοποιεί ένα αλγεβρικό σύστημα που επιτρέπει σε εμάς ή σε εξουσιοδοτημένους τρίτους να εκτελέσουν μια ποικιλία υπολογισμών (ή λειτουργιών) στα κρυπτογραφημένα δεδομένα.

Στα μαθηματικά ο όρος «ομομορφικό» περιγράφει τον μετασχηματισμό ενός συνόλου δεδομένων σε ένα άλλο διατηρώντας παράλληλα τις σχέσεις μεταξύ των στοιχείων και στα δύο σύνολα. Επειδή τα δεδομένα σε ένα ομομορφικό σύστημα κρυπτογράφησης διατηρούν την ίδια δομή, πανομοιότυπες μαθηματικές λειτουργίες, είτε αυτές εκτελούνται σε κρυπτογραφημένα ή σε μη κρυπτογραφημένα δεδομένα, θα οδηγήσουν σε ισοδύναμα αποτελέσματα.

Η εύρεση μιας μεθόδου για την εκτέλεση υπολογισμών σε κρυπτογραφημένα δεδομένα αποτελούσε στόχο της κρυπτογραφίας από όταν προτάθηκε το 1978 από τους Rivest, Adleman και Δερτούζο. Το ενδιαφέρον για αυτό το θέμα οφείλεται στις πολυάριθμες εφαρμογές του στον πραγματικό κόσμο.

Η ανάπτυξη της πλήρους ομομορφικής κρυπτογράφησης αποτελεί μία επαναστατική πρόοδο για το πεδίο της κρυπτογραφίας, επεκτείνοντας σε μεγάλο βαθμό το πεδίο των υπολογισμών που μπορούν να εφαρμοστούν για την επεξεργασία κρυπτογραφημένων δεδομένων ομομορφικά.

Το ενδιαφέρον για τη βελτίωση, υλοποίηση και εφαρμογή της πλήρους ομομορφικής κρυπτογράφησης εντάθηκε όταν ο Craig Gentry δημοσίευσε το 2009 την εργασία του που περιέγραφε λεπτομερώς αυτό το σχήμα ομομορφικής κρυπτογράφησης.

Τύποι Ομομορφικής Κρυπτογράφησης

Υπάρχουν τρεις τύποι ομομορφικής κρυπτογράφησης:

– Μερικώς ομομορφική κρυπτογράφηση

– Κάπως ομομορφική κρυπτογράφηση

– Πλήρης ομομορφική κρυπτογράφηση

Η κύρια διαφορά μεταξύ τους σχετίζεται με τους τύπους και τη συχνότητα των μαθηματικών λειτουργιών που μπορούν να εκτελεστούν σε κρυπτογραφημένα δεδομένα.

Η μερικώς ομομορφική κρυπτογράφηση επιτρέπει την εκτέλεση μόνο συγκεκριμένων μαθηματικών συναρτήσεων σε κρυπτογραφημένες τιμές. Αυτό σημαίνει ότι μόνο μία λειτουργία, είτε πρόσθεση είτε πολλαπλασιασμός, μπορεί να εκτελεστεί απεριόριστα στα κρυπτογραφημένα δεδομένα. Η μερικώς ομομορφική κρυπτογράφηση με πολλαπλασιαστικές λειτουργίες είναι η βάση για την κρυπτογράφηση RSA, η οποία χρησιμοποιείται συνήθως για τη δημιουργία ασφαλών συνδέσεων μέσω SSL/TLS.

Ένα κάπως ομομορφικό σύστημα κρυπτογράφησης είναι αυτό που υποστηρίζει την επιλογή λειτουργίας (είτε πρόσθεση ή πολλαπλασιασμό) μίας ορισμένης πολυπλοκότητας, αλλά αυτές οι λειτουργίες μπορούν να εκτελεστούν μόνο για ένα πεπερασμένο αριθμό.

Πλήρης Ομομορφική Κρυπτογράφηση

Η πλήρης ομομορφική κρυπτογράφηση (Fully Homomorphic Encryption, FHE), παρότι βρίσκεται ακόμα στο στάδιο της ανάπτυξης, έχει πολλές δυνατότητες να καταστήσει τη λειτουργικότητα συμβατή με την ιδιωτικότητα, βοηθώντας να διατηρήσουμε τις πληροφορίες ασφαλείς και προσβάσιμες ταυτόχρονα.

Η πλήρης ομομορφική κρυπτογράφηση χρησιμοποιεί τόσο την πρόσθεση όσο και τον πολλαπλασιασμό, για απεριόριστες φορές, ενώ επιτρέπει με ασφάλεια την ταυτόχρονη εκτέλεση λειτουργιών από πολλαπλά μέρη (multi-party computation). Σε αντίθεση με τις άλλες μορφές ομομορφικής κρυπτογράφησης, μπορεί να χειριστεί τυχαίους υπολογισμούς στα κρυπτογραφημένα δεδομένα.

Εφαρμογές Πλήρους Ομομορφικής Κρυπτογράφησης

Ο Craig Gentry ανέφερε στη διατριβή του ότι «η πλήρης ομομορφική κρυπτογράφηση έχει πολλαπλές εφαρμογές. Για παράδειγμα, επιτρέπει ιδιωτικά ερωτήματα σε μια μηχανή αναζήτησης.

Ο χρήστης υποβάλλει ένα κρυπτογραφημένο ερώτημα και η μηχανή αναζήτησης υπολογίζει μια συνοπτική κρυπτογραφημένη απάντηση χωρίς ποτέ να εξετάσει το περιεχόμενο του ερωτήματος. Επίσης, επιτρέπει την αναζήτηση σε κρυπτογραφημένα δεδομένα. Ένας χρήστης αποθηκεύει κρυπτογραφημένα αρχεία σε έναν απομακρυσμένο διακομιστή αρχείων και μπορεί αργότερα να ανακτήσει από τον διακομιστή μόνο τα αρχεία που (όταν αποκρυπτογραφηθούν) ικανοποιούν ορισμένους περιορισμούς δυαδικής τιμής. Γενικότερα, η πλήρης ομομορφική κρυπτογράφηση βελτιώνει την απόδοση του ασφαλούς υπολογισμού από πολλαπλά μέρη.»

Οι ερευνητές έχουν ήδη προσδιορίσει αρκετές πρακτικές εφαρμογές της πλήρους ομομορφικής κρυπτογράφησης, όπως:

-Προστασία δεδομένων που είναι αποθηκευμένα στο cloud.

Χρησιμοποιώντας την ομομορφική κρυπτογράφηση, μπορούμε να ασφαλίσουμε τα δεδομένα που αποθηκεύουμε στο cloud, διατηρώντας παράλληλα τη δυνατότητα να υπολογίσουμε και να αναζητήσουμε πληροφορίες που μπορούμε να αποκρυπτογραφήσετε αργότερα, χωρίς να διακυβεύουμε την ακεραιότητα των δεδομένων στο σύνολό τους.

-Ανάλυση δεδομένων για ερευνητικούς σκοπούς.

Η ομομορφική κρυπτογράφηση επιτρέπει την κρυπτογράφηση και την αποδέσμευση δεδομένων σε εμπορικά περιβάλλοντα για σκοπούς έρευνας και διαμοιρασμού δεδομένων, προστατεύοντας παράλληλα το απόρρητο των δεδομένων των χρηστών ή των ασθενών. Μπορεί να χρησιμοποιηθεί για επιχειρήσεις και οργανισμούς σε διάφορες βιομηχανίες, όπως χρηματοοικονομικές υπηρεσίες, λιανική πώληση, τεχνολογία πληροφοριών και υγειονομική περίθαλψη, ώστε να επιτρέπουν στους χρήστες να χρησιμοποιούν τα δεδομένα χωρίς να έχουν πρόσβαση στις μη κρυπτογραφημένες τιμές τους.

Παραδείγματα αποτελούν η προγνωστική ανάλυση των ιατρικών δεδομένων χωρίς να τίθεται σε κίνδυνο το απόρρητο των δεδομένων, η διατήρηση του απορρήτου των πελατών για τη διενέργεια εξατομικευμένων διαφημίσεων, οι αλγόριθμοι πρόβλεψης τιμών μετοχών και η ιατροδικαστική αναγνώριση εικόνας.

-Bελτίωση της ασφάλειας των εκλογών και της διαφάνειας.

Οι ερευνητές εργάζονται για το πώς να χρησιμοποιήσουν την ομομορφική κρυπτογράφηση για να καταστήσουν τις δημοκρατικές εκλογές πιο ασφαλείς και διαφανείς. Αυτή η τεχνολογία θα μπορούσε όχι μόνο να προστατεύσει τα δεδομένα από τη χειραγώγηση και αλλοίωση, αλλά θα μπορούσε να επιτρέψει και την ανεξάρτητη επαλήθευση από εξουσιοδοτημένα μέρη.

Περιορισμοί Πλήρους Ομομορφικής Κρυπτογράφησης

Επί του παρόντος υπάρχουν δύο γνωστοί περιορισμοί της πλήρους ομομορφικής κρυπτογράφησης. Ο πρώτος περιορισμός είναι η υποστήριξη για πολλαπλούς χρήστες.

Ας υποθέσουμε ότι υπάρχουν πολλοί χρήστες του ίδιου συστήματος το οποίο βασίζεται σε μια εσωτερική βάση δεδομένων που χρησιμοποιείται για υπολογισμούς, οι οποίοι επιθυμούν να προστατεύσουν τα προσωπικά τους δεδομένα από τον πάροχο του συστήματος. Μια λύση θα ήταν ο πάροχος να έχει μια ξεχωριστή βάση δεδομένων για κάθε χρήστη, κρυπτογραφημένη με το δημόσιο κλειδί του κάθε χρήστη. Εάν όμως η βάση δεδομένων είναι πολύ μεγάλη και υπάρχουν πολλοί χρήστες, η υλοποίηση αυτής της λύσης είναι αδύνατη.

Ένας δεύτερος περιορισμός αφορά εφαρμογές που περιλαμβάνουν την εκτέλεση πολύ μεγάλων και πολύπλοκων αλγορίθμων. Όλα τα πλήρη ομομορφικά συστήματα κρυπτογράφησης έχουν μια μεγάλη υπολογιστική επιβάρυνση, η οποία περιγράφει την αναλογία του χρόνου εκτέλεσης ενός υπολογισμού σε κρυπτογραφημένα δεδομένα έναντι του χρόνου εκτέλεσης του ίδιο υπολογισμού σε μη κρυπτογραφημένα δεδομένα. Αυτή η υπολογιστική επιβάρυνση καθιστά τον ομομορφικό υπολογισμό πολύπλοκων λειτουργιών μη πρακτικό.

Υλοποιήσεις Πλήρους Ομομορφικής Κρυπτογράφησης

Μερικές από τις μεγαλύτερες εταιρείες τεχνολογίας στον κόσμο έχουν ξεκινήσει προγράμματα για να βελτιστοποιήσουν την ομομορφική κρυπτογράφηση και να την καταστήσουν καθολικά διαθέσιμη και φιλική προς τον χρήστη.

Η Microsoft, για παράδειγμα, έχει δημιουργήσει τη βιβλιοθήκη SEAL (Simple Encrypted Arithmetic Library), ένα σύνολο βιβλιοθηκών κρυπτογράφησης που επιτρέπουν την εκτέλεση υπολογισμών απευθείας σε κρυπτογραφημένα δεδομένα. Με την τεχνολογία της ομομορφικής κρυπτογράφησης ανοιχτού κώδικα, η ομάδα της Microsoft συνεργάζεται με εταιρείες για τη δημιουργία υπηρεσιών αποθήκευσης και υπολογισμού κρυπτογραφημένων δεδομένων από άκρο σε άκρο (end-to-end encryption). Οι εταιρείες μπορούν να χρησιμοποιήσουν τη βιβλιοθήκη SEAL για να δημιουργήσουν πλατφόρμες ανάλυσης δεδομένων με χρήση κρυπτογραφημένων πληροφοριών, ενώ οι κάτοχοι των δεδομένων δεν απαιτείται ποτέ να μοιράζονται το κλειδί κρυπτογράφησης με οποιονδήποτε άλλο χρήστη. Ο στόχος, λέει η Microsoft, είναι να «βάλουμε τη βιβλιοθήκη μας στα χέρια κάθε προγραμματιστή, έτσι ώστε να μπορούμε να συνεργαστούμε για πιο ασφαλή, ιδιωτικά και αξιόπιστα υπολογιστικά συστήματα».

Η Google ανακοίνωσε επίσης τη στήριξή της για την ομομορφική κρυπτογράφηση αποκαλύπτοντας το δικό της κρυπτογραφημένο εργαλείο ανοιχτού κώδικα, το Private Join and Compute. Το εργαλείο της Google επικεντρώνεται στην ανάλυση δεδομένων σε κρυπτογραφημένη μορφή, όπου ορατές είναι μόνο οι πληροφορίες που προκύπτουν από την ανάλυση και όχι τα υποκείμενα δεδομένα.

Τέλος, με στόχο να γίνει διαδεδομένη η ομομορφική κρυπτογράφηση, η IBM αποδέσμευσε το 2016 την πρώτη έκδοση της βιβλιοθήκης HElib, η οποία σύμφωνα με πληροφορίες «ήταν 100 τρισεκατομμύρια φορές πιο αργή από τις λειτουργίες σε απλό κείμενο.» Έκτοτε, η IBM έχει εργαστεί για την επίλυση αυτού του προβλήματος και έχει καταλήξει σε μια έκδοση που είναι 75 φορές ταχύτερη, αλλά εξακολουθεί να υστερεί έναντι των αντίστοιχων λειτουργιών επί απλού κειμένου.

Συμπέρασμα

Σε μια εποχή που η εστίαση στην ιδιωτικότητα αυξάνεται, κυρίως λόγω κανονισμών όπως ο GDPR, η έννοια της ομομορφικής κρυπτογράφησης παρέχει πολλές υποσχέσεις για εφαρμογή σε διάφορες βιομηχανίες. Οι ευκαιρίες που προκύπτουν από την ομομορφική κρυπτογράφηση είναι σχεδόν ατελείωτες. Ίσως η πιο συναρπαστική πτυχή είναι ο τρόπος με τον οποίο συνδυάζει την ανάγκη προστασίας της ιδιωτικής ζωής με την ανάγκη για λεπτομερή ανάλυση των δεδομένων. Η ομομορφική κρυπτογράφηση μετέτρεψε την «Αχίλλειο πτέρνα» σε δώρο από τους θεούς.

Η αρχική έκδοση του παρόντος άρθρου δημοσιεύθηκε στην ιστοσελίδα της Venafi.


Η εποχή της "συγκομιδής" των προσωπικών δεδομένων

Γράφει η Αδαμαντία Βολικού*

Η ονομαζόμενη «συγκομιδή δεδομένων» αποτελεί, στη σύγχρονη εποχή, μια δραστηριότητα δημοφιλή και συχνά ιδιαίτερα επικερδή για όσους ασχολούνται με αυτή.

-Μπορεί, ωστόσο, η συγκομιδή αυτή να γίνεται ανεξέλεγκτα ή υπόκειται σε περιορισμούς;

-Και τι συμβαίνει όταν άλλοι συγκεντρώνουν τα προσωπικά μας δεδομένα, τους καρπούς δηλαδή της δικής μας «σοδειάς»;

Τι είναι «συγκομιδή δεδομένων»;

Ο όρος «συγκομιδή» ή «απόξεση» ή «απόσπαση» δεδομένων (data scraping) είναι ένας γενικός όρος, ο οποίος αναφέρεται σε όλες τις μεθόδους που χρησιμοποιούνται και στοχεύουν στην απόκτηση και συλλογή δεδομένων από το διαδίκτυο.

Η συγκομιδή μπορεί να γίνεται από μεμονωμένα άτομα και χειροκίνητα –ποιος από εμάς άλλωστε δεν έχει συλλέξει πληροφορίες από το διαδίκτυο; – ωστόσο, σήμερα, ο συνηθέστερος τρόπος που επιτρέπει τη συλλογή εξαιρετικά μεγάλου όγκου δεδομένων σε ασύγκριτα ταχύτερο χρόνο είναι ο αυτοματοποιημένος. Η αυτοματοποιημένη συγκομιδή δεδομένων πραγματοποιείται με τη χρήση ειδικού λογισμικού, το οποίο στοχεύει στην απόσπαση δεδομένων που βρίσκονται στο διαδίκτυο και, πρακτικά, αποτελεί μια μορφή αντιγραφής δεδομένων, τα οποία συγκεντρώνονται για μεταγενέστερη ανάλυση και χρήση.

Τις βασικότερες μορφές συγκομιδής δεδομένων αποτελούν:

α) η απόσπαση στοχευμένων και συγκεκριμένων δεδομένων από ιστοσελίδες (screen scraping, ελλ. «συγκομιδή δεδομένων οπτικής εξόδου»),

β) η απόκτηση όλων των δεδομένων ενός ιστοτόπου, συμπεριλαμβανομένης της γλώσσας προγραμματισμού του και η μετατροπή τους στη μορφή που επιθυμεί ο αποκτών λ.χ. δημιουργία αρχείου ή βάσης δεδομένων (web scraping ή web harvesting, ελλ. «ιστοσυγκομιδή») και

γ) η χρήση προγραμμάτων-ρομπότ (web spiders, web crawlers, scraper bots, search bots), τα οποία διατρέχουν τις σελίδες του παγκόσμιου ιστού και αντιγράφουν το περιεχόμενό τους και το περιεχόμενο των υπερσυνδέσμων (hyperlinks) που περιέχονται σε αυτές ώστε να δημιουργήσουν ευρετήρια του internet (web crawling ή web spidering, ελλ. «ανίχνευση ιστού»). Η μέθοδος αυτή χρησιμοποιείται κυρίως από μηχανές αναζήτησης (Google, Bing κλπ.), με σκοπό να αυξήσουν, να επικαιροποιήσουν και να κάνουν πιο ελκυστικά τα αποτελέσματα αναζήτησης.

Πού χρησιμεύει η συγκομιδή δεδομένων και πώς μας αφορά;

Η συγκέντρωση και ανάλυση κάθε μορφής δεδομένων και πληροφοριών από ηλεκτρονικά προσβάσιμες πηγές δεν αποτελούν είδηση για το σύγχρονο κόσμο. Χρησιμοποιούνται ευρέως εδώ και έτη σε πολλούς κλάδους που επηρεάζουν άμεσα ή έμμεσα την καθημερινή μας ζωή.

Η συλλογή και χρήση δεδομένων προορίζεται, μεταξύ άλλων, για την προώθηση της ιατρικής έρευνας, την υποστήριξη μεγάλης ή μικρής κλίμακας στατιστικών μελετών, τη διευκόλυνση και ενίσχυση της ακαδημαϊκής έρευνας, την εξέλιξη της επιστήμης γενικότερα και της τεχνολογίας, την προώθηση της οικονομίας και του εμπορίου προς όφελος των καταναλωτών. Στην τελευταία περίπτωση, τα αποτελέσματα των τεχνικών της συγκομιδής δεδομένων γίνονται άμεσα αντιληπτά στο χρήστη του διαδικτύου μέσα από τη δυνατότητα πρόσβασης σε ιστοτόπους σύγκρισης τιμών προϊόντων και υπηρεσιών (λ.χ. τιμές εισιτηρίων, καταλυμάτων και εμπορευμάτων) και τη βελτίωση των παρεχόμενων προϊόντων και υπηρεσιών ώστε να ανταποκρίνονται στις ανάγκες του σύγχρονου καταναλωτή (λ.χ. έξυπνες συσκευές).

Ωστόσο, η συγκομιδή δεδομένων δεν έχει ως αντικείμενο μόνο την απόκτηση πληροφοριών γενικού, επιστημονικού ή οικονομικού ενδιαφέροντος. Τα προσωπικά δεδομένα των χρηστών του διαδικτύου δηλαδή όλες οι διαθέσιμες στο διαδίκτυο πληροφορίες που σχετίζονται ή μπορούν να σχετιστούν με κάθε χρήστη έχουν ανεκτίμητη αξία για ολόκληρο σχεδόν τον επιχειρηματικό κόσμο του πλανήτη αλλά και για άλλους κλάδους όπως η επιστήμη και η τεχνολογία, για την επιβίωση και εξέλιξή τους σε συνθήκες σκληρού ανταγωνισμού.

Η δραστηριότητα του ανθρώπου στο διαδίκτυο είναι ανεξάντλητη: online αγοραπωλησίες, μέσα κοινωνικής δικτύωσης, επαγγελματική προβολή, υπηρεσίες ηλεκτρονικού ταχυδρομείου, αναζήτηση πληροφοριών, blogs, ανάρτηση σχολίων, υπηρεσίες συνδρομητικές ή όχι, με εγγραφή ή χωρίς. Σύμφωνα με πρόσφατες στατιστικές, ως τις αρχές του 2020 υπολογίζεται ότι κάθε χρήστης παράγει κατά μέσο όρο 1,7 megabytes δεδομένων ανά δευτερόλεπτο.  Η ίδια αυτή δραστηριότητα αφήνει πίσω της και τα ίχνη μας, τα προσωπικά δεδομένα, τα οποία γίνονται πολυπόθητο αντικείμενο συγκομιδής.

Με ποιους «μοιραζόμαστε» τα προσωπικά μας δεδομένα;

Η συγκομιδή δεδομένων αποτελεί συνήθη και διαδεδομένη διεθνώς πρακτική για πολλούς κλάδους, οι οποίοι συγκεντρώνουν και αποθηκεύουν τεράστια πακέτα δεδομένων (big data sets) για να τα επεξεργαστούν αργότερα για δική τους χρήση ή για να τα πουλήσουν σε άλλους ενδιαφερόμενους. Η απόσπαση προσωπικών δεδομένων απευθείας από τον παγκόσμιο ιστό γίνεται συχνά δίχως να το γνωρίζουν τα ίδια τα πρόσωπα.

Τα παραδείγματα των κλάδων που δραστηριοποιούνται στη συγκομιδή προσωπικών δεδομένων είναι πολλά:

-Υπεύθυνοι τμημάτων ανθρώπινου δυναμικού και εταιρειών προσλήψεων (recruiters) φιλτράρουν ιστότοπους με βιογραφικά σημειώματα, και προφίλ εργαζομένων, προκειμένου να ενημερώσουν τις βάσεις δεδομένων τους και να διακρίνουν τις τάσεις στην αγορά εργασίας.

-Επιχειρήσεις συλλέγουν δεδομένα για να διαμορφώσουν παγκόσμιες αλλά και τοπικές στρατηγικές προώθησης και διαφήμισης προϊόντων και υπηρεσιών και να διακρίνουν καταναλωτικές τάσεις.

-Πάροχοι τραπεζικών και ασφαλιστικών υπηρεσιών στοχεύουν στην προώθηση προγραμμάτων στους καταναλωτές και στην αξιολόγηση της φερεγγυότητάς τους.

-Η επιστημονική και η ακαδημαϊκή κοινότητα, όπως και τα μέσα μαζικής ενημέρωσης αποσπούν δεδομένα για ερευνητικούς, στατιστικούς και άλλους σκοπούς.

-Δεδομένα από ιστότοπους που περιέχουν ηλεκτρονικές διευθύνσεις ή τηλεφωνικούς αριθμούς χρησιμοποιούνται για ανεπιθύμητες τηλεφωνικές κλήσεις, αποστολή ανεπιθύμητης αλληλογραφίας ή για ηλεκτρονική απάτη.

Πρόσφατα, το σκάνδαλο Facebook-Cambridge Analytica αποκάλυψε τη χρήση της συγκομιδής δεδομένων και στην πολιτική. Εκεί, στόχος της συγκομιδής ήταν ο επηρεασμός της πρόθεσης ψήφου εκατομμυρίων χρηστών της πλατφόρμας.

Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστoτόπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα.

Ποια είναι τα προσωπικά δεδομένα;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR), ισχύει από τις 25 Μαΐου 2018 στις χώρες της Ευρωπαϊκής Ένωσης και στις χώρες του Ευρωπαϊκού Οικονομικού Χώρου (Νορβηγία, Ισλανδία και Λιχτενστάιν). Στο πεδίο του εμπίπτουν όλα τα φυσικά πρόσωπα που βρίσκονται στις χώρες αυτές. Σύμφωνα με τον Κανονισμό, προσωπικό δεδομένο είναι κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο («υποκείμενο των δεδομένων») και συντελεί στην αναγνώρισή και ταυτοποίησή του, είτε άμεσα είτε έμμεσα.

Προσωπικά δεδομένα που μπορούν να οδηγήσουν άμεσα στην αναγνώριση ενός φυσικού προσώπου είναι το ονοματεπώνυμο, η διεύθυνση, η ηλεκτρονική διεύθυνση, στοιχεία τραπεζικών λογαριασμών, ημερομηνία γέννησης, στοιχεία επαγγέλματος, δεδομένα υγείας, οπτικό ή ακουστικό υλικό κ.ά.. Επιπλέον, προσωπικά δεδομένα θεωρούνται και όσα χρησιμοποιούνται για την έμμεση αναγνώριση ενός προσώπου δηλαδή αυτή που προκύπτει από το συνδυασμό περισσότερων πληροφοριών. Για παράδειγμα, διευθύνσεις IP, cookies ή άλλα διαδικτυακά ίχνη που αφήνει ένα πρόσωπο κατά την περιήγησή του στο διαδίκτυο, θεωρούνται προσωπικά δεδομένα καθώς όταν συνδυαστούν με άλλα αναγνωριστικά στοιχεία του, οδηγούν έμμεσα στην αναγνώρισή του.

Είναι η συγκομιδή προσωπικών δεδομένων νόμιμη;

Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστότοπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα. Οποιοσδήποτε επιχειρεί πρόσβαση και απόσπαση δεδομένων θα πρέπει, αρχικά, να ακολουθεί και να συμμορφώνεται με τους «όρους χρήσης» των ιστοτόπων αυτών. Οι όροι χρήσης ενός ιστότοπου προβλέπουν, συνήθως, αν και σε ποιο βαθμό μπορεί κάποιος να αποσπάσει δεδομένα από αυτόν καθώς και αν απαιτείται για αυτό η προηγούμενη έγγραφη άδεια του ιδιοκτήτη/διαχειριστή του (χαρακτηριστικό παράδειγμα οι όροι του Twitter).

Η απόσπαση δεδομένων κατά παράβλεψη των παραπάνω κανόνων, ή ακόμα και η συγκομιδή δεδομένων από ιστότοπο που δεν έχει αναρτήσει όρους χρήσης ή δεν περιλαμβάνει σε αυτούς περιορισμούς σχετικά με τη συγκομιδή, εκθέτει τον αποσπώντα σε σοβαρούς κινδύνους. Πέρα από την κατάχρηση των κανόνων ηθικής και δεοντολογίας που θεωρείται ότι διέπουν το data scraping, η αθέμιτη και άμετρη χρήση τέτοιων τεχνικών καθιστά αυτόν που τις χρησιμοποιεί υπεύθυνο για παραβίαση του δικαίου των συμβάσεων, των νόμων περί προστασίας της πνευματικής ιδιοκτησίας ή/και του ποινικού δικαίου κατά περίπτωση.

Ειδικότερα, στο πεδίο των προσωπικών δεδομένων, τα τελευταία έτη, η ανεξέλεγκτη και εν αγνοία των χρηστών του διαδικτύου χρήση των τεχνικών συγκομιδής έχει προκαλέσει προβληματισμούς και αντιπαραθέσεις ως προς το αν και σε ποιο βαθμό κινείται εντός νόμιμων ορίων.

Ίσως ο πιο σημαντικός προβληματισμός αφορά στην προστασία των προσωπικών δεδομένων που είναι δημόσια ορατά και προσβάσιμα δηλαδή όσα δεν καλύπτονται από κωδικούς πρόσβασης, ρυθμίσεις απορρήτου και ιδιωτικότητας και άλλα μέτρα προστασίας, και έχουν γίνει δημόσια ορατά είτε από επιλογή του χρήστη, είτε δίχως να το γνωρίζει. Δεν είναι σπάνιο το φαινόμενο, φίλοι, γνωστοί ή άλλοι να αναρτούν στο διαδίκτυο πληροφορίες για εμάς χωρίς να έχουμε ενημερωθεί, ούτε επίσης οι περιπτώσεις στις οποίες τα προφίλ των χρηστών σε διάφορες πλατφόρμες είναι δημόσια ορατά είτε επειδή αμέλησαν να προσαρμόσουν τις ρυθμίσεις ιδιωτικότητας είτε επειδή αυτές είναι γραμμένες σε δυσνόητη γλώσσα.

Το βασικό επιχείρημα όσων αποσπούν δεδομένα (data scrapers) είναι ότι κάθε χρήστης που κατέστησε τα προσωπικά δεδομένα του δημόσια προσβάσιμα παρέχει σιωπηρά τη συγκατάθεσή του για τη συγκομιδή τους αφού γνωρίζει εκ των προτέρων ότι οποιοσδήποτε μπορεί να έχει πρόσβαση σε αυτά. Το επιχείρημα αυτό έκανε δεκτό απόφαση πρωτοβάθμιου δικαστηρίου των ΗΠΑ στην υπόθεση hiQ Labs Inc. v LinkedIn Corpοration.

Στον ευρωπαϊκό χώρο, ο ΓΚΠΔ δεν περιέχει προβλέψεις ή ρυθμίσεις που να αναφέρονται ευθέως στη συγκομιδή δεδομένων. Θέτει, ωστόσο, ένα γενικό πλαίσιο προστασίας των προσωπικών δεδομένων με το οποίο, όσοι εμπλέκονται στη συγκομιδή πρέπει να συμμορφωθούν, εφόσον επιθυμούν οι μέθοδοι αυτές να θεωρούνται νόμιμες και να αποφύγουν κυρώσεις. Το πλαίσιο αυτό θεωρείται ότι προστατεύει τόσο τα δημόσια όσο και τα μη δημόσια προσβάσιμα προσωπικά δεδομένα και ενισχύει το επιχείρημα ότι όταν τα προσωπικά δεδομένα ενός ατόμου είναι δημόσια ορατά και προσβάσιμα, αυτό δεν σημαίνει ότι έχουν τεθεί και σε δημόσια χρήση.

Το προστατευτικό πλαίσιο για τα προσωπικά δεδομένα. Είναι επαρκές;

Αρχικά, όσοι πραγματοποιούν συγκομιδή προσωπικών δεδομένων θα πρέπει να στηρίζονται σε κάποιο νόμιμο λόγο/νόμιμη βάση για να το κάνουν.

Από τις νόμιμες βάσεις που προβλέπονται στον ΓΚΠΔ η συγκομιδή μπορεί να στηριχθεί κυρίως σε δύο: είτε στη συγκατάθεση του προσώπου για την επεξεργασία των προσωπικών δεδομένων του, είτε στο να είναι η επεξεργασία απαραίτητη για να εξυπηρετηθούν νόμιμα συμφέροντα αυτού που διενεργεί τη συγκομιδή. Αν όμως τα νόμιμα αυτά συμφέροντα έρχονται σε αντίθεση με θεμελιώδη δικαιώματα των προσώπων, τότε συγκομιδή δεν μπορεί να πραγματοποιηθεί καθώς χάνει τη νόμιμη βάση της.

Επίσης, συγκομιδή στηριζόμενη σε νόμιμα συμφέροντα δεν μπορεί να γίνει όταν πρόκειται να συλλεχθούν «ευαίσθητα προσωπικά δεδομένα» δηλαδή όσα αναφέρονται σε φύλο, καταγωγή, πολιτικές, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλική ζωή και προσανατολισμό, Εδώ ο ΓΚΠΔ απαιτεί (με εξαιρέσεις) το πρόσωπο να δώσει για τη συγκομιδή όχι απλή αλλά ρητή συγκατάθεση.

Στη συνέχεια, ορίζεται ότι η συγκομιδή δεδομένων θα πρέπει να ακολουθεί ορισμένες βασικές προϋποθέσεις. Αφενός δεν μπορεί να είναι γίνεται απεριόριστα αλλά μόνο στην ποσότητα που είναι απολύτως αναγκαία για το σκοπό για τον οποίο πραγματοποιείται («ελαχιστοποίηση των δεδομένων»). Αφετέρου ο σκοπός αυτός πρέπει να γίνεται γνωστός στα πρόσωπα και να είναι εξ αρχής σαφής και συγκεκριμένος («περιορισμός του σκοπού»).

Τέλος, ο ΓΚΠΔ υποχρεώνει όσους συλλέγουν προσωπικά δεδομένα είτε απευθείας από τα πρόσωπα είτε από άλλες πηγές, όπως συμβαίνει στη συγκομιδή, να ενημερώνουν κάθε πρόσωπο για τη συλλογή και τους σκοπούς της με απλό και κατανοητό τρόπο, γνωστοποιώντας του το κείμενο της λεγόμενης «πολιτικής απορρήτου».

Εφόσον ενημερωθεί, κάθε πολίτης έχει δικαίωμα να επικοινωνήσει με τον αποσπώντα και να ασκήσει τα δικαιώματα που προβλέπει ο ΓΚΠΔ και αυτά είναι: το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα εναντίωσης στην επεξεργασία ιδίως όταν αυτή γίνεται αυτοματοποιημένα και στοχεύει στη δημιουργία προφίλ. Αν η επικοινωνία με τον αποσπώντα αποβεί άκαρπη, ο πολίτης μπορεί να απευθυνθεί στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα.

Κάπου εδώ ξεκινούν τα προβλήματα. Ο ίδιος ο ΓΚΠΔ δίνει τη δυνατότητα σε όποιον συλλέγει δεδομένα όχι απευθείας από τα πρόσωπα αλλά από άλλες πηγές να μην ενημερώσει χωριστά κάθε πρόσωπο αν η ενημέρωση θεωρείται για κάποιο λόγο αδύνατη (π.χ. κρίνεται αδύνατο να εντοπιστούν όλα τα πρόσωπα ή για να ενημερωθούν όλοι απαιτείται εξοντωτικό κόστος). Σε αυτές τις περιπτώσεις ο αποσπών δεδομένα επιτρέπεται να προχωρήσει σε γενική μόνο ενημέρωση προς το κοινό, μπορεί για παράδειγμα να αναρτήσει τις σχετικές πληροφορίες στον ιστότοπό του.

Είναι αρκετό αυτό για την προστασία των προσωπικών δεδομένων;

Και σημαίνει πώς κάθε πρόσωπο θα πρέπει να επισκεφθεί χιλιάδες ιστoτόπους παγκοσμίως για ενημερωθεί ποιοι αποσπούν προσωπικά του δεδομένα;

Η απάντηση που δίνεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) είναι ότι όταν οι αποσπώντες δεδομένα κρίνουν ότι υπάρχει αδυναμία ενημέρωσης, αρκεί να πραγματοποιήσουν τη λεγόμενη «εκτίμηση αντικτύπου» δηλαδή να εξετάσουν μόνοι τους κατά πόσο οι πράξεις τους μπορούν να θέσουν σε κίνδυνο τα δικαιώματα των προσώπων και να λάβουν τα κατάλληλα μέτρα για την προστασία των δεδομένων. Με τη θέση αυτή συντάσσονται και ορισμένες Αρχές Προστασίας Προσωπικών Δεδομένων όπως η βρετανική (ICO) και η ελληνική. Αν δεν υπάρξει ενημέρωση των προσώπων, ούτε εκτίμηση αντικτύπου, τότε όποιος ανακαλυφθεί ότι επιχειρεί συγκομιδή προσωπικών δεδομένων καλείται να πληρώσει πρόστιμο που φτάνει έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης. Πρέπει όμως πρώτα να ανακαλυφθεί…

Τελικά, μπορεί η «αδυναμία ενημέρωσης κάθε προσώπου» να χρησιμοποιηθεί ως δικαιολογία από όσους θέλουν να αποφύγουν να συμμορφωθούν με τον ΓΚΠΔ; Προς το παρόν, η απάντηση είναι αρνητική, και ήρθε από την πολωνική αρχή προστασίας προσωπικών δεδομένων (UODO). H αρχή, τοποθετούμενη αυστηρά υπέρ της προστασίας των προσωπικών δεδομένων, στις αρχές του 2019 επέβαλε πρόστιμο περίπου 220.000 ευρώ σε εταιρεία (Bisnode) επειδή προέβη στη συγκομιδή δημόσια προσβάσιμων προσωπικών δεδομένων εκατομμυρίων Πολωνών ιδιοκτητών επιχειρήσεων με σκοπό να παραχωρήσει έπειτα σε τράπεζες στοιχεία για την πιστοληπτική τους ικανότητα, την ίδια στιγμή που ο μοναδικός τρόπος για να ενημερωθούν οι ίδιοι για τη συλλογή των δεδομένων τους ήταν μέσω μιας σχετικής ανάρτησης της εταιρείας σε ιστοσελίδα της.

Για νεότερες εξελίξεις ας αναμείνουμε στις οθόνες μας.

Υπάρχουν άλλοι τρόποι προστασίας από την αυθαίρετη συγκομιδή δεδομένων;

Η απάντηση είναι θετική, επαφίεται, ωστόσο, στα χέρια αυτών που κατέχουν και διαχειρίζονται τους ιστότοπους από όπου συλλέγονται τα δεδομένα. Η ανάρτηση «όρων χρήσης» σε κάθε ιστότοπο, οι οποίοι να επιτρέπουν την περιορισμένη συγκομιδή δεδομένων μόνο έπειτα από γραπτή άδεια του διαχειριστή ή να απαγορεύουν τη συγκομιδή, έχει θεωρηθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (υπόθεση Ryanair Ltd vPR Aviation BV) ως ένα μέτρο ικανό να περιορίσει την ανεξέλεγκτη συλλογή δεδομένων και να φέρει όσους την επιχειρούν αντιμέτωπους με τις νομικές τους ευθύνες.

Το ίδιο αποτέλεσμα επιτυγχάνεται και με τη χρήση της τεχνολογίας. Κάθε ιστότοπος έχει τη δυνατότητα να περιορίσει τον όγκο των επισκέψεων/αιτημάτων πρόσβασης και απόσπασης δεδομένων που δέχεται από συγκεκριμένες διευθύνσεις IP ή διευθύνσεις IP των scraper bots ή ακόμα και να αποκλείσει εντελώς αυτές (IP addresses blocking). Επίσης, μέσα από τη διαδικασία εγγραφής, σύνδεσης και χρήσης κωδικού πρόσβασης, το περιεχόμενο ενός ιστότοπου γίνεται ορατό μόνο στους εγγεγραμμένους χρήστες του.

Αποτελεσματικές θεωρούνται ομοίως, τόσο η μέθοδος τείχους προστασίας κατά των ρομπότ συγκομιδής (anti-bot firewalls) όσο και η μέθοδος CAPTCHA (επιβεβαίωση ότι η πρόσβαση δεν επιχειρείται από ρομπότ) και, τέλος, η ενσωμάτωση στον ιστότοπο ενός αρχείου ονομαζόμενου robot.txt μέσα από το οποίο ο ιστότοπος ορίζει αν και σε ποιο βαθμό το περιεχόμενό του είναι προσβάσιμο και διαθέσιμο προς συγκομιδή.

Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί.

Αντί για επίλογο

Η συμφιλίωση ανάμεσα στις πρακτικές συγκομιδής και στην προστασία των προσωπικών δεδομένων δεν είναι εύκολη υπόθεση. Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί. Δημιουργούνται πολλά ερωτήματα για το αν το ισχύον νομικό πλαίσιο προστατεύει πλήρως τα προσωπικά δεδομένα και μέχρι να απαντηθούν τη λύση θα μπορούσαν να δώσουν οι ενδιαφερόμενες πλευρές. Όσοι αποσπούν δεδομένα μπορούν να συμμορφώνονται με τους νομικούς και ηθικούς κανόνες, όσοι διαχειρίζονται ιστοσελίδες έχουν τη δυνατότητα με την κατάλληλη τεχνολογία να αποτρέπουν ή να περιορίζουν τη συγκομιδή δεδομένων και οι χρήστες του διαδικτύου μπορούν να είναι προσεκτικότεροι ως προς τις πληροφορίες που επιλέγουν να είναι δημόσια ορατές.

* Η Αδαμαντία Βολικού είναι δικηγόρος με ειδίκευση στο Δίκαιο του Διαδικτύου (Master’s Degree) και στο Αστικό, Αστικό Δικονομικό και Εργατικό Δίκαιο (Μ.Δ.Ε.). Εκπροσωπεί φυσικά και νομικά πρόσωπα σε υποθέσεις που εμπίπτουν στα παραπάνω πεδία ενώ εργάζεται και ως νομική σύμβουλος εταιρειών πάνω σε θέματα προστασίας προσωπικών δεδομένων, πληροφορικής – νέων τεχνολογιών και συμμόρφωσης με τη νομοθεσία. Είναι διαπιστευμένη επαγγελματίας για την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων (CIPP/E) από τη διεθνή ένωση IAPP.

Πηγές επιπλέον των υπερσυνδέσμων: