GDPR Archives - Τεχνικός Υπολογιστών και Δικτύων

6 Ιουνίου 20194 Απριλίου 2024

Τα προσωπικά μας δεδομένα στο σφυρί! «Ξέρουν» βάρος, ερωτική ζωή, πολιτικές πεποιθήσεις και πλουτίζουν! – Πως να προστατευτείτε

Δεν είναι μόνο το ονοματεπώνυμο, η διεύθυνση ηλεκτρονικού ταχυδρομείου (και σπιτιού), η οικογενειακή κατάσταση οι καταναλωτικές συνήθειες. Το «πετρέλαιο της ψηφιακής εποχής» , όπως έχει χαρακτηρίσει τα προσωπικά δεδομένα ο « Economist» σε δημοσίευμά του, αποδεικνύεται πως είναι και τα… κιλά σωματικού βάρους, τα τετραγωνικά τον εξοχικού σπιτιού, ο σκύλος στον κήπο, η ερωτική ζωή, οι πολιτικές πεποιθήσεις, η συμμετοχή σε συνδικαλιστική δράση, η χρήση φακών επαφής, αναφέρει στο ρεπορτάζ της η εφημερίδα “ΤΑ ΝΕΑ”.

Η λίστα μοιάζει ατελείωτη και το «εμπόρευμα» πωλείται ακριβά, «από μερικές εκατοντάδες έως και εκατομμύρια ευρώ», σύμφωνα με αστυνομικές πηγές. Ο αγοραστής προσπαθεί να μένει αόρατος,
ενόσω εκείνος που δημιουργεί και βγάζει στο σφυρί ευαίσθητα αρχεία
ψαρεύει – εν αγνοία των θυμάτων του, προφανώς – τις πληροφορίες σε κάθε είδους πηγή: υποθηκοφυλακεία, τηλεφωνικούς καταλόγους, ακόμα και στα κουδούνια των πολυκατοικιών ή σε αναρτήσεις και σχόλια στο Facebook.

Συχνά όμως το «πετρέλαιο» στην εποχή του Ιντερνετ συλλέγεται υπογείως, από μη δημόσια προσβάσιμες πηγές. Δεν πρόκειται για αυθαίρετο συμπέρασμα.
Το διαπιστώνουν οι αρμόδιοι της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα καθώς και της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος όταν καταπιάνονται έπειτα από σχετικές προσφυγές με υποθέσεις “φακελώματος” πολιτών και παράνομης επεξεργασίας και πώλησης των δεδομένων τους σε τρίτους.

Το ίδιο συμπεραίνουν ενώσεις καταναλωτών, όταν δέχονται καταγγελίες για διάφορες «περίεργες» διαφημίσεις. Είναι ενδεικτικό ότι ακόμα και με φυλλάδιο μια εταιρεία υποσχόταν τρελές πωλήσεις σε όσους επιχειρηματίες την προσλάμβαναν για να τους διαθέσει αμέσως τα κάθε
λογής αρχεία της (με πολύσαρκους πολίτες, νεαρές μητέρες, κατόχους
κατοικίδιων κ.λπ.) προκειμένου να γίνεται στοχευμένη διαφήμιση.

Πριν από ακριβώς έναν χρόνο η Δίωξη Ηλεκτρονικού Εγκλήματος προχώρησε σε δυο συλλήψεις Ελλήνων γιατί είχαν καταρτίσει ψηφιακές λίστες με “1,5 εκατομμύριο εγγραφές πολιτών” και τις πωλούσαν σε τρίτους. Δεν είναι η μοναδική περίπτωση και σίγουρα η έρευνα σε τέτοιες υποθέσεις δεν σταματά στις χειροπέδες, αλλά μόνο όταν δοθούν οι πιο κρίσιμες απαντήσεις. Από που και πως άρπαξαν τα ευαίσθητα δεδομένα τόσων πολιτών, που τα έδωσαν και γιατί;

Ο περίφημος GDPR

Οι επιτήδειοι καθώς και ο κίνδυνος «ατυχήματος», δηλαδή η διαρροή προσωπικών δεδομένων από νόμιμες λίστες, παραμένουν την ώρα που στη χώρα μας ο δημόσιος και ιδιωτικός τομέας προσπαθούν να προσαρμοστούν στον περίφημο GDPR.
Ο Ευρωπαϊκός Γενικός Κανονισμός για την Προστασία Δεδομένων προβλέπει αυστηρούς περιορισμούς, πρόστιμα και νέους κανόνες στη διαχείριση -μεταβίβαση -χρήση -επεξεργασία των στοιχείων ενώ μεταξύ άλλων αναγκάζει τον υπεύθυνο επεξεργασίας δεδομένων να αποδείξει ότι είχε λάβει όλα τα μέτρα για την προστασία τους.
Σύμφωνα με πληροφορίες των «ΝΕΩΝ» ωστόσο τα αποτελέσματα από πρόσφατο έλεγχο σε 65 ελληνικές ιστοσελίδες (τράπεζες, e-shop, ασφαλιστικές εταιρείες κ.λπ.) με μεγάλη επισκεψιμότητα ήταν απογοητευτικά, αφού δεν ενημερώνουν καθόλου τον πολίτη ή το κάνουν ελλιπώς για τον λόγο επεξεργασίας των δεδομένων του,
αν διαβιβάζουν στοιχεία σε άλλους, σε ποιους και γιατί.

Την ίδια στιγμή, οι αστυνομικοί της Δίωξης είναι ξεκάθαροι: Η ευκολία κλοπής προσωπικών δεδομένων μέσα από τη δεξαμενή του Διαδικτύου εξαρτάται από τα μέτρα ασφαλείας (υπολογιστικών συστημάτων, λογαριασμών ηλεκτρονικού ταχυδρομείου, social media, ηλεκτρονικής
τραπεζικής κ.ά.) που χρησιμοποιεί ατομικά ο κάθε άνθρωπος και το κατά
ποσά ενημερωμένος είναι για τις ψηφιακές απειλές. Ο όγκος των online
δεδομένων είναι τεράστιος και οι επιτήδειοι αναζητούν τα κατάλληλα
περάσματα. Κάποιες φορές είναι το hacking (παράνομη πρόσβαση σε
συστήματα), άλλες το « ηλεκτρονικό ψάρεμα» (το λεγόμενο phishing,
επιθέσεις που έχουν γίνει και σε εταιρείες – κολοσσούς) ή και συνδυασμός διαφορετικών μεθόδων.

Μεγάλα κέρδη

«Στην «εποχή της πληροφορίας» που διανύουμε είναι αδιαμφισβήτητο πως τα προσωπικά μας δεδομένα έχουν μεγάλη αξία. Συνεπώς η παράνομη πώληση των δεδομένων αυτών είναι επικερδής σε συνάρτηση πάντα με το είδος, τη ζήτηση και το μέγεθος» λέει χαρακτηριστικά ο επικεφαλής της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος Βασίλης Παπακώστας. Ο ίδιος προσθέτει ότι «το αντίτιμο πώλησης των προσωπικών δεδομένων ποικίλλει ανάλογα με το είδος των δεδομένων». Στο ίδιο μήκος κύματος ο επικεφαλής της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και επίτιμος πρόεδρος του ΣτΕ Κωνσταντίνος Μενουδάκος: «Είναι εμφανές από υποθέσεις που έχουμε χειριστεί ότι γίνεται αγοραπωλησία δεδομένων και φαίνεται να είναι αρκετά επικερδής διαδικασία». Ενδεικτικά, η απειλή προστίμου 75.000 ευρώ σε εταιρεία για τον «βομβαρδισμό» των mail πολιτών με διαφημίσεις (είχε αναπτυχθεί ένας μηχανισμός που μπορούσε να στέλνει 15.000 μηνύματα την ημέρα!) αποδείχθηκε πολύ μικρή μπροστά στο κέρδος από το “πελατολόγιο”, δεδομένου ότι η εταιρεία συνέχιζε τη δραστηριότητά της παρότι είχε ειδοποιηθεί ευθέως για τη χρηματική ποινή.
Τέτοιου είδους μηνύματα, τα λεγόμενα spam, σε κινητά τηλέφωνα και στο ηλεκτρονικό ταχυδρομείο μαζί με το ανελέητο «κυνήγι» των πολιτών υπό εισπρακτικές και εταιρείες ενημέρωσης οφειλετών βρίσκονται στην κορυφή της λίστας καταγγελιών στην (υποστελεχωμένη σήμερα) Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Αν και οι οργανικές θέσεις είναι 75, στην ανεξάρτητη Αρχή εργάζονται σήμερα 40, σύμφωνα με τον επικεφαλής:
«Και ούτε οι 75 θα ήταν αρκετοί. Μια διαδικασία για 13 ελεγκτές μέσω
ΑΣΕΠ οδεύει προς ολοκλήρωση, ελπίζουμε σύντομα να αυξηθούν οι οργανικές θέσεις και να εγκριθούν οι προσλήψεις». Η συμβουλή των αρμοδίων προς τον πολίτη είναι να προστατεύουν και ίδιοι τα προσωπικά δεδομένα τους και να ζητούν αναλυτική ενημέρωση. Εξάλλου, στην Αρχή μπορούν (και πρέπει) να απευθύνονται αφότου έχουν επικοινωνήσει με ταν εκάστοτε υπεύθυνο επεξεργασίας (για παράδειγμα. να ζητήσει από την Google να αφαιρέσει link με το όνομά τον κ.λπ.).

Πως να προστατευτείτε

Πρακτικές συμβουλές από τη Δίωξη Ηλεκτρονικού Εγκλήματος
1.Εγκατάσταση στις συσκευές μόνο αυθεντικού λογισμικού και τακτικά updates.
2.Εγκατάσταση προγραμμάτων προστασίας από κακόβουλο λογισμικό (antivirus, antimalware, antispyware).
3.Αλλαγή εργοστασιακών ρυθμίσεων στο Router.
4.Αποφυγή σύνδεσης σε δημόσιο wifi.
5.Χρήση ισχυρών κωδικών πρόσβασης (συνδυασμός κεφαλαίων και μικρών γραμμάτων, αριθμών και ειδικών χαρακτήρων) και τακτική αλλαγή τους.
6.Επιλογή διαφορετικών κωδικών πρόσβασης για κάθε διαδικτυακή υπηρεσία.
7.Στη χρήση web-banking πληκτρολογείτε πάντα την ηλεκτρονική διεύθυνση της υπηρεσίας για να οδηγηθείτε στην ιστοσελίδα.
8.Επιλέξτε ιστοσελίδες και υπηρεσίες που υποστηρίζονται από το πρωτόκολλο ασφαλείας https
9.Μην αποκαλύπτετε δεδομένα μέσω τηλεφώνου ή διαδικτύου σε άτομα που παρουσιάζονται ως τεχνικοί υπηρεσιών κλπ.
10.Μην κλικάρετε υπερσυνδέσμους σε email και μηνύματα από αγνώστους και μην ανοίγετε τα συνημμένα αρχεία.
11.Χρήση πρόσθετων εργαλείων (add-ons) στην περιηγητή για τον αποκλεισμό αναδυόμενων παραθύρων (διαφημίσεις κα).
12. Ενεργοποιείστε τα login alerts ώστε να ενημερώνεστε όταν πραγματοποιείται σύνδεση σε διαδικτυακούς λογαριασμούς σας.
13.Πραγματοποίηση αγορών μόνο από έμπιστα διαδικτυακά καταστήματα.

Πηγή: ΤΑ ΝΕΑ

24 Μαΐου 20189 Απριλίου 2024

GDPR: Σε λίγες ώρες αλλάζουν τα πάντα στα προσωπικά online δεδομένα μας

Η αντίστροφη μέτρηση για την ενεργοποίηση του νέου Γενικού Ευρωπαϊκού Κανονισμού για την Προστασία των Δεδομένων (GDPR) άρχισε, καθώς τίθεται σε εφαρμογή από αύριο, 25η Μαΐου τόσο στην Ελλάδα όσο και στις άλλες 26 χώρες της Ευρωπαϊκής Ένωσης.

Πόσες φορές σας έχει τύχει να λάβετε e-mails ή SMS από εταιρείες κι επιχειρήσεις με τις οποίες όχι μόνο δεν έχετε κάνει ποτέ καμία συναλλαγή, αλλά δεν γνωρίζατε καν την ύπαρξή τους; Από αύριο, έχετε την επιλογή, όλα αυτό να σταματήσει μια για πάντα!
Τι θεωρείται προσωπικό δεδομένο

Ο νέος κανονισμός αφορά στη συλλογή, χρήση και αποθήκευση των προσωπικών δεδομένων.

Κάθε πληροφορία που αφορά σε έναν Ευρωπαίο πολίτη εμπίπτει στον GDPR.

Σε αυτές τις πληροφορίες περιλαμβάνονται το ονοματεπώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, ο κώδικας διαδικτυακού πρωτοκόλλου (IP) και κάθε πληροφορία που αφορά στην υγεία.
Τι αλλάζει

Οι Ευρωπαίοι πολίτες θα βλέπουν να τους «ενοχλούν» πολύ λιγότερες διαφημιστικές εταιρείες κι όχι μόνο. Κι αυτό διότι θα είναι πολύ πιο δύσκολο για τις εταιρείες να συλλέγουν και να πουλάνε πληροφορίες για τις διαδικτυακές συνήθειες των χρηστών, αφού πρώτα θα χρειάζεται να πάρουν την άδειά τους.

Οποιαδήποτε εταιρεία ή νομικό πρόσωπο, είτε πρόκειται για τράπεζα, ασφαλιστική εταιρεία, εμπορική επιχείρηση, ή διαφημιστικό γραφείο επεξεργάζεται τα προσωπικά δεδομένα πολίτη της ΕΕ πρέπει πλέον να παρέχει σαφείς πληροφορίες για ποιους σκοπούς τα χρησιμοποιεί, για πόσο χρονικό διάστημα τα αποθηκεύει, σε ποιους άλλους τα κοινοποιεί και εάν τα δεδομένα θα διαβιβασθούν εκτός της ΕΕ.

Τι είναι ο GDPR

Ο GDPR (General Data Protection Regulation General Data Protection Regulation ) – «Γενικός Κανονισμός για την Προστασία Δεδομένων» [Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016], αφορά στη διαμόρφωση ενός ενιαίου νομοθετικού πλαισίου για την επεξεργασία προσωπικών δεδομένων στα κράτη – μέλη της Ευρωπαϊκής Ένωσης και αντικαθιστά την προηγούμενη Νομοθεσία «Οδηγία 95/46/ΕΚ».

Ο κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος – μέλος, δηλαδή δεν απαιτείται ειδική προσαρμογή της Εθνικής Νομοθεσίας.
Ποια θεωρούνται «δεδομένα προσωπικού χαρακτήρα» και τι θεωρείται επεξεργασία αυτών

1) «Δεδομένα προσωπικού χαρακτήρα»: Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

2) «Επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

Άλλοι σημαντικοί «Ορισμοί» του Κανονισμού

1) «Υπεύθυνος επεξεργασίας»: Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,

2) «Εκτελών την επεξεργασία»: Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,

3) «Παραβίαση δεδομένων προσωπικού χαρακτήρα»: Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,

4) «Εποπτική αρχή»: Ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος επιφορτισμένη με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση,

5) «Υπεύθυνος Προστασίας δεδομένων» – Data Protection Officer (DPO): Πρόκειται για τον άνθρωπο εκείνον ο οποίος θα ενημερώνει τους χρήστες των οποίων τα δεδομένα επεξεργάζεται η εταιρεία αλλά και θα είναι εκείνος ο οποίος έρχεται σε επικοινωνία με την Εποπτική Αρχή.

6) «Φορέας Παρακολούθησης»: Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, η παρακολούθηση της συμμόρφωσης με κώδικα δεοντολογίας δυνάμει του άρθρου 40 μπορεί να διεξάγεται από φορέα που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα και είναι διαπιστευμένος για τον σκοπό αυτόν από την αρμόδια εποπτική αρχή.
Ποιες επιχειρήσεις αφορά και σε ποιες προβλέπονται παρεκκλίσεις

Αφορά όλες τις επιχειρήσεις, (ιδιωτικού και δημόσιου τομέα) που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων. Δηλαδή αφορά σχεδόν το σύνολο των επιχειρήσεων.

Παρόλα αυτά, για να ληφθεί υπόψη η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα (Άρθρο 30 παρ. 5) όσον αφορά στην τήρηση αρχείων.

Συγκεκριμένα, η παρ. 5 του άρθρου 30 του Κανονισμού αναφέρει ότι οι υποχρεώσεις που αναφέρονται στις παραγράφους του άρθρου 30 και αφορούν τις πληροφορίες που οφείλουν οι «υπεύθυνοι επεξεργασίας» να περιλαμβάνουν στο αρχείο των δραστηριοτήτων επεξεργασίας, δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

http://www.newsbomb.gr/ellada/news/story/887507/gdpr-se-liges-ores-allazoyn-ta-panta-sta-prosopika-online-dedomena-mas#ixzz5GS4vJxzS

17 Μαΐου 20189 Απριλίου 2024

Προσωπικά Δεδομένα: Έρχεται ο Νέος Κανονισμός – Οι αλλαγές, οι εξαιρέσεις και όσα πρέπει να ξέρετε

Από τις 25 Μαΐου οι χρήστες και στην Ελλάδα παίρνουν τον έλεγχο των online προσωπικών δεδομένων τους΄. Δέκα ερωταπαντήσεις για τις αλλαγές που φέρνει ο νέος Κανονισμός της ΕΕ.

Σημαντικές αλλαγές θα υπάρξουν από τις 25 Μαΐου στην Ελλάδα και στις άλλες χώρες της Ευρωπαϊκής Ένωσης, με την εφαρμογή του νέου ευρωπαϊκού Γενικού Κανονισμού για την Προστασία των Δεδομένων, ο οποίος αφορά τη συλλογή, χρήση και αποθήκευση των προσωπικών δεδομένων. Πρόκειται για την πιο σοβαρή μεταρρύθμιση σε αυτό τον τομέα από την ίδρυση του διαδικτύου.

Στόχος είναι η εφαρμογή αυστηρότερων κανόνων, προκειμένου οι 250 εκατομμύρια καθημερινοί χρήστες του διαδικτύου στην Ευρώπη και γενικότερα οι πολίτες να ελέγχουν καλύτερα τα online δεδομένα τους προσωπικού χαρακτήρα, τα οποία άλλοι (συνήθως επιχειρήσεις και μέσα κοινωνικής δικτύωσης) συλλέγουν και μοιράζονται με τρίτους (π.χ. διαφημιστικές εταιρείες).

Οι νέοι κανόνες για την προστασία της ιδιωτικότητας θα είναι οι αυστηρότεροι στον κόσμο και προβλέπουν βαριές ποινές για τις εταιρείες που θα τους παραβιάσουν. Το πρόστιμο μπορεί να φθάσει το 4% των ετήσιων εσόδων μιας εταιρείας, δηλαδή περίπου 1,6 δισεκατομμύρια δολάρια στην περίπτωση του Facebook. Οι ίδιοι κανόνες για την προστασία των δεδομένων των πολιτών και καταναλωτών θα ισχύουν για όλες τις εταιρείες που δραστηριοποιούνται στην ΕΕ, όπου και εάν βρίσκεται η έδρα τους.

Όταν επεξεργάζονται τα προσωπικά δεδομένα, οι εταιρείες (τεχνολογίας, τράπεζες, ασφαλιστικές, υγείας, λιανεμπορίου κ.α.) πρέπει πλέον να παρέχουν σαφείς πληροφορίες για ποιους σκοπούς τα χρησιμοποιούν, για πόσο χρονικό διάστημα τα αποθηκεύουν, σε ποιους άλλους τα κοινοποιούν και εάν τα δεδομένα θα διαβιβασθούν εκτός της ΕΕ. Οι εταιρείες πρέπει να παρέχουν στοιχεία επικοινωνίας των υπεύθυνων για την επεξεργασία και προστασία των δεδομένων. Όλες αυτές οι πληροφορίες θα πρέπει να διατυπώνονται σε σαφή και απλή γλώσσα.

Τα δεδομένα προσωπικού χαρακτήρα μπορούν να συλλέγονται και να αποτελούν αντικείμενο επεξεργασίας μόνο για σαφώς καθορισμένο σκοπό. Κατά τη συλλογή τους, οι εταιρείες θα ενημερώνουν για ποιο σκοπό θα χρησιμοποιηθούν τα δεδομένα και θα διασφαλίζουν ότι δεν θα διατηρούνται περισσότερο χρόνο από όσο είναι αναγκαίο.

Οι χρήστες θα έχουν δικαίωμα να ζητήσουν δωρεάν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που διαθέτει ένας οργανισμός και να λάβουν αντίγραφο. Αν π.χ. κάποιος έχει αγοράσει μια συσκευή παρακολούθησης της φυσικής κατάστασής του και έχει εγγραφεί σε μια online εφαρμογή υγείας που παρακολουθεί τη δραστηριότητά του, μπορεί να ζητήσει από τον φορέα εκμετάλλευσης της εφαρμογής όλες τις πληροφορίες που έχουν υποβληθεί σε επεξεργασία για το άτομό του (όπως οι καρδιακοί παλμοί, οι επιδόσεις του κ.α.).

Εφόσον κάποιος έχει αγοράσει προϊόντα από μια επιχείρηση λιανικής πώλησης στο διαδίκτυο, μπορεί να ζητήσει από την εταιρεία να του δώσει όλα τα δεδομένα προσωπικού χαρακτήρα που αυτή διατηρεί, ακόμη και των ημερομηνιών και των ειδών των αγορών του.

Ο χρήστης-καταναλωτής έχει επίσης το δικαίωμα αντίταξης στη λήψη online διαφημιστικού υλικού. Αν π.χ. αγόρασε εισιτήρια στο διαδίκτυο για μια μουσική συναυλία και στη συνέχεια βομβαρδίζεται με ηλεκτρονικές διαφημίσεις για εκδηλώσεις για τις οποίες δεν ενδιαφέρεται, μπορεί να ενημερώσει την εταιρεία ηλεκτρονικής έκδοσης εισιτηρίων ότι δεν θέλει να λαμβάνει πια online διαφημιστικό υλικό και αυτή πρέπει αμέσως να σταματήσει να στέλνει ηλεκτρονικά μηνύματα.

Ακολουθούν δέκα ερωταπαντήσεις που θα βοηθήσουν τον καθένα να καταλάβει καλύτερα τις επερχόμενες αλλαγές.

1. Τι αφορά και ποιους καλύπτει ο νέος Κανονισμός;

Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της ΕΕ ρυθμίζει την επεξεργασία από άτομα, εταιρείες ή οργανισμούς των δεδομένων προσωπικού χαρακτήρα που αφορούν άτομα στην ΕΕ.

Δεν υπάγεται σε αυτόν η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποθανόντων προσώπων ή νομικών προσώπων.

2. Πότε δεν θα εφαρμόζεται ο κανονισμός;

Οι νέοι κανόνες δεν εφαρμόζονται σε δεδομένα που υποβάλλονται σε επεξεργασία από ένα άτομο για αυστηρά προσωπικούς λόγους ή για δραστηριότητες που διενεργούνται κατ’ οίκον, εφόσον δεν συνδέονται με επαγγελματική ή εμπορική δραστηριότητα. Δεν θα εφαρμόζονται αν π.χ. ένα άτομο χρησιμοποιεί το ιδιωτικό του βιβλίο διευθύνσεων για να προσκαλέσει φίλους μέσω ηλεκτρονικού μηνύματος σε μια γιορτή που διοργανώνει (ισχύει η εξαίρεση των οικιακών δραστηριοτήτων).

3. Ποια θεωρούνται δεδομένα προσωπικού χαρακτήρα;

Τα δεδομένα προσωπικού χαρακτήρα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου, αποτελούν επίσης δεδομένα προσωπικού χαρακτήρα.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα, έχουν κρυπτογραφηθεί ή για τα οποία έχουν χρησιμοποιηθεί ψευδώνυμα, αλλά τα οποία μπορούν να χρησιμοποιηθούν για την επαναταυτοποίηση ενός ατόμου, παραμένουν δεδομένα προσωπικού χαρακτήρα και εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.

Τα δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα έτσι ώστε το άτομο να μην είναι ταυτοποιήσιμο, δεν θεωρούνται πλέον δεδομένα προσωπικού χαρακτήρα. Για να είναι πραγματικά ανώνυμα τα δεδομένα, η ανωνυμοποίηση πρέπει να είναι μη αντιστρέψιμη.

Ο ΓΚΠΔ προστατεύει τα δεδομένα προσωπικού χαρακτήρα ανεξάρτητα από την τεχνολογία που χρησιμοποιείται για την επεξεργασία τους. Είναι τεχνολογικά ουδέτερος και εφαρμόζεται τόσο στην αυτοματοποιημένη όσο και στη χειροκίνητη επεξεργασία. Επίσης, δεν έχει σημασία ο τρόπος που αποθηκεύονται τα δεδομένα – σε ψηφιακή ή έντυπη μορφή.

4. Ποια είναι χαρακτηριστικά παραδείγματα δεδομένων προσωπικού χαρακτήρα και ποια όχι;

Το όνομα και επώνυμο, η διεύθυνση κατοικίας, ο αριθμός ταυτότητας, η προσωπική ηλεκτρονική διεύθυνση (e-mail), o αναγνωριστικός αριθμός τραπεζικής κάρτας, τα δεδομένα τοποθεσίας (π.χ. GPS σε κινητό τηλέφωνο), η διεύθυνση διαδικτυακού πρωτοκόλλου (IP) και τα δεδομένα υγείας που φυλάσσονται από νοσοκομείο ή γιατρό.

Παραδείγματα δεδομένων που δεν θεωρούνται προσωπικού χαρακτήρα, είναι ο αριθμός μητρώου εταιρείας, η εταιρική ηλεκτρονική διεύθυνση του τύπου «πληροφορίες@εταιρεία.com» και κάθε είδους ανώνυμα δεδομένα.

5. Τι αποτελεί επεξεργασία δεδομένων;

Ο όρος «επεξεργασία» καλύπτει ένα ευρύ φάσμα πράξεων που πραγματοποιούνται σε δεδομένα προσωπικού χαρακτήρα, είτε με χειροκίνητα είτε με αυτοματοποιημένα μέσα. Περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.

Παραδείγματα επεξεργασίας αποτελούν η διαχείριση προσωπικού και η μισθοδοσία, η προσπέλαση/αναζήτηση πληροφοριών σε βάση δεδομένων επαφών που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, η αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων, η δημοσίευση/ανάρτηση φωτογραφίας ενός ατόμου σε ιστότοπο, η αποθήκευση διευθύνσεων IP και η μαγνητοσκόπηση με τηλεόραση κλειστού κυκλώματος.

6. Θα δει αλλαγές ο χρήστης στο Διαδίκτυο μετά τις 25 Μαΐου;

Όχι αισθητές. Μια αλλαγή για όσους ζουν στην ΕΕ, θα είναι ότι θα βλέπουν πια να τους «ακολουθούν» λιγότερες online διαφημίσεις μετά από κάποια ηλεκτρονική αγορά τους. Με τους νέους κανόνες, θα γίνει πιο δύσκολη η στοχευμένη ηλεκτρονική διαφήμιση που παίρνει «κατά πόδας» τον χρήστη από ιστοσελίδα σε ιστοσελίδα που επισκέπτεται, καθώς θα είναι πιο δύσκολο για τις εταιρείες να συλλέγουν και να πουλάνε πληροφορίες για τις διαδικτυακές συνήθειες των χρηστών, αφού πρώτα πάρουν την άδεια τους. Έτσι, η online διαφήμιση στην Ευρώπη θα τείνει να γίνει πιο γενική, όπως αυτή στην τηλεόραση, και όχι τόσο στοχευμένη όπως στις ΗΠΑ.

7. Ποια θα είναι τα νέα δικαιώματα των χρηστών;

Θα έχουν το δικαίωμα να λαμβάνουν σαφείς και κατανοητές πληροφορίες για το ποιός επεξεργάζεται τα προσωπικά δεδομένα τους και γιατί. Θα μπορούν να ζητούν από όλες τις εταιρείες να έχουν οι ίδιοι πρόσβαση και να μαθαίνουν ποιά ακριβώς στοιχεία οι εταιρείες διατηρούν γι’ αυτούς.

Θα έχουν επίσης το δικαίωμα στη «λήθη», δηλαδή, αν θέλουν, θα απαιτούν αυτά τα δεδομένα να διαγραφούν από τις βάσεις δεδομένων των εταιρειών. Αυτό δεν θα αφορά μόνο τις εταιρείες τεχνολογίας (π.χ. Facebook ή Google), αλλά τράπεζες, καταστήματα λιανεμπορίου και οποιαδήποτε άλλη εταιρεία ή οργανισμό κρατά προσωπικά δεδομένα, του εργοδότη συμπεριλαμβανομένου.

Για παράδειγμα, θα μπορεί κανείς, αν δεν είναι δημόσιο πρόσωπο, να ζητήσει από μία μηχανή αναζήτησης (π.χ. Google) να διαγράψει τους συνδέσμους (links), όπως ένα άρθρο εφημερίδας, που αναφέρονται σε μια προσωπική υπόθεση του παρελθόντος.

Αν, αντίστροφα, online προσωπικά δεδομένα χαθούν ή κλαπούν, η εταιρεία πρέπει μέσα σε 72 ώρες να ενημερώσει το άτομο και, αν δεν το κάνει, κινδυνεύει με πρόστιμο. Εάν κάποιος έχει υποστεί ζημία, μπορεί επίσης να ζητήσει αποζημίωση προσφεύγοντας στη δικαιοσύνη. Με δεδομένες τις συχνές κυβερνοεπιθέσεις χάκερ κατά εταιρειών, γίνεται αντιληπτή η σημασία αυτού του δικαιώματος.

Αν ο χρήστης-πολίτης υποψιάζεται ότι γίνεται κατάχρηση στη συλλογή δεδομένων που τον αφορούν, μπορεί να προσφύγει στην αρμόδια εθνική αρχή προστασίας προσωπικών δεδομένων, η οποία υποχρεούται να ερευνήσει το ζήτημα. Οι πολίτες μπορούν να προσφύγουν και ομαδικά εναντίον κάποιας εταιρείας, κάτι που έως τώρα ήταν ασυνήθιστο στην Ευρώπη, αντίθετα με τις ΗΠΑ.

Οργανώσεις πολιτών μπορούν να προσφύγουν για λογαριασμό ομάδων πολιτών. Αν μία υπόθεση κερδηθεί, αναμένεται να δημιουργηθεί νομικό προηγούμενο και για άλλες υποθέσεις, κάτι που θα αναγκάσει τις εταιρείες να πάρουν το ζήτημα της ιδιωτικότητας πιο σοβαρά.

Επίσης, δίνεται το δικαίωμα της «φορητότητας δεδομένων», δηλαδή δεν θα επιτρέπεται τα δεδομένα ενός προσώπου να «κλειδώνονται» σε μια εταιρεία ή πάροχο υπηρεσιών. Οι εταιρείες είναι υποχρεωμένες να επιτρέπουν στο χρήστη-καταναλωτή να «κατεβάζει» τα προσωπικά δεδομένα του και να τα μεταφέρει σε ανταγωνιστική εταιρεία, είτε πρόκειται για οικονομικά στοιχεία από τράπεζα σε τράπεζα, είτε για τη μεταφορά μιας playlist τραγουδιών από το Spotify σε ανταγωνιστική μουσική υπηρεσία streaming.

8. Οι χρήστες – καταναλωτές έχουν καταλάβει τι γίνεται;

Πολλοί όχι δυστυχώς. Ήδη αρκετές εταιρείες ενημερώνουν με e-mail και άλλους τρόπους τους χρήστες για τη νέα πολιτική τους σχετικά με τα προσωπικά δεδομένα, αλλά ο νόμος επιβάλλει οι όροι να είναι γραμμένοι απλά και όχι νομικίστικα, κάτι που συχνά δεν συμβαίνει. Επίσης οι εταιρείες πρέπει να δίνουν στον καθένα την επιλογή να μπλοκάρει τη συλλογή πληροφοριών που τον αφορούν. Όμως συχνά οι χρήστες συναινούν βιαστικά, χωρίς να καταλαβαίνουν και χωρίς να αξιοποιούν τις νέες δυνατότητες που έχουν.

9. Εκτός από τους χρήστες, οι εταιρείες έχουν κάτι να ωφεληθούν από τους νέους κανόνες;

Οι εταιρείες πλέον θα έχουν να κάνουν όχι με μια γραφειοκρατική πανσπερμία διαφορετικών εθνικών κανονισμών, αλλά με ενιαίους πανευρωπαϊκούς και προβλέψιμους κανόνες. Αυτό θα διευκολύνει, σύμφωνα με την Ευρωπαϊκή Επιτροπή, τις διεθνείς ψηφιακές συναλλαγές και την επέκταση σε άλλες χώρες και νέες αγορές, ιδίως όσον αφορά τις μικρότερες εταιρείες. Οι κανόνες θα είναι ίδιοι για τις εγκατεστημένες στην ΕΕ εταιρείες και για όσες έχουν έδρα εκτός ΕΕ (π.χ. ΗΠΑ), αλλά λειτουργούν στην ΕΕ. Η αύξηση της εμπιστοσύνης των καταναλωτών χάρη στους νέους κανόνες προστασίας των προσωπικών δεδομένων τελικά θα ωφελήσει οικονομικά τις εταιρείες.

10. Πόσο αποτελεσματικός θα είναι ο νέος Κανονισμός στην πράξη;

Είναι πολύ νωρίς να εκτιμήσει κανείς, ίσως χρειασθούν χρόνια. Πολλά θα εξαρτηθούν από το πόσο αυστηρά οι εθνικές εποπτικές αρχές θα εφαρμόσουν τους νέους κανόνες. Δυστυχώς, μια πρόσφατη έρευνα του πρακτορείου Ρόιτερς μεταξύ των ρυθμιστικών αρχών των χωρών της ΕΕ, κατέληξε στο συμπέρασμα ότι πολλοί από αυτούς τους ανεξάρτητους φορείς δεν είναι έτοιμοι ακόμη.

Οι 17 από τις 24 Αρχές που απάντησαν, δήλωσαν ότι είτε δεν έχουν την αναγκαία χρηματοδότηση, είτε επαρκές προσωπικό, είτε τις αναγκαίες εξουσίες για να εφαρμόσουν τους νέους κανόνες. Επιπλέον, σε αρκετές χώρες θα περάσουν μήνες, εωσότου οι κυβερνήσεις ενσωματώσουν το νέο ευρωπαϊκό κανονισμό στην εθνική νομοθεσία τους. Οι περισσότερες Αρχές θα ανταποκριθούν στα παράπονα των πολιτών, αλλά ελάχιστες θα δράσουν αυτόβουλα για να διασφαλίσουν ότι οι εταιρείες συμμορφώνονται με τους νέους κανόνες.

Έτσι, κρίσιμο ρόλο στην Ελλάδα και κάθε άλλη χώρα θα παίξει πόσο αποφασιστικά οι χρήστες-πολίτες θα διεκδικήσουν τα δικαιώματά τους και θα αξιοποιήσουν το νέο θεσμικό πλαίσιο. Τελικά, θα φανεί πόσο πράγματι νοιάζονται οι άνθρωποι για τα προσωπικά δεδομένα τους.