Νομικό Περιοδικό Αρ. 68 – Φεβρουάριος 2024.

Έλεγχοι της CNIL: ποιες είναι οι προτεραιότητες για το 2024; ?

Όπως κάθε χρόνο, η CNIL δημοσίευσε στις αρχές του 2024 την ανασκόπηση της προηγούμενης δραστηριότητάς της και τις προτεραιότητές της για τους επόμενους μήνες.

Υποδεικνύει συνεχώς αυξανόμενους ελέγχους, οι οποίοι καθίστανται πιο αποτελεσματικοί με την εφαρμογή μιας απλουστευμένης διαδικασίας για ορισμένες περιπτώσεις.

Πέρυσι, οι έλεγχοι επηρέασαν ποικίλους τομείς όπως η διαφήμιση και το ηλεκτρονικό εμπόριο, η ασφάλεια, η γεωγραφική τοποθεσία των οχημάτων, τα δικαιώματα των εργαζομένων και η επεξεργασία δεδομένων υγείας.

Η CNIL έχει επιβάλει κυρώσεις τόσο σε πολυεθνικές όσο και σε ΜΜΕ, καθώς και σε δημόσιους και ιδιωτικούς φορείς.

Ωστόσο, η Επιτροπή φαίνεται να έχει συνειδητοποιήσει τις πρόσθετες προσπάθειες που απαιτούνται από τους υπεύθυνους των μικρών οργανισμών για να συμμορφωθούν με τον ΓΚΠΔ.

Σε μια μελέτη σχετικά με τον οικονομικό αντίκτυπο του GDPR που δημοσιεύθηκε την 1η Μαρτίου, σημειώνει ότι «ο GDPR είναι αναλογικά πιο ευνοϊκός για τους μεγάλους οικονομικούς παράγοντες, οι οποίοι έχουν περισσότερους πόρους να αφιερώσουν στη συμμόρφωση».

Συνάγει συμπεράσματα από αυτό σημειώνοντας ότι «η ρυθμιστική αρχή πρέπει να αντισταθμίσει ενεργά αυτή την τάση με μια απαιτητική πολιτική απέναντι στους μεγάλους παίκτες, και ακόμη περισσότερο απέναντι στους πολύ μεγάλους παίκτες, ανάλογα με τους κινδύνους που θέτουν και τους πόρους που έχουν στη διάθεσή τους».

Έτσι, όπως διευκρινίζει και η κοινή δήλωση CNIL-Αρχής Ανταγωνισμού του Δεκεμβρίου 2023, η CNIL ήδη αναλαμβάνει, και θα αναλαμβάνει ακόμη περισσότερο στο μέλλον, μια ασύμμετρη διάσταση στη ρυθμιστική της δράση στις ψηφιακές αγορές.σε συνδυασμό με πλήρη κατανόηση των επιχειρηματικών μοντέλων, προς όφελος των ατόμων και την προστασία των θεμελιωδών δικαιωμάτων τους.

Μεταξύ των δράσεων που ανακοινώθηκαν φέτος, όπως ήταν αναμενόμενο, είναι τα αρχεία που σχετίζονται με τους Ολυμπιακούς και Παραολυμπιακούς Αγώνες του 2024 και το δικαίωμα των ατόμων να έχουν πρόσβαση στα δεδομένα τους.

Σχετικά με τους Ολυμπιακούς ΑγώνεςΗ CNIL σκοπεύει να επαληθεύσει τη χρήση των συσκευών ασφαλείας και ιδίως τη χρήση επαυξημένων καμερών, κωδικών QR για περιοχές περιορισμένης πρόσβασης και αδειών πρόσβασης.

Ο όγκος των δεδομένων και ο αριθμός των εταίρων που εμπλέκονται στην εκδήλωση θα οδηγήσουν επίσης την Επιτροπή στην επαλήθευση της χρήσης των δεδομένων έκδοσης εισιτηρίων, ώστε να αποτραπεί η δόλια επαναχρησιμοποίηση των δεδομένων των ενδιαφερομένων ατόμων.

Σημειώστε ότι το ζήτημα της χρήσης της αναγνώρισης προσώπου από τις αρχές επιβολής του νόμου περιλαμβάνεται επίσης στις προτεραιότητες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) στο πρόγραμμα εργασίας του για την περίοδο 2023-2024.

Το δικαίωμα των ατόμων να έχουν πρόσβαση στα δεδομένα τους είναι το θέμα της συντονισμένης δράσης του EDPB για το 2024 (βλ. επίσης παρακάτω).

Το 2023, το EDPB ενέκρινε κατευθυντήριες γραμμές σχετικά με αυτό το θέμα, οι οποίες συμπληρώνουν εκείνες που δημοσιεύθηκαν από την CNIL, για να βοηθήσουν τους υπεύθυνους επεξεργασίας δεδομένων στην εφαρμογή διαδικασιών πρόσβασης.

Η CNIL θα επικεντρωθεί επίσης σε δεδομένα που συλλέγονται στο διαδίκτυο από ανηλίκους. θα επαληθεύσει εάν εφαρμόζονται μηχανισμοί ελέγχου ηλικίας, ποια μέτρα ασφαλείας έχουν προγραμματιστεί και εάν τηρείται η αρχή της ελαχιστοποίησης των δεδομένων.

Τέλος, θα εξεταστεί ο αντίκτυπος της αποϋλοποίησης των αποδείξεων από το ταμείο και της χρήσης προγραμμάτων πιστότητας στα δικαιώματα των ατόμων..

Η αντικατάσταση των έντυπων αποδείξεων με SMS ή email, για παράδειγμα, συνεπάγεται τη συλλογή πρόσθετων δεδομένων.

Η CNIL ορίζει ότι αυτά τα δεδομένα, όπως και οι πληροφορίες που αφορούν τις αγορές ατόμων, μπορούν να χρησιμοποιηθούν μόνο για σκοπούς στόχευσης διαφημίσεων με την προηγούμενη συγκατάθεση των ενδιαφερομένων.

Τέλος, πρέπει να σημειωθεί ότι η CNIL μπορεί να αναλάβει μια υπόθεση ανεξάρτητα από τις προσδιορισμένες προτεραιότητες, βάσει καταγγελίας, δημοσίευσης στον τύπο ή έκθεσης από αρχή προστασίας δεδομένων άλλης ευρωπαϊκής χώρας.

 

    

• Στις 31 Ιανουαρίου, η CNIL επέβαλε πρόστιμο 100.000 ευρώ στον πάροχο υπηρεσιών ακινήτων PAP.

Η CNIL (Γαλλική Αρχή Προστασίας Δεδομένων) εντόπισε ελλείψεις όσον αφορά τις περιόδους διατήρησης δεδομένων, την ενημέρωση των ατόμων, τη διαχείριση των σχέσεων μεταξύ του PAP (Προσωπικού Σημείου Πρόσβασης) και ενός υπεργολάβου και την ασφάλεια των δεδομένων (αποθήκευση κωδικών πρόσβασης σε απλό κείμενο). Τα εντοπισμένα κενά ασφαλείας εξέθεσαν τα δεδομένα σε κινδύνους κυβερνοεπιθέσεων και διαρροών.

• Στις 31 Ιανουαρίου, επέβαλε επίσης πρόστιμο 310.000 ευρώ στην FORIOU για χρήση δεδομένων που παρείχαν μεσίτες δεδομένων για εμπορικούς σκοπούς αναζήτησης, χωρίς να διασφαλίσει ότι τα εμπλεκόμενα άτομα είχαν δώσει έγκυρα τη συγκατάθεσή τους για επικοινωνία.

Η CNIL μας υπενθυμίζει ότι είναι ευθύνη της εταιρείας που χρησιμοποιεί τα δεδομένα να διασφαλίσει ότι τα εμπλεκόμενα πρόσωπα έχουν δώσει έγκυρη συγκατάθεση εκ των προτέρων, κατά τη στιγμή της συλλογής.

Η Επιτροπή σημείωσε ότι, παρόλο που η εταιρεία επέβαλε ορισμένες συμβατικές απαιτήσεις στους παρόχους δεδομένων ανάντη, δεν ασκήθηκε αποτελεσματικός έλεγχος αυτών των απαιτήσεων σε κατάντη στάδια.

• Στις 30 Ιανουαρίου, το Συμβούλιο της Επικρατείας έκρινε ότι οι αυτόματες μεταφορές φορολογικών δεδομένων μεταξύ Γαλλίας και Ηνωμένων Πολιτειών βάσει της συμφωνίας FATCA δεν παραβιάζουν τα άρθρα 5 και 46 του ΓΚΠΔ, καθώς η απουσία απόφασης επάρκειας δεν εμποδίζει τις μεταφορές δεδομένων «που είναι απαραίτητες για σημαντικούς λόγους δημόσιου συμφέροντος».

Ο Σύνδεσμος Αμερικανών με Τυχαία Θύματα είχε ζητήσει από το Συμβούλιο της Επικρατείας να ανατρέψει την απόφαση της CNIL, η οποία είχε καταλήξει στην απόρριψη της καταγγελίας της.

Το Συμβούλιο της Επικρατείας έκρινε ότι η CNIL είχε δικαιολογήσει επαρκώς την απόφασή της.

Σημειώστε ότι για το ίδιο θέμα, η βελγική αρχή προστασίας δεδομένων είχε καταλήξει σε διαφορετικό συμπέρασμα και είχε απαγορεύσει τη μεταφορά φορολογικών δεδομένων τυχαίων Βελγοαμερικανών στις Ηνωμένες Πολιτείες.

• Η γαλλική νεοσύστατη εταιρεία Mistral, η οποία ειδικεύεται στην ανάπτυξη τεχνητής νοημοσύνης, ανακοίνωσε μια στρατηγική συνεργασία με τη Microsoft στις 26 Φεβρουαρίου.

Σύμφωνα με την εφημερίδα Le Monde, η ανακοίνωση αυτή προκαλεί τριβές στις Βρυξέλλες, μετά από έντονες προσπάθειες άσκησης πίεσης, ιδίως από τη Γαλλία, για να ευνοηθούν οι ευρωπαϊκές νεοσύστατες επιχειρήσεις και να περιοριστούν οι υποχρεώσεις που τις αφορούν στον μελλοντικό κανονισμό για την τεχνητή νοημοσύνη.

Οι Πράσινοι ευρωβουλευτές απέστειλαν επιστολή στην Ευρωπαϊκή Επιτροπή θέτοντας ερωτήματα σχετικά με πιθανές συγκρούσεις συμφερόντων και ζητήματα διαφάνειας όσον αφορά την άσκηση πιέσεων από την Mistral σχετικά με αυτόν τον κανονισμό.

• Στα μέσα Ιανουαρίου, η ANSSI δημοσίευσε τρεις οδηγούς που αποσκοπούσαν στη «διαχείριση της αποκατάστασης ενός κυβερνοσυμβάντος».

Αυτοί οι οδηγοί αποτελούνται από τρία μέρη: στρατηγικό, επιχειρησιακό και τεχνικό.

Ο οργανισμός επισημαίνει ότι «εάν ένα σημαντικό περιστατικό διορθωθεί μερικώς ή ελλιπώς, οι επιπτώσεις του μπορούν να επεκταθούν με την πάροδο του χρόνου».

«Αυτό το υψηλό δυναμικό αποσταθεροποίησης απαιτεί (...) εμπειρογνωμοσύνη για τον περιορισμό αυτών των κυβερνοεπιθέσεων, για την ανάκτηση του ελέγχου του παραβιασμένου συστήματος πληροφοριών και για την αποκατάσταση μιας επαρκούς κατάστασης λειτουργίας.»

Η αποκατάσταση αποτελεί σημαντική διάσταση της αντιμετώπισης κυβερνοσυμβάντων, μαζί με την έρευνα και τη διαχείριση κρίσεων.

• Μετά από οκτώ μήνες πειραματισμού, η ψηφιακή άδεια οδήγησης είναι διαθέσιμη από τις 14 Φεβρουαρίου σε όλους όσους υποβάλουν αίτηση για αυτήν.

Με την αίτηση γαλλικής ταυτότητας, είναι επίσης δυνατό να ψηφιοποιήσετε την ταυτότητά σας και να τη χρησιμοποιήσετε για ορισμένες διαδικασίες, όπως η έκδοση πληρεξουσίου.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

• Στις 28 Φεβρουαρίου, το EDPB έθεσε σε εφαρμογή το «συντονισμένο πλαίσιο ερευνών» (CFE) για το 2024.

Καθ’ όλη τη διάρκεια του έτους, οι ευρωπαϊκές αρχές προστασίας δεδομένων (ΑΠΔ) θα συμμετέχουν σε αυτήν την πρωτοβουλία σχετικά με την εφαρμογή του δικαιώματος πρόσβασης.

Στην ολομέλειά του τον Οκτώβριο του 2023, το ΕΣΠΔ επέλεξε το δικαίωμα πρόσβασης για την τρίτη συντονισμένη δράση εφαρμογής του, «επειδή βρίσκεται στο επίκεντρο της προστασίας δεδομένων και είναι ένα από τα δικαιώματα προστασίας δεδομένων που ασκούνται συχνότερα, και ένα για το οποίο οι αρχές προστασίας δεδομένων λαμβάνουν πολλές καταγγελίες».

• Το EDPB θα εκδώσει σύντομα μια αποφασιστική γνώμη σχετικά με το επιχειρηματικό μοντέλο «αποδοχή ή πληρωμή», το οποίο απαιτεί πληρωμή για την πρόσβαση στο περιεχόμενο του ιστότοπου από τους επισκέπτες που αρνούνται τα cookies.

Ο Meta υιοθέτησε αυτήν την προσέγγιση τον Νοέμβριο του 2023, γεγονός που οδήγησε τις ολλανδικές, νορβηγικές και αμβουργιανές ΑΠΔ να ζητήσουν από το ΕΣΠΔ να εκδώσει δεσμευτική γνώμη σχετικά με τη νομιμότητα αυτής της πρακτικής.

Η κοινωνία των πολιτών φοβάται ότι, εάν αυτό το οικονομικό μοντέλο νομιμοποιηθεί, οι εταιρείες σε όλους τους βιομηχανικούς τομείς θα ακολουθήσουν το παράδειγμα του Meta, κάτι που θα μπορούσε να σηματοδοτήσει το τέλος της γνήσιας συναίνεσης για τη χρήση δεδομένων.

28 ΜΚΟ απέστειλαν επιστολή στο ΕΣΠΔ καλώντας το να εκδώσει γνώμη που να προστατεύει το θεμελιώδες δικαίωμα στην προστασία των δεδομένων.

• Κατά τη διάρκεια της ολομέλειάς του στα μέσα Φεβρουαρίου, το ΕΣΠΔ ενέκρινε γνώμη που διευκρινίζει την έννοια της κύριας εγκατάστασης στο πλαίσιο του «One stop shop».

Οι εταιρείες δεν μπορούν απλώς να δημιουργήσουν μια κύρια εγκατάσταση «τοποθετώντας μια πινακίδα σε μια πόρτα»: η εγκατάσταση πρέπει να είναι ο χώρος όπου λαμβάνονται οι αποφάσεις επεξεργασίας και, εάν αυτές οι αποφάσεις λαμβάνονται στο εξωτερικό, δεν μπορεί να υπάρχει κύρια εγκατάσταση: η υπηρεσία μίας στάσης δεν εφαρμόζεται. Το ΕΣΠΔ ενέκρινε επίσης δήλωση καλώντας τους νομοθέτες της ΕΕ να διασφαλίσουν ότι ο κανονισμός CSAM, που αποσκοπεί στην προστασία των δικαιωμάτων των παιδιών στο διαδίκτυο, σέβεται τα δικαιώματα στην ιδιωτικότητα και την προστασία των δεδομένων. 

• Το Ευρωπαϊκό Κοινοβούλιο, και πιο συγκεκριμένα η υποεπιτροπή Άμυνας, βρισκόταν σε κατάσταση ύψιστης επιφυλακής στα τέλη Φεβρουαρίου, μετά την ανακάλυψη ιχνών πειρατείας στα τηλέφωνα δύο μελών του, γεγονός που εγείρει φόβους για κυβερνοεπιθέσεις και ξένες παρεμβάσεις ενόψει των ευρωεκλογών του Ιουνίου.

Τον περασμένο Δεκέμβριο, το Politico ανέφερε ότι η κυβερνοασφάλεια του ιδρύματος «δεν έχει ακόμη φτάσει τα πρότυπα του κλάδου» και «δεν είναι πλήρως συμβατή με το επίπεδο απειλής» που θέτουν οι χάκερ.

Αυτές οι νέες αποκαλύψεις έρχονται μετά από προηγούμενα περιστατικά στα οποία άλλα μέλη του Ευρωπαϊκού Κοινοβουλίου έγιναν στόχος των spyware Pegasus και Predator.

• Στις 19 Φεβρουαρίου, η Ευρωπαϊκή Επιτροπή ξεκίνησε έρευνα σχετικά με τα δικαιώματα των παιδιών στο TikTok.

Υποψιάζεται, ειδικότερα, παραβιάσεις σχετικά με τη διαφάνεια και τις υποχρεώσεις προστασίας των ανηλίκων βάσει του Κανονισμού για τις Ψηφιακές Υπηρεσίες (DSA), συμπεριλαμβανομένου του εθιστικού σχεδιασμού, της ανεπαρκούς επαλήθευσης ηλικίας και των ανεπαρκών προεπιλεγμένων ρυθμίσεων απορρήτου. Ο DSA ισχύει στην ΕΕ από τις 17 Φεβρουαρίου.

• Τα κράτη μέλη της ΕΕ, με την υποστήριξη της Ευρωπαϊκής Επιτροπής και του Οργανισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA), δημοσίευσαν στις 21 Φεβρουαρίου έκθεση σχετικά με την κυβερνοασφάλεια και την ανθεκτικότητα των ευρωπαϊκών υποδομών και δικτύων επικοινωνιών.

Η παρούσα έκθεση έρχεται σε συνέχεια αξιολόγησης από τα κράτη μέλη των κινδύνων που σχετίζονται με αυτές τις υποδομές και τα δίκτυα.

Η αξιολόγηση εντόπισε μια σειρά από απειλές, όπως wipers, επιθέσεις ransomware, επιθέσεις στην εφοδιαστική αλυσίδα, φυσικές επιθέσεις και δολιοφθορά.

• Στις 13 Φεβρουαρίου, το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων (ΕΔΑΔ) αποφάνθηκε στην υπόθεση Podchasov σχετικά με τη συλλογή και την πρόσβαση της Ρωσίας στις ιδιωτικές επικοινωνίες πολιτών.

Εν μέσω της συζήτησης σχετικά με τους υποτιθέμενους κινδύνους των κρυπτογραφημένων επικοινωνιών, το Δικαστήριο υπέδειξε σαφώς ότι η αποδυνάμωση της κρυπτογράφησης των επικοινωνιών για όλους τους πολίτες δεν ήταν δικαιολογημένη.

Σύμφωνα με τον E. Tuchtfeld, «αυτή η απόφαση στέλνει ένα σημαντικό μήνυμα όχι μόνο στο ρωσικό κράτος, αλλά και σε άλλες ευρωπαϊκές κυβερνήσεις που εξετάζουν το ενδεχόμενο εγκατάστασης «κερκόπορτων» σε κρυπτογραφημένες υπηρεσίες ανταλλαγής μηνυμάτων όπως το Telegram, το Signal ή το WhatsApp».

• Το ΕΔΑΔ έκρινε επίσης, σε απόφαση της 15ης Φεβρουαρίου, ότι η συστηματική και αδιάκριτη διατήρηση τηλεπικοινωνιακών δεδομένων που χρησιμοποιήθηκε στη Σλοβενία εναντίον ενός πρώην δικαστή κατά τη διάρκεια της δίκης του θα πρέπει να θεωρηθεί παραβίαση του δικαιώματός του στην ιδιωτικότητα.

Κατά τον χρόνο της καταδίκης του αιτούντος, οι πάροχοι υπηρεσιών επικοινωνιών ήταν υποχρεωμένοι να διατηρούν τα δεδομένα τηλεπικοινωνιών συστηματικά και αδιακρίτως για περίοδο 14 μηνών.

Το Δικαστήριο έκρινε ότι η εν λόγω διατήρηση δεν ήταν εντός των ορίων του ό,τι είναι απαραίτητο σε μια δημοκρατική κοινωνία.

Η διατήρηση, η πρόσβαση και η επεξεργασία δεδομένων στο πλαίσιο της ποινικής διαδικασίας κατά του αιτούντος παραβίασαν, επομένως, το δικαίωμά του στον σεβασμό της ιδιωτικής ζωής.

 

Νέα από τις χώρες μέλη της Ευρώπης.

• Στο Βέλγιο, η Βελγική Αρχή Προστασίας Δεδομένων (APD) έχει διαθέσει στον ιστότοπό της μια ενότητα με τίτλο «Έγγραφα για τον ΥΠΔ»

Περιλαμβάνει, ειδικότερα, δικαστικές αποφάσεις και αποφάσεις της APD σχετικά με τους ΥΠΔ, για παράδειγμα σε θέματα όπως η σύγκρουση συμφερόντων και η προστασία από την απόλυση.

• Η Βελγική Αρχή Προστασίας Δεδομένων έκρινε επίσης ότι, ανεξάρτητα από την απόσυρση μιας καταγγελίας, εξακολουθούσε να έχει την εξουσία να κηρύξει παραβίαση των δικαιωμάτων του ενδιαφερόμενου προσώπου και να επιβάλει πρόστιμο λόγω μη συμμόρφωσης με τον ΓΚΠΔ.
• Η Ιταλική Αρχή Προστασίας Δεδομένων (APD) ανακοίνωσε στις 29 Φεβρουαρίου ότι επέβαλε πρόστιμο άνω των 79 εκατομμυρίων ευρώ στην Enel Energia για σοβαρές παραβιάσεις στην επεξεργασία προσωπικών δεδομένων πολλών χρηστών στον τομέα της ηλεκτρικής ενέργειας και του φυσικού αερίου, οι οποίες πραγματοποιήθηκαν για σκοπούς τηλεμάρκετινγκ.
• Η APD επέβαλε επίσης πρόστιμο 5.000 ευρώ στον δήμο των Συρακουσών για μη παροχή των στοιχείων επικοινωνίας του DPO σύμφωνα με το άρθρο 37 του ΓΚΠΔ.
• Η ελληνική Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ) επέβαλε πρόστιμο 5.000 ευρώ σε έναν υπεύθυνο επεξεργασίας δεδομένων επειδή ο υπεύθυνος προστασίας δεδομένων (ΥΠΔ) δεν απάντησε, παρά τις επανειλημμένες υπενθυμίσεις, στο ερωτηματολόγιο που του έστειλε στο πλαίσιο της συντονισμένης ευρωπαϊκής δράσης των ΑΠΔΠΧ το 2023.
• Στην Ισπανία, η APD αρνήθηκε να επιτρέψει τη χρήση των υποχρεώσεων δέουσας επιμέλειας για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες ως δικαιολογία για μια τράπεζα ώστε να αναγκάσει έναν καταγγέλλοντα να παράσχει λεπτομέρειες σχετικά με την προέλευση των χρημάτων του μέσω μη κρυπτογραφημένων ηλεκτρονικών μηνυμάτων.

Επέβαλε πρόστιμο 2.500.000 ευρώ στον υπεύθυνο επεξεργασίας δεδομένων.

• Η Δανική Αρχή Προστασίας Δεδομένων, στην πέμπτη απόφασή της σχετικά με το Chromebook, διαπίστωσε ότι 53 δήμοι είχαν παράνομα κοινοποιήσει προσωπικά δεδομένα μαθητών στην Google για τους σκοπούς ανάπτυξης της ίδιας της Google, κατά παράβαση του άρθρου 6(1)(ε) του ΓΚΠΔ.
• Στο Ηνωμένο Βασίλειο, η DPA επέβαλε πρόστιμο 409.080 ευρώ (350.000 λίρες Αγγλίας) στο βρετανικό Υπουργείο Άμυνας για την αποκάλυψη 265 διευθύνσεων ηλεκτρονικού ταχυδρομείου ατόμων που επιδιώκουν να εγκαταλείψουν το Αφγανιστάν μετά την άνοδο των Ταλιμπάν στην εξουσία το 2021.
• Η Ελβετική Ομοσπονδιακή Υπηρεσία Πληροφοριών (FIS) εμπλέκεται από το περιοδικό Republik, το οποίο δημοσίευσε έρευνα στα μέσα Ιανουαρίου ισχυριζόμενη ότι η FIS έχει πρόσβαση στα ηλεκτρονικά μηνύματα όλων των Ελβετών πολιτών και ότι παρακολουθεί μαζικά τις επικοινωνίες τους βάσει νόμου του 2016.

Τα δεδομένα θα συλλέγονται απευθείας από καλώδια επικοινωνίας, μέσω εξοπλισμού εγκατεστημένου στην υποδομή των παρόχων υπηρεσιών διαδικτύου. Η SRC αρνείται αυτές τις κατηγορίες (μέσω επιστολής προς την AFCDP).

• Μια κυβερνοεπίθεση εναντίον μιας αμερικανικής εταιρείας οδήγησε στην αποκάλυψη ευαίσθητων πληροφοριών σχετικά με την ελβετική πολεμική αεροπορία στο dark web.

Η ομάδα χάκερ ALPHV ανέλαβε την ευθύνη για την επίθεση, η οποία είχε ως αποτέλεσμα την δημοσιοποίηση διαβαθμισμένων εγγράφων, συμπεριλαμβανομένου ενός συμβολαίου 5 εκατομμυρίων δολαρίων μεταξύ της Ελβετίας και της Ultra Intelligence & Communications, ενός παρόχου τεχνολογιών κρυπτογράφησης και επικοινωνιών για τον αμυντικό τομέα.

Τον Ιούλιο του 2023, μια παρόμοια επίθεση έπληξε την ελβετική εταιρεία Xplain, ακολουθούμενη τον Νοέμβριο από ένα hack στην εταιρεία λογισμικού Concevis, η οποία εργάζεται επίσης για τον αμυντικό τομέα και τη φορολογική διοίκηση.

 

• Η κυβέρνηση Μπάιντεν εξέδωσε εκτελεστικό διάταγμα στις 28 Φεβρουαρίου με στόχο την προστασία των ευαίσθητων προσωπικών δεδομένων των Αμερικανών από την εκμετάλλευση από ορισμένες τρίτες χώρες («χώρες ανησυχίας»).

Το παρόν διάταγμα εξουσιοδοτεί τον Γενικό Εισαγγελέα να αποτρέψει τη μεγάλης κλίμακας μεταφορά προσωπικών δεδομένων Αμερικανών σε χώρες που εγείρουν ανησυχίες και παρέχει διασφαλίσεις για άλλες δραστηριότητες που θα μπορούσαν να επιτρέψουν σε αυτές τις χώρες πρόσβαση σε ευαίσθητα δεδομένα Αμερικανών.

Αυτά τα δεδομένα περιλαμβάνουν, ειδικότερα, γονιδιωματικά, βιομετρικά, δεδομένα υγείας, γεωγραφικής τοποθεσίας και οικονομικά δεδομένα.

• Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST) δημοσίευσε συγκεκριμένα μέτρα τον Φεβρουάριο για την ενσωμάτωση της ασφάλειας σε κάθε φάση του κύκλου ανάπτυξης λογισμικού.

Ο οδηγός συνιστά στους κατασκευαστές να δώσουν προτεραιότητα σε μια σειρά από συγκεκριμένα μέτρα, συμπεριλαμβανομένης της καθιέρωσης βασικών απαιτήσεων ασφαλείας για την ενσωμάτωση λογισμικού ανοιχτού κώδικα και της επέκτασης της παρακολούθησης των «δεδομένων προέλευσης».

• Επίσης στις Ηνωμένες Πολιτείες, η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) μόλις απαγόρευσε στην Avast να πουλάει τα δεδομένα περιήγησης των πελατών της για διαφημιστικούς σκοπούς.

Η FTC διερευνούσε ισχυρισμούς ότι η Avast πούλησε δεδομένα περιήγησης, ισχυριζόμενη παράλληλα ότι τα προϊόντα της εμπόδιζαν την παρακολούθηση στο διαδίκτυο. Στην Avast επιβλήθηκε πρόστιμο 16,5 εκατομμυρίων δολαρίων.

Σημειώστε ότι η τσεχική Αρχή Προστασίας Δεδομένων είχε επιβάλει κυρώσεις στην εταιρεία τον Απρίλιο του 2023 για τους ίδιους λόγους.

• Οι αναθεωρήσεις του νόμου περί προστασίας δεδομένων της Γεωργίας τέθηκαν σε ισχύ την 1η Μαρτίου.

Αυτές οι αλλαγές στοχεύουν στη διασφάλιση προστασίας που πλησιάζει περισσότερο αυτή του ΓΚΠΔ. 

Απαγορεύεται πλέον στους παρόχους κινητής τηλεφωνίας και στους παρόχους υπηρεσιών SMS να χρησιμοποιούν τα προσωπικά δεδομένα των πολιτών για σκοπούς άμεσου μάρκετινγκ χωρίς την προηγούμενη συγκατάθεσή τους.

Επιπλέον, είναι πλέον υποχρεωτικό για τους δημόσιους φορείς και ορισμένες ιδιωτικές εταιρείες να διορίζουν έναν υπεύθυνο προστασίας δεδομένων.

• Ο Επίτροπος Προστασίας Προσωπικών Δεδομένων του Χονγκ Κονγκ (PDPC) διενήργησε ελέγχους συμμόρφωσης σε 28 τοπικούς οργανισμούς από τον Αύγουστο του 2023 έως τον Φεβρουάριο του 2024 σχετικά με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της χρήσης τεχνητής νοημοσύνης.

Η άσκηση κάλυψε διάφορους τομείς, συμπεριλαμβανομένων των τηλεπικοινωνιών, των χρηματοοικονομικών και των ασφαλειών, των υπηρεσιών ομορφιάς, του λιανικού εμπορίου, των μεταφορών, της εκπαίδευσης και των υπουργείων.

Το PCPD δεν διαπίστωσε παραβάσεις, αν και σημείωσε ότι ένας αυξανόμενος αριθμός δημόσιων και ιδιωτικών οργανισμών χρησιμοποιεί Τεχνητή Νοημοσύνη για να βελτιώσει την καθημερινή επιχειρησιακή τους αποτελεσματικότητα.