Νομικό Περιοδικό Αρ. 81 – Μάρτιος 2025. 

Παραβιάσεις δεδομένων: ποια μέτρα επιβολής του νόμου και ποιες κυρώσεις;

Ποιος δεν έχει λάβει πρόσφατα ένα email από τον πάροχο τηλεπικοινωνιακών υπηρεσιών του ή από την ΜΚΟ στην οποία κάνει μηνιαία δωρεά, που να τον ενημερώνει ότι τα στοιχεία επικοινωνίας του, τα αναγνωριστικά του στοιχεία και μερικές φορές τα τραπεζικά του στοιχεία έχουν παραβιαστεί;

Σε μια εποχή που οι παραβιάσεις δεδομένων πολλαπλασιάζονται, η προστασία των συστημάτων πληροφορικής καθίσταται μείζον ζήτημα για τις εταιρείες.

Από την έναρξη ισχύος του ΓΚΠΔ και της οδηγίας NIS2, η ασφάλεια της επεξεργασίας δεδομένων ρυθμίζεται αυστηρά και οι παραβιάσεις υπόκεινται σε υψηλές κυρώσεις για τους υπεύθυνους επεξεργασίας δεδομένων.

Μεταξύ των υποχρεώσεων, θα πρέπει να αναφέρουμε την υποχρέωση κοινοποίησης της παράβασης στην CNIL και στα ενδιαφερόμενα πρόσωπα υπό ορισμένες προϋποθέσεις, για την επανόρθωση της παράβασης και τη λήψη τυχόν χρήσιμων μέτρων για τον μετριασμό των συνεπειών της.

Η CNIL έχει εκτεταμένες εξουσίες έρευνας και η αποστολή της είναι να υποστηρίζει αλλά και να επιβάλλει κυρώσεις στους υπεύθυνους επεξεργασίας δεδομένων όταν η αιτία της παραβίασης δεδομένων είναι μια παραβίαση ασφάλειας.

Η Επιτροπή έχει επιβάλει αρκετές κυρώσεις τα τελευταία χρόνια:

• Η Bouygues Telecom τιμωρήθηκε με πρόστιμο 250.000 ευρώ το 2017 λόγω ανεπαρκούς ασφάλειας στον ιστότοπο πελατών της B&You, ο οποίος επέτρεπε την πρόσβαση στα συμβόλαια 2 εκατομμυρίων πελατών μέσω τροποποίησης URL.
• Το 2016, η Uber τιμωρήθηκε με πρόστιμο 400.000 ευρώ για παραβίαση ασφαλείας που έθεσε σε κίνδυνο 57 εκατομμύρια λογαριασμούς και για μη ενημέρωση της CNIL εντός των νόμιμων προθεσμιών.
• Πιο πρόσφατα, η Dedalus Biologie αποκάλυψε τα δεδομένα υγείας 500.000 ασθενών λόγω εσφαλμένης διαμόρφωσης διακομιστή από έναν υπεργολάβο και της επιβλήθηκε πρόστιμο 1,5 εκατομμυρίου ευρώ από την CNIL.
• Τέλος, τον περασμένο Οκτώβριο, η Ledger, μια εταιρεία ασφάλειας κρυπτονομισμάτων, τιμωρήθηκε με πρόστιμο 750.000 ευρώ επειδή δεν προστάτευσε επαρκώς τα δεδομένα των πελατών της. Η εταιρεία είχε υποστεί - και είχε αποσιωπήσει - αρκετές παραβιάσεις προσωπικών δεδομένων το 2020, επηρεάζοντας πολλούς πελάτες και υποψήφιους πελάτες.

Η Επιτροπή, ωστόσο, φαίνεται επί του παρόντος να προτιμά την υποστήριξη έναντι των κυρώσεων.και δημοσιεύει πολυάριθμες συστάσεις για τους υπεύθυνους επεξεργασίας δεδομένων στον ιστότοπό του.

Στις αρχές του έτους, ανταποκρίθηκε στις μεγάλης κλίμακας παραβιάσεις δεδομένων που επηρέασαν εκατομμύρια ανθρώπους το 2024 και πρότεινε μέτρα ενίσχυσης της ασφάλειας για την αντιμετώπιση των κινδύνων επίθεσης.

Η CNIL επιμένει στις εσωτερικές διαδικασίες της εταιρείας, καθώς και στις προφυλάξεις που πρέπει να λαμβάνονται σε περίπτωση υπεργολαβίας.

Αλλού στην Ευρώπη, Πολλές εταιρείες τιμωρούνται με πρόστιμα από μερικές χιλιάδες έως αρκετές εκατοντάδες χιλιάδες ευρώ, για παράδειγμα, επειδή «ξεχνούν» να αφαιρέσουν τα δικαιώματα πρόσβασης στο σύστημα υπολογιστών πρώην υπαλλήλων, επειδή έχουν κάνει λάθη στον σχεδιασμό μιας τραπεζικής εφαρμογής ή στη διαμόρφωση ενός ιστότοπου, επειδή έχουν στείλει κατά λάθος μια κάρτα SIM σε λάθος πελάτη, επειδή έχουν κατεβάσει ένα αρχείο πελάτη στο Whatsapp ή επειδή δεν ελέγχουν επαρκώς τις πρακτικές ενός υπεργολάβου.

Σε υπερεθνικό επίπεδοΤο Δικαστήριο της Ευρωπαϊκής Ένωσης παρέχει επίσης διευκρινίσεις, ιδίως όσον αφορά την αποζημίωση των θυμάτων.

Εάν το πρόσωπο υποχρεούται να αποδείξει την ύπαρξη ζημίας που προκλήθηκε από παραβίαση δεδομένων, η ζημία αυτή δεν πρέπει να φθάνει σε ορισμένο βαθμό σοβαρότητας (Υπόθεση C-300/21, Υπόθεση C-590/22).

Έτσι, ο φόβος που βιώνει ένα άτομο ότι τα προσωπικά του δεδομένα έχουν αποκαλυφθεί σε τρίτους μπορεί να θεμελιώσει δικαίωμα αποζημίωσης, υπό την προϋπόθεση ότι το άτομο προσκομίζει αποδεικτικά στοιχεία για τον φόβο του, με τις αρνητικές του συνέπειες (Υπόθεση C 340/21, Υπόθεση C 687/21, Υπόθεση C-590/22).

Το ΔΕΕ έκρινε επίσης ότι η αποζημίωση για ηθική βλάβη που προκλήθηκε από την κλοπή δεδομένων προσωπικού χαρακτήρα δεν περιορίζεται σε περιπτώσεις όπου αποδεικνύεται ότι η κλοπή ταυτότητας είχε πράγματι ως αποτέλεσμα την κλοπή ταυτότητας.

Συνεπώς, μπορεί να υφίσταται αποζημιώσιμη ζημία χωρίς να έχει αποδειχθεί η κλοπή ταυτότητας. (Υποθέσεις C 182/22 και C 189/22).

Με την ανάπτυξη συλλογικών αγωγών, οι εταιρείες που δεν αναλαμβάνουν τους κινδύνους παραβίασης δεδομένων εκτίθενται σοβαρά όχι μόνο σε κυρώσεις από την CNIL αλλά και σε νομικές ενέργειες από ιδιώτες.

 

 

Η Εθνοσυνέλευση ψήφισε το βράδυ της Πέμπτης 20 Μαρτίου υπέρ της διατήρησης του απορρήτου των υπηρεσιών κρυπτογραφημένων μηνυμάτων..

Το μέτρο προέβλεπε τη δυνατότητα να απαιτείται από αυτές τις πλατφόρμες ανταλλαγής μηνυμάτων (Signal, WhatsApp κ.λπ.) να κοινοποιούν τις επικοινωνίες των διακινητών στις υπηρεσίες πληροφοριών.

«Τα μέλη του κοινοβουλίου απέσυραν αυτό το μέτρο, το οποίο έχει ενώσει πολλούς φορείς και ειδικούς στον τομέα της κυβερνοασφάλειας εναντίον του, στην επιτροπή νομικών την περασμένη εβδομάδα. Κατά την άποψή τους, υπάρχει πολύ μεγάλος κίνδυνος δημιουργίας ευπάθειας που θα έθετε σε κίνδυνο τις συνομιλίες όλων των χρηστών αυτών των πλατφορμών».

Προκειμένου οι ενδιαφερόμενοι επαγγελματίες «να είναι σε θέση να προετοιμαστούν για τις επερχόμενες διαβουλεύσεις ή συζητήσεις», η CNIL παρουσίασε στις 27 Μαρτίου το πρόγραμμα εργασίας και τις κατευθυντήριες γραμμές που επιθυμεί να υιοθετήσει το 2025.

Μεταξύ των θεμάτων που καλύπτονται είναι πρακτικοί οδηγοί για την Τεχνητή Νοημοσύνη, σχέδια εγγράφων αναφοράς που αφορούν τους υπεργολάβους, την υγεία, τον τραπεζικό τομέα, τις περιόδους διατήρησης δεδομένων στους τομείς του μάρκετινγκ και του ανθρώπινου δυναμικού, τρία σχέδια συστάσεων σχετικά με τη συγκατάθεση «πολλαπλών συσκευών», τα pixel σε email και την οικονομία των ηλικιωμένων. Τέλος, η CNIL θα συνεχίσει το έργο της σχετικά με τις κάμερες αυτοκινήτου και την πολιτική εκστρατεία.

Η απόφαση της CNIL που εξουσιοδοτεί, υπό όρους, τον Ευρωπαϊκό Οργανισμό Φαρμάκων να έχει πρόσβαση σε αποσπάσματα δεδομένων από το SNDS στο πλαίσιο του έργου DARWIN (Δίκτυο Ανάλυσης Δεδομένων και Ανάκρισης σε Πραγματικό Κόσμο) ΕΕ, δημοσιεύτηκε στο Légifrance.

Η Επιτροπή επικρίνει την επιλογή ενός παρόχου φιλοξενίας που υπόκειται σε εξωεδαφικό δίκαιο, η οποία τον εκθέτει σε κίνδυνο κοινοποίησης ευαίσθητων δεδομένων σε ξένες δυνάμεις, αλλά παρόλα αυτά επιτρέπει την επεξεργασία, για περίοδο που περιορίζεται σε τρία έτη για το δείγμα δεδομένων και ένα έτος μετά τη δημοσίευση της μελέτης.

Σε απόφαση που εκδόθηκε στις 28 Μαρτίου, η γαλλική αρχή ανταγωνισμού επέβαλε πρόστιμο 150 εκατομμυρίων ευρώ στην Apple. «για κατάχρηση δεσπόζουσας θέσης στον τομέα διανομής εφαρμογών για κινητά σε συσκευές iOS και iPadOS».

Το μέτρο στοχεύει συγκεκριμένα στη Διαφάνεια Παρακολούθησης Εφαρμογών (ATT) της Apple, η οποία επιτρέπει στους χρήστες να επιλέγουν εύκολα εάν θέλουν ή όχι να ενεργοποιήσουν την παρακολούθηση από τρίτους.

Η αρχή θεωρεί ότι το ίδιο το πλαίσιο «δεν είναι θεμελιωδώς προβληματικό», αλλά επισημαίνει ότι ο Οδηγός ATT καθιστά τη χρήση εφαρμογών τρίτων στο περιβάλλον iOS εξαιρετικά περίπλοκη, απαιτώντας πολλαπλά αναδυόμενα παράθυρα συγκατάθεσης.

Η εφαρμογή θα τιμωρούσε ιδιαίτερα τους μικρότερους εκδότες «οι οποίοι εξαρτώνται σε μεγάλο βαθμό από τη συλλογή δεδομένων τρίτων για τη χρηματοδότηση της επιχείρησής τους».

Σε απόφαση της 1ης Απριλίου, Το Συμβούλιο της Επικρατείας αποφάνθηκε σχετικά με τον αποκλεισμό του TikTok στη Νέα Καληδονία κατά τη διάρκεια των ταραχών της περασμένης άνοιξης.

Παρόλο που θεωρεί ότι στη συγκεκριμένη περίπτωση δεν πληρούνταν οι προϋποθέσεις εγκυρότητας, καθορίζει τις προϋποθέσεις υπό τις οποίες ένας τέτοιος αποκλεισμός ενός κοινωνικού δικτύου θα μπορούσε να είναι νόμιμος, κρίνοντας ότι η διοικητική αρχή «μπορεί (...) να καταφύγει σε ένα τέτοιο μέτρο [αποκλεισμού], σε εξαιρετικές περιπτώσεις, εάν είναι απαραίτητο για την κάλυψη των αναγκών της στιγμής».

Το μέτρο θα πρέπει να είναι:

• Απαραίτητο για την αντιμετώπιση ιδιαίτερα σοβαρών γεγονότων.
• Χωρίς κανένα τεχνικό μέσο που να επιτρέπει την άμεση εφαρμογή εναλλακτικών μέτρων·
• Και λαμβάνονται «για περιορισμένο χρονικό διάστημα που είναι απαραίτητο για την έρευνα και την εφαρμογή αυτών των εναλλακτικών μέτρων».

 

Σε απόφαση της 26ης Μαρτίου, το κοινωνικό τμήμα του Ακυρωτικού Δικαστηρίου επιβεβαίωσε το δικαίωμα μιας υπαλλήλου να λάβει μερικό αντίγραφο των μισθοδοσιών ορισμένων συναδέλφων της, προκειμένου να καταδείξει άδικη μεταχείριση. στην επαγγελματική του εξέλιξη.

Το δικαστήριο επαναλαμβάνει την αρχή της ελαχιστοποίησης των δεδομένων και διευκρινίζει ότι αποτελεί ευθύνη του δικαστή του πρωτοβάθμιου δικαστηρίου «να διασφαλίσει ότι οι πληροφορίες, τις οποίες θα καθορίσει ως ορατές, είναι επαρκείς, σχετικές και περιορίζονται αυστηρά σε ό,τι είναι απαραίτητο για τη σύγκριση μεταξύ των εργαζομένων, λαμβάνοντας υπόψη τον/τους φερόμενο/ους λόγο/ους διάκρισης».

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Το Politico ανακοίνωσε σε άρθρο της 3ης Απριλίου ότι Η Ευρωπαϊκή Επιτροπή σχεδιάζει να παρουσιάσει πρόταση για την απλούστευση του ΓΚΠΔ τις επόμενες εβδομάδες..

Σύμφωνα με το δημοσίευμα, αυτή είναι «μία από τις προτεραιότητες της Προέδρου της εκτελεστικής εξουσίας της ΕΕ, Ούρσουλα φον ντερ Λάιεν, η οποία προσπαθεί να καταστήσει τις εταιρείες στη Γηραιά Ήπειρο πιο ανταγωνιστικές σε σύγκριση με τους ανταγωνιστές τους στις Ηνωμένες Πολιτείες, την Κίνα και αλλού».

Την 1η Απριλίου, η Επιτροπή παρουσίασε τον οδικό της χάρτη για μια «νέα ευρωπαϊκή στρατηγική εσωτερικής ασφάλειας» με την ονομασία ProtectEU, η οποία στοχεύει ιδίως στην επέκταση των εξουσιών της Europol και του Frontex.

Η Επιτροπή θα διενεργήσει αξιολόγηση του αντίκτυπου των κανόνων διατήρησης δεδομένων σε επίπεδο ΕΕ και θα καταρτίσει έναν τεχνολογικό χάρτη πορείας για την κρυπτογράφηση, «προκειμένου να εντοπίσει και να αξιολογήσει τεχνολογικές λύσεις που θα επιτρέψουν στις αρχές επιβολής του νόμου να έχουν νόμιμη πρόσβαση σε κρυπτογραφημένα δεδομένα, διασφαλίζοντας παράλληλα την κυβερνοασφάλεια και τα θεμελιώδη δικαιώματα».

Ο Γενικός Εισαγγελέας (ΓΕ) του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) θεωρεί στα συμπεράσματά του της 27ης Μαρτίου ότι η WhatsApp, ως άμεσα ενδιαφερόμενη, μπορεί να προσβάλει την δεσμευτική απόφαση του ΕΣΠΔ ενώπιον του Ευρωπαϊκού Δικαστηρίου βάσει του άρθρου 263 της ΣΛΕΕ.

Υπενθυμίζεται ότι, μετά την απόφαση αυτή του EDPB στις 28 Ιουλίου 2021, στο πλαίσιο του μηχανισμού συνοχής του GDPR, η Ιρλανδική Επιτροπή Προστασίας Δεδομένων εξέδωσε απόφαση με την οποία διαπίστωσε τις παραβάσεις, επιβάλλοντας διορθωτικά μέτρα και διοικητικά πρόστιμα συνολικού ύψους 225 εκατομμυρίων ευρώ.

Η WhatsApp είχε προσβάλει την απόφαση του EDPB ενώπιον του Ευρωπαϊκού Δικαστηρίου και, παράλληλα, την τελική απόφαση εκτέλεσης της ιρλανδικής APD ενώπιον ιρλανδικού δικαστηρίου.

Η Γενική Συνέλευση έκρινε επίσης, την ίδια ημέρα, ότι η αποστολή ημερήσιου ενημερωτικού δελτίου συνιστά «άμεσο μάρκετινγκ» για «παρόμοια προϊόντα ή υπηρεσίες» κατά την έννοια της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και έκρινε ότι, όταν η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη βάσει της εν λόγω διάταξης, το άρθρο 6 του ΓΚΠΔ δεν εφαρμόζεται: όταν υπάρχει ειδική διάταξη στην οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες που συνεπάγεται υποχρεώσεις που έχουν τον ίδιο στόχο με τις αντίστοιχες διατάξεις του ΓΚΠΔ, πρέπει να εφαρμόζεται η διάταξη «ηλεκτρονικής προστασίας της ιδιωτικής ζωής».

Στις 20 Μαρτίου, το Δικαστήριο αποφάνθηκε τελικά ότι ο ΓΚΠΔ παρέχει στα υποκείμενα των δεδομένων το δικαίωμα σε ασφαλιστικά μέτρα σε περιπτώσεις παράνομης επεξεργασίας. Αυτή η προληπτική επιλογή άσκησης ασφαλιστικών μέτρων δεν μετριάζει την αντισταθμιστική ηθική βλάβη που προκύπτει από την εν λόγω παράνομη επεξεργασία.

Το ΔΕΕ αποφάνθηκε στις 13 Μαρτίου ότι το Άρθρο 16 του ΓΚΠΔ απαιτεί τη διόρθωση του φύλου ενός τρανς ατόμου που έχει καταχωριστεί ανακριβώς σε δημόσιο μητρώο.

Ενώ η αρμόδια αρχή μπορεί να ζητήσει απόδειξη ανακρίβειας, η απαίτηση από το εν λόγω άτομο να αποδείξει ότι έχει υποβληθεί σε χειρουργική επέμβαση αλλαγής φύλου συνιστά παραβίαση των ανθρωπίνων δικαιωμάτων του.

 

Νέα από τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Στη Γερμανία, το Ομοσπονδιακό Δικαστήριο επικύρωσε την επιδίκαση 500 ευρώ ως ηθική βλάβη σε ενάγοντα για προσβολή της φήμης του. σύμφωνα με το άρθρο 82 του ΓΚΠΔ.

Επιπλέον, έκρινε ότι ένα δικαστήριο δεν μπορεί να λάβει υπόψη ούτε τη σοβαρότητα της παραβίασης του ΓΚΠΔ ούτε το ζήτημα της υπαιτιότητας κατά τον καθορισμό του ποσού της αποζημίωσης.

Η Αυστριακή Αρχή Προστασίας Δεδομένων (APD) διέταξε την καταστροφή εικόνων που τράβηξε ένας φωτογράφος λόγω μη συμμόρφωσης με τον ΓΚΠΔ..

Ο φωτογράφος είχε δημοσιεύσει σε δημόσιο ιστότοπο εικόνες που τραβήχτηκαν στον δρόμο και απεικόνιζαν αναγνωρίσιμα άτομα, ιδίως παιδιά και γυναίκες, σε ευαίσθητα πλαίσια, χωρίς έγκυρη νομική βάση ή επαρκείς εγγυήσεις (πληροφορίες, δικαίωμα αντίρρησης).

Ο σύλλογος Noyb μόλις υπέστη οπισθοδρόμηση ενώπιον του Εφετείου των Βρυξελλών..

Σε απόφαση που εξέδωσε στις 19 Μαρτίου, το δικαστήριο έκρινε ότι...Οι καταγγελίες που διαβιβάζονται από τον σύλλογο πρέπει να αποδεικνύουν προσωπικό συμφέρον εκ μέρους του ενδιαφερομένου..

Στη συγκεκριμένη περίπτωση, το Δικαστήριο Αγοράς αναφέρει ότι δεν έχει βρει καμία δικαιολογία για τέτοιο συμφέρον από τους ενάγοντες όσον αφορά παραβιάσεις των κανόνων που αφορούν τα cookies.

Αναφέρει, μεταξύ άλλων ενδείξεων, ότι η Noyb δεν ισχυρίζεται σε κανένα σημείο της διαδικασίας ότι οι ενάγοντες ήταν τακτικοί ή έστω περιστασιακοί επισκέπτες των εν λόγω ιστοσελίδων/εφημερίδων.

Και στο Βέλγιο, μια ερωτική σάουνα έλαβε προειδοποίηση από το τμήμα διαφορών του APD, ιδίως επειδή διατηρούσε ηλεκτρονικό βιβλίο επισκεπτών το οποίο επέτρεπε τη δημόσια διάδοση ευαίσθητων δεδομένων που αφορούσαν πελάτες.

Η APD σημείωσε έλλειψη διαφάνειας στην πολιτική απορρήτου, την απουσία νομικής βάσης για την επεξεργασία δεδομένων και τη μη συμμόρφωση με τις υποχρεώσεις που σχετίζονται με το μητρώο δραστηριοτήτων επεξεργασίας.

Στην Ισπανία, η APD επέβαλε πρόστιμο 3.500.000 ευρώ σε μια τράπεζα για σοβαρό σχεδιαστικό ελάττωμα σε μια τραπεζική εφαρμογή που επέτρεπε στους πελάτες να έχουν πρόσβαση σε λογαριασμούς για τους οποίους δεν είχαν εξουσιοδότηση.

Σε ασφαλιστική εταιρεία επιβλήθηκε επίσης πρόστιμο 1.000.000 ευρώ για σφάλμα κωδικοποίησης που είχε ως αποτέλεσμα την αποστολή προσωπικών δεδομένων, συμπεριλαμβανομένων ευαίσθητων δεδομένων, 3.395 ατόμων μέσω email σε 354 εταιρείες-παραλήπτες.

Στην Ελλάδα, η APD επέβαλε πρόστιμο 3.000 ευρώ σε μια τράπεζα για μη εφαρμογή κατάλληλων μέτρων ασφαλείας μετά από εσωτερική παραβίαση δεδομένων.

Ένας υπάλληλος είχε διατηρήσει αδικαιολόγητα δικαιώματα διαχειριστή μετά την αποχώρησή του από την εταιρεία και είχε πρόσβαση στα δεδομένα περισσότερων από 6.000 άλλων υπαλλήλων χωρίς εξουσιοδότηση.

Παρόμοια απόφαση έχει λάβει και η Ιταλική Αρχή Προστασίας Δεδομένων (APD).

Σε περίπτωση ανεπιθύμητης αλληλογραφίας μέσω SMS, η Ελληνική Αρχή Προστασίας Δεδομένων (ΑΠΔ) ζήτησε από την εθνική αρχή ονομάτων χώρου (domain name) να αναστείλει το όνομα χώρου της εν λόγω εταιρείας, με το σκεπτικό ότι το εν λόγω όνομα χώρου χρησιμοποιούνταν κακόπιστα ή με τρόπο που αντίκειται στη δημόσια τάξη.

Σημείωμα ότι σε επίπεδο ICANN, οι καταχωρητές έχουν «αναστείλει 2.528 ονόματα τομέα και απενεργοποιήσει 328 ιστότοπους που χρησιμοποιούνται για επιχειρήσεις ηλεκτρονικού «ψαρέματος» (phishing)» στο πλαίσιο των προσπαθειών για την εφαρμογή μέτρων συμμόρφωσης.

Η Ιταλική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 300.000 ευρώ σε μια εταιρεία ενέργειας για παράνομη επεξεργασία προσωπικών δεδομένων για σκοπούς άμεσου μάρκετινγκ, για μη ορθή εφαρμογή των αρχών προστασίας δεδομένων και για μη επαρκή ενημέρωση των υποψηφίων για εργασία σχετικά με την επεξεργασία των δεδομένων τους.

Το Διοικητικό Δικαστήριο του Λουξεμβούργου επικύρωσε το πρόστιμο των 746.000.000 ευρώ που επιβλήθηκε σε θυγατρική της Amazon από την APD το 2021 για παράνομη επεξεργασία δεδομένων επισκεπτών ιστοσελίδων για σκοπούς διαφήμισης βάσει ενδιαφέροντος, για μη παροχή διαφανών πληροφοριών και για παραβίαση διαφόρων δικαιωμάτων των υποκειμένων των δεδομένων.

Ενώ η Amazon φέρεται να εξετάζει το ενδεχόμενο άσκησης έφεσης, η APD δήλωσε ότι δεν θα παράσχει λεπτομέρειες σχετικά με την απόφασή της κατά τη διάρκεια της περιόδου άσκησης έφεσης ή τυχόν πιθανές διαδικασίες.

Η Πολωνική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 6,3 εκατομμυρίων ευρώ στην ταχυδρομική υπηρεσία για την εκτέλεση κυβερνητικού αιτήματος επεξεργασίας δεδομένων που αφορούσε 30 εκατομμύρια πολίτες στο πλαίσιο εκλογών που διεξήχθησαν κατά τη διάρκεια της πανδημίας Covid, χωρίς να επαληθεύσει τη νομική βάση του αιτήματος. 

Η La Poste θα έπρεπε να είχε περιμένει μέχρι να εξαντληθούν όλα τα ένδικα μέσα κατά αυτής της απόφασης, η οποία τελικά ανατράπηκε από τα δικαστήρια.

 

Στις 17 Μαρτίου, τέθηκε σε ισχύ ο νόμος για την ασφάλεια στο διαδίκτυο του Ηνωμένου Βασιλείου, ο οποίος απαιτεί από τις διαδικτυακές πλατφόρμες να εφαρμόσουν μια σειρά μέτρων που αποσκοπούν στη μείωση των κινδύνων για τα παιδιά και στην αφαίρεση επιβλαβούς περιεχομένου γενικότερα.

Οι Βρετανοί πάροχοι υπηρεσιών έχουν προθεσμία έως τις 16 Μαρτίου για να διενεργήσουν αξιολογήσεις κινδύνου των υπηρεσιών τους.

Ένας κώδικας ορθής πρακτικής και ένα πρόγραμμα εφαρμογής έχουν αναπτυχθεί από την ρυθμιστική αρχή του Ηνωμένου Βασιλείου (Ofcom).

Οι επικριτές αυτού του νόμου επικρίνουν ιδιαίτερα το πεδίο εφαρμογής του σε γκρίζες ζώνες όπως η παρενόχληση ή ο έλεγχος συμπεριφοράς, και τους κινδύνους λογοκρισίας που προκύπτουν.

Αυτός ο νόμος έρχεται να προστεθεί σε δύο άλλους βρετανικούς κανονισμούς που θα μπορούσαν κάλλιστα να υπονομεύσουν την ανανέωση της απόφασης επάρκειας του Ηνωμένου Βασιλείου τον Ιούνιο: ένα σημείωμα που δημοσιεύθηκε από την Υπηρεσία Έρευνας του Ευρωπαϊκού Κοινοβουλίου αναφέρεται στο νομοσχέδιο για τα δεδομένα και σε μια τροποποίηση του νόμου περί εξουσιών έρευνας, οι οποίοι στοχεύουν στην επέκταση της πρόσβασης της κυβέρνησης και των αρχών επιβολής του νόμου στα δεδομένα των χρηστών.

Το Γραφείο του Αυστραλού Επιτρόπου Πληροφοριών δημοσίευσε στις 19 Μαρτίου μια μελέτη σχετικά με τις πολιτικές και τις πρακτικές των αυστραλιανών φορέων του δημόσιου τομέα όσον αφορά τη χρήση εφαρμογών ανταλλαγής μηνυμάτων.

Η έκθεση διαπιστώνει ότι οι εφαρμογές ανταλλαγής μηνυμάτων χρησιμοποιούνται ευρέως στις δημόσιες υπηρεσίες της Αυστραλίας χωρίς επαρκή εποπτεία ή διαδικασίες. Η μελέτη παρουσιάζει μια λίστα συστάσεων για την αντιμετώπιση αυτού του προβλήματος.

Ο Καναδός Επίτροπος Προστασίας Προσωπικών Δεδομένων μόλις κυκλοφόρησε ένα εργαλείο για την αξιολόγηση του κατά πόσον μια παραβίαση προσωπικών δεδομένων ενέχει πραγματικό κίνδυνο σημαντικής βλάβης για τα άτομα.

Στην Κίνα, το «Εθνικό Γραφείο Πληροφοριών Διαδικτύου» δημοσίευσε στις 13 Μαρτίου μέτρα διαχείρισης ασφάλειας για την εφαρμογή βιομετρικών τεχνολογιών, τα οποία απαιτούν οι δραστηριότητες αναγνώρισης προσώπου να συμμορφώνονται με την ισχύουσα νομοθεσία, να υιοθετούν μέτρα ασφαλείας και να ελαχιστοποιούν τον αντίκτυπο στα ανθρώπινα δικαιώματα.

Η γερμανική εφημερίδα Der Spiegel ανακοίνωσε στις 26 Μαρτίου ότι είχε πρόσβαση σε προσωπικά δεδομένα και στοιχεία επικοινωνίας στο διαδίκτυο, ακόμη και σε κωδικούς πρόσβασης, για ορισμένους από τους κορυφαίους Αμερικανούς αξιωματούχους ασφαλείας, συμπεριλαμβανομένου του Υπουργού Άμυνας και πρώην παρουσιαστή του Fox News, Pete Hegseth.

Οι δημοσιογράφοι χρησιμοποίησαν δημόσιες μηχανές αναζήτησης, καθώς και «παραβιασμένα δεδομένα πελατών» που είχαν δημοσιευτεί στο διαδίκτυο.

Ο σύμβουλος εθνικής ασφάλειας Μάικ Βαλτζ και η διευθύντρια των εθνικών πληροφοριών Τούλσι Γκάμπαρντ πιστεύεται επίσης ότι είναι μεταξύ εκείνων των οποίων οι πληροφορίες διέρρευσαν στο διαδίκτυο.

Και στις Ηνωμένες Πολιτείες, η ρύθμιση της Τεχνητής Νοημοσύνης αυξάνεται σημαντικά: το 2024, εντοπίστηκαν περισσότερα από 600 νομοσχέδια σχετικά με την Τεχνητή Νοημοσύνη, εκ των οποίων σχεδόν 100 έχουν θεσπιστεί.

Ωστόσο, το επίπεδο προστασίας ποικίλλει σημαντικά από πολιτεία σε πολιτεία.

Ένα εργαλείο παρακολούθησης που προσφέρεται από τον ιστότοπο "Multistate" σάς επιτρέπει να απεικονίσετε την κατάσταση των κανονισμών το 2025.

Εν τω μεταξύ, στις 18 Μαρτίου, ο Πρόεδρος Τραμπ απέλυσε τα δύο Δημοκρατικά μέλη της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC), αυξάνοντας την τρέχουσα αβεβαιότητα σχετικά με την αποτελεσματικότητα των μηχανισμών προστασίας και ελέγχου των καταναλωτών στις Ηνωμένες Πολιτείες και αποδυναμώνοντας περαιτέρω τη σταθερότητα της διατλαντικής συμφωνίας για την προστασία των δεδομένων.

Στο Βιετνάμ, ο νόμος για την προστασία των δεδομένων θα μπορούσε να ψηφιστεί την άνοιξη.

Η κυβέρνηση ενέκρινε πρόσφατα ψήφισμα για την επιτάχυνση της νομοθετικής διαδικασίας και το Υπουργείο Δημόσιας Ασφάλειας ανέλαβε την υποβολή του νομοσχεδίου στην Εθνοσυνέλευση για επίσημη έγκριση τον Μάιο του 2025.

Οι προηγμένες γεννήτριες εικόνων τεχνητής νοημοσύνης έχουν σημαντικές επιπτώσεις στην προστασία δεδομένων, όπως αποδεικνύεται από ένα άρθρο του L. Jarosvky.

• Το εφέ «Ghibli», το οποίο επιτρέπει τη δημιουργία εικόνων στο στυλ των διάσημων κινούμενων σχεδίων Myasaki, έχει οδηγήσει χιλιάδες ανθρώπους τις τελευταίες ημέρες να ανεβάσουν οικειοθελώς τα πρόσωπά τους και τις προσωπικές τους φωτογραφίες στο ChatGPT, δίνοντας έτσι στην OpenAI άμεση και δωρεάν πρόσβαση σε αρκετές χιλιάδες νέα πρόσωπα για την εκπαίδευση των μοντέλων τεχνητής νοημοσύνης της.
• Οι γεννήτριες εικόνων καθιστούν επίσης τη δημιουργία πλαστών αποδεικτικών στοιχείων εξαιρετικά εύκολη, φθηνή και προσβάσιμη. Οποιοσδήποτε έχει κακόβουλη πρόθεση μπορεί έτσι να δημιουργήσει πλαστά τιμολόγια, έγγραφα ταυτότητας, αποδεικτικά διεύθυνσης ή ακόμα και τραπεζικά έγγραφα μέσα σε λίγα λεπτά και ουσιαστικά χωρίς κόστος, με αποτέλεσμα τον κίνδυνο κλοπής ταυτότητας.