Νομικό Περιοδικό Αρ. 93 – Μάρτιος 2026. 

 

Πρόσβαση σε προσωπικά δεδομένα: αναγνώριση κατάχρησης δικαιώματος;

Μια πρόσφατη απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) διευκρινίζει τους όρους του δικαιώματος πρόσβασης των ατόμων στα προσωπικά τους δεδομένα και, ιδίως, τις περιστάσεις υπό τις οποίες ένα αίτημα πρόσβασης μπορεί να θεωρηθεί καταχρηστικό από έναν υπεύθυνο επεξεργασίας δεδομένων.

Ενώ το Άρθρο 12 του ΓΚΠΔ συνδέει τον καταχρηστικό χαρακτήρα των αιτημάτων με την επαναλαμβανόμενη πτυχή τους, το ΔΕΕ διευκρίνισε στις 19 Μαρτίου στην υπόθεση C-526/24 – Brillen Rottler ότι αυτό το κριτήριο επανάληψης είναι ενδεικτικό: ο αριθμός των αιτημάτων δεν είναι καθοριστικός και ένα αρχικό αίτημα πρόσβασης μπορεί να θεωρηθεί καταχρηστικό εάν το υποκείμενο των δεδομένων χρησιμοποιεί αυτό το δικαίωμα για να αποκομίσει πλεονέκτημα, για παράδειγμα, εάν επιδιώκει να δημιουργήσει τεχνητά δικαίωμα αποζημίωσης κατά ενός υπευθύνου επεξεργασίας δεδομένων. Σε μια τέτοια περίπτωση, αυτό συνιστά κατάχρηση δικαιώματος.

Η άρνηση απάντησης σε αίτημα πρόσβασης πρέπει, ωστόσο, να παραμένει εξαίρεση βάσει του ΓΚΠΔ και ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να είναι σε θέση να αποδείξει την καταχρηστική πρόθεση του αιτούντος.

Στη συγκεκριμένη περίπτωση, ο υπεύθυνος έπρεπε να αποδείξει, βάσει συγκεκριμένων αποδεικτικών στοιχείων, ότι το αίτημα δεν είχε ως στόχο την επαλήθευση της επεξεργασίας δεδομένων, αλλά τη δημιουργία τεχνητών συνθηκών για αξίωση αποζημίωσης.

Ήταν πράγματι γνωστό ότι ο αιτών είχε υποβάλει πολλαπλά αιτήματα σε πολυάριθμους υπεύθυνους επεξεργασίας δεδομένων, αφού τους παρείχε τα δεδομένα του, προκειμένου να λάβει αποκατάσταση.

Το Δικαστήριο επαναλαμβάνει ότι πρέπει να πληρούνται τρεις προϋποθέσεις για να χορηγηθεί αποζημίωση:

• Παραβίαση του ΓΚΠΔ,
• Βλάβη
• Και μια αιτιώδης σύνδεση μεταξύ των δύο.

Άυλη ζημία μπορεί να προκύψει από απώλεια ελέγχου ή αβεβαιότητα σχετικά με την επεξεργασία δεδομένων, αλλά η ζημία πρέπει να αποδειχθεί από τον ενάγοντα και δεν μπορεί να έχει προκληθεί από τη συμπεριφορά του ενάγοντος.

Στη συγκεκριμένη περίπτωση, η αιτιώδης συνάφεια διακόπηκε λόγω της συμπεριφοράς του εμπλεκόμενου προσώπου, το οποίο ενεργούσε με σκοπό την τεχνητή δημιουργία των συνθηκών για τη ζημία.

Όταν πληρούνται οι τρεις παραπάνω προϋποθέσεις, η παραβίαση του δικαιώματος πρόσβασης μπορεί επομένως να γεννήσει δικαίωμα επανόρθωσης, ακόμη και αν η παραβίαση αυτή δεν προκύπτει άμεσα από την επεξεργασία δεδομένων με την αυστηρή έννοια.

Η άρνηση απάντησης σε ένα αίτημα πρόσβασης μπορεί να εκθέσει το υπεύθυνο μέρος σε αξίωση αποκατάστασης από έναν καλόπιστο αιτούντα.

Ο υπεύθυνος επεξεργασίας δεδομένων που υποψιάζεται καταχρηστικό αίτημα πρέπει επομένως να επιδείξει ιδιαίτερη προσοχή και να διατηρήσει αποδεικτικά στοιχεία για αυτόν τον καταχρηστικό χαρακτήρα πριν αρνηθεί την πρόσβαση. 

Οι διευκρινίσεις που παρείχε το ΔΕΕ συνάδουν με τις κατευθυντήριες γραμμές που δημοσίευσε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) το 2022 σχετικά με το θέμα, οι οποίες παρέχουν πρόσθετες οδηγίες.

Έτσι, ο υπερβολικός χαρακτήρας των αιτημάτων μπορεί να εξαρτάται από τα συγκεκριμένα χαρακτηριστικά του τομέα στον οποίο δραστηριοποιείται ο υπεύθυνος επεξεργασίας δεδομένων.

«Όσο πιο συχνές είναι οι αλλαγές στη βάση δεδομένων του υπεύθυνου επεξεργασίας δεδομένων, τόσο πιο πιθανό είναι να επιτραπεί στο υποκείμενο των δεδομένων να ζητήσει πρόσβαση στα δεδομένα του χωρίς αυτό να θεωρηθεί υπερβολικό.»

Σε περίπτωση επαναλαμβανόμενων αιτημάτων, ο υπεύθυνος επεξεργασίας δεδομένων μπορεί, αντί να αρνηθεί την πρόσβαση, να αποφασίσει να χρεώσει στο εν λόγω πρόσωπο τέλος που αντιστοιχεί στο κόστος των διοικητικών διαδικασιών που προκαλούνται από τα αιτήματα.

Τέλος, θα πρέπει να σημειωθεί ότι η Ευρωπαϊκή Επιτροπή προτίθεται επίσης, στην πρότασή της για ένα ψηφιακό Omnibus, να παρέχει μεγαλύτερη νομική ασφάλεια στους υπεύθυνους επεξεργασίας δεδομένων όταν αντιμετωπίζουν καταχρήσεις δικαιωμάτων από τα υποκείμενα των δεδομένων.

Ενώ το ΕΣΠΔ και ο ΕΕΠΔ (Ευρωπαίος Επόπτης Προστασίας Δεδομένων) υποστηρίζουν αυτήν την επιθυμία για διευκρίνιση στη γνωμοδότησή τους της 10ης Φεβρουαρίου, πιστεύουν ότι η άσκηση του δικαιώματος πρόσβασης για σκοπούς άλλους από την προστασία των προσωπικών δεδομένων δεν θα πρέπει να αποτελεί καθοριστικό στοιχείο του τι συνιστά κατάχρηση... εφόσον δεν αμφισβητείται η καλή πίστη του αιτούντος.

 

Ένα εκτελεστικό διάταγμα για τον νόμο SREN, που δημοσιεύθηκε στις 24 Μαρτίου, εισάγει πρόσθετες απαιτήσεις. για τη φιλοξενία δεδομένων υγείας (HDS) αποκλειστικά σε έδαφος ΕΕ ή ΕΟΧ, απαιτήσεις που έγιναν δεκτές με ικανοποίηση από την CNIL, καθώς στοχεύουν στην αύξηση της διαφάνειας έναντι των ενδιαφερομένων προσώπων, καθώς και στην ενίσχυση του ελέγχου των δεδομένων υγείας από τα μέρη της σύμβασης φιλοξενίας όσον αφορά τον κίνδυνο πρόσβασης εκτός Ευρώπης.

Γενικότερα, ολόκληρο το κρατικό σύστημα πληροφορικής σκοπεύει να μεταβεί σε κυρίαρχες λύσεις.

Έτσι, μία εβδομάδα μετά την ανακοίνωση της ανάπτυξης της συνεργατικής πλατφόρμας LaSuite στους 80.000 υπαλλήλους του Οργανισμού Ασφάλισης Υγείας, η διυπουργική διεύθυνση ψηφιακής τεχνολογίας (DINUM) ανακοίνωσε επίσημα στις 9 Απριλίου την πρόθεσή της να εγκαταλείψει τα Windows για Linux και να στραφεί σε μια κυρίαρχη λύση πριν από το τέλος του έτους.

Αυτοί οι στόχοι έχουν γίνει πιο συγκεκριμένοι από το σεμινάριο της 8ης Απριλίου, το οποίο συγκέντρωσε για πρώτη φορά υπουργεία, δημόσιους φορείς και ιδιωτικούς φορείς με στόχο τον εντοπισμό από ποιο ξένο λογισμικό και υπηρεσίες εξαρτάται το Κράτος σήμερα για να τα καταφέρει αύριο.

«Από αυτό το φθινόπωρο, κάθε υπουργείο (και οι δημόσιοι φορείς που εξαρτώνται από αυτό) θα πρέπει να υποβάλει τον δικό του οδικό χάρτη για τη μείωση της ψηφιακής εξάρτησής του από το εξωτερικό».

Ο χάρτης πορείας ψηφιακής ασφάλειας της πολιτείας για την περίοδο 2026-2027 δημοσιεύθηκε στις αρχές Απριλίου.

Αποτελεί μέρος της προσπάθειας συμμόρφωσης των κρατικών διοικήσεων με την οδηγία NIS2 και τις εμπλέκει στη μετάβασή τους στην μετα-κβαντική κρυπτογραφία. 

«Σε ένα πλαίσιο υψηλής απειλής και επιδεινούμενης γεωπολιτικής κατάστασης, καθορίζει τις προσπάθειες προτεραιότητας που πρέπει να καταβάλουν τα υπουργεία στον τομέα της ψηφιακής ασφάλειας: εδραίωση της διακυβέρνησης, ενίσχυση της διαχείρισης πρόσβασης, έλεγχος του περιβάλλοντος των πληροφοριακών συστημάτων κ.λπ.»

Η CNIL δημοσίευσε τα θέματα ελέγχου προτεραιότητας για το 2026 στις 3 Απριλίου.  Θα επικεντρωθεί σε

• Στρατολόγηση,
• Ο ενιαίος εκλογικός κατάλογος
• Αθλητικές ομοσπονδίες.

Περαιτέρω ανακοινώσεις σχετικά με την κυβερνοασφάλεια θα γίνουν κατά τη δημοσίευση της ετήσιας έκθεσής της τον Μάιο.

Δημοσίευσε επίσης το πρόγραμμα εργασίας της για την υποστήριξη επαγγελματιώνπου θα τονίσει

• Η χρήση της Τεχνητής Νοημοσύνης,
• Δεδομένα υγείας,
• Προϋποθέσεις του δικαιώματος πρόσβασης
• Κυβερνοασφάλεια.

Ο ιστότοπός της περιλαμβάνει επίσης έναν νέο οδηγό σχετικά με τις περιόδους διατήρησης δεδομένων ανθρώπινου δυναμικού. Τέλος, σε δημοσίευση με ημερομηνία 20 Μαρτίου, η CNIL επαναλαμβάνει τους πολύ περιοριστικούς όρους για την καταγραφή ήχου από κάμερες βιντεοεπιτήρησης.

Ενώ η πειρατεία των Περιφερειακών Υγειονομικών Υπηρεσιών (ARS) επιβεβαιώθηκε επίσημα τον Σεπτέμβριο του 2025, η κατάσταση παίρνει μια πιο ανησυχητική τροπή σήμερα. ενώ η ομάδα χάκερ DumpSec αναλαμβάνει την ευθύνη για την επίθεση και τώρα πουλάει μια τεράστια βάση δεδομένων από το γαλλικό σύστημα υγειονομικής περίθαλψης.

Περισσότεροι από 35 εκατομμύρια ασθενείς θα επηρεαστούν και τα δεδομένα θα περιλαμβάνουν ευαίσθητες πληροφορίες σχετικά με τις οδούς περίθαλψης.

Η παραβίαση δεδομένων προέρχεται από την κλοπή διαπιστευτηρίων επαγγελματιών υγείας στους διακομιστές της GRADeS (περιφερειακή ομάδα υποστήριξης ηλεκτρονικής υγείας).

Το ΔΕΕ εξέδωσε απόφαση στις 19 Μαρτίου που επηρεάζει τους όρους συλλογής βιομετρικών δεδομένων από τη γαλλική αστυνομία.

Στην υπόθεση C 371/24 – Comdribus, έκρινε ότι η εθνική νομοθεσία είναι ασυμβίβαστη με την ευρωπαϊκή οδηγία «Αστυνομική δικαιοσύνη» όταν εξουσιοδοτεί μια υπηρεσία επιβολής του νόμου να επεξεργάζεται συστηματικά τα βιομετρικά δεδομένα υπόπτων χωρίς να απαιτείται από την αρμόδια αρχή να δικαιολογήσει την απόλυτη αναγκαιότητα και αναλογικότητα αυτής της επεξεργασίας.

Ένα άτομο που αρνείται τη συλλογή των βιομετρικών του δεδομένων μπορεί να υποστεί κυρώσεις μόνο εάν η σχεδιαζόμενη συλλογή πληροί αυτούς τους όρους, οι οποίοι αξιολογούνται υπό το πρίσμα των περιστάσεων κατά τον χρόνο που η συλλογή αυτή αποφασίζεται από τις αρμόδιες αρχές.

Το κίνητρο για την είσπραξη είναι απαραίτητο για να μπορέσει το ενδιαφερόμενο πρόσωπο να ασκήσει το δικαίωμά του σε αποτελεσματική ένδικη προστασία.

Στη συγκεκριμένη περίπτωση, κατά τη διάρκεια μιας δράσης που πραγματοποιήθηκε στο Παρίσι τον Μάιο του 2020 από ακτιβιστές για το κλίμα, αρκετοί συμμετέχοντες, συμπεριλαμβανομένου του καταγγέλλοντος, συνελήφθησαν από τις αρχές επιβολής του νόμου για οργάνωση αδήλωτης διαδήλωσης.

Κατά την αστυνομική κράτηση, ο καταγγέλλων αρνήθηκε να υποβληθεί σε λήψη δακτυλικών αποτυπωμάτων και φωτογράφιση.

Ο Υπουργός Εσωτερικών δήλωσε στις 3 Απριλίου στη Γερουσία, κατά τη διάρκεια μιας περιόδου ερωτήσεων με την κυβέρνηση, ότι η χρήση λογισμικού αναγνώρισης προσώπου από τις αρχές επιβολής του νόμου στις συσκευές ελέγχου ταυτότητας Neo δεν ήταν νόμιμη, παρά μόνο στο πλαίσιο έρευνας υπό την καθοδήγηση δικαστή.

Ο υπουργός ανέφερε ότι η CNIL εξετάζει επί του παρόντος το ζήτημα.

Ο επικεφαλής μιας εταιρείας κυβερνοασφάλειας που κέρδισε το πρόγραμμα French Tech 2030 συνελήφθη στα τέλη Μαρτίου στο πλαίσιο μιας μεγάλης κλίμακας ευρωπαϊκής καταστολής μιας πλατφόρμας παιδικής πορνογραφίας.

Ο μηχανικός, ο οποίος ηγείται μιας νεοσύστατης επιχείρησης που ειδικεύεται στην πρόβλεψη κυβερνοαπειλών - πελάτες της οποίας είναι το FBI και η Ευρωπαϊκή Επιτροπή - είναι ύποπτος ότι αγόρασε εικόνες και βίντεο παιδικής πορνογραφίας μέσω μιας πλατφόρμας παιδικής πορνογραφίας στο Darknet.

Περισσότερες από 200 συλλήψεις έχουν πραγματοποιηθεί από τις αρχές επιβολής του νόμου σε όλη την Ευρώπη στο πλαίσιο μιας συντονισμένης επιχείρησης, χάρη σε πληρωμές με κρυπτονομίσματα που εντοπίστηκαν και αποανωνυμοποιήθηκαν από τους ερευνητές.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Στις 11 Μαρτίου, το Ευρωπαϊκό Κοινοβούλιο συμφώνησε να επεκτείνει τους (εξαιρετικούς) κανόνες που επιτρέπουν τον έλεγχο των ηλεκτρονικών επικοινωνιών («Έλεγχος συνομιλίας»). περιορίζοντας παράλληλα το πεδίο εφαρμογής τους.

Αντί να χορηγήσει γενική άδεια για τεχνολογίες σάρωσης, το Κοινοβούλιο ζήτησε να χρησιμοποιούνται αυτά τα εργαλεία μόνο κατά γνωστών υπόπτων και αποκλειστικά για την ανίχνευση γνωστού υλικού παιδικής πορνογραφίας.

Εν τω μεταξύ, οι Google, Meta, Microsoft και Snap (Chat) επιβεβαίωσαν σε κοινό δελτίο τύπου ότι «θα συνεχίσουν να λαμβάνουν εθελοντικά μέτρα σχετικά με τις υπηρεσίες διαπροσωπικής επικοινωνίας που επηρεάζονται».

Οι διοργανικές διαπραγματεύσεις βρίσκονται ακόμη σε εξέλιξη: η Κυπριακή Προεδρία του Συμβουλίου στοχεύει στην ολοκλήρωση του έργου έως τον Ιούλιο του 2026 και το ζήτημα βρίσκεται επί του παρόντος υπό διαπραγμάτευση στο πλαίσιο του τριμερούς διαλόγου μεταξύ Κοινοβουλίου, Συμβουλίου και Επιτροπής.

Στις 26 Μαρτίου, τα μέλη του Ευρωπαϊκού Κοινοβουλίου έλαβαν θέση στην ολομέλεια σχετικά με την συνιστώσα της Τεχνητής Νοημοσύνης του πακέτου Digital Omnibus.

Ψήφισαν την αναβολή της έναρξης ισχύος αρκετών διατάξεων του κανονισμού για την τεχνητή νοημοσύνη.

Τα συστήματα τεχνητής νοημοσύνης που περιλαμβάνουν βιομετρικά στοιχεία και αυτά που χρησιμοποιούνται σε κρίσιμες υποδομές, εκπαίδευση, απασχόληση, βασικές υπηρεσίες, επιβολή του νόμου, δικαιοσύνη και διαχείριση των συνόρων θα αναβληθούν επομένως από τον Αύγουστο του 2026 στις 2 Δεκεμβρίου 2027.

Οι βουλευτές προτείνουν την αναβολή της συμμόρφωσης άλλων συστημάτων που υπόκεινται σε τομεακή ρύθμιση (ασφάλεια και εποπτεία της αγοράς) έως τις 2 Αυγούστου 2028.

Οι τριμερείς διάλογοι μεταξύ της Ευρωπαϊκής Επιτροπής, του Κοινοβουλίου και του Συμβουλίου αποσκοπούν σε μια προσωρινή συμφωνία επί του κειμένου έως τις 28 Απριλίου.

Αξίζει να υπενθυμιστεί ότι οι βασικές αρχές του κανονισμού έχουν ήδη τεθεί σε ισχύ και υπόκεινται σε ελέγχους από την CNIL (Γαλλική Αρχή Προστασίας Δεδομένων).

Στις 24 Μαρτίου, η Ευρωπαϊκή Επιτροπή εντόπισε μια κυβερνοεπίθεση που επηρέασε την υποδομή cloud που φιλοξενεί τον ιστότοπό της στην πλατφόρμα Europa.eu, η οποία αποδείχθηκε πιο σοβαρή από ό,τι αρχικά ανέφερε στο δελτίο τύπου της.

Τα δεδομένα επηρεάζουν 71 πελάτες της υπηρεσίας φιλοξενίας Europa. Η CERT-EU, η υπηρεσία ασφάλειας δεδομένων της ΕΕ, επιβεβαιώνει την παρουσία ονομάτων, ονομάτων χρήστη, διευθύνσεων ηλεκτρονικού ταχυδρομείου και περιεχομένου ηλεκτρονικού ταχυδρομείου στη διαρροή.

340 GB δεδομένων και σχεδόν 52.000 αρχεία email δημοσιεύθηκαν στο dark web.

Δύο σημαντικές αποφάσεις του ΔΕΕ με ημερομηνία 19 Μαρτίου, οι Brillen Rottler και Comdribus, έχουν συζητηθεί παραπάνω στο κύριο άρθρο και στα νέα στη Γαλλία.

Η Ευρωπαϊκή Κοινοπραξία Ψηφιακών Υποδομών «Ψηφιακά Κοινά» (EDIC) διαμορφώνεται με την προσχώρηση νέων χωρών και την έναρξη των πρώτων έργων του, συμπεριλαμβανομένου ενός πιλοτικού έργου για ένα ευρωπαϊκό κρατικό τεχνολογικό ταμείο.

Στόχος της κοινοπραξίας είναι να βοηθήσει τα κράτη μέλη της Ευρωπαϊκής Ένωσης να αναπτύξουν ανοιχτές ψηφιακές υποδομές και να ενισχύσουν την ψηφιακή κυριαρχία της Ευρώπης.

 

Νέα από τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Γερμανικό δικαστήριο έκρινε ότι η Meta επεξεργάστηκε παράνομα τα προσωπικά δεδομένα μη εγγεγραμμένων ατόμων μέσω της λειτουργίας «Εύρεση Φίλων» στο Facebook.

Επιπλέον, η εταιρεία δεν θα είχε καμία νομική βάση για να επεξεργάζεται τα προσωπικά δεδομένα των χρηστών από τη δική της πλατφόρμα για διαφημιστικούς σκοπούς.

Σε πρόσφατη υπόθεση, ένα αυστριακό δικαστήριο έκρινε ότι η αρχή προστασίας δεδομένων ορθώς αρνήθηκε να διεκπεραιώσει μια καταγγελία βάσει του άρθρου 57(4) του ΓΚΠΔ, αφού ένα άτομο είχε επιχειρήσει να καταχραστεί τον μηχανισμό υποβολής καταγγελιών για να καθυστερήσει την είσπραξη ενός χρέους.

Η Βελγική Αρχή Προστασίας Δεδομένων (APD) έκρινε ότι ένας εργοδότης είχε ικανοποιήσει επαρκώς το αίτημα πρόσβασης ενός εργαζομένου, παρέχοντας στον εργαζόμενο τα δεδομένα του μέσω αναπαραγωγής και όχι μέσω πλήρους εξαγωγής των εν λόγω ηλεκτρονικών μηνυμάτων.

Στη Φινλανδία, η DPA εξέδωσε προειδοποίηση σε έναν οργανισμό αξιολόγησης πιστοληπτικής ικανότητας για ακατάλληλο χειρισμό αιτημάτων πρόσβασης σε δεδομένα.

Ο υπεύθυνος επεξεργασίας δεδομένων παρέπεμψε τα υποκείμενα των δεδομένων στην πύλη πρόσβασης δεδομένων του χωρίς να δώσει συνέχεια και ανέφερε ότι θα χρεωνόταν τέλος για οποιοδήποτε αίτημα υποβληθεί περισσότερες από μία φορές κατά τη διάρκεια μιας δωδεκάμηνης περιόδου.

Η Ισπανική Υπηρεσία Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 950.000 ευρώ σε πάροχο υπηρεσιών ψηφιακής ταυτοποίησης και επαλήθευσης ηλικίας (YOTI) για συλλογή βιομετρικών δεδομένων χωρίς έγκυρη συγκατάθεση (έλλειψη επαρκούς λεπτομέρειας και εγγυήσεων σχετικά με δεδομένα που αφορούν ανηλίκους) και για μη περιορισμό της περιόδου διατήρησης των δεδομένων.

Η Βελγική Αρχή Προστασίας Δεδομένων (APD) επέβαλε επίσης πρόστιμο 2.000.000 ευρώ στην Hyundai μετά από κυβερνοεπίθεση που αποκάλυψε τα δεδομένα περισσότερων από ενός εκατομμυρίου ανθρώπων, συμπεριλαμβανομένων των ονομάτων τους, των στοιχείων επικοινωνίας τους και των αριθμών αναγνώρισης οχημάτων τους. Διαπίστωσε ότι ο υπεύθυνος επεξεργασίας δεδομένων δεν είχε διασφαλίσει επαρκές επίπεδο ασφάλειας, ιδίως επειδή τα εν λόγω δεδομένα δεν ήταν κρυπτογραφημένα.

Τέλος, η Βελγική Αρχή Προστασίας Δεδομένων (APD) επέβαλε ιδιαίτερα βαρύ πρόστιμο (10 εκατομμύρια ευρώ) στον φορέα εκμετάλλευσης του αεροδρομίου Aena για τον τρόπο με τον οποίο εφάρμοσε το σύστημα επιβίβασης με αναγνώριση προσώπου. Το σύστημα επιτρέπει στους επιβάτες να επιβιβάζονται απλώς κοιτάζοντας μια κάμερα. Η αρχή διαπίστωσε ότι αυτό το βιομετρικό σύστημα εφαρμόστηκε χωρίς προηγούμενη εκτίμηση επιπτώσεων στην προστασία δεδομένων.

Η Ιταλική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 31.800.000 ευρώ σε μια τράπεζα επειδή δεν εφάρμοσε επαρκή μέτρα ασφαλείας ώστε να αποτρέψει την πρόσβαση ενός υπαλλήλου στα οικονομικά δεδομένα περισσότερων από 3.500 ατόμων για σκοπούς που δεν σχετίζονται με τα καθήκοντά τους.

Ο υπεύθυνος επεξεργασίας δεδομένων δεν ενημέρωσε επίσης εγκαίρως την APD και τα υποκείμενα των δεδομένων για αυτήν την παραβίαση δεδομένων.

Σε μια άλλη τράπεζα επιβλήθηκε πρόστιμο 17.628.000 ευρώ για μεταφορά λογαριασμών 275.000 πελατών της στη θυγατρική της χωρίς τη συγκατάθεσή τους. Η τράπεζα είχε χρησιμοποιήσει την κατάρτιση προφίλ για να επιλέξει άτομα που θεωρούνταν «κυρίως ψηφιακοί» πελάτες.

Στο Λουξεμβούργο, το Ανώτατο Διοικητικό Δικαστήριο ανέτρεψε πρόστιμο ύψους 746 εκατομμυρίων ευρώ που είχε επιβληθεί στην Amazon. Η απόφαση δεν αμφισβητεί την παράνομη επεξεργασία προσωπικών δεδομένων για σκοπούς στοχευμένης διαφήμισης, αλλά απαιτεί από την Αρχή Προστασίας Δεδομένων (APD) να επανεκτιμήσει το αδίκημα και την αναλογικότητα πριν από την επιβολή οποιωνδήποτε νέων κυρώσεων.

Σε συνοπτική διαδικασία, ένα δικαστήριο στην Ολλανδία απαγόρευσε στην πλατφόρμα κοινωνικής δικτύωσης X να παράγει και να διανέμει, μέσω του Grok, μη συναινετικό προσωπικό περιεχόμενο και παιδική πορνογραφία. Το δικαστήριο απαγόρευσε επίσης στην X να προσφέρει τις λειτουργίες του Grok όσο εξακολουθούν να υφίστανται αυτές οι παραβιάσεις.

Η Ρουμανική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 637.262,50 RON (125.000 ευρώ) στη Renault Romania για μη εφαρμογή κατάλληλων μέτρων ασφαλείας μετά από παραβίαση δεδομένων που σχετίζεται με εφαρμογή που διαχειριζόταν υπεργολάβος, η οποία είχε ως αποτέλεσμα τη δημοσίευση προσωπικών δεδομένων που αποκαλύφθηκαν σε διαδικτυακή πλατφόρμα.

 

Ο νόμος της Βραζιλίας για την προστασία των ανηλίκων στο διαδίκτυο τέθηκε επίσημα σε ισχύ, και μαζί του, ένα διάταγμα του Υπουργού Δικαιοσύνης που στοχεύει άμεσα στις επιλογές σχεδιασμού που χρησιμοποιούν οι τεχνολογικοί κολοσσοί για να τραβήξουν την προσοχή των νέων.

Ο κανονισμός μετατοπίζει την ασφάλεια των παιδιών στο διαδίκτυο από την αντιδραστική εποπτεία περιεχομένου σε εκ των προτέρων ρύθμιση της αρχιτεκτονικής της πλατφόρμας, συμπεριλαμβανομένων περιορισμών στην άπειρη κύλιση, την αυτόματη αναπαραγωγή, τις χειραγωγικές ειδοποιήσεις, τη στοχευμένη διαφήμιση μέσω της δημιουργίας προφίλ που απευθύνεται σε ανηλίκους και αυστηρότερες απαιτήσεις επαλήθευσης ηλικίας.

Στις αρχές Απριλίου, το κινεζικό Υπουργείο Βιομηχανίας και Τεχνολογίας Πληροφοριών, μαζί με οκτώ άλλα υπουργεία, δημοσίευσαν «Πειραματικά Μέτρα Σχετικά με την Ηθική Αξιολόγηση και Παροχή Τεχνολογιών Τεχνητής Νοημοσύνης».

Το έγγραφο παρέχει μια επισκόπηση του τι εννοεί η Κίνα με τον όρο «ηθική διακυβέρνηση της Τεχνητής Νοημοσύνης» και τους τύπους πολιτικών και τεχνικών μέτρων που θεωρεί απαραίτητα για την καταπολέμηση της υποβάθμισης της ηθικής μέσω στρατηγικών μάρκετινγκ που υπόσχονται υπηρεσίες με σεβασμό, αλλά στην πραγματικότητα δεν συμμορφώνονται με τους κανονισμούς της Τεχνητής Νοημοσύνης.

Στις 24 Απριλίου, η Meta καταδικάστηκε σε καταβολή 375 εκατομμυρίων δολαρίων σε αστικά πρόστιμα από δικαστήριο ενόρκων στην πολιτεία του Νέου Μεξικού των ΗΠΑ, το οποίο έκρινε ότι η εταιρεία δεν είχε προστατεύσει επαρκώς τα παιδιά στις πλατφόρμες της. Το πρόστιμο αυτό προέκυψε από παραβιάσεις ενός νόμου περί αθέμιτων επιχειρηματικών πρακτικών.

Στις 8 Απριλίου, ένα ομοσπονδιακό εφετείο στην Ουάσινγκτον αρνήθηκε να εμποδίσει την ένταξη της εταιρείας τεχνητής νοημοσύνης Anthropic στη μαύρη λίστα εθνικής ασφάλειας του Πενταγώνου, μια νίκη για την κυβέρνηση Τραμπ.

Ωστόσο, ένα άλλο εφετείο εξέδωσε αντίθετη απόφαση σε ξεχωριστή νομική διαδικασία που κίνησε η Anthropic.

Η εταιρεία, που δημιούργησε τον βοηθό τεχνητής νοημοσύνης Κλοντ, ισχυρίζεται ότι ο Υπουργός Άμυνας υπερέβη την εξουσία του χαρακτηρίζοντας την εταιρεία ως κίνδυνο για την εθνική ασφάλεια στην εφοδιαστική αλυσίδα.

Η Anthropic είχε αρνηθεί να άρει ορισμένους περιορισμούς στη χρήση των προϊόντων της λόγω της χρήσης τους από την άμυνα των ΗΠΑ.