Νομικό Περιοδικό Αρ. 75 – Σεπτέμβριος 2024.  

Ανωνυμοποίηση ή ψευδωνυμοποίηση: προσόντα που εξελίσσονται με την πάροδο του χρόνου;

Στις 5 Σεπτεμβρίου 2024, η CNIL επέβαλε πρόστιμο 800.000 ευρώ στην Cegedim Santé για επεξεργασία δεδομένων υγείας χωρίς άδεια.

Η εποπτική αρχή σημειώνει ότι τα δεδομένα αυτά παρέμειναν αναγνωρίσιμα, παρόλο που παρουσιάστηκαν ως ανώνυμα.

Αυτή η κύρωση μας δίνει την ευκαιρία να εξετάσουμε τις λεπτομέρειες του ΓΚΠΔ σχετικά με την ανωνυμοποίηση και την ψευδωνυμοποίηση των δεδομένων.

Η Cegedim δημοσιεύει και πωλεί λογισμικό διαχείρισης σε γενικούς ιατρούς που εργάζονται σε ιδιωτικά ιατρεία και κέντρα υγείας.

Αυτά τα προγράμματα λογισμικού επιτρέπουν στους γιατρούς να διαχειρίζονται τα χρονοδιαγράμματά τους, τα αρχεία των ασθενών και τις συνταγές τους.

Οι πελάτες έχουν επίσης πρόσβαση σε μια βάση δεδομένων που επιτρέπει την παραγωγή μελετών και στατιστικών στον τομέα της υγείας.

Οι έλεγχοι που διεξήγαγε η CNIL το 2021 αποκάλυψαν κυρίως ότι τα δεδομένα που επεξεργαζόταν η εταιρεία – χωρίς προηγούμενη άδεια – ήταν ψευδώνυμα δεδομένα υγείας και, ως εκ τούτου, ήταν αναγνωρίσιμα.

Μόνο τα εντελώς ανώνυμα δεδομένα εξαιρούνται από τις υποχρεώσεις του ΓΚΠΔ.

Ωστόσο, η διαδικασία ανωνυμοποίησης είναι ιδιαίτερα απαιτητική.

Στη συγκεκριμένη περίπτωση, η Cegedim είχε θεσπίσει μια διαδικασία που αποσκοπούσε στη διαγραφή αναγνωριστικών στοιχείων και, στο πλαίσιο προηγούμενων ευρημάτων που χρονολογούνται από το 2012, η CNIL είχε επίσης θεωρήσει ότι τα δεδομένα που υποβλήθηκαν σε επεξεργασία ήταν πράγματι ανώνυμα.

Η Επιτροπή επανεξέτασε σήμερα τα ευρήματα αυτά, διευκρινίζοντας ότι το τρέχον πλαίσιο θεωρίας και νομολογίας πρέπει να λαμβάνεται υπόψη για την αξιολόγηση της πιθανής επαναταυτοποίησης των δεδομένων.

Έτσι, δεδομένα που ήταν ανώνυμα πριν από δέκα χρόνια ενδέχεται να μην είναι απαραίτητα σήμερα: «Για να διαπιστωθεί εάν είναι εύλογα πιθανό να χρησιμοποιηθούν μέσα για την ταυτοποίηση ενός φυσικού προσώπου, είναι απαραίτητο να ληφθούν υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως το κόστος της ταυτοποίησης και ο χρόνος που απαιτείται για αυτήν, λαμβάνοντας υπόψη τις τεχνολογίες που είναι διαθέσιμες κατά τον χρόνο της επεξεργασίας και την εξέλιξή τους».

Πιο συγκεκριμένα, η CNIL – όπως και οι αντίστοιχοι ευρωπαίοι φορείς από το 2014 – έχει καθορίσει τις απαιτήσεις που πρέπει να τηρούνται στο πλαίσιο μιας διαδικασίας ανωνυμοποίησης.

Εξηγεί τις κύριες τεχνικές ανωνυμοποίησης:

• τυχαιοποίηση (η οποία στοχεύει στην τροποποίηση των χαρακτηριστικών σε ένα σύνολο δεδομένων έτσι ώστε να είναι λιγότερο ακριβή, διατηρώντας παράλληλα τη συνολική κατανομή) και
• γενίκευση (η οποία συνίσταται στην τροποποίηση της κλίμακας των χαρακτηριστικών των συνόλων δεδομένων ή της τάξης μεγέθους τους).

Η CNIL συμβουλεύει:

• Να προσδιοριστούν οι πληροφορίες που θα διατηρηθούν, ανάλογα με τη συνάφειά τους.
• Να αφαιρεθούν άμεσα στοιχεία ταυτοποίησης καθώς και σπάνιες τιμές που θα μπορούσαν να επιτρέψουν την εύκολη επαναταυτοποίηση ατόμων.
• Να διακρίνουν τις σημαντικές πληροφορίες από τις δευτερεύουσες ή άχρηστες πληροφορίες.
• Να οριστεί το ιδανικό και αποδεκτό επίπεδο λεπτομέρειας για κάθε αποθηκευμένη πληροφορία.

Τρία κριτήρια μπορούν να χρησιμοποιηθούν για να διασφαλιστεί ότι ένα σύνολο δεδομένων είναι πραγματικά ανώνυμο:

1. Εξατομίκευση: δεν πρέπει να είναι δυνατή η απομόνωση ενός ατόμου στο σύνολο δεδομένων.
2. Συσχέτιση: δεν θα πρέπει να είναι δυνατή η σύνδεση διαφορετικών συνόλων δεδομένων που αφορούν το ίδιο άτομο.
3. Συμπερασματολογία: δεν θα πρέπει να είναι δυνατό να συναχθούν, με σχεδόν βεβαιότητα, νέες πληροφορίες για ένα άτομο.

Στην περίπτωση του Cegedim, το κριτήριο της εξατομίκευσης δεν τηρήθηκε: η υπηρεσία κατέστησε δυνατή τη συνεχή παρακολούθηση ατόμων με την πάροδο του χρόνου χρησιμοποιώντας ένα μοναδικό αναγνωριστικό και την αύξηση των δεδομένων που τα αφορούν.

Αυτό κατέστησε δυνατή την απομόνωση ενός ατόμου σε ένα σύνολο δεδομένων και, ως εκ τούτου, αύξησε τον κίνδυνο άρσης της ψευδωνυμίας.

Τέλος, πρέπει να σημειωθεί ότι το άτομο που είναι υπεύθυνο για τη δημιουργία μιας αποθήκης δεδομένων υγείας μπορεί να την εφαρμόσει μόνο μετά από εξουσιοδότηση από την CNIL ή υπό την προϋπόθεση ότι συμμορφώνεται με ένα πρότυπο.

Σε περίπτωση υπεργολαβίας, το υπεύθυνο μέρος οφείλει να συμπεριλάβει στη συμφωνία υπεργολαβίας όλες τις απαραίτητες απαιτήσεις για τη διασφάλιση της συμμόρφωσης με τους κανονισμούς, ιδίως όσον αφορά την ασφάλεια των δεδομένων.

Στις περισσότερες από τις υποθέσεις παραβίασης δεδομένων που γίνονται πρωτοσέλιδα σήμερα (βλ. παρακάτω), ο αδύναμος κρίκος στην πηγή της παραβίασης ήταν ο υπεργολάβος.

 

 

Η σύνθεση της νέας κυβέρνησης είναι γνωστή από τις 21 Σεπτεμβρίου, με κάποιες νέες εξελίξεις που αφορούν τα ψηφιακά ζητήματα.

Ο όρος «ψηφιακή κυριαρχία» εξαφανίζεται από τον τίτλο του Υπουργείου Οικονομίας και Οικονομικών και οι ψηφιακές υποθέσεις υπάγονται στον Υπουργό Ανώτατης Εκπαίδευσης και Έρευνας.

Τέλος, ο τίτλος της αρμόδιας γραμματείας είναι πλέον: Τεχνητή Νοημοσύνη και Ψηφιακή Τεχνολογία.

Για τον Henri d'Agrain, γενικό εκπρόσωπο της Cigref (μιας ένωσης που εκπροσωπεί επιχειρήσεις και κυβερνητικές υπηρεσίες στον ψηφιακό τομέα), αυτός ο τίτλος «δεν καταφέρνει να αποτυπώσει τη σημασία του cloud, των δεδομένων και του συνεχούς τεχνητής νοημοσύνης, το οποίο πρέπει να αγκαλιάσει κάθε σοβαρή δημόσια πολιτική σε αυτόν τον τομέα». Προσθέτει ότι «η έμφαση στην τεχνητή νοημοσύνη σε αυτόν τον τίτλο θα πρέπει να εξεταστεί υπό το πρίσμα των φιλοδοξιών του Μεγάρου των Ηλυσίων για τη Σύνοδο Κορυφής Δράσης για την Τεχνητή Νοημοσύνη, η οποία θα πραγματοποιηθεί στο Παρίσι τον Φεβρουάριο του 2025».

Μετά από δημόσια διαβούλευση, η CNIL δημοσίευσε στις 24 Σεπτεμβρίου την τελική έκδοση των συστάσεών της για να βοηθήσει τους επαγγελματίες να σχεδιάσουν εφαρμογές για κινητά που σέβονται την ιδιωτικότητα..

Θα διασφαλίσει, από το 2025 και μετά, ότι αυτά λαμβάνονται δεόντως υπόψη μέσω μιας συγκεκριμένης εκστρατείας ελέγχου.

Η CNIL σκοπεύει να διευκρινίσει και να ρυθμίσει τον ρόλο των επαγγελματιών και να διασφαλίσει την ποιότητα των πληροφοριών και τη συγκατάθεση των χρηστών εφαρμογών για κινητά.

Μετά το SFR τον περασμένο μήνα, τώρα είναι η σειρά του Free να προειδοποιήσει τους πελάτες του για διαρροή δεδομένων.

Μεταξύ των δεδομένων στα οποία είχε πρόσβαση ο εισβολέας ήταν τουλάχιστον το όνομα, το επώνυμο, ο αριθμός τηλεφώνου και η ταχυδρομική διεύθυνση των πελατών.

Εκτός από αυτούς τους δύο φορείς, πολλοί Γάλλοι λιανοπωλητές, όπως οι Boulanger, Cultura, Truffaut και Grosbil, έπεσαν θύματα στα μέσα Σεπτεμβρίου της παραβίασης των δεδομένων παράδοσης, τα οποία δημοσιεύθηκαν και μεταπωλήθηκαν στο dark web από τον ίδιο χάκερ.

Οι κίνδυνοι για τα άτομα αφορούν γενικά την κλοπή ταυτότητας και την απόκτηση δεδομένων που σχετίζονται με τη διεύθυνσή τους.

Όσον αφορά την Cultura, η οποία ειδικεύεται στην πώληση πολιτιστικών προϊόντων, έχει επίσης διαρρεύσει το περιεχόμενο των καλαθιών αγορών, παρέχοντας ακριβείς πληροφορίες σχετικά με τις αναγνωστικές συνήθειες των αγοραστών, με δυνητικά πολύ ενοχλητικές συνέπειες.

Στις περισσότερες από αυτές τις επιθέσεις, ο χάκερ είχε στοχεύσει έναν πάροχο υπηρεσιών των εμπλεκομένων εταιρειών.

Στις 25 Σεπτεμβρίου, το κοινωνικό τμήμα του Ακυρωτικού Δικαστηρίου εξέδωσε απόφαση με την οποία ακύρωσε την απόλυση ενός υπαλλήλου βάσει της υποκλοπής ηλεκτρονικών μηνυμάτων που στάλθηκαν από την επαγγελματική του διεύθυνση.

Το Δικαστήριο υπενθυμίζει ότι «ο εργαζόμενος έχει το δικαίωμα, ακόμη και κατά τον χρόνο και τον τόπο εργασίας, σεβασμού της ιδιωτικότητας της ιδιωτικής του ζωής».

Αυτό αφορά ιδιαίτερα το απόρρητο της αλληλογραφίας.

Συνεπώς, ο εργοδότης δεν μπορεί, χωρίς να παραβιάζει αυτή τη θεμελιώδη ελευθερία, να χρησιμοποιεί το περιεχόμενο προσωπικών μηνυμάτων που αποστέλλονται ή λαμβάνονται από τον εργαζόμενο μέσω ηλεκτρονικού εργαλείου που παρέχεται για εργασιακούς σκοπούς, για να τον πειθαρχεί.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Στις 25 Σεπτεμβρίου, η Επιτροπή συγκέντρωσε βασικούς παράγοντες του τομέα της Τεχνητής Νοημοσύνης στις Βρυξέλλες για να γιορτάσει τις πρώτες 100 υπογραφές των δεσμεύσεων του Συμφώνου για την Τεχνητή Νοημοσύνη.

Οι υπογράφοντες είναι πολυεθνικές εταιρείες και μικρές και μεσαίες ευρωπαϊκές εταιρείες από διάφορους τομείς. Μέχρι στιγμής, η Meta και η Apple δεν έχουν υπογράψει αυτό το Σύμφωνο.

Οι εθελοντικές δεσμεύσεις στο έγγραφο καλούν τις συμμετέχουσες εταιρείες να δεσμευτούν να εκτελέσουν τουλάχιστον τρεις βασικές δράσεις:

• Υιοθέτηση μιας στρατηγικής διακυβέρνησης της Τεχνητής Νοημοσύνης για την προώθηση της υιοθέτησης της Τεχνητής Νοημοσύνης εντός του οργανισμού και εργασία για τη μελλοντική συμμόρφωση με τους κανονισμούς της Τεχνητής Νοημοσύνης.
• Εντοπισμός και χαρτογράφηση συστημάτων Τεχνητής Νοημοσύνης που ενδέχεται να ταξινομηθούν ως υψηλού κινδύνου βάσει του κανονισμού για την Τεχνητή Νοημοσύνη.
• Προώθηση της ευαισθητοποίησης του προσωπικού σχετικά με την Τεχνητή Νοημοσύνη.

Οι εταιρείες ενθαρρύνονται να αναλάβουν άλλες δεσμεύσεις προσαρμοσμένες στις δραστηριότητές τους, όπως η διασφάλιση της ανθρώπινης εποπτείας, ο μετριασμός των κινδύνων και η διαφανής επισήμανση ορισμένων τύπων περιεχομένου που δημιουργείται από τεχνητή νοημοσύνη, όπως τα «deepfakes».

Το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) έκρινε, σε απόφαση της 4ης Οκτωβρίου (C 621/22), ότι ένα εμπορικό συμφέρον μπορεί να αποτελεί «έννομο συμφέρον» κατά την έννοια του άρθρου 6(1)(στ) του ΓΚΠΔ, εφόσον δεν αντίκειται στον νόμο.

Ενώ αυτή η θέση μπορεί να φαίνεται προφανής, δεν ίσχυε πλέον στην Ολλανδία εδώ και μερικά χρόνια: σύμφωνα με την Ολλανδική Αρχή Προστασίας Δεδομένων (DPA), το έννομο συμφέρον έπρεπε να βασίζεται σε νομική βάση.

Το Δικαστήριο επαναλαμβάνει ότι μια τέτοια απαίτηση είναι υπερβολική και ότι αρκεί για να μην είναι αντίθετη προς τον νόμο. Θα πρέπει να σημειωθεί ότι η παρούσα απόφαση δεν αποτελεί εν λευκώ επιταγή για όλες τις πρακτικές μάρκετινγκ: πρέπει πάντα να πραγματοποιείται εξισορρόπηση των διακυβευόμενων συμφερόντων και δικαιωμάτων.

Επίσης, στις 4 Οκτωβρίου, το ΔΕΕ εξέδωσε απόφαση στην υπόθεση C-446/21, στην οποία υποστηρίζει την αγωγή που ασκήθηκε κατά της Meta σχετικά με την υπηρεσία Facebook.

Τα ερωτήματα αφορούσαν τον περιορισμό της χρήσης προσωπικών δεδομένων για διαδικτυακή διαφήμιση και τον περιορισμό της χρήσης δημόσια διαθέσιμων προσωπικών δεδομένων στους σκοπούς για τους οποίους προορίζονταν αρχικά η δημοσίευση.

Την ίδια ημέρα, το ΔΕΕ επικύρωσε επίσης στην υπόθεση C-21/23 τη δυνατότητα ενός ανταγωνιστή μιας εταιρείας να ασκήσει αγωγή ενώπιον των αστικών δικαστηρίων βάσει της απαγόρευσης αθέμιτων εμπορικών πρακτικών, προκειμένου να σταματήσει η παραβίαση των ουσιαστικών διατάξεων του ΓΚΠΔ από τον εν λόγω ανταγωνιστή.

Πρέπει να σημειωθεί ότι νομολογία υπό αυτή την έννοια υπάρχει ήδη στο γαλλικό δίκαιο.

Το ΔΕΕ έκρινε στις 26 Σεπτεμβρίου (Υπόθεση C 768/21) ότι όταν έχει διαπιστωθεί παραβίαση δεδομένων, οι Αρχές Προστασίας Δεδομένων δεν υποχρεούνται να ασκήσουν διορθωτική εξουσία βάσει του άρθρου 58(2) του ΓΚΠΔ, όταν αυτή δεν είναι κατάλληλη, απαραίτητη ή αναλογική για την αποκατάσταση της διαπιστωθείσας έλλειψης.

Σύμφωνα με το Δικαστήριο, μετά την ανάλυση όλων των περιστάσεων της υπόθεσης, οι αρχές προστασίας δεδομένων μπορούν να απόσχουν από την άσκηση τέτοιας διορθωτικής εξουσίας, για παράδειγμα όταν ο υπεύθυνος επεξεργασίας έχει εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ότι η παραβίαση παύει και δεν θα επαναληφθεί.

Το Δικαστήριο τελικά έκρινε, σε απόφαση της 12ης Σεπτεμβρίου (Συνεκδικασθείσες Υποθέσεις C 17/22 και C 18/22), ότι όχι μόνο μια νομοθετική πράξη αλλά και η εθνική νομολογία θα μπορούσε να ορίσει νομική υποχρέωση, σύμφωνα με το άρθρο 6(1)(γ) του ΓΚΠΔ, για την αποκάλυψη σε έναν μέτοχο της ταυτότητας όλων των άλλων εμπλεκόμενων μετόχων.

Μετά από πρωτοβουλίες στη Γαλλία, τη Δανία, την Ισπανία και τη Γερμανία στον τομέα της διαδικτυακής επαλήθευσης ηλικίας, η ευρωπαϊκή ΜΚΟ EDRi και 63 οργανισμοί, ακαδημαϊκοί και ειδικοί σε θέματα απορρήτου, κρυπτογράφησης, ασφάλειας παιδιών, δικαιωμάτων των εργαζομένων στο σεξ και δικαιωμάτων των καταναλωτών δημοσίευσαν κοινή δήλωση στις 16 Σεπτεμβρίου.

Προτρέπει την Ευρωπαϊκή Επιτροπή να δώσει προτεραιότητα σε αποτελεσματικά μέτρα για την ασφάλεια των παιδιών, εκφράζοντας παράλληλα σοβαρές ανησυχίες σχετικά με την επάρκεια, την αναλογικότητα και τον αρνητικό αντίκτυπο των τρεχουσών προτάσεων στα θεμελιώδη δικαιώματα.

 

Νέα από τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Ένα ψήφισμα που δημοσιεύθηκε στις 11 Σεπτεμβρίου από τη Διάσκεψη Ανεξάρτητων Αρχών Προστασίας Δεδομένων της Γερμανίας (DSK) παρέχει πρακτικές συστάσεις για το πλαίσιο για τις μεταφορές προσωπικών δεδομένων στο πλαίσιο των «Συμφωνιών Περιουσιακών Στοιχείων» σχετικά με τα προσωπικά δεδομένα που διατηρούνται από εταιρείες: δεδομένα των πελατών και των υποψήφιων πελατών της εταιρείας, των υπαλλήλων της, των επιχειρηματικών εταίρων της κ.λπ.

Στη Γερμανία, η DPA του Αμβούργου υιοθέτησε ένα αμφιλεγόμενο έγγραφο σχετικά με τα μεγάλα γλωσσικά μοντέλα (LLM).

Συνεπώς, η αρχή κατέληξε στο συμπέρασμα ότι οι LLM δεν αποθηκεύουν προσωπικά δεδομένα και ότι το συμπέρασμα αυτό είναι σύμφωνο με τη γνώμη του ΔΕΕ.

Ωστόσο, τα δεδομένα εισόδου και εξόδου ενός συστήματος ΤΝ μπορούν να συνιστούν προσωπικά δεδομένα, σε αντίθεση με τη φάση εκπαίδευσης, με τις συνέπειες που αυτό συνεπάγεται: τα αιτήματα πρόσβασης, διαγραφής ή διόρθωσης μπορούν επομένως να σχετίζονται με αυτά τα δεδομένα.

Στο Βέλγιο, η Φλάνδρα αποστασιοποιείται από την ομοσπονδιακή κυβέρνηση σε θέματα προστασίας της ιδιωτικής ζωής.

Η εφημερίδα Le Soir ανακοίνωσε την 1η Σεπτεμβρίου ότι ο Jan Jambon, ο Φλαμανδός Υπουργός-Πρόεδρος, διέταξε τους υπουργούς του στις 20 Σεπτεμβρίου, λίγες ημέρες πριν αποχωρήσει από τη θέση του, να μην υποβάλλουν πλέον σχέδια διαταγμάτων και αποφάσεων στην Ομοσπονδιακή Αρχή Προστασίας Δεδομένων (APD), αλλά στο περιφερειακό της όργανο, την Vlaamse Toezichtcommissie (VTC).

Στην πραγματικότητα, από το 2019, η φλαμανδική κυβέρνηση ήδη παρακάμπτει συστηματικά τον APD ψηφίζοντας τα διατάγματά της μέσω του VTC, παρά την απόφαση του Μαρτίου 2023 του Συνταγματικού Δικαστηρίου που υπενθύμιζε ότι η φλαμανδική κυβέρνηση έπρεπε να περάσει από τον APD για να εγκρίνει τα κείμενά του.

Σήμερα, ο Υπουργός-Πρόεδρος θέλει να επισημοποιήσει την αρμοδιότητα των Φλαμανδών: απέστειλε επιστολή στην Ευρωπαϊκή Επιτροπή ζητώντας την αναγνώριση των αρμοδιοτήτων των ΚΕΚ όσον αφορά τον ΓΚΠΔ.

Η Βελγική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 100.000 ευρώ σε έναν υπεύθυνο επεξεργασίας δεδομένων επειδή δεν απάντησε εγκαίρως στο αίτημα πρόσβασης ενός υποκειμένου των δεδομένων.

Ωστόσο, η APD απέρριψε το αίτημα του εν λόγω προσώπου να λάβει πληροφορίες σχετικά με τους συγκεκριμένους υπαλλήλους που είχαν πρόσβαση στα δεδομένα του.

Επίσης στο Βέλγιο, το Τμήμα Διαφορών του APD απέρριψε στις 6 Σεπτεμβρίου την εγκυρότητα της εντολής εκπροσώπησης που υπέβαλε η Noyb σε μια υπόθεση που αφορούσε την ενσωμάτωση σεναρίων Google Analytics σε έναν ιστότοπο, τη στιγμή που η Ασπίδα Προστασίας Προσωπικών Δεδομένων είχε κηρυχθεί άκυρη από το ΔΕΕ.

Το Τμήμα Διαφορών έκρινε ότι η εντολή συνιστούσε κατάχρηση δικαιώματος εκ μέρους της Noyb.

Σε ξεχωριστή υπόθεση, η Βελγική Αρχή Προστασίας Δεδομένων (APD) έκανε δεκτές αρκετές καταγγελίες που υπέβαλε η Noyb το 2023 και διέταξε τέσσερις μεγάλους βελγικούς ειδησεογραφικούς ιστότοπους να συμμορφώσουν τα banner των cookie τους με τον ΓΚΠΔ.

Η ισπανική αρχή προστασίας δεδομένων δημοσίευσε στις 2 Οκτωβρίου έκθεση σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και την επαλήθευση της ηλικίας των παιδιών στο ψηφιακό περιβάλλον.

Το έγγραφο υποστηρίζει την ανάπτυξη προληπτικών πολιτικών προστασίας από τις υπηρεσίες της κοινωνίας της πληροφορίας.

Η Ισπανική Υπηρεσία Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 72.000 ευρώ σε μια εταιρεία fintech για την εφαρμογή ανεπαρκών μέτρων επαλήθευσης ταυτότητας πελατών, τα οποία επέτρεψαν σε απατεώνες να λάβουν δάνειο στο όνομα του θύματος εν αγνοία του.

Στις 27 Σεπτεμβρίου, η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) επέβαλε πρόστιμο στον Meta ύψους 91 εκατομμυρίων ευρώ.

Η απόφαση αφορά τα μέτρα που έλαβε η εταιρεία για να διασφαλίσει ένα επίπεδο ασφάλειας κατάλληλο για τους κινδύνους που σχετίζονται με την επεξεργασία κωδικών πρόσβασης και την υποχρέωση καταγραφής και ειδοποίησης της DPA για παραβιάσεις δεδομένων.

Η αρχή υπενθυμίζει στους υπεύθυνους επεξεργασίας δεδομένων ότι πρέπει να αξιολογούν τους κινδύνους που ενέχει η αποθήκευση των κωδικών πρόσβασης των χρηστών και να εφαρμόζουν μέτρα για τον μετριασμό αυτών των κινδύνων.

Στις 12 Σεπτεμβρίου, η APD ανακοίνωσε επίσης την έναρξη έρευνας κατά της Google σχετικά με τη χρήση προσωπικών δεδομένων Ευρωπαίων χρηστών για την ανάπτυξη ενός μοντέλου τεχνητής νοημοσύνης στον τομέα των μεταφράσεων.

Η έρευνα αφορά το μοντέλο τεχνητής νοημοσύνης «Pathways Language Model 2» (PaLM 2), το οποίο κυκλοφόρησε η Google το 2023, χωρίς να έχει διεξαχθεί ανάλυση επιπτώσεων στην προστασία δεδομένων.

Στην Ιταλία, η APD επέβαλε πρόστιμο 5.000.000 ευρώ σε έναν προμηθευτή ενέργειας επειδή δεν εφάρμοσε επαρκή μέτρα για να διασφαλίσει τη συμμόρφωση των υπεργολάβων του με τον ΓΚΠΔ.

Αυτό τους επέτρεπε να συνάπτουν συμβάσεις με τα εμπλεκόμενα άτομα εν αγνοία τους.

Η Πορτογαλική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 107.000 ευρώ σε έναν υπεύθυνο επεξεργασίας δεδομένων για επανειλημμένη αποστολή ανεπιθύμητων εμπορικών επικοινωνιών.

Ο υπεύθυνος επεξεργασίας δεδομένων θεωρήθηκε υπεύθυνος, παρόλο που οι αποστολές είχαν πραγματοποιηθεί από υπεργολάβο που χρησιμοποιούσε τη δική του βάση δεδομένων.

 

Μια έκθεση της Ομοσπονδιακής Επιτροπής Εμπορίου των ΗΠΑ (FTC) που δημοσιεύθηκε στις 19 Σεπτεμβρίου αποκαλύπτει ότι οι μεγάλες εταιρείες μέσων κοινωνικής δικτύωσης και streaming βίντεο έχουν εμπλακεί σε εκτεταμένη επιτήρηση χρηστών με χαλαρούς ελέγχους απορρήτου και ανεπαρκή προστασία για παιδιά και εφήβους.

Η έκθεση συνιστά τον περιορισμό της διατήρησης και της κοινής χρήσης δεδομένων, τον περιορισμό της στοχευμένης διαφήμισης και την ενίσχυση της προστασίας των εφήβων.

Η κινεζική κυβέρνηση δημοσίευσε στις 30 Σεπτεμβρίου τους «Κανονισμούς για τη Διαχείριση της Ασφάλειας Δεδομένων Δικτύου», οι οποίοι θα τεθούν σε ισχύ την 1η Ιανουαρίου 2025. 

Το κείμενο αποσκοπεί στη ρύθμιση των δραστηριοτήτων επεξεργασίας δεδομένων δικτύου, στην προστασία των δικαιωμάτων και των έννομων συμφερόντων των ατόμων και των οργανισμών, καθώς και στη διασφάλιση της εθνικής ασφάλειας και των δημόσιων συμφερόντων.

Επίσης στην Κίνα, η Εθνική Τεχνική Επιτροπή Τυποποίησης Ασφάλειας Πληροφοριών (TC260) δημοσίευσε ένα πλαίσιο διακυβέρνησης της ασφάλειας πληροφοριών σχετικά με την Τεχνητή Νοημοσύνη.

Το έγγραφο περιέχει μια σειρά αρχών και παρέχει μια χρήσιμη ταξινόμηση των κινδύνων που σχετίζονται με την Τεχνητή Νοημοσύνη και τεχνολογικά μέτρα για την αντιμετώπισή τους.

Η IBM δημοσίευσε μια έκθεση σχετικά με το κόστος των παραβιάσεων δεδομένων για το 2024.

Μεταξύ των συμπερασμάτων της έκθεσης, αξίζει να σημειωθεί ότι:

• Το μέσο συνολικό κόστος μιας παραβίασης δεδομένων είναι 4,88 εκατομμύρια δολάρια και οι παραβιάσεις δεδομένων είναι οι πιο ακριβές στις Ηνωμένες Πολιτείες.
• Η έλλειψη δεξιοτήτων στον κυβερνοχώρο έχει επιδεινωθεί,
• Σχεδόν οι μισές παραβιάσεις αφορούν προσωπικά δεδομένα (46 %) ή αρχεία πνευματικής ιδιοκτησίας (43 %),
• Η παρέμβαση των αρχών επιβολής του νόμου μειώνει το κόστος των ransomware κατά μέσο όρο 1 εκατομμύριο δολάρια.
• Απαιτούνται 292 ημέρες για τον εντοπισμό και τον περιορισμό παραβιάσεων που αφορούν κλεμμένα διαπιστευτήρια.

Το Instagram προσφέρει πλέον εφηβικούς λογαριασμούς με αυστηρότερες ρυθμίσεις ασφαλείας, επιτρέποντας στους γονείς να περιορίζουν τη χρήση της εφαρμογής.

Οι λογαριασμοί εφήβων έχουν σχεδιαστεί ειδικά για να προστατεύουν τους ανηλίκους από επιβλαβές περιεχόμενο και ανεπιθύμητες επαφές, μειώνοντας παράλληλα τον χρόνο που αφιερώνεται στην εφαρμογή.