Νομικό Περιοδικό Αρ. 90 – Δεκέμβριος 2025. 

 

Δεδομένα, Τεχνητή Νοημοσύνη, κυβερνοασφάλεια: ποιος είναι ποιος από τις κατευθυντήριες γραμμές και τους κανονισμούς που πρέπει να ακολουθηθούν το 2026.

Πολλοί κανονισμοί που θεσπίστηκαν τα τελευταία χρόνια θα τεθούν πλέον πλήρως σε ισχύ ή θα φτάσουν σε αποφασιστικά στάδια εφαρμογής τους.

Ταυτόχρονα, νέες πρωτοβουλίες της Ευρωπαϊκής Επιτροπής, ιδίως το Digital Omnibus και το νομοσχέδιο για την ψηφιακή δικαιοσύνη, ανακοινώνουν νέες κανονιστικές προσαρμογές που αποσκοπούν στη συμπλήρωση ή την τροποποίηση των υφιστάμενων κανονισμών.

Ο ΓΚΠΔ, που ισχύει από το 2018, παραμένει σήμερα ο ακρογωνιαίος λίθος του πλαισίου προστασίας δεδομένων, μαζί με την Οδηγία για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα (ePrivacy), η αναθεώρηση της οποίας έχει επί του παρόντος εγκαταλειφθεί.

Η Επιτροπή σκοπεύει να απλοποιήσει μέσω της πρότασής της Λεωφορείο διάφορες πτυχές του ΓΚΠΔ που σχετίζονται με την ανάπτυξη της τεχνητής νοημοσύνης (ΤΝ): σχεδιάζει να αναγνωρίσει την ανάπτυξη και λειτουργία συστημάτων ΤΝ ως «έννομο συμφέρον» κατά την έννοια του ΓΚΠΔ και να εισαγάγει μια νέα νομική βάση για την επεξεργασία ευαίσθητων δεδομένων που προορίζονται για την εκπαίδευση μοντέλων ΤΝ.

Σε ευρύτερο πλαίσιο, το Ψηφιακό Omnibus θα μείωνε το βάρος συμμόρφωσης για τις επιχειρήσεις, για παράδειγμα χαλαρώνοντας το όριο από το οποίο πρέπει να αναφέρεται μια παραβίαση δεδομένων και επεκτείνοντας τις περιπτώσεις στις οποίες τα δεδομένα μπορούν να θεωρηθούν «ανώνυμα».

Οι κανονισμοί του ψηφιακού πακέτου, και πιο συγκεκριμένα ο Κανονισμός για τις Ψηφιακές Αγορές (DMA) και ο Κανονισμός για τις Ψηφιακές Υπηρεσίες (DSA), διευκρινίζουν τους κανόνες που ισχύουν για την ψηφιακή οικονομία και την ευθύνη των πλατφορμών.

Ισχύουν από το 2024 και η Επιτροπή άρχισε να επιβάλλει κυρώσεις το 2025.

Η DSA Ισχύει για πολύ μεγάλες διαδικτυακές πλατφόρμες (VLOP) και πολύ μεγάλες διαδικτυακές μηχανές αναζήτησης (VLOSE), καθώς και για όλους τους μεσάζοντες που προσφέρουν τις υπηρεσίες τους σε χρήστες με έδρα την ΕΕ.

Αρκετές υποχρεώσεις του Νόμου περί Ψηφιακών Δεδομένων (DSA) αλληλεπικαλύπτονται με εκείνες του ΓΚΠΔ.

Για παράδειγμα, υπάρχουν παρόμοιες ή συμπληρωματικές υποχρεώσεις σχετικά με τα «σκοτεινά πρότυπα», τη στοχευμένη διαφήμιση που βασίζεται σε ευαίσθητα δεδομένα ή αφορά ανηλίκους, τη διαφάνεια, τη δημιουργία προφίλ, την ανάλυση κινδύνου και την αφαίρεση παράνομου περιεχομένου.

Το 2025, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε κατευθυντήριες γραμμές σχετικά με αυτά τα αλληλεπικαλυπτόμενα ζητήματα.

Ο πρωταρχικός στόχος του DMA είναι να αποτρέψει τους τεχνολογικούς γίγαντες ή τους «φύλακες» από το να εκμεταλλευτούν την κυρίαρχη θέση τους.

Ορισμένες από αυτές τις υποχρεώσεις ενισχύουν εκείνες που προβλέπονται από τον Νόμο περί Ψηφιακής Ασφάλειας (DSA) όσον αφορά την προστασία των χρηστών, ιδίως όσον αφορά την κατάρτιση προφίλ.

Η στρατηγική της ΕΕ για τα δεδομένα στοχεύει στη δημιουργία μιας ενιαίας αγοράς δεδομένων, στην ενθάρρυνση της καινοτομίας και στη διασφάλιση της ασφαλούς και αποτελεσματικής ανταλλαγής δεδομένων σε ολόκληρη την Ευρωπαϊκή Ένωση.

Τα ακόλουθα κείμενα έχουν αντίκτυπο στα προσωπικά δεδομένα: ο Κανονισμός για τη Διακυβέρνηση Δεδομένων (DGA), ο Κανονισμός για τα Δεδομένα (DA), ο Κανονισμός για τις Ηλεκτρονικές Συναλλαγές (eIDAS) και ο Κανονισμός για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας (EHDS). 

Η πρόταση Omnibus της Επιτροπής αποσκοπεί στην απλούστευση του νομοθετικού πλαισίου σε αυτόν τον τομέα.

Το κείμενο προβλέπει, μεταξύ άλλων, την κατάργηση των DGA και την οδηγία του 2019 για τα ανοιχτά δεδομένα.

Ο DA θα παρέμενε η κεντρική αναφορά και θα περιλάμβανε τα ουσιώδη στοιχεία που διατηρήθηκαν από τα άλλα κείμενα.

Εκτός από την εναρμόνιση των ορισμών, οι μικρές και μεσαίες επιχειρήσεις (έως 750 εργαζόμενοι) θα εξαιρούνται από ορισμένες υποχρεώσεις.

Ο Κανονισμός DA, ο οποίος ισχύει από τις 12 Σεπτεμβρίου 2025, προβλέπει ότι ένα σημαντικό μέρος των υποχρεώσεών του τίθεται σε ισχύ στις 12 Σεπτεμβρίου 2026: ο κανονισμός προβλέπει την υποχρέωση σχεδιασμού συνδεδεμένων προϊόντων και συναφών υπηρεσιών κατά τρόπο ώστε τα δεδομένα που σχετίζονται με τα προϊόντα και τις συναφείς υπηρεσίες να είναι προσβάσιμα από προεπιλογή στους χρήστες και, από τον Σεπτέμβριο, οι κατασκευαστές θα πρέπει να διασφαλίζουν ότι η πρόσβαση στα δεδομένα εξασφαλίζεται τεχνικά από τις φάσεις ανάπτυξης και σχεδιασμού προϊόντων.

Σχετικά με τους κανονισμούς eIDASΑπό το 2026, τα κράτη μέλη θα υποχρεούνται να παρέχουν στους πολίτες και τις επιχειρήσεις τους τουλάχιστον ένα ψηφιακό πορτοφόλι ταυτότητας συμβατό με τα πρότυπα της ΕΕ, επιτρέποντας στους χρήστες να αποθηκεύουν με ασφάλεια τα δεδομένα ταυτότητάς τους, τα αναγνωριστικά στοιχεία και τα χαρακτηριστικά τους (δελτίο ταυτότητας, άδεια οδήγησης, στοιχεία πληρωμής κ.λπ.) και να τα κοινοποιούν επιλεκτικά σε δημόσιες αρχές και ιδιωτικούς παρόχους.

Οι επιχειρήσεις, οι διαδικτυακές πλατφόρμες και οι διοικητικές υπηρεσίες θα πρέπει επίσης να προσαρμοστούν σε αυτές τις νέες μορφές ψηφιακής ταυτοποίησης και επαλήθευσης ταυτότητας.

μεγάλο«EHDS» τέθηκε σε ισχύ στις 26 Μαρτίου 2025, αλλά οι κύριες διατάξεις του θα εφαρμοστούν πλήρως από τον Μάρτιο του 2029.

Ο κανονισμός για την τεχνητή νοημοσύνη, που ισχύει από τον Αύγουστο του 2024, καθίσταται καθοριστικός για τις εταιρείες από τις 2 Αυγούστου 2026.

Ορισμένες υποχρεώσεις ισχύουν ήδη, όπως η διαφάνεια στην αλληλεπίδραση με τα chatbot ή η επισήμανση περιεχομένου που δημιουργείται από τεχνητή νοημοσύνη, και η διασφάλιση επαρκούς επάρκειας στην Τεχνητή Νοημοσύνη μεταξύ των εργαζομένων που εργάζονται με συστήματα Τεχνητής Νοημοσύνης.

Ωστόσο, από τον Αύγουστο και μετά, θα πρέπει να ισχύουν πιο ολοκληρωμένες απαιτήσεις για συστήματα τεχνητής νοημοσύνης υψηλού κινδύνου που χρησιμοποιούνται σε ευαίσθητους τομείς, όπως η διαχείριση ανθρώπινου δυναμικού, η αξιολόγηση της απόδοσης ή η πρόσβαση σε βασικές υπηρεσίες.

Ωστόσο, η Επιτροπή σχεδιάζει στην πρότασή της Omnibus να αναβάλει την εφαρμογή αυτών των κανόνων μέχρι τον Δεκέμβριο του 2027.

Ορισμένες υποχρεώσεις θα απλουστευτούν επίσης, και εδώ, για τις μικρές και μεσαίες επιχειρήσεις με έως και 750 εργαζομένους.

Όσον αφορά την ασφάλεια, θα αναφέρουμε τα οδηγία για την ασφάλεια δικτύων και συστημάτων πληροφοριών (ΝΑΚ2) σε ισχύ από τον Οκτώβριο του 2024, το κανονισμός για την ψηφιακή επιχειρησιακή ανθεκτικότητα (ΝΤΟΡΑ) σε ισχύ από τον Ιανουάριο του 2025, καθώς και το Κανονισμός για την Κυβερνοανθεκτικότητα (CRA)).

Όσον αφορά το τελευταίο, οι κύριες υποχρεώσεις των κατασκευαστών προϊόντων που περιέχουν ψηφιακά στοιχεία θα τεθούν σε ισχύ στις 11 Σεπτεμβρίου 2026, συμπεριλαμβανομένης της υποχρέωσης κοινοποίησης τρωτών σημείων που έχουν υποστεί ενεργή εκμετάλλευση και σοβαρών περιστατικών ασφαλείας.

Συνεπώς, οι κατασκευαστές θα πρέπει να αναφέρουν στις αρμόδιες αρχές εποπτείας της αγοράς εντός πολύ σύντομων χρονικών πλαισίων τυχόν εντοπισμένες ευπάθειες και περιστατικά ασφαλείας που θέτουν σε σημαντικό κίνδυνο την ασφάλεια των προϊόντων.

Για να ολοκληρώσουμε αυτήν τη λίστα κανονισμών, ας αναφέρουμε τέλος το πρόταση σχετικά με κανονισμό για την ψηφιακή δικαιοσύνη (DFA) γεγονός που αναμένεται να αυξήσει περαιτέρω την πολυπλοκότητα του νομικού πλαισίου για τους παρόχους διαδικτυακών υπηρεσιών.

Τον Ιούλιο του 2025, η Επιτροπή ξεκίνησε δημόσια διαβούλευση σχετικά με αυτό το έργο, το οποίο θα στοχεύει στην καταπολέμηση των «αθέμιτων εμπορικών πρακτικών», όπως τα σκοτεινά πρότυπα, τα εθιστικά χαρακτηριστικά και η καταχρηστική εξατομίκευση, συμπεριλαμβανομένων εκείνων που σχετίζονται με πράκτορες τεχνητής νοημοσύνης.

Ποιο είναι το μέλλον αυτών των προτάσεων; Οι επόμενοι μήνες αναμένεται να είναι καθοριστικοί: η κυπριακή προεδρία στοχεύει να εξασφαλίσει εντολή έως τα τέλη Μαρτίου ή στις αρχές Απριλίου για να διαπραγματευτεί το Omnibus με το Ευρωπαϊκό Κοινοβούλιο, αντανακλώντας την επιθυμία να το εγκρίνει πριν τεθούν σε ισχύ οι απαιτήσεις υψηλού κινδύνου του κανονισμού για την τεχνητή νοημοσύνη τον Αύγουστο.

 

Σημειώνουμε αρκετές σημαντικές κυρώσεις από την CNIL που υιοθετήθηκαν λίγο πριν και μετά τη μετάβαση στο 2026, όλες σχετικές με την ασφάλεια των δεδομένων.

Στις 13 Ιανουαρίου 2026, η CNIL (Γαλλική Αρχή Προστασίας Δεδομένων) επέβαλε πρόστιμα στις εταιρείες Free Mobile και Free ύψους 27 εκατομμυρίων ευρώ και 15 εκατομμυρίων ευρώ αντίστοιχα. δεδομένης της ανεπάρκειας των μέτρων που έχουν ληφθεί για την εξασφάλιση της ασφάλειας των δεδομένων των συνδρομητών τους.

Τον Οκτώβριο του 2024, ένας εισβολέας κατάφερε να διεισδύσει στα πληροφοριακά συστήματα των εταιρειών και να αποκτήσει πρόσβαση σε προσωπικά δεδομένα που αφορούσαν 24 εκατομμύρια συμβόλαια συνδρομητών, συμπεριλαμβανομένων των IBAN.

Στις 22 Δεκεμβρίου 2025, επέβαλε πρόστιμο 1.700.000 ευρώ στην εταιρεία Nexpublica France.για την αδυναμία εφαρμογής επαρκών μέτρων ασφαλείας για το λογισμικό PCRM, ένα εργαλείο για τη διαχείριση των σχέσεων των χρηστών στον τομέα της κοινωνικής δράσης.

Στις 11 Δεκεμβρίου 2025, επέβαλε κυρώσεις στην Mobius Solutions Ltd, έναν υπεργολάβο υπεύθυνο για παραβίαση δεδομένων που επηρέαζε τους χρήστες του Deezer.Της επιβλήθηκε πρόστιμο ενός εκατομμυρίου ευρώ για μη συμμόρφωση με τους ισχύοντες κανόνες υπεργολαβίας: διατήρηση δεδομένων μετά τη λήξη της σύμβασης, μη εξουσιοδοτημένη επεξεργασία και μη τήρηση αρχείου επεξεργασίας.

Τρεις υπάλληλοι της εταιρείας είχαν διατηρήσει ένα αντίγραφο των δεδομένων περισσότερων από 46 εκατομμυρίων χρηστών του Deezer μετά τη λήξη της συμβατικής τους σχέσης, εκθέτοντάς τους σε κενά ασφαλείας που οδήγησαν στην ανάρτηση δεδομένων στο dark web.

Το Διοικητικό Εφετείο των Βερσαλλιών αποφάσισε στις 11 Δεκεμβρίου ότι ένας ασθενής δεν μπορούσε να ζητήσει από ένα νοσοκομείο να διορθώσει μια ιατρική αξιολόγηση, καθώς αυτή αποτελούσε υποκειμενική γνώμη.

Αυτή η αρχή παραμένει εφαρμόσιμη ακόμη και όταν η διάγνωση του ατόμου που είναι υπεύθυνο για τη θεραπεία διαφέρει από τις επόμενες διαγνώσεις.

Οι παραισθήσεις της Τεχνητής Νοημοσύνης στα συμπεράσματα των δικηγόρων γίνονται μερικές φορές αντιληπτές με επιείκεια από τους δικαστές, τουλάχιστον αυτή είναι η άποψη του δικαστικού δικαστηρίου του Περιγκέ στην απόφασή του της 18ης Δεκεμβρίου.

Το τελευταίο σημειώνει «(...) ότι οι παραπομπές στη νομολογία που επικαλείται ο αιτών, αλλά δεν προσκομίζονται στα έγγραφά του, δεν φαίνεται να αντιστοιχούν σε δημοσιευμένες αποφάσεις. (...).

Συνεπώς, το δικαστήριο θα καλέσει τον αιτούντα και τον συνήγορό του να επαληθεύσουν στο μέλλον ότι οι αναφορές που έχουν βρει σε μηχανές αναζήτησης ή με τη βοήθεια τεχνητής νοημοσύνης δεν αποτελούν «παραισθήσεις».

Αυτή η θέση έρχεται σε αντίθεση με μια πρόσφατη βελγική απόφαση, η οποία αναφέρεται παρακάτω.

Το Υπουργείο Εσωτερικών υπέστη μεγάλης κλίμακας κυβερνοεπίθεση στα μέσα Δεκεμβρίου.

Ο Υπουργός Εσωτερικών επιβεβαίωσε την Τετάρτη 17 Δεκεμβρίου ότι «οι υπηρεσίες του Υπουργείου Εσωτερικών έγιναν στόχος μαζικής κυβερνοεπίθεσης, χαρακτηρίζοντάς την ως μια πολύ σοβαρή πράξη που είχε ως αποτέλεσμα τη δημοσίευση αρχείων, συμπεριλαμβανομένων ποινικών μητρώων» και καταζητούμενων. Η κυβερνοεισβολή πραγματοποιήθηκε μέσω των λογαριασμών ηλεκτρονικού ταχυδρομείου του προσωπικού του υπουργείου.

Στον τομέα των κυβερνοεπιθέσεων, θα πρέπει επίσης να σημειωθεί ότι η CNIL, στην περιορισμένη σύστασή της στις 18 Δεκεμβρίου 2025, ζήτησε κύρωση 5 εκατομμυρίων ευρώ κατά της France Travail για έλλειψη ασφάλειας που είχε ως αποτέλεσμα παραβίαση δεδομένων που επηρέασε 36,8 εκατομμύρια ανθρώπους.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Ο κανονισμός της ΕΕ που θεσπίζει πρόσθετους διαδικαστικούς κανόνες σχετικά με την εφαρμογή του ΓΚΠΔ δημοσιεύθηκε στις 12 Δεκεμβρίου και θα εφαρμοστεί από τις 2 Απριλίου 2027.

Στόχος του παρόντος κειμένου είναι η απλοποίηση της διαδικαστικής διεκπεραίωσης διασυνοριακών υποθέσεων βάσει του ΓΚΠΔ από τις εθνικές αρχές προστασίας δεδομένων (ΑΠΔ), η βελτίωση της συνεργασίας μεταξύ των ΑΠΔ μέσω δομημένων διαδικασιών, σαφέστερων ρόλων και καθορισμένων προθεσμιών, και η ενίσχυση των διαδικαστικών εγγυήσεων και της ασφάλειας δικαίου για τους καταγγέλλοντες και τα μέρη που βρίσκονται υπό έρευνα, συμπεριλαμβανομένου του δικαιώματος ακρόασης, της πρόσβασης σε αρχεία και της αποτελεσματικότητας των δικαστικών προσφυγών.

Η Ευρωπαϊκή Επιτροπή δημοσίευσε στις 17 Δεκεμβρίου το πρώτο προσχέδιο κώδικα ορθής πρακτικής σχετικά με τη σήμανση και την επισήμανση περιεχομένου που παράγεται από τεχνητή νοημοσύνη.

Το έργο περιλαμβάνει δύο ενότητες.

Η πρώτη ενότητα καλύπτει τους κανόνες που σχετίζονται με την επισήμανση και την ανίχνευση περιεχομένου που παράγεται από Τεχνητή Νοημοσύνη, οι οποίοι ισχύουν για τους παρόχους παραγωγικών συστημάτων Τεχνητής Νοημοσύνης.

• Το δεύτερο καλύπτει την επισήμανση των deepfakes και ορισμένων κειμένων που παράγονται ή χειραγωγούνται από την Τεχνητή Νοημοσύνη σε θέματα δημόσιου συμφέροντος και ισχύει για τους φορείς ανάπτυξης παραγωγικών συστημάτων Τεχνητής Νοημοσύνης.

Η Επιτροπή θα συγκεντρώσει σχόλια έως τις 23 Ιανουαρίου, με στόχο την οριστικοποίηση του κώδικα έως τον Ιούνιο.

Στις 19 Δεκεμβρίου 2025, η Ευρωπαϊκή Επιτροπή ανακοίνωσε την ανανέωση των δύο αποφάσεων επάρκειας που αφορούν το Ηνωμένο Βασίλειο. που εγκρίθηκε αρχικά το 2021, επιβεβαιώνοντας ότι τα προσωπικά δεδομένα μπορούν να συνεχίσουν να κυκλοφορούν ελεύθερα μεταξύ του Ευρωπαϊκού Οικονομικού Χώρου και του Ηνωμένου Βασιλείου.

Στην απόφαση της 18ης Δεκεμβρίου στην υπόθεση Storstockholms Lokaltrafik (C-422/24), το Δικαστήριο της Ευρωπαϊκής Ένωσης διευκρίνισε την έννοια της άμεσης συλλογής δεδομένων προσωπικού χαρακτήρα.

Αυτός ο νόμος «δεν απαιτεί από το ενδιαφερόμενο πρόσωπο να παρέχει εν γνώσει του δεδομένα ή να προβεί σε οποιαδήποτε συγκεκριμένη ενέργεια εκ μέρους του. Συνεπώς, τα δεδομένα που λαμβάνονται μέσω παρατήρησης του προσώπου που αποτελεί την πηγή τους θεωρούνται ότι έχουν συλλεχθεί απευθείας από αυτό το πρόσωπο».

Αυτές οι διευκρινίσεις έχουν αντίκτυπο στον χρόνο και το εύρος της υποχρέωσης παροχής πληροφοριών, η οποία πρέπει να είναι άμεση και πιο ολοκληρωμένη.

Η συγκεκριμένη υπόθεση αφορούσε τον έλεγχο ενός εισιτηρίου μεταφοράς από έναν υπάλληλο εξοπλισμένο με κάμερα σώματος.

Το Δικαστήριο προτείνει οι πιο σημαντικές πληροφορίες να αναγράφονται σε προειδοποιητική πινακίδα και άλλες πληροφορίες να παρέχονται σε εύκολα προσβάσιμο σημείο.

Στις 23 Δεκεμβρίου, η κυβέρνηση Τραμπ επέβαλε κυρώσεις σε 5 Ευρωπαίους πολίτες. Σε απάντηση στο πρόσφατο πρόστιμο που επέβαλε η Ευρωπαϊκή Επιτροπή στην εταιρεία Χ βάσει του Νόμου περί Ψηφιακών Υπηρεσιών (DSA), απαγορεύεται η είσοδος στις Ηνωμένες Πολιτείες στον Thierry Breton, πρώην Ευρωπαίο Επίτροπο για την Ψηφιακή Οικονομία, καθώς και σε πολλά μέλη της κοινωνίας των πολιτών που εργάζονται για τις ΜΚΟ HateAid, Center for Countering Digital Hate και The Global Disinformation Index.

Η Ουάσινγκτον καταγγέλλει τις υποχρεώσεις εποπτείας, αναφοράς και λογοδοσίας των πλατφορμών που προβλέπονται από τον Νόμο περί Ψηφιακής Ασφάλειας (DSA), οι οποίες θεωρούνται εδώ ως μέτρα εξωεδαφικής λογοκρισίας.

Στις 5 Δεκεμβρίου, η Ευρωπαϊκή Επιτροπή επέβαλε πρόστιμο 120 εκατομμυρίων ευρώ σε Χ για μη εκπλήρωση των υποχρεώσεών της περί διαφάνειας βάσει του νόμου περί ψηφιακών υπηρεσιών (DSA).

Οι ελλείψεις περιλαμβάνουν τον παραπλανητικό σχεδιασμό της «μπλε επικύρωσης» για επαληθευμένους λογαριασμούς, την έλλειψη διαφάνειας στον κατάλογο διαφημίσεών του και την αδυναμία παροχής στους ερευνητές πρόσβασης σε δημόσια δεδομένα.

 

Νέα από τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Σε απόφαση της 10ης Νοεμβρίου, το περιφερειακό δικαστήριο του Ντάρμσταντ στη Γερμανία μείωσε σε 0 ευρώ την αμοιβή ενός εμπειρογνώμονα που είχε χρησιμοποιήσει εκτενώς την Τεχνητή Νοημοσύνη για να συντάξει μια δικαστική έκθεση χωρίς να την αποκαλύψει.

Το δικαστήριο επικαλέστηκε τους ακόλουθους παράγοντες για τη μείωση των τελών:

1. Η μη δήλωση της χρήσης τεχνητής νοημοσύνης και η απουσία πραγματικού δημιουργού συνιστούσαν παραβίαση των διαδικαστικών υποχρεώσεων.
2. Η αναφορά κρίθηκε άχρηστη: έλλειψη προσωπικής αξιολόγησης, πραγματικά σφάλματα και εμφανή σημάδια κειμένου που δημιουργήθηκε από τεχνητή νοημοσύνη.
3. Η διαφάνεια και η λογοδοσία είναι απαραίτητες στις γνωμοδοτήσεις των ειδικών.

Το γερμανικό δικαστήριο στο Λύμπεκ επιδίκασε σε έναν ενάγοντα 5.000 ευρώ ως ηθική βλάβη κατά της Meta για επεξεργασία προσωπικών δεδομένων χωρίς προηγούμενη συγκατάθεση μέσω της χρήσης του Meta Business Tools.

Οι μεταφορές δεδομένων από ιστότοπους τρίτων προς το Meta πραγματοποιούνται ανεξάρτητα από την ενεργοποίηση των εφαρμογών Meta από τον χρήστη και τη λήψη της συγκατάθεσής του.

Το δικαστήριο έκρινε ότι ο Meta είχε παραβιάσει το άρθρο 6(1) του ΓΚΠΔ, με αποτέλεσμα μια επαρκώς συγκεκριμένη απειλή για το υποκείμενο των δεδομένων, το οποίο υπέφερε από βάσιμο φόβο κακής χρήσης των προσωπικών του δεδομένων με τη μορφή απώλειας ελέγχου.

Στην Αυστρία, το Ανώτατο Δικαστήριο αποφάσισε στις 26 Νοεμβρίου ότι το Meta οφείλει να παρέχει στους χρήστες του πλήρη πρόσβαση σε όλα τα προσωπικά τους δεδομένα, συμπεριλαμβανομένων των πηγών, των παραληπτών και των σκοπών τους.

Μια απλή ενδεικτική λίστα δεν επαρκεί.

Το Δικαστήριο έκρινε επίσης ότι η εξατομικευμένη διαφήμιση και η επεξεργασία (ευαίσθητων) προσωπικών δεδομένων από ιστότοπους τρίτων απαιτούσε τη συγκατάθεση του ενδιαφερομένου.

Μια πρόσφατη βελγική απόφαση επέβαλε πρόστιμο άνω των 25.000 ευρώ σε ενάγοντες για χρήση εργαλείων δημιουργικής τεχνητής νοημοσύνης για τη σύνταξη των αιτήσεών τους για προσφυγή, για πρόδηλη κατάχρηση διαδικασίας, αβάσιμη έφεση και καταχρηστική προσφυγή.

Το Εφετείο της Αμβέρσας σημειώνει την προσκόμιση «ασυνάρτητων και εντελώς άνευ νοήματος» επιχειρημάτων που υποστηρίζονται από ανύπαρκτη νομολογία και επινοημένες νομικές πηγές.

Και στο Βέλγιο, η APD επέβαλε επίπληξη σε μια εταιρεία για παράνομη διαβίβαση πληροφοριών σχετικά με έναν πρώην υπάλληλο κατά τη διάρκεια τηλεφωνικής συνομιλίας με μια άλλη εταιρεία στο πλαίσιο διαδικασίας πρόσληψης.

Η APD επέπληξε επίσης τις δύο εταιρείες επειδή δεν απάντησαν στα αιτήματα πρόσβασης του ατόμου.

Στην Κροατία, η τράπεζα AZOP τιμωρήθηκε με πρόστιμο 1.500.000 ευρώ για πολλαπλές παραβιάσεις του GDPR.

Η τράπεζα επεξεργάστηκε τα προσωπικά δεδομένα 433.922 χρηστών χωρίς νομική βάση, χωρίς να παράσχει τις απαιτούμενες πληροφορίες στους χρήστες και δεν είχε εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα.

 

Η Αρχή Προστασίας Δεδομένων (DPA) του Ηνωμένου Βασιλείου επέβαλε πρόστιμο 1,2 εκατομμυρίων λιρών στην εταιρεία διαχείρισης κωδικών πρόσβασης LastPass UK Ltd, μετά από παραβίαση δεδομένων το 2022 που έθεσε σε κίνδυνο τα προσωπικά στοιχεία σχεδόν 1,6 εκατομμυρίων χρηστών της στο Ηνωμένο Βασίλειο.

Το ICO διαπίστωσε ότι το LastPass δεν είχε εφαρμόσει επαρκώς ισχυρά τεχνικά μέτρα και μέτρα ασφαλείας, τα οποία τελικά επέτρεψαν σε έναν χάκερ να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στη βάση δεδομένων αντιγράφων ασφαλείας του.

Οι Ηνωμένες Πολιτείες ανανέωσαν το αίτημά τους για πρόσβαση στις εθνικές βιομετρικές βάσεις δεδομένων των χωρών της ΕΕ που συμμετέχουν στο Πρόγραμμα Απαλλαγής από την Υποχρέωση Βίζας (VWP) και σκοπεύουν να συνάψουν συμφωνία επί του θέματος πριν από το τέλος του 2026.

Η Ουάσινγκτον ζητά αυτήν την πρόσβαση από το 2022, στο πλαίσιο των «Ενισχυμένων Συνεργασιών για την Ασφάλεια των Συνόρων» (EBSP) των Ηνωμένων Πολιτειών, και απειλεί να άρει την απαλλαγή από την υποχρέωση θεώρησης εάν απορριφθεί.

Η έκταση της πρόσβασης παραμένει αβέβαιη.

Η ευρωπαϊκή θέση σε αυτό το στάδιο φαίνεται να θέλει να την περιορίσει σε άτομα που ταξιδεύουν στις Ηνωμένες Πολιτείες.

Η πρόσβαση θα περιλαμβάνει βιομετρικά δεδομένα όπως δακτυλικά αποτυπώματα και σαρώσεις προσώπου, αλλά και άλλα ευαίσθητα δεδομένα που αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικάτα ή δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή, όταν είναι απαραίτητο και αναλογικό «για την πρόληψη ή την καταπολέμηση ποινικών και τρομοκρατικών αδικημάτων».

Οι ευρωπαϊκές πρωτεύουσες συμφώνησαν τον Δεκέμβριο να αναθέσουν στην Ευρωπαϊκή Επιτροπή την εντολή να διαπραγματευτεί το πλαίσιο αυτής της συμφωνίας, οι λεπτομέρειες της οποίας θα αποφασιστούν από τα κράτη μέλη.

Στις Ηνωμένες Πολιτείες, η χρήση τεχνητής νοημοσύνης για τη μεταγραφή αναφορών από κάμερες σώματος αστυνομικών στο Χέμπερ Σίτι της Γιούτα, είχε άτοπες συνέπειες.

Το λογισμικό Draft One, βασισμένο στο LLM του Open AI, ανέφερε ότι ένας πράκτορας είχε μεταμορφωθεί σε βάτραχο.

Το λογισμικό είχε στην πραγματικότητα εντοπίσει την ταινία που έπαιζε στο παρασκήνιο, η οποία τυχαίνει να είναι «Η Πριγκίπισσα και ο Βάτραχος».

Πέρα από την ειρωνεία της κατάστασης, η συγκεκριμένη υπόθεση εγείρει ερωτήματα που επισημαίνει το Cybernews. «Ενώ ο στόχος είναι να μειωθεί ο όγκος των εγγράφων, με λάθη όπως αυτό που έγινε στην πόλη Χίμπερ, οι πράκτορες διατρέχουν τον κίνδυνο να αφιερώσουν ακόμη περισσότερο χρόνο στην αναθεώρηση των αναφορών». Μια έρευνα που διεξήχθη πέρυσι από το Electronic Frontier Foundation (EFF) αποκάλυψε ότι το Draft One «φαίνεται να έχει σχεδιαστεί σκόπιμα για να αποφευχθούν οι έλεγχοι που θα μπορούσαν να παρέχουν δημόσια λογοδοσία».

«Συχνά είναι αδύνατο να γνωρίζουμε ποια μέρη μιας αστυνομικής αναφοράς δημιουργήθηκαν από την Τεχνητή Νοημοσύνη και ποια μέρη γράφτηκαν από έναν αστυνομικό».

Τέλος, μια έκθεση του Privacy Laws & Business δείχνει ότι η ρύθμιση της ιδιωτικής ζωής ενισχύεται παρόλα αυτά στις Ηνωμένες Πολιτείες, όπου 19 πολιτείες έχουν πλέον ακολουθήσει το παράδειγμα της Καλιφόρνια στην υιοθέτηση νόμων περί προστασίας της ιδιωτικής ζωής, οι οποίοι συχνά επικεντρώνονται σε ζητήματα που σχετίζονται με τα παιδιά.

Λίγες πολιτείες ενδιαφέρονται για τη συλλογή και χρήση βιομετρικών δεδομένων.

Το Ιλινόις κατέχει εδώ και καιρό ηγετική θέση, ακολουθούμενο τώρα από το Τέξας και την Πολιτεία της Ουάσινγκτον.

Δεν υπάρχει ακόμη συναίνεση σχετικά με τους νέους ομοσπονδιακούς κανονισμούς περί απορρήτου, «αλλά η FTC έχει λάβει μέτρα επιβολής που αφορούν εκατοντάδες εκατομμύρια δολάρια σε αποζημιώσεις και χρηματικά πρόστιμα σε διακανονισμούς με μεγάλες διαδικτυακές εταιρείες Epic Games, Amazon και Microsoft» ή πρόσφατα με την Disney Worldwide Services, με διακανονισμό 10 εκατομμυρίων δολαρίων για παραβίαση του Νόμου περί Προστασίας των Παιδιών στο Διαδίκτυο (COPPA).