Νομικό Περιοδικό Αρ. 80 – Φεβρουάριος 2025. 

Μεταφορές δεδομένων προς τις Ηνωμένες Πολιτείες: ένα αποδυναμωμένο νομικό πλαίσιο.

Στις 5 Φεβρουαρίου, 19 ευρωβουλευτές από όλο το πολιτικό φάσμα ζήτησαν από την Ευρωπαϊκή Επιτροπή να εξετάσει εάν το «Πλαίσιο Προστασίας Δεδομένων» (DPF), το οποίο διέπει τις διατλαντικές μεταφορές δεδομένων, εξακολουθεί να είναι βιώσιμο.

Στις 6 Φεβρουαρίου, ο πρόεδρος της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων του έθεσε μια παρόμοια ερώτηση.

Αυτά τα ερωτήματα εγείρονται από την απόφαση του Ντόναλντ Τραμπ να τερματίσει τη θητεία των τριών Δημοκρατικών μελών του... Συμβούλιο Εποπτείας Ιδιωτικής Ζωής και Πολιτικών Ελευθεριών (PCLOB), το οποίο δεν διαθέτει πλέον την απαιτούμενη απαρτία για να λειτουργήσει.

Η PCLOB θεωρήθηκε, στο πλαίσιο της διατλαντικής συμφωνίας, ως ουσιαστικό μέσο για τον σεβασμό των ατομικών δικαιωμάτων σε θέματα μαζικής παρακολούθησης.

Έκτοτε, οι αμερικανικές εγγυήσεις σχετικά με την προστασία δεδομένων φαίνονται ολοένα και πιο εύθραυστες.

Σύμφωνα με άρθρο που δημοσιεύτηκε από την Euractiv στις 3 Μαρτίου, ένας από τους δικαστές του εφετείου του PCLOB, του Δικαστηρίου Επανεξέτασης Προστασίας Δεδομένων, εξαφανίστηκε από τη λίστα των δικαστών στον ιστότοπο, ενώ ένας ειδικός δικηγόρος παραιτήθηκε.

Επιπλέον, «αν ο Ντόναλντ Τραμπ δεν απέλυσε τους γενικούς επιθεωρητές που ήταν υπεύθυνοι για την εποπτεία των υπηρεσιών πληροφοριών, απέλυσε τουλάχιστον 17 άλλους» και μέλη της μονάδας προστασίας της ιδιωτικής ζωής του «Γραφείου Διαχείρισης Προσωπικού» φέρεται επίσης να απολύθηκαν.

Τέλος, το «Έργο 2025», ένα πολιτικό πρόγραμμα που συνδέεται με την κυβέρνηση Τραμπ, πιστεύει ότι ο επερχόμενος πρόεδρος θα πρέπει να διεξάγει μια μελέτη του εκτελεστικού διατάγματος «Μπάιντεν» σχετικά με το DPF και να «επαναπροσδιορίσει τις προσδοκίες της Ευρώπης».

Το έργο αυτό προβλέπει επίσης την αναστολή διατάξεων που παρεμποδίζουν αδικαιολόγητα τη συλλογή πληροφοριών.

Αξίζει να υπενθυμιστεί ότι η έλλειψη ανεξάρτητων μηχανισμών ελέγχου και προσφυγής σχετικά με τις αμερικανικές υπηρεσίες πληροφοριών ήταν ο λόγος για την ακύρωση της προηγούμενης συμφωνίας, της Ασπίδας Προστασίας Προσωπικών Δεδομένων. 

Αυτοί οι διάφοροι παράγοντες δεν αποτελούν καλό οιωνό για τη βιωσιμότητα της διατλαντικής συμφωνίας. Το εκκρεμές ερώτημα είναι πότε θα διευκρινιστεί επίσημα η κατάσταση.

Η Ευρωπαϊκή Επιτροπή παραμένει σιωπηλή προς το παρόν, αλλά αναμένεται να απαντήσει σε κοινοβουλευτικές ερωτήσεις πριν από το τέλος του μήνα.

Το Δικαστήριο της Ευρωπαϊκής Ένωσης, το οποίο έχει ήδη επιληφθεί του θέματος, θα μπορούσε να εκδώσει απόφαση σύμφωνα με τις δύο προηγούμενες αποφάσεις του, οι οποίες ακύρωσαν αντίστοιχα τις «Αρχές Ασφαλούς Λιμένα» και την «Ασπίδα Προστασίας Προσωπικών Δεδομένων», αλλά η ημερομηνία της απόφασης αυτής είναι ακόμη άγνωστη.

Τι γίνεται με τις αρχές προστασίας δεδομένων;

Η Νορβηγική Αρχή Προστασίας Δεδομένων (Datatilsynet) εξέδωσε δήλωση σχετικά με το θέμα στις 26 Φεβρουαρίου. Επανέλαβε ότι η απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής που επικυρώνει τη διατλαντική εμπορική συμφωνία παραμένει σε ισχύ μέχρι να ανακληθεί ενδεχομένως από την Ευρωπαϊκή Επιτροπή ή το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ).

Οι αρχές προστασίας δεδομένων (ΑΠΔ) δεσμεύονται από αυτές τις αποφάσεις και δεν μπορούν να απαγορεύσουν τις διαβιβάσεις που πραγματοποιούνται σύμφωνα με απόφαση επάρκειας.

Δεδομένου του τρέχοντος πλαισίου, Ωστόσο, η APD συμβουλεύει τους υπεύθυνους επεξεργασίας δεδομένων να αναπτύξουν μια στρατηγική εξόδου σε περίπτωση που το ισχύον πλαίσιο ακυρωθεί. επειδή η αλλαγή θα μπορούσε να συμβεί χωρίς μεταβατική περίοδο.

Η πρώτη σύσταση προς τους υπεύθυνους επεξεργασίας δεδομένων σήμερα είναι να καταρτίσουν μια ολοκληρωμένη απογραφή όλων των διαβιβάσεων δεδομένων που πραγματοποιούνται από την εταιρεία τους.

Το έργο είναι δύσκολο, επειδή οι Ηνωμένες Πολιτείες είναι πλέον πανταχού παρούσες στον ψηφιακό μας κόσμο και, όπως ο κύριος Ζουρντέν, μεταφέρουμε δεδομένα καθημερινά χωρίς να το γνωρίζουμε.

Θα είναι απαραίτητο να ληφθούν υπόψη οι σαφώς προσδιορισμένοι αποδέκτες στις Ηνωμένες Πολιτείες, αλλά και, για παράδειγμα, η χρήση αμερικανικών υπηρεσιών «cloud» σε ευρωπαϊκό έδαφος, καθώς και οι πολλαπλές υπηρεσίες προβολής ή σύνδεσης, όπως οι γραμματοσειρές Google, τα αναλυτικά στοιχεία ή οι χάρτες, ή ακόμα και το Facebook: το Δικαστήριο της Ευρωπαϊκής Ένωσης, στην απόφασή του T-354/22, καταδίκασε την Ευρωπαϊκή Επιτροπή για παραβίαση του ΓΚΠΔ στο πλαίσιο της ηλεκτρονικής εγγραφής σε εκδήλωση που διοργάνωνε.

Μέσω του υπερσυνδέσμου «σύνδεση με το Facebook» που εμφανιζόταν στην αρχική σελίδα, είχε «δημιουργήσει τις συνθήκες που επιτρέπουν τη διαβίβαση της διεύθυνσης IP του αιτούντος στο Facebook» και, κατά συνέπεια, στις Ηνωμένες Πολιτείες, κατά τη διάρκεια μιας περιόδου κατά την οποία η Ασπίδα Προστασίας Προσωπικών Δεδομένων είχε τεθεί εκτός ισχύος.

Όπου υπάρχουν ευρωπαϊκές εναλλακτικές λύσεις, αυτές μπορεί να αποτελέσουν μια ενδιαφέρουσα λύση.Αναφερόμαστε, για παράδειγμα, στο ευρωπαϊκό cloud ή στο πιστοποιημένο γαλλικό cloud.

Όσον αφορά τα εργαλεία παρακολούθησης, το CNIL έχει δημοσιεύσει μια λίστα με ανώνυμα εργαλεία μέτρησης κοινού.

Σε περιπτώσεις όπου η μεταφορά παραμένει απαραίτητη, ο εξαγωγέας θα πρέπει να βασιστεί σε εργαλεία όπως τυποποιημένες συμβατικές ρήτρες ή δεσμευτικούς εταιρικούς κανόνες και να διενεργήσει ανάλυση επιπτώσεων καταγράφοντας με ακρίβεια τους κινδύνους υποκλοπής δεδομένων πέρα από τον Ατλαντικό από τις αρχές και τις παρεχόμενες εγγυήσεις, ένα ιδιαίτερα δύσκολο έργο.

Στις 31 Ιανουαρίου, η CNIL δημοσίευσε την τελική έκδοση του οδηγού της σχετικά με τις εκτιμήσεις επιπτώσεων για τις διαβιβάσεις δεδομένων εκτός της Ευρωπαϊκής Ένωσης.

Όπως και το νορβηγικό αντίστοιχο, είναι πιθανό να δημοσιεύσει συστάσεις σχετικά με τις επερχόμενες διεθνείς εξελίξεις.

 

  

Μια τροπολογία μόλις κατατέθηκε σε έναν προτεινόμενο νόμο κατά της εμπορίας ναρκωτικών, ο οποίος στοχεύει να αναγκάσει τις πλατφόρμες να εφαρμόσουν μέτρα που επιτρέπουν στις αρχές επιβολής του νόμου να έχουν πρόσβαση σε δεδομένα, ιδίως σε δεδομένα κρυπτογραφημένων υπηρεσιών ανταλλαγής μηνυμάτων.

Σε σχόλια που απηύθυναν προς την κυβέρνηση και τους βουλευτές, αρκετές εταιρείες, όπως η Apple, η Amazon, η Google και η Microsoft, αντιτάχθηκαν σε αυτήν την τροπολογία, αναφερόμενες στις θέσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB) και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (EDPS) κατά της αποδυνάμωσης της κρυπτογράφησης από άκρο σε άκρο.

Η πρόταση θα εξεταστεί στην ολομέλεια που ξεκινά στις 17 Μαρτίου.

Αυτές οι εξελίξεις αντικατοπτρίζουν παρόμοιες κυβερνητικές πρωτοβουλίες σε αρκετές ευρωπαϊκές χώρες καθώς και στις Ηνωμένες Πολιτείες (βλ. παρακάτω, εθνικές εξελίξεις).

Η CNIL υπενθύμισε στη μηχανή αναζήτησης Qwant τις υποχρεώσεις της βάσει του ΓΚΠΔ σχετικά με την ανωνυμοποίηση δεδομένων.

Τα δεδομένα που χρησιμοποίησε η εταιρεία σε σχέση με την πώληση διαφημιστικού χώρου στη μηχανή αναζήτησης, η οποία λειτουργεί μέσω της MICROSOFT, παρουσιάστηκαν ως ανώνυμα από την Qwant. 

Η CNIL σημειώνει ότι «παρά τις ισχυρές προφυλάξεις που ελήφθησαν το 2019 για την αποφυγή της επαναταυτοποίησης προσώπων, το διαβιβασθέν σύνολο δεδομένων οδήγησε στην εφαρμογή του ΓΚΠΔ και ιδίως των άρθρων 12 και 13 αυτού».

Η Επιτροπή θεωρεί ότι πρόκειται για αρχικό σφάλμα ανάλυσης όσον αφορά την ταξινόμηση των διαβιβαζόμενων δεδομένων χωρίς πρόθεση παράκαμψης των διατάξεων του ΓΚΠΔ και, ως εκ τούτου, δεν επιβάλλει καμία κύρωση.

Η Επιτροπή επέβαλε επίσης πρόστιμο 40.000 ευρώ σε ένα μεσιτικό γραφείο για υπερβολική παρακολούθηση των υπαλλήλων του χρησιμοποιώντας λογισμικό (Time Doctor) που κατέγραφε την φερόμενες περιόδους αδράνειας και λάμβαναν τακτικά στιγμιότυπα οθόνης του υπολογιστή τους.

Επιπλέον, οι εργαζόμενοι καταγράφονταν συνεχώς.

Η CNIL επικρίνει συγκεκριμένα τον υπεύθυνο για την έλλειψη εκτίμησης επιπτώσεων, την έλλειψη νομικής βάσης για την επεξεργασία και τη μη συμμόρφωση με την αρχή της ελαχιστοποίησης των δεδομένων.

Έχει επίσης δημοσιεύσει μια ενημέρωση των Πινάκων Προστασίας Δεδομένων και των Συνοπτικών Σημειωματαρίων του 2024, όπου επικεντρώνονται οι σημαντικές νέες αποφάσεις της, καθώς και τα βασικά στοιχεία της εθνικής και ευρωπαϊκής νομολογίας σχετικά με την προστασία δεδομένων.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Μετά την έκθεση για τον Έλεγχο Καταλληλότητας Ψηφιακής Δικαιοσύνης που δημοσιεύθηκε στις 3 Οκτωβρίου 2024, η Ευρωπαϊκή Επιτροπή εξετάζει το ενδεχόμενο ανάπτυξης κανονισμού για την ψηφιακή δικαιοσύνη («Νόμος περί Ψηφιακής Δικαιοσύνης») για την αντιμετώπιση ζητημάτων προστασίας των καταναλωτών στο διαδικτυακό περιβάλλον, όπως η αυτόματη λήξη ή ανανέωση συνδρομών και η μετατροπή των δωρεάν δοκιμαστικών περιόδων σε συνδρομές επί πληρωμή.

Σύμφωνα με πληροφορίες, προετοιμάζονται δημόσια διαβούλευση και προκαταρκτική ανάλυση επιπτώσεων.

Η Επιτροπή αποφάσισε τελικά να αποσύρει την πρότασή της για έναν κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, ο οποίος είχε ως στόχο τον εκσυγχρονισμό και την αποσαφήνιση των υποχρεώσεων της ισχύουσας οδηγίας, εναρμονίζοντάς τες παράλληλα με τις αρχές του ΓΚΠΔ.

Το κείμενο πυροδότησε διαμάχη, ιδίως όσον αφορά το πεδίο εφαρμογής των εξαιρέσεων από τις αρχές του απορρήτου των επικοινωνιών.

Νέες νομοθετικές προτάσεις βρίσκονται στο τραπέζι, οι οποίες στοχεύουν στην αντιμετώπιση ζητημάτων απορρήτου, διαχωρίζοντας παράλληλα την εμπορική παρακολούθηση από την κρατική παρακολούθηση.

Η οδηγία για την ευθύνη για την τεχνητή νοημοσύνη, η οποία είχε ως στόχο την ενημέρωση των κανόνων ασφάλειας των προϊόντων της ΕΕ ώστε να καλύπτουν την τεχνητή νοημοσύνη και τον αυτοματισμό, περιλαμβάνεται επίσης στον κατάλογο των αποσυρθεισών νομοθετικών προτάσεων.

Απηχώντας τα συμπεράσματα της συνόδου κορυφής για την τεχνητή νοημοσύνη στο Παρίσι τον περασμένο Φεβρουάριο, το πρόγραμμα εργασίας της Ευρωπαϊκής Επιτροπής για το 2025 δίνει έμφαση στην ανταγωνιστικότητα, με σαφή στόχο την ενίσχυση της οικονομικής ανάπτυξης μέσω της υποστήριξης της καινοτομίας.

Στις 2 Φεβρουαρίου, τέθηκαν σε ισχύ οι πρώτες διατάξεις του κανονισμού για την Τεχνητή Νοημοσύνη, συμπεριλαμβανομένου του άρθρου 5, το οποίο αφορά τις απαγορευμένες πρακτικές Τεχνητής Νοημοσύνης.

Δύο ημέρες αργότερα, η Ευρωπαϊκή Επιτροπή δημοσίευσε κατευθυντήριες γραμμές που περιγράφουν πρακτικές Τεχνητής Νοημοσύνης που θεωρούνται απαράδεκτες λόγω των κινδύνων που θέτουν για τις ευρωπαϊκές αξίες και τα θεμελιώδη δικαιώματα.

Αρκετές αρχές προστασίας δεδομένων (DPA), που παρευρέθηκαν στη σύνοδο κορυφής για την Τεχνητή Νοημοσύνη, εξέδωσαν κοινή δήλωση μετά από συζήτηση στρογγυλής τραπέζης «σχετικά με τη δημιουργία αξιόπιστων πλαισίων διακυβέρνησης δεδομένων για την ενθάρρυνση της ανάπτυξης καινοτόμου και προστατευτικής για την ιδιωτικότητα Τεχνητής Νοημοσύνης», τονίζοντας την ανάγκη ενσωμάτωσης των αρχών της ιδιωτικότητας από το στάδιο του σχεδιασμού των συστημάτων Τεχνητής Νοημοσύνης και εφαρμογής ισχυρών εσωτερικών πλαισίων διακυβέρνησης δεδομένων.

Ταυτόχρονα, το EDPB ανακοίνωσε στις 12 Φεβρουαρίου ότι επεκτείνει το πεδίο εφαρμογής της ομάδας εργασίας ChatGPT στην εφαρμογή της Τεχνητής Νοημοσύνης και ότι συγκροτεί μια «ομάδα ταχείας αντίδρασης για τον συντονισμό των ενεργειών των αρχών προστασίας δεδομένων» σχετικά με επείγοντα ευαίσθητα ζητήματα που σχετίζονται με την Τεχνητή Νοημοσύνη.

Το ΕΣΠΔ ανακοίνωσε στις αρχές Μαρτίου την έναρξη της συντονισμένης δράσης ελέγχων για το 2025 σχετικά με το δικαίωμα διαγραφής.

Η παρούσα δράση έρχεται σε συνέχεια συντονισμένων δράσεων σχετικά με τη χρήση του cloud από τον δημόσιο τομέα (2022), τον ορισμό και τον ρόλο των DPO (2023) και το δικαίωμα πρόσβασης (2024).

Η υπηρεσία έρευνας του Ευρωπαϊκού Κοινοβουλίου δημοσίευσε στις 26 Φεβρουαρίου ενημερωτικό σημείωμα σχετικά με την ένταση μεταξύ της πρόληψης των αλγοριθμικών διακρίσεων και της αντιμετώπισης ειδικών κατηγοριών δεδομένων.

Το έγγραφο εντοπίζει αβεβαιότητες σχετικά με την κοινή εφαρμογή του κανονισμού για την τεχνητή νοημοσύνη και του ΓΚΠΔ, οι οποίες ενδέχεται να απαιτούν νομοθετική μεταρρύθμιση ή πρόσθετη καθοδήγηση.

Στις 27 Φεβρουαρίου, το ΔΕΕ εξέδωσε μια σημαντική απόφαση σχετικά με το εύρος των δικαιωμάτων των ατόμων που επηρεάζονται από μια αυτοματοποιημένη απόφαση.

Στην υπόθεση C 203/22 Dun & Bradstreet Austria, το Δικαστήριο διευκρινίζει ότι το άρθρο 15(1)(η) του ΓΚΠΔ «προσφέρει στο υποκείμενο των δεδομένων ένα πραγματικό δικαίωμα σε μια εξήγηση της λειτουργίας του μηχανισμού που διέπει μια αυτοματοποιημένη διαδικασία λήψης αποφάσεων στην οποία έχει υποβληθεί το εν λόγω πρόσωπο και του αποτελέσματος στο οποίο έχει οδηγήσει η εν λόγω απόφαση» (παρ. 57).

Τα δεδομένα προστατευόμενων τρίτων ή τα εμπορικά μυστικά δεν απαλλάσσουν τον υπεύθυνο επεξεργασίας από συγκεκριμένες εξηγήσεις: ο τελευταίος «υποχρεούται να γνωστοποιήσει αυτές τις φερόμενες ως προστατευόμενες πληροφορίες στην αρμόδια εποπτική αρχή ή δικαστήριο, το οποίο είναι υπεύθυνο για τη στάθμιση των εμπλεκόμενων δικαιωμάτων και συμφερόντων, προκειμένου να προσδιορίσει το εύρος του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων που προβλέπεται στο άρθρο 15 του ΓΚΠΔ» (παρ. 67).

Το ΔΕΕ έκρινε επίσης στις 13 Φεβρουαρίου ότι οι εποπτικές αρχές και τα δικαστήρια πρέπει να λαμβάνουν υπόψη το γεγονός ότι ένας υπεύθυνος επεξεργασίας δεδομένων αποτελεί μέρος μιας επιχείρησης κατά την έννοια των άρθρων 101 και 102 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) κατά τον καθορισμό του ύψους των προστίμων.

Επιπλέον, πρέπει να βασίζουν το μέγιστο ποσό των προστίμων στον κύκλο εργασιών της εταιρείας και όχι σε αυτόν του υπευθύνου επεξεργασίας δεδομένων.

Ο Γενικός Εισαγγελέας του Δικαστηρίου της ΕΕ κοινοποίησε τα συμπεράσματά του στην υπόθεση EDPS κατά SRB (C-413/23 P) στις 6 Φεβρουαρίου.

Η υπόθεση αφορά το κατά πόσον τα ψευδωνυμοποιημένα δεδομένα που διαβιβάζονται από έναν οργανισμό της ΕΕ, το Ενιαίο Συμβούλιο Εξυγίανσης, στην εταιρεία συμβούλων του Deloitte συνιστούν προσωπικά δεδομένα από την άποψη της Deloitte.

Η Γενική Συνέλευση επικεντρώνεται στα εύλογα μέσα που διαθέτει ο παραλήπτης για την ταυτοποίηση των ενδιαφερομένων προσώπων, υιοθετώντας μια σημαντικά στενότερη ερμηνεία της έννοιας των προσωπικών δεδομένων από ό,τι ο ΕΕΠΔ και το ΕΣΠΔ. Η τελική απόφαση αναμένεται πριν από το καλοκαίρι.

 

Νέα από τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Μια γερμανική δικαστική απόφαση (OLG Dresden/Germany (Az.: 4 U 940/24) επιβεβαιώνει ότι οι υπεύθυνοι επεξεργασίας δεδομένων είναι υπεύθυνοι όχι μόνο για τις δικές τους πράξεις, αλλά και για τις πράξεις των υπεργολάβων τους.

Το Δικαστήριο τόνισε ότι δεν αρκεί να εμπιστευόμαστε τον υπεργολάβο χωρίς να επαληθεύουμε, όπως εν προκειμένω, ότι έχει πράγματι διαγράψει τα δεδομένα που αφορούν την υπεργολαβία στο τέλος της σύμβασης.

Οι συνέπειες της ανεπαρκούς επαλήθευσης μπορούν να διαρκέσουν πολύ μετά το αρχικό περιστατικό, όπως συνέβη στην περίπτωση αυτή μετά από μια επίθεση hack που προκάλεσε διαρροή δεδομένων, ακολουθούμενη από νομικές διαδικασίες και βλάβη στη φήμη του υπευθύνου επεξεργασίας δεδομένων.

Στην Ισπανία, η APD επέβαλε πρόστιμο 1,2 εκατομμυρίων ευρώ στον πάροχο κινητής τηλεφωνίας Orange επειδή δεν απέτρεψε την έκδοση διπλότυπης κάρτας SIM σε τρίτο μέρος που τη χρησιμοποίησε για να αποκτήσει πρόσβαση στον τραπεζικό λογαριασμό του εν λόγω προσώπου.

Η APD έκρινε ότι ο φορέας εκμετάλλευσης δεν είχε εφαρμόσει κατάλληλα μέτρα προστασίας.

Επίσης στην Ισπανία, η APD επέβαλε διάφορα πρόστιμα στον συνεταιριστικό τραπεζικό όμιλο Caja Rural για παραβίαση του ΓΚΠΔ μετά από παραβίαση δεδομένων λόγω ανεπαρκών μέτρων ασφαλείας και ευπάθειας στο σύστημα πληροφορικής.

Στην προκειμένη περίπτωση, η APD θεώρησε κάθε τράπεζα-μέλος της συνεταιριστικής ομάδας ως ατομικά υπεύθυνη, παρόλο που όλες χρησιμοποιούσαν τον ίδιο πάροχο υπηρεσιών πληροφορικής, και επέβαλε κυρώσεις που κυμαίνονταν από 6.200 ευρώ έως 400.000 ευρώ ανάλογα με τον αριθμό των πελατών και την ταχύτητα αντίδρασης των τραπεζών.

Η Ελληνική Αρχή Προστασίας Δεδομένων (ΑΠΔ) έλαβε μια απόφαση που αποσκοπεί στη διευκόλυνση της άσκησης των ατομικών δικαιωμάτων στην Google.

Διέταξε την εταιρεία να αφαιρέσει συνδέσμους που εμφανίζονται στα αποτελέσματα αναζήτησης για το όνομα του ατόμου και διέταξε την Google να αλλάξει τη διαδικασία αιτήματος αφαίρεσης, επιτρέποντας τα συνημμένα, παρέχοντας άμεσα στοιχεία επικοινωνίας και σταματώντας τις αυτοματοποιημένες απαντήσεις.

Στην Ολλανδία, ένα στιγμιότυπο οθόνης που κοινοποιήθηκε από έναν ειδικό στον κυβερνοχώρο (και πρώην επόπτη της πολιτικής υπηρεσίας πληροφοριών) στην πλατφόρμα Bluesky αποκαλύπτει ότι το Google Analytics συλλέγει δεδομένα σχετικά με τους αιτούντες εργασία εντός των πολιτικών και στρατιωτικών υπηρεσιών πληροφοριών της χώρας.

Αυτές οι πληροφορίες οδήγησαν ένα μέλος του κοινοβουλίου να ζητήσει διευκρινίσεις από τον Υπουργό Εσωτερικών.

Η Πολωνική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 350.000 ευρώ (1.527.855 PLN) στον φορέα εκμετάλλευσης ενός ιστότοπου και 4.590 ευρώ (20.037 PLN) στον υπεργολάβο του για παραβίαση της ασφάλειας δεδομένων, μετά από εσφαλμένη διαμόρφωση ενός ιστότοπου που οδήγησε σε παραβίαση δεδομένων που επηρέασε 21.453 άτομα.

Στη Ρουμανία, η εταιρεία Unicredit τιμωρήθηκε με πρόστιμο 15.000 ευρώ (74.652 λέι) για δύο παραβιάσεις δεδομένων λόγω εσωτερικών εφαρμογών.

Αυτά δεν είχαν δοκιμαστεί πριν από την ανάπτυξή τους και η APD επιβάλλει κυρώσεις για μη συμμόρφωση με το άρθρο 25(1) του ΓΚΠΔ, το οποίο απαιτεί προστασία δεδομένων από τον σχεδιασμό («ιδιωτικότητα εκ σχεδιασμού»).

Μετά από εντολή της βρετανικής κυβέρνησης να σπάσει την κρυπτογράφηση iCloud, η Apple μόλις απέσυρε ολόκληρη την προηγμένη λειτουργία ασφαλείας της από το Ηνωμένο Βασίλειο.

Η εντολή αφορούσε συγκεκριμένα τη λειτουργία που εισήχθη το 2023, η οποία επιτρέπει στους χρήστες του iCloud να επιλέξουν κρυπτογράφηση από άκρο σε άκρο όλων των δεδομένων που είναι αποθηκευμένα στο cloud της εταιρείας και διασφαλίζει ότι κανένα τρίτο μέρος, συμπεριλαμβανομένης της Apple, δεν μπορεί να έχει πρόσβαση στα δεδομένα.

Η εταιρεία είχε την επιλογή μεταξύ της κατάργησης της λειτουργίας κρυπτογράφησης ή της δημιουργίας μιας κερκόπορτας που θα έθετε σε κίνδυνο την κρυπτογράφηση για όλους τους χρήστες παγκοσμίως, με τη δεύτερη επιλογή να αποκλείεται για την Apple.

Ταυτόχρονα, η Σουηδία απαιτεί επίσης κερκόπορτες, γεγονός που ώθησε την Signal να προειδοποιήσει ότι θα εγκαταλείψει τη χώρα εάν υιοθετηθεί τέτοια νομοθεσία.

Ας προσθέσουμε ότι οι Ηνωμένες Πολιτείες επιδιώκουν, σύμφωνα με άρθρο του Forbes στις 24 Φεβρουαρίου, τον ίδιο στόχο, δηλαδή την πρόσβαση σε κρυπτογραφημένα δεδομένα.

 

Η Νότια Κορέα μόλις υιοθέτησε νόμο για την τεχνητή νοημοσύνη που θα τεθεί σε ισχύ τον Ιανουάριο του 2026.

Ο νόμος ευθυγραμμίζεται με τον ευρωπαϊκό κανονισμό για την Τεχνητή Νοημοσύνη: εισάγει υποχρεώσεις για τις εταιρείες Τεχνητής Νοημοσύνης, ιδίως για την Τεχνητή Νοημοσύνη υψηλού αντίκτυπου και την παραγωγική Τεχνητή Νοημοσύνη, με έμφαση στη διαχείριση κινδύνου, την προστασία των χρηστών και τη διαφάνεια.

Η IAPP αναφέρει ότι μια ομάδα γερουσιαστών των ΗΠΑ που συμμετέχουν στην «Επιλογή της Γερουσίας για τις Πληροφορίες» απέστειλε επιστολή στις 5 Φεβρουαρίου στον Λευκό Οίκο για να «εκφράσει την ανησυχία της για τους κινδύνους που θέτει για την ιδιωτικότητα και την εθνική ασφάλεια το πρόσφατα συσταθέν Υπουργείο Αποδοτικότητας της Κυβέρνησης» (DOGE).

Η επιστολή υποστηρίζει ότι οι ενέργειες του DOGE ενέχουν τον κίνδυνο να αποκαλύψουν διαβαθμισμένες και άλλες ευαίσθητες πληροφορίες, να θέσουν σε κίνδυνο την εθνική ασφάλεια και να παραβιάσουν την ιδιωτικότητα των Αμερικανών.

Αυτή τη στιγμή βρίσκονται σε εξέλιξη αρκετές αγωγές σχετικά με παράνομη πρόσβαση σε δεδομένα που υποβάλλονται σε επεξεργασία από αυτούς τους οργανισμούς.

Τα αιτήματα από τις υπηρεσίες πληροφοριών για δεδομένα που κατέχει η GAFAM έχουν εκτοξευθεί τα τελευταία χρόνια.

Αυτό προκύπτει από μελέτη που δημοσίευσε η εταιρεία Proton, βασισμένη στις εκθέσεις διαφάνειας της Apple, της Meta και της Google μεταξύ 2014 και 2024.

Όπως επισημαίνει το 01net, αυτές οι εταιρείες υποχρεούνται από τη νομοθεσία των ΗΠΑ (FISA, Cloud Act) να ανταποκρίνονται σε αιτήματα αρχών που επιθυμούν πρόσβαση σε τηλεφωνικές καταγραφές, μηνύματα κειμένου, email ή αντίγραφα ασφαλείας Cloud.

«Τα αιτήματα για πρόσβαση σε δεδομένα χρηστών (οποιασδήποτε εθνικότητας), όπως ηλεκτρονικά μηνύματα ή μηνύματα, που υποβάλλονται στις αρχές των ΗΠΑ από την Google, την Apple και την Meta τα τελευταία δέκα χρόνια έχουν (...) αυξηθεί κατά μέσο όρο, για αυτές τις τρεις εταιρείες, κατά... 600 %.»

Η νομοθεσία της Μαλαισίας για την προστασία των προσωπικών δεδομένων έχει ενισχυθεί προκειμένου να αυξηθούν σημαντικά οι εξουσίες της ρυθμιστικής αρχής και να ενισχυθούν τα δικαιώματα των ατόμων.

Θα εφαρμοστεί σε τρεις φάσεις κατά το πρώτο εξάμηνο του 2025, δηλαδή την 1η Ιανουαρίου, στη συνέχεια την 1η Απριλίου και την 1η Ιουνίου.

Η έρευνα για την «παρακολούθηση αρχείων», η οποία διεξήχθη από διάφορα μέσα ενημέρωσης διεθνώς, συμπεριλαμβανομένων των Le Monde, France Info και του ειδησεογραφικού προγράμματος των 8 μ.μ. στη Γαλλία, αποκαλύπτει την έκταση της παρακολούθησης και τις λεπτομέρειες των προσωπικών δεδομένων που επεξεργάζονται οι μεσίτες δεδομένων.

Τα γεωγραφικά εντοπισμένα προσωπικά δεδομένα εκατομμυρίων χρηστών συγκεντρώνονται υπό συνθήκες που συχνά δεν είναι πολύ διαφανείς: για παράδειγμα, το παιχνίδι στο διαδίκτυο στο smartphone σας χρησιμοποιώντας μια εφαρμογή μπορεί να δημιουργήσει τη μετάδοση δεδομένων όπως οι χρόνοι σύνδεσης, το μοντέλο του smartphone ή η γεωγραφική θέση, στοιχεία που συλλέγονται σε γιγάντια αρχεία που πωλούνται από μεσίτες όπως ο Αμερικανικός Όμιλος Datastream.

Περισσότεροι από 47 εκατομμύρια άνθρωποι περιλαμβάνονται σε αυτό το τελευταίο αρχείο.

Τα δεδομένα όλων μπορούν να επηρεαστούν, αλλά και αυτά των διπλωματών, του στρατιωτικού προσωπικού ή των δημοσιογράφων.