Νομικό Περιοδικό Αρ. 78 – Δεκέμβριος 2024. 

Ποιες είναι οι προοπτικές για την προστασία δεδομένων το 2025;

Η νέα χρονιά συνεχίζεται με τη σταδιακή εφαρμογή του «ψηφιακού πακέτου» της Ευρωπαϊκής Ένωσης.αλλά και νέα νομοθεσία που αποσκοπεί στην ενίσχυση της προστασίας των προσωπικών δεδομένων ενόψει των προκλήσεων που θέτουν οι κυβερνοαπειλές.

Καθώς η τεχνητή νοημοσύνη γίνεται ολοένα και πιο διαδεδομένη στις επιχειρήσεις, μπορούμε να προβλέψουμε μια μετατόπιση στην υποστήριξη αποφάσεων προς πιο αυτόνομα συστήματα που αφήνουν λιγότερο χώρο για ανθρώπινη κρίση, με τους κινδύνους που συνεπάγεται μια τέτοια χρήση όσον αφορά την ποιότητα και την προστασία των δεδομένων.

Ο κανονισμός για την Τεχνητή Νοημοσύνη διέπει αυτές τις νέες πρακτικές, αν και θα χρειαστεί να περιμένουμε μέχρι τον Αύγουστο του 2026 για να τεθούν σε εφαρμογή όλες οι διατάξεις του..

Όπως θα δούμε στις παρακάτω ειδήσεις, η εφαρμογή του αποτελεί ήδη αντικείμενο κατευθυντήριων γραμμών, όπως αποδεικνύεται από την πρόσφατη γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB).

Οι υπεύθυνοι επεξεργασίας δεδομένων θα πρέπει επίσης να λάβουν υπόψη τον Κανονισμό για τις Ψηφιακές Υπηρεσίες (DSA), ο οποίος ισχύει από τις 17 Φεβρουαρίου.η οποία επιβάλλει νέες υποχρεώσεις, ιδίως όσον αφορά τη διαφάνεια, την εποπτεία περιεχομένου και την προστασία των χρηστών.

Σύμφωνα με τη Γαλλική Ένωση Υπεύθυνων Προστασίας Δεδομένων (AFCPD), αυτοί οι κανονισμοί εισάγουν επικαλύψεις και απαιτούν από τους ΥΠΔ να διατηρούν, με σημαντική δυσκολία, μια συνολική εικόνα για να διασφαλίζουν τη συνεπή συμμόρφωση. Η ένωση αναφέρει το παράδειγμα της επεξεργασίας δεδομένων ανθρώπινου δυναμικού, η οποία μπορεί να μετατραπεί από μη ευαίσθητη σε ευαίσθητη κατηγορία ανάλογα με τις τεχνολογίες που χρησιμοποιούνται, όπως η Τεχνητή Νοημοσύνη.

«Αυτές οι αλληλεπιδράσεις εγείρουν θεμελιώδη ερωτήματα σχετικά με την αρμονική διαχείριση των νομικών υποχρεώσεων».

Όσον αφορά την ασφάλεια, ο ευρωπαϊκός κανονισμός για την κυβερνοανθεκτικότητα (Cyber Resilience Act, CRA) τέθηκε σε ισχύ στις 10 Δεκεμβρίου 2024 και η πλειονότητα των διατάξεών του θα εφαρμοστούν το 2027.

Στόχος του CRA είναι η ενίσχυση της προστασίας των δεδομένων των καταναλωτών και των επιχειρήσεων από τις κυβερνοαπειλές. Η νομοθεσία αυτή επιβάλλει υποχρεώσεις στους κατασκευαστές, τους προγραμματιστές και τους λιανοπωλητές συνδεδεμένων προϊόντων όσον αφορά τις αξιολογήσεις και τις πληροφορίες για την κυβερνοασφάλεια.

Στο ίδιο πλαίσιο, ο ευρωπαϊκός κανονισμός για την ψηφιακή επιχειρησιακή ανθεκτικότητα (Νόμος για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα, DORA) θα τεθεί σε ισχύ από τις 17 Ιανουαρίου..

Επιβάλλει αυστηρές απαιτήσεις για τη διασφάλιση της ψηφιακής ανθεκτικότητας των χρηματοπιστωτικών ιδρυμάτων και για τη διαχείριση των λειτουργικών κινδύνων που σχετίζονται με τις τεχνολογίες πληροφοριών, ιδίως των κινδύνων που σχετίζονται με εξωτερικούς προμηθευτές.

Η ευρωπαϊκή οδηγία σχετικά με την ασφάλεια των συστημάτων δικτύου και πληροφοριών (NIS2) εφαρμόζεται κατ' αρχήν από τις 17 Οκτωβρίου, ημερομηνία κατά την οποία θα έπρεπε να είχε μεταφερθεί στο γαλλικό δίκαιο.

Το κείμενο διευρύνει το πεδίο εφαρμογής του σε σύγκριση με την οδηγία NIS1 και στοχεύει συγκεκριμένα σε υποδομές και οντότητες απαραίτητες για την ορθή λειτουργία των οικονομικών και κοινωνικών δραστηριοτήτων στην εσωτερική αγορά.

Προβλέπεται τριετής περίοδος για πλήρη συμμόρφωση, αλλά θα πρέπει να θεσπιστεί σύντομα μια ελάχιστη περίοδος, δηλαδή η εγγραφή της ρυθμιζόμενης οντότητας στην ANSSI, η κοινοποίηση συμβάντων και η επίδειξη επενδύσεων σε λύσεις ασφαλείας.

Δεδομένου ότι ο νόμος για τη μεταφορά στο εθνικό δίκαιο δεν έχει ακόμη θεσπιστεί, εξακολουθούν να υπάρχουν αβεβαιότητες σχετικά με τον προσδιορισμό των ρυθμιζόμενων οντοτήτων και τα συγκεκριμένα βήματα που πρέπει να ληφθούν.

Υπάρχει επίσης κάποια αβεβαιότητα σχετικά με το χρονοδιάγραμμα αρκετών ευρωπαϊκών έργων: τι γίνεται με το μακροχρόνιο έργο ePrivacy;

Ενώ η Επιτροπή δημοσίευσε το πρώτο σχέδιο κανονισμού τον Ιανουάριο του 2017, η διαδικασία αναμένει τη θέση του Ευρωπαϊκού Κοινοβουλίου σε πρώτη ανάγνωση.

Αυτό το κείμενο προκαλεί έντονες συζητήσεις σχετικά με την εφαρμογή της αρχής της συγκατάθεσης για τα cookies και το απόρρητο των επικοινωνιών.

Θα πρέπει επίσης να αναφέρουμε τον πιθανό αντίκτυπο της προεδρίας Τραμπ στο «Πλαίσιο Προστασίας Προσωπικών Δεδομένων» και, γενικότερα, στις ανταλλαγές δεδομένων μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών.

Τέλος, ο ΓΚΠΔ θα μπορούσε να υποστεί ορισμένες ενημερώσεις, ιδίως όσον αφορά τις μεταφορές δεδομένων, τις συντονισμένες έρευνες από τις αρχές προστασίας δεδομένων (DPA) και την ευθυγράμμισή του με τον (μελλοντικό) κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

Τέλος, αλλά εξίσου σημαντικό, γινόμαστε μάρτυρες της ανάπτυξης συλλογικής δράσης στην ΕΕ: Όπως αναφέραμε τον περασμένο μήνα, η ΜΚΟ noyb μπορεί πλέον να ασκήσει συλλογικές αγωγές σε οποιοδήποτε κράτος μέλος.

Αυτή τη στιγμή υπάρχουν 43 άλλες αρμόδιες οντότητες στην ΕΕ, συμπεριλαμβανομένου του Ιρλανδικού Συμβουλίου Πολιτικών Ελευθεριών και του Φινλανδού Διαμεσολαβητή Προστασίας Δεδομένων, ο οποίος προεδρεύει επί του παρόντος του ΕΣΠΔ.

Η Noyb ανέφερε ότι σχεδίαζε να καταθέσει τις πρώτες νομικές ενέργειες το 2025.

Ένας κίνδυνος δικαστικών διαφορών που θα πρέπει να λαμβάνεται σοβαρά υπόψη από τις εταιρείες.

 

      

Σε απόφαση που δημοσιεύθηκε την 1η Ιανουαρίου στην Επίσημη Εφημερίδα, Η CNIL ανησυχεί για τις προγραμματισμένες ενημερώσεις των πληροφοριακών συστημάτων της France Travail.

Ο νόμος για την πλήρη απασχόληση του Δεκεμβρίου 2023 προβλέπει μια ανανεωμένη οδό υποστήριξης για τους αναζητούντες εργασία, η οποία βασίζεται ιδίως στην ανάλυση δεδομένων και στην κοινοποίησή τους σε πολλούς περιφερειακούς και τοπικούς οργανισμούς.

Η CNIL συνιστά μέτρα ασφαλείας προσαρμοσμένα στους κινδύνους.

Το CNIL προετοιμάζει πιστοποίηση GDPR για υπεργολάβους Προκειμένου να δημιουργηθεί ένα κατάλληλο πλαίσιο, ξεκινά δημόσια διαβούλευση έως τις 28 Φεβρουαρίου.

Η πιστοποίηση θα πρέπει να βοηθά τους υπεύθυνους επεξεργασίας δεδομένων στην επιλογή των υπεργολάβων τους, «εξασφαλίζοντας ότι η επεξεργασία που πραγματοποιείται από τον υπεργολάβο έχει αξιολογηθεί ως συμμορφούμενη με τα κριτήρια ενός προτύπου που αναγνωρίζεται από την CNIL».

Σε δελτίο τύπου με ημερομηνία 12 Δεκεμβρίου 2024, Η CNIL ανακοίνωσε ότι θα εκδώσει επίσημες ειδοποιήσεις προς τους εκδότες ιστότοπων για να τροποποιήσουν τα banner των cookie που θεωρούνται παραπλανητικά.

Η αρχή υπενθυμίζει στους χρήστες ότι τα cookies μπορούν να τοποθετηθούν μόνο αφού έχουν δώσει τη συγκατάθεσή τους.

Επιπλέον, η άρνηση των cookies θα πρέπει να είναι τόσο απλή όσο η αποδοχή τους.

Αξίζει να υπενθυμιστεί ότι αρκετές Αρχές Προστασίας Δεδομένων, συμπεριλαμβανομένης της βελγικής αρχής, έχουν ήδη λάβει αυστηρή θέση απαιτώντας οι δύο προτάσεις για αποδοχή και απόρριψη να βρίσκονται στο ίδιο επίπεδο με τον ίδιο βαθμό προβολής.

Στις 5 Δεκεμβρίου 2024, η CNIL (Γαλλική Αρχή Προστασίας Δεδομένων) επέβαλε πρόστιμο ύψους 240.000 ευρώ στην εταιρεία Kaspr. ιδίως για τη συλλογή στο LinkedIn των στοιχείων επικοινωνίας χρηστών που παρόλα αυτά είχαν επιλέξει να περιορίσουν την ορατότητά τους.

Η Επιτροπή διατάσσει την εταιρεία να διαγράψει αυτά τα δεδομένα ή, ελλείψει αυτού, εάν είναι αδύνατο να διακριθούν αυτά τα δεδομένα, η ορατότητα των οποίων έχει περιοριστεί, από άλλα δεδομένα, να ενημερώσει τους χρήστες «εντός 3 μηνών, για την επεξεργασία των δεδομένων τους και τη δυνατότητα να προβάλουν αντίρρηση σε αυτήν».

Εκτός από την παράνομη συλλογή στοιχείων επικοινωνίας και την έλλειψη διαφάνειας στην επεξεργασία, η CNIL επικρίνει επίσης την Kaspr για τη διατήρηση δεδομένων για πέντε χρόνια, μια περίοδο που θεωρείται υπερβολική για επαγγελματίες που αλλάζουν συχνά εργασία.

Στις 14 Νοεμβρίου, η CNIL επέβαλε πρόστιμο 50.000.000 ευρώ στην εταιρεία τηλεπικοινωνιών Orange για την εισαγωγή διαφημίσεων στα εισερχόμενα του ηλεκτρονικού ταχυδρομείου. και εγκατέστησαν cookies στις συσκευές των χρηστών χωρίς τη συγκατάθεσή τους.

Η εταιρεία διατάχθηκε να συμμορφωθεί με τις πρακτικές της, διαφορετικά θα αντιμετώπιζε πρόσθετα πρόστιμα.

Στις 10 και 11 Φεβρουαρίου, η Γαλλία θα φιλοξενήσει τη Σύνοδο Κορυφής για Δράση σχετικά με την Τεχνητή Νοημοσύνη (ΤΝ).

Σε αυτό το πλαίσιο, το CNIL, το Πανεπιστήμιο Paris-Saclay και το Πανεπιστήμιο Caen-Normandie θα φέρουν σε επαφή εμπειρογνώμονες και ερευνητές στις 23 Ιανουαρίου για να συζητήσουν τρόπους πρόληψης της παραπληροφόρησης, της απάτης και των παραβιάσεων της ιδιωτικής ζωής, αξιοποιώντας παράλληλα την Τεχνητή Νοημοσύνη.

Στις 11 Δεκεμβρίου, το Γαλλικό Παρατηρητήριο Τεχνητής Νοημοσύνης διοργάνωσε επίσης, στο πλαίσιο της προετοιμασίας για τη σύνοδο κορυφής για την Τεχνητή Νοημοσύνη, ένα σεμινάριο σχετικά με τις επιπτώσεις της ανάπτυξης της Τεχνητής Νοημοσύνης στην εργασία και την απασχόληση.

Οι συζητήσεις επικεντρώθηκαν ιδιαίτερα στις προκλήσεις που σχετίζονται με την εξηγησιμότητα των αποφάσεων που λαμβάνονται από την Τεχνητή Νοημοσύνη.

Στις 3 Ιανουαρίου, το Ελεγκτικό Συνέδριο δημοσίευσε έκθεση σχετικά με την ασφάλεια πληροφορικής των εγκαταστάσεων υγειονομικής περίθαλψης.

Σημειώνει ότι «το 2023, το 10% των θυμάτων κυβερνοεπιθέσεων στη Γαλλία ήταν εγκαταστάσεις υγειονομικής περίθαλψης. Η ευαλωτότητά τους συνδέεται ιδίως με την αυξημένη διασύνδεση των συστημάτων πληροφοριών τους με τον έξω κόσμο και με τη χρόνια υποεπένδυση στην ψηφιακή τεχνολογία».

Αυτές οι επιθέσεις μπορούν να έχουν σοβαρές επιπτώσεις στη λειτουργία των ιδρυμάτων και στη φροντίδα των ασθενών.

Οι δημόσιες αρχές αντέδρασαν καθυστερημένα χρηματοδοτώντας ένα πενταετές πρόγραμμα πρόληψης και προστασίας. Αυτή η δυναμική πρέπει να διατηρηθεί.

Το Υπουργείο Υγείας εξέφρασε ανησυχία για την ανάπτυξη της υπηρεσίας «Υγεία», μιας νέας δυνατότητας της εφαρμογής Doctolib. η οποία προτείνει την κεντρική συγκέντρωση των ιατρικών πληροφοριών των ασφαλισμένων.

Αυτό το χαρακτηριστικό φαίνεται να αντιγράφει το "My Health Space", το ψηφιακό αρχείο υγείας που δημιουργήθηκε από το Κράτος με τον νόμο της 24ης Ιουλίου 2019 σχετικά με την οργάνωση και τον μετασχηματισμό του συστήματος υγείας.

Στις 12 Δεκεμβρίου, η ΜΚΟ noyb υπέβαλε καταγγελία κατά της γαλλικής πλατφόρμας κοινωνικής δικτύωσης BeReal. λόγω των «σκοτεινών μοτίβων» που χρησιμοποιεί η εταιρεία για να λάβει τη συγκατάθεση των χρηστών.

Όταν οι χρήστες ανοίγουν την εφαρμογή, αντιμετωπίζουν ένα αναδυόμενο παράθυρο που τους ζητά να πουν «ναι» ή «όχι» στη χρήση των προσωπικών τους δεδομένων για διαφημιστικούς σκοπούς: εάν οι χρήστες κάνουν κλικ στο «αποδοχή», δεν θα δουν ποτέ ξανά το banner συγκατάθεσης.

Ωστόσο, εάν απορρίψουν τη στόχευση, το banner θα εμφανίζεται καθημερινά μέχρι να την αποδεχτούν.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

Το ΕΣΠΔ εξέδωσε γνώμη σχετικά με τα μοντέλα τεχνητής νοημοσύνης στις 18 Δεκεμβρίου. Η γνώμη αυτή αναλύει:

• Πώς να αξιολογήσετε και να αποδείξετε ότι ένα μοντέλο Τεχνητής Νοημοσύνης είναι ανώνυμο;
• Εάν το έννομο συμφέρον μπορεί να αποτελέσει νομική βάση για την εκπαίδευση ή τη χρήση μοντέλων Τεχνητής Νοημοσύνης·
• Οι συνέπειες όταν ένα μοντέλο τεχνητής νοημοσύνης εκπαιδεύεται χρησιμοποιώντας παράνομα επεξεργασμένα προσωπικά δεδομένα.

Σύμφωνα με την Επιτροπή, το ζήτημα του κατά πόσον ένα μοντέλο Τεχνητής Νοημοσύνης είναι ανώνυμο πρέπει να αξιολογείται κατά περίπτωση: πρέπει να είναι πρακτικά αδύνατο («πολύ απίθανο») να (1) ταυτοποιηθούν άμεσα ή έμμεσα τα άτομα των οποίων τα δεδομένα χρησιμοποιήθηκαν για τη δημιουργία του μοντέλου και (2) να εξαχθούν αυτά τα προσωπικά δεδομένα από το μοντέλο μέσω ερωτημάτων.

Η ειδοποίηση παρέχει μια λίστα με μεθόδους για την απόδειξη της ανωνυμίας.

Όσον αφορά το έννομο συμφέρον, η γνώμη παρέχει καθοδήγηση στις Αρχές Προστασίας Δεδομένων (ΑΠΔ) κατά την αξιολόγηση της καταλληλότητας αυτής της νομικής βάσης.

Τέλος, όταν ένα μοντέλο Τεχνητής Νοημοσύνης έχει αναπτυχθεί από παράνομα επεξεργασμένα προσωπικά δεδομένα, αυτό θα μπορούσε να επηρεάσει τη νομιμότητα της ανάπτυξής του, εκτός εάν το μοντέλο έχει ανωνυμοποιηθεί δεόντως.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) εξέδωσε απόφαση με την οποία διαπιστώνει ότι η Ευρωπαϊκή Επιτροπή στοχοποίησε παράνομα Ευρωπαίους πολίτες προβάλλοντάς τους διαφημίσεις που βασίζονται σε «ευαίσθητα» προσωπικά δεδομένα σχετικά με τις πολιτικές τους απόψεις.

Η ΜΚΟ noyb, η οποία ξεκίνησε την καταγγελία, αναφέρει ότι στο πλαίσιο των συζητήσεων γύρω από το σχέδιο κανονισμού για τον έλεγχο των διαδικτυακών συζητήσεων («Έλεγχος συνομιλίας»), η Ευρωπαϊκή Επιτροπή χαρακτήρισε την Ολλανδία ως κράτος μέλος που επιθυμούσε να επηρεάσει πολιτικά.

Για τον σκοπό αυτό, δημοσίευσε μηνύματα στο Twitter/X προωθώντας έμμεσα αυτόν τον κανονισμό σε φιλελεύθερους ή αριστερούς χρήστες.

 

Νέα από τις χώρες μέλη της Ευρωπαϊκής Ένωσης.

Η γερμανική αυτοκινητοβιομηχανία Volkswagen βρέθηκε υπό έρευνα την παραμονή της Πρωτοχρονιάς, μετά από αποκάλυψη του μέσου ενημέρωσης Spiegel, το οποίο την κατηγορούσε ότι δημοσίευσε τα δεδομένα γεωγραφικής τοποθεσίας περισσότερων από 800.000 οχημάτων στην Ευρώπη σε δημόσια πρόσβαση.

Αυτές οι πληροφορίες κατέστησαν δυνατή τη γνώση της θέσης σχεδόν 500.000 οχημάτων με ακρίβεια 10 εκατοστών.

Στη Γαλλία, λέγεται ότι επηρεάζονται περισσότερα από 50.000 οχήματα από τις μάρκες Volkswagen, Audi, Skoda και Seat.

Και στη Γερμανία, ένας πάροχος υπηρεσιών με έδρα το Αμβούργο τιμωρήθηκε με πρόστιμο 900.000 ευρώ από την τοπική αρχή προστασίας δεδομένων για διατήρηση προσωπικών δεδομένων για έως και πέντε έτη μετά την ημερομηνία λήξης.

Για την APD, «είναι απαράδεκτο το γεγονός ότι οι φορείς που εργάζονται στους ψηφιακούς τομείς δεν έχουν αναπτύξει μια συνεκτική διαδικασία διαγραφής» (μέσω της AFCDP).

Στην Ισπανία, η APD επέβαλε κυρώσεις σε ένα συνεργείο αυτοκινήτων που είχε προσθέσει το αρχείο πελατών του σε μια ομάδα WhatsApp, καθιστώντας τα δεδομένα 150 πελατών (αριθμοί τηλεφώνου, ονόματα και φωτογραφίες) ορατά σε όλα τα μέλη της ομάδας.

Η APD διαπίστωσε παράβαση του άρθρου 6(1) του ΓΚΠΔ, το οποίο απαιτεί έγκυρη νομική βάση για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα, και επέβαλε στην εταιρεία πρόστιμο 3.000 ευρώ.

Η Ισπανία αποφάσισε να απαγορεύσει τη χρήση του «Google Workspace for Education» στα σχολεία.

Η απόφαση αυτή ελήφθη βάσει έκθεσης της Ισπανικής Υπηρεσίας Προστασίας Δεδομένων (APD), η οποία θεωρεί ότι υπάρχει «μια επεμβατική συλλογή προσωπικών πληροφοριών».

Η παρούσα έκθεση συντάχθηκε κατόπιν αιτήματος του Υπουργείου Παιδείας.

Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) ανακοίνωσε στις 17 Δεκεμβρίου ότι επέβαλε πρόστιμο 251.000.000 ευρώ στην Meta επειδή δεν απέτρεψε παραβίαση δεδομένων που έθεσε σε κίνδυνο τα δεδομένα εκατομμυρίων χρηστών του Facebook και επειδή δεν τεκμηρίωσε επαρκώς την παραβίαση.

Δύο ημέρες αφότου το ΕΣΠΔ δημοσίευσε τη γνώμη του σχετικά με την Τεχνητή Νοημοσύνη, η ιταλική αρχή προστασίας δεδομένων επέβαλε πρόστιμο ύψους 15.000.000 ευρώ στην OpenAI στις 20 Δεκεμβρίου.

Πιστεύει ότι η εταιρεία χρησιμοποίησε τα προσωπικά δεδομένα των χρηστών του διαδικτύου για την εκπαίδευση του ChatGPT «χωρίς να διαθέτει επαρκή νομική βάση και παραβίασε την αρχή της διαφάνειας και τις σχετικές υποχρεώσεις πληροφόρησης προς τους χρήστες».

Η έρευνα που ξεκίνησε στα τέλη του 2023 από την APD αποκαλύπτει περαιτέρω ότι η εταιρεία δεν παρείχε επαρκές σύστημα επαλήθευσης ηλικίας για να αποτρέψει την έκθεση χρηστών κάτω των 13 ετών σε ακατάλληλο περιεχόμενο που δημιουργείται από τεχνητή νοημοσύνη.

Η Open AI θα πρέπει επίσης να ξεκινήσει μια επικοινωνιακή εκστρατεία στη χώρα σε διάφορα μέσα ενημέρωσης για να ευαισθητοποιήσει το κοινό σχετικά με τον τρόπο λειτουργίας του ChatGPT και να τους υπενθυμίσει τα δικαιώματά τους.

Μπορούμε ακόμα να χρησιμοποιήσουμε το μοντέλο OpenAI και το ChatGPT API για να παρέχουμε τις δικές μας υπηρεσίες γενετικής τεχνητής νοημοσύνης;

Η ιταλική απόφαση αφήνει το ζήτημα ανοιχτό, διευκρινίζοντας ότι θα πρέπει να αποφασιστεί από την ιρλανδική αρχή, βάσει του μηχανισμού του άρθρου 56 του ΓΚΠΔ.

Η Ιταλική Αρχή Προστασίας Δεδομένων (APD) έλαβε επίσης θέση στις 13 Νοεμβρίου σχετικά με τη δημοσίευση φωτογραφιών ανηλίκων στο Facebook, υπενθυμίζοντας ότι ήταν απαραίτητη η συμφωνία και των δύο γονέων.

Στη συγκεκριμένη περίπτωση, ο πατέρας ενός παιδιού κάτω των 14 ετών είχε κοινοποιήσει τη φωτογραφία του στο Facebook για να δείξει την ομοιότητά του με τον ετεροθαλή αδελφό του, ο οποίος επίσης εμφανιζόταν στη φωτογραφία.

Η μητέρα του παιδιού, διαζευγμένη από τον πατέρα, του ζήτησε ανεπιτυχώς να αφαιρέσει τη φωτογραφία από το Facebook και υπέβαλε καταγγελία στην APD.

Οι ολλανδικές αρχές προειδοποίησαν επίσης τα Εθνικά Αρχεία στις 6 Δεκεμβρίου κατά της δημοσίευσης των πολεμικών αρχείων της Ολλανδίας στο διαδίκτυο.

Αυτά τα έγγραφα περιέχουν αρχεία για άτομα που είναι ύποπτα για συνεργασία με τον κατακτητή κατά τη διάρκεια του Β' Παγκοσμίου Πολέμου, συμπεριλαμβανομένων ευαίσθητων δεδομένων όπως η θρησκεία, οι πολιτικές πεποιθήσεις, η υγεία ή η εθνικότητα ατόμων που μερικές φορές είναι ακόμη εν ζωή.

Παρόλο που έχουν αναμφισβήτητη αξία, ο τρόπος με τον οποίο τα Εθνικά Αρχεία θέλουν να δημοσιοποιήσουν τα δεδομένα στο διαδίκτυο παραβιάζει τον Νόμο περί Αρχείων και τον ΓΚΠΔ, σύμφωνα με την APD.

Ως εκ τούτου, ζητά καλύτερο έλεγχο των όρων πρόσβασης στα δεδομένα.

Στις 18 Δεκεμβρίου, η APD επέβαλε πρόστιμο στο Netflix επειδή δεν ενημέρωσε σωστά τους πελάτες του σχετικά με την επεξεργασία των δεδομένων τους μεταξύ 2018 και 2020.

Επιπλέον, οι πληροφορίες που παρείχε το Netflix ήταν ασαφείς σε ορισμένα σημεία.

Για τον λόγο αυτό, η APD επέβαλε πρόστιμο ύψους 4.750.000 ευρώ στην υπηρεσία streaming.

Έκτοτε, το Netflix έχει ενημερώσει τη δήλωση απορρήτου του και έχει βελτιώσει τις πληροφορίες του.

Στη Σουηδία, η APD επέβαλε πρόστιμο 200.000 SEK (17.366 ευρώ) σε έναν ιδιοκτήτη επειδή τοποθέτησε δεκαοκτώ κάμερες στους κοινόχρηστους χώρους ενός κτιρίου κατοικιών και επειδή δεν ανταποκρίθηκε σε αίτημα για πληροφορίες.

 

Μια μελέτη με τίτλο «Παρακολούθηση Εσωτερικής Τοποθεσίας, Κίνησης και Κατάληψης Γραφείου στον Χώρο Εργασίας», που δημοσιεύθηκε τον Νοέμβριο, αναλύει τις τεχνολογίες παρακολούθησης και δημιουργίας προφίλ συμπεριφοράς των εργαζομένων χρησιμοποιώντας αισθητήρες κίνησης και υποδομή WIFI εντός των εγκαταστάσεων της εταιρείας.

Αυτή η μελέτη εστιάζει στις πιθανές επιπτώσεις για τους εργαζομένους στην Ευρώπη και εξετάζει τις πιο διαδεδομένες λύσεις που προσφέρουν οι Cisco, Juniper, Spacewell, Locatee και άλλοι παρόμοιοι πάροχοι τεχνολογίας.

Η Cisco ισχυρίζεται ότι μέχρι στιγμής έχει επεξεργαστεί 17.200 δισεκατομμύρια «σημεία δεδομένων τοποθεσίας» που συλλέχθηκαν μέσω περισσότερων από τριών εκατομμυρίων σημείων πρόσβασης wifi που είναι εγκατεστημένα σε 250.000 κτίρια παγκοσμίως.

Η μελέτη εξετάζει συνοπτικά τον τρόπο με τον οποίο οι εργαζόμενοι αντιστάθηκαν στην εγκατάσταση ανιχνευτών κίνησης από τους εργοδότες τους (μέσω του AFCDP).

Μετά από νομικές διαδικασίες που ξεκίνησε η WhatsApp το 2019, ένας δικαστής στην Καλιφόρνια κήρυξε την ισραηλινή εταιρεία NSO Group, τον δημιουργό του spyware Pegasus, ένοχη για hacking στα τέλη Δεκεμβρίου.

Αυτή η απόφαση θεωρείται «ιστορική» από τους αντιπάλους αυτού του κλάδου.

Σύμφωνα με τον Will Cathcart, διευθυντή του WhatsApp, «ο Όμιλος NSO ισχυρίζεται ότι υπηρετεί τις κυβερνήσεις με υπευθυνότητα, αλλά ανακαλύψαμε ότι πάνω από εκατό υπερασπιστές των ανθρωπίνων δικαιωμάτων και δημοσιογράφοι έγιναν στόχος επίθεσης τον περασμένο Μάιο. Αυτές οι καταχρήσεις πρέπει να σταματήσουν».

Η κυβέρνηση των ΗΠΑ αποκάλυψε στις αρχές Δεκεμβρίου ότι η Κίνα είχε παραβιάσει 8 αμερικανικούς παρόχους (συμπεριλαμβανομένων των AT&T, Verizon και Lumen Technologies).

Η κατασκοπεία αφορά τη νέα μορφή RCS για την αποστολή μηνυμάτων SMS μεταξύ ενός iPhone και ενός smartphone Android.

Το FBI και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) δήλωσαν ότι η εκστρατεία hacking, που ονομάστηκε Salt Typhoon από τη Microsoft, είναι μία από τις μεγαλύτερες παραβιάσεις στην ιστορία.

Οι χάκερ απέκτησαν πρόσβαση σε ηχογραφήσεις κλήσεων, ζωντανές τηλεφωνικές κλήσεις από συγκεκριμένα άτομα, ακόμη και σε απόρρητες δικαστικές εντολές.

Οι αρχές συμβουλεύουν τη χρήση ασφαλών και κρυπτογραφημένων εφαρμογών ανταλλαγής μηνυμάτων για την αποτροπή της έκθεσης των ιδιωτικών επικοινωνιών.