«Τα προσωπικά δεδομένα αποτελούν το σύγχρονο “νόμισμα” της ψηφιακής εποχής», επισημαίνει στον «Φ» η Μαρία Χριστοφίδου στην πρώτη της συνέντευξη από τη θέση της Επίτροπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ξεδιπλώνοντας τα κίνητρα των χάκερς πίσω από τις κυβερνοεπιθέσεις.
Οι εξελίξεις της τεχνολογίας, όπως διευκρινίζει, δημιουργούν νέες προκλήσεις, με το Γραφείο της να λαμβάνει παράπονα πολιτών που σχετίζονται με διαρροή δεδομένων στα social media και λήψη διαφημίσεων ή και προεκλογικού υλικού.
Ένα από τα εν λόγω παράπονα και εκείνο σε βάρος του Φειδία Παναγιώτου εκ μέρους παρα-αθλητή. «Έχει υποβληθεί σχετικό παράπονο, το οποίο βρίσκεται στο στάδιο της αξιολόγησης και διερεύνησης», επισημαίνει η Επίτροπος για την καταγγελία που υπεβλήθη για τη χρήση φωτογραφίας σε βίντεο του Φειδία Παναγιώτου, κατά την απολογία τους για τις εσφαλμένες αναφορές του στο παρα-αθλητές με νοητική αναπηρία. «Η βασική αρχή σαφής: Όταν αξιοποιούμε την εικόνα ή τα δεδομένα ενός ανθρώπου, οφείλουμε να σεβόμαστε την αξιοπρέπεια και τα δικαιώματά του», υπογραμμίζει και διευκρινίζει πως η κάθε περίπτωση κρίνεται στη βάση των πραγματικών της περιστατικών.
Η κ. Χριστοφίδου απαντά, επίσης, και στο πώς να προστατευθούν οι πολίτες, υπογραμμίζοντας πως πρόκειται για την καθημερινή στάση του καθενός μας, δίνοντας και σχετικές συμβουλές.
«Τα προσωπικά δεδομένα αποτελούν το σύγχρονο “νόμισμα” της ψηφιακής εποχής, και χρησιμοποιούνται ως μέσο ανταλλαγής για τη χρήση δωρεάν υπηρεσιών», αναφέρει η Επίτροπος απαντώντας και για την πρόσφατη επίθεση των χάκερς στο Ογκολογικό της Τράπεζας Κύπρου.
«Οι κυβερνοεπιθέσεις είναι κακόβουλες, μη εξουσιοδοτημένες προσπάθειες εκμετάλλευσης τρωτών σημείων πληροφοριακών συστημάτων και δικτύων ή άλλων υποδομών. Δεν περιορίζονται μόνο στον τομέα της Υγείας. Αποσκοπούν κυρίως στην προσβολή της φήμης των οργανισμών και στην αποκόμιση οικονομικού οφέλους. Αποτελούν ευρύτερη πρόκληση της ψηφιακής εποχής», υπογραμμίζει η Επίτροπος.
Ειδικά για τα δεδομένα των ασθενών, είπε, παρέχεται αυξημένη προστασία καθώς εντάσσονται στις ειδικές κατηγορίες δεδομένων του σχετικού Κανονισμού. «Κατά κανόνα η συλλογή και επεξεργασία των δεδομένων αυτών απαγορεύεται, υπάρχουν ωστόσο συγκεκριμένες εξαιρέσεις που επιτρέπουν την επεξεργασία αυτή. Η αξία των δεδομένων υγείας είναι αδιαμφισβήτητη καθώς τα δεδομένα αυτά είναι διαχρονικά, σταθερά και μόνιμα π.χ το ιατρικό ιστορικό», επισημαίνει.
«Πίσω από κάθε παράπονο υπάρχει ένας άνθρωπος που αισθάνθηκε ότι παραβιάστηκε ένα όριο», υπογραμμίζει η κ. Χριστοφίδου.
Στην Κύπρο, σημειώνει, «συχνά λαμβάνουμε καταγγελίες για ανεπιθύμητα προωθητικά μηνύματα χωρίς συγκατάθεση, φαινόμενο που εντείνεται ιδιαίτερα σε προεκλογικές περιόδους. Επίσης, αρκετές υποθέσεις σχετίζονται με δημοσιεύσεις προσωπικών δεδομένων στα μέσα κοινωνικής δικτύωσης χωρίς νόμιμη βάση».
Τα περισσότερα παράπονα αφορούν την παραβίαση βασικών δικαιωμάτων των πολιτών από τους υπεύθυνους επεξεργασίας, όπως είναι για παράδειγμα το δικαίωμα πρόσβασης ή διαγραφής των δεδομένων τους.
Πάντως, αναφέρει η κ. Χριστοφίδου, με βάση τα δεδομένα που προκύπτουν από τις καταγγελίες που λαμβάνει η Αρχή, τα περισσότερα ζητήματα που σχετίζονται με τη χρήση των μέσων κοινωνικής δικτύωσης αφορούν συχνότερα ενήλικες παρά ανήλικους.
«Η συζήτηση για το ηλικιακό όριο είναι σημαντική και εύλογη. Ωστόσο, η εμπειρία δείχνει ότι η ουσιαστική προστασία δεν εξαρτάται αποκλειστικά από έναν αριθμό. Συνδέεται με την ενίσχυση της ψηφιακής Παιδείας, με την καλλιέργεια κριτικής σκέψης και με τη συνεργασία όλων — οικογένειας, σχολείου και Πολιτείας. Η προστασία στο διαδίκτυο δεν είναι ζήτημα αυστηρότητας, αλλά ζήτημα ενημέρωσης, διαλόγου και κοινής ευθύνης. Όσον αφορά στις περιόδους εκλογών, είπε, ότι αυξάνεται η επεξεργασία προσωπικών δεδομένων για σκοπούς πολιτικής επικοινωνίας. «Η βασική πρόκληση είναι η εξισορρόπηση της ελευθερίας της πολιτικής έκφρασης με το δικαίωμα των πολιτών στην ιδιωτικότητα και στην προστασία των προσωπικών τους δεδομένων».
Το Γραφείο της Επιτρόπου υπενθυμίζει εγκαίρως σε κόμματα και υποψηφίους τις υποχρεώσεις τους βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων και τους έχει, ήδη, διαβιβάσει σχετική Οδηγία.
«Τα συχνότερα λάθη που παρατηρούνται είναι η αποστολή μαζικών ανεπιθύμητων προωθητικών μηνυμάτων (sms, email κλπ) χωρίς την προηγούμενη συγκατάθεση, η χρήση παλαιών ή αμφιβόλου προέλευσης καταλόγων επικοινωνίας και η δημοσίευση φωτογραφιών ή στοιχείων τρίτων χωρίς νόμιμη βάση επεξεργασίας. Η δημοκρατία απαιτεί διάλογο. Αλλά ο διάλογος πρέπει να σέβεται τα όρια της ιδιωτικότητας», αναφέρει.
Τι να προσέχουν οι πολίτες
Η προστασία των προσωπικών δεδομένων ξεκινά από την καθημερινή στάση του καθενός μας, αναφέρει η κ. Χριστοφίδου. «Η προσεκτική χρήση των ρυθμίσεων ασφαλείας στις εφαρμογές και στα social media, ο έλεγχος του ποιος έχει πρόσβαση στις πληροφορίες μας και η βασική κατανόηση των όρων χρήσης αποτελούν σημαντικά βήματα», λέει.
Ένα απλό παράδειγμα, συνέχισε η Επίτροπος, είναι η τακτική αναθεώρηση των ρυθμίσεων απορρήτου, η οποία μπορεί να μειώσει σημαντικά τους κινδύνους διαρροής προσωπικών δεδομένων. «Η επιλογή οργανισμών που λειτουργούν με διαφάνεια και διαθέτουν σαφή πολιτική προστασίας δεδομένων δημιουργεί ένα πλαίσιο εμπιστοσύνης. Η ενημέρωση δίνει δύναμη, και η συνειδητή στάση είναι η καλύτερη μορφή προστασίας», τονίζει.
Αξιολογείται το παράπονο παρα-αθλητή κατά του Φειδία
«Έχει υποβληθεί σχετικό παράπονο, το οποίο βρίσκεται στο στάδιο της αξιολόγησης και διερεύνησης», ανέφερε η Επίτροπος σε σχέση με την καταγγελία που υπεβλήθη εκ μέρους αθλητή για τη χρήση φωτογραφίας του από τον Ευρωβουλευτή Φειδία Παναγιώτου σε βίντεο που ανήρτησε ως απολογία για εσφαλμένες αναφορές για τους παρα-αθλητές.
«Η διερεύνηση κάθε καταγγελίας/παραπόνου γίνεται στη βάση των ιδιαίτερων περιστατικών της (on a case by case basis) όπου αξιολογούνται όλα τα πραγματικά και νομικά γεγονότα έκαστης υπόθεσης», λέει η Επίτροπος και υπογραμμίζει πως: «Η βασική αρχή, ωστόσο, είναι σαφής: Όταν αξιοποιούμε την εικόνα ή τα δεδομένα ενός ανθρώπου, οφείλουμε να σεβόμαστε την αξιοπρέπεια και τα δικαιώματά του».
Οι καταγγελίες στην Αστυνομία
Οι παρανομούντες και εκείνοι που παραβιάζουν τα προσωπικά δεδομένα, μπορούν να βρουν τον μπελά τους.
Εφόσον γίνει καταγγελία και διαπιστωθεί παραβίαση του σχετικού Κανονισμού, τότε η Επίτροπος έχει την εξουσία «να επιβάλει διοικητικές κυρώσεις, συμπεριλαμβανομένων διοικητικών προστίμων, όπως προβλέπεται από το νομοθετικό πλαίσιο», είπε η κ. Χριστοφίδου.
Σε περιπτώσεις όπου η υπόθεση ενδέχεται να συνιστά ποινικό αδίκημα, τότε η Αρχή έχει την ευχέρεια να τη διαβιβάσει στην Αστυνομία για διερεύνηση ή να προβεί η ίδια σε πλήρη διοικητική διερεύνηση και ενδεχόμενη επιβολή διοικητικής κύρωσης. «Οι διοικητικές και ποινικές διαδικασίες είναι ανεξάρτητες και μπορούν να εξελίσσονται παράλληλα», σημειώνει η Επίτροπος. Παράλληλα, «ο ίδιος ο πολίτης έχει το δικαίωμα να απευθυνθεί απευθείας στην Αστυνομία. Το σημαντικό είναι ότι το θεσμικό πλαίσιο παρέχει μηχανισμούς προστασίας και λογοδοσίας, ώστε κάθε υπόθεση να εξετάζεται με σοβαρότητα και θεσμική επάρκεια», υπογράμμισε.
Έντονες προκλήσεις στην Κύπρο
Διαρροή δεδομένων στα social media και κυβερνοεπιθέσεις
Μετά από σχεδόν 4,5 μήνες στο ρόλο της Επιτρόπου, η κ. Χριστοφίδου υπογραμμίζει με βεβαιότητα ότι η προστασία των προσωπικών δεδομένων δεν είναι μια στατική έννοια. Αντιθέτως, εξελίσσεται συνεχώς μαζί με την τεχνολογία, την κοινωνία και τις ανάγκες των πολιτών.
Οι συχνότερες προκλήσεις στη χώρα μας αφορούν:
- Η συχνή και χωρίς έλεγχο κοινοποίηση προσωπικών δεδομένων στα μέσα κοινωνικής δικτύωσης.
- Η αύξηση κυβερνοεπιθέσεων και περιστατικών διαρροής δεδομένων.
- Η αυξανόμενη τάση εργαλειοποίησης της νομοθεσίας για τα προσωπικά δεδομένα, την οποία ορισμένοι μετατρέπουν σε εργαλείο αντιπαράθεσης. «Οι επαναλαμβανόμενες ή καταχρηστικές καταγγελίες αποτελούν ένα προβληματικό τομέα και ασφαλώς επηρεάζουν την εύρυθμη λειτουργία της Αρχής», λέει η Επίτροπος, διευκρινίζοντας πως κάποιοι επιστρατεύουν τη συγκεκριμένη νομοθεσία για επίλυση των προσωπικών τους διαφορών.
- Η αύξηση του ηλικιακού ορίου από 14 σε 16 ετών, ώστε να μπορούν τα ίδια τα παιδιά να συναινούν σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Για ανήλικους κάτω του εν λόγω ηλικιακού ορίου η συγκατάθεση θα παρέχεται από τους γονείς / κηδεμόνες.
Πρόκειται για πρόταση νόμου που τροποποιεί το άρθρο 8 του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων Νόμο, η οποία εξετάζεται στη Βουλή.
Ωστόσο, το Γραφείο της Επιτρόπου εξέφρασε κάποιες καταρχήν ανησυχίες και διατύπωσε επιφυλάξεις ως προς τη σκοπιμότητα της προτεινόμενης τροποποίησης, υπογραμμίζοντας ότι το υφιστάμενο ηλικιακό όριο των 14 ετών είναι ισορροπημένο, ευθυγραμμισμένο με το ποινικό και εκπαιδευτικό πλαίσιο της Κυπριακής Δημοκρατίας και συμβατό με τον ευρωπαϊκό μέσο όρο.
Η θέση της Αρχής είναι ότι το ισχύον όριο των 14 ετών είναι κατάλληλο και επαρκές εντός του πλαισίου που παρέχει ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) και ότι η προστασία των παιδιών στο διαδίκτυο δεν επιτυγχάνεται με οριζόντιες απαγορεύσεις, αλλά με εκπαίδευση, υπεύθυνη καθοδήγηση, τεχνολογικά μέσα επαλήθευσης ηλικίας και ενίσχυση της ψηφιακής παιδείας.
Προκλήσεις στην Ευρώπη:
Σε επίπεδο Ευρώπης μια από τις σημαντικότερες προκλήσεις, αναφέρει η Επίτροπος, είναι το πακέτο Προτάσεων Digital OMNIBUS της Κομισιόν, μια μεταρρύθμιση η οποία στοχεύει στη μείωση της γραφειοκρατίας και του κόστους συμμόρφωσης για τις επιχειρήσεις με παράλληλη διατήρηση υψηλού επιπέδου προστασίας για πολίτες και καταναλωτές.
Οι εν λόγω τροποποιήσεις, αναμένεται να εξοικονομήσουν πόρους και να ενισχύσουν την καινοτομία σε τομείς δεδομένων της Τεχνητής Νοημοσύνης και της κυβερνοασφάλειας μειώνοντας τον διοικητικό φόρτο κατά τουλάχιστον €5 δισ. έως το 2029.
Υπάρχει συμμόρφωση με τον GDPR
Έρχονται και άλλες νομοθεσίες για την προστασία των δεδομένων
Ικανοποίηση για ο γεγονός ότι «βρισκόμαστε σε καλό δρόμο και ότι υπάρχει ένα καλό επίπεδο ενημερότητας και συμμόρφωσης της πλειοψηφίας των οργανισμών και επιχειρήσεων στην Κύπρο σε ότι αφορά στον Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), εκφράζει η Επίτροπος.
Ειδικά, είπε, σε ότι αφορά στους βασικούς τομείς οικονομικών δραστηριοτήτων, όπως είναι ο ασφαλιστικός, ο τραπεζικός, ο τομέας της Υγείας, ο τομέας της Εκπαίδευσης, ο τομέας της φαρμακοβιομηχανίας, ο ξενοδοχειακός τομέας, ο τομέας των μεταφορών ακόμη και ο τομέας του γενικού εμπορίου.
«Καταβάλλονται προσπάθειες από την Αρχή για συνεχή επιμόρφωση και εκπαίδευση των οργανισμών όσο και των επιχειρήσεων και διαρκή παρακολούθηση της συμμόρφωσής τους μέσω τομεακών διοικητικών ελέγχων», αναφέρι και προσθέτει: «Η συμμόρφωση δεν είναι ένας προορισμός που φτάνουμε, αλλά μια συνεχής υποχρέωση που απαιτεί εσωτερικές πολιτικές, εκπαίδευση προσωπικού, τακτική αξιολόγηση των πρακτικών επεξεργασίας δεδομένων και διαρκή επαγρύπνηση».
Στο μεταξύ, λέει η Επίτροπος, υπάρχουν νομοθεσίες στα σκαριά σε σχέση με τα προσωπικά δεδομένα.
Μεταξύ των ιδεών που έχουν τεθεί στο πλαίσιο των συζητήσεων για το λεγόμενο Digital Omnibus είναι και η πιθανή αποσαφήνιση του ορισμού των προσωπικών δεδομένων. Συγκεκριμένα, εξετάζεται η προσέγγιση κατά την οποία δεδομένα που δεν μπορούν να οδηγήσουν σε ταυτοποίηση από τον ίδιο τον υπεύθυνο επεξεργασίας, επειδή δεν διαθέτει «εύλογα μέσα» για να αναγνωρίσει το άτομο, ενδέχεται να μην θεωρούνται προσωπικά. Πρόκειται, ωστόσο, για κατεύθυνση που βρίσκεται ακόμη σε επίπεδο συζήτησης και απαιτεί προσεκτική στάθμιση, ώστε η καινοτομία να συνυπάρχει με την προστασία των δικαιωμάτων των πολιτών.
Σε εθνικό επίπεδο, είπε, η νομοθεσία στον τομέα της προστασίας δεδομένων εξελίσσεται διαρκώς «και αυτό είναι θετικό. Δείχνει ότι η κοινωνία προσπαθεί να συμβαδίσει με την ταχύτητα της ψηφιακής εποχής, χωρίς να θυσιάζει τα θεμελιώδη δικαιώματα».
