Θολά τα όρια και οι δυνατότητες ελέγχου της επεξεργασίας τους
Με τη διαδικασία του κατεπείγοντος η κυβέρνηση πέρασε από τη Βουλή την περασμένη Δευτέρα το νομοσχέδιο συμμόρφωσης της χώρας με τη σχετική ευρωπαϊκή Οδηγία 2016/680 «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».
Η απόφαση για τη σχετική διαδικασία ελήφθη με το αιτιολογικό ότι η Ευρωπαϊκή Επιτροπή απειλούσε την Ελλάδα με βαριά πρόστιμα (1.300.000 ευρώ εφάπαξ και πάνω από 5.000 ευρώ ημερησίως για κάθε ημέρα καθυστέρησης ενσωμάτωσης της Οδηγίας στο εθνικό δίκαιο), ενώ ο νόμος – πλέον – στηρίχθηκε σε μεγάλο βαθμό σε προεργασία της προηγούμενης κυβέρνησης, αλλά και στο αντίστοιχο γερμανικό νομικό κείμενο.
Αξίζει να σημειωθεί ότι η ευρωπαϊκή Οδηγία 2016/680 αφορά την «προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων», ενώ από το 2018 η Ε.Ε. έχει θέσει σε εφαρμογή και τον διαβόητο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) μετά τις σκανδαλώδεις αποκαλύψεις για την Cambridge Analytica και το Facebook.
«Βάζουμε τάξη»
Μιλώντας στην Ολομέλεια της Βουλής, ο πρωθυπουργός Κυριάκος Μητσοτάκης υποστήριξε τη νομοθετική πρωτοβουλία της κυβέρνησης λέγοντας ότι το νέο πλαίσιο «βάζει τάξη σε θολές περιοχές του Διαδικτύου που παραμένουν άναρχες. Κανείς δεν θα μπορεί να χρησιμοποιεί τα στοιχεία κάποιου άλλου χωρίς τη συγκατάθεσή του και κανείς εργοδότης δεν θα μπορεί να χρησιμοποιεί τα στοιχεία των εργαζομένων σε βάρος τους».
«Τα προσωπικά στοιχεία των πολιτών θα αφορούν μόνο τους ίδιους. Όποιος μέχρι σήμερα διακινούσε όγκους στοιχείων προς άγνωστη χρήση θα πρέπει να το σκέπτεται. Όσοι τηρούν τους κανόνες θα αποκτούν κύρος και εμπιστοσύνη. Το δικαίωμα της ελεύθερης ενημέρωσης εναρμονίζεται με την προστασία των προσωπικών δεδομένων» συμπλήρωσε.
Παράλληλα σημείωσε ότι με τον νέο νόμο «κανείς εργοδότης δεν μπορεί να χρησιμοποιεί δεδομένα σε βάρος υπαλλήλων, όπως για παράδειγμα υλικό από κάμερες, για απόλυση εργαζομένων ή τα στοιχεία της υγείας τους. Θα πρέπει να είναι κωδικοποιημένα. Χωρίς τη συγκατάθεση των πολιτών δεν θα υπάρχει πρόσβαση στα προσωπικά τους δεδομένα» προσθέτοντας ότι «όποιος παρανομήσει θα πρέπει να το σκεφτεί δυο φορές, ενώ όσοι τηρούν τους κανόνες θα απολαύουν εμπιστοσύνης».
Εφευρίσκουν «παράθυρα»
Όμως, έχουν έτσι τα πράγματα; Για τους γνωρίζοντες τα όσα αναφέρει ο Μητσοτάκης μοιάζουν περισσότερο με ευσεβή πόθο και λιγότερο με πραγματική δικλίδα ασφαλείας για τους χρήστες του Διαδικτύου, καθώς ακόμα και μετά την εφαρμογή του GDPR οι μεγάλες εταιρείες τεχνολογίας έχουν βρει τρόπους – συχνά ακόμα και εξαιρετικά απροκάλυπτους – να συλλέγουν προσωπικά δεδομένα των χρηστών των υπηρεσιών τους.
Για παράδειγμα μπορεί πλέον, με πρωτοβουλίες εθνικών και υπερεθνικών οργανισμών και κυβερνήσεων, οι διαβόητοι «Όροι Χρήσης» να είναι γραμμένοι με τρόπο που να μοιάζει με… ανθρώπινη γλώσσα (παλαιότερα ήταν νομικά κείμενα, ενίοτε δυσνόητα ακόμα και για δικηγόρους), ωστόσο σε πολλές περιπτώσεις η χρήση ενός ιστοχώρου προαπαιτεί τη συναίνεση του χρήστη για συλλογή προσωπικών δεδομένων του, τα οποία στη συνέχεια τυγχάνουν επεξεργασίας για στοχευμένη διαφήμιση ή ακόμα και παράδοσής τους για περαιτέρω επεξεργασία σε «συνεργαζόμενες εταιρείες».
Νέα τεχνολογία, ίδιες πρακτικές
Την ίδια στιγμή νέες τεχνολογίες, όπως η Τεχνητή Νοημοσύνη ή η Αναγνώριση Προσώπου, απαιτούν, για να μπορέσουν να λειτουργήσουν σωστά, τη συλλογή και επεξεργασία τεράστιου όγκου προσωπικών δεδομένων.
Επιπλέον σταδιακά εισάγεται και στην Ελλάδα η πρακτική εταιρειών στις συμβάσεις εργασίας να συμπεριλαμβάνουν και όρο, σύμφωνα με τον οποίο ο εργαζόμενος συναινεί στη συλλογή και επεξεργασία προσωπικών του δεδομένων από τον εργοδότη, παρότι η ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων έχει γνωμοδοτήσει ότι η συναίνεση αυτή δεν δίδεται ελεύθερα, όπως υπενθύμισε στη Βουλή ο εισηγητής του ΣΥΡΙΖΑ Γιώργος Κατρούγκαλος.
"google ad"
Ωστόσο, για να επιστρέψουμε στις εταιρείες τεχνολογίας, όπως η Google, το Facebook ή η Amazon, το ίδιο το μοντέλο λειτουργίας τους καθιστά τη συλλογή προσωπικών δεδομένων των χρηστών τους εκ των ων ουκ άνευ, καθώς χάρη σε αυτά μπορούν να πουλάνε διαφημίσεις, που αποτελούν τη βασική πηγή εσόδων τους, αλλά και να αναπτύσσουν συνεργασίες με άλλες εταιρείες που επιδιώκουν να αξιοποιήσουν τον τεράστιο όγκο δεδομένων που έχουν στη διάθεσή τους.
Δεν είναι τυχαίο άλλωστε ότι κάθε λίγο και λιγάκι αποκαλύπτεται ότι κάποια από αυτές τις εταιρείες, ή κάποιος συνεργάτης τους, «έβαλε το δάχτυλο στο μέλι» και είτε συνέλεξε δεδομένα που δεν είχε δικαίωμα να συλλέξει είτε προχώρησε σε… κανονική παρακολούθηση των χρηστών κάποιας «έξυπνης» συσκευής (ηχεία, κεντρικούς ελεγκτές λειτουργίας «έξυπνου» σπιτιού και πάει λέγοντας).
Νομικό κενό
Κι αν κάποιος νομίζει ότι νόμοι και κανονιστικές διατάξεις, όπως ο GDPR, παρέχουν επαρκές πλαίσιο προστασίας στα φυσικά πρόσωπα, ένας Βρετανός ερευνητής στο πανεπιστήμιο της Οξφόρδης διαπίστωσε ότι μπορεί με σχετική ευκολία να βραχυκυκλώσει τον νόμο και να λάβει από εταιρείες πληθώρα προσωπικών δεδομένων για τη σύντροφό του. Τα δεδομένα αυτά περιλάμβαναν από αγορές και ταξίδια μέχρι τμήμα του αριθμού της πιστωτικής της κάρτας, ενώ σχεδόν μία στις τέσσερις εταιρείες από τις οποίες ζήτησε στοιχεία τού τα έδωσαν χωρίς κανέναν έλεγχο.
Μάλιστα, το ποσοστό θα έφθανε το 40% αν ο ερευνητής δεν αρνούνταν να κάνει μικρές λαθροχειρίες στα στοιχεία του (π.χ. να στείλει ένα ψευδές στοιχείο ταυτότητας). Κι όλα αυτά κάνοντας χρήση του δικαιώματος που ο GDPR του δίνει για αίτηση παροχής προσωπικών δεδομένων μέσα σε μικρό χρονικό διάστημα, με τον ερευνητή να παρουσιάζει τα ευρήματά του σε συνέδριο στο Λας Βέγκας και να επισημαίνει το νομικό κενό που έχει ο κανονισμός.