Σε μια απόφαση-βόμβα, προχώρησε σύμφωνα με την εφημερίδα ΕΣΤΙΑ, ο Πρόεδρος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρος Κωνσταντίνος Μενουδάκος, καθώς δεν αποδέχεται το πόρισμα του εσωτερικού ελέγχου που διεξήχθη στο υπουργείο Εσωτερικών για την διαρροή των 20.000 περίπου διευθύνσεων ηλεκτρονικού ταχυδρομείου Ελλήνων του εξωτερικού που είχαν δηλώσει τα στοιχεία τους στην πλατφόρμα που είχε ανοίξει για την επιστολική ψήφο.

Η απόφαση αυτή αφήνει διπλά έκθετη την υπουργό Εσωτερικών Νίκη Κεραμέως. Αφ’ ενός διότι πέφτει στο κενό η προσπάθεια περιορισμού των ευθυνών στο πρόσωπο ενός ανωτέρου δημοσίου υπαλλήλου, εν προκειμένω του Διευθυντού Εκλογών, με απόρριψη κάθε πολιτικής ευθύνης. Αφ’ ετέρου διότι δεν γίνεται δεκτό το ότι η όποια διαρροή είχε γίνει σε χρόνο προγενέστερο της θητείας της νυν υπουργού.

Το προαναφερθέν πόρισμα είχε συνταχθεί από την Μονάδα Εσωτερικού Ελέγχου του υπουργείου Εσωτερικών, αμέσως δε μόλις υπεβλήθη στην πολιτική ηγεσία (την περασμένη Παρασκευή) η κ. Κεραμέως έσπευσε να το διαβιβάσει στον προϊστάμενο της Εισαγγελίας Πρωτοδικών Αθηνών και στον πρόεδρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρος «προς διευκόλυνση των ερευνών τους». Τούτο αναφέρεται σε σχετική ανακοίνωση του υπουργείου. Όμως ο κ. Μενουδάκος τουλάχιστον δεν θεωρεί ότι το πόρισμα διευκολύνει την έρευνα και δια τούτο κατέστησε σαφές ότι δεν το λαμβάνει υπ’ όψιν του και θα προχωρήσει στην ανεξάρτητη διερεύνηση της υποθέσεως.

Σημειώνεται ότι στο πόρισμα προτείνεται η επιβολή πειθαρχικών κυρώσεων με μονοδιάστατη στόχευση προς τον Διευθυντή Εκλογών, ενώ σε ανακοίνωση του υπουργείου αναφέρεται ότι η πολιτική ηγεσία έχει εκκινήσει τις διαδικασίες επιβολής των κυρώσεων αυτών.

Ήδη όμως τα πράγματα έχουν πάρει άλλη τροπή καθώς ο κ. Μενουδάκος έχει ακούσει τις απολογίες και των άλλων εμπλεκομένων προσώπων και συγκεκριμένα του τέως ΓΓ Αποδήμου Ελληνισμού Νίκου Θεοδωρόπουλου, της Άννας Μισέλ Ασημακοπούλου και του τέως ΓΓ του Υπουργείου Εσωτερικών Μιχάλη Σταυριανουδάκη, οπότε έχει διαμορφώσει ιδίαν αντίληψη για τα γεγονότα καθώς και για τον χρόνο κατά τον οποίο έγινε η διαρροή.

Όλα τα στοιχεία συγκλίνουν ότι έγινε επί των ημερών της κ. Κεραμέως.

Υπενθυμίζεται ότι ο κ. Θεοδωρόπουλος, ο οποίος καρατομήθηκε μόλις έγινε γνωστό το σκάνδαλο, δήλωσε ότι την λίστα με τα ονόματα και τα λοιπά προσωπικά στοιχεία των ομογενών του την έδωσε μεγάλο στέλεχος της ΝΔ, συμφώνως δε προς πληροφορίες έδειξε το μήνυμα που είχε λάβει από τον συγκεκριμένο πολιτικό παράγοντα μέσω εφαρμογής κινητού τηλεφώνου, έχοντας καλύψει το όνομά του αποστολέα.

Ήδη για το θέμα της διαρροής αυτής έχουν υποβληθεί 300 προσφυγές ομογενών που όλες έχουν να κάνουν με την επιστολική ψήφο. Δεν είναι τυχαίο κατόπιν τούτου, ότι αποτυγχάνει η προσπάθεια προσελκύσεως Ελλήνων της διασποράς να μετάσχουν στις προσεχείς ευρωεκλογές, καθώς έχει δημιουργηθεί εντονότατη δυσπιστία απέναντι στο σύστημα.

Έτσι μόλις 45.000 ομογενείς έχουν εγγραφεί στην πλατφόρμα του υπουργείου Εσωτερικών για να έχουν δυνατότητα να ψηφίσουν. Προφανώς δεν πείθονται για την ασφάλεια των προσωπικών δεδομένων τα οποία τους ζητείται να δηλώσουν.

Για περισσότερο από τέσσερις ώρες, κλιμάκιο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πραγματοποίησε έρευνα στη Διεύθυνση Ηλεκτρονικής Διακυβέρνησης του υπουργείου Εσωτερικών.

Η εν λόγω έρευνα έρχεται μετά το σκάνδαλο διαρροής προσωπικών δεδομένων από το υπουργείο Εσωτερικών και τα emails από το πολιτικό γραφείο της Άννας Μισέλ Ασηκαμοπούλου. Υπενθυμίζεται ότι οι πλατφόρμες για την ψήφο των αποδήμων τελούν υπό την ευθύνη της Διεύθυνση Ηλεκτρονικής Διακυβέρνησης του Υπουργείου.

Η παραπάνω είδηση έρχεται ενώ αυξάνονται οι αγωγές των Ελλήνων ομογενών προς το ελληνικό δημόσιο, με τις πληροφορίες να αναφέρουν πως ήδη έχουν γίνει πάνω από 60 αγωγές στο ηλεκτρονικό σύστημα.

Από την πλευρά τους, κυβερνητικοί παράγοντες προσπαθούν απεγνωσμένα να διασώσουν την υπουργό Εσωτερικών, Νίκη Κεραμέως και τον ίδιο τον πρωθυπουργό Κυριάκο Μητσοτάκη, από το κάδρο του σκανδάλου. Ωστόσο, είναι ηλίου φαεινότερον πως το σκάνδαλο εκπορεύτηκε από τον μηχανισμό της Ν.Δ.

Συγκεκριμένα, η Αρχή διαπίστωσε ότι στη συγκεκριμένη περίπτωση η καταγγελλόμενη εταιρεία, η οποία εμπορεύεται υπηρεσίες αναγνώρισης προσώπων, παραβίασε τις αρχές της νομιμότητας και διαφάνειας (άρθρο 5 παρ. 1 α’, 6, 9 ΓΚΠΔ), καθώς και τις απορρέουσες από τις διατάξεις των άρθρων 12, 14, 15 και 27 του ΓΚΠΔ υποχρεώσεις της, επιβάλλοντας χρηματικό πρόστιμο ύψους 20.000.000 ευρώ.

Παράλληλα, η Αρχή απηύθυνε εντολή συμμόρφωσης στην ίδια ως άνω εταιρεία για την ικανοποίηση του ασκηθέντος ενώπιόν της αιτήματος πρόσβασης σε προσωπικά δεδομένα της καταγγέλλουσας, ενώ επέβαλε στην αυτή εταιρεία απαγόρευση ως προς τη συλλογή και επεξεργασία προσωπικών δεδομένων υποκειμένων ευρισκομένων στην ελληνική επικράτεια, με τη χρήση μεθόδων που περιλαμβάνει η υπηρεσία αναγνώρισης προσώπου.

Με την επίμαχη απόφαση η Αρχή απηύθυνε στην εταιρεία Clearview AI, Inc και εντολή διαγραφής των προσωπικών δεδομένων των ως άνω ευρισκόμενων στην ελληνική επικράτεια υποκειμένων, τα οποία η καταγγελλομένη συλλέγει και επεξεργάζεται με τη χρήση των αυτών ως άνω μεθόδων.

Τα δεδομένα για την απόφαση

Αξίζει να σημειωθεί η καταγγελία έγινε από την οργάνωση Homodigitalis. Σύμφωνα με όσα έχουν γίνει γνωστά, τα βασικά σημεία της απόφασης είναι τα εξής:

1. Η Clearview πραγματοποιεί κατάρτιση προφίλ χρησιμοποιώντας βιομετρικά δεδομένα
2. Η επεξεργασία δεδομένων δεν είχε καμία νομική βάση, επομένως η Clearview είχε παραβιάσει την αρχή της νομιμότητας
3. Υπάρχει έλλειψη διαφάνειας όσον αφορά τη διαδικασία επεξεργασίας
4. Το δικαίωμα πρόσβασης της καταγγέλλουσας δεν έγινε σεβαστό
5. Η Clearview δεν έχει ορίσει Εκπρόσωπο στην Ε.Ε. ως όφειλε.

Ποια είναι η Clearview AI

Η Clearview AI είναι μια αμερικανική εταιρεία με έδρα τη Νέα Υόρκη, η οποία ισχυρίζεται στον δικτυακό τόπο της ότι διαθέτει τη μεγαλύτερη βιομετρική βάση δεδομένων του κόσμου, η οποία περιέχει πάνω από 3 δισεκατομμύρια εικόνες προσώπων που συλλέχθηκαν αυτόματα από το Facebook και άλλους δικτυακούς τόπους.

Οι εικόνες συλλέχθηκαν χωρίς τη γνώση και τη συγκατάθεση των εικονιζόμενων, κάτι που σημαίνει ότι η εταιρεία παραβίασε τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) που ισχύει στην ΕΕ, επεσήμαναν τέσσερις οργανώσεις, οι οποίες υπέβαλαν καταγγελίες στις αρχές δεδομένων της Ελλάδας, της Γαλλίας, της Αυστρίας, της Ιταλίας και της Βρετανίας (η οποία έχει υιοθετήσει τη δική της βερσιόν του GDPR).

Σύμφωνα με την οργάνωση homodigitalis, οι καταγγελίες περιγράφουν λεπτομερώς τον τρόπο με τον οποίο λειτουργεί ο αυτοματοποιημένος συλλέκτης εικόνων της Clearview ΑΙ. Πρόκειται για ένα αυτοματοποιημένο εργαλείο, το οποίο επισκέπτεται δημόσιες ιστοσελίδες και συλλέγει όσες εικόνες εντοπίζει που περιέχουν ανθρώπινα πρόσωπα. Μαζί με τις εικόνες αυτές, ο αυτοματοποιημένος συλλέκτης συλλέγει επίσης και μεταδεδομένα που συμπληρώνουν τις εικόνες αυτές, όπως ο τίτλος της ιστοσελίδας και ο σύνδεσμος πηγής της. Στη συνέχεια, οι εικόνες προσώπου που έχουν συλλεχθεί αντιπαραβάλλονται στο λογισμικό αναγνώρισης προσώπου που έχει δημιουργήσει η εταιρία Clearview ΑΙ προκειμένου να χτιστεί η βάση δεδομένων της εταιρίας. Η Clearview ΑΙ πουλάει την πρόσβαση σε αυτή τη βάση δεδομένων σε ιδιωτικές εταιρίες και αρχές επιβολής του νόμου, όπως αστυνομικές αρχές, διεθνώς.

Η εταιρία Clearview ΑΙ έγινε διεθνώς γνωστή τον Ιανουάριο του 2020 όταν μία έρευνα των New York Times αποκάλυψε τις πρακτικές της, οι οποίες έως τότε καλύπτονταν από ένα πέπλο μυστηρίου.
Έρευνες κατά της εταιρείας εκκρεμούν σε Βρετανία, Αυστραλία και Καναδά, ενώ αμερικανικές οργανώσεις για τα πολιτικά δικαιώματα προσέφυγαν τον Μάρτιο του 2021 στη Δικαιοσύνη ζητώντας να σταματήσει η συλλογή βιομετρικών δεδομένων στην Καλιφόρνια.

Η εταιρεία υποστηρίζει από την πλευρά της ότι η βάση δεδομένων είναι νόμιμη επειδή βασίζεται σε δημόσια διαθέσιμες εικόνες και δεν μπορεί να χρησιμοποιηθεί για παρακολούθηση προσώπων.

Στις 8 Μαρτίου 2022 επιδόθηκε, με δικαστικό επιμελητή, στην Αρχή Προστασίας Προσωπικών Δεδομένων επείγουσα έκκληση προκειμένου να παρέμβει άμεσα για την υπεράσπιση του θεμελιώδους δικαιώματος της προστασίας των προσωπικών δεδομένων των πολιτών, καθώς βρίσκεται σε εξέλιξη μιας μεγάλης κλίμακας παράνομη επεξεργασία ευαίσθητων προσωπικών δεδομένων από δημόσιους φορείς με σκοπό την επιβολή του διοικητικού προστίμου των 100 ευρώ που προβλέπεται από τη διάταξη του άρθρου 24 ν. 4865/2021.

Η έκκληση αυτή υπογράφεται από 31 νομικούς και καθηγητές ΑΕΙ, ενώ ήδη δεκάδες πολίτες έχουν απευθυνθεί στους υπεύθυνους Προστασίας Δεδομένων της ΗΔΙΚΑ, του υπουργείου Εργασίας και υπουργείου Υγείας ασκώντας το νόμιμο δικαίωμά τους να μη χρησιμοποιηθούν τα προσωπικά δεδομένα τους σε παράνομη επεξεργασία.

Ολόκληρο το εξώδικο των νομικών και καθηγητών μπορείτε να το βρείτε εδώ.

Συνολικό πρόστιμο ύψους 6.000.000 ευρώ επέβαλε με απόφασή της (4/2022) η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εταιρεία COSMOTE για υπόθεση διαρροής δεδομένων κλήσεων συνδρομητών της κατά το χρονικό διάστημα από 1/9/2020 έως 5/9/2020. Ακόμη, για την ίδια υπόθεση, η Αρχή επέβαλλε πρόστιμο και στον ΟΤΕ ύψους 3.250.000 ευρώ.

Σε σχετικό δελτίο Τύπου που εξέδωσε η ανεξάρτητη Αρχή για τη συγκεκριμένη υπόθεση αναφέρει:

«Κατόπιν γνωστοποίησης περιστατικού παραβίασης προσωπικών δεδομένων εκ μέρους της εταιρείας COSMOTE (διαρροή δεδομένων κλήσεων συνδρομητών το χρονικό διάστημα 1/9/2020 - 5/9/2020), η Αρχή διερεύνησε τις συνθήκες υπό τις οποίες έλαβε χώρα το περιστατικό και, στο πλαίσιο αυτό, εξέτασε τη νομιμότητα της τήρησης των αρχείων που διέρρευσαν καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας. Πρόκειται για ένα αρχείο που περιλαμβάνει δεδομένα κίνησης των συνδρομητών και το οποίο, αφενός μεν, τηρείται με σκοπό τη διαχείριση προβλημάτων και βλαβών για 90 ημέρες από την πραγματοποίηση των κλήσεων, αφετέρου δε, το αρχείο «ανωνυμοποιείται» (ψευδωνυμοποιείται) και τηρείται για 12 μήνες με σκοπό την εξαγωγή στατιστικών συμπερασμάτων προς τον βέλτιστο σχεδιασμό τού δικτύου κινητής τηλεφωνίας, αφού εμπλουτιστεί με επιπλέον απλά προσωπικά δεδομένα.

Από τη διερεύνηση της υπόθεσης προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων- ΓΚΠΔ), παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία. Επίσης, διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού.

Για τις διαπιστωθείσες παραβάσεις και λαμβανομένων υπόψη των κριτηρίων του άρθρου 83 παρ. 2 ΓΚΠΔ, η Αρχή επέβαλε στην COSMOTE πρόστιμο συνολικού ύψους 6.000.000 ευρώ, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 ευρώ».

H Cosmote εφάρμοζε και εφαρμόζει όλα τα διαθέσιμα μέτρα για τη θωράκιση των υποδομών της

Σε συνέχεια της ανακοίνωσης της ΑΠΔΠΧ για την απόφασή της για το περιστατικό κυβερνοεπίθεσης με θύμα την COSMOTE που έλαβε χώρα τον Σεπτέμβριο του 2020, η εταιρεία σε ανακοίνωσή της σημειώνει ότι εφάρμοζε και εφαρμόζει όλα τα διαθέσιμα μέτρα για τη θωράκιση των υποδομών της. Η ίδια ανίχνευσε την κυβερνοεπίθεση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Όπως αναγνωρίζει και η Αρχή, η εταιρεία συνεργάστηκε πλήρως με την ΑΠΔΠΧ και έλαβε μέτρα για την αντιμετώπιση του περιστατικού. Από την πλευρά των πελατών, δεν χρειάστηκε και δεν χρειάζεται να γίνει καμία ενέργεια. Σε κάθε περίπτωση, η εταιρεία επιφυλάσσεται κάθε νόμιμου δικαιώματός της.

Το φαινόμενο των κυβερνοεπιθέσεων αποτελεί καθημερινότητα παγκοσμίως για όλα τα συστήματα τεχνολογίας εταιρειών, οργανισμών και θεσμών. Ο Όμιλος ΟΤΕ αποκρούει κάθε μήνα πάνω από 500.000 κακόβουλες επιθέσεις τρίτων σε συστήματα.

«Υπενθυμίζεται ότι το αρχείο που είχε εξαχθεί παρανόμως δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών». επισημαίνεται στην ανακοίνωση της Cosmote.

Η Αρχή Προστασίας των Προσωπικών Δεδομένων, εν όψει των επικειμένων εθνικών-βουλευτικών εκλογών της 7ης Ιουλίου 2019, επαναλαμβάνει τις κατευθυντήριες οδηγίες της, στις οποίες περιγράφονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων μέσω τηλεφωνικών κλήσεων, αλλά και με χρήση ηλεκτρονικών μέσων (SMS, MMS, email, εφαρμογές ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών» και αυτόματες τηλεφωνικές κλήσεις με προηχογραφημένο μήνυμα και φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή).

Με τις οδηγίες της Αρχής εξειδικεύονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων στην πολιτική επικοινωνία, η οποία πραγματοποιείται με ποικίλους τρόπους και σε οποιαδήποτε χρονική περίοδο, συμπεριλαμβανομένης της προεκλογικής, από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην Τοπική Αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις ευρωεκλογές και τις εκλογές Τοπικής Αυτοδιοίκησης (νομαρχιακές, δημαρχιακές και δημοτικές).

Ειδικότερα, η Αρχή αναφέρει τους κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση, αλλά και με τη χρήση ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση (όπως είναι SMS, MMS, email, εφαρμογές ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών», αυτόματες τηλεφωνικές κλήσεις με προηχογραφημένο μήνυμα και φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή).

Αναλυτικότερα, η Αρχή αναφέρει για την πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση, δηλαδή, ότι επιτρέπεται, με συγκατάθεση όμως των υποκειμένων (καλουμένου) για την επεξεργασία δεδομένων τους για το συγκεκριμένο σκοπό.



ΑΠΕ