Αναζήτηση στην κοινότητα
Εμφάνιση αποτελεσμάτων για τις ετικέτες 'GDPR'.
8 αποτελέσματα
-
Το υπουργείο Προστασίας του Πολίτη δρομολογεί τροποποιήσεις στη νομοθεσία που διέπει την έκδοση των νέων αστυνομικών ταυτοτήτων. Η κίνηση αυτή έπεται της επιβολής προστίμου 150.000€ από την Αρχή Προστασίας Προσωπικών Δεδομένων, λόγω παρατυπιών που διαπιστώθηκαν κατόπιν αυτεπάγγελτης εξέτασης. Η έρευνα της Αρχής αποκάλυψε ελλείψεις στον τρόπο πληροφόρησης των πολιτών σχετικά με τη διαχείριση των προσωπικών τους στοιχείων κατά την έκδοση νέων ταυτοτήτων, κάτι που συνιστά παραβίαση της αρχής της διαφάνειας, όπως αυτή ορίζεται στο Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR). Με βάση την απόφαση που είναι διαθέσιμη εδώ, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντόπισε τις εξής βασικές πλημμέλειες στη διαδικασία έκδοσης των νέων ταυτοτήτων: 1. Παραβίαση των άρθρων 13 και 14 του ΓΚΠΔ (GDPR) σχετικά με την ενημέρωση των υποκειμένων των δεδομένων: - Απουσία ενημέρωσης για μεγάλο χρονικό διάστημα μετά την έναρξη έκδοσης των νέων ταυτοτήτων. - Καθυστερημένη ανάρτηση του κειμένου ενημέρωσης στην ιστοσελίδα του υπεύθυνου επεξεργασίας. - Εσφαλμένες πληροφορίες στο κείμενο ενημέρωσης, όπως λανθασμένη αναφορά στη νομική βάση επεξεργασίας των βιομετρικών δεδομένων. 2. Παραβίαση του άρθρου 35 παρ. 1 του ΓΚΠΔ (GDPR) σχετικά με την εκτίμηση αντικτύπου: - Μη διενέργεια εκτίμησης αντικτύπου πριν την έναρξη της επεξεργασίας, όπως απαιτείται. - Διενέργεια εκτίμησης αντικτύπου μόνο μετά από επικοινωνία της Αρχής και αφού είχε ήδη ξεκινήσει η έκδοση των νέων ταυτοτήτων. - Η εκτίμηση αντικτύπου που τελικά διενεργήθηκε δεν φαίνεται να εντόπισε όλους τους κινδύνους. 3. Παραβίαση της αρχής της ελαχιστοποίησης των δεδομένων (άρθρο 5 παρ. 1 στοιχ. γ' ΓΚΠΔ): - Αποθήκευση στο ηλεκτρονικό μέσο (τσιπ) στοιχείων που δεν απαιτούνται από τον Κανονισμό (ΕΕ) 2019/1157, όπως επώνυμο πατέρα, επώνυμο μητέρας, Δήμος εγγραφής, αριθμός δημοτολογίου και τόπος έκδοσης του δελτίου. - Μη επαρκής τεκμηρίωση της αναγκαιότητας συμπερίληψης αυτών των επιπλέον στοιχείων. - Έλλειψη σαφήνειας σχετικά με το πώς, από ποιους και για ποιους σκοπούς θα χρησιμοποιούνται αυτά τα επιπλέον στοιχεία. 4. Παραβίαση των υποχρεώσεων του υπεύθυνου επεξεργασίας σύμφωνα με το άρθρο 24 του ΓΚΠΔ: - Μη επαρκής τεκμηρίωση της τήρησης της αρχής της ελαχιστοποίησης των δεδομένων. - Έλλειψη σαφούς νομικής βάσης για την επεξεργασία ορισμένων δεδομένων. Η ολοκλήρωση των προαναφερθέντων διαδικασιών προβλέπεται να πραγματοποιηθεί μέσα στο επόμενο εξάμηνο. Αξίζει να σημειωθεί πως τα δελτία ταυτότητας που έχουν ήδη εκδοθεί διατηρούν την εγκυρότητά τους ενώ παράλληλα, η διαδικασία χορήγησης νέων δελτίων θα συνεχιστεί απρόσκοπτα μέχρι την περάτωση των σχεδιαζόμενων τροποποιήσεων. Σύμφωνα με την ανακοίνωση, το πρόστιμο των 150.000€ που επέβαλε η Αρχή διαχωρίζεται σε 50.000€ για την παραβίαση των άρθρων 13 και 14 του ΓΚΠΔ και 100.000€ για την παραβίαση του άρθρου 35 παρ. 1 του ΓΚΠΔ. Διαβάστε ολόκληρο το άρθρο
-
Η κίνηση αυτή έπεται της επιβολής προστίμου 150.000€ από την Αρχή Προστασίας Προσωπικών Δεδομένων, λόγω παρατυπιών που διαπιστώθηκαν κατόπιν αυτεπάγγελτης εξέτασης. Η έρευνα της Αρχής αποκάλυψε ελλείψεις στον τρόπο πληροφόρησης των πολιτών σχετικά με τη διαχείριση των προσωπικών τους στοιχείων κατά την έκδοση νέων ταυτοτήτων, κάτι που συνιστά παραβίαση της αρχής της διαφάνειας, όπως αυτή ορίζεται στο Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR). Με βάση την απόφαση που είναι διαθέσιμη εδώ, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντόπισε τις εξής βασικές πλημμέλειες στη διαδικασία έκδοσης των νέων ταυτοτήτων: 1. Παραβίαση των άρθρων 13 και 14 του ΓΚΠΔ (GDPR) σχετικά με την ενημέρωση των υποκειμένων των δεδομένων: - Απουσία ενημέρωσης για μεγάλο χρονικό διάστημα μετά την έναρξη έκδοσης των νέων ταυτοτήτων. - Καθυστερημένη ανάρτηση του κειμένου ενημέρωσης στην ιστοσελίδα του υπεύθυνου επεξεργασίας. - Εσφαλμένες πληροφορίες στο κείμενο ενημέρωσης, όπως λανθασμένη αναφορά στη νομική βάση επεξεργασίας των βιομετρικών δεδομένων. 2. Παραβίαση του άρθρου 35 παρ. 1 του ΓΚΠΔ (GDPR) σχετικά με την εκτίμηση αντικτύπου: - Μη διενέργεια εκτίμησης αντικτύπου πριν την έναρξη της επεξεργασίας, όπως απαιτείται. - Διενέργεια εκτίμησης αντικτύπου μόνο μετά από επικοινωνία της Αρχής και αφού είχε ήδη ξεκινήσει η έκδοση των νέων ταυτοτήτων. - Η εκτίμηση αντικτύπου που τελικά διενεργήθηκε δεν φαίνεται να εντόπισε όλους τους κινδύνους. 3. Παραβίαση της αρχής της ελαχιστοποίησης των δεδομένων (άρθρο 5 παρ. 1 στοιχ. γ' ΓΚΠΔ): - Αποθήκευση στο ηλεκτρονικό μέσο (τσιπ) στοιχείων που δεν απαιτούνται από τον Κανονισμό (ΕΕ) 2019/1157, όπως επώνυμο πατέρα, επώνυμο μητέρας, Δήμος εγγραφής, αριθμός δημοτολογίου και τόπος έκδοσης του δελτίου. - Μη επαρκής τεκμηρίωση της αναγκαιότητας συμπερίληψης αυτών των επιπλέον στοιχείων. - Έλλειψη σαφήνειας σχετικά με το πώς, από ποιους και για ποιους σκοπούς θα χρησιμοποιούνται αυτά τα επιπλέον στοιχεία. 4. Παραβίαση των υποχρεώσεων του υπεύθυνου επεξεργασίας σύμφωνα με το άρθρο 24 του ΓΚΠΔ: - Μη επαρκής τεκμηρίωση της τήρησης της αρχής της ελαχιστοποίησης των δεδομένων. - Έλλειψη σαφούς νομικής βάσης για την επεξεργασία ορισμένων δεδομένων. Η ολοκλήρωση των προαναφερθέντων διαδικασιών προβλέπεται να πραγματοποιηθεί μέσα στο επόμενο εξάμηνο. Αξίζει να σημειωθεί πως τα δελτία ταυτότητας που έχουν ήδη εκδοθεί διατηρούν την εγκυρότητά τους ενώ παράλληλα, η διαδικασία χορήγησης νέων δελτίων θα συνεχιστεί απρόσκοπτα μέχρι την περάτωση των σχεδιαζόμενων τροποποιήσεων. Σύμφωνα με την ανακοίνωση, το πρόστιμο των 150.000€ που επέβαλε η Αρχή διαχωρίζεται σε 50.000€ για την παραβίαση των άρθρων 13 και 14 του ΓΚΠΔ και 100.000€ για την παραβίαση του άρθρου 35 παρ. 1 του ΓΚΠΔ.
-
Όλα ήρθαν στο φως μετά από μια εσωτερική αξιολόγηση/έρευνα που αποκάλυψε μία παραβίαση δεδομένων που επηρέασε 100.000 χρήστες τους, αναγκάζοντας τις δύο εταιρείες να εκδώσουν επίσημη κοινοποίηση για την παραβίαση της βάσης χρηστών τους. Οι παραβάσεις ξεκίνησαν το 2017 και εξακολούθησαν να συνεχίζονται μέχρι την αξιολόγηση του περασμένου μήνα. Το Monument και το Tempest ξεκίνησαν ως δύο εντελώς διαφορετικές πλατφόρμες, αλλά πριν από αρκετούς μήνες, η δεύτερη εξαγοράστηκε από την πρώτη. Η μητρική εταιρεία Monument επιβεβαίωσε όχι μόνο την παραβίαση δεδομένων αλλά και ότι οι εταιρείες μοιράστηκαν προσωπικές και εμπιστευτικές πληροφορίες με τους διαφημιστές μέσω μιας ειδοποίησης που κατατέθηκε στον Γενικό Εισαγγελέα της Καλιφόρνιας. Τα δεδομένα που κοινοποιήθηκαν στις διαφημιστικές εταιρείες χωρίς τη συγκατάθεση των χρηστών περιλαμβάνουν ονόματα ασθενών, ημερομηνίες γέννησης, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ταχυδρομικές διευθύνσεις, αριθμούς τηλεφώνου, πληροφορίες ασφάλισης και άλλα. Δυστυχώς, αυτή είναι μόνο η αρχή. Σε κάτι που θα μπορούσε μόνο να χαρακτηριστεί μία άκαρδη προσβολή προς εκείνους που ζητούν υποστήριξη, οι δύο αυτές εταιρείες μοιράστηκαν με τις διαφημιστικές εταιρείες και δεδομένα που αφορούσαν ραντεβού, αξιολογήσεις και απαντήσεις σε έρευνες στις οποίες περιλαμβάνονταν δεδομένα κατανάλωσης αλκοόλ. Η Monument στην ιστοσελίδα της εξακολουθεί να τονίζει τη δέσμευσή της στην προστασία της ιδιωτικής ζωής λέγοντας ότι οι απαντήσεις των χρηστών στις έρευνες «προστατεύονται» παρά την πρόσφατη αποκάλυψη. Οι εταιρείες κατηγορούν τα συστήματα παρακολούθησης τρίτων για το ζήτημα (third-party tracking systems), δηλώνοντας ότι έχουν αφαιρέσει τους προσβλητικούς κωδικούς παρακολούθησης από τις ιστοσελίδες τους. Οι εταιρείες δεν παραδέχονται ότι μοιράστηκαν σκοπίμως τις συγκεκριμένες πληροφορίες για την αύξηση των κερδών τους, λέγοντας ότι τα σύστημα παρακολούθησης έκαναν τα πάντα από μόνα τους. Αν και πρόκειται για ένα ιδιαίτερα κραυγαλέο παράδειγμα, είναι σημαντικό να θυμόμαστε ότι οι περισσότερες εταιρείες δεν τα πηγαίνουν καλά με την προστασία των προσωπικών δεδομένων. Η λίστα με τις παραβιάσεις είναι… αμέτρητη. Να σας θυμίσουμε τότε που μία startup για την ψυχική υγεία μοιράστηκε πληροφορίες ασθενών χωρίς τη συγκατάθεση τους, να ξαναπούμε για την Meta που πιάστηκε με το χέρι στο βάζο με τα (ψηφιακά) cookies;
-
Όπως πρώτη αποκάλυψε η ιστοσελίδα TechCrunch, δύο διαδικτυακές πλατφόρμες υποστήριξης για την απεξάρτηση από το αλκοόλ, οι Monument και Tempest, «πιάστηκαν» να κοινοποιούν εμπιστευτικά δεδομένα των χρηστών με διαφημιστικές εταιρείες χωρίς τη συγκατάθεση τους. Όλα ήρθαν στο φως μετά από μια εσωτερική αξιολόγηση/έρευνα που αποκάλυψε μία παραβίαση δεδομένων που επηρέασε 100.000 χρήστες τους, αναγκάζοντας τις δύο εταιρείες να εκδώσουν επίσημη κοινοποίηση για την παραβίαση της βάσης χρηστών τους. Οι παραβάσεις ξεκίνησαν το 2017 και εξακολούθησαν να συνεχίζονται μέχρι την αξιολόγηση του περασμένου μήνα. Το Monument και το Tempest ξεκίνησαν ως δύο εντελώς διαφορετικές πλατφόρμες, αλλά πριν από αρκετούς μήνες, η δεύτερη εξαγοράστηκε από την πρώτη. Η μητρική εταιρεία Monument επιβεβαίωσε όχι μόνο την παραβίαση δεδομένων αλλά και ότι οι εταιρείες μοιράστηκαν προσωπικές και εμπιστευτικές πληροφορίες με τους διαφημιστές μέσω μιας ειδοποίησης που κατατέθηκε στον Γενικό Εισαγγελέα της Καλιφόρνιας. Τα δεδομένα που κοινοποιήθηκαν στις διαφημιστικές εταιρείες χωρίς τη συγκατάθεση των χρηστών περιλαμβάνουν ονόματα ασθενών, ημερομηνίες γέννησης, διευθύνσεις ηλεκτρονικού ταχυδρομείου, ταχυδρομικές διευθύνσεις, αριθμούς τηλεφώνου, πληροφορίες ασφάλισης και άλλα. Δυστυχώς, αυτή είναι μόνο η αρχή. Σε κάτι που θα μπορούσε μόνο να χαρακτηριστεί μία άκαρδη προσβολή προς εκείνους που ζητούν υποστήριξη, οι δύο αυτές εταιρείες μοιράστηκαν με τις διαφημιστικές εταιρείες και δεδομένα που αφορούσαν ραντεβού, αξιολογήσεις και απαντήσεις σε έρευνες στις οποίες περιλαμβάνονταν δεδομένα κατανάλωσης αλκοόλ. Η Monument στην ιστοσελίδα της εξακολουθεί να τονίζει τη δέσμευσή της στην προστασία της ιδιωτικής ζωής λέγοντας ότι οι απαντήσεις των χρηστών στις έρευνες «προστατεύονται» παρά την πρόσφατη αποκάλυψη. Οι εταιρείες κατηγορούν τα συστήματα παρακολούθησης τρίτων για το ζήτημα (third-party tracking systems), δηλώνοντας ότι έχουν αφαιρέσει τους προσβλητικούς κωδικούς παρακολούθησης από τις ιστοσελίδες τους. Οι εταιρείες δεν παραδέχονται ότι μοιράστηκαν σκοπίμως τις συγκεκριμένες πληροφορίες για την αύξηση των κερδών τους, λέγοντας ότι τα σύστημα παρακολούθησης έκαναν τα πάντα από μόνα τους. Αν και πρόκειται για ένα ιδιαίτερα κραυγαλέο παράδειγμα, είναι σημαντικό να θυμόμαστε ότι οι περισσότερες εταιρείες δεν τα πηγαίνουν καλά με την προστασία των προσωπικών δεδομένων. Η λίστα με τις παραβιάσεις είναι… αμέτρητη. Να σας θυμίσουμε τότε που μία startup για την ψυχική υγεία μοιράστηκε πληροφορίες ασθενών χωρίς τη συγκατάθεση τους, να ξαναπούμε για την Meta που πιάστηκε με το χέρι στο βάζο με τα (ψηφιακά) cookies; Διαβάστε ολόκληρο το άρθρο
-
Πρόκειται για ένα νομικό πλαίσιο κανόνων της Ευρωπαϊκής Ένωσης προκειμένου να εξασφαλίσει στους πολίτες των 28 κρατών-μελών της μία ασφαλέστερη εμπειρία πλοήγησης στο διαδίκτυο, αλλάζοντας τον τρόπο με τον οποίο οι εταιρείες εντός και εκτός Ένωσης συλλέγουν, χρησιμοποιούν, επεξεργάζονται και αποθηκεύουν τα ευαίσθητα προσωπικά δεδομένα των χρηστών. Το πλάνο για τον GDPR ξεκίνησε επί της ουσίας το 2012 με τη δημοσίευση της αρχικής πρότασης, για να εγκριθεί από το Ευρωπαϊκό Κοινοβούλιο τέσσερα χρόνια αργότερα και συγκεκριμένα τον Απρίλιο του 2016. Προβλέφθηκε μάλιστα μία περίοδος χάριτος δύο ετών, κατά την οποία οι επιχειρήσεις θα έπρεπε να συμμορφωθούν με τα όσα προβλέπει, έτσι ώστε να είναι έτοιμες την καταληκτική ημερομηνία υποχρεωτικής εφαρμογής της 25ης Μαΐου. Τι προβλέπει ο GDPR; Ο GDPR εστιάζει στα προσωπικά δεδομένα των χρηστών. Ποια είναι αυτά; Πληροφορίες όπως το ονοματεπώνυμο, ο ΑΦΜ, η διεύθυνση κατοικίας, το email, τραπεζικοί λογαριασμοί ή η τοποθεσία, με τη βοήθεια των οποίων μπορεί να γίνει ταυτοποίηση ενός ατόμου. Στόχος του είναι να υποχρεώσει τις εταιρείες που συλλέγουν και διαχειρίζονται τέτοια δεδομένα, να το κάνουν τηρώντας συγκεκριμένα στάνταρ ασφαλείας, με σκοπό την αντιμετώπιση κινδύνων όπως η κλοπή ταυτότητας, η μη εξουσιοδοτημένη δημοσιοποίηση και η διαδικτυακή παρενόχληση –μεταξύ άλλων. Στην πράξη, ο GDPR αφορά κάθε επιχείρηση ιδιωτικού και δημοσίου τομέα ανεξαρτήτως κλάδου που συλλέγει, αποθηκεύει και επεξεργάζεται δεδομένα φυσικών προσώπων (υπαλλήλων, συνεργατών, επισκεπτών, πελατών). Περιλαμβάνει συγκεκριμένες διαδικασίες για τη συλλογή, την οργάνωση, την αποθήκευση, τη διαβίβαση και τη διαγραφή κάθε τύπου πληροφορίας, υποχρεώνοντας παράλληλα τις εταιρείες να γνωστοποιούν ξεκάθαρα και με σαφήνεια στους χρήστες ποιος επεξεργάζεται τα δεδομένα τους, ποια δεδομένα επεξεργάζεται και γιατί. Ο κανονισμός της Ευρωπαϊκής Ένωσης είναι ο ίδιος για όλα τα κράτη-μέλη ενώ αφορά ακόμα και φυσικά ή νομικά πρόσωπα που έχουν έδρα σε άλλη χώρα εκτός της Ένωσης, αρκεί να διαχειρίζονται και να επεξεργάζονται προσωπικά δεδομένα πολιτών της Ένωσης – κίνηση που διευκολύνει σε μεγάλο βαθμό τις εταιρείες με διακρατική δραστηριοποίηση καθώς πλέον δεν χρειάζεται να λάβουν υπ’ όψιν τυχόν εθνικές νομοθεσίες αλλά να προσαρμοστούν στον GDPR. Ανάλογα με τον τομέα της, τον βαθμό στον οποίο επεξεργάζεται δεδομένα χρηστών αλλά και τη συχνότητα με την οποία γίνεται αυτό, μία εταιρεία ενδεχομένως να πρέπει να ορίσει ακόμα και συγκεκριμένο άνθρωπο (Υπεύθυνος Προστασίας Δεδομένων, Data Protection Officer ή DPO) που θα είναι ο υπεύθυνος για την τήρηση του GDPR και τη συμμόρφωση με τους κανόνες του. Τι σημαίνει όμως για τους χρήστες; Με τον GDPR, οι χρήστες αποκτούν μια σειρά δικαιωμάτων σε ό,τι αφορά τα προσωπικά τους δεδομένα. Με περισσότερους από 250 εκατ. Ευρωπαίους πολίτες να χρησιμοποιούν το διαδίκτυο σε καθημερινή βάση και ολοένα και περισσότερες εταιρείες να βασίζουν τη λειτουργία τους πάνω στα προσωπικά δεδομένα που συλλέγουν καθημερνά, η Ευρωπαϊκή Ένωση θέλησε να τοποθετήσει τους ίδιους τους χρήστες σε θέση ισχύος έναντι των επιχειρήσεων Βάσει του GDPR λοιπόν, τα φυσικά πρόσωπα στην Ευρωπαϊκή Ένωση δικαιούνται: • Να γνωρίζουν ξεκάθαρα και κατανοητά ποιος επεξεργάζεται τα δεδομένα τους, για ποια δεδομένα πρόκειται ακριβώς και για ποιον λόγο συμβαίνει αυτό. • Να υποβάλλουν αίτημα πρόσβασης στα προσωπικά τους δεδομένα που διαθέτει ένας οργανισμός. • Να ζητούν από έναν πάροχο υπηρεσιών να διαβιβάσει τα προσωπικά τους δεδομένα σε άλλο πάροχο σε περίπτωση αλλαγής του (π.χ. πρόγραμμα κινητής, σύνδεση broadband, υπηρεσίες cloud κλπ). • Να ζητούν τη διαγραφή προσωπικών δεδομένων αν δεν επιθυμούν αυτά να αποτελούν πλέον αντικείμενο επεξεργασίας και εφ’ όσον υπάρχει λόγος να τα κατέχει νομίμως μία εταιρεία (το λεγόμενο “δικαίωμα στη λήθη”). • Να δίνουν τη ρητή συγκατάθεσή τους κάθε φορά που εταιρεία ή οργανισμός χρειάζεται να επεξεργαστεί δεδομένα τους, γνωρίζοντας παράλληλα τον τρόπο με τον οποίο θα γίνει η επεξεργασία αυτή. • Να ενημερωθούν άνευ καθυστέρησης σε περίπτωση που τα δεδομένα τους χαθούν ή κλαπούν –και η παραβίαση αυτή θα μπορούσε να τους βλάψει. • Να απαιτούν τυχόν πληροφορίες που απευθύνονται σε παιδιά, να είναι εύκολα προσβάσιμες και γραμμένες σε απλή και κατανοητή γλώσσα. Στην πράξη λοιπόν, όσοι συλλέγουν, επεξεργάζονται και αποθηκεύουν προσωπικά δεδομένα, πρέπει να λειτουργούν με πλήρη διαφάνεια και παράλληλα να είναι σε θέση να αποδείξουν ανά πάσα στιγμή ότι πληρούν τα απαραίτητα στάνταρ ασφαλείας (κρυπτογράφηση, διασφάλιση εμπιστευτικότητας και ακεραιότητας, δυνατότητα άμεσης αποκατάστασης πρόσβασης κλπ). Φαινόμενα εταιρειών που ζητούν υπερβολικά πολλά δεδομένα για μία υπηρεσία (π.χ. αριθμός κινητού τηλεφώνου για παροχή δωρεάν Wi-Fi) ή επιχειρήσεων που αποστέλλουν μαζικά ενημερωτικά/προωθητικά emails σε χρήστες που ουδέποτε έδωσαν τη συγκατάθεσή τους θα εκλείψουν αναγκαστικά, σε διαφορετική περίπτωση αυτές θα έρθουν αντιμέτωπες με ιδιαιτέρως υψηλά πρόστιμα –κρατήστε το αυτό το τελευταίο, θα επανέλθουμε. Τι πρέπει να γνωρίζουν developers και webmasters; Όπως αναφέραμε, ο GDPR αφορά όλα τα φυσικά ή νομικά πρόσωπα που συλλέγουν και διαχειρίζονται προσωπικά δεδομένα χρηστών, όσο μεγάλα ή μικρά κι αν είναι αυτά. Με αυτό κατά νου, κάθε ιστοσελίδα θα πρέπει να λάβει τα μέτρα της, αλλάζοντας συγκεκριμένες διαδικασίες και προσθέτοντας επιπλέον λειτουργίες –δίνοντας έτσι μεγαλύτερη ελευθερία στους χρήστες/επισκέπτες της- ώστε να μη βρεθεί προ εκπλήξεως. Μια λίστα βασικών βελτιώσεων/προσθηκών, θα μπορούσε να συνοψιστεί στα κάτωθι: • Οι χρήστες θα πρέπει να έχουν το δικαίωμα να διαγράψουν άπαξ διά παντός το προφίλ τους με όλα τα προσωπικά τους δεδομένα εφ’ όσον το επιθυμούν. • Η λίστα χρηστών/μελών μίας σελίδας δεν θα πρέπει να είναι προσβάσιμη από τους εργαζόμενους στην ιδιοκτήτρια εταιρεία μέσω του CMS. • Οι χρήστες θα πρέπει να έχουν τη δυνατότητα να προβάλλουν μέσα από το περιβάλλον της ιστοσελίδας που βρίσκονται, όλα τα δεδομένα που έχει γι’ αυτούς εκείνη. • Η διαγραφή προσωπικών δεδομένων από μία σελίδα, θα πρέπει να ακολουθείται από την ίδια διαδικασία σε κάθε site που έχει πάρει τα δεδομένα αυτά από την εν λόγω σελίδα. • Ύπαρξη πλαισίων ελέγχου (checkboxes) αποδοχής για κάθε επεξεργασία δεδομένων που λαμβάνει χώρα –το γενικό «αποδέχομαι τους όρους και τις προϋποθέσεις» δεν αρκεί πλέον. Για τις περιπτώσεις που ο χρήστης έχει αποδεχθεί απλώς όρους και προϋποθέσεις, πρέπει να εξασφαλιστεί η συγκατάθεσή του εκ νέου. • Οι χρήστες θα πρέπει να έχουν τη δυνατότητα να τροποποιήσουν το προφίλ τους και καθετί περιλαμβάνει αυτό. • Τα δεδομένα δεν θα πρέπει να φυλάσσονται για μεγαλύτερο χρονικό διάστημα απ’ ό,τι απαιτείται. • Δεν θα πρέπει να ζητούνται παραπάνω δεδομένα από όσα είναι απαραίτητα για τη λειτουργία της κάθε ιστοσελίδας και την προσφορά των υπηρεσιών της. • Στις περιπτώσεις που ο χρήστης είναι κάτω των 16 ετών, μία ιστοσελίδα θα πρέπει να βρει τον τρόπο να επικοινωνήσει με τον γονέα/κηδεμόνα του και να πάρει την συγκατάθεσή του (κάτι το οποίο βέβαια μπορεί εύκολα να παρακαμφθεί από πλευράς χρήστη όμως σε κάθε περίπτωση ένα site είναι υποχρεωμένο να το κάνει). Επιπρόσθετα, μία εταιρεία θα πρέπει να διασφαλίσει ότι τα δεδομένα που διαβιβάζει ή/και κρατά αποθηκευμένα, καθώς επίσης και τα αντίγραφα ασφαλείας της, είναι επαρκώς κωδικοποιημένα. Θα πρέπει να υιοθετήσει μεθόδους ψευδωνυμοποίησης και να γνωρίζει ανά πάσα στιγμή σε ποιες περιπτώσεις ζητά από τους χρήστες/πελάτες της τη συγκατάθεσή τους. Κάθε προσπάθεια προσπέλασης δεδομένων χρηστών θα πρέπει να καταγράφεται ενώ θα πρέπει να αποφεύγεται η ανώνυμη πρόσβαση API σε αυτά. Γενικότερα, οι ιστοσελίδες οφείλουν να γνωστοποιούν στους χρήστες κάθε επεξεργασία των πληροφοριών τους ενώ είναι υπεύθυνες για τους τρίτους στους οποίους γνωστοποιούν τα δεδομένα που έχουν στη διάθεσή τους. Εδώ, θα πρέπει να αναφέρουμε ότι παρά τα όσα γράφονται, το πρότυπο ISO 27001:2013 δεν εξασφαλίζει πλήρη τήρηση του GDPR. Βρίσκεται μεν πολύ κοντά στα όσα απαιτεί ο κανόνας όμως σε καμία περίπτωση δεν τον υποκαθιστά –παρ’ όλα αυτά είναι ένα πολύ καλό πρώτο βήμα. Κάτι λέγαμε για πρόστιμα; Σχετικά με τον GDPR, αξίζει να διευκρινιστεί πως πρόκειται για κανονισμό και όχι οδηγία –όπως αυτή του 1995 που στην ουσία αντικαθιστά. Επί του πρακτέου, αυτό σημαίνει πως ό,τι αναφέρει, εφαρμόζεται άμεσα (από τις 25 Μαΐου) σε όλα τα κράτη-μέλη της Ευρωπαϊκής Ένωσης χωρίς την ανάγκη για επιπλέον τοπικές νομοθετικές πράξεις. Στα της ελληνικής πραγματικότητας, απομένει η ψήφιση του σχεδίου νόμου που ρυθμίζει τις –νέες- αρμοδιότητες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία και είναι υπεύθυνη για την εξέταση των καταγγελιών, την επιδίκαση, την επιβολή και την είσπραξη των προστίμων. Ακόμη όμως και αν δεν έχει προλάβει να τεθεί σε εφαρμογή τέτοιος νόμος (ο οποίος είναι ήδη στο στάδιο της δημόσιας διαβούλευσης), ο GDPR θα έχει άμεση εφαρμογή άνευ ετέρου. Σε ό,τι αφορά τα πρόστιμα, το ύψος τους για τα πιο σοβαρά αδικήματα μπορεί να φτάσει ακόμα και τα 20€ εκατ. ή το 4% του παγκόσμιου κύκλου εργασιών μίας εταιρείας για το προηγούμενο οικονομικό έτος –όποιο από τα δύο είναι υψηλότερο. Όπως εύκολα αντιλαμβάνεται κανείς, η ζημιά για μία “απρόσεχτη” εταιρεία μπορεί να είναι τεράστια και όταν μέσα σε λίγους μήνες θα αρχίσουν να πληθαίνουν οι έλεγχοι και οι προειδοποιήσεις, καθώς επίσης να επιβάλλονται και να δημοσιοποιούνται –αναπόφευκτα- τα πρώτα πρόστιμα, πολύ δύσκολα κάποιος θα εξακολουθήσει να “κωφεύει” μπροστά στις απαιτήσεις του GDPR. Εν κατακλείδι Στην εποχή που τα προσωπικά δεδομένα μας κυκλοφορούν ελεύθερα στο διαδίκτυο, το γεγονός ότι η Ευρωπαϊκή Ένωση έρχεται να αντικαταστήσει κεντρικά μία παρωχημένη οδηγία με έναν κανονισμό, είναι αν μη τι άλλο θετικό. Με το ίντερνετ να αποτελεί ένα μέσο του οποίου ο ρόλος συνεχώς ενισχύεται, οι χρήστες πρέπει να νιώσουν σίγουροι για τις πληροφορίες που μοιράζονται με εταιρείες, φορείς και οργανισμούς. Η έρευνα του Ευρωβαρόμετρου 2015, κατέδειξε ότι 8 στους 10 Ευρωπαίοι νιώθουν ότι δεν έχουν τον πλήρη έλεγχο των δεδομένων προσωπικού χαρακτήρα που τους αφορούν και αυτό είναι κάτι που ο GDPR επιδιώκει να αλλάξει συν τω χρόνω. Προς το παρόν έχουμε μπει στην τελική ευθεία πριν την υποχρεωτική εφαρμογή του GDPR στις 25 Μαΐου, με σημαντικό αριθμό εταιρειών να έχουν αναθεωρήσει τις μεθόδους συλλογής, επεξεργασίας και αποθήκευσης προσωπικών δεδομένων –θυμηθείτε ότι αφορά και οντότητες που δεν είναι εγκατεστημένες στην Ευρωπαϊκή Ένωση, εφ’ όσον προσφέρουν προϊόντα/υπηρεσίες σε άτομα εντός της Ένωσης. Το μόνο βέβαιο είναι πως ο GDPR έχει πολλά κεφάλαια ακόμα, καθώς αναμένεται να εμπλουτιστεί με ακόμα περισσότερους και συγκεκριμένους κανόνες για την αποτελεσματικότερη προστασία των προσωπικών δεδομένων των φυσικών προσώπων στην Ευρωπαϊκή Ένωση. Το παρόν αποτελεί ένα πρώτο άρθρο του Insomnia που είναι αφιερωμένο στο GDPR και σύντομα θα επανέλθουμε με νεώτερα και πιο συγκεκριμένα παραδείγματα.
-
Το 2018 θα είναι το έτος που θα αλλάξουν πολλά όσον αφορά στη διαχείριση των προσωπικών δεδομένων μας και αιτία γι’ αυτό είναι o Γενικός Κανονισμός για την Προστασία των Δεδομένων (General Data Protection Regulation ή εν συντομία GDPR) που τίθεται σε ισχύ από τις 25 Μαΐου 2018. Πρόκειται για ένα νομικό πλαίσιο κανόνων της Ευρωπαϊκής Ένωσης προκειμένου να εξασφαλίσει στους πολίτες των 28 κρατών-μελών της μία ασφαλέστερη εμπειρία πλοήγησης στο διαδίκτυο, αλλάζοντας τον τρόπο με τον οποίο οι εταιρείες εντός και εκτός Ένωσης συλλέγουν, χρησιμοποιούν, επεξεργάζονται και αποθηκεύουν τα ευαίσθητα προσωπικά δεδομένα των χρηστών. Το πλάνο για τον GDPR ξεκίνησε επί της ουσίας το 2012 με τη δημοσίευση της αρχικής πρότασης, για να εγκριθεί από το Ευρωπαϊκό Κοινοβούλιο τέσσερα χρόνια αργότερα και συγκεκριμένα τον Απρίλιο του 2016. Προβλέφθηκε μάλιστα μία περίοδος χάριτος δύο ετών, κατά την οποία οι επιχειρήσεις θα έπρεπε να συμμορφωθούν με τα όσα προβλέπει, έτσι ώστε να είναι έτοιμες την καταληκτική ημερομηνία υποχρεωτικής εφαρμογής της 25ης Μαΐου. Τι προβλέπει ο GDPR; Ο GDPR εστιάζει στα προσωπικά δεδομένα των χρηστών. Ποια είναι αυτά; Πληροφορίες όπως το ονοματεπώνυμο, ο ΑΦΜ, η διεύθυνση κατοικίας, το email, τραπεζικοί λογαριασμοί ή η τοποθεσία, με τη βοήθεια των οποίων μπορεί να γίνει ταυτοποίηση ενός ατόμου. Στόχος του είναι να υποχρεώσει τις εταιρείες που συλλέγουν και διαχειρίζονται τέτοια δεδομένα, να το κάνουν τηρώντας συγκεκριμένα στάνταρ ασφαλείας, με σκοπό την αντιμετώπιση κινδύνων όπως η κλοπή ταυτότητας, η μη εξουσιοδοτημένη δημοσιοποίηση και η διαδικτυακή παρενόχληση –μεταξύ άλλων. Στην πράξη, ο GDPR αφορά κάθε επιχείρηση ιδιωτικού και δημοσίου τομέα ανεξαρτήτως κλάδου που συλλέγει, αποθηκεύει και επεξεργάζεται δεδομένα φυσικών προσώπων (υπαλλήλων, συνεργατών, επισκεπτών, πελατών). Περιλαμβάνει συγκεκριμένες διαδικασίες για τη συλλογή, την οργάνωση, την αποθήκευση, τη διαβίβαση και τη διαγραφή κάθε τύπου πληροφορίας, υποχρεώνοντας παράλληλα τις εταιρείες να γνωστοποιούν ξεκάθαρα και με σαφήνεια στους χρήστες ποιος επεξεργάζεται τα δεδομένα τους, ποια δεδομένα επεξεργάζεται και γιατί. Ο κανονισμός της Ευρωπαϊκής Ένωσης είναι ο ίδιος για όλα τα κράτη-μέλη ενώ αφορά ακόμα και φυσικά ή νομικά πρόσωπα που έχουν έδρα σε άλλη χώρα εκτός της Ένωσης, αρκεί να διαχειρίζονται και να επεξεργάζονται προσωπικά δεδομένα πολιτών της Ένωσης – κίνηση που διευκολύνει σε μεγάλο βαθμό τις εταιρείες με διακρατική δραστηριοποίηση καθώς πλέον δεν χρειάζεται να λάβουν υπ’ όψιν τυχόν εθνικές νομοθεσίες αλλά να προσαρμοστούν στον GDPR. Ανάλογα με τον τομέα της, τον βαθμό στον οποίο επεξεργάζεται δεδομένα χρηστών αλλά και τη συχνότητα με την οποία γίνεται αυτό, μία εταιρεία ενδεχομένως να πρέπει να ορίσει ακόμα και συγκεκριμένο άνθρωπο (Υπεύθυνος Προστασίας Δεδομένων, Data Protection Officer ή DPO) που θα είναι ο υπεύθυνος για την τήρηση του GDPR και τη συμμόρφωση με τους κανόνες του. Τι σημαίνει όμως για τους χρήστες; Με τον GDPR, οι χρήστες αποκτούν μια σειρά δικαιωμάτων σε ό,τι αφορά τα προσωπικά τους δεδομένα. Με περισσότερους από 250 εκατ. Ευρωπαίους πολίτες να χρησιμοποιούν το διαδίκτυο σε καθημερινή βάση και ολοένα και περισσότερες εταιρείες να βασίζουν τη λειτουργία τους πάνω στα προσωπικά δεδομένα που συλλέγουν καθημερνά, η Ευρωπαϊκή Ένωση θέλησε να τοποθετήσει τους ίδιους τους χρήστες σε θέση ισχύος έναντι των επιχειρήσεων Βάσει του GDPR λοιπόν, τα φυσικά πρόσωπα στην Ευρωπαϊκή Ένωση δικαιούνται: • Να γνωρίζουν ξεκάθαρα και κατανοητά ποιος επεξεργάζεται τα δεδομένα τους, για ποια δεδομένα πρόκειται ακριβώς και για ποιον λόγο συμβαίνει αυτό. • Να υποβάλλουν αίτημα πρόσβασης στα προσωπικά τους δεδομένα που διαθέτει ένας οργανισμός. • Να ζητούν από έναν πάροχο υπηρεσιών να διαβιβάσει τα προσωπικά τους δεδομένα σε άλλο πάροχο σε περίπτωση αλλαγής του (π.χ. πρόγραμμα κινητής, σύνδεση broadband, υπηρεσίες cloud κλπ). • Να ζητούν τη διαγραφή προσωπικών δεδομένων αν δεν επιθυμούν αυτά να αποτελούν πλέον αντικείμενο επεξεργασίας και εφ’ όσον υπάρχει λόγος να τα κατέχει νομίμως μία εταιρεία (το λεγόμενο “δικαίωμα στη λήθη”). • Να δίνουν τη ρητή συγκατάθεσή τους κάθε φορά που εταιρεία ή οργανισμός χρειάζεται να επεξεργαστεί δεδομένα τους, γνωρίζοντας παράλληλα τον τρόπο με τον οποίο θα γίνει η επεξεργασία αυτή. • Να ενημερωθούν άνευ καθυστέρησης σε περίπτωση που τα δεδομένα τους χαθούν ή κλαπούν –και η παραβίαση αυτή θα μπορούσε να τους βλάψει. • Να απαιτούν τυχόν πληροφορίες που απευθύνονται σε παιδιά, να είναι εύκολα προσβάσιμες και γραμμένες σε απλή και κατανοητή γλώσσα. Στην πράξη λοιπόν, όσοι συλλέγουν, επεξεργάζονται και αποθηκεύουν προσωπικά δεδομένα, πρέπει να λειτουργούν με πλήρη διαφάνεια και παράλληλα να είναι σε θέση να αποδείξουν ανά πάσα στιγμή ότι πληρούν τα απαραίτητα στάνταρ ασφαλείας (κρυπτογράφηση, διασφάλιση εμπιστευτικότητας και ακεραιότητας, δυνατότητα άμεσης αποκατάστασης πρόσβασης κλπ). Φαινόμενα εταιρειών που ζητούν υπερβολικά πολλά δεδομένα για μία υπηρεσία (π.χ. αριθμός κινητού τηλεφώνου για παροχή δωρεάν Wi-Fi) ή επιχειρήσεων που αποστέλλουν μαζικά ενημερωτικά/προωθητικά emails σε χρήστες που ουδέποτε έδωσαν τη συγκατάθεσή τους θα εκλείψουν αναγκαστικά, σε διαφορετική περίπτωση αυτές θα έρθουν αντιμέτωπες με ιδιαιτέρως υψηλά πρόστιμα –κρατήστε το αυτό το τελευταίο, θα επανέλθουμε. Τι πρέπει να γνωρίζουν developers και webmasters; Όπως αναφέραμε, ο GDPR αφορά όλα τα φυσικά ή νομικά πρόσωπα που συλλέγουν και διαχειρίζονται προσωπικά δεδομένα χρηστών, όσο μεγάλα ή μικρά κι αν είναι αυτά. Με αυτό κατά νου, κάθε ιστοσελίδα θα πρέπει να λάβει τα μέτρα της, αλλάζοντας συγκεκριμένες διαδικασίες και προσθέτοντας επιπλέον λειτουργίες –δίνοντας έτσι μεγαλύτερη ελευθερία στους χρήστες/επισκέπτες της- ώστε να μη βρεθεί προ εκπλήξεως. Μια λίστα βασικών βελτιώσεων/προσθηκών, θα μπορούσε να συνοψιστεί στα κάτωθι: • Οι χρήστες θα πρέπει να έχουν το δικαίωμα να διαγράψουν άπαξ διά παντός το προφίλ τους με όλα τα προσωπικά τους δεδομένα εφ’ όσον το επιθυμούν. • Η λίστα χρηστών/μελών μίας σελίδας δεν θα πρέπει να είναι προσβάσιμη από τους εργαζόμενους στην ιδιοκτήτρια εταιρεία μέσω του CMS. • Οι χρήστες θα πρέπει να έχουν τη δυνατότητα να προβάλλουν μέσα από το περιβάλλον της ιστοσελίδας που βρίσκονται, όλα τα δεδομένα που έχει γι’ αυτούς εκείνη. • Η διαγραφή προσωπικών δεδομένων από μία σελίδα, θα πρέπει να ακολουθείται από την ίδια διαδικασία σε κάθε site που έχει πάρει τα δεδομένα αυτά από την εν λόγω σελίδα. • Ύπαρξη πλαισίων ελέγχου (checkboxes) αποδοχής για κάθε επεξεργασία δεδομένων που λαμβάνει χώρα –το γενικό «αποδέχομαι τους όρους και τις προϋποθέσεις» δεν αρκεί πλέον. Για τις περιπτώσεις που ο χρήστης έχει αποδεχθεί απλώς όρους και προϋποθέσεις, πρέπει να εξασφαλιστεί η συγκατάθεσή του εκ νέου. • Οι χρήστες θα πρέπει να έχουν τη δυνατότητα να τροποποιήσουν το προφίλ τους και καθετί περιλαμβάνει αυτό. • Τα δεδομένα δεν θα πρέπει να φυλάσσονται για μεγαλύτερο χρονικό διάστημα απ’ ό,τι απαιτείται. • Δεν θα πρέπει να ζητούνται παραπάνω δεδομένα από όσα είναι απαραίτητα για τη λειτουργία της κάθε ιστοσελίδας και την προσφορά των υπηρεσιών της. • Στις περιπτώσεις που ο χρήστης είναι κάτω των 16 ετών, μία ιστοσελίδα θα πρέπει να βρει τον τρόπο να επικοινωνήσει με τον γονέα/κηδεμόνα του και να πάρει την συγκατάθεσή του (κάτι το οποίο βέβαια μπορεί εύκολα να παρακαμφθεί από πλευράς χρήστη όμως σε κάθε περίπτωση ένα site είναι υποχρεωμένο να το κάνει). Επιπρόσθετα, μία εταιρεία θα πρέπει να διασφαλίσει ότι τα δεδομένα που διαβιβάζει ή/και κρατά αποθηκευμένα, καθώς επίσης και τα αντίγραφα ασφαλείας της, είναι επαρκώς κωδικοποιημένα. Θα πρέπει να υιοθετήσει μεθόδους ψευδωνυμοποίησης και να γνωρίζει ανά πάσα στιγμή σε ποιες περιπτώσεις ζητά από τους χρήστες/πελάτες της τη συγκατάθεσή τους. Κάθε προσπάθεια προσπέλασης δεδομένων χρηστών θα πρέπει να καταγράφεται ενώ θα πρέπει να αποφεύγεται η ανώνυμη πρόσβαση API σε αυτά. Γενικότερα, οι ιστοσελίδες οφείλουν να γνωστοποιούν στους χρήστες κάθε επεξεργασία των πληροφοριών τους ενώ είναι υπεύθυνες για τους τρίτους στους οποίους γνωστοποιούν τα δεδομένα που έχουν στη διάθεσή τους. Εδώ, θα πρέπει να αναφέρουμε ότι παρά τα όσα γράφονται, το πρότυπο ISO 27001:2013 δεν εξασφαλίζει πλήρη τήρηση του GDPR. Βρίσκεται μεν πολύ κοντά στα όσα απαιτεί ο κανόνας όμως σε καμία περίπτωση δεν τον υποκαθιστά –παρ’ όλα αυτά είναι ένα πολύ καλό πρώτο βήμα. Κάτι λέγαμε για πρόστιμα; Σχετικά με τον GDPR, αξίζει να διευκρινιστεί πως πρόκειται για κανονισμό και όχι οδηγία –όπως αυτή του 1995 που στην ουσία αντικαθιστά. Επί του πρακτέου, αυτό σημαίνει πως ό,τι αναφέρει, εφαρμόζεται άμεσα (από τις 25 Μαΐου) σε όλα τα κράτη-μέλη της Ευρωπαϊκής Ένωσης χωρίς την ανάγκη για επιπλέον τοπικές νομοθετικές πράξεις. Στα της ελληνικής πραγματικότητας, απομένει η ψήφιση του σχεδίου νόμου που ρυθμίζει τις –νέες- αρμοδιότητες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία και είναι υπεύθυνη για την εξέταση των καταγγελιών, την επιδίκαση, την επιβολή και την είσπραξη των προστίμων. Ακόμη όμως και αν δεν έχει προλάβει να τεθεί σε εφαρμογή τέτοιος νόμος (ο οποίος είναι ήδη στο στάδιο της δημόσιας διαβούλευσης), ο GDPR θα έχει άμεση εφαρμογή άνευ ετέρου. Σε ό,τι αφορά τα πρόστιμα, το ύψος τους για τα πιο σοβαρά αδικήματα μπορεί να φτάσει ακόμα και τα 20€ εκατ. ή το 4% του παγκόσμιου κύκλου εργασιών μίας εταιρείας για το προηγούμενο οικονομικό έτος –όποιο από τα δύο είναι υψηλότερο. Όπως εύκολα αντιλαμβάνεται κανείς, η ζημιά για μία “απρόσεχτη” εταιρεία μπορεί να είναι τεράστια και όταν μέσα σε λίγους μήνες θα αρχίσουν να πληθαίνουν οι έλεγχοι και οι προειδοποιήσεις, καθώς επίσης να επιβάλλονται και να δημοσιοποιούνται –αναπόφευκτα- τα πρώτα πρόστιμα, πολύ δύσκολα κάποιος θα εξακολουθήσει να “κωφεύει” μπροστά στις απαιτήσεις του GDPR. Εν κατακλείδι Στην εποχή που τα προσωπικά δεδομένα μας κυκλοφορούν ελεύθερα στο διαδίκτυο, το γεγονός ότι η Ευρωπαϊκή Ένωση έρχεται να αντικαταστήσει κεντρικά μία παρωχημένη οδηγία με έναν κανονισμό, είναι αν μη τι άλλο θετικό. Με το ίντερνετ να αποτελεί ένα μέσο του οποίου ο ρόλος συνεχώς ενισχύεται, οι χρήστες πρέπει να νιώσουν σίγουροι για τις πληροφορίες που μοιράζονται με εταιρείες, φορείς και οργανισμούς. Η έρευνα του Ευρωβαρόμετρου 2015, κατέδειξε ότι 8 στους 10 Ευρωπαίοι νιώθουν ότι δεν έχουν τον πλήρη έλεγχο των δεδομένων προσωπικού χαρακτήρα που τους αφορούν και αυτό είναι κάτι που ο GDPR επιδιώκει να αλλάξει συν τω χρόνω. Προς το παρόν έχουμε μπει στην τελική ευθεία πριν την υποχρεωτική εφαρμογή του GDPR στις 25 Μαΐου, με σημαντικό αριθμό εταιρειών να έχουν αναθεωρήσει τις μεθόδους συλλογής, επεξεργασίας και αποθήκευσης προσωπικών δεδομένων –θυμηθείτε ότι αφορά και οντότητες που δεν είναι εγκατεστημένες στην Ευρωπαϊκή Ένωση, εφ’ όσον προσφέρουν προϊόντα/υπηρεσίες σε άτομα εντός της Ένωσης. Το μόνο βέβαιο είναι πως ο GDPR έχει πολλά κεφάλαια ακόμα, καθώς αναμένεται να εμπλουτιστεί με ακόμα περισσότερους και συγκεκριμένους κανόνες για την αποτελεσματικότερη προστασία των προσωπικών δεδομένων των φυσικών προσώπων στην Ευρωπαϊκή Ένωση. Το παρόν αποτελεί ένα πρώτο άρθρο του Insomnia που είναι αφιερωμένο στο GDPR και σύντομα θα επανέλθουμε με νεώτερα και πιο συγκεκριμένα παραδείγματα. Δείτε ολόκληρο το άρθρο
-
Την Τρίτη, η OpenAI ανακοίνωσε νέους ελέγχους για τους χρήστες του ChatGPT που τους επιτρέπουν να απενεργοποιούν το ιστορικό συνομιλιών, επιλέγοντας ταυτόχρονα να μην παρέχουν το ιστορικό αυτό των συνομιλιών ως δεδομένα για την εκπαίδευση μοντέλων AI. Επίσης, οι χρήστες μπορούν πλέον να εξάγουν το ιστορικό συνομιλιών για τοπική αποθήκευση. Τα νέα εργαλεία ελέγχου, τα οποία κυκλοφόρησαν σε όλους τους χρήστες του ChatGPT, μπορείτε να τα βρείτε στις ρυθμίσεις της υπηρσίας. Οι συνομιλίες που ξεκινούν με απενεργοποιημένο το ιστορικό συνομιλίας δεν θα χρησιμοποιούνται για την εκπαίδευση και τη βελτίωση του γλωσσικού μοντέλου ChatGPT, ούτε θα εμφανίζονται στην πλαϊνή μπάρα ιστορικού. Η OpenAI θα διατηρεί τις συνομιλίες εσωτερικά για 30 ημέρες και θα τις επανεξετάζει "μόνο αν χρειάζεται για παρακολούθηση τυχόν κατάχρησης" πριν τις διαγράψει οριστικά. Ωστόσο, οι χρήστες που επιθυμούν να εξαιρεθούν από την παροχή δεδομένων στο OpenAI για εκπαίδευση θα χάσουν τη δυνατότητα ιστορικού συνομιλιών. Δεν είναι σαφές γιατί οι χρήστες δεν μπορούν να χρησιμοποιούν το ιστορικό συνομιλιών ενώ ταυτόχρονα να επιλέγουν να μην συμμετέχουν στην εκπαίδευση μοντέλων. Μέχρι σήμερα το ChatGPT παρακολουθούσε τις συνομιλίες και χρησιμοποιούσε τα σχετικά δεδομένα για να βελτιώσει το γλωσσικό του AI μοντέλο. Οι χρήστες μπορούσαν να διαγράφουν περιοδικά το ιστορικό συνομιλιών τους κατόπιν αιτήματος, αλλά οποιαδήποτε συνομιλία μπορούσε να χρησιμοποιηθεί για εκπαίδευση. Το γεγονός αυτό δημιουργούσε ένα σημαντικό ζήτημα απορρήτου, ειδικά για ευαίσθητα δεδομένα που θα μπορούσαν να μοιραστούν οι υπάλληλοι εταιρειών, οι δικηγόροι ή οι γιατροί που χρησιμοποιούν το ChatGPT. Το ιστορικό συνομιλιών του ChatGPT έφερε την OpenAI σε δύσκολη θέση τον Μάρτιο λόγω ενός σφάλματος που εξέθεσε προσωρινά το ιστορικό συνομιλιών ορισμένων χρηστών του ChatGPT σε άλλους χρήστες. Το γεγονός προσέλκυσε ρυθμιστικό ενδιαφέρον στην Ιταλία, το οποίο δεν έχει ακόμη επιλυθεί. Τα νέα χαρακτηριστικά του ChatGPT που σχετίζονται με την προστασία της ιδιωτικής ζωής σχετίζονται πιθανότατα με τη διαδικασία επίλυσης. Επιπλέον, την Τρίτη, το OpenAI εισήγαγε μια νέα επιλογή "export" στις ρυθμίσεις του ChatGPT η οποία επιτρέπει στους χρήστες να εξάγουν τα δεδομένα του ChatGPT σε αρχεία που μπορούν να αποθηκευτούν τοπικά σε έναν υπολογιστή. Για τους επαγγελματίες και τις επιχειρήσεις που "χρειάζονται περισσότερο έλεγχο των δεδομένων τους", η OpenAI ανακοίνωσε επίσης ότι εργάζεται πάνω σε μια νέα συνδρομή "ChatGPT Business" που θα αποκλείει τους χρήστες από την εκπαίδευση μοντέλων από προεπιλογή. Η OpenAI αναφέρει ότι η ημερομηνία κυκλοφορίας του ChatGPT Business θα γίνει "τους επόμενους μήνες". Διαβάστε ολόκληρο το άρθρο
-
Επίσης, οι χρήστες μπορούν πλέον να εξάγουν το ιστορικό συνομιλιών για τοπική αποθήκευση. Τα νέα εργαλεία ελέγχου, τα οποία κυκλοφόρησαν σε όλους τους χρήστες του ChatGPT, μπορείτε να τα βρείτε στις ρυθμίσεις της υπηρσίας. Οι συνομιλίες που ξεκινούν με απενεργοποιημένο το ιστορικό συνομιλίας δεν θα χρησιμοποιούνται για την εκπαίδευση και τη βελτίωση του γλωσσικού μοντέλου ChatGPT, ούτε θα εμφανίζονται στην πλαϊνή μπάρα ιστορικού. Η OpenAI θα διατηρεί τις συνομιλίες εσωτερικά για 30 ημέρες και θα τις επανεξετάζει "μόνο αν χρειάζεται για παρακολούθηση τυχόν κατάχρησης" πριν τις διαγράψει οριστικά. Ωστόσο, οι χρήστες που επιθυμούν να εξαιρεθούν από την παροχή δεδομένων στο OpenAI για εκπαίδευση θα χάσουν τη δυνατότητα ιστορικού συνομιλιών. Δεν είναι σαφές γιατί οι χρήστες δεν μπορούν να χρησιμοποιούν το ιστορικό συνομιλιών ενώ ταυτόχρονα να επιλέγουν να μην συμμετέχουν στην εκπαίδευση μοντέλων. Μέχρι σήμερα το ChatGPT παρακολουθούσε τις συνομιλίες και χρησιμοποιούσε τα σχετικά δεδομένα για να βελτιώσει το γλωσσικό του AI μοντέλο. Οι χρήστες μπορούσαν να διαγράφουν περιοδικά το ιστορικό συνομιλιών τους κατόπιν αιτήματος, αλλά οποιαδήποτε συνομιλία μπορούσε να χρησιμοποιηθεί για εκπαίδευση. Το γεγονός αυτό δημιουργούσε ένα σημαντικό ζήτημα απορρήτου, ειδικά για ευαίσθητα δεδομένα που θα μπορούσαν να μοιραστούν οι υπάλληλοι εταιρειών, οι δικηγόροι ή οι γιατροί που χρησιμοποιούν το ChatGPT. Το ιστορικό συνομιλιών του ChatGPT έφερε την OpenAI σε δύσκολη θέση τον Μάρτιο λόγω ενός σφάλματος που εξέθεσε προσωρινά το ιστορικό συνομιλιών ορισμένων χρηστών του ChatGPT σε άλλους χρήστες. Το γεγονός προσέλκυσε ρυθμιστικό ενδιαφέρον στην Ιταλία, το οποίο δεν έχει ακόμη επιλυθεί. Τα νέα χαρακτηριστικά του ChatGPT που σχετίζονται με την προστασία της ιδιωτικής ζωής σχετίζονται πιθανότατα με τη διαδικασία επίλυσης. Επιπλέον, την Τρίτη, το OpenAI εισήγαγε μια νέα επιλογή "export" στις ρυθμίσεις του ChatGPT η οποία επιτρέπει στους χρήστες να εξάγουν τα δεδομένα του ChatGPT σε αρχεία που μπορούν να αποθηκευτούν τοπικά σε έναν υπολογιστή. Για τους επαγγελματίες και τις επιχειρήσεις που "χρειάζονται περισσότερο έλεγχο των δεδομένων τους", η OpenAI ανακοίνωσε επίσης ότι εργάζεται πάνω σε μια νέα συνδρομή "ChatGPT Business" που θα αποκλείει τους χρήστες από την εκπαίδευση μοντέλων από προεπιλογή. Η OpenAI αναφέρει ότι η ημερομηνία κυκλοφορίας του ChatGPT Business θα γίνει "τους επόμενους μήνες".