Το διαδίκτυο των πραγμάτων (Internet of Things): Προστασία προσωπικών δεδομένων και ιδιωτικότητα
ΤΟ ΔΙΑΔΙΚΤΥΟ ΤΩΝ ΠΡΑΓΜΑΤΩΝ (ΙΝΤΕΡΝΕΤ OF THINGS): Προστασία προσωπικών δεδομένων και ιδιωτικότητα
Το “διαδίκτυο των πραγμάτων” ή όπως είναι ευρύτερα γνωστό το Internet of things (IoT) ξεκίνησε ως μια ιδέα, που έχει την βάση της στην σύνδεση διάφορων μικρών και μεγάλων συσκευών ή και συσκευών με ενσωματωμένους αισθητήρες και εξοπλισμό διασύνδεσης (tablets, τηλέφωνα, ηχεία, wearables, κάμερες, αισθητήρες κ.α) τόσο μεταξύ τους όσο και με τον κατασκευαστή, για να λαμβάνουν και να μεταδίδουν σχετικά δεδομένα (data) με στόχο να προσφέρουν περισσότερες προσωποποιημένες (personalized) υπηρεσίες. Και αυτή ακριβώς η ιδέα έγινε η πραγματικότητα που ζούμε σήμερα.
Η πραγματικότητα του Internet of Things σήμερα έχει εξελιχθεί σε μια τεράστια βιομηχανία, καθώς ολοένα και περισσότερες εταιρίες παγκοσμίως, οι οποίες δραστηριοποιούνται στον βιομηχανικό κλάδο των “big data” καθώς και στον κλάδο των “analytics”, επενδύουν σε συστήματα ΙοΤ. Και αυτό γιατί οι αριθμοί μιλάνε απο μόνοι τους:
1) Η συνολική προστιθέμενη αξία από το IoT σε όλους τους κλάδους, θα φτάσει τα 4 τρισεκατομμύρια δολάρια έως το 2020 παγκοσμίως.
2) 4 δισεκατομμύρια άνθρωποι θα βρίσκονται συνδεδεμένοι στο διαδίκτυο με πενήντα (50) δισεκατομμύρια συσκευές συνδεδεμένες μέχρι το 2020
3) 50 τρισεκατομμύρια δεδομένα θα διακινούνται ως το 2020 απο τις συνδεδεμένες συσκευές του ΙοΤ.[1]
Αυτή ακριβώς η σύνδεση διαφόρων συσκευών στο διαδίκτυο και η συλλογή, η ανταλλαγή και η επεξεργασία των δεδομένων που αυτές συγκεντρώνουν απο τους χρήστες τους, αποτελούν τον κορμό κέρδους της βιομηχανίας του ΙοΤ, αλλά επίσης υποκρύπτουν και πολλούς κινδύνους για την ιδιωτικότητα και την προστασία των προσωπικών δεδομένων των χρηστών όπως θα αναλύσουμε παρακάτω.
Για να δούμε καλύτερα τους κινδύνους που μπορεί να κρύβει η συλλογή δεδομένων μέσα απο την χρήση “έξυπνων συσκευών” και την επεξεργασία και τη σύγκριση αυτών μέσω της διαλειτουργικότητας σκόπιμο είναι να αναφέρουμε δύο παραδείγματα.
- Γυαλιά νέας τεχνολογίας, τα λεγόμενα google glasses, καταγράφουν ό,τι βλέπει αυτός που τα φοράει, πραγματοποιούν πλοήγηση στο Διαδίκτυο, δέχονται και κάνουν τηλεφωνικές κλήσεις, έχουν δυνατότητες κεντρικής αποθηκεύσεως των δεδομένων και αυτόματης μεταφορτώσεως τους σε κοινωνικά δίκτυα, διαθέτουν υπηρεσίες γεωεντοπισμού, δέχονται φωνητικές εντολές κ.ο.κ. Τα γυαλιά αυτά μπορούν όχι μόνο να καταγράφουν μέσω της κάμερας που διαθέτουν οτιδήποτε βρίσκεται εντός του οπτικού πεδίου του χρήστη αλλά μπορούν να συλλέγουν και πάσης φύσεως πληροφορίες τόσο για τις επιλογές, τα ενδιαφέροντα και της συνήθειες του χρήστη όσων και του περιβάλλοντος του. Δημιουργείται δηλαδή διττός κίνδυνος τόσο για τα δεδομένα τρίτων ατόμων που συλλέγονται εν αγνοία τους και σε κάθε περίπτωση χωρίς τη συγκατάθεση τους, όσο και για τα προσωπικά και άλλα δεδομένα και πληροφορίες που συλλέγονται και αφορούν τον ίδιο το χρήστη και τα άτομα με τα οποία συναναστρέφεται. Ο ιδιαίτερος κίνδυνος για την προστασία των δεδομένων έγκειται στις δυνατότητες των αισθητήρων που ενσωματώνονται στο εσωτερικό της συσκευής. Δεδομένου όχι αυτά τα αντικείμενα δεν γίνονται αντιληπτά αναφορικά με τις δυνατότητες τους, ελλοχεύει ο κίνδυνος η επεξεργασία των δεδομένων προσωπικού χαρακτήρα να λαμβάνει χώρα χωρίς έγκυρη νομική βάση. Ο υπεύθυνος της επεξεργασίας είναι υπεύθυνος για την ενημέρωση των υποκειμένων των δεδομένων και την εξασφάλιση έγκυρης νομικής βάσεως για την επεξεργασία των δεδομένων.
- Το τελευταία διάστημα παρατηρούμε μια μεγάλη στροφή της βιομηχανίας του ΙοΤ προς τη δημιουργία του “έξυπνου σπιτιού” (smart home, smart cities etc). Ευφυή δίκτυα σε οικίες ή τον εργασιακό χώρο για την καταμέτρηση και τον έλεγχο της θερμοκρασίας με βασικό σκοπό την εξοικονόμηση ενέργειας επιτρέπουν την ανίχνευση των δραστηριοτήτων των παρευρισκόμενων στον οικιακό ή εργασιακό χώρο, έξυπνα ψυγεία ελέγχουν την κατανάλωση και τη διαθεσιμότητα των προϊόντων μέσα απο την τοποθέτηση μικροσκοπικών ετικετών και ενημερώνουν τους χρήστες για την έλλειψη τους ή κάνουν αυτόματη παραγγελία στο σούπερ μάρκετ. Η ασφάλεια του σπιτιού, οι κάμερες, το σύστημα συναγερμού, οι κλειδαριές και τα παράθυρα ελέγχονται απο τη συσκευή του smartphone μέσα απο την οποία δίνονται εντολές εκτέλεσης ορισμένων ενεργειών. Όλες αυτές οι διευκολύνσεις του ΙοΤ έχουν ως άμεση συνέπεια την καταγραφή και κατ’ επέκταση την ανάλυση των περαιτέρω δεδομένων που συλλέγονται με βάση τα ενδιαφέροντα, τις συνήθειες και τα ειδικά χαρακτηριστικά της καθημερινότητας των χρηστών μέσω των συσκευών αυτών που χρησιμοποιούν οι οποίες αποθηκεύουν το σύνολο των δραστηριοτήτων ενός ατόμου σε καθημερινή βάση.
Που ανήκουν τελικά όμως, αυτά τα δεδομένα μετά τη συλλογή τους; Παραμένουν στην ιδιοκτησία του χρήστη, ή εκχωρούνται στον υπεύθυνο επεξεργασίας και στους τρίτους; Έχει ο χρήστης το δικαίωμα να ζητήσει αρχείο των δεδομένων του και να πετύχει τη διαγραφή τους; Ποιο είναι το νομοθετικό πλαίσιο που παρέχει απαντήσεις σε όλα αυτά τα ερωτήματα σχετικά με το ιδιοκτησιακό καθεστώς των data;
Η ΟΔΗΓΙΑ 95/46/ΕΚ
Το πρώτο μεγάλο βήμα της Ε.Ε προς της κατεύθυνση της προστασίας των προσωπικών δεδομένων ήταν η Οδηγία 95/46/ΕΚ, η οποία ενσωματώθηκε στην ελληνική έννομη τάξη με τον Ν. 2472/1997.
Για την εφαρμογή της Οδηγίας αλλά και οποιουδήποτε σχετικού νομοθετήματος, κρίσιμο στοιχείο αποτελεί η έννοια του υπευθύνου της επεξεργασίας και του εκτελούντος την επεξεργασία αλλά και οι υπάλληλοι τους που θεωρούνται ο “κλειστός κύκλος της επεξεργασίας δεδομένων” με βάση το άρθρο 2 περ. ζ, η του Ν. 2472/1997. Για την επίλυση των ζητημάτων ερμηνείας και των ασαφειών των ορισμών του Νόμου 2472/1997, η Ομάδα Εργασίας του άρθρου 29 με τη Γνώμη 1/2010 διευκρινίζει ότι ως υπεύθυνοι επεξεργασίας μπορούν να εκληφθούν οι κατασκευαστές συσκευών ΙοΤ. Αντίθετα, ο εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο που ορίζει ο υπεύθυνος της επεξεργασίας ώστε να εκτελέσει το ίδιο την επεξεργασία των δεδομένων που συλλέγονται. Επομένως, δύο βασικές προϋποθέσεις για τον χαρακτηρισμό κάποιου ως εκτελούντος την επεξεργασία είναι, αφενός, να πρόκειται για χωριστή νομική οντότητα σε σχέση με τον υπεύθυνο της επεξεργασίας και , αφετέρου, να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Το ΙοΤ εμπίπτει στο προστατευτικό πεδίο της Οδηγίας 95/46/ΕΚ, η οποία ενσωματώθηκε στην ελληνική έννομη τάξη με τον Ν. 2472/1997, όταν τα δεδομένα αναφέρονται και μπορούν να οδηγήσουν στην ταυτοποίηση ενός φυσικού προσώπου. Το άρθρο 4 του Νόμου περί προσωπικών δεδομένων, προβλέπει ότι τα δεδομένα που επεξεργάζονται πρέπει να είναι να είναι κατάλληλα, συναφή, ακριβή και πρόσφορα και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους συλλέγονται και υφίστανται επεξεργασία. Εν ολίγοις, η συλλογή και δη η επεξεργασία δεδομένων δε γίνεται να λαμβάνει χώρα αναιτιολόγητα και αόριστα. Σύμφωνα με το άρθρο 5, η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται κατ’αρχήν μόνον εάν το πρόσωπο, στο οποίο αναφέρονται τα δεδομένα, έχει δώσει τη ρητή συγκατάθεσή του.Απαγορεύεται κατ αρχήν ρητώς η συλλογή και η επεξεργασία των ευαίσθητων προσωπικών δεδομένων, αυτών δηλαδή που αφορούν φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές πεποιθήσεις ή σεξουαλικές προτιμήσεις κτλ.
Δικαιώματα χρήστη: Ο Νόμος προσφέρει επιπλέον ένα σύνολο δικαιωμάτων στους χρήστες όπως το δικαίωμα ενημερώσεως (άρθρο 11), προσβάσεως (άρθρο 12), αντίρρησης (άρθρο 13) και προσωρινής δικαστικής προστασίας (άρθρο 14) όταν πραγματοποιείται αυτοματοποιημένη επεξεργασία που αξιολογεί ορισμένες πτυχές της προσωπικότητάς του, όπως η απόδοσή του στην εργασία, η φερεγγυότητα, η αξιοπιστία, η διαγωγή του κ.λπ. Η διάταξη αυτή ερμηνευτικά επεκτείνεται και στις συσκευές ΙοΤ, καθώς μέσω αυτών μπορούν να ληφθούν αυτοματοποιημένες αποφάσεις δυνάμενες να θίξουν το άτομο (π.χ. απόρριψη ασφαλίσεως του βάσει της εκτενούς παρακολουθήσεως της οδηγικής του συμπεριφοράς, της καταστάσεως της υγείας του, της ανεπαρκούς αθλήσεώς του κ.ο.κ.).
Ο Νόμος αυτός παρότι φαίνεται να προστατεύει σε μεγάλο βαθμό τους χρήστες απο την αθέμιτη συλλογή και επεξεργασία των προσωπικών τους δεδομένων, είναι πλέον αρκετά απαρχαιωμένος, καθότι μετράει ήδη 20 έτη εφαρμογής και δεν μπορεί να ακολουθήσει τη ραγδαία τεχνολογική εξέλιξη.
Η ανάγκη για προσαρμογή της νομοθεσίας στις σύγχρονες τεχνολογικές συνθήκες κατεύθυναν την Ε.Ε στην ψήφιση του Κανονισμού 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ, η οποία εξαιτίας των διαφορετικών επιπέδων προστασίας στο εθνικό δίκαιο κάθε κράτους μέλους προκάλεσε τον κατακερματισμό της εφαρμογής της προστασίας των προσωπικών δεδομένων καθώς και ανασφάλεια δικαίου εντός της Ένωσης.
Ο ΚΑΝΟΝΙΣΜΟΣ 2016/679
Ο Κανονισμός αυτός που τίθεται σε εφαρμογή στις 25 Μαΐου 2018, προσφέρει πλούσια νομική βάση για ζητήματα που αφορούν το ΙοΤ.
Καθοριστικής σημασίας για την προστασία των δεδομένων αποτελεί το πεδίο γεωγραφικής εφαρμογής του Κανονισμού σύμφωνα με το άρθρο 3. Ο Κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα προσώπων που διαμένουν στην Ένωση από υπεύθυνο επεξεργασίας μη εγκαταστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω πρόσωπα στα οποία αναφέρονται τα δεδομένα στην Ένωση ή β) την παρακολούθηση της συμπεριφοράς τους, εφόσον αυτές λαμβάνουν χώρα εντός της Ένωσης.
Το άρθρο 7 του Κανονισμού αναφορικά με τις προϋποθέσεις συγκατάθεσης ορίζει μεταξύ άλλων, ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος της αποδείξεως όσον αφορά την παροχή της συγκατάθεσης του προσώπου, του οποίου τα δεδομένα προσωπικού χαρακτήρα αποτελούν το αντικείμενο της προστασίας. Η δήλωση συγκατάθεσης του χρήστη για την επεξεργασία των προσωπικών του δεδομένων πρέπει να ναι διατυπωμένη εκ των προτέρων απο τον υπεύθυνο επεξεργασίας σε απλή και κατανοητή γλώσσα, χωρίς καταχρηστικές ρήτρες. Άρα, ο χρήστης εφαρμογών ΙοΤ δεν μπορεί να θεωρείται ότι συγκατατίθεται σε επεξεργασία δεδομένων του, όταν έχει άγνοια ή μη επαρκή ενημέρωση για την επεξεργασία αυτή. Σε κάθε περίπτωση πρέπει να εκτιμάται απο τις εκάστοτε ισχύουσες συνθήκες κατά πόσο η συγκατάθεση δόθηκε ελεύθερα. Η συγκατάθεση θεωρείται ότι δε δόθηκε ελεύθερα εάν υπήρχε ανισότητα μεταξύ του χρήστη και του υπεύθυνου επεξεργασίας (δημόσιος φορέας ή εργοδότης εργαζόμενος- πρόσληψη μόνο κατόπιν υπογραφής ρήτρας συγκατάθεσης για την επεξεργασία των προσωπικών δεδομένων κ.α), εάν δεν υπάρχει αληθινή επιλογή, ή ο χρήστης δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεση του χωρίς ζημία. Oι υπεύθυνοι επεξεργασίας πρέπει να δίνουν τη δυνατότητα στο υποκείμενο της επεξεργασίας να ανακαλέσει την συγκατάθεση του οποτεδήποτε. Για υπηρεσία της κοινωνίας των πληροφοριών απευθείας σε παιδί, θα πρέπει να λαμβάνεται η συγκατάθεση του προσώπου πού έχει τη γονική μέριμνα του παιδιού.
Δικαίωμα Ενημέρωσης: Στο άρθρο 12, ο υπεύθυνος επεξεργασίας αναλαμβάνει την υποχρέωση να παρέχει δωρεάν στον χρήστη κάθε πληροφορία σχετικά με την συλλογή και την επεξεργασία των προσωπικών του δεδομένων κατά τρόπο σαφή και ακριβή καθώς και να απαντάει χωρίς καθυστέρηση σε συγκεκριμένη προθεσμία στα αιτήματα των χρηστών. Σε κάθε περίπτωση ο υπεύθυνος της επεξεργασίας πρέπει να αναφέρει στο υποκείμενο της επεξεργασίας:
1) την ταυτότητα του και την ταυτότητα τυχόν περαιτέρω αποδεκτών δεδομένων προσωπικού χαρακτήρα,
2) το σκοπό συλλογής ή επεξεργασίας των δεδομένων,
3) το χρονικό διάστημα αποθήκευσης τους,
4) το δικαίωμα υποβολής αιτήματος για πρόσβαση, διόρθωση , διαγραφή των δεδομένων προσωπικού χαρακτήρα
5) και το δικαίωμα καταγγελίας σε εποπτική αρχή.
Δικαίωμα διαγραφής-Δικαίωμα στη λήθη: Άρθρο 17. Θεμελιώδους σημασίας είναι το δικαίωμα στη λήθη (right to be forgotten), που προβλέπεται στο άρθρο 17. Είναι γεγονός ότι η συλλογή και επεξεργασία δεδομένων δύναται να συνθέσει ένα προφίλ του υποκειμένου των δεδομένων και, ως εκ τούτου, το υποκείμενο των δεδομένων δέον είναι να έχει το δικαίωμα διαγραφής των στοιχείων του, καθώς αυτά δεν θα μπορούσε να θεωρηθεί ότι συντρέχουν στη διατήρηση της ιστορικής μνήμης ή την ελευθερία της πληροφορήσεως. To δικαίωμα αυτό έχει ήδη αρχίσει να έχει μεγάλο αντίκτυπο στον κυβερνοχώρο. Η Γαλλία καταδίκασε την Google να εφαρμόσει το δικαίωμα στη λήθη (right to be forgotten) σε όλα τα domain παγκοσμίως. Η Google άσκησε έφεση κατά της απόφασης αυτής η οποία μόλις δημοσιευθεί θα προκαλέσει σίγουρα πολλές συζητήσεις γύρω απο το θέμα αυτό. Η Google ήδη υποστηρίζει ότι το δικαίωμα στη λήθη έχει προκαλέσει σοβαρό πρόβλημα στην εταιρία καθώς μόνο σε ένα μήνα και μόνο στις ΗΠΑ δέχεται κατά μέσο όρο 1.5 εκατομμύρια αιτήσεις με επίκληση του δικαιώματος αυτού.
Φορητότητα δεδομένων. Άρθρο 20: Έτσι, το πρόσωπο, στο οποίο αναφέρονται τα δεδομένα, δικαιούται, εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία με ηλεκτρονικά μέσα και με δομημένο μορφότυπο, να λάβει αντίγραφο από τον υπεύθυνο επεξεργασίας, ο οποίος επιτρέπει την περαιτέρω χρήση και διαβίβαση σε άλλον των δεδομένων αυτών από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα.
Δικαίωμα εναντίωσης: Άρθρο 21 και 22. Το υποκείμενο της επεξεργασίας έχει το δικαίωμα νααντιτίθεται στην επεξεργασία των προσωπικών του δεδομένων με αυτοματοποιημένα μέσα καιστην δημιουργία προφίλ με σκοπό την αξιολόγηση ορισμένων προσωπικών του χαρακτηριστικών που σχετίζονται με το ίδιο το πρόσωπο, την ανάλυση ή την πρόβλεψη για παράδειγμα των επιδόσεων του στην εργασία, την οικονομική του κατάσταση, τη θέση, την υγεία του και τη συμπεριφορά του. Η δημιουργία προφίλ φαίνεται να εξυπηρετεί απο διαφημιστικούς σκοπούς μέχρι πρόσληψη προσωπικού με βάση συγκεκριμένα κριτήρια και θεωρείται απο πολλούς η βάση για τη δημιουργία πιο personalized υπηρεσιών.
Tέλος, με το νέο Κανονισμό (άρθρο 37), κάθε εταιρία και κάθε δημόσιος φορέας που διαχειρίζεται και επεξεργάζεται προσωπικά δεδομένα υποχρεούται να διορίζει έναν υπεύθυνο προστασίας προσωπικών δεδομένων (data protection officer), ο οποίος οφείλει να γνωρίζει το δίκαιο προστασίας προσωπικών δεδομένων και τις αντίστοιχες πρακτικές.
ΜΗ ΣΥΜΜΟΡΦΩΣΗ ΜΕ ΤΟΝ ΝΕΟ ΚΑΝΟΝΙΣΜΟ
Τα προβλήματα που θα αντιμετωπίσουν οι κατασκευαστές-προμηθευτές ΙοΤ, στην περίπτωση που αγνοήσουν τις εφαρμογές ιδιωτικότητας και προστασίας προσωπικών δεδομένων είναι αρκετά και σε πολλές περιπτώσεις μπορεί γίνουν καταστροφικά. Συγκεκριμένα, με το νέο Κανονισμό εισάγονται επιπλέον στάδια ελέγχου των υπευθύνων της επεξεργασίας και μεγαλύτερες εγγυήσεις προστασίας για τα προσωπικά δεδομένα. Καθιερώνεται και το δικαίωμα προσφυγής των υποκειμένων των δεδομένων, δηλαδή δικαίωμα καταγγελίας σε εποπτική αρχή, επιφυλασσόμενο το δικαίωμα δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά.
Ο Νέος Κανονισμός παρέχει στον χρήστη το δικαίωμα αποζημίωσης από τον υπεύθυνο της επεξεργασίας, εφόσον ζημιώθηκε από την επεξεργασία των δεδομένων κατά παράβαση των διατάξεων του Κανονισμού.
Για κάθε παράβαση του Κανονισμού αυτού, η εποπτική αρχή έχει το δικαίωμα επιβολής διοικητικών προστίμων. Για παραβίαση συγκεκριμένων άρθρων του Κανονισμού τα πρόστιμα φτάνουν έως 10.000.000 Ευρώ και αν πρόκειται για επιχειρήσεις το 2% του συνολικού παγκόσμιου ετήσιου τζίρου του προηγούμενου οικονομικού έτους, ανάλογα ποιο ποσό είναι πιο υψηλό, ενώ για παραβίαση άλλων διατάξεων μπορούν να αγγίξουν τα 20 εκ. Ευρώ και αν πρόκειται για επιχειρήσεις το 4% του συνολικού παγκόσμιου ετήσιου τζίρου του προηγούμενου οικονομικού έτους (άρθρο 83).
Τα προβλήματα αυτά δεν αφορούν μόνο παραβιάσεις προσωπικών δεδομένων χρηστών απο επιθέσεις hacker. Τα προβλήματα δύναται να αφορούν και άλλους τομείς και να ανακύψουν είτε απο ανακλήσεις συσκευών ΙοΤ, μετά απο διαπίστωση κενού ασφαλείας (όπως έγινε πρόσφατα σε συσκευές άθλησης και οικιακές έξυπνες συσκευές) είτε από αγωγές εναντίον κατασκευαστών ΙοΤόχι με βάση τα προσωπικά δεδομένα αλλά με βάση την επικινδυνότητα κατά τη λειτουργία των συσκευών αυτών για τον άνθρωπο και τον ενδεχόμενη βλάβη αυτών (όπως οι πρόσφατες αποκαλύψεις για το έξυπνο αυτοκίνητο της Fiat Crysler στο “έξυπνο” σύστημα του οποίου διαπιστώθηκαν κενά ασφαλείας τα οποία με την παρέμβαση οποιουδήποτε τρίτου θα μπορούσαν να προκαλέσουν ατύχημα). Όλα αυτά κοστίζουν στην φήμη και την ανταγωνιστικότητα της εταιρίαςπου κατασκευάζει και προμηθεύει συσκευές ΙοΤ την αγορά, που σε συνδυασμό με μεγάλα πρόστιμα, τις αγωγές, τη βλάβη στη φήμη, τις πολυετείς δικαστικές διαμάχες και την απώλεια εισοδήματος θα μπορούσαν να εξοντώσουν οικονομικά οποιοδήποτε εταιρία κατασκευής και πώλησης συσκευών κ υπηρεσιών ΙοΤ.
ΠΡΟΣΤΑΤΕΥΤΙΚΑ ΜΕΤΡΑ ΜΕ ΒΑΣΗ ΤΟ ΝΕΟ ΚΑΝΟΝΙΣΜΟ
Η μεγαλύτερη πρόκληση στον τομέα του ΙοΤ είναι η σύμπλευση τους με το Νόμο. Σκοπός του Νόμου είναι η διαφάνεια, η ταυτοποίηση των υπευθύνων της επεξεργασίας, ο περιορισμός της αλόγιστης συλλογής προσωπικών δεδομένων και ο έλεγχος των διαδικασιών ανά τακτά χρονικά διαστήματα. Για την επίτευξη των σκοπών αυτών ο Νέος Κανονισμός ορίζει τις εξής δυνατότητες:
Προστασία by design and by default: Άρθρο 25. Ο υπεύθυνος επεξεργασίας πρέπει να εφαρμόζει τις αυστηρότερες ρυθμίσεις προστασίας των προσωπικών δεδομένων ήδη εξ ορισμού και απο τον σχεδιασμό των συσκευών και των υπηρεσιών ΙοΤ, όπως για παράδειγμα την ψευδωνυμοποίηση και την κρυπτογράφηση, την ελαχιστοποίηση των συλλεγόμενων δεδομένων, το δικαίωμα στη λήθη κτλ, ώστε ο χρήστης να μην χρειαστεί να επέμβει ο ίδιος χειροκίνητα επιλέγοντας ρυθμίσεις προστασίας των δεδομένων του, για να εξασφαλίσει ότι τα δεδομένα που συλλέγονται δεν είναι υπερβολικά σε σχέση με το σκοπό συλλογής τους και ότι αυτά δεν θα γίνουν προσβάσιμα σε αόριστο αριθμό ατόμων χωρίς την παρέμβαση κάποιου τρίτου. Και αυτό το μέτρο πρέπει να θεωρείται ως το ελάχιστο μέσο προστασίας των προσωπικών δεδομένων.
Γνωστοποίηση παραβίασης δεδομένων τόσο στην Εποπτική Αρχή όσο και στο υποκείμενο των δεδομένων. Άρθρα 33 και 34: Ο υπεύθυνος επεξεργασίας έχει υποχρέωση αμελλητί και εάν είναι δυνατόν εντός 72 ωρών από τη στιγμή που λαμβάνει γνώση, να γνωστοποιήσει στην εποπτική αρχή κάθε περίπτωση παραβίασης προσωπικών δεδομένων, εκτός εάν αυτή η παραβίαση των δεδομένων δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Γεννάται επίσης υποχρέωση ανακοίνωσης της παραβίασης των δεδομένων στο υποκείμενο των δεδομένων αυτών, εκτός εάν ο υπεύθυνος επεξεργασίας έλαβε κάθε μέτρο ασφαλείας πριν την παραβίαση και εάν η ανακοίνωση αυτή απαιτεί δυσανάλογες ενέργειες.
Εκτίμηση Αντίκτυπου για την προστασία προσωπικών δεδομένων (impact και riskassessments). Άρθρο 35. Όταν η συλλογή και η επεξεργασία προσωπικών δεδομένων ενδέχεται να επιφέρει υψηλό κίνδυνο για τις ελευθερίες και τα δικαιώματα των χρηστών, τότε ο υπεύθυνος επεξεργασίας οφείλει να προβεί σε εκτίμηση των επιπτώσεων επεξεργασίας των δεδομένων (impact assessment: σκοποί επεξεργασίας, αναγκαιότητα, αναλογικότητα, εκτίμηση κινδύνων, τρόπους αντιμετώπισης κινδύνων), ΠΡΙΝ απο την επεξεργασία, υποβάλλοντας την στην εποπτική αρχή, και ζητώντας διαβούλευση όταν έχει εκτιμήσει ότι η επεξεργασία επιφέρει υψηλό κίνδυνο (άρθρο 36)
Επιβοηθητικά θα μπορούσαν να λειτουργήσουν και οι κώδικες δεοντολογίας από ενώσεις που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας προσωπικών δεδομένων (άρθρο 40), οι οποίοι μετά την έγκριση τους απο την εποπτική αρχή έχουν δεσμευτική ισχύ. Για την παροχή μεγαλύτερων εγγυήσεων ως προς την επεξεργασία προσωπικών δεδομένων, οι υπεύθυνοι επεξεργασίας μπορούν εθελοντικά να αποκτήσουν πιστοποίηση προστασίας προσωπικών δεδομένων και ειδικές σφραγίδες πιστοποίησης (seals) και τα σήματα προστασίας προσωπικών δεδομένων με σκοπό την συμμόρφωση τους προς τον Κανονισμό (άρθρο 42). Πιστοποίηση έχει ισχύ για 3 έτη.
Παρατηρούμε πως ο νέος Κανονισμός ήταν αναγκαίος για να εκσυγχρονίσει το μάλλον απαρχαιωμένο και κατακερματισμένο προηγούμενο νομοθετικό καθεστώς προστασίας των προσωπικών δεδομένων. Απο τη μία πλευρά ο Νέος Κανονισμός αυξάνει το επίπεδο προστασίας των προσωπικών δεδομένων των χρηστών, δίνοντας τους ένα ισχυρό δικαίωμα αυτοκαθορισμού των προσωπικών τους δεδομένων και παρέχοντας τους τη δυνατότητα να αποφασίζουν ανά πάσα στιγμή οι ίδιοι για το μέλλον των προσωπικών τους δεδομένων και τη διαβίβαση τους σε τρίτους. Απο την άλλη πλευρά, ο Νέος Κανονισμός θέτει αυξημένες υποχρεώσεις συμμόρφωσης στους υπευθύνους επεξεργασίας, στοχεύοντας σε διαφανείς διαδικασίες, ώστε να επιτύχει υψηλού βαθμού ασφάλεια των προσωπικών δεδομένων και των διαβιβάσεων τους.
Το μόνο βέβαιο για το μέλλον είναι ότι εξαιτίας της πολυπλοκότητας στο γράμμα του νέου Κανονισμού και των αναρίθμητων περιπτώσεων και υποπεριπτώσεων που θέτει, οι κατασκευαστές ΙοΤ θα είναι απαραίτητο να προσαρμόσουν τη στρατηγική τους και τις πρακτικές τους στις επιταγές του Νόμου, ώστε να αποφύγουν τις παγίδες που θα μπορούν να τους κοστίσουν ακόμα και την επιβίωση τους στην αγορά. Γι αυτό το λόγο η πρόσληψη ενός εξειδικευμένου δικηγόρου στα ζητήματα αυτά ή η δημιουργία ενός εξειδικευμένου νομικού τμήματος σε κάθε επιχείρηση που δραστηριοποιείται στον τομέα των ΙοΤ είναι πλέον επιτακτική ανάγκη και είναι σίγουρα μια κίνηση που θα προφυλάξει την εταιρία απο βέβαιους μπελάδες.
Χρυσή Χρυσοχού
Δικηγόρος (LL.M in Information Technology and Telecommunications Law) email: chrysi.chrysochou@gmail.com
Πηγή https://informationlaw.ethemis.gr