Drupal blog posts

Phishing Εσπερίδα στον ΔΣ Ρόδου Οκτώβριος 2024

elenaspiropoulou — Sun, 20 Oct 2024 07:56:02 +0000

Phishing Εσπερίδα στον ΔΣ Ρόδου Οκτώβριος 2024 elenaspiropoulou Κυρ, 10/20/2024 - 10:56

Blog tags

ΕΝΗΜΕΡΩΤΙΚΗ ΕΚΔΗΛΩΣΗ ΓΙΑ ΤΙΣ ΔΙΑΔΙΚΤΥΑΚΕΣ ΑΠΑΤΕΣ

elenaspiropoulou — Thu, 17 Oct 2024 15:55:08 +0000

ΕΝΗΜΕΡΩΤΙΚΗ ΕΚΔΗΛΩΣΗ ΓΙΑ ΤΙΣ ΔΙΑΔΙΚΤΥΑΚΕΣ ΑΠΑΤΕΣ elenaspiropoulou Πέμ, 10/17/2024 - 18:55

Η απάτη μέσω υπολογιστή μπορεί να πάρει πολλές μορφές, και να καταλήξει σε απώλεια σημαντικών ποσών ή προσωπικών δεδομένων.

Η πιο διαδεδομένη μορφή απάτης στον κυβερνοχώρο είναι το phishing που λειτουργεί σαν ψηφιακή παγίδα όπου οι απατεώνες προσποιούνται ότι είναι κάποιος άλλος, συνήθως με ψεύτικα emails ή ιστοσελίδες, για να κλέψουν ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης τραπεζικών λογαριασμών και στοιχεία πιστωτικών καρτών.

Tο ΚΕΚ Γεννηματάς σε συνεργασία με το Δικηγορικό Σύλλογο Ρόδου διοργανώνει το Σάββατο 19 Οκτωβρίου 18:00 ενημερωτική εσπερίδα με τίτλο ΔΙΑΔΙΚΤΥΑΚΕΣ ΑΠΑΤΕΣ που αφορά όλους όσοι κάνουν ηλεκτρονικές συναλλαγές, μέσω web-banking ή ανέπαφα, ιδιώτες, επαγγελματίες και νομικούς.

Στην εκδήλωση που θα γίνει στην αίθουσα του Δικηγορικού Συλλόγου Ρόδου, 25ης Μαρτίου 9, θα παρουσιαστούν :

«Phishing, η πιο διαδεδομένη μορφή απάτης με υπολογιστή. Τι προβλέπει η νομοθεσία και πώς μπορούμε να προστατευτούμε»

Έλενα Σπυροπούλου, Δικηγόρος, Υπεύθυνη Προστασίας Δεδομένων, μέλος του Privacy Europe Network

«Ηλεκτρονικές απάτες με τη χρήση Τεχνητής Νοημοσύνης»

Μάνος Τεχνίτης, Δικηγόρος- Εγκληματολόγος υπ.Δρ. Νομικής, LL.M, M.Sc., Cert. DPO

Σκοπός της εσπερίδας που εντάσσεται στο έργο ΔΡΑΣΕΙΣ ΕΝΗΜΕΡΩΣΗΣ, ΕΠΙΜΟΡΦΩΣΗΣ ΚΑΙ ΚΑΤΑΡΤΙΣΗΣ της Περιφέρειας Νοτίου Αιγαίου , είναι να μάθουμε πώς μπορούμε να αναγνωρίζουμε την απάτη και να προστατευόμαστε και κυρίως τι μέτρα να λάβουμε εφόσον συμβεί ώστε να λάβουμε πίσω τα χρήματά μας. Ειδικότερα για τους νομικούς θα παρουσιαστεί το νομικό πλαίσιο και η τρέχουσα νομολογία.

Blog tags

Activity off-Facebook

elenaspiropoulou — Tue, 04 Feb 2020 10:19:59 +0000

Activity off-Facebook elenaspiropoulou Τρί, 02/04/2020 - 12:19

Το facebook απέκτησε την λειτουργία παρακολούθησης του ιστορικού των πληροφοριών μας που μοιραστήκαμε εκτός facebook.

Με την διαχείριση αυτής της λειτουργίας, οι χρήστες μπορούμε να παρακολουθήσουμε με ποια άλλα site έχει συσχετιστεί ο λογαριασμός μας στο facebook, δηλαδή να γνωρίζουμε ποιες εφαρμογές και websites παρέχουν πληροφορίες σχετικά με την πλοήγησή μας στον οργανισμό του facebook. Επίσης έχουμε την δυνατότητα να απενεργοποιήσουμε την δνατότητα συσχετισμού των πληροφοριών μας, ώστε οι πληροφορίες της πλοήγησής μας εκτός facebook να μην συνδυάζονται με τον λογαριασμό μας μέσα στην πλατφόρμα.

Τα βήματα είναι: "Ρυθμίσεις" => "Οι Πληροφορίες σας στο facebook" => "Δραστηριότητα εκτός facebook". Ή πιο απλά ακολουθείτε το link https://www.facebook.com/off_facebook_activity/ ενώ είστε συνδεδεμένοι στον λογαριασμό σας.

Επισημαίνουμε ότι δίπλα από την ένδειξη "clear history" υπάρχει μια καρτέλα με περισσότερες και πιο χρήσιμες επιλογές:
"Access your information" => θα βρείτε όλες τις δραστηριότητες που συνδέονται με τον λογαριασμό σας, π.χ. όλα τα tags και όλες τις δημοσιεύσεις, μηνύματα κ.τ.λ.
"Download your activity" => αν θέλετε να πάρετε αντίγραφο από την δραστηριότητα σας (και για όσους μας ρωτάνε κατά καιρούς τι σημαίνει "privacy by desing", να ένα καλό παράδειγμα. Δημιουργούμε τις τεχνικές προϋποθέσεις για να ικανοποιούνται τα αιτήματα των Υποκειμένων).
"Manage your future Activity"=> η επιλογή με την μεγαλύτερη χρησιμότητα: Από εδώ μπορείτε να απενεργοποιήσετε τον συσχετισμό των πληροφοριών σας εκτός facebook με τον λογαριασμό σας στο facebook.

Αν πατήσετε την επιλογή, θα σας εμφανιστεί επεξηγηματικό μήνυμα το οποίο καταλήγει στην διευκρίνηση "θα συνεχίσουμε να σας δείχνουμε διαφημίσεις και να λαμβάνουμε πληροφορίες για εσάς από τρίτους, όμως δεν θα συσχετίζουμε αυτές τις πληροφορίες με τον λογαριασμό σας". Μην πτοείστε από το μήνυμα, γιατί περί αυτού ακριβώς πρόκειται. Είναι τελείως διαφορετικό να λαμβάνει το facebook ανώνυμες πληροφορίες για εμάς και την δραστηριότητά μας σε τρίτα sites, π.χ. "ένας χρήστης από την Αθήνα επισκέφτηκε το κατάστημα Χ" και άλλο να λαμβάνει πληροφορία με προσωπικά δεδομένα π.χ. "η Έλενα Σπυροπούλου επισκέφτηκε το κατάστημα Χ και αγόρασε ροζ λουρί για μικρόσωμο σκύλο". Στην πρώτη περίπτωση μιλάμε για μέτρηση επισκεψιμότητας και ανώνυμα στατιστικά στοιχεία, ενώ στην δεύτερη μιλάμε για προσωπικά δεδομένα που οδηγούν σε προσωποποιημένη διαφήμιση. Βέβαια, είστε κι εσείς που απαντάτε "αφού θα βλέπω που θα βλέπω διαφήμιση, ας βλέπω κάτι που να με ενδιαφέρει" οπότε εν προκειμένω αποφασίζετε ότι στο μέλλον θα βλέπετε άφθονη διαφήμιση σκυλοτροφής...

Αλλά θα πρέπει να ξανασκεφτούμε αν η μοναδική επίπτωση είναι το είδος της διαφήμισης που βλέπουμε, γιατί πράγματι είναι το λιγότερο. Η συγκέντρωση των πληροφοριών που μας αφορούν σε κολοσσούς ενημέρωσης και διασποράς πληροφοριών, όπως είναι το facebook, οδηγεί στην κατάρτιση απολύτως συγκεκριμένων προφίλ για τον καθένα από εμάς, την ομαδοποίηση και κατάταξή μας σε κατηγορίες ενδιαφερόντων, πολιτικών πεποιθήσεων, εισοδηματικής κατάστασης, εκπαίδευσης κ.τ.λ.

Ακολούθως η παρουσίαση προσωποποιημένων διαφημίσεων αλλά και προσωποποιημένης πληροφόρησης και περιεχομένου που ανταποκρίνεται στα ενδιαφέροντά μας, είναι μονόδρομος. Μονόδρομος επικίνδυνος ειδικά γιατί ο καθένας από εμάς είναι ευάλωτος στην κατανάλωση πληροφορίας που ταιριάζει με τα γούστα και τις πεποιθήσεις του. Επικίνδυνος όμως και γενικά, γιατί μας στερεί αυτό ακριβώς που ελπίζαμε να έχουμε με την χρήση του διαδικτύου: Πρόσβαση σε -αμερόληπτη- πληροφόρηση. Όταν μας σερβίρεται βολική πληροφορία, αντί να αναζητούμε εμείς και να διαβάζουμε πλήθος αντικρουόμενων και διαφορετικών πληροφοριών, ως εκ θαύματος, ο καθένας από εμάς, βρίσκει μπροστά του μόν οτα αποτελέσματα που οι αλγόριθμοι έχουν αποφασίσει ότι μας ενδιαφέρουν.

Profiling εργαζόμενου από τον εργοδότη

elenaspiropoulou — Wed, 22 Jan 2020 10:34:51 +0000

Profiling εργαζόμενου από τον εργοδότη elenaspiropoulou Τετ, 01/22/2020 - 12:34

Το δικαίωμα του ατόμου να μην υπόκειται σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας συμπεριλαμβανομένης της κατάρτισεης προφίλ (profiling), οι οποίες μπορεί να επηρεάζουν σημαντικά τα έννομα συμφέροντά του (άρθρο 22 ΓΚΠΔ) είναι από τις πιο δυσχερείς ερμηνευτικά διατάξεις του Κανονισμού. Το ίδιο συμβαίνει και με την διάταξη του άρθρου 21 ΓΚΠΔ που είναι το δικαίωμα εναντίωσης του υποκειμένου στην επεξεργασία των δεδομένων του όταν αυτή γίνεται στη νομική βάση των έννομων συμφερόντων του υπεύθυνου επεξεργασίας.

Η δυσχέρεια προκύπτει από την ίδια την ευρύτητα του ορισμού, δηλαδή την έννοια της φράσης “αποφάσεις που παράγουν έννομα αποτελέσματα που αφορούν το πρόσωπο ή το επηρεάζουν σημαντικά με παρόμοιο τρόπο”. Επειδή δεν ορίζεται τι σημαίνει “να το επηρεάζουν σημαντικά”, δεν έχουμε επαρκές μέτρο σύγκρισης και κρίσης περί του ποιες αποφάσεις επηρεάζουν σημαντικά ένα υποκείμενο και ποιες όχι. Είναι βέβαια κατανοητό ότι αποφάσεις που αφορούν εργασιακά δικαιώματα είναι σημαντικές, όμως σε άλλες περιπτώσεις δεν είναι τόσο ευδιάκριτος ο διαχωρισμός. Για παράδειγμα: Φαρμακευτική εταιρεία χορηγεί εκπτώσεις στους φαρμακοποιούς που προμηθεύει τα προϊόντα της με βάση την δυναμικότητα των πωλήσεών τους. Βάσει του προφίλ του κάθε φαρμακείου, εκείνα που έχουν υψηλότερες πωλήσεις λαμβάνουν μεγαλύτερες εκπτώσεις στα προϊόντα της συγκεκριμένης εταιρείας, ενώ εκείνα που κάνουν χαμηλές πωλήσεις, λαμβάνουν μικρές ή και καθόλου εκπτώσεις. Είναι αυτή μία απόφαση που επηρεάζει σημαντικά το υποκείμενο ή όχι; Αντίστοιχα, οι φαρμακοποιοί που κάνουν υψηλές πωλήσεις μπορεί να λαμβάνουν το ίδιο ποσοστό έκπτωσης στα προϊόντα της φαρμκευτικής αλλά να λαμβάνουν περισσότερη ενημέρωση από τους ιατρικούς επισκέπτες της, ενώ εκείνα τα φαρμακεία που κάνουν λίγες πωλήσεις να μην δέχονται καθόλου επίσκεψη από τους ιατρικούς εισκέπτες της φαρμακευτικής. Είναι αυτό μια απόφαση που επηρεάζει σημαντικά το υποκείμενο-φαρμακοποιό ή όχι; Και αντίστοιχα για το άρθρο 21 ΓΚΠΔ: Για να ασκήσει το υποκείμενο το δικαίωμα του άρθρου 21 (δικαίωμα εναντίωσης) πρέπει να έχει χρησιμοποιηθεί η νομική βάση του άρθρου 6 παρ.στ), δηλαδή να πρόκειται για επεξεργασία που γίνεται με νομική βάση τα έννομα συμφέροντα του υπεύθυνου επεξεργασίας, έναντι των οποίων δεν “υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων…”. Υπερισχύουν όμως τα δικαιώματα και οι ελευθερίες των φαρμακοποιών έναντι των εννόμων συμφερόντων της φαρμακευτικής εταιρείας να παρέχει εκπτώσεις σε όποιον πελάτη της κάνει μεγαλύτερη κατανάλωση και ακολούθως σε αυτόν να δαπανά μεγαλύτερο μέρος των πόρων της για επαγγελματική ενημέρωση;

Μια απόφαση του Γραφείου Επιτρόπου Προστασίας Δεδομένων της Κύπρου έρχεται να συμβάλει στην ερμηνεία των άρθρων 21 και 22 του Κανονισμού: Πρόκειται για την απόφαση του Γραφείου σχετικά με τις εταιρείες Louis, οι οποίες εφάρμοζαν στους εργαζόμενούς τους σύστημα βαθμολόγησης των αδειών των εργαζομένων με την μέθοδο Bradford. Η μέθοδος Bradford στηρίζεται στην λογική ότι οι μικρές συχνές απουσίες είναι περισσότερο αποδιοργανωτικές για την εργασία από τις μακρόχρονες και ως εκ τούτου βαθμολογεί τις απουσίες των εργαζομένων υψώνοντας στο τετράγωνο τον αριθμό των περιπτώσεων απουσίας πολλαπλασιάζοντάς τον στην συνέχεια με τον συνολικό αριθμό ημερών απουσίας. Όσο υψηλότερο είναι το σκορ, αντίστοιχα διαβαθμίζεται και η αντίδραση του εργοδότη προς τον εργαζόμενο.

Το Γραφείο έκρινε ότι μολονότι είναι δικαίωμα του εργοδότη να αξιολογεί τους εργαζόμενούς του και να ασκεί εποπτεία στις ημέρες αδειών τους, ωστόσο ο τρόπος αυτός παρακολούθησης με την κατάρτιση προφίλ των εργαζόμενων, είναι καταχρηστικός και παραβιάζει τα δικαιώματα των υποκειμένων. Μάλιστα κάνει μια σαφή διάκριση ως προς τον κανόνα που παραβιάζεται, καταλήγοντας ότι δεν τυγχάνει εφαρμογής το άρθρο 22 του Κανονισμού (αυτοματοποιημένη απόφαση βάσει profiling) αλλά το άρθρο 21 περί του δικαιώματος εναντίωσης. Σημειωτέον ότι οι εργοδότριες εταιρείες είχαν διενεργήσει Εκτίμηση Αντικτύπου (DPIA) με ανεξάρτητο οργανισμό ελέγχουμ στην οποία είχαν κρίνει ως θεμιτή την συγκεκριμένη επεξεργασία. Το Γραφείο Επιτρόπου αντίθεται έκρινε ότι δεν αποδεικνύεται για ποιον λόγο θεωρείται ότι η κατάρτιση τέτοιου τύπου προφίλ για τον εργαζόμενο υπερισχύει των συμφερόντων ή των θεμελιωδών δικαιωμάτων των υποκειμένων. Ως εκ τούτου, η νομική βάση των εννόμων συμφερόντων δεν μπορεί να χρησιμοποιηθεί, και η εκτίμηση αντικτύπου σε επεξεργασία η οποία στερείται νομικής βάσης είναι περιττή. Εξάλλου, έκρινε το Γραφείο, δεν συντρέχει καμία από τις εξαιρέσεις που επιτρέπουν την επεξεργασία δεδομένων ειδικών κατηγοριών (άρθρο 9 παρ.2 ΓΚΠΔ). Ο εργοδότης εξάλλου δεν εμποδίζεται να καταγράφει απλώς τις ημέρες αδειών και να βάζει όριο σε αυτές. Ο πολλαπλασιασμός όμως του αριθμού ημερών απουσίας με τον εαυτό του (στο τετράγωνο) είναι αδικαιολόγητη πρακτική, η οποία δεν έχει κριθεί ακαδημαϊκά ή επιστημονικά, δεν τεκμηριώνεται και επιφέρει ένα τιμωρητικό και εκδικητικό αποτέλεσμα για τον εργαζόμενο.

Η απόφαση του Γραφείου Επιτρόπου Προστασίας Δεδομένων Κύπρου είναι εξαιρετικά αναλυτική και διαφωτιστική και προσφέρει μια άριστη ερμηνεία και ανάλυση της εφαρμογής των άρθρων 21 και 22 του Κανονισμού. Όλη η απόφαση εδώ:

Εγχειρίδιο για την προστασία των δεδομένων

elenaspiropoulou — Tue, 14 Jan 2020 16:18:45 +0000

Εγχειρίδιο για την προστασία των δεδομένων elenaspiropoulou Τρί, 01/14/2020 - 18:18

Διαθέσιμο και στα ελληνικά είναι το Εγχειρίδιο για την Ευρωπαϊκή Νομοθεσία για τα Προσωπικά Δεδομένα που προέκυψε από την συνεργασία του Οργανισμού Θεμελιωδών Δικαιωμάτων της ΕΕ (FRA), με το Συμβούλιο της Ευρώπης, την Γραμματεία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

Μολονότι η έκδοση του είναι του 2018, είναι ένας εύληπτος και απλός οδηγός σχετικά με το πλαίσιο προστασίας των προσωπικών δεδομένων. Περιλαμβάνει εξήγηση της σχετικής ορολογίας, την εξέλιξη του δικαίου της προστασίας των προσωπικών δεδομένων, την θέση του στο διεθνές νομικό πλαίσιο, τις επιμέρους εκφάνσεις και τους περιορισμούς των δικαιωμάτων στην προστασία των δεδομένων, και επεξήγηση του Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων και την Ελεύθερη Κυκλοφορία αυτών (GDPR).

GDPR Συμμόρφωση-Πόσο κοστίζει;

elenaspiropoulou — Tue, 09 Apr 2019 20:16:23 +0000

GDPR Συμμόρφωση-Πόσο κοστίζει; elenaspiropoulou Τρί, 04/09/2019 - 23:16

Ένα χρόνο μετά την ισχύ του Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων και την ελεύθερη κυκλοφορία αυτών (GDPR), στην Ελλάδα πολλές επιχειρήσεις προσπαθούν ακόμη να αποφύγουν την διαδικασία συμμόρφωσής τους ή να την ολοκληρώσουν με το εξαιρετικά χαμηλό κόστος χωρίς είναι σε θέση να αντιληφθούν τα κενά του έργου που τους παραδίδεται. Πολλές είναι άλλωστε και οι εταιρείες που διαφημίζουν ότι “συμμορφώνουν” τις επιχειρήσεις με πολύ χαμηλό κόστος.

Γίνεται όμως αυτό; Μπορεί μια επιχείρηση να συμμορφωθεί με τις επιταγές του GDPR χωρίς να ξοδέψει μια περιουσία; Και ποιες είναι οι απαραίτητες εργασίες που πρέπει να κάνει;

Από τι εξαρτάται το κόστος της συμμόρφωσης στον GDPR:

1. Αντίθεται με ό,τι λέγεται, ο αριθμός του προσωπικού μια επιχείρησης δεν είναι καθοριστικός παράγοντας για το κόστος ενός έργου συμμόρφωσης. Το προσωπικό μιας επιχείρησης είναι μία κατηγορία υποκειμένων είτε πρόκειται για πέντε άτομα είτε για πολύ περισσότερα.
2. Το μέγεθος μιας επιχείρησης σε τζίρο επίσης δεν είναι καθοριστικός παράγοντας, κυρίως αν τα έσοδα της επιχείρησης έρχονται από ίδια ή παρόμοια προϊόντα και υπηρεσίες (π.χ. εμπορικά καταστήματα, βιοτεχνίες κ.τ.λ.)
3. Το είδος της επιχείρησης όμως επηρεάζει το κόστος. Για παράδειγμα νοσοκομεία, ασφαλιστικές εταιρείες, τραπεζικά ιδρύματα κ.α. έχουν ιδιαίτερη πολυπλοκότητα και αυξημένους κινδύνους λόγω της επεξεργασίας είτε πληθώρας δεδομένων, είτε δεδομένων ειδικού χαρακτήρα (ευαίσθητα). Η διαφοροποίηση εξάλλου των προϊόντων και υπηρεσιών μιας επιχείρησης επηρεάζει το κόστος, γιατί συνήθως σημαίνει την ύπαρξη πολλών διαφορετικών κατηγοριών δεδομένων, υποκειμένων και αποδεκτών.
4. Ο αριθμός των υποκαταστημάτων ή εγκαταστάσεων μιας επιχείρησης επίσης επηρεάζει σημαντικά το κόστος, καθώς πρέπει να ελέγχονται τα τεχνικά μέσα διασύνδεσης της επικοινωνίας και η ροή της πληροφορίας μεταξύ των εγκαταστάσεων.
5. η ύπαρξη συστήματος βιντεοεπητήρησης είναι ένα χωριστό κεφάλαιο οικονομικά, καθώς χρειάζεται έλεγχος και καταγραφή των καμερών και αξιολόγηση της κάθε μίας κάμερας σε σχέση με την εικόνα που καταγράφουν.
5. Ευνόητο είναι ότι οι προωθητικές ενέργειες επηρεάζουν επίσης άμεσα το κόστος, καθώς ελέγχονται μία προς μία για την νομιμότητα των μέσων που χρησιμοποιούνται και προκύπτουν προτάσεις για συμμόρφωση σε κάθε μία από αυτές.
6. Τέλος ενα χωριστό κεφάλαιο στην κοστολόγηση ενός έργου συμμόρφωσης είναι η ύπαρξη DPO και η εκπαίδευση του προσωπικού όπου απαιτείται.

Μπορεί μια επιχείρηση να ολοκληρώσει την συμμόρφωσή της με χαμηλό κόστος;

Ναι, αν απευθυνθεί σε επαγγελματίες νομικούς που υποστηρίζονται από ομάδα τεχνικών συμβούλων. Μεγάλη μερίδα της αγοράς αποτελείται από επιχειρήσεις που ανεξαρτήτως μεγέθους έχουν απλή δομή και λειτουργία. Τέτοιες είναι κυρίως εμπορικά καταστήματα και ηλεκτρονικά καταστήματα (e-shops), που διαθέτουν ή όχι ιστοσελίδες και διενεργούν τις βασικές προωθητικές τους ενέργειες από το διαδίκτυο. Έχοντας ολοκληρώσει στο δικηγορικό γραφείο Σπυροπούλου & Συνεργατών πλήθος έργων συμμόρφωσης τέτοιων επιχειρήσεων έχουμε δει ότι αυτές οι επιχειρήσεις έχουν πολλά κοινά χαρακτηριστικά και ότι το GAP Analysis δεν είναι πάντα απαραίτητο, καθώς η συμμόρφωση αυτών των επιχειρήσεων καταλήγει με μικρές διαφοροποιήσεις πάντα στα ίδια μέτρα (εξαιρουμένων των τεχνικών). Χωρίς το κόστος του GAP Analysis η επιχείρηση μετά τον έλεγχό της, λαμβάνει Πρόγραμμα συμμόρφωσης και προχωράει κατευθείαν στην υλποίησή του με σημαντικά χαμηλότερο κόστος και σε συντομότερο χρόνο.

GDPR και ηλεκτρονικά καταστήματα (e-shops)

elenaspiropoulou — Mon, 08 Apr 2019 10:20:06 +0000

GDPR και ηλεκτρονικά καταστήματα (e-shops) elenaspiropoulou Δευ, 04/08/2019 - 13:20

Τι χρειάζεται ένα ηλεκτρονικό κατάστημα για να είναι σύννομο υπό το καθεστώς του GDPR ή αλλιώς GDPR Compliant;

Τα περισσότερα εμπορικά ηλεκτρονικά καταστήματα (e-shop), ανεξαρτήτως των προϊόντων που εμπορεύονται έχουν κάποια κοινά χαρακτηριστικά. Τα χαρακτηριστικά αυτά δημιουργούν συγκεκριμένες ανάγκες για την συμμόρφωσή τους με τον GDPR. Ενδεικτικά:

Κάθε e-shop έχει μια ιστοσελίδα στην οποία καταχωρούνται τα προσωπικά δεδομένα των αγοραστών, αφού ένα προϊόν για να αγοραστεί θα απαιτήσει κάποιον τρόπο πληρωμής που συνδέεται με την ταυτότητα του χρήστη, μια διεύθυνση παράδοσης του προϊόντας, καθώς και κάποιο τηλέφωνο ή άλλο στοιχείο επικοινωνίας. Επομένως χρειάζεται ο χρήστης-αγοραστής να ενημερωθεί για τα δικαιώματά του και τον τρόπο επεξεργασίας των δεδομένων του. Αυτό γίνεται μέσα από την Πολιτική Απορρήτου (ή αλλιώς Privacy Policy ή Πολιτική Ιδιωτικότητας). Ο χρήστης πρέπει υποχρεωτικά να συναντήσει αυτό το κείμενο πριν βάλει τα στοιχεία του στην φόρμα του e-shop.

Επίσης τα περισσότερα e-shops χρησιμοποιούν cookies για την ανάλυση των αποτελεσμάτων τους, την ευκολότερη πλοήγηση των χρηστών τους κ.τ.λ. Οι χρήστες πρέπει να ενημερώνονται για το είδος των cookies που εγκαθίστανται και να έχουν δικαίωμα απενεργοποίησής τους. Αυτό γίνεται μέσα από την cookies policy η οποία πρέπει να είναι αναλυτική για λόγους διαφάνειας και να εμφανίζεται στον χρήστη πριν συνεχίσει την πλοήγησή του στην σελίδα.

Newsletters. Τα e-shops που διαθέτουν newsletters πρέπει να έχουν συγκεκριμένη φόρμα εγγραφής του χρήστη με προηγούμενη ενημέρωσή του και double opt in διαδικασία εγγραφής. Γενικότερα κάθε φόρμα επικοινωνίας που διαθέτει ένα e-shop χρειάζεται συγκεκριμένη διαδιακασία αποστολής, που να πληροί τα κριτήρια που θέτει ο GDPR για την ενημέρωση των υποκειμένων.

Τέλος αν το e-shop πραγματοποιεί συστηματική επεξεργασία των δεδομένων των χρηστών του θα χρειαστεί να δημιουργηθεί Αρχείο Δεδομένων Επεξεργασίας.

Οι υπεύθυνοι του e-shop που επιθυμεί να συμμορφωθεί με τον Κανονισμό θα χρειαστεί να κάνουν ένα ραντεβού (τηλεφωνικά ή δια ζώσης) και να είναι έτοιμοι να απαντήσουν σε ερωτήσεις τεχνικές και ερωτήσεις που άπτονται της λειτουργίας του e-shop για να μπορέσει να σχηματιστεί η καλύτερη δυνατή προσφορά για την επιχείρηση. Θα πρέπει να σημειωθεί ότι δεν χρειάζονται όλα τα e-shops Gap Analysis ή μεγάλο προϋπολογισμό για να επιτύχουν την συμμόρφωσή τους. Πολλές μικρομεσαίες επιχειρήσεις μπορούν να εφαρμόσουν απευθείας Πρόγραμμα Συμμόρφωσης ακολουθώντας τις συμβουλές που θα τους δοθούν από τους έμπειρους νομικούς και τεχνικούς συμβούλους τους και να υιοθετήσουν την σωστή πρακτική στις προωθητικές τους ενέργειες.

GDPR Συμμόρφωση: τα βασικά βήματα.

elenaspiropoulou — Tue, 05 Feb 2019 19:58:03 +0000

GDPR Συμμόρφωση: τα βασικά βήματα. elenaspiropoulou Τρί, 02/05/2019 - 21:58

Η Συμμόρφωση με τον Γενικό Κανονισμό ή αλλιώς GDPR δεν είναι ίδια για όλες τις επιχειρήσεις. Ο βαθμός δυσκολίας της Συμμόρφωσης -και αντίστοιχα το κόστος της- ποικίλλει ανάλογα με τα χαρακτηριστικά της κάθε επιχείρησης. Ωστόσο στις περισσότερες περιπτώσεις τα βήματα που ακολουθούμε όσοι εκτελούμε Έργα Συμμόρφωσης με τον GDPR είναι ίδια, καθώς ο έλεγχος κάθε επιχείρησης οφείλει να είναι λεπτομερής, να φτάνει σε βάθος και να καλύπτει τεχνικά και νομικά ζτήματα. Τα βήματα ελέγχου και συμμόρφωσης συνοψίζονται στα εξής:

Τα βασικά βήματα:
1. Πρώτο βήμα είναι η γνωριμία με την επιχείρηση και το ανώτερο στέλεχός της (ιδιοκτήτη, Γενικό Διευθυντή ή όποιον την διευθύνει) ώστε να εξηγήσουμε τα βασικά χαρακτηριστικά του νόμου και να να εκθέσουμε τους λόγους για τους οποίους αφορά την επιχείρησή του και πώς την επηρεάζει. Σε αυτό το στάδιο θα πρέπει να γνωρίσουμε και εμείς την επιχείρηση: Πρέπει να κατανοήσουμε όχι μόνο το αντικείμενο της επιχείρησης αλλά τον τρόπο εργασίας και τις ανάγκες της. Επίσης πρέπει να αντλήσουμε βασικές πληροφορίες που θα διαμορφώσουν το κόστος μιας προσφοράς για την συμμόρφωση της επιχείρησης. Επομένως πρέπει να ρωτήσουμε για θέματα όπως ενδεικτικά:
- Έχει διαδικτυακή παρουσία η επιχείρηση; Και αν ναι, τι δεδομένα συγκεντρώνει από την διαδικτυακή της παρουσία;
- Έχει εγκατεστημένα πληροφοριακά συστήματα;
- Έχει εξωτερικούς συνεργάτες που διαχειρίζονται προσωπικά δεδομένα;
- Έχει υποκαταστήματα; Πώς συνδέονται μεταξύ τους;
- Έχει εγκατεστημένο σύστημα βιντεοεπιτήρησης;
κ.τ.λ.

2. Δεύτερο βήμα είναι η αποστολή μιας προσφοράς για το έργο της συμμόρφωσης. Εδώ θα πρέπει να αποφασίσουμε τι θα περιέχει αυτή η συμμόρφωση, δηλαδή αν η επιχείρηση είναι τέτοια που να απαιτείται να παραδοθεί GAP Analysis, αν θα εκτελέσουμε DPIA, αν θα παραδώσουμε Πολιτικές Ασφαλείας κ.τ.λ. Πολλές φορές τα έργα -ειδικά τα μεγάλα έργα συμμόρφωσης- παραδίδονται σε δύο φάσεις, η πρώτη ολοκληρώνεται με το Gap Analysis και το Πρόγραμμα Συμμόρφωσης, και η δεύτερη αποτελείται από την φάση της υλοποίησης.

3. Τρίτο βήμα είναι το Data Mapping. Δηλαδή η αποτύπωση της ροής των δεδομένων μέσα στην επιχείρηση. Από πού (πηγές) λαμβάνει δεδομένα η επιχείρηση, πώς κατανέμονται εσωτερικά σε αυτήν, και πού τα κοινοποιεί (αποδέκτες). Κάθε βήμα από αυτά πρέπει να ελέγχεται, να αιτιολογείται και να διασφαλίζεται. Το Data Mapping μπορεί να αποτυπωθεί και σε μορφή σχεδιαγράμματος, αλλά καλό είναι να συνοδεύεται και από επεξηγηματικό κείμενο.

4. Επόμενο βήμα είναι ο έλεγχος της επιχείρησης. Είτε πρόκειται για αναλυτικό Gap Analysis είτε για έλεγχο που διενεργεί ο επαγγελματίας εσωτερικά, χωρίς να παραδώσει στον πελάτη Gap Analysis, οπωσδήποτε πρέπει η επιχείρηση να ελεγχθεί ως προς όλα τα άρθρα του Κανονισμού. Σε μικρές επιχειρήσεις ο έλεγχος αυτός γίνεται με βάση τις γνώσεις του επαγγελματία που διενεργεί τον έλεγχο χωρίς ειδική καταγραφή. Σε μεγάλες όμως επιχειρήσεις αυτό είναι αδύνατον και επικίνδυνο ως πρακτική. Όσο περισσότερες είναι οι επεξεργασίες που διενεργούνται, τόσο πιο απαραίτητο είναι να γίνει Gap analysis, δηλαδή όλες οι επεξεργασίες να ελεγχθούν με βάση όλα τα άρθρα του Κανονισμού. Έτσι ακόμη και οι πρακτικές της επιχείρησης που δεν χρήζουν αλλαγής, έχουν καταγραφεί και αιτιολογείται η συνέχισή τους λόγω συμβατότητάς τους με τον Κανονισμό.

5. Κάθε έλεγχος καταλήγει σε Πρόγραμμα Συμμόρφωσης, ή Προτάσεις Συμμόρφωσης. Πρόκειται για το αποτέλεσμα του ελέγχου, και αυτό που ουσιαστικά ενδιαφέρει την επιχείρηση: Τι πρέπει να κάνει για να είναι σύννομη. Εδώ αναφέρονται η δημιουργία Αρχείου Δραστηριοτήτων Επεξεργασίας, ο διορισμός ή όχι DPO, η διόρθωση συμβάσεων, η δημιουργία συμβάσεων ειδικά για την επεξεργασία προσωπικών δεδομένων, ο έλεγχος και ο επαναπροσδιορισμός των καμερών βιντεοεπιτήρησης κ.τ.λ.

6. Το επόμενο στάδιο είναι η υλοποίηση των Προτάσεων Συμμόρφωσης. Αυτές περιλμαβάνουν όλη την νομική συμμόρφωση και τα τεχνικά μέρη που επιθυμεί και αποφασίζει ο πελάτης να υλοποιήσει με το ανάλογο κόστος και ρίσκο.

7. Η Συμμόρφωση των μεγάλων επιχειρήσεων είναι διαρκής. Δεν ολοκληρώνεται με την παράδοση ενός φακέλου αρχείων αλλά απαιτεί την εκπαίδευση του προσωπικού, τον επανέλεγχο της επιχείρησης, και την συχνή επανεξέταση των πρακτικών της.

GDPR-Παροχή incentives για την λήψη συγκατάθεσης σε προωθητικές ενέργειες

elenaspiropoulou — Fri, 25 May 2018 17:59:30 +0000

GDPR-Παροχή incentives για την λήψη συγκατάθεσης σε προωθητικές ενέργειες elenaspiropoulou Παρ, 05/25/2018 - 20:59

Σχετικές οι: οδηγία της Ομάδας του άρθρου 29 της 17/11/2017 σχετικά με την συγκατάθεση και η οδηγία 4/2010 για το direct marketing.

Tο ερώτημα που θέσανε οι marketers είναι: Μπορώ να ζητήσω την συγκατάθεση του Υποκειμένου για την παροχή των δεδομένων του με οικονομικό αντάλλαγμα; Π.χ. «Με την συγκατάθεσή σου, κερδίζεις 10% έκπτωση στα προϊόντα μας»

Με δυο λόγια η απάντηση είναι: Μπορούμε να επιβραβεύσουμε την ελεύθερη συγκατάθεση του χρήστη να δέχεται τα προωθητικά μας μηνύματα, δεν μπορούμε όμως να το κάνουμε με τέτοιον τρόπο που η συγκατάθεση να μην είναι τελικά ελεύθερη.

Ειδικότερα:

Ο Κανονισμός προβλέπει έξι νομικές βάσεις επεξεργασίας προσωπικών δεδομένων. Η συγκατάθεση είναι μία από αυτές και η εκτέλεση σύμβασης στην οποία το Υποκείμενο είναι συμβαλλόμενο μέρος είναι άλλη. Οι δύο νομικές βάσεις μπορεί να συντρέχουν αλλά ο Υπεύθυνος επεξεργασίας δεν μπορεί να τις εναλλάσει, π.χ. όταν αντιληφθεί ότι η συγκατάθεση δεν ήταν τελικά έγκυρη, να αποφασίσει ότι εμπίπτει στην νομική βάση της εκτέλεσης της σύμβασης. Δηλαδή η επιλογή της νομικής βάσης επί της οποίας γίνεται η επεξεργασία πρέπει να είναι σαφής από την αρχή και μάλιστα με τον Κανονισμό πρέπει και να δηλώνεται στο Υποκείμενο (α.13.1.γ).

Υπό αυτήν την προϋπόθεση λοιπόν πρέπει να δούμε αν η αποστολή προωθητικών μηνυμάτων απαιτεί την μία ή την άλλη νομική βάση, πράγμα που κρίνεται κατά περίπτωση:

Α) Νομική βάση για την αποστολή προωθητικών μηνυμάτων είναι η συγκατάθεση.

Επειδή η αποστολή προωθητικών μηνυμάτων δεν είναι αυτοσκοπός, αντιθέτως γίνεται στο πλαίσιο μιας άλλης κύριας παροχής, είτε υπηρεσίας, είτε προϊόντος (πώληση προϊόντων ή προσφορά υπηρεσιών από τον Υπεύθυνο Επεξεργασίας) πρέπει το Υποκείμενο να γνωρίζει ποια νομική βάση επιτρέπει την επεξεργασία των δεδομένων του για τις προωθητικές ενέργειες. Έτσι για παράδειγμα σε ένα ηλεκτρονικό φροντιστήριο όπου ο εγγεγραμμένος χρήστης κάνει μαθήματα γλώσσας, η εκτέλεση της σύμβασης απαιτεί την χρήση των προσωπικών του δεδομένων για την τιμολόγησή του και για την επικοινωνία μαζί του ώστε να γίνει το μάθημα, ή την αποστολή σε αυτόν εκπαιδευτικού υλικού, χωρίς το οποίο δεν μπορεί η σύμβαση να εκτελεστεί. Όμως η παροχή του email του για προωθητικές ενέργειες δεν είναι απαραίτητη για την εκπαιδευτική διαδικασία, και δεν μπορεί να καλυφθεί από την νομική βάση της εκτέλεσης της σύμβασης. Ως εκ τούτου θα πρέπει για τις προωθητικές ενέργειες να αναζητηθεί ως νομική βάση η συγκατάθεση του χρήστη.

Σε αυτήν την περίπτωση λοιπόν ο Υπεύθυνος επεξεργασίας θα πρέπει να εξασφαλίζει ότι η συγκατάθεση δίνεται ελεύθερα. Ένα από τα κριτήρια του αν είναι ελεύθερη ή όχι η συγκατάθεση είναι το κατά πόσο η παροχή των δεδομένων είναι απαραίτητη για την παροχή του προϊόντος/υπηρεσίας. Έτσι π.χ. αν ο χρήστης δεν μπορεί να χρησιμοποιήσει την εκπαιδευτική πλατφόρμα παρά μόνο αν συγκατατεθεί στην χρήση των δεδομένων του για προωθητικές ενέργειες, η συγκατάθεση αυτή δεν δίνεται ελεύθερα, αφού δεν είναι απαραίτητη για την παροχή της κύριας παροχής που είναι η εκπαίδευση. Σε αυτήν την περίπτωση η παροχή κινήτρου δεν καθιστά νόμιμη την συγκατάθεση, αντιθέτως ενισχύει την ακυρότητά της. Το άρθρο 7 (4) εξασφαλίζει ότι η επεξεργασία των προσωπικών δεδομένων δεν συνδέεται υποχρεωτικά με μια παροχή υπηρεσίας για την οποία αυτά τα δεδομένα δεν είναι απαραίτητα. Με άλλα λόγια ο GDPR εξασφαλίζει ότι η επεξεργασία για την οποία ζητείται συγκατάθεση δεν μπορεί να είναι άμεσα ή έμμεσα το το αντάλλαγμα μιας σύμβασης. Οι δύο νομικές βάσεις, της εκτέλεσης μιας σύμβασης και της συγκατάθεσης δεν μπορούν να χρησιμοποιούνται μαζί.

(Επίσης κάτι άλλο που ισχύει στην συγκατάθεση και δυσκολεύει την απόδοση κινήτρων είναι ότι το Υποκείμενο πρέπει να μπορεί να άρει την συγκατάθεσή του ανά πάσα στιγμή, χωρίς να επέλθει κάποια βλαπτική μεταβολή γι’αυτό. Επομένως αν του προσφέρεις κίνητρο και στην συνέχεια το Υποκείμενο άρει την συγκατάθεσή του, δεν μπορείς να ζητήσεις πίσω την παροχή.)

Συμπέρασμα για την περίπτωση αυτή: Το ηλεκτρονικό φροντιστήριο δεν μπορεί να υποχρεώσει τον χρήστη να δεχτεί προωθητικές ενέργειες με την παροχή οικονομικού κινήτρου. Αν όμως η επιλογή να δέχεται προωθητικές ενέργειες είναι προαιρετική (ελεύθερη συγκατάθεση) σε σχέση με την κύρια παροχή (εκπαίδευση) τότε δεν εμποδίζεται να τον επιβραβεύσει με οικονομικό κίνητρο.

Β) Νομική βάση για την αποστολή προωθητικών μηνυμάτων είναι η εκτέλεση της σύμβασης.

Τέτοιες περιπτώσεις είναι αυτές όπου η προωθητικές ενέργειες με αντάλλαγμα τις οικονομικές προσφορές/εκπτώσεις κ.τ.λ. αποτελούν καθεαυτό το ίδιο το αντικείμενο της σύμβασης όπως π.χ. όταν κάποιος συμμετέχει σε loyalty υπηρεσίες. Εκεί η ίδια η σύμβαση μπορεί να λέει στον χρήστη ότι ως μέλος του loyalty club μας μπορεί να λαμβάνεις εκπτώσεις και προσφορές. Ωστόσο και πάλι ο χρήστης θα πρέπει να μπορεί να άρει την συγκατάθεσή του στο μέλλον χωρίς να απωλέσει το δικαίωμα στις προσφορές.

Πιστοποίηση DPO

elenaspiropoulou — Fri, 01 Dec 2017 21:11:42 +0000

Πιστοποίηση DPO elenaspiropoulou Παρ, 12/01/2017 - 23:11

Ο Κανονισμός 679/2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, ορίζει στο άρθρο 37 Υπεύθυνο Προστασίας Δεδομένων. Ο Υπεύθυνος Προστασίας Δεδομένων είναι απαραίτητος σε περιπτώσεις επεξεργασίας από δημόσια αρχή ή φορέα, όταν γίνεται τακτική και συστηματική παρακολούθηση των υποκειμένων σε μεγάλη κλίμακα, όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.

Η Νομική Βιβλιοθήκη έχει δημιουργήσει ένα εξαιρετικό τμήμα εκπαίδευσης Υπευθύνων Προστασίας Δεδομένων.

Η δικηγόρος Έλενα Σπυροπούλου παρακολούθησε τις 40 ώρες εκπαίδευσης με εξαιρετικούς εισηγητές και ένα πολύ καλό τμήμα συμμετεχόντων το καλοκαίρι του 2017. Εξετάστηκε επιτυχώς τον Νοέμβριο 2017 και έλαβε την Πιστοποίηση της TUV Austria ως Υπεύθυνος Προστασίας Δεδομένων.

Στο δικηγορικό γραφείο Έλενας Σπυροπούλου & Συνεργατών εργαζόμαστε επι σειρά ετών στον τομέα των δεδομένων προσωπικού χαρακτήρα, έχοντας αποκτήσει βάθος γνώσης και εμπειρίας στο πεδίο αυτό. Η εκπαίδευση και η πιστοποίηση των δεξιοτήτων μας στα δεδομένα προσωπικού χαρακτήρα είναι μέρος της διαρκούς ενημέρωσης και εξέλιξής μας.