Το διαδίκτυο των πραγμάτων  (internet of things)  και η προστασία  των προσωπικών δεδομένων

Γράφει η Δικηγόρος
Χρυσή Χρυσοχού

 

Το "διαδίκτυο των πραγμάτων" ή όπως είναι ευρύτερα γνωστό το Internet of things (IoT) ξεκίνησε ως μια ιδέα, που έχει την βάση της στην σύνδεση διάφορων μικρών και μεγάλων συσκευών ή και συσκευών με ενσωματωμένους αισθητήρες και εξοπλισμό διασύνδεσης (tablets, τηλέφωνα, ηχεία, wearables, κάμερες, αισθητήρες κ.α) τόσο μεταξύ τους όσο και με τον κατασκευαστή, για να λαμβάνουν και να μεταδίδουν σχετικά δεδομένα (data) με στόχο να προσφέρουν περισσότερες προσωποποιημένες (personalized) υπηρεσίες.

Και αυτή ακριβώς η ιδέα έγινε η πραγματικότητα που ζούμε σήμερα. Οι συσκευές αυτές εκτός απο τα οφέλη που προσφέρουν στους χρήστες κρύβουν και κινδύνους που αφορούν τη συλλογή και την επεξεργασία των προσωπικών δεδομένων των χρηστών, οι οποίοι χρησιμοποιώντας τις συσκευές αυτές έχουν προηγουμένων συναινέσει στην όποια επεξεργασία και παραχώρηση των προσωπικών τους δεδομένων.

Για να δούμε καλύτερα τους κινδύνους που μπορεί να κρύβει η συλλογή δεδομένων μέσα απο την χρήση "έξυπνων συσκευών" και την επεξεργασία και τη σύγκριση αυτών μέσω της διαλειτουργικότητας σκόπιμο είναι να αναφέρουμε το εξής παράδειγμα:

 Το τελευταία διάστημα παρατηρούμε μια μεγάλη στροφή της βιομηχανίας του ΙοΤ προς τη δημιουργία του "έξυπνου σπιτιού" (smart home, smart cities etc). Ευφυή δίκτυα σε οικίες ή τον εργασιακό χώρο για την καταμέτρηση και τον έλεγχο της θερμοκρασίας με βασικό σκοπό την εξοικονόμηση ενέργειας επιτρέπουν την ανίχνευση των δραστηριοτήτων των παρευρισκόμενων στον οικιακό ή εργασιακό χώρο, έξυπνα ψυγεία ελέγχουν την κατανάλωση και τη διαθεσιμότητα των προϊόντων μέσα απο την τοποθέτηση μικροσκοπικών ετικετών και ενημερώνουν τους χρήστες για την έλλειψη τους ή κάνουν αυτόματη παραγγελία στο σούπερ μάρκετ.

Η ασφάλεια του σπιτιού, οι κάμερες, το σύστημα συναγερμού, οι κλειδαριές και τα παράθυρα ελέγχονται απο τη συσκευή του smartphone μέσα απο την οποία δίνονται εντολές εκτέλεσης ορισμένων ενεργειών. Όλες αυτές οι διευκολύνσεις του ΙοΤ έχουν ως άμεση συνέπεια την καταγραφή και κατ’ επέκταση την ανάλυση των περαιτέρω δεδομένων που συλλέγονται με βάση τα ενδιαφέροντα, τις συνήθειες και τα ειδικά χαρακτηριστικά της καθημερινότητας των χρηστών μέσω των συσκευών αυτών που χρησιμοποιούν οι οποίες αποθηκεύουν το σύνολο των δραστηριοτήτων ενός ατόμου σε καθημερινή βάση.

 Πού ανήκουν τελικά όμως, αυτά τα δεδομένα μετά τη συλλογή τους; Παραμένουν στην ιδιοκτησία του χρήστη, ή εκχωρούνται στον υπεύθυνο επεξεργασίας και στους τρίτους; Έχει ο χρήστης το δικαίωμα να ζητήσει αρχείο των δεδομένων του και να πετύχει τη διαγραφή τους; Ποιο είναι το νομοθετικό πλαίσιο που παρέχει απαντήσεις σε όλα αυτά τα ερωτήματα σχετικά με το ιδιοκτησιακό καθεστώς των data;

 

H ΟΔΗΓΙΑ 95/46/ΕΚ  ΚΑΙ Ο ΝΕΟΣ ΚΑΝΟΝΙΣΜΟΣ 2016/679
Το πρώτο μεγάλο βήμα της Ε.Ε προς της κατεύθυνση της προστασίας των προσωπικών δεδομένων ήταν η Οδηγία 95/46/ΕΚ, η οποία ενσωματώθηκε στην ελληνική έννομη τάξη με τον Ν. 2472/1997. Ωστόσο, εξαιτίας των διαφορετικών επιπέδων προστασίας στο εθνικό δίκαιο κάθε κράτους μέλους με την ενσωμάτωση της Οδηγίας, οδηγηθήκαμε στον κατακερματισμό της εφαρμογής της προστασίας των προσωπικών δεδομένων.


Η ανάγκη λοιπόν, για προσαρμογή της νομοθεσίας στις σύγχρονες τεχνολογικές συνθήκες κατεύθυναν την Ε.Ε στην ψήφιση του Κανονισμού 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ.  Ο νέος Κανονισμός αυτός τίθεται σε εφαρμογή στις 25 Μαΐου 2018 και προσφέρει πλούσια νομική βάση για ζητήματα που αφορούν το ΙοΤ.

Το άρθρο 7 του Κανονισμού αναφορικά με τις προϋποθέσεις συγκατάθεσης ορίζει μεταξύ  άλλων, ότι ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων φέρει το βάρος της αποδείξεως όσον αφορά την παροχή της συγκατάθεσης του προσώπου, του οποίου τα δεδομένα προσωπικού χαρακτήρα αποτελούν το αντικείμενο της προστασίας. Η δήλωση συγκατάθεσης του χρήστη για την επεξεργασία των προσωπικών του δεδομένων πρέπει να ναι διατυπωμένη εκ των προτέρων απο τον υπεύθυνο επεξεργασίας σε απλή και κατανοητή γλώσσα, χωρίς καταχρηστικές ρήτρες.

Ο χρήστης των συσκευών αυτών με βάση το νέο Κανονισμό έχει δικαιώματα προστασίας των προσωπικών του δεδομένων. Μεταξύ αυτών είναι το δικαίωμα να λαμβάνει ενημέρωση απο τον υπεύθυνο επεξεργασίας σχετικά με την συλλογή και την επεξεργασία των προσωπικών του δεδομένων κατά τρόπο σαφή και ακριβή.

Έχει επίσης το δικαίωμα να ζητήσει τη διαγραφή των προσωπικών του δεδομένων(δικαίωμα στη λήθη, right to be forgotten) που βρίσκονται αποθηκευμένα στις βάσεις δεδομένων του υπευθύνου επεξεργασίας (συσκευές ή εφαρμογές IoT). Μπορεί επίσης να λαμβάνει αντίγραφο των δεδομένων που φυλάσσει ο υπεύθυνος επεξεργασίας και να τα μεταφέρει σε άλλο φορέα (φορητότητα δεδομένων) και τέλος, να αντιτίθεται στην επεξεργασία των προσωπικών του δεδομένων με αυτοματοποιημένα μέσα και στην δημιουργία προφίλ με σκοπό την αξιολόγη¬ση ορισμένων προσωπικών του χαρακτηριστικών που σχετίζονται με το ίδιο το πρόσωπο, την ανάλυση ή την πρόβλεψη για παράδειγμα των επιδόσεων του στην εργασία, την οικονομική του κατάσταση, τη θέση, την υγεία του και τη συμπεριφορά του.

Εκτός απο τα παραπάνω δικαιώματα και σε περίπτωση παραβάσεων, ο νέος Κανονισμός παρέχει  στον χρήστη το δικαίωμα αποζημίωσης από τον υπεύθυνο της επεξεργασίας, εφόσον ζημιώθηκε από την επεξεργασία των δεδομένων κατά παράβαση των διατάξεων του Κανονισμού.

Για κάθε παράβαση του Κανονισμού αυτού, η εποπτική αρχή έχει το δικαίωμα επιβολής διοικητικών προστίμων. Για παραβίαση συγκεκριμένων άρθρων του Κανονισμού τα πρόστιμα φτάνουν έως 10.000.000 Ευρώ και αν πρόκειται για επιχειρήσεις το 2% του συνολικού παγκόσμιου ετήσιου τζίρου του προηγούμενου οικονομικού έτους, ανάλογα ποιο ποσό είναι πιο υψηλό, ενώ για παραβίαση άλλων διατάξεων μπορούν να αγγίξουν τα 20 εκ. Ευρώ και αν πρόκειται για επιχειρήσεις το 4% του συνολικού παγκόσμιου ετήσιου τζίρου του προηγούμενου οικονομικού έτους (άρθρο 83).

Ο Νέος Κανονισμός αυξάνει το επίπεδο προστασίας των προσωπικών δεδομένων των χρηστών, δίνοντας τους ένα ισχυρό δικαίωμα αυτοκαθορισμού των προσωπικών τους δεδομένων και παρέχοντας τους τη δυνατότητα να αποφασίζουν ανά πάσα στιγμή οι ίδιοι για το μέλλον των προσωπικών τους δεδομένων και τη διαβίβαση τους σε τρίτους.

Απο την άλλη πλευρά όμως, εναπόκειται αποκλειστικά στη διακριτική ευχέρεια του χρήστη να αποφασίσει και να επιλέξει πόσα προσωπικά του δεδομένα θα μοιράζεται με τις συσκευές και τις εφαρμογές αυτές. H τεχνολογία είναι το μέλλον, όμως η σωστή χρήση της είναι μόνο στα χέρια μας.

* Η κ. Χρυσή Χρυσοχού είναι Δικηγόρος, με ειδίκευση στο δίκαιο του Διαδικτύου, των προσωπικών δεδομένων και των τηλεπικοινωνιών