Το πρόσφατο θέμα της πραγματοποίησης μη ζητηθείσας πολιτικής επικοινωνίας μέσω ηλεκτρονικού ταχυδρομείου σε απόδημους Ελληνες ενόψει των Ευρωεκλογών, έφερε και πάλι στο προσκήνιο το ευρύτερο ζήτημα της ασφάλειας και της εμπιστευτικότητας των προσωπικών δεδομένων.
Από τα μέχρι σήμερα στοιχεία, που έχουν βγει στη δημοσιότητα, η υπόθεση φαίνεται να εστιάζεται κυρίως στον ανθρώπινο παράγοντα και ως εκ τούτου, το ζήτημα που ανακύπτει είναι η ύπαρξη μέτρων ασφαλείας που θα βοηθούσαν στην αποτροπή – ή έστω στον μετριασμό – μιας διαρροής δεδομένων, όταν αυτή οφείλεται στον άνθρωπο και όχι αμιγώς σε υπολογιστικά συστήματα.
Σημειώνεται εκ προοιμίου ότι οι παρακάτω γραμμές γράφονται μεν εξ αφορμής του συγκεκριμένου περιστατικού, αλλά αφορούν ένα ευρύτερο «δέον γενέσθαι» και όχι βεβαίως σε αυτό καθαυτό το περιστατικό, το οποίο άλλωστε τελεί ακόμη υπό διερεύνηση από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και τις αρμόδιες διοικητικές και εισαγγελικές αρχές.
Τίθεται λοιπόν καταρχήν το ερώτημα, κατά πόσον υπάρχουν διαδικασίες και μέτρα που μπορούν να αντιμετωπίσουν τον κίνδυνο διαρροής δεδομένων, όταν η πηγή του κινδύνου είναι ο ίδιος ο άνθρωπος. Το φαινόμενο δε αυτό, μόνον ασυνήθιστο δεν μπορεί να χαρακτηριστεί. Εξ ου και η διεθνής διάσκεψη των επιτρόπων για την προστασία των δεδομένων και την ιδιωτική ζωή εξέδωσε τον Οκτώβριο του 2019 ψήφισμα για την αντιμετώπιση του ρόλου του ανθρώπινου παράγοντα στις παραβιάσεις προσωπικών δεδομένων.
Στο πλαίσιο αυτό, τόσο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) όσο και η ΑΠΔΠΧ προτείνουν συγκεκριμένα τεχνικά και οργανωτικά μέτρα για την αποτροπή του εν λόγω κινδύνου, όπως ενδεικτικά:
- Ανάθεση (και μάλιστα εγγράφως) σε κάθε πρόσωπο που επεξεργάζεται και χρησιμοποιεί προσωπικά δεδομένα (εργαζόμενο, στέλεχος διοίκησης κ.λπ.) δικαιώματος πρόσβασης μόνο σε εκείνα τα δεδομένα που είναι απολύτως απαραίτητα για την εκτέλεση των καθηκόντων του.
- Υπαρξη μηχανισμών που να μην επιτρέπουν την πρόσβαση σε αρχεία από μη εξουσιοδοτημένους χρήστες.
- Καταγραφή σε ειδικά ηλεκτρονικά αρχεία (log files) όλων των πράξεων που διενεργούν οι χρήστες στα προσωπικά δεδομένα συμπεριλαμβανομένων των ενεργειών των διαχειριστών του συστήματος, καθώς και των συμβάντων ασφαλείας.
- Αποκλεισμός της δυνατότητας διαγραφής των παραπάνω αρχείων (log files) από ένα μόνο άτομο και απαίτηση παρουσίας δύο τουλάχιστον προσώπων, που μάλιστα θα πρέπει να έχουν διαφορετικούς ρόλους και καθήκοντα.
- Ελεγχος και ειδοποίηση σε περίπτωση ασυνήθιστων ροών δεδομένων μεταξύ του διακομιστή αρχείων (server) και των σταθμών εργασίας των υπαλλήλων που χρησιμοποιούν τα προσωπικά δεδομένα.
Εχοντας υπόψη τη μέχρι σήμερα εγχώρια αλλά και διεθνή εμπειρία, ο συνδυασμός των παραπάνω μέτρων συμβάλλει δραστικά στη μείωση της πιθανότητας παραβίασης δεδομένων που προέρχεται από τον άνθρωπο. Ακόμη όμως κι αν ο κίνδυνος επέλθει, το πιθανότερο είναι ότι τα μέτρα αυτά θα βοηθήσουν στην άμεση και αποτελεσματική ανίχνευση και τον εντοπισμό της πηγής της διαρροής. Και τούτο δρα σίγουρα αποτρεπτικά για όποιον – με πρόθεση ή απλά από απερισκεψία – σκέφτεται να επεξεργαστεί προσωπικά δεδομένα για σκοπό άλλον από αυτόν για τον οποίο έχουν συλλεγεί, συμπεριλαμβανομένης της διαβίβασής τους σε μη εξουσιοδοτημένους τρίτους.
Ο κ. Γρηγόρης Λαζαράκος είναι δικηγόρος, διδάκτωρ Νομικής Πανεπιστημίου Humboldt Βερολίνου, τέως αναπληρωματικό μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.