Tag: Cybersecurity

Posted on

Delphi Economic Forum VII, April 6-9, 2022

In this year’s Delphi Economic Forum VII an extremely interesting panel discussion on “Why Cybersecurity Matters More than Ever”, with distinguished guests Juhan Lepassaar (Executive Director of the European Union Agency for Cybersecurity (ENISA), George Patsis (CEO & Co-Founder, Obrela Security Industries), Artemis Seaford (Public Policy Manager, Cybersecurity Policy Meta), and Tasos Chatzitheodosiou (Vice Chairman and General Manager, Mega Brokers)!

Φέτος συζητάμε στο Φόρουμ των Δελφών για τους λόγους που η κυβερνοασφάλεια έχει σήμερα μεγαλύτερη σημασία παρά ποτέ με διακεκριμένους καλεσμένους (Juhan Lepassaar (Executive Director of the European Union Agency for Cybersecurity – ENISA), George Patsis (CEO & Co-Founder, Obrela Security Industries), Artemis Seaford (Public Policy Manager, Cybersecurity Policy Meta), and Tasos Chatzitheodosiou (Vice Chairman and General Manager, Mega Brokers)!

Posted on

Το δικαίωμα στην κυβερνοασφάλεια

Δημοσιεύθηκε στο 2045.gr, 9.09.2021,

Το δικαίωμα του ανθρώπου στην κυβερνοασφάλεια μπορεί να μοιάζει δεδομένο, αλλά η πραγματικότητα είναι μάλλον διαφορετική. Τι χρειάζεται να γίνει για να αποτελέσει αυτονόητο μέρος της ασφάλειας;

Tο θέμα της κυβερνοασφάλειας απασχολεί ήδη πολύ (δείτε και σχετικό κείμενο εδώ, στο 2045.gr), και θα συνεχίσει να απασχολεί και στο μέλλον, καθώς η ζωή μας μετακομίζει σιγά-σιγά από τον πραγματικό στον ψηφιακό κόσμο. Παρότι όμως η σημασία του αυξάνεται καθημερινά, δεν είναι βέβαιο ότι ταυτόχρονα αυξάνεται και η κατανόηση των επιμέρους θεμάτων του. Ή ότι η προσέγγιση σε αυτό από τις οργανωμένες κοινωνίες εξελίσσεται ακολουθώντας τον ίδιο ρυθμό.

Νομική, τεχνική και ανθρώπινη προσέγγιση της κυβερνοασφάλειας

Πριν όμως συζητήσουμε για την ανάγκη εισαγωγής ενός, νέου, δικαιώματος στην κυβερνοασφάλεια, χρήσιμες είναι ορισμένες επισημάνσεις. Η πρώτη και σημαντικότερη αφορά το γεγονός της διάστασης μεταξύ των προσδοκιών του κοινού και της τεχνικής, και νομικής προσέγγισης στο θέμα. Το κοινό, καθένας δηλαδή από εμάς, παίρνει τον όρο κυβερνοασφάλεια κυριολεκτικά – και πολύ καλά κάνει: Η κυβερνοασφάλεια εξασφαλίζει ασφάλεια για όλους μας στο διαδίκτυο. Αντιθέτως όμως, η νομική προσέγγιση μέχρι σήμερα δεν επιδιώκει ακριβώς το ίδιο: Με τον όρο «κυβερνοασφάλεια» ο νόμος σήμερα εννοεί την ηλεκτρονική ασφάλεια ορισμένων κρίσιμων υποδομών (ενέργεια, μεταφορές, νοσοκομεία κα.). Το ίδιο και οι τεχνικοί, οι ειδικοί της κυβερνοασφάλειας: Επιδιώκουν να προστατεύσουν συστήματα υπολογιστών. Το άτομο, ο άνθρωπος, ο χρήστης δεν μπαίνει πουθενά στη νομική και τεχνική συλλογιστική – ή, στην καλύτερη, μπαίνει μόνο έμμεσα.

Η δεύτερη επισήμανση αφορά την τεχνική προσέγγιση στο θέμα. Εδώ μπορεί να ειπωθούν πολλά, αφού η τεχνική πλευρά της κυβερνοασφάλειας είναι μακράν πιο εξελιγμένη από τη νομική ή το ρυθμιστικό πλαίσιο. Το μόνο όμως που ενδιαφέρει αυτό εδώ το κείμενο είναι ότι όλα αυτά τα εργαλεία, όλα αυτά τα δισεκατομμύρια που έχουν δαπανηθεί και δαπανώνται, στοχεύουν να προστατεύσουν υποδομές. Για τους τεχνικούς δεν έχει σημασία ο άνθρωπος, ούτε καν το περιεχόμενο της πληροφορίας: Το μόνο που έχει σημασία είναι να μην «περάσουν» οι επιθέσεις, και να μην δοθεί πρόσβαση στην πληροφορία. Φυλούν τα τείχη, χωρίς να τους νοιάζει τι υπάρχει πίσω από αυτά.

Η τρίτη επισήμανση αφορά το γεγονός ότι η Ελλάδα στον τομέα αυτόν δεν νομοθετεί μόνη. Παρότι το θέμα ανήκει έμμεσα μόνο στην αρμοδιότητα της ΕΕ, στην Ελλάδα εφαρμόζουμε Κοινοτικούς κανόνες και έχουμε ιδρύσει αρχές (ιδίως, την Εθνική Αρχή Κυβερνοασφάλειας, που λειτουργεί ως Διεύθυνση του Υπουργείου Ψηφιακής Διακυβέρνησης και δεν φαίνεται μέχρι σήμερα να διαθέτει ιστότοπο…) σύμφωνα με Κοινοτικές απαιτήσεις. Αυτό βέβαια δεν αποκλείει τη δυνατότητα στο μέλλον να πάρουμε νομοθετική πρωτοβουλία και να πρωτοτυπήσουμε, όμως για την ώρα απλά ακολουθούμε τους υπόλοιπους Ευρωπαίους.

Τέλος, δεν μπορεί παρά να επισημανθεί ότι και ο ίδιος ο όρος «κυβερνοασφάλεια» (παρότι κατά το ήμισυ ελληνικός: «κυβερνο» / cybersecurity) έχει φιλολογικές καταβολές (από το cyberspace του Gibson),  και τελικά μπερδεύει: Εννοεί το ίντερνετ; Κάτι παραπάνω; Κάτι λιγότερο; Όμως, ομολογουμένως αυτή η επισήμανση τελικά περιττεύει, ο όρος από τη λογοτεχνία μπήκε σε νόμους σε όλη την υφήλιο, τελικά δηλαδή ήρθε για να μείνει.

Έχοντας πει τα παραπάνω, μπορούμε άραγε να μιλήσουμε για ένα δικαίωμα καθενός από εμάς στην κυβερνοασφάλεια;

Κατά τη γνώμη μου, ναι. Αλλά, το θέμα χρειάζεται επεξηγήσεις.

Αρχικά πρέπει να σημειωθεί ότι η εποχή μας είναι η εποχή της σωρηδόν πρότασης νέων δικαιωμάτων: Από το δικαίωμα στο ίντερνετ μέχρι το δικαίωμα στο καθαρό νερό,  σε μια ταχυδρομική διεύθυνση, σε έναν τραπεζικό λογαριασμό, στο δικαίωμα της ώριμης ηλικίας, στην κυριολεξία έχει προταθεί να «δικαιωματοποιηθεί» οτιδήποτε βρίσκεται κάτω από τον ήλιο, κάθε πτυχή της καθημερινής μας ζωής. Αυτό φυσικά δεν έχει καμία σχέση με τους «δικαιωματιστές» (μακριά από εμάς!). Είναι απλά η, ίσως σπασμωδική, προσπάθεια της ανθρωπότητας πρώτα να κατανοήσει και μετά να κατοχυρώσει την νέα πραγματικότητα γύρω της, αυτή την μεταβατική περίοδο που ζούμε.

Επομένως, η συζήτηση για ένα νέο δικαίωμα στην κυβερνοασφάλεια δεν μπορεί να ξεφύγει από το γενικό πλαίσιο της «δικαιωματοποίησης», που, αν μη τι άλλο, της αφαιρεί αξιοπιστία.

Το άλλο πλαίσιο από το οποίο δεν μπορεί να ξεφύγει, είναι αυτό του γενικού δικαιώματος στην ασφάλεια.

“Το δικαίωμα στην ασφάλεια είναι, για εμένα τουλάχιστον, ο μόνος λόγος που δημιουργήθηκαν ανθρώπινες κοινωνίες και εξακολουθούμε να ζούμε όλοι μαζί.”

Το ξέρω ότι θυμίζει Λεβιάθαν, όμως για μένα είναι η μόνη πειστική εξήγηση – και για όλους τους υπόλοιπους έστω μια από τις βασικές αιτίες δημιουργίας ανθρώπινων κοινωνιών (οι άλλες που την ανταγωνίζονται είναι η δικαιοσύνη ή η εγγενής κοινωνικότητα του ανθρώπου – καθένας μπορεί να διαλέξει…). Σε κάθε περίπτωση το βασικό δικαίωμα στην ασφάλεια λέει ακριβώς αυτό, ότι καθένας μας δικαιούται να είναι ασφαλής. Ας μην μπούμε στη συζήτηση τι ακριβώς περιλαμβάνει αυτή η «ασφάλεια», δεν χωρά το ίντερνετ όλο για να απαντηθεί. Αντί γι αυτό, ας σκεφτούμε μόνο μήπως η κυβερνοασφάλεια είναι τελικά αυτονόητο μέρος της ασφάλειας.

Για να απαντηθεί αυτό, αν δηλαδή το γενικό μας δικαίωμα στην ασφάλεια καλύπτει και την κυβερνοασφάλεια, θα πρέπει να αρχίσουμε να αναλύουμε τι ακριβώς θα κάλυπτε ένα δικαίωμα στην κυβερνοασφάλεια (αν φυσικά υποθέσουμε ότι συμφωνούμε τι καλύπτει το δικαίωμα στην ασφάλεια, κάτι που είμαι βέβαιος ότι δεν συμβαίνει στην πραγματικότητα, όμως ας κάνουμε μια υπόθεση εργασίας…).

Κυβερνοασφάλεια για τον άνθρωπο και όχι για τα αντικείμενα

Ένα δικαίωμα στην κυβερνοασφάλεια, νομίζω, ότι θα κάλυπτε άτομα και όχι αντικείμενα (assets). Αυτό δεν είναι καθόλου αυτονόητο σήμερα. Όλοι οι νόμοι που παγκοσμίως έχουν εκδοθεί για την κυβερνοασφάλεια καλύπτουν αντικείμενα πληροφορικής (IT assets) και όχι τους ανθρώπους. Το ίδιο και όλες οι προσπάθειες των πληροφορικών: Προσπαθούν να «σώσουν» συστήματα και δίκτυα ή, το πολύ, τις πληροφορίες που τηρούνται σε αυτά, όχι όμως τους ανθρώπους που όλα αυτά αφορούν.

“Επίσης, ένα δικαίωμα στην κυβερνοασφάλεια θα έδινε το δικαίωμα στα άτομα να αντιδράσουν, κάθε φορά που θα δέχονταν επίθεση. Ούτε αυτό συμβαίνει σήμερα.”

Όλοι οι νόμοι είναι στραμμένοι στις υποδομές και με μόνο συμμετέχοντα το Κράτος: Αν κάποια υποδομή (νοσοκομείο, ενέργεια κλπ) αποτύχει να πάρει μέτρα και συμβεί ζημιά, το πολύ να φάει πρόστιμο. Το πρόστιμο επιβάλλεται από κρατική αρχή και πάει στο κρατικό ταμείο. Τα άτομα, που τελικά θίχτηκαν, δεν συμμετέχουν πουθενά. Ένα δικαίωμα στην κυβερνοασφάλεια θα το άλλαζε αυτό.

Τέλος, ένα δικαίωμα στην κυβερνοασφάλεια θα έδινε στους τρίτους, τους κυβερνο-επιτιθέμενους, μια σαφή εικόνα παραβίασης. Τώρα δεν συμβαίνει αυτό. Οι κυβερνο-εγκληματίες (που συχνά είναι τα ίδια τα Κράτη, αλλά και αυτό δεν χωρά να αναλυθεί εδώ) δεν είναι σαφές τι ακριβώς έγκλημα κάνουν – ή, μάλλον, είναι σαφές ότι το έγκλημά τους δεν στρέφεται κατά ατόμων αλλά κατά οργανισμών (ή και κρατών). Είναι σαν να ληστεύουν τράπεζα ή να διαπράττουν ασφαλιστική απάτη: Παρανομούν, αλλά δεν βλάπτουν άμεσα ιδιώτες. Αυτό έχει (ή δεν έχει) την ηθική αξία του. Αντιθέτως, ένα δικαίωμα στην κυβερνοασφάλεια (όπως, για παράδειγμα, ισχύει στα προσωπικά δεδομένα) θα έφερνε αντιμέτωπο απευθείας τον παραβάτη με το θύμα του. Ο πρώτος θα γνωρίζει ότι βλάπτει, ο δεύτερος θα έχει δικαίωμα (ή και υποχρέωση) να αμυνθεί.

Κάπου εκεί νομίζω ότι βρίσκεται η διαφορά με το γενικό δικαίωμα στην ασφάλεια: Η κυβερνοασφάλεια είναι, ή έστω μπορεί να γίνει, πολύ πιο συγκεκριμένη. Ενώ μπορούμε να συζητάμε για αιώνες τι ακριβώς περιλαμβάνει η «ασφάλεια» για τον άνθρωπο (όπως ήδη κάνουμε, άλλωστε…), η κυβερνοασφάλεια είναι κάτι απτό που συμβαίνει τώρα και χρειάζεται αντιμετώπιση. Ομολογουμένως μετά από δεκαετίες, για παράδειγμα το 2045, θα πρέπει να αλλάξει όνομα(!), καθώς η ψηφιακή ζωή μας πιθανότατα θα έχει γίνει αξεχώριστη με την πραγματική. Άρα μάλλον η γενική ασφάλεια θα περιλαμβάνει και την κυβερνοασφάλεια. Θα θεωρεί δηλαδή καθένας αυτονόητο ότι το περιπολικό της Αστυνομίας μπορεί να κληθεί για να προστατεύσει το σπίτι μας και από κυβερνοεπιθέσεις. Μέχρι να συμβεί αυτό όμως, ή, νομίζω σωστότερα, για να συμβεί αυτό όμως, πρέπει να γίνει ξεκάθαρο σε καθέναν ότι έχουμε δικαίωμα στην κυβερνοασφάλεια – εμείς, οι πολίτες, όχι τα λιμάνια και οι σταθμοί της χώρας.

Posted on

Δέκα σκέψεις για τον ν.4624/2019 και τη σχέση του με τον ΓΚΠΔ

Δημοσιεύθηκε από τον Βαγγέλη Παπακωνσταντίνου στο e.themis.gr, 25.11.2019

Δέκα σκέψεις για τον ν.4624/2019, τη σχέση του με τον ΓΚΠΔ, και την προστασία δεδομένων προσωπικού χαρακτήρα στην Ελλάδα εν γένει

Καθώς έχουν ήδη περάσει λίγοι μήνες από την εισαγωγή του ν.4624/2019 και όχι μόνο οι πρώτες κριτικές έχουν ήδη διατυπωθεί (σε αναμονή βέβαια και της σχετικής γνωμοδότησης της Αρχής Προστασίας Δεδομένων), αλλά και η πρώτη λανθασμένη, κατά τη γνώμη μου, ερμηνεία ήδη δημοσιεύθηκε από την επιστημονική υπηρεσία της Βουλής, παρακάτω μερικές σκέψεις μου σχετικά. Αναλυτικά τις παρέθεσα σε ενημερωτική διημερίδα στο Εφετείο Αθηνών κατά τα μέσα Νοεμβρίου, συνοπτικά τις επαναλαμβάνω και εδώ – και αν παραστεί ανάγκη μπορώ να γίνω αναλυτικότερος, διευκρινίζοντας πρώτα ότι όλα όσα ακολουθούν αποτελούν προσωπική μου άποψη και μόνο:

1)Πως προσεγγίζουμε το νέο νομοθετικό πλαίσιο;

Είναι εντελώς λάθος να ξεκινήσει κανείς από τον ν.4624. Ο ελληνικός νόμος λαμβάνει μόνο (κάποια) μέτρα εφαρμογής του Κανονισμού. Παρεμβαίνει μόνο σε όσα θέματα του επιτρέπει ο Κανονισμός, επιλύοντας επιμέρους ζητήματα εθνικής σημασίας (ή ιδιαιτερότητας, αν προτιμάτε). Ο ν.4624 δεν έχει αυτοτέλεια σε σχέση με τον Κανονισμό και έτσι δεν διαθέτει δική του εσωτερική ενότητα, δεν διαβάζεται γραμμικά από την αρχή μέχρι το τέλος, επειδή πολύ απλά δεν βγαίνει νόημα έτσι. Διαβάζεται αποσπασματικά, και μόνο στα ειδικά επιμέρους ζητήματα που ενδιαφέρουν κάθε φορά. Ξεκινώντας κανείς από τον νόμο και πηγαίνοντας μετά στον Κανονισμό είναι σαν να ξεκινά την ανάγνωση ενός βιβλίου από το ευρετήριο.

Επομένως, ο εφαρμοστής του νόμου οφείλει να διαβάσει, να παραμείνει και να επιμείνει, (σ)το κείμενο του Κανονισμού. Αυτό δίνει το βασικό ρυθμιστικό πλαίσιο για τα προσωπικά δεδομένα (και) στην Ελλάδα. Από εκεί ξεκινάμε και εκεί ξαναγυρνάμε, ακόμα κι αν χρειαστεί να κοιτάξουμε δίπλα, στον ν.4624 – ή, και σε άλλους νόμους που ελπίζω ότι σύντομα θα ακολουθήσουν. (Υπό αυτό το πλαίσιο, σημαντική υπηρεσία θα προσέφερε κανείς αν έμπαινε στον κόπο να «κωδικοποιήσει» τον Κανονισμό, εισάγοντας, ως σημειώσεις, τα άρθρα του ν.4624 που επηρεάζουν τις διατάξεις του.)

2)Έχει σημασία η δομή του ν.4624/2019;

Μπορεί ο ν.4624 να μην έχει δική του εσωτερική ενότητα όμως η δομή του έχει σημασία, και πολύ μεγάλη μάλιστα. Συγκεκριμένα, το Κεφάλαιο Α («Γενικές Διατάξεις») ισχύει οριζόντια, για όλες τις επεξεργασίες προσωπικών δεδομένων στην Ελλάδα. Ό,τι ακολουθεί (ακόμα και το Κεφάλαιο Δ που ενσωματώνει την Οδηγία 680) ισχύει ως ειδικές διατάξεις έναντι των γενικών του Κεφαλαίου Α.

3)Γιατί επαναλαμβάνουμε διατάξεις του Κανονισμού στο Κεφάλαιο Α του ελληνικού νόμου;

Εκ πρώτης όψεως φαίνεται πράγματι ότι τα άρθρα 2 και 3 του ελληνικού νόμου δεν είναι τίποτα περισσότερο από μια περιττή άσκηση αντιγραφής-επικόλλησης από το κείμενο του Κανονισμού. Τα φαινόμενα όμως απατούν. Υπάρχει λόγος για την επανάληψη. Για παράδειγμα, ο Κανονισμός εξαιρεί την εθνική ασφάλεια από το πεδίο εφαρμογής του (δεν θα μπορούσε άλλωστε να την ρυθμίζει): Ο εθνικός νόμος, με αυτήν ακριβώς την αντιγραφή-επικόλληση του άρθρου 2, όχι. Έτσι, για τις  επεξεργασίες από  δημόσιους φορείς που δεν εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού (και της Οδηγίας 680/2016) βρίσκουν ανάλογη εφαρμογή ο Κανονισμός και ο νόμος.

4)Γίνεται διαχωρισμός μεταξύ επεξεργασιών του ιδιωτικού και του δημόσιου τομέα;

Όχι. Όπως ήδη σημείωσα, το βασικό ρυθμιστικό πλαίσιο το δίνει ο Κανονισμός. Εκεί διαχωρισμός δεν γίνεται, δεν γίνεται επομένως ούτε και στην ελληνική έννομη τάξη. Ομολογουμένως ο ελληνικός νόμος, ειδικά το Κεφάλαιο Α, διαβάζεται σαν να ήταν γραμμένο αποκλειστικά για το ελληνικό Δημόσιο, σαν να απευθύνεται μόνο σε αυτό. Τα φαινόμενα όμως και πάλι απατούν (βλ. αμέσως παρακάτω) – όσο για την «επιείκεια» ως προς το ύψος των προστίμων, τα Κράτη-Μέλη έχουν τέτοιο δικαίωμα από τον Κανονισμό και θεωρώ ότι 10εκ.ευρώ είναι αρκετά για να επιτευχθούν οι στόχοι του Κανονισμού.

5)Γιατί επομένως τόση έμφαση στους «δημόσιους φορείς» στο Κεφάλαιο Α του ελληνικού νόμου;

Για πρακτικούς (ρεαλιστικούς, ίσως) λόγους. Το ελληνικό Δημόσιο θεωρήθηκε ότι αξίζει μεγαλύτερης προσοχής, επειδή ο Κανονισμός το έφερε αντιμέτωπο με νέες καταστάσεις. Όπως θα παρατηρήσετε, τρία από τα όλα κι όλα οκτώ άρθρα του Κεφαλαίου Α διευκρινίζουν τα του DPO που πλέον οι οργανισμοί του ελληνικού Δημοσίου οφείλουν να διαθέτουν. Ο ιδιωτικός τομέας θεωρήθηκε ότι είναι πιο εξοικειωμένος με τα θέματα της επεξεργασίας δεδομένων – μια σκέψη που η πράξη μόνο θα επιβεβαιώσει ή θα διαψεύσει.

6)Ποια η σημασία του άρθρου 5;

Το άρθρο 5 ισχύει οριζόντια για κάθε επεξεργασία από δημόσιο φορέα, επειδή βρίσκεται στο Κεφάλαιο Α του ν.4624. Ότι απαιτούνταν ένα τέτοιο άρθρο προκύπτει από απευθείας ανάγνωση του Κανονισμού – αν κανείς διαβάσει το άρθρο 6.1(ε)και μετά το άρθρο 6.3 νομίζω του μένει μικρή αμφιβολία ότι για το δημόσιο νόμιμη βάση αποτελεί είτε ενωσιακό δίκαιο είτε εθνικός νόμος. Από μόνο του το άρθρο 6.1(ε) δεν αρκεί. Ο εθνικός αυτός νόμος για την Ελλάδα είναι το άρθρο 5 του ν.4624 – εκτός αν φυσικά άλλος νεότερος νόμος προβλέψει ειδικότερα. Μέχρι όμως κάτι τέτοιο πράγματι να συμβεί, και να καλύψει ειδικά κάθε μια από τις επεξεργασίες του ελληνικού Δημοσίου, αυτό είναι το άρθρο με το οποίο θα εξακολουθούμε να δουλεύουμε, και το οποίο αναμένεται να καλύψει την συντριπτική πλειοψηφία των επεξεργασιών που το δημόσιο κάνει καθημερινά, ώστε να μπορεί νομίμως να συνεχίσει να τις κάνει.

Το άρθρο 5 του ν.4624 αποτελεί αναμφίβολα εθνική νομική βάση, που καλύπτει τόσο τις επεξεργασίες που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού όσο και του Κεφαλαίου Δ (δηλαδή, της Οδηγίας 680) του νόμου.

7)Έχει σχέση ο ν.4624 και ο Κανονισμός με το 9Α του Συντάγματος;

Όχι. Και σε αυτήν την περίπτωση, όπως στην αμέσως προηγούμενη, αυτό προκύπτει από απλή ανάγνωση των σχετικών διατάξεων. Ο Κανονισμός φέρει τίτλο «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών». Στηρίζεται στο 16 ΣΛΕΕ, στο οποίο επαναλαμβάνονται τα παραπάνω. Ως προς αυτά, ο ν.4624 έχει σκοπό την «λήψη μέτρων εφαρμογής» του Κανονισμού.

Από την άλλη μεριά το 9Α του Συντάγματος λέει ότι «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει».Επομένως, η ελεύθερη κυκλοφορία των δεδομένων λείπει. Ο Κανονισμός δεν έχει σχέση με το 9Α του Συντάγματος.

Τυχόν σύγχυση πηγάζει ενδεχομένως από την μαξιμαλιστική προσέγγιση του Δικαίου Προστασίας Δεδομένων που σημειώθηκε στην Ελλάδα κατά το παρελθόν. Τότε, κατά τη δεκαετία του 1990, υπερτονίστηκε ο προστατευτικός για το άτομο ρόλος του και σχεδόν αγνοήθηκε πλήρως η πράγματι επεξεργασία των δεδομένων και η ελεύθερη κυκλοφορία τους. Η ερμηνεία αυτή ήταν όχι μόνο contralegemαλλά και, ακόμα χειρότερα, δημιούργησε λάθος εντυπώσεις και λάθος προσδοκίες στους απλούς πολίτες στους οποίους άλλωστε τελικά απευθύνεται ο νόμος. Σε μια χώρα μάλιστα που δεν διακρίνεται για τις επιδόσεις της στην ψηφιοποίηση, τουλάχιστον μέχρι σήμερα, αναρωτιέμαι μήπως δεν την έφερε και πίσω στην παγκόσμια τεχνολογική κούρσα.

8)Και η Οδηγία 680/2016;

Η Οδηγία 680 ενσωματώνεται στο Κεφάλαιο Δ. Αν με ρωτούσατε, προσωπικά θα προτιμούσα χωριστό νόμο ώστε να μην δημιουργείται σύγχυση, όμως φαντάζομαι ότι κάτι τέτοιο θα ήταν πρακτικά αδύνατο. Σε κάθε περίπτωση, το Κεφάλαιο Δ του ν.4624 είναι εντελώς ειδικό, νόμος-μέσα-σε-νόμο. Όχι μόνο έχει ειδικούς αποδέκτες (σε αδρές γραμμές, τις αρχές επιβολής του νόμου:Αστυνομικές κλπ. αρχές, εισαγγελικές αρχές, ποινικά δικαστήρια, δικαστικά συμβούλια, ανακριτές και πταισματοδίκες) αλλά αφορά και σε μέρος μόνο των καθημερινών δραστηριοτήτων αυτών των αποδεκτών. Θέλει επομένως προσοχή κατά την ανάγνωσή του από εκείνους στους οποίους απευθύνεται.

Έχοντας πει τα παραπάνω, υπενθυμίζω ότι το Κεφάλαιο Α συνεχίζει να ισχύει και όσον αφορά το Κεφάλαιο Δ. Πρακτικά, το άρθρο 5 συνεχίζει να ισχύει για τις επεξεργασίες των παραπάνω αποδεκτών, εκτός αν το Κεφάλαιο Δ ειδικά ορίζει (που ορίζει ειδικά μόνο όταν δρουν υπό τις ιδιότητες του Κεφαλαίου Δ) ή, φυσικά, εκτός αν νέος ειδικός νόμος ειδικά ορίσει (ο οποίος θα πρέπει βέβαια να είναι συμβατός με το Κεφάλαιο Δ/Οδηγία 680).

9)Και από δω και πέρα τι γίνεται;

Όπως ανέφερα και πριν λίγους μήνες, βρισκόμαστε μόνο στην αρχή. Ο Κανονισμός δεν κάνει τίποτα λιγότερο από το να επηρεάζει κάθε έναν τομέα της καθημερινότητάς μας (αφού πλέον η αυτοματοποίηση πρέπει να θεωρείται δεδομένη στο ψηφιακό περιβάλλον που ζούμε). Οι αλλαγές που επιφέρει αυτή η φιλοδοξία του ενωσιακού νομοθέτη θεωρώ ότι ακόμα δεν έχουν γίνει κατανοητές σε όλη τους την έκταση στην Ελλάδα. Σε μεγάλο βαθμό είναι πρόβλημα συνηθειών (κουλτούρας) και όχι νομοθετικού πλαισίου – θα πάρει καιρό μέχρι να εμπεδώσει ο μέσος Έλληνας ότι οφείλει να σέβεται τα προσωπικά δεδομένα τρίτων. Μέχρι τότε έχουμε δύο λύσεις, νομίζω: Είτε να αφήσουμε την Αρχή και τα δικαστήρια να σηκώσουν το έργο της αλλαγής εθνικής κουλτούρας, μέσω προστίμων, adhocνομολογίας και εκπαίδευσης όπου και όπως είναι εφικτό, είτε να φτιάξουμε νέους, ειδικούς νόμους (τομεακές νομοθετικές ρυθμίσεις) που θα λύνουν ειδικά τα προβλήματα. Αν και νομίζω ότι το προτιμότερο της δεύτερης λύσης είναι εμφανές σε όλους, αν το παρελθόν χρησιμεύει καθόλου ως ένδειξη για το μέλλον προβλέπω ότι η χώρα θα περάσει μια μακρά περίοδο ενδιαφέρουσας νομολογίας και κάθετων παρεμβάσεων από την Αρχή Προστασίας Δεδομένων.

Posted on

New publication on cybersecurity: The new EU cybersecurity framework: The NIS Directive, ENISA’s role and the General Data Protection Regulation

Dimitra Markopoulou, Vagelis Papakonstantinou and Paul de Hert published their latest article on “The new EU cybersecurity framework: The NIS Directive, ENISA’s role and the General Data Protection Regulation” in the Computer Law and Security Review (Elsevier).

The article is open access, and therefore available to download.

Abstract: The NIS Directive is the first horizontal legislation undertaken at EU level for the protection of network and information systems across the Union. During the last decades e-services, new technologies, information systems and networks have become embedded in our daily lives. It is by now common knowledge that deliberate incidents causing disruption of IT services and critical infrastructures constitute a serious threat to their operation and consequently to the functioning of the Internal Market and the Union. This paper first discusses the Directive’s addressees particularly with regard to their compliance obligations as well as Member States’ obligations as regards their respective national strategies and cooperation at EU level. Subsequently, the critical role of ENISA in implementing the Directive, as reinforced by the proposal for a new Regulation on ENISA (the EU Cybersecurity Act), is brought forward, before elaborating upon the, inevitable, relationship of the NIS Directive with EU’s General Data Protection Regulation.