Θεόδωρος Μπλίκας

Το πρόσφατο περιστατικό χάκινγκ στο Δήμο Θεσσαλονίκης είναι ένα περιστατικό από τα πολλά που είναι πιθανό να συμβούν, λαμβάνοντας υπόψη τη γενικότερη κατάσταση στις υποδομές και τις διαδικασίες των Δήμων της χώρας.

Μόνο κεραυνός εν αιθρία δεν είναι ένα περιστατικό κυβερνοεπίθεσης σε ένα Δήμο της χώρας και μάλιστα από τους πιο μεγάλους. Όταν το επίπεδο προστασίας δεν είναι το αναμενόμενο και το ενδεχόμενο όφελος είναι σημαντικό, μια κυβερνοεπίθεση καθίσταται πιθανή.

Ο Δήμος Θεσσαλονίκης είχε εν μέρει προειδοποιηθεί τουλάχιστον από το Δεκέμβρη του 2019, όταν η Your Data Matters είχε ολοκληρώσει και δημοσιεύσει την έρευνά της για το βαθμό προσαρμογής των Δήμων της χώρας με τον GDPR. Λέμε εν μέρει, καθώς ο έλεγχος αφορούσε μόνο την ιστοσελίδα του Δήμου, όπου μετρήθηκαν μια σειρά παράγοντες που δείχνουν το επίπεδο προσαρμογής του Δήμου με τις απαιτήσεις της νομοθεσίας.

Υπενθυμίζουμε εδώ πως από τα πιο σημαντικά ζητήματα στην προστασία προσωπικών δεδομένων είναι η ασφάλειά τους, ιδίως στον ψηφιακό κόσμο. Το τρίπτυχο Εμπιστευτικότητα – Ακεραιότητα – Διαθεσιμότητα αποτελεί κεντρική αρχή στην ασφάλεια των πληροφοριών. Η αρχή αυτή αποτελεί απαιτούμενο για τη συμμόρφωση με τον GDPR.

Όταν ολοκληρώθηκε η έρευνα της Your Data Matters, ενημερώθηκαν όλοι οι Δήμοι της χώρας με ξεχωριστές επιστολές για το γενικό αποτέλεσμα και δινόταν η δυνατότητα ειδικότερης ενημέρωσης για τα αποτελέσματα κάθε Δήμου ξεχωριστά, εφόσον το επιθυμούσε, χωρίς καμιά οικονομική επιβάρυνση φυσικά.

Ο Δήμος Θεσσαλονίκης ενδιαφέρθηκε να μάθει τα αποτελέσματά του, με το υπ. αριθμ. Πρωτοκόλλου 257385/23-12-2019 με την υπογραφή του Αντιδημάρχου κυρίου Αβαρλή.

Η Your Data Matters ανταποκρίθηκε άμεσα με επιστολή όπου μεταξύ άλλων ανέφερε:

«Τα στοιχεία της έρευνας υποδεικνύουν ότι στον ιστότοπο του Δήμου σας υπάρχει περιορισμένο έως χαμηλό επίπεδο συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Δεδομένων 679/2016/ΕΕ και τη νομοθεσία e-privacy (ν.3471/2006).»

«Η απουσία αναφοράς της ύπαρξης DPO, η απουσία αναφοράς δικαιωμάτων των υποκειμένων και η μη αναφορά των σκοπών επεξεργασίας στην Πολιτική Απορρήτου, συνιστούν σημαντικές ελλείψεις, οι οποίες αν δεν καλύπτονται με κάποιο άλλο μέσο, υποδηλώνουν παραβίαση του ΓΚΠΔ, ενώ περαιτέρω δίνουν εντύπωση περιορισμένης συμμόρφωσης, ενδεχομένως ασχέτως του υφιστάμενου επιπέδου συμμόρφωσης του Δήμου Θεσσαλονίκης.»

«Επιπλέον, η μη εμφάνιση ενημέρωσης για τη χρήση cookies, συνιστά επίσης παράλειψη της νομοθεσίας e-privacy.»

«Τα κριτήρια της έρευνας δεν εξαντλούν τη συνολική αξιολόγηση του ιστότοπου του Δήμου σας.»

Ταυτόχρονα, η Your Data Matters εκδήλωνε τη διαθεσιμότητά της «για ανταλλαγή απόψεων, ενημέρωση και συνεργασία σε σχέση με ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα του Δήμου».

Έκτοτε δεν υπήρξε καμιά άλλη επικοινωνία με το Δήμο Θεσσαλονίκης προς τη Your Data Matters.

Στην αναλυτική παρουσίαση της έρευνας της Your Data Matters τονιζόταν πως η ιστοσελίδα του Δήμου (όπως άλλωστε και κάθε φορέα) είναι η δημόσια εικόνα του από την οποία εξάγονται συμπεράσματα γενικότερης φύσης. Ένας φορέας που δείχνει την απαιτούμενη πρόνοια και κάνει τα απαραίτητα για τη συμμόρφωσή του με τις απαιτήσεις του GDPR είναι αναμενόμενο να αντικατοπτρίζεται και στην δημόσια εικόνα του. Όπως ισχύει και το αντίστροφο: αν η δημόσια εικόνα δεν είναι καλή, αυτό αποτελεί ένδειξη ότι το πρόβλημα δεν αφορά μόνο τη δημόσια εικόνα.

Ένα ερώτημα που προκύπτει αβίαστα είναι «αν ο Δήμος Θεσσαλονίκης που έχει περισσότερους πόρους από τους πιο πολλούς Δήμους είναι σε μια τέτοια κατάσταση, τι γίνεται με μικρότερους Δήμους;».

Ένα δεύτερο ερώτημα είναι αν η ΑΠΔΠΧ έχει κάνει κάποιες ενέργειες προς τους Δήμους της χώρας. Να σημειώσουμε ότι η έρευνα της Your Data Matters με τα αναλυτικά στοιχεία των Δήμων είχε σταλεί επίσημα στην ΑΠΔΠΧ ήδη από το Δεκέμβρη του 2019.

Τρίτο ερώτημα: έγιναν τα προβλεπόμενα από τον GDPR σε περιπτώσεις παραβίασης; Εντός 72 ωρών υπήρξε αναλυτική ενημέρωση για το αν παραβιάστηκαν (με οποιονδήποτε τρόπο) δεδομένα προσωπικού χαρακτήρα, ποιοι επηρεάστηκαν, πώς θα αποκατασταθεί (και σε ποια έκταση) το πρόβλημα; Καθώς δεν υπάρχει σχετική ανακοίνωση, αυτό σημαίνει ότι δεν έχει συμβεί κάτι τέτοιο ή ότι ο Δήμος δεν μπόρεσε να ανταποκριθεί στις υποχρεώσεις του απέναντι στους πολίτες και τις εποπτικές αρχές;

Σε κάθε περίπτωση, το περιστατικό αυτό και η αντιμετώπισή του οφείλει να χτυπήσει καμπανάκια για το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα των πολιτών 3 χρόνια και πλέον μετά την εφαρμογή του GDPR.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here