H Αρχή Προστασίας Δεδομένων ξεκίνησε, τον Δεκέμβριο του 2024, την πραγματοποίηση του έργου με τίτλο «Driven by risk: Fostering data protection risk assessment for SMEs and raising risk awareness among the general public (byRisk)», μετά από επιτυχή υποβολή σχετικής πρότασης στην Ευρωπαϊκή Επιτροπή.
Η υλοποίηση του έργου γίνεται υπό τον συντονισμό της Αρχής και σε συνεργασία με το Πανεπιστήμιο Πειραιώς και την Ελληνική εταιρεία Πληροφορικής «ICT Abovo ΙΚΕ», συγχρηματοδοτείται δε σε ποσοστό 90% από την Ευρωπαϊκή Επιτροπή.
Δύο είναι οι βασικοί στόχοι του έργου:
1) Η έμπρακτη υποστήριξη των μικρομεσαίων επιχειρήσεων (ΜΜΕ), ως υπευθύνων επεξεργασίας δεδομένων, με την ανάπτυξη και διάθεση σε αυτούς εργαλείου αξιολόγησης των κινδύνων που ενέχουν οι επεξεργασίες προσωπικών δεδομένων που πραγματοποιούν.
2) Η κατάλληλη ενημέρωση και ευαισθητοποίηση όλων των ενδιαφερομένων, γενικά του κοινού, επαγγελματιών ΤΠΕ και φοιτητών, επίσης με την ανάπτυξη και διάθεση προς όλους εργαλείου ενημέρωσης και ευαισθητοποίησης κινδύνων σχετικά με συχνές δραστηριότητες επεξεργασίας δεδομένων από ένα ευρύ φάσμα υπευθύνων επεξεργασίας.
Α. Εισαγωγή – Μεθοδολογία
Για την ανάπτυξη των εργαλείων αυτών, πραγματοποιήθηκε ήδη διερεύνηση αναγκών, ανάλυση και ορισμός σχετικών απαιτήσεων. Διεξήχθη βιβλιογραφική ανασκόπηση ταξινομήσεων και μεθοδολογιών για την αξιολόγηση κινδύνων, καθώς και εργαλείων για τη διαχείριση κινδύνων και μεθοδολογιών και εργαλείων ευαισθητοποίησης, λαμβανομένων υπόψη και συστημάτων τεχνητής νοημοσύνης. Επίσης, αναλύθηκαν οι απαιτήσεις προστασίας δεδομένων που απορρέουν από το ισχύον εθνικό και ευρωπαϊκό νομικό και κανονιστικό πλαίσιο. Περαιτέρω, με τη βοήθεια ειδικού ερωτηματολογίου, εντοπίστηκαν οι σχετικές ανάγκες των ΜΜΕ για αξιολόγηση κινδύνων των επεξεργασιών δεδομένων και αναλύθηκαν και προσδιορίστηκαν οι αντίστοιχες απαιτήσεις αναλύθηκαν και προσδιορίστηκαν. Προσεγγίστηκαν μικρομεσαίες επιχειρήσεις στους τομείς του τουρισμού, της εκπαίδευσης, του λιανικού εμπορίου, της εστίασης, της υγειονομικής περίθαλψης και των υπηρεσιών πληροφορικής, κυρίως μέσω των ενώσεών τους, ενώ προσεγγίστηκαν απευθείας ορισμένες ΜΜΕ που είχαν ανταποκριθεί θετικά σε παρόμοιες προσκλήσεις προηγούμενων έργων.
Η ανάπτυξη μιας νέας ταξινόμησης κινδύνων για τα δικαιώματα και τις ελευθερίες των ατόμων που σχετίζονται με την επεξεργασία των δεδομένων τους, με συστηματικό τρόπο, αποτέλεσε σημαντική ενδιάμεση επιδίωξη του έργου. Η νέα αυτή ταξινόμηση κινδύνων λαμβάνει υπόψη προτεινόμενες στη βιβλιογραφία ταξινομήσεις, δίνει έμφαση στις δυσμενείς επιπτώσεις στα φυσικά πρόσωπα, σε συνδυασμό με πιθανές παραβιάσεις των θεμελιωδών ανθρωπίνων δικαιωμάτων τους, συμπεριλαμβάνει δε και κινδύνους που απορρέουν από συστήματα τεχνητής νοημοσύνης και καθιστούν έτσι τη νέα ταξινόμηση και πιο ολοκληρωμένη σε σύγκριση με υφιστάμενες. Πρόκειται για ταξινόμηση τεσσάρων επιπέδων, με το πρώτο επίπεδο να αναφέρεται στα θεμελιώδη δικαιώματα τα οποία ενδέχεται να παραβιαστούν σε περίπτωση που λάβει χώρα ένα συγκεκριμένο συμβάν που αποτελεί πηγή κινδύνου, το δεύτερο επίπεδο στις αρνητικές επιπτώσεις ή αντίκτυπο για τα άτομα, το τρίτο επίπεδο στα νομικά ζητήματα που ενδέχεται να προκύψουν σε περίπτωση που λάβει χώρα ένα συγκεκριμένο συμβάν που αποτελεί πηγή κινδύνου και το τέταρτο επίπεδο αντιστοιχεί σε συγκεκριμένες καταστάσεις (πηγές κινδύνου) από τις οποίες θα μπορούσε να προκληθεί βλάβη στα άτομα. Κάθε πιθανή πηγή κινδύνου πλαισιώνεται με τη σειρά της από σύνολο πιθανών σεναρίων, η εμφάνιση ενός εκ των οποίων υποδηλώνει την επέλευση του εν λόγω κινδύνου και, ως εκ τούτου, θα πρέπει να εξεταστεί – βάσει της προαναφερθείσας ταξινόμησης – ως προς τα θεμελιώδη δικαιώματα που ενδέχεται να παραβιαστούν και τον πρακτικό αντίκτυπο που θα επιφέρει. Η ταξινόμηση αυτή αποτελεί τη βάση για την υλοποίηση τόσο του εργαλείου αξιολόγησης κινδύνων όσο και του εργαλείου ευαισθητοποίησης στους κινδύνους προστασίας δεδομένων.
Β. Εργαλείο Αξιολόγησης Κινδύνων για Μικρομεσαίες Επιχειρήσεις
Αρχικά καθορίστηκαν οι αρχιτεκτονικές πτυχές του εργαλείου αξιολόγησης κινδύνου, οι λειτουργίες του συστήματος, μη λειτουργικές απαιτήσεις και οι τεχνολογίες που θα χρησιμοποιηθούν, καθώς και ο λεπτομερής σχεδιασμός του.
Αναπτύχθηκαν ήδη τα επιμέρους τμήματα του λογισμικού, οι βάσεις δεδομένων και οι διεπαφές χρήστη που υλοποιούν τις λειτουργίες του εργαλείου, ενώ γίνονται δοκιμές για την επαλήθευση και επικύρωσή του ως προς την ακρίβεια, αξιοπιστία και χρηστικότητα, αναμένεται δε να ολοκληρωθεί και τεθεί σε πιλοτική λειτουργία μέχρι τον Μάρτιο 2026. Ακολούθως, το εργαλείο θα αξιολογείται τακτικά για συνεχή βελτίωση της λειτουργίας του και εμπλουτισμό αυτού, λαμβανομένων υπόψη και παρατηρήσεων και προτάσεων από τους χρήστες του.
Γ. Εργαλείο Ευαισθητοποίησης στους κινδύνους προστασίας δεδομένων
Η στρατηγική που αναπτύχθηκε περιλαμβάνει το εννοιολογικό και μεθοδολογικό πλαίσιο ευαισθητοποίησης σχετικά με τους κινδύνους για την προστασία δεδομένων και την ιδιωτικότητα των προσδιορισμένων ομάδων-στόχων, ΜΜΕ, επαγγελματιών ΤΠΕ, φοιτητών και πολιτών, περιγράφει τα κανάλια επικοινωνίας, τους μηχανισμούς προσέγγισης και τις μεθοδολογίες προσέγγισης προσαρμοσμένες σε κάθε ομάδα-στόχο και καθορίζει τις αρχές σχεδιασμού, τις απαιτήσεις περιεχομένου και το σχέδιο εφαρμογής για τα σεμινάρια και το υλικό ευαισθητοποίησης που θα αναπτυχθεί, σε ευθυγράμμιση με τους συνολικούς στόχους του έργου, συμπεριλαμβανομένης της προώθησης και της χρήσης του εργαλείου αξιολόγησης κινδύνου. Ως προς τις ΜΜΕ, το αντίστοιχο πρόγραμμα ευαισθητοποίησης επιδιώκει να διασφαλίσει ότι οι συμμετέχοντες κατανοούν τους κινδύνους προστασίας δεδομένων, είναι σε θέση να εντοπίζουν κινδύνους στις δραστηριότητες επεξεργασίας δεδομένων που πραγματοποιούν, να συνδέουν του κινδύνους που διαπιστώνουν με κατάλληλα μέτρα αντιμετώπισης ή μετριασμού και να αξιοποιούν αποτελεσματικά το εργαλείο αξιολόγησης κινδύνων, καθώς και δημιουργία μίας ανθρωποκεντρικής επίγνωσης των επιπτώσεων των κινδύνων προστασίας δεδομένων, καλλιεργώντας μία κουλτούρα προστασίας δικαιωμάτων και όχι μόνο προστασίας συστημάτων. Παρόμοιες επιδιώξεις τέθηκαν και σε σχέση με τις άλλες ομάδες στόχους, όπως να κατανοούν οι πολίτες ότι αστοχίες υπευθύνων επεξεργασίας που επεξεργάζονται τα δεδομένα τους μπορούν να τους βλάψουν, να αναγνωρίζουν τις διάφορες μορφές επιπτώσεων και το βαθμό βλάβης που μπορεί να προκληθεί, να ενισχύσουν την επαγρύπνησή τους και να ενημερώνονται σε σχέση με οργανισμούς που επεξεργάζονται τα δεδομένα τους και να αξιοποιούν αποτελεσματικά το εργαλείο ευαισθητοποίησης στους κινδύνους προστασίας δεδομένων. Προγραμματίστηκε σειρά σεμιναρίων για όλες τις ομάδες τις ομάδες στόχου, από τον Μάρτιο μέχρι και το Σεπτέμβριο του 2026. Σχετικές ανακοινώσεις, για την εκδήλωση ενδιαφέροντος συμμετοχής σε αυτά, θα γίνουν έγκαιρα από την Αρχή Προστασίας Δεδομένων.
Η αναφερόμενη στην εισαγωγή νέα ταξινόμηση κινδύνων αποτέλεσε, με κατάλληλες προσαρμογές, το πλαίσιο για την ανάπτυξη του εργαλείου ευαισθητοποίησης. Η ανάπτυξη του εργαλείου βασίστηκε σε πλατφόρμα που είχε αναπτυχθεί σε προηγούμενο έργο της Αρχής, η οποία αρχικά υποστήριζε πολύγλωσσα ερωτηματολόγια και δημιουργία εγγράφων και η οποία για το τρέχον έργο επεκτάθηκε ώστε να ενσωματώσει ένα δομημένο πλαίσιο μοντελοποίησης κινδύνου, συμπεριλαμβανομένων εννοιολογικών οντοτήτων, χαρτογραφήσεων μεταξύ οντοτήτων και των μηχανισμών που απαιτούνται για την εξαγωγή συμπερασμάτων που σχετίζονται με τον κίνδυνο. Το εργαλείο παρέχει μια διεπαφή τελικού χρήστη και μια διεπαφή διαχείρισης, ως εφαρμογές ιστού, έχουν δε αναπτυχθεί ως πλήρεις εφαρμογές JavaScript.
Δ. Δράσεις επικοινωνίας των αποτελεσμάτων του έργου
Για τη διάδοση των αποτελεσμάτων του έργου, όπως και την εμπλοκή στις εργασίες του έργου μικρομεσαίων επιχειρήσεων, ως υπευθύνων επεξεργασίας, και άλλων ενδιαφερομένων, σχεδιάστηκε και υλοποιείται σειρά δράσεων, συμπεριλαμβανομένης της ανάπτυξης ειδικής ιστοσελίδας του έργου. Περιλαμβάνονται ακόμη δελτία Τύπου, ενημερωτικά δελτία, φυλλάδια, αρθρογραφία σε Μέσα Ενημέρωσης. Εκτός αυτών των τρόπων και των ενημερωτικών εκδηλώσεων που αναφέρθηκαν παραπάνω, προβλέπεται και η πραγματοποίηση διεθνούς ημερίδας προς το τέλος του έργου, τον Οκτώβριο του 2026, με στόχο την προώθηση της βιωσιμότητας των αποτελεσμάτων του. Στην ημερίδα αναμένεται να συμμετάσχουν και εκπρόσωποι ομόλογων εποπτικών αρχών κρατών μελών της Ευρ. Ένωσης και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, της Ευρωπαϊκής Επιτροπής και ειδικοί επιστήμονες – ερευνητές στο αντικείμενο της προστασίας δεδομένων.
*Δρ Βασίλειος Ζορκάδης, Γενικός Διευθυντής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
