Από το Δημόσιο έως το delivery, κάθε μας κίνηση αφήνει «ίχνη», αλλά πού αποθηκεύονται;
Δεν χρειάζεται πια να σταθείς στην ουρά μιας δημόσιας υπηρεσίας, ούτε να τηλεφωνήσεις στην τράπεζα για να πληρώσεις κάποιον λογαριασμό. Με λίγα κλικ στην οθόνη, έχεις παραγγείλει φαγητό, έχεις κλείσει ραντεβού στο ΚΕΠ, έχεις δει τον βαθμό του παιδιού σου στο σχολείο. Η ζωή έχει περάσει, σχεδόν αθόρυβα, σε ψηφιακή λειτουργία
Όμως, πίσω από την ευκολία, βρίσκεται ένας κόσμος δεδομένων που καταγράφει κάθε μας κίνηση. Από τον αριθμό κινητού μέχρι τη φορολογική μας εικόνα, από τις προτιμήσεις στις παραγγελίες μέχρι το ιατρικό ιστορικό. Και κάπου ανάμεσα στο «αποδέχομαι τους όρους χρήσης» και στην ολοκλήρωση της διαδικασίας, λίγοι σταματούν να αναρωτηθούν: Πού πηγαίνουν όλα αυτά;
Η ασφάλεια των προσωπικών δεδομένων δεν είναι πια υπόθεση ειδικών. Είναι καθημερινό στοίχημα. Όταν σχολικές πλατφόρμες «πέφτουν», όταν δήμοι γίνονται στόχος επιθέσεων και όταν ακόμα και οι πάροχοι τηλεπικοινωνιών παραδέχονται παραβιάσεις, το ερώτημα δεν είναι αν κινδυνεύουμε, αλλά πόσο συχνά και με ποιες συνέπειες. Η ψηφιακή μας παρουσία είναι γεγονός. Το ζητούμενο είναι αν συνοδεύεται από επαρκή προστασία ή αν απλώς ελπίζουμε ότι «σε εμάς δεν θα τύχει». Και κυρίως: Αν έχουμε επίγνωση του τι αποκαλύπτουμε – και σε ποιον.
«Πλατφόρμες» παντού
Η χρήση ψηφιακών υπηρεσιών στην Ελλάδα έχει πάψει να είναι θέμα ευκολίας. Πλέον, αποτελεί αναγκαίο εργαλείο για εργασία, αγορές, εκπαίδευση, επικοινωνία. Οι εφαρμογές και οι πλατφόρμες λειτουργούν σαν νέες υποδομές που διατρέχουν την καθημερινότητα.
Σύμφωνα με την ΕΛΣΤΑΤ, το 88% των πολιτών χρησιμοποιεί το διαδίκτυο καθημερινά. Πάνω από 7 στους 10 έχουν αλληλεπιδράσει με ψηφιακή υπηρεσία του Δημοσίου, ενώ η χρήση mobile banking ξεπερνά το 65%, φτάνοντας σε ακόμη υψηλότερα επίπεδα στις ηλικίες 25-44. Παράλληλα, ιδιωτικές πλατφόρμες για παραγγελίες, αγορές ή εκπαίδευση έχουν εδραιωθεί σε κάθε ηλικιακή ομάδα.
Ο μέσος πολίτης διαθέτει λογαριασμούς σε έξι ή περισσότερες πλατφόρμες με πρόσβαση σε προσωπικά δεδομένα, όπως στοιχεία ταυτότητας, διευθύνσεις, αριθμούς καρτών, ιστορικά αγορών, ακόμα και πληροφορίες υγείας. Τα σχολικά συστήματα καταγράφουν παρουσίες και βαθμολογίες, ενώ οι πλατφόρμες delivery διαμορφώνουν προφίλ συμπεριφοράς. Η τεχνολογία δεν διευκολύνει, απλώς «διαμορφώνει». Και όσο οι πλατφόρμες γίνονται «υποδομή», τόσο πιο κρίσιμο γίνεται το ερώτημα: Γνωρίζουμε τι ακριβώς παραδίδουμε;
Ποιος έχει πρόσβαση;
Το κρίσιμο ζήτημα είναι το πού φυλάσσεται αυτό το προφίλ, ποιος έχει πρόσβαση σε αυτό και με ποιους όρους. Στην περίπτωση δημόσιων πλατφορμών, όπως το gov.gr, η ευθύνη ανήκει στο κράτος, με εγγυήσεις που προβλέπει το ευρωπαϊκό νομικό πλαίσιο. Όμως σε πολλές ιδιωτικές υπηρεσίες, η πολιτική απορρήτου είναι θολή και η συγκατάθεση του χρήστη θεωρείται δεδομένη, επειδή πάτησε «αποδοχή».
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει επισημάνει επανειλημμένα ότι η ενημέρωση των χρηστών για το πού και πώς αποθηκεύονται τα δεδομένα τους είναι ελλιπής. Σε ελέγχους που διενεργήθηκαν τα τελευταία χρόνια, διαπιστώθηκαν ασάφειες σε όρους χρήσης, ανεπαρκής κρυπτογράφηση και ελλιπής τεκμηρίωση για τη διαχείριση των προσωπικών πληροφοριών.
Όταν η αποθήκευση γίνεται σε χώρες εκτός ΕΕ, το θέμα γίνεται ακόμη πιο περίπλοκο. Αν και υπάρχει το νομικό πλαίσιο των «κατάλληλων εγγυήσεων», στην πράξη ο έλεγχος είναι δύσκολος. Ο χρήστης δεν γνωρίζει, για παράδειγμα, αν τα δεδομένα του από μια ελληνική πλατφόρμα που χρησιμοποιεί cloud υπηρεσίες βρίσκονται σε server στην Ολλανδία, στις ΗΠΑ ή αλλού.
Κυβερνοεπιθέσεις
Η αποθήκευση δεδομένων σε ψηφιακά περιβάλλοντα δεν είναι απλώς τεχνικό ζήτημα. Είναι θέμα ασφάλειας. Και η πραγματικότητα δείχνει ότι ακόμη και οι πιο κρίσιμες δομές δεν είναι άτρωτες. Τον Οκτώβριο του 2022, ολόκληρο το δίκτυο του ΕΔΥΤΕ (Εθνικό Δίκτυο Τεχνολογικής Υποδομής), που εξυπηρετεί δεκάδες πανεπιστήμια, ερευνητικά κέντρα και υπηρεσίες του Δημοσίου, δέχθηκε επίθεση. Η λειτουργία διαταράχθηκε για μέρες και η αποκατάσταση υπήρξε δύσκολη. Ανάλογα χτυπήματα έχουν καταγραφεί και σε δήμους, όπως στον Δ. Θηβαίων και στον Δ. Βόλβης, με συνέπεια τη διαρροή αρχείων και εγγράφων με προσωπικά στοιχεία κατοίκων.
Ακόμα πιο ηχηρό ήταν το περιστατικό με τον Οργανισμό Ασφάλισης Υγείας (ΕΟΠΥΥ), όταν άγνωστοι εισέβαλαν σε σύστημα παρόχου cloud υπηρεσιών, θέτοντας εκτός λειτουργίας κρίσιμα πληροφοριακά συστήματα. Η υπόθεση δεν αφορούσε απλώς τεχνική βλάβη: Περιλάμβανε πιθανή πρόσβαση σε ευαίσθητα ιατρικά δεδομένα ασφαλισμένων. Η επίσημη ανακοίνωση απέφυγε λεπτομέρειες, όμως το πρόβλημα ανέδειξε τα κενά φύλαξης πληροφοριών ακόμα και σε φορείς υψηλής ευθύνης.
Σύμφωνα με την Εθνική Αρχή Κυβερνοασφάλειας, μέσα στο 2023 καταγράφηκαν περισσότερες από 200 σοβαρές επιθέσεις σε συστήματα οργανισμών του ευρύτερου δημόσιου τομέα και κρίσιμων υποδομών – σημειώνοντας αύξηση άνω του 40% σε σύγκριση με το 2022. Ορισμένες δεν έγιναν ποτέ γνωστές στο ευρύ κοινό. Άλλες δημοσιοποιήθηκαν εκ των υστέρων, με περιορισμένη ενημέρωση για το τι ακριβώς εκτέθηκε. Το πρόβλημα δεν αφορά μόνο τους φορείς του Δημοσίου. Το 2021, πάροχος τηλεπικοινωνιών αναγκάστηκε να παραδεχθεί παραβίαση λογαριασμών πελατών. Το ίδιο έτος, γνωστή πλατφόρμα e-commerce έκλεισε προσωρινά την πρόσβαση στο σύστημά της, έπειτα από ύποπτη δραστηριότητα. Και σε όλες αυτές τις περιπτώσεις, η επικοινωνία με τους χρήστες ήταν αποσπασματική ή καθυστερημένη. Η εικόνα είναι σαφής: Η ψηφιακή ασφάλεια στην Ελλάδα αντιμετωπίζεται περισσότερο ως τεχνική υποχρέωση και λιγότερο ως κεντρική προτεραιότητα. Η ετοιμότητα απέναντι σε επιθέσεις παραμένει άνιση, ενώ η πληροφόρηση προς τους πολίτες συχνά κρύβεται πίσω από νομικές διατυπώσεις. Όταν ένα σύστημα καταρρέει, δεν καταρρέει μόνο η λειτουργία του. Καταρρέει και η εμπιστοσύνη του χρήστη. Και αυτή είναι πολύ πιο δύσκολο να αποκατασταθεί.
Τι δικαιώματα έχουμε;
Σε κάθε εφαρμογή, πίσω από το κουμπί «αποδοχή» κρύβεται μια συμφωνία. Ο χρήστης συναινεί στη συλλογή, επεξεργασία και αποθήκευση προσωπικών δεδομένων. Όμως πόσοι καταλαβαίνουν τι ακριβώς περιλαμβάνει αυτή η αποδοχή; Και κυρίως: Πόσοι γνωρίζουν ότι έχουν το δικαίωμα να διαφωνήσουν – ή και να ζητήσουν διαγραφή;
Το νομικό πλαίσιο υπάρχει. Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), που εφαρμόζεται σε όλα τα κράτη-μέλη της ΕΕ από το 2018, προβλέπει συγκεκριμένα δικαιώματα για τους πολίτες: πρόσβαση στα δεδομένα τους, ενημέρωση για τον τρόπο χρήσης, διόρθωση, διαγραφή και περιορισμό της επεξεργασίας. Επιπλέον, ορίζει υποχρεώσεις για τους οργανισμούς που συλλέγουν πληροφορίες, καθώς και μηχανισμούς ελέγχου.
Στην πράξη, ωστόσο, το πλαίσιο παραμένει άγνωστο σε πολλούς. Σύμφωνα με ευρωπαϊκή έρευνα του Ευρωβαρόμετρου, σχεδόν οι μισοί πολίτες στην Ελλάδα δηλώνουν ότι δεν γνωρίζουν τα δικαιώματά τους ως προς τα προσωπικά δεδομένα. Ακόμη λιγότεροι έχουν προσπαθήσει να τα ασκήσουν. Η διαδικασία για να ζητήσει κανείς πρόσβαση ή διαγραφή είναι θεωρητικά απλή, όμως απαιτεί τεχνική κατανόηση και υπομονή. Σε κάποιες περιπτώσεις, χρειάζεται αποστολή email ή συμπλήρωση φορμών σε αγγλική γλώσσα. Αλλού, η πλατφόρμα δεν παρέχει ευδιάκριτη επιλογή και παραπέμπει σε «πολιτική απορρήτου» δεκάδων σελίδων
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δέχεται εκατοντάδες καταγγελίες ετησίως για παραβίαση δικαιωμάτων ή αδιαφάνεια στους όρους χρήσης. Ανάμεσά τους: αποστολή διαφημιστικών email χωρίς συγκατάθεση, άρνηση πρόσβασης σε δεδομένα, ασαφείς πολιτικές διαγραφής, αλλά και παραβιάσεις σε ιστοσελίδες σχολείων και δημοτικών φορέων. Η ευθύνη δεν βαραίνει μόνο τις πλατφόρμες. Χωρίς ενημέρωση και διεκδίκηση, τα δικαιώματα παραμένουν θεωρητικά. Και όσο η τεχνολογία προηγείται της κατανόησης, τόσο διευρύνεται το χάσμα ανάμεσα σε ό,τι «πρέπει» να ισχύει και σε ό,τι πραγματικά εφαρμόζεται.
Τι, πού και «στο cloud»
Η φράση «τα δεδομένα σου αποθηκεύονται στο cloud» εμφανίζεται συχνά σε όρους χρήσης και ενημερώσεις ασφαλείας, όμως σπάνια εξηγείται. Για τον μέσο χρήστη, πρόκειται για έναν αόριστο χώρο κάπου στο διαδίκτυο, όπου καταλήγουν φωτογραφίες, μηνύματα, κινήσεις και προσωπικές πληροφορίες. Στην πραγματικότητα, το cloud είναι ένα σύστημα διασυνδεδεμένων servers -τεράστιοι υπολογιστές, δηλαδή- που βρίσκονται εγκατεστημένοι σε data centers ανά τον κόσμο.
Πολλές ελληνικές υπηρεσίες, δημόσιες και ιδιωτικές, δεν διατηρούν τους δικούς τους servers. Συνεργάζονται με παρόχους όπως η Amazon Web Services, η Google Cloud ή η Microsoft Azure. Σύμφωνα με μελέτη της Ευρωπαϊκής Επιτροπής (DESI), το 82% των ελληνικών επιχειρήσεων που χρησιμοποιούν cloud υπηρεσίες βασίζονται σε παρόχους εκτός Ελλάδας, με την πλειονότητα να αποθηκεύει δεδομένα σε data centers άλλων κρατών της ΕΕ ή ακόμη και σε τρίτες χώρες. Αυτό σημαίνει ότι τα προσωπικά δεδομένα των χρηστών ενδέχεται να αποθηκεύονται εκτός Ελλάδας (σε χώρες της ΕΕ, αλλά και αλλού), αν δεν υπάρχει ρητός περιορισμός.
Τα δεδομένα που αποθηκεύονται περιλαμβάνουν τόσο όσα δηλώνει ο χρήστης ρητά (ονοματεπώνυμο, ΑΦΜ, email, αριθμός κάρτας), όσο και όσα προκύπτουν από τη χρήση (ώρα πρόσβασης, συσκευή, γεωγραφική τοποθεσία, ιστορικό επιλογών). Πολλές φορές, αυτά συγκεντρώνονται σε μορφή «προφίλ χρήστη» με σκοπό την προσωποποιημένη εμπειρία ή και για εμπορική αξιοποίηση.
Επάρκεια και εμπιστοσύνη
Η μετάβαση στο ψηφιακό κράτος έγινε με εντυπωσιακή ταχύτητα – όμως η ταχύτητα δεν εγγυάται και ασφάλεια. Πολλές δημόσιες πλατφόρμες λειτουργούν ακόμη με υποδομές παλαιότερης γενιάς, ενώ δεν είναι λίγες οι περιπτώσεις όπου η ασφάλεια βασίζεται σε εξωτερικές συμβάσεις ή γενικές τεχνικές προδιαγραφές. Σύμφωνα με ειδικούς στον τομέα της κυβερνοασφάλειας, η Ελλάδα έχει κάνει βήματα προόδου σε επίπεδο νομοθεσίας, αλλά η εφαρμογή μέτρων προστασίας παρουσιάζει σημαντικές διακυμάνσεις. Το προσωπικό που διαχειρίζεται κρίσιμα συστήματα δεν έχει πάντα την απαιτούμενη κατάρτιση, ενώ οι έλεγχοι γίνονται αποσπασματικά και χωρίς ενιαίο πρωτόκολλο.
Στον ιδιωτικό τομέα, η εικόνα είναι μεικτή. Μεγάλες εταιρείες στον χώρο των τηλεπικοινωνιών ή του τραπεζικού συστήματος έχουν επενδύσει σημαντικά στην ασφάλεια και τη συμμόρφωση. Αντίθετα, μικρότερες επιχειρήσεις ή ταχέως αναπτυσσόμενες ψηφιακές πλατφόρμες δείχνουν συχνά να αντιμετωπίζουν την προστασία των δεδομένων ως εμπόδιο παρά ως προτεραιότητα.
Η εμπιστοσύνη των πολιτών παραμένει εύθραυστη. Δεν απουσιάζει μόνο η πληροφόρηση, αλλά και η διαφάνεια. Όταν δεν γνωρίζεις πού βρίσκονται τα δεδομένα σου, ποιος τα επεξεργάζεται και με ποιον σκοπό, η σχέση σου με την τεχνολογία γίνεται αναγκαστική – και όχι συνειδητή.
