Πρόστιμο 196 εκατ. δολ. σε αμερικανικούς παρόχους για πώληση δεδομένων τοποθεσίας. Γιατί ο GDPR προστατεύει διαφορετικά τον συνδρομητή στην Ελλάδα.
Πρόστιμο σχεδόν 196 εκατ. δολαρίων επέβαλε η FCC σε T-Mobile, AT&T και Verizon για παράνομη πώληση δεδομένων τοποθεσίας συνδρομητών χωρίς συναίνεση.
Στην Ελλάδα ο εντοπισμός θέσης ρυθμίζεται από τον GDPR και εποπτεύεται από την ΑΠΔΠΧ, γεγονός που καθιστά δύσκολο ένα τέτοιο εμπορικό μοντέλο.
Οι ειδικοί ζητούν αυστηρότερους ελέγχους ταυτοποίησης (KYC) για όσους αποκτούν πρόσβαση σε ευαίσθητα δεδομένα.
Η αμερικανική Ομοσπονδιακή Επιτροπή Επικοινωνιών (FCC) επέβαλε πρόστιμα συνολικού ύψους σχεδόν 196 εκατομμυρίων δολαρίων (περίπου 181 εκατ. ευρώ) στις T-Mobile, AT&T και Verizon, επειδή πούλησαν παράνομα δεδομένα τοποθεσίας πελατών τους σε πραγματικό χρόνο. Η υπόθεση φέρνει ξανά στο προσκήνιο ένα ερώτημα που αφορά κάθε συνδρομητή κινητής, και στην Ελλάδα: πού καταλήγει τελικά η πληροφορία για το πού βρίσκεσαι κάθε στιγμή.
Οι τρεις μεγαλύτεροι πάροχοι κινητής τηλεφωνίας των ΗΠΑ έδωσαν σε τρίτους τη δυνατότητα να εντοπίζουν τη θέση των συνδρομητών έναντι αμοιβής, χωρίς τη συγκατάθεσή τους. Τα δεδομένα τοποθεσίας κατέληγαν σε εξωτερικές εταιρείες μέσα από μια αλυσίδα μεσαζόντων (data brokers), χωρίς ο χρήστης να γνωρίζει ότι κάτι τέτοιο συνέβαινε. Όπως σημειώνει ο Vaidotas Šedys, επικεφαλής διαχείρισης κινδύνου της Oxylabs, το βασικό πρόβλημα είναι διπλό: η πώληση δεδομένων χωρίς ενημερωμένη συναίνεση και οι ανεπαρκείς έλεγχοι πάνω στους τρίτους που τελικά αποκτούσαν πρόσβαση. Καταστάσεις σαν αυτή, λέει, σπάνε το συμβόλαιο εμπιστοσύνης ανάμεσα στον πάροχο και τον πελάτη.
Στην Ελλάδα και στην υπόλοιπη Ευρώπη ο εντοπισμός θέσης μέσω κινητού δεν ρυθμίζεται από έναν φορέα σαν τη FCC, αλλά από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) σε συνδυασμό με την εθνική νομοθεσία (ν. 4624/2019 και ν. 3471/2006 για το απόρρητο των επικοινωνιών). Αρμόδια να επιβάλει πρόστιμα είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ενώ για το απόρρητο των επικοινωνιών εμπλέκεται και η ΑΔΑΕ. Το ευρωπαικό πλαίσιο απαιτεί ρητή συγκατάθεση πριν αξιοποιηθούν δεδομένα τοποθεσίας για σκοπούς πέρα από την ίδια την παροχή της υπηρεσίας. Η λογική της εξάρτησης από μεγάλες υποδομές και η αδιαφάνεια στη διαχείριση δεδομένων είναι θέμα που έχει απασχολήσει την Ευρώπη και σε άλλα μέτωπα.
Στην Ελλάδα δεν έχει καταγραφεί παρόμοιο περιστατικό εσκεμμένης πώλησης δεδομένων τοποθεσίας, και αυτό δεν είναι τυχαίο. Το αμερικανικό μοντέλο, όπου πάροχοι διοχετεύουν τη θέση των συνδρομητών σε μεσάζοντες για κέρδος, δύσκολα στέκεται υπό τον GDPR, που απαιτεί ρητή συναίνεση για κάθε τέτοια χρήση. Το μεγαλύτερο ελληνικό περιστατικό με δεδομένα παρόχου ήταν εντελώς διαφορετικής φύσης: η διαρροή στην Cosmote το 2020 προήλθε από κυβερνοεπίθεση και όχι από εμπορική διάθεση δεδομένων. Με την υπ’ αριθμόν 4/2022 απόφασή της, η ΑΠΔΠΧ επέβαλε συνολικό πρόστιμο 9,25 εκατομμυρίων ευρώ — 6 εκατ. στην Cosmote και 3,25 εκατ. στον ΟΤΕ — όμως η παράβαση αφορούσε ανεπαρκή μέτρα ασφάλειας και διατήρηση περισσότερων δεδομένων από όσα επέτρεπε ο νόμος, όχι σκόπιμη πώληση. Η έκθεση δεδομένων έπειτα από κυβερνοεπίθεση είναι, επομένως, ξεχωριστός κίνδυνος από αυτόν της εμπορικής μεταπώλησης.
Ακόμα και όταν υπάρχουν όλες οι απαραίτητες γνωστοποιήσεις, ένας μόνο κακόβουλος παράγοντας που θα περάσει απαρατήρητος από τους ελέγχους μπορεί να εκθέσει δεδομένα με τρόπους που καμία πολιτική απορρήτου δεν προέβλεψε. Γι’ αυτό οι ειδικοί προτείνουν αυστηρότερες διαδικασίες ταυτοποίησης (Know-Your-Customer, KYC), έναν μηχανισμό γνωστό από τον χρηματοπιστωτικό κλάδο.
Ο όγκος των πληροφοριών που συγκεντρώνουν σήμερα οι υπηρεσίες για τον καθένα μας κάνει αυτούς τους ελέγχους πιο κρίσιμους από ποτέ — ένα ζήτημα που αγγίζει και το πόσα γνωρίζουν για εμάς οι ψηφιακοί βοηθοί.
Το περιστατικό αφορά τις ΗΠΑ, αλλά το δίδαγμα είναι καθολικό: όταν δίνεις τη συγκατάθεσή σου σε μια εφαρμογή ή έναν πάροχο, σπάνια ξέρεις πού καταλήγει τελικά η τοποθεσία σου. Η ουσιαστική διαφορά με την Ευρώπη είναι ότι εδώ ο GDPR καθιστά πολύ δυσκολότερο το ίδιο το μοντέλο της μεταπώλησης δεδομένων τοποθεσίας — γι’ αυτό και δεν βλέπουμε ανάλογες υποθέσεις. Στην πράξη, πάντως, ο πιο άμεσος έλεγχος παραμένει στα χέρια μας: περιορισμός των αδειών τοποθεσίας στις εφαρμογές που δεν τις χρειάζονται πραγματικά.
Σου άρεσε το άρθρο;
Υποστήριξε την ανεξάρτητη τεχνολογική ενημέρωση.
Επειδή πούλησαν παράνομα δεδομένα τοποθεσίας πελατών σε τρίτους έναντι αμοιβής, χωρίς οι συνδρομητές να έχουν δώσει συγκατάθεση ή να γνωρίζουν ότι αυτό συνέβαινε.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), βάσει του GDPR και της εθνικής νομοθεσίας, ενώ για το απόρρητο των επικοινωνιών εμπλέκεται και η ΑΔΑΕ.
Όχι με τη μορφή πώλησης δεδομένων. Το μεγάλο ελληνικό περιστατικό αφορούσε διαρροή δεδομένων κλήσεων της Cosmote το 2020 έπειτα από κυβερνοεπίθεση, με πρόστιμο 9,25 εκατ. ευρώ σε Cosmote και ΟΤΕ.
Ο GDPR απαιτεί ρητή συγκατάθεση για χρήση δεδομένων τοποθεσίας πέρα από την ίδια την υπηρεσία, κάτι που καθιστά δύσκολη τη νόμιμη μεταπώληση σε τρίτους χωρίς ενημέρωσή σου.
Έλεγξε στις ρυθμίσεις του κινητού ποιες εφαρμογές έχουν άδεια τοποθεσίας και απενεργοποίησέ την σε όσες δεν τη χρειάζονται πραγματικά για να λειτουργήσουν.
Με την εγγραφή σας αποδέχεστε την Πολιτική Απορρήτου.
Το ευρωπαϊκό ψηφιακό πορτοφόλι ταυτότητας EUDI-Wallet φέρεται να απαιτεί λογαριασμό Apple ή Google, αντί να στηρίζεται στην ψηφιακή κυριαρχία της ΕΕ.
Ο Φαρμακευτικός Σύλλογος Θεσσαλονίκης απαγόρευσε στα μέλη του τα βίντεο φαρμακείων στα social media, με πειθαρχικό έλεγχο βάσει του Ν. 5041/2023.
Χάκερ εξαπάτησαν τον AI βοηθό της Meta για να κλέψουν λογαριασμούς Instagram, χωρίς πρόσβαση στο email των θυμάτων. Το κενό διορθώθηκε.
Η Nova αυξάνει τη χρέωση ομιλίας ανά λεπτό από 0,86€ σε 1,12€ από 1/7/2026 στα προγράμματα κινητής. Δείτε ποια συμβόλαια επηρεάζονται και τι ισχύει.
A project by Κώστας Βλαχάκης
Σχόλια