Αρχές προστασίας δεδομένων και social media

 Επιμέλεια: Δημήτρης Βέρρας

«Μια αρχή προστασίας προσωπικών δεδομένων δεν αρκεί να κουνάει το δάκτυλο, αλλά πρέπει και να δίνει το παράδειγμα δια των πράξεών της». Αυτό ήταν το σκεπτικό της εποπτικής αρχής της Εσθονίας Andmekaitse Inspektsioon (AKI), πίσω από την απόφασή της να κλείσει τη σελίδα της στο Facebook.

Η αποχώρηση αυτή γνωστοποιήθηκε από την ίδια την AKI με ανακοίνωση που ανέβηκε στην ιστοσελίδα της στις 13 Φεβρουαρίου.

Η ανακοίνωση ανέφερε ότι:

«Ενημερώνουμε πως κλείνουμε το Facebook page μας. Ανεξαρτήτως του μέσου κοινωνικής δικτύωσης, θέλουμε και οφείλουμε να θέτουμε το παράδειγμα ως αρχή προστασίας δεδομένων. Δεδομένου ότι τα δεδομένα στη σελίδα μας στο Facebook δεν βρίσκονται υπό τον έλεγχό μας, αποφασίσαμε να την κλείσουμε. Η απόφαση της ΑΚΙ στηρίζεται στις αρχές και τις αξίες της».

Η απόφαση της εσθονικής αρχής έρχεται λίγους μήνες μετά την αποχώρηση και της γαλλικής CNIL, που επίσης εγκατέλειψε – αν και σαφώς πιο διακριτικά – το Facebook, για εναλλακτικούς διαύλους επικοινωνίας σε άλλα μέσα κοινωνικής δικτύωσης.

Οι αποφάσεις αυτές θέτουν στην επικαιρότητα το πολύ ενδιαφέρον ζήτημα της σχέσης των αρχών προστασίας δεδομένων – και των δημοσίων αρχών εν γένει - με τα μέσα κοινωνικής δικτύωσης. Μπορεί μια δημόσια αρχή να χρησιμοποιεί λογαριασμούς στα social media για να ενημερώνει για τις δράσεις της ή να επικοινωνεί με τους πολίτες, όταν δεν είναι σε θέση να ελέγξει τη συλλογή και επεξεργασία των προσωπικών δεδομένων τους μέσα από τον λογαριασμό της αυτό; Είναι θεμιτό να χρησιμοποιείται ο λογαριασμός μιας δημόσιας αρχής για τη συλλογή δεδομένων χρηστών προς τον σκοπό της εμφάνισης προσωποποιημένων διαφημίσεων; Είναι το Facebook το μοναδικό κοινωνικό δίκτυο που αντιμετωπίζει ζητήματα νομιμότητας κατά τη χρήση του από έναν δημόσιο (και όχι μόνο) φορέα;

Η απάντηση – από την εμπειρική τουλάχιστον παρακολούθηση του ζητήματος – είναι αρκετά σύνθετη. Οι αρχές προστασίας προσωπικών δεδομένων της Ευρωπαϊκής Ένωσης ομονοούν καταρχήν ως προς την ανάγκη αποφυγής του Facebook με κάθε τρόπο· σελίδα στο δημοφιλές μέσο κοινωνικής δικτύωσης διατηρούν αυτή τη στιγμή μόνο δύο αρχές (η λετονική DVI και η σλοβένικη IP), σε σύνολο 47 εποπτικών αρχών και οργάνων του ΓΚΠΔ (29 εθνικές, 16 γερμανικές και 2 ενωσιακές).

Το φαινόμενο αυτό θα μπορούσε καταρχήν να αποδοθεί στα πολλαπλά ζητήματα νομιμότητας στη λειτουργία του Facebook, που έχουν δει το φως της δημοσιότητας και έχουν κριθεί σε σειρά αποφάσεων του Δικαστηρίου της Ευρωπαϊκής Ένωσης, του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και της αρμόδιας ιρλανδικής αρχής.

Ενδεικτικά και μόνο υπενθυμίζονται:

- οι αποφάσεις C-362/14 (Schrems I) και C‑311/18 (Schrems II), με τις οποίες το ΔΕΕ έκρινε ως ανίσχυρες τις αποφάσεις για διαβίβαση δεδομένων Safe Harbor και Privacy Shield, με αφορμή τις διαβιβάσεις που έκανε το Facebook στις ΗΠΑ,

- η απόφαση C‑252/21 (Meta Platforms), σχετικά με τη δυνατότητα των αρχών ανταγωνισμού να ελέγχουν τη συμμόρφωση της Meta με τον Γενικό Κανονισμό Προστασίας Δεδομένων, αλλά και για τις νομικές βάσεις της επεξεργασίας δεδομένων των χρηστών,

- το πρόστιμο 1.2 δις ευρώ για τις διαβιβάσεις δεδομένων από το Facebook.

- το πρόστιμο 390 εκ. ευρώ στη Meta για τη νομιμότητα της επεξεργασίας δεδομένων των χρηστών της.

Ουσιαστικά όμως, ο λόγος αποφυγής του Facebook δεν είναι αυτός (ή δεν είναι μόνο αυτός).

Το κύριο πρόβλημα είναι η απόφαση του ΔΕΕ στην υπόθεση C-210/16 (Wirtschaftsakademie Schleswig-Holstein), όπου κρίθηκε πως αυτός που διαχειρίζεται μια σελίδα στο Facebook είναι από κοινού υπεύθυνος επεξεργασίας με το Facebook (πλέον τη Meta) για την επεξεργασία των προσωπικών δεδομένων των επισκεπτών της σελίδας του.

Διαβάστε σχετικά: Υπεύθυνοι επεξεργασίας δεδομένων οι διαχειριστές σελίδων (pages) στο Facebook

Με την απόφασή του αυτή, το Δικαστήριο της Ευρωπαϊκής Ένωσης έφερε σε δύσκολη θέση – αν όχι σε αδιέξοδο - τους διαχειριστές των Facebook pages, καθώς τους αναγνώρισε έναν ρόλο, η σύννομη άσκηση του οποίου απαιτεί έγγραφη συμφωνία και συμμόρφωση με τις απαιτήσεις της νομοθεσίας. Κι όλα αυτά, τη στιγμή που ο έτερος από κοινού υπεύθυνος επεξεργασίας ενεργεί μονομερώς, υποχρεώνει στην αποδοχή όρων που περιγράφονται σε μη διαπραγματεύσιμα κείμενα,[1] αξιοποιεί τα προσωπικά δεδομένα των επισκεπτών της σελίδας  για δικούς του επιχειρηματικούς σκοπούς και τα διαβιβάζει στις ΗΠΑ.[2]

Αυτός άλλωστε είναι και ο λόγος για τον οποίο ο Ομοσπονδιακός Επίτροπος Προστασίας Δεδομένων της Γερμανίας είχε ζητήσει το κλείσιμο της επίσημης σελίδας της Ομοσπονδιακής Κυβέρνησης στο Facebook,[3] ενώ σε αυτό αναφέρεται και η εσθονική αρχή όταν λέει πως «τα δεδομένα στη σελίδα μας δεν βρίσκονται υπό τον έλεγχό μας».[4]

Διαβάστε σχετικά: Επίτροπος Προσωπικών Δεδομένων Γερμανίας προς Κυβέρνηση: Κατεβάστε τo Facebook page

Από την άλλη πλευρά όμως, δεν μπορεί να μην παρατηρήσει κανείς πως η ιταλική Garante και η ισπανική AEPD, δύο από τις κατά τεκμήριο πιο οργανωμένες εποπτικές αρχές της Ένωσης, αποφεύγουν μεν το Facebook, διατηρούν όμως λογαριασμούς στο Instagram, μολονότι και αυτό ανήκει στην ίδια εταιρεία.

Η προσέγγιση αυτή αφήνει χώρο για την ανάπτυξη προβληματισμού ως προς το κατά πόσον η αποφυγή του Facebook, από κάποιες εποπτικές αρχές τουλάχιστον, είναι ειλικρινής και βασίζεται σε πραγματικά δεδομένα ή είναι προσχηματική και σχετίζεται με τον «στιγματισμό» του συγκεκριμένου μέσου λόγω των πολλών αποφάσεων που έχουν προηγηθεί, ειδικά δε της απόφασης στη Wirtschaftsakademie και των ευθυνών από αυτή αναγνώρισε.[5]

Άλλωστε, οι ίδιες εποπτικές αρχές που αποφεύγουν με αποφασιστικότητα το Facebook,[6] δεν δυσκολεύονται ιδιαίτερα να χρησιμοποιήσουν εναλλακτικά, πλην εξίσου εμπορικά, μέσα κοινωνικής δικτύωσης, χωρίς να έχουν καταστήσει σαφές το κατά πόσον η τήρηση των λογαριασμών τους αυτών συνοδεύεται από τις αναγκαίες εγγυήσεις νομιμότητας.[7]

Με άλλα λόγια, για πολλές εποπτικές αρχές, που δεν επιθυμούν να στερηθούν την προφανή χρησιμότητα και αμεσότητα των μέσων κοινωνικής δικτύωσης, το δόγμα μοιάζει να είναι «να αποφύγουμε το Facebook, γιατί μετά τη Wirtschaftsakademie θα εκτεθούμε, και να χρησιμοποιήσουμε τα υπόλοιπα κοινωνικά δίκτυα χωρίς να ψάχνουμε τον ρόλο και τις ευθύνες μας». 

Τα δημοφιλέστερα μέσα κοινωνικής δικτύωσης

Το δημοφιλέστερο μέσο κοινωνικής δικτύωσης που χρησιμοποιούν οι εποπτικές αρχές του ΓΚΠΔ είναι το LinkedIn. Επίσημο λογαριασμό στο LinkedIn διατηρούν δεκαέξι (16) αρχές, μεταξύ των οποίων η βελγική APD, η CNIL (με 212.000 ακολούθους), η δανική Datatilsynet, η ιρλανδική DPC,  η AEPD, η Garante, η ολλανδική AP και η σουηδική IMY. Ο λόγος για τον οποίο προτιμάται το συγκεκριμένο μέσο κοινωνικής δικτύωσης είναι μάλλον προφανής: πρόκειται για το κατ’ εξοχήν επαγγελματικό μέσο, χρήστες του οποίου, άρα και αποδέκτες των ενημερώσεων, είναι χρήστες με επαγγελματικά ενδιαφέροντα. Το LinkedIn δεν απευθύνεται στον μέσο χρήστη, ούτε και χρησιμοποιείται για την αναπαραγωγή πάσης φύσεως περιεχομένου.[8]

Δεύτερο σε δημοφιλία μέσο είναι το X (πρώην Twitter), το οποίο χρησιμοποιούν δεκατρείς (13) αρχές, προκειμένου να ενημερώνουν για τις δράσεις τους ή ακόμη και να απαντούν σε πολίτες, όπως κάνουν ορισμένες εξ αυτών. Λογαριασμό στο X διατηρούν οι περισσότερες των εποπτικών αρχών που διατηρούν λογαριασμό και στο LinkedIn, με την εξαίρεση των αρχών Δανίας, Λετονίας, Εσθονίας, Λουξεμβούργου και Σλοβενίας, οι οποίες δεν έχουν επεκταθεί και στο μέσο αυτό.

Αντίθετα, ως αποκλειστικό μέσο ενημέρωσης χρησιμοποιούν το X η νορβηγική Datatilsynet και η τσέχικη Urad, ενώ αξιοσημείωτη είναι η χρήση του X από την CNIL και την πολωνική UODO, οι οποίες πέραν της εθνικής τους γλώσσας, διατηρούν και δεύτερο λογαριασμό στα αγγλικά.

Ενδιαφέρον παρουσιάζει η χρήση του YouTube από οκτώ (8) εποπτικές αρχές. Στο δημοφιλές μέσο προβολής βίντεο, λογαριασμό διατηρούν οι αρχές της Εσθονίας (με μόλις 103 εγγεγραμμένους), η AEPD και η Garante, οι οποίες χρησιμοποιούν το μέσο για την προβολή ειδικών ενημερωτικών βίντεο που απευθύνονται στους πολίτες, η κροατική AZOP (με 153 εγγεγραμμένους και υλικό που δεν ανανεώνεται συχνά), η λετονική DVI και εποπτικές αρχές της Πολωνίας UODO, της Ρουμανίας ANSPDCP (με τρεις αναρτήσεις σε μια δεκαετία) και της Σλοβενίας IP, που δεν έχει ακόμη ανεβάσει περιεχόμενο.[9]

Τα όργανα της Ένωσης

Την πρακτική της αποφυγής των μέσων που διαχειρίζεται η Meta ακολουθούν τόσο ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, όσο και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, με αμφότερα τα όργανα να προτιμούν τη διατήρηση λογαριασμών σε LinkedIn (EDPS-EDPB) και X (EDPS-EDPB). Ο Επόπτης διατηρεί λογαριασμό και στο YouTube.

Η περίπτωση των γερμανικών αρχών

Ιδιαίτερη ευαισθησία στη χρήση μέσων κοινωνικής δικτύωσης δείχνουν οι δεκαέξι εποπτικές αρχές των γερμανικών κρατιδίων. Οι γερμανικές αρχές δεν αποφεύγουν μόνο το Facebook ή τα social media της Meta εν γένει, αλλά και κάθε δημοφιλές μέσο κοινωνικής δικτύωσης.

Για την ενημέρωση των πολιτών και την επικοινωνία με αυτούς, αρκετές από τις γερμανικές αρχές έχουν δείξει την προτίμησή τους σε εναλλακτικά κοινωνικά δίκτυα, όπως το Mastodon, το οποίο χρησιμοποιούν ήδη οι αρχές των κρατιδίων της Βάδης-Βυρτεμβέργης, του Βερολίνου, της Έσσης και της Σαξονίας, με την πρώτη εξ αυτών να διατηρεί λογαριασμό και στο Peertube, προκειμένου να ανεβάζει ενημερωτικά βίντεο.[10]

Tα podcasts

Αξιοσημείωτη παρουσία εμφανίζουν τα τελευταία χρόνια και τα podcasts, ως μέσο ενημέρωσης των πολιτών, τα οποία αξίζει να αναφερθούν, αν και δεν έχουν ακριβώς τα χαρακτηριστικά των μέσων κοινωνικής δικτύωσης.

Τον τρόπο αυτό ενημέρωσης και ευαισθητοποίησης χρησιμοποιούν ήδη οι εποπτικές αρχές της Ιρλανδίας, της Νορβηγίας, της Εσθονίας, αλλά και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων.

Οι εποπτικές αρχές με τη μεγαλύτερη παρουσία και αυτές που απέχουν

Η διατήρηση λογαριασμού στα μέσα κοινωνικής δικτύωσης από εποπτική αρχή δεν είναι αυτονόητη, ούτε αποδεδειγμένα ασφαλής, όπως καταδεικνύει η διαφορετική πρακτική που ακολουθείται σε κάθε χώρα, ενώ άλλωστε απαιτεί την απασχόληση προσωπικού που, σε κάποιες περιπτώσεις, δεν επαρκεί ούτε για τις βασικότερες δράσεις των αρχών αυτών.

Στο πλαίσιο αυτό, δεν είναι λίγες οι αρχές προστασίας δεδομένων που απέχουν πλήρως από τη δημιουργία λογαριασμών, προτιμώντας την επικοινωνία και ενημέρωση με τα πιο παραδοσιακά μέσα της επίσκεψης στον ιστότοπο ή της εγγραφής σε newsletter.[11] Στην κατηγορία αυτή εντάσσονται οι αρχές της Αυστρίας, της Βουλγαρίας, της Κύπρου, της Λιθουανίας, της Σλοβακίας, της Μάλτας, της Ουγγαρίας, της Ισλανδίας και της Πορτογαλίας, καθώς και η δική μας Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.[12]

Στην απέναντι πλευρά, «πρωταθλήτρια» στη χρήση μέσων κοινωνικής δικτύωσης είναι η ιταλική Garante, η οποία διατηρεί λογαριασμούς σε X-LinkedIn-YouTube-Instagram, αλλά και Telegram, όπου την ακολουθούν 4.400 χρήστες. Με τέσσερα μέσα κοινωνικής δικτύωσης ακολουθούν η ισπανική AEPD, η πολωνική UODO και η λετονική DVI, που όπως αναφέρθηκε εισαγωγικώς εξακολουθεί να διαχειρίζεται και facebook page.

[1] Μετά την απόφαση του ΔΕΕ, το Facebook διαμόρφωσε μονομερώς τα συμφωνητικά του άρθρου 26 ΓΚΠΔ, τα οποία και αποδέχονται υποχρεωτικώς όλοι όσοι ανοίγουν page στην πλατφόρμα. Βλ. ενδεικτικά:  Παράρτημα για τους υπεύθυνους επεξεργασίας δεδομένων, Πληροφορίες σχετικά με τα Στατιστικά Σελίδας

[2] Στην Ετήσια Έκθεση του έτους 2019, η εποπτική αρχή της Βαυαρίας παρατηρούσε πως από τη στιγμή που ο διαχειριστής ενός Facebook page κρίθηκε από το ΔΕΕ ως από κοινού υπεύθυνος επεξεργασίας, δεν υπάρχει πρακτικά κανένας τρόπος να διατηρεί τη σελίδα του κατά τρόπο σύμφωνο με τις απαιτήσεις του ΓΚΠΔ. Λίγα χρόνια αργότερα, η εποπτική αρχή της Βάδης-Βυρτεμβέργης επεσήμαινε (Ετήσια Έκθεση 2022) πως η συμμόρφωση ενός διαχειριστή Facebook page με τις απαιτήσεις νομιμότητας του ΓΚΠΔ σημαίνει τήρηση της αρχής της λογοδοσίας, λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά την έννοια των άρθρων 24-25-32 και συμφωνητικό από κοινού υπευθύνων του άρθρου 26 ΓΚΠΔ. Σύμφωνα με τη γερμανική αρχή, οι απαιτήσεις αυτές πολύ δύσκολα τηρούνται στην πράξη.

[3] Ο λογαριασμός της Ομοσπονδιακής Κυβέρνησης παραμένει μέχρι και σήμερα ενεργός, ενώ η πολιτική προστασίας προσωπικών δεδομένων που έχει αναρτηθεί σε αυτόν αναφέρει πως το Facebook έχει απενεργοποιήσει, κατόπιν αιτήματος του διαχειριστή της, τα στατιστικά της σελίδας, και δεν τον ενημερώνει σχετικά με αυτά, ως εκ τούτου δεν ενεργεί ως από κοινού υπεύθυνος, αλλά ως ανεξάρτητος υπεύθυνος επεξεργασίας. Υπό το πνεύμα αυτό, η σελίδα αποτελεί τον υπεύθυνο επεξεργασίας μόνον εφόσον κάποιος χρήστης σχολιάσει, κοινοποιήσει ή αντιδράσει με οποιονδήποτε τρόπο στα posts που γίνονται, καθώς και αν κάνει like στη σελίδα.

[4] Το ζήτημα των Facebook pages είχε εξεταστεί από τη σύνοδο των γερμανικών αρχών προστασίας δεδομένων DSK σε κείμενο που είχε εκδώσει τον Ιούνιο του 2022. Σύμφωνα με το DSK, οι απαιτήσεις νομιμότητας του ΓΚΠΔ και της Οδηγίας e-Privacy είναι πρακτικά αδύνατον να τηρηθούν από τους διαχειριστές των σελίδων, οι οποίοι θα πρέπει να προχωρήσουν σε κλείσιμο των σελίδων τους, εφόσον αποτελούν δημόσιες αρχές. Η έμφαση στις δημόσιες αρχές δινόταν όχι επειδή οι ιδιώτες δεν αντιμετώπιζαν το ίδιο πρόβλημα, αλλά επειδή οι πρώτες έχουν ιδιαίτερη υποχρέωση να ενεργούν σύμφωνα με τον νόμο. 

[5] Η απόφαση αυτή συμπληρώθηκε ένα χρόνο μετά από την απόφαση στην υπόθεση C-40/17 (Fashion ID), με την οποία αναγνωρίστηκε η από κοινού ευθύνη και στην περίπτωση της ενσωμάτωσης Facebook plugins («Μου αρέσει») σε ιστοσελίδες.

[6] Για παράδειγμα, η νορβηγική Datatilsynet δημοσίευσε τον Σεπτέμβριο του 2021 κείμενο με τίτλο «Η νορβηγική αρχή αποφάσισε να μη χρησιμοποιήσει το Facebook», στο οποίο μάλιστα παρουσίαζε και την πλήρη έκδοση του risk assessment που πραγματοποίησε. Ενδιαφέρον παρουσιάζει το ότι στο κείμενο αυτό, η Datatilsynet μνημονεύει την απόφαση της εποπτικής αρχής της Βάδης-Βυρτεμβέργης να εγκαταλείψει το Twitter (Bye bye #Twitter), τη στιγμή που η ίδια δεν φαίνεται να προβληματίζεται για τον λογαριασμό της στο συγκεκριμένο μέσο.

[7] Στο ζήτημα αυτό είχε αναφερθεί και το DSK, το οποίο είχε παρατηρήσει πως τα προβλήματα των Facebook pages εμφανίζονται και σε άλλα μέσα κοινωνικής δικτύωσης, ωστόσο μόνο η περίπτωση του Facebook είχε κριθεί από το ΔΕΕ.

[8] Από την άλλη πλευρά όμως, δεν μπορεί να μην σκεφθεί κανείς πως από τον ιδιαίτερο αυτό χαρακτήρα του μέσου αυτού πλήττεται ο πρωταρχικός σκοπός ενός λογαριασμού σε ΜΚΔ, που είναι η ενημέρωση του «ευρέος κοινού».  

[9] Για προφανείς λόγους, όλοι αυτοί οι λογαριασμοί έχουν απενεργοποιήσει τα σχόλια.

[10] Λογαριασμό στο Mastodon έχει ανοίξει εσχάτως και η πολωνική UODO, η οποία μάλιστα έχει τοποθετήσει ειδικό υπερσύνδεσμο στην κεντρική της ιστοσελίδα.

[11] Δεν είναι λίγες και οι εποπτικές αρχές που δίνουν τη δυνατότητα ενημέρωσης μέσω RSS feed.

[12] Η ΑΠΔΠΧ δεν χρησιμοποιεί social media, χρησιμοποιεί όμως plugins των X και LinkedIn, προς τον σκοπό της δυνατότητας διαμοιρασμού (share) των σελίδων της στις δύο πλατφόρμες. Η χρήση των προσθέτων αυτών είναι δυνατή μόνον εφόσον ο χρήστης ενεργοποιήσει τη σχετική επιλογή, είτε κατά την αρχική του επίσκεψη στη σελίδα (μέσω του σχετικού banner), είτε μέσω ρύθμισης στην πολιτική για τα cookies ή ακόμη και τη στιγμή που θα επιχειρήσει το share.