Social Media και Προστασία Προσωπικών Δεδομένων στην εποχή του GDPR

Επιμέλεια: Κωνσταντίνα Μαρκομιχάλη - Δικηγόρος | Μιράντα Γκανέτσου - Δικηγόρος | Ζωή Συρμακέζη - Ασκ. Δικηγόρος

Μέσα Κοινωνικής Δικτύωσης και Προστασία Προσωπικών Δεδομένων στην εποχή του GDPR

Μία πρώτη επισκόπηση των ζητημάτων προστασίας δεδομένων στα μέσα κοινωνικής δικτύωσης, με ιδιαίτερη έμφαση στο Facebook.

Ένα ιδιαίτερα ενδιαφέρον αλλά και σύνθετο ζήτημα που θα μας απασχολήσει με την ισχύ του Κανονισμού 679/2016 (γνωστού ευρύτερα ως GDPR), είναι η προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης. Βρισκόμαστε σε μια εποχή που οι περισσότεροι από εμάς έχουν - έστω και μία φορά - χρησιμοποιήσει πλατφόρμες κοινωνικής δικτύωσης, αναρτώντας κάποιο σχολιασμό ή φωτογραφικό υλικό ή γνωστοποιώντας οποιαδήποτε προσωπική τους πληροφορία.

Δεδομένου ότι ο καθένας μπορεί να δημοσιοποιεί, με τη θέλησή του, οποιοδήποτε προσωπικό δεδομένο τον αφορά, ο καθορισμός του πεδίου ευθύνης του υπευθύνου και του εκτελούντος την επεξεργασία, όσον αφορά την προστασία των προσωπικών δεδομένων των χρηστών των κοινωνικών δικτύων, είναι ένα ιδιαίτερα δύσκολο έργο.

Σκοπός του παρόντος άρθρου είναι μία πρώτη προσέγγιση του προστατευτικού πλαισίου που παρέχεται στους χρήστες των μέσων κοινωνικής δικτύωσης, και ιδιαίτερα σε ευπαθείς ομάδες όπως οι ανήλικοι, παρουσιάζοντας ορισμένες βασικές έννοιες και απαντώντας σε κάποια κρίσιμα ερωτήματα.

Βασικές έννοιες προστασίας δεδομένων στα μέσα κοινωνικής δικτύωσης

Τι είναι οι υπηρεσίες κοινωνικής δικτύωσης;

Οι υπηρεσίες κοινωνικής δικτύωσης (social networking services) είναι διαδικτυακές πλατφόρμες επικοινωνίας (βλ. προγενέστερο άρθρο 1 παράγραφος 2 της οδηγίας 98/34/ΕΚ, όπως τροποποιήθηκε από την οδηγία 98/48/ΕΚ) που επιτρέπουν στους χρήστες τους να προσχωρούν σε δίκτυα χρηστών με παρόμοιες ιδέες και οι οποίες κερδίζουν συνεχώς έδαφος, επιδρώντας σημαντικά στις ζωές μας, με αποτέλεσμα να διαθέτουν περισσότερους από ένα δισεκατομμύριο χρήστες. Παραδείγματα τέτοιων υπηρεσιών είναι το facebook, twitter, instagram κ.α. Οι όροι “social media” και “social network” συχνά ταυτίζονται κάτω από τον όρο «κοινωνική δικτύωση». Ωστόσο, υπάρχει μια σημαντική διαφοροποίηση: ο όρος “social media” αναφέρεται στα εργαλεία- μέσα ενημέρωσης κοινωνικής δικτύωσης, ενώ ο όρος “social networking” στη διαδικασία της κοινωνικής δικτύωσης.

Ποια τα κοινά χαρακτηριστικά αυτών;

  • οι χρήστες καλούνται να παρέχουν προσωπικά στοιχεία µε σκοπό τη δημιουργία μιας περιγραφής του εαυτού τους ή ενός «προφίλ»,
  • οι υπηρεσίες κοινωνικής δικτύωσης παρέχουν επίσης εργαλεία τα οποία επιτρέπουν στους χρήστες να δημοσιεύσουν το δικό τους υλικό (περιεχόμενα που δημιουργούν οι χρήστες, όπως µία φωτογραφία ή µία καταχώριση ημερολογίου, μουσική ή βίντεο-κλιπ ή σύνδεσμοι προς άλλους δικτυακούς τόπους),
  • η «κοινωνική δικτύωση» καθίσταται δυνατή χρησιμοποιώντας εργαλεία τα οποία παρέχουν έναν κατάλογο επαφών για κάθε χρήστη και με τα οποία οι χρήστες μπορούν να έρθουν σε επαφή.

Ποιος θεωρείται ο υπεύθυνος επεξεργασίας των δεδομένων;

Οι πάροχοι υπηρεσιών κοινωνικής δικτύωσης είναι, κατ’ αρχήν, οι υπεύθυνοι για την επεξεργασία των δεδομένων των χρηστών. Καθορίζουν το σκοπό της επεξεργασίας των δεδομένων των χρηστών της, ενώ παρέχουν τα μέσα για την επεξεργασία αυτή, καθώς και όλες τις «βασικές» λειτουργίας που αφορούν στη διαχείριση του χρήστη (π.χ. δημιουργία και διαγραφή λογαριασμών). Σύμφωνα με πρόσφατη απόφαση του Δικαστηρίου της ΕΕ, η οποία αναλύεται παρακάτω, υπεύθυνος επεξεργασίας μπορεί να θεωρηθεί και ο διαχειριστής fanpage σε υπηρεσία κοινωνικής δικτύωσης.

Ως υπεύθυνοι επεξεργασίας, οι πάροχοι θα πρέπει:

  • να παρέχουν επαρκείς προειδοποιήσεις στους χρήστες σχετικά µε τους κινδύνους για την ιδιωτική ζωή των ιδίων και των άλλων, όταν μεταφορτώνουν πληροφορίες µέσω της υπηρεσίας κοινωνικής δικτύωσης,
  • να υπενθυμίζουν στους χρήστες των υπηρεσιών κοινωνικής δικτύωσης ότι το ανέβασμα πληροφοριών για άλλα άτομα ενδέχεται να είναι κατά παράβαση των δικαιωμάτων τους στην ιδιωτική ζωή και στην προστασία των δεδομένων,
  • να συμβουλεύουν τους χρήστες να µην ανεβάζουν ανεβάσουν φωτογραφίες ή πληροφορίες για άλλα άτομα χωρίς τη συγκατάθεση των εν λόγω ατόμων.

Ποιος θεωρείται πάροχος εφαρµογών και ποιος είναι ο χρήστης;

Οι πάροχοι εφαρμογών εντός των υπηρεσιών κοινωνικής δικτύωσης μπορούν να είναι και υπεύθυνοι επεξεργασίας δεδομένων, αν αναπτύσσουν εφαρμογές που λειτουργούν επιπλέον εκείνων του παρόχου των υπηρεσιών κοινωνικής δικτύωσης και τις οποίες ο χρήστης αποφασίζει να χρησιμοποιήσει.

Στις περισσότερες περιπτώσεις, θεωρείται ότι οι χρήστες είναι υποκείμενα των δεδομένων. Όπως θα αναλύσουμε και κατωτέρω, ο GDPR δεν επιβάλλει τις υποχρεώσεις ενός υπεύθυνου επεξεργασίας δεδομένων σε ένα άτομο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα «στο πλαίσιο καθαρά προσωπικής ή οικιακής χρήσης» – της αποκαλούμενης «εξαίρεσης από τις υποχρεώσεις λόγω οικιακής χρήσης». Σε κάποιες περιπτώσεις, οι δραστηριότητες του χρήστη μιας υπηρεσίας κοινωνικής δικτύωσης μπορεί να µην εμπίπτουν στην εξαίρεση λόγω οικιακής χρήσης και ο χρήστης ενδέχεται να θεωρηθεί ότι “επωµίζεται” κάποιες από τις ευθύνες ενός υπεύθυνου επεξεργασίας δεδομένων.

Στο σημείο αυτό θα πρέπει να επισημανθεί ότι προφανώς ο υπεύθυνος επεξεργασίας και ο πάροχος εφαρμογών θα πρέπει να συμμορφωθούν με τον - ισχύοντα από 25 Μαΐου - Κανονισμό Προστασίας των Δεδομένων. Ωστόσο, εξίσου σημαντικό είναι οι χρήστες να είναι ιδιαίτερα προσεκτικοί στο ποια δεδομένα αναρτούν σε όλες τις πλατφόρμες κοινωνικής δικτύωσης αλλά και στην παροχή συγκατάθεσης για την επεξεργασία ή αποθήκευση αυτών. Το νέο νομοθετικό πλαίσιο θέτει αυστηρότερους κανόνες σχετικά με τη συγκατάθεση του χρήστη, η οποία αποτελεί μία από τις βασικές προϋποθέσεις για την επεξεργασία δεδομένων στο πλαίσιο υπηρεσιών κοινωνικής δικτύωσης. Ως εκ τούτου, όλες οι πλατφόρμες κοινωνικής δικτύωσης θα πρέπει να θέσουν στο χρήστη συγκεκριμένες ερωτήσεις οι οποίες να αφορούν στην οποιαδήποτε επεξεργασία δεδομένων του προτίθενται να πραγματοποιήσουν. Ο ρόλος του χρήστη γίνεται πλέον πιο ενεργός, αποκτώντας το δικαίωμα να μη δέχεται παθητικά τις ρυθμίσεις που του «επέβαλλε» μέχρι πρότινος η εκάστοτε εφαρμογή, αλλά να μπορεί να ελέγξει – έως ένα βαθμό – ο ίδιος την έκταση της επεξεργασίας των δεδομένων του. Για να ισχύσει βέβαια αυτό θα πρέπει απλώς να διαβάσει προσεκτικά τις ερωτήσεις που του τίθενται από τις πλατφόρμες κοινωνικής δικτύωσης τις οποίες χρησιμοποιεί, αλλά και τις πολιτικές προστασίας δεδομένων, πριν δηλώσει ρητώς ότι συμφωνεί.

Στο σημείο αυτό θα πρέπει να επισημανθεί ότι προφανώς ο υπεύθυνος επεξεργασίας και ο πάροχος εφαρμογών προφανώς και θα πρέπει να συμμορφωθούν με τον ισχύοντα από 25 Μαΐου Κανονισμό Προστασίας των Δεδομένων, όμως εξίσου σημαντικό είναι οι χρήστες να είναι ιδιαίτερα προσεκτικοί στα δεδομένα που αναρτούν στις πλατφόρμες κοινωνικής δικτύωσης αλλά και στο ότι έχουν δώσει νόμιμα τη συγκατάθεσή τους για οποιαδήποτε επεξεργασία τους. Πλέον, με το αυστηρότερο νομοθετικό πλαίσιο του νέου κανονισμού η συμφωνία- συγκατάθεση του χρήστη θεωρείται σε πολλές περιπτώσεις ως βασική προϋπόθεση για την επεξεργασία δεδομένων, ιδιαίτερα όταν ανήκουν σε ειδικές κατηγορίες (π.χ. βιομετρικά). Ως εκ τούτου όλες οι πλατφόρμες κοινωνικής δικτύωσης, θα πρέπει να θέσουν στο χρήστη συγκεκριμένες ερωτήσεις οι οποίες να αφορούν την οποιαδήποτε επεξεργασία δεδομένων του προτίθενται να πραγματοποιήσουν. Συνεπώς, ο ρόλος του χρήστη γίνεται πλέον πιο ενεργός, αποκτώντας τη δυνατότητα να μη δέχεται παθητικά τις ρυθμίσεις που του «επέβαλε» μέχρι πρότινος η εκάστοτε εφαρμογή, αλλά να ελέγξει και αυτός την έκταση της επεξεργασίας των δεδομένων του. Για να είναι κάτι τέτοιο εφιτκό, θα πρέπει κατ' αρχήν να διαβάσει πολύ προσεκτικά τις ερωτήσεις αλλά και τις πολιτικές της κάθε πλατφόρμας.

Επίσης, προτού ο χρήστης παρέχει την συγκατάθεσή του, θα πρέπει να του έχουν δοθεί ορισμένες βασικές πληροφορίες, όπως:

  • πληροφορίες σχετικά με τον πάροχο που θα επεξεργαστεί τα δεδομένα, μεταξύ άλλων τα στοιχεία επικοινωνίας του, καθώς και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων (ΥΠΔ), εάν υπάρχει.
  • ο λόγος για τον οποίο ο πάροχος θα χρησιμοποιήσει τα προσωπικά δεδομένα
  • το διάστημα για το οποίο πρόκειται να διατηρηθούν τα προσωπικά δεδομένα
  • τα στοιχεία κάθε άλλου παρόχου/φορέα που θα λάβει τα δεδομένα
  • πληροφορίες σχετικά με τα δικαιώματά του χρήστη για προστασία των δεδομένων του (πρόσβαση, διόρθωση, διαγραφή, καταγγελία, ανάκληση της συγκατάθεσης)

Να σημειωθεί ότι όλα αυτά τα στοιχεία πρέπει να παρέχονται με σαφή και κατανοητό τρόπο.

Μέσα Κοινωνικής Δικτύωσης και Διαφήμιση

Οι πάροχοι υπηρεσιών κοινωνικής δικτύωσης καθορίζουν τη χρήση των δεδομένων του χρήστη για σκοπούς διαφήμισης και εμπορικής προώθησης – συµπεριλαμβανοµένης της διαφήμισης που παρέχεται από τρίτους. Συγκεκριμένα, επιτυγχάνουν μεγάλο μέρος των εσόδων τους µέσω διαφήµισης, η οποία παρέχεται παράλληλα µε τις ιστοσελίδες που δημιουργούν ή/και χρησιμοποιούν οι χρήστες. Οι χρήστες που δημοσιεύουν στο προφίλ τους πολλές πληροφορίες για τα ενδιαφέροντά τους αποτελούν µια εξειδικευμένη αγορά για τους διαφηµιστές, οι οποίοι επιθυμούν να τους παρέχουν στοχοθετηµένες διαφηµίσεις βάσει των πληροφοριών αυτών. Επομένως, είναι σημαντικό οι υπηρεσίες κοινωνικής δικτύωσης να λειτουργούν κατά τρόπο που εξασφαλίζει το σεβασμό των δικαιωμάτων και των ελευθεριών των χρηστών, οι οποίοι δικαιούνται να προσδοκούν ότι τα δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν υφίστανται επεξεργασία σύμφωνα µε το ευρωπαϊκό και το εθνικό νομοθετικό πλαίσιο για την προστασίας της ιδιωτικής ζωής και των προσωπικών δεδομένων.

Eίναι επίσης σημαντικό να τονιστεί ότι το ζήτημα της προστασίας των προσωπικών δεδομένων κατά τη διαδικτυακή διαφήμιση με ανάλυση συμπεριφοράς απασχόλησε την Ομάδα Εργασίας του άρθρου 29, η οποία εξέδωσε σχετικά τη Γνώμη 2/2010. Συγκεκριμένα, η Γνώμη εστιάζει ιδίως στη νομιμότητα της εγκατάστασης «cookies» για τη δημιουργία προφίλ, η οποία, σύμφωνα με την τροποποιημένη Οδηγία 2002/58/ΕΚ, προϋποθέτει την προηγούμενη συγκατάθεση των χρηστών. H χρήση cookies είναι ιδιαίτερα διευρυμένη και στα μέσα κοινωνικής δικτύωσης. Γίνεται λοιπόν σαφές ότι αν κάποιος χρήστης εκφράσει την προτίμηση του σε κάποιο προϊόν ή υπηρεσία, όπως για παράδειγμα πατώντας το κουμπί like στο facebook ή κάποιο αντίστοιχο στις λοιπές πλατφόρμες, κατευθείαν θα αρχίσουν να του εμφανίζονται ειδοποιήσεις για παρεμφερή προϊόντα.

Η διαφοροποίηση με τον νέο Κανονισμό είναι ότι ο χρήστης έχει πλέον ακόμα πιο ενισχυμένο δικαίωμα να απαγορεύσει ανά πάσα στιγμή αυτές τις πρακτικές και ο πάροχος οφείλει να διακόψει αμέσως τη χρήση των δεδομένων του. Σε κάθε περίπτωση, πρέπει πάντοτε ο χρήστης να ενημερώνεται σχετικά με το δικαίωμά του και να απαγορεύει τη χρησιμοποίηση των προσωπικών του δεδομένων την πρώτη φορά που ο πάροχος θα του θέσει τη σχετική ερώτηση.

Facebook: Τα προσωπικά δεδομένα που επεξεργάζεται, οι εφαρμογές και τα εργαλεία

Το παρελθόν και το μέλλον του Facebook στη νέα εποχή Προστασίας Δεδομένων

Το Facebook αποτελεί μια διαδικτυακή πλατφόρμα που λειτουργεί επί τη βάσει της μαζικής επεξεργασίας προσωπικών δεδομένων των χρηστών του. Στις περισσότερες περιπτώσεις είναι αρκετά εμφανές στον χρήστη ποια από τα δεδομένα, τα οποία έχει παράσχει, βρίσκονται πράγματι υπό την διαχείριση του Facebook και ποια όχι. Υπάρχουν όμως και περιπτώσεις που, λόγω και του σχετικού τεχνολογικού υπόβαθρου των εφαρμογών και εργαλείων του κοινωνικού δικτύου, δεν είναι αρκετά ξεκάθαρο ποια δεδομένα παρέχει ο χρήστης στο Facebook προς επεξεργασία. Παρακάτω επιχειρείται μια επιγραμματική αναφορά στα προσωπικά δεδομένα που διαχειρίζεται το Facebook καθώς και μία βασική επεξήγηση της λειτουργίας των σχετικών εφαρμογών και εργαλείων της πλατφόρμας.

Περιεχόμενο και σχετικά δεδομένα (metadata)

To Facebook συλλέγει πληροφορίες από το περιεχόμενο το οποίο ένας χρήστης ανεβάζει καθώς και από την όλη δραστηριότητά του στην πλατφόρμα. Αυτό σημαίνει ότι πέρα από τις πληροφορίες που συνοδεύουν μια ανάρτηση (metadata – τοποθεσία, ημερομηνία, είδος ανάρτησης, διάρκεια και συχνότητα τέτοιων αναρτήσεων) η πλατφόρμα συλλέγει και περιφερειακές πληροφορίες. Για παράδειγμα, μπορεί να συλλέξει στοιχεία από το περιεχόμενο της ανάρτησης καθώς και από αναρτήσεις που άλλοι χρήστες κάνουν και αφορούν τον ίδιο χρήστη (π.χ. ανάρτηση στον τοίχο του, σχόλια, αποστολή προσωπικού μηνύματος, tag σε φωτογραφία ή άλλη ανάρτηση). Η η συχνότητα με την οποία συνομιλεί ένας χρήστης με κάποιον άλλο στο Facebook επίσης αποτελεί στοιχείο το οποίο η πλατφόρμα συλλέγει, όπως και η συχνότητα με την οποία επισκέπτεται κάποια σελίδα ή το προφίλ άλλου χρήστη.

Μεγάλο κομμάτι των πληροφοριών που το Facebook συλλέγει αποτελούν επίσης οι σελίδες τις οποίες ο κάθε χρήστης ακολουθεί ή κάνει like. Βάσει των ενδιαφερόντων που εκδηλώνει κάθε χρήστης στο Facebook, η πλατφόρμα προτείνει φίλους και άλλες σελίδες ή group που σχετίζονται άμεσα με την συγκεκριμένη δραστηριότητά του (π.χ. προτείνει φίλους από τα μέλη της σελίδας ή του group, προτείνει άλλες σελίδες στις οποίες τα μέλη έχουν εγγραφεί κλπ). Τα στοιχεία αυτά μπορούν να χρησιμοποιήσουν διαφημιστές και διαχειριστές σελίδων που χρησιμοποιούν τα σχετικά social plug ins που παρέχει η πλατφόρμα, κάτι στο οποίο αναφερόμαστε και παρακάτω.

Επιπλέον, για όσους χρήστες χρησιμοποιούν την επιλογή που τους δίνει η κινητή τους συσκευή (tablet, smartphone) ή το e-mail τους να συγχρονίζουν τις επαφές τους με τον λογαριασμό τους στο Facebook, είναι επίσης πιθανό το Facebook να χρησιμοποιήσει τον αριθμό τηλεφώνου για να εντοπίσει το προφίλ ενός χρήστη με τον οποίο ένας άλλος χρήστης μόλις συνομίλησε τηλεφωνικά για να τον προτείνει ως φίλο στο κοινωνικό δίκτυο.

Υπηρεσίες του Facebook σε τρίτα site (social plug ins and other Services)

Εκτός από τις πληροφορίες που με την απόλυτη και κατανοητή συγκατάθεσή μας παρέχουμε στην πλατφόρμα κοινωνικής δικτύωσης, υπάρχουν και πολλοί άλλοι τρόποι μέσω των οποίων το Facebook έχει πρόσβαση σε πληροφορίες που μας αφορούν και στις οποίες έχουμε συναινέσει αποδεχόμενοι τους όρους χρήσης και ιδιωτικότητας του κοινωνικού δικτύου. Μία από αυτές είναι το like button ή το share button (social plug-in) που βρίσκεται σε πολλά website ή e-commerce ιστοτόπους. Με αυτά τα εργαλεία (ή υπηρεσίες όπως τις ονομάζει η πλατφόρμα) και ανεξάρτητα από το αν ο χρήστης που επισκέπτεται το εκάστοτε website κάνει κλικ στο σχετικό εικονίδιο, το website συλλέγει πληροφορίες σχετικά με την περιήγησή του.

Ανάλογα με το αν ο χρήστης είναι συνδεδεμένος στο Facebook ή όχι κατά την ώρα που πραγματοποιεί μια αναζήτηση στο σχετικό website, ο browser (περιηγητής) του θα συλλέξει περισσότερες ή λιγότερες πληροφορίες από την επίσκεψή του. Όπως αναφέρεται και στους όρους χρήσης, το Facebook συλλέγει τον μοναδικό κωδικό χρήστη (user ID), την πληροφορία ότι πραγματοποιήθηκε πράγματι η επίσκεψη σε αυτό το website, την ώρα και ημερομηνία της επίσκεψης καθώς και πληροφορίες που αφορούν την περιήγηση, οι οποίες συλλέγονται όλες μέσω cookies. Εάν ένα website επιτρέπει την εγγραφή και είσοδο μέσω λογαριασμού Facebook και ο χρήστης κάνει χρήση της επιλογής αυτή, τότε το Facebook συλλέγει επίσης τις σχετικές πληροφορίες για τις οποίες ειδοποιεί τον χρήστη με σχετικό αναδυόμενο μήνυμα. Σημειωτέον πως αν ο χρήστης είναι συνδεδεμένος στο website και χρησιμοποιήσει τα σχετικά εργαλεία για να σχολιάσει μέσω του λογαριασμού του ή για να πατήσει «Μου αρέσει» σε κάποιο άρθρο ή προϊόν, το Facebook αυτόματα συλλέγει πληροφορίες για αυτή την δραστηριότητα.

Αυτή την περίοδο βρίσκεται υπό κρίση μια σχετική υπόθεση (C-40/17, Fashion ID) που αναμένεται να φωτίσει ένα ακόμα σκοτεινό σημείο σχετικά με την τοποθέτηση σε websites κομματιού κώδικα που προέρχεται από τρίτο μέρος (εν προκειμένω αφορά την ενσωμάτωση του like button του Facebook, αλλά η περίπτωση θα μπορούσε να αναφέρεται και στο retweet του Twitter ή plugins άλλων social media) μέσω του οποίου το Facebook συλλέγει δεδομένα των χρηστών που επισκέπτονται το site ανεξάρτητα από το αν διαθέτουν λογαριασμό στο κοινωνικό δίκτυο, αξιοποιώντας τα για στοχευμένη διαφήμιση.

Διαφημίσεις και Εφαρμογές

Οι διαφημίσεις στο Facebook λειτουργούν με έναν αρκετά απλό τρόπο, όπως έχει περιγραφεί και ανωτέρω, κάτι το οποίο τις καθιστά ιδιαίτερα ελκυστικές σε διαφορετικών ειδών διαφημιστές που επιθυμούν να προωθήσουν τα προϊόντα ή τις υπηρεσίες τους. Κάνοντας χρήση των εργαλείων αυτών, ο διαφημιστής μπορεί να εξειδικεύσει ή να επεκτείνει το κοινό του ανάλογα με τους στόχους του και το ποσό το οποίο επιθυμεί να διαθέσει. Τις πληροφορίες για τα ενδιαφέροντα του χρήστη το Facebook εντοπίζει από το σχετικό πεδίο ενδιαφέροντα, από τα group στα οποία ανήκει και από τις σελίδες τις οποίες ακολουθεί.

Tο ίδιο συμβαίνει και όταν ένας χρήστης πραγματοποιεί μια αναζήτηση σε κάποιο άλλο site και μετά συνδέεται στο Facebook με τον λογαριασμό του. Αν το website χρησιμοποιεί τα σχετικά εργαλεία, το Facebook θα λάβει πληροφορίες σχετικά με τις προτιμήσεις του χρήστη χρησιμοποιώντας την τεχνολογία των cookies και θα διαφημίσει σχετικό περιεχόμενο στον χρήστη. Αν για παράδειγμα ο χρήστης αναζητά κατάλυμα μέσω μιας σχετικής ιστοσελίδας εύρεσης καταλυμάτων και η συγκεκριμένη ιστοσελίδα χρησιμοποιεί τα σχετικά εργαλεία Facebook targeted ads, τότε στην αρχική σελίδα του χρήστη θα εμφανιστεί διαφήμιση σχετικά με τις προηγούμενες αναζητήσεις του χρήστη στον οικείο ιστότοπο. Μια ακόμα πηγή συλλογής των ενδιαφερόντων των χρηστών αποτελούν και τα website που ένας χρήστης επισκέπτεται ή αυτά στα οποία έχει εγγραφεί, όπως και οι εφαρμογές με τις οποίες αλληλεπιδρά στο δίκτυο, όπως πχ τα παιχνίδια.

Facebook Insights και μη ταυτοποιήσιμα δεδομένα

Με το εργαλείο αυτό του Facebook παρέχεται η δυνατότητα σε διαχειριστές σελίδων στο Facebook να συλλέγουν ανώνυμες πληροφορίες για τα χαρακτηριστικά και τις συνήθειες των προσώπων που επισκέφθηκαν τις fanpages, παρέχοντας τη δυνατότητα στους διαχειριστές των οικείων σελίδων να στοχοθετούν καλύτερα την επικοινωνία τους. Για την κατάρτιση στατιστικών επισκεψιμότητας, το Facebook αποθηκεύει στον σκληρό δίσκο του προσώπου που επισκέφθηκε τη fanpage cookies με μοναδικό αριθμό αναγνωρίσεως, το οποίο είναι ενεργό επί δύο έτη. Τα δεδομένα αυτά χρησιμοποιούν οι Οργανισμοί και ιδιώτες που διαφημίζονται στο Facebook για να προσεγγίζουν το κοινό τους με πιο στοχευμένες διαφημίσεις και σχετικό περιεχόμενο. Με την χρήση των εργαλείων αυτών, ο διαχειριστής της σελίδας δεν μπορεί να γνωρίζει ποιος συγκεκριμένος χρήστης προέβη σε συγκεκριμένη δραστηριότητα, η πληροφορία όμως χρησιμοποιείται για να του απευθυνθούν νέες διαφημίσεις.

Με τον νέο Κανονισμό και τους περιορισμούς που επιβάλει στην χρήση εργαλείων με σκοπό την κατάρτιση προφίλ και στην παρακολούθηση της συμπεριφοράς των χρηστών, τα δεδομένα που μπορούν να συλλέγουν οι διαχειριστές θα αλλάξουν δραματικά. Σίγουρα, φυσικά, θα απαιτείται η σαφής ενημέρωση και πλήρης συγκατάθεση του χρήστη για παραχώρηση των δεδομένων του για τέτοιους σκοπούς.

Σε μία πολύ σημαντική εξέλιξη, πριν λίγες μόλις εβδομάδες, το Δικαστήριο της Ευρωπαϊκής Ένωσης έκρινε ότι ο διαχειριστής σελίδας (fan page) στο Facebook είναι υπεύθυνος από κοινού με το Facebook για την επεξεργασία των δεδομένων των επισκεπτών της σελίδας του.

Σύμφωνα με το ΔΕΕ ο διαχειριστής της σελίδας μπορεί να ζητήσει να λάβει (σε ανωνυμοποιημένη μορφή) —και άρα να ζητήσει να τύχουν επεξεργασίας— δημογραφικά δεδομένα που αφορούν το κοινό-στόχο (ιδίως δεδομένα σχετικά με τα κυρίαρχα χαρακτηριστικά του από απόψεως ηλικίας, φύλου, προσωπικής και επαγγελματικής κατάστασης), πληροφορίες σχετικά με τον τρόπο ζωής και τα ενδιαφέροντα του κοινού-στόχου (συμπεριλαμβανομένων των πληροφοριών σχετικά με τις αγορές και την αγοραστική συμπεριφορά στο διαδίκτυο των επισκεπτών της σελίδας του καθώς και με τις κατηγορίες προϊόντων ή υπηρεσιών που τους ενδιαφέρουν περισσότερο), καθώς και γεωγραφικά δεδομένα που παρέχουν στον διαχειριστή της σελίδας τη δυνατότητα να αποφασίζει πού θα πραγματοποιήσει ειδικές προσφορές ή πού θα διοργανώσει εκδηλώσεις και, γενικότερα, να κατευθύνει αποτελεσματικότερα τις προτεινόμενες από αυτόν πληροφορίες.

Παρά το γεγονός ότι η απόφαση αφορά στο προηγούμενο νομοθετικό καθεστώς (Οδηγία 95/46/ΕΚ), είναι βέβαιο ότι θα έχει σημαντικές επιπτώσεις στον τρόπο λειτουργίας (τεχνικό και οργανωτικό) του Facebook αλλά και των επιχειρήσεων που δραστηριοποιούνται στη διαχείριση μέσω κοινωνικής δικτύωσης.

Ζητήματα δικαιοδοσίας στις αξιώσεις κατά του Facebook

Ποια δικαστήρια έχουν δικαιοδοσία όταν ένας χρήστης του Facebook στρέφεται εναντίον του Οργανισμού για ζητήματα προστασίας προσωπικών δεδομένων και πώς μπορεί να ασκήσει τις σχετικές αξιώσεις του;

To Facebook έχει την νόμιμη έδρα του στην πολιτεία της California στις ΗΠΑ, την δικαιοδοσία των δικαστηρίων της οποίας θέτει στους όρους χρήσης της υπηρεσίας ως υποχρεωτική για τους χρήστες του που επιθυμούν να το ενάγουν. Η εταιρία ωστόσο έχει γραφεία κεντρικής διοίκησης και στην Ιρλανδία, όπου βρίσκονται και servers που τηρούν προσωπικά δεδομένα των χρηστών του, προερχόμενα κυρίως από την ΕΕ. Η κίνηση όμως αυτή συνεπάγεται ότι οι χρήστες του Facebook στην Ευρώπη συμβάλλονται με την εταιρία που εδρεύει στην Ιρλανδία (Facebook Ireland Ltd) και όχι με την Αμερικάνικη εταιρία (Facebook, Inc)∙ τα δεδομένα τους δε, συλλέγονται σε πρώτο στάδιο στην Ιρλανδία, κάτι το οποίο καθιστά αρμόδια εποπτική Αρχή την Ιρλανδική Αρχή Προστασίας Δεδομένων (Irish Data Protection Commissioner).

Για τους Ευρωπαίους πολίτες, λοιπόν, οι οποίοι επιθυμούν να ενάγουν το Facebook ως χρήστες, ζητήματα που αφορούν το Facebook μπορούν να αχθούν ενώπιον της Ιρλανδικής Αρχής Προστασίας (Επίτροπος Προστασίας Δεδομένων, Data Protection Commissioner, Ireland) κατά την διαδικασία που προβλέπει το ιρλανδικό δίκαιο.

Σύμφωνα όμως με το δίκαιο της ΕΕ και δη τους Κανόνες περί Ιδιωτικού Διεθνούς Δικαίου(1), ένας καταναλωτής μπορεί να ενάγει έναν επιχειρηματία στην δική του χώρα κατοικίας ή συνήθους διαμονής, αποφεύγοντας δηλαδή την αρχή της δωσιδικίας της κατοικίας του εναγόμενου. Αυτό μάλιστα ειπώθηκε και από το Δικαστήριο της Ευρωπαϊκής Ένωσης στις 25/1/2018 το οποίο απάντησε σε προδικαστικό ερώτημα του Ανώτατου αυστριακού δικαστηρίου όπου κατατέθηκε η συλλογική αγωγή στην υπόθεση Maximillian Schrems V. Facebook Ireland Limited, κάτι για το οποίο γίνεται αναφορά και παρακάτω.

Η Οδηγία 95/46/ΕΚ, σε αντίθεση με τον Κανονισμό 2016/679, εκφράζει τη βούληση των κρατών μελών να διατηρήσουν την εθνική εκτελεστική τους αρμοδιότητα και καθιστά με τον τρόπο αυτό εφικτή τη σώρευση εφαρμοστέων εθνικών νομοθεσιών, σε περίπτωση ύπαρξης περισσότερων εγκαταστάσεων ενός υπευθύνου επεξεργασίας εντός της Ένωσης.

Με πρόσφατη κρίση επί διαφοράς που ανέκυψε στην Γερμανία (a href="https://eulawanalysis.blogspot.com/2018/07/facebook-fan-pages-and-eu-data.html">C-210/16 - Wirtschaftsakademie Schleswig-Holstein) το Δικαστήριο της ΕΕ επιβεβαίωσε αυτό που τονίζει με έμφαση ο νέος Κανονισμός: ότι οι Αρχές Προστασίας Προσωπικών Δεδομένων διατηρούν την αρμοδιότητά τους, εφόσον μια επεξεργασία προσωπικών δεδομένων λαμβάνει χώρα και στην επικράτεια του δικού τους κράτους-μέλους. Η υπόθεση πραγματεύτηκε την θέση του διαχειριστή fanpage στο Facebook, ο οποίος χρησιμοποιεί το εργαλείο Facebook Insights για να συλλέξει ανώνυμα δεδομένα των επισκεπτών της ιστοσελίδας. Μέτρα τα οποία έχουν ληφθεί κατά άλλου συν-υπευθύνου προστασίας ή έχει κριθεί ότι δεν πρέπει να ληφθούν σύμφωνα με την κρίση μιας Αρχής Προστασίας δεν αναιρούν την δυνατότητα μιας άλλης Αρχής να επιβάλει επίσης κυρώσεις/μέτρα σε συνυπεύθυνο επεξεργασίας, όταν υπάγεται στην δικαιοδοσία της μια επεξεργασία του. Εν προκειμένω, μάλιστα, κρίθηκε πως με τον τρόπο που λειτουργεί το Facebook, η διαχείριση της σελίδας στο κοινωνικό δίκτυο συνεπάγεται την συλλογή δεδομένων ακόμα και μη εγγεγραμμένων χρηστών του Facebook (έστω ανωνυμοποιημένα), στους οποίους γίνεται κατόπιν στοχευμένη διαφήμιση και από τρίτους μέσω λοιπών εργαλείων του Facebook, κάτι που καθιστά ακόμα πιο αναγκαία την προστασία των προσώπων αυτών από την επεξεργασία των δεδομένων τους στην χώρα τους χωρίς την συγκατάθεσή τους.

Στο νέο καθεστώς που δημιουργείται με τον ΓΚΠΔ οι Οργανισμοί που επιδίδονται σε «διασυνοριακή επεξεργασία» προσωπικών δεδομένων, όπως χαρακτηριστικά κάνει το Facebook, θα υπόκεινται στο καθεστώς της μίας στάσης (One-stop-shop – OSS). Αυτό σημαίνει πως σε περίπτωση υποβολής καταγγελίας από υποκείμενο δεδομένων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του ή σε περίπτωση που ο Οργανισμός χρειάζεται να ενημερώσει σχετικά με μια παραβίαση, θα ορίζεται μια επικεφαλής αρχή, η οποία θα έχει την πρωταρχική ευθύνη για τη διαχείριση των δραστηριοτήτων διασυνοριακής επεξεργασίας. Η επικεφαλής εποπτική αρχή θα συντονίζει το σύνολο των ερευνών, στις οποίες συμμετέχουν άλλες «ενδιαφερόμενες» εποπτικές αρχές. Ο προσδιορισμός της επικεφαλής εποπτικής αρχής εξαρτάται από τον προσδιορισμό του τόπου της «κύριας εγκατάστασης» ή της «μόνης εγκατάστασης» του υπευθύνου επεξεργασίας στην ΕΕ (βλέπε Κατευθυντήριες γραμμές Ομάδας Εργασίας Άρθρου 29 για τον προσδιορισμό της επικεφαλής εποπτικής αρχής των υπευθύνων επεξεργασίας ή των εκτελούντων την επεξεργασία.

Για το Facebook αυτό σημαίνει πως υπό το νέο καθεστώς προστασίας προσωπικών δεδομένων στην ΕΕ θα μπορεί να επωφελείται από την υπηρεσία μιας στάσης, υποχρεούμενο να απευθύνεται στον Επίτροπο Προστασίας Δεδομένων στην Ιρλανδία (όπου έχει την κύρια εγκατάστασή του εντός ΕΕ) για ειδοποίηση περί παραβίασης προσωπικών δεδομένων, λόγου χάρη, ενώ σε περιπτώσεις που αφορούν πολίτες άλλων ευρωπαϊκών χωρών, η Αρχή Προστασίας του οικείου κράτους θα αποτελεί «ενδιαφερόμενη Αρχή» με την οποία η επικεφαλής Αρχή θα συνεργάζεται για την αντιμετώπιση του θέματος, υπό την καθοδήγηση της επικεφαλής. Ζητήματα αρμοδιότητας μεταξύ των Αρχών θα επιλύονται από το Συμβούλιο Προστασίας Προσωπικών Δεδομένων που δημιουργείται στην ΕΕ με τον Νέο Κανονισμό (και θα αντικαταστήσει την Ομάδα Εργασίας του άρθρου 29 που δημιουργήθηκε με την Οδηγία 95/46/ΕΚ).

(1) Σύμβαση «Βρυξέλλες Ι» άρθρο 18 παρ. 1: Αγωγή του καταναλωτή κατά του αντισυμβαλλομένου ασκείται είτε ενώπιον των δικαστηρίων του κράτους μέλους στο έδαφος του οποίου έχει την κατοικία του ο αντισυμβαλλόμενος είτε, χωρίς να λαμβάνεται υπόψη η κατοικία του αντισυμβαλλομένου, ενώπιον των δικαστηρίων του τόπου κατοικίας του καταναλωτή.

Η υπόθεση Schrems και η διαβίβαση δεδομένων στις ΗΠΑ

Τι συνέβη στην πολυσυζητημένη υπόθεση Schrems V. Data Protection Commissioner και πώς επηρεάστηκε το καθεστώς των δεδομένων των χρηστών του Facebook αλλά και όλων των διασυνοριακών ροών δεδομένων μεταξύ Ευρώπης και ΗΠΑ;

O Αυστριακός δικηγόρος Maximilian Schrems αποτελεί σήμερα έναν από τους πιο δραστήριους ακτιβιστές στον χώρο των προσωπικών δεδομένων, λόγω της εμπλοκής του σε πολυετή δικαστική διαμάχη με την πλατφόρμα κοινωνικής δικτύωσης Facebook. Ο Schrems χρησιμοποιώντας μια δυνατότητα του Facebook για να λάβει όλα τα δεδομένα που το Facebook διατηρούσε για αυτόν παρέλαβε ένα CD που περιλάμβανε περί τις 1,200 σελίδες δεδομένα, μερικά από τα οποία μάλιστα αποτελούσαν διαγραμμένες δραστηριότητές του. Πολλά μάλιστα από τα δεδομένα του διατηρούνταν σε servers στις ΗΠΑ.

Ο μεγαλύτερος αντίκτυπος που προήλθε από την υπόθεση Schrems ήταν η κατάργηση της συμφωνίας Safe Harbor (που ίσχυε από το 2000) η οποία είχε υπογραφεί μεταξύ ΗΠΑ και ΕΕ και η οποία αποτελούσε την εγγύηση βάσει της οποίας επιτρεπόταν σε εταιρίες και οργανισμούς η διασυνοριακή ροή δεδομένων (Άρθρο 4, περ΄.24 ΓΚΠΔ) για εμπορικούς σκοπούς μεταξύ των κρατών της ΕΕ και των ΗΠΑ. Με την συμφωνία αυτή οι ΗΠΑ είχαν προσπαθήσει να ανταποκριθούν στα υψηλότερα μέτρα προστασίας που προέβλεπε και προβλέπει για τα προσωπικά δεδομένα των πολιτών της η Ευρωπαϊκή Ένωση.

Η αποκάλυψη όμως τον Ιούνιο του 2013 ότι η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (National Security Agency, NSA) παρακολουθούσε τους πολίτες των ΗΠΑ, για συμμετοχή στις οποίες ενέργειες παρακολούθησης κατηγορήθηκαν και διάφορες εταιρίες Τηλεπικοινωνιών και Πάροχοι Ίντερνετ, οδήγησε σε εξονυχιστικούς ελέγχους της εν λόγω συμφωνίας καθώς και άλλων που διέπαν την μεταφορά δεδομένων μεταξύ ΕΕ και ΗΠΑ για εμπορικούς σκοπούς. Η συμφωνία Safe Harbor κρίθηκε άκυρη κατά την εκδίκαση της υπόθεσης Maximillian Schrems v. Digital Rights Ireland Ltd (Case C-362/14), οδηγώντας στην δημιουργία μιας νέας συνεννόησης μεταξύ ΕΕ και ΗΠΑ για την μεταφορά δεδομένων από τους server Αμερικάνικων εταιριών που βρίσκονται στην ΕΕ σε άλλους εγκατεστημένους στις ΗΠΑ, η οποία καλείται Privacy Shield.

Προσωπικά προφίλ, pages και το πλαίσιο της "οικιακής χρήσης"

Ποια δεδομένα που αναρτά ή συλλέγει κάποιος χρήστης του facebook μέσω του προσωπικού του προφίλ ή της σελίδας που διαχειρίζεται αποτελούν επεξεργασία που εκφεύγει της οικιακής χρήσης;

Η Αρχή Προστασία Δεδομένων Προσωπικού Χαρακτήρα έχει προσδιορίσει με σχετικές αποφάσεις της (βλ 17/2016) ακολουθώντας την Γνώμη της Ομάδας Εργασίας του άρθρου 29 (Γνώμη 5/2009) πότε μια ανάρτηση ενός χρήστη συνιστά επεξεργασία προσωπικών δεδομένων για ίδια χρήση (οικιακή χρήση) και πότε μια τέτοια ανάρτηση εκφεύγει της οικιακής χρήσης από πλευράς του χρήστη που την πραγματοποιεί.

Στις περισσότερες περιπτώσεις υπηρεσιών κοινωνικής δικτυώσεως θεωρείται ότι οι χρήστες είναι υποκείμενα των δεδομένων. Η Οδηγία 95/46/ΕΚ δεν επιβάλλει τις υποχρεώσεις ενός υπεύθυνου επεξεργασίας δεδομένων σε ένα άτομο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο καθαρά προσωπικής ή οικιακής χρήσεως. Ωστόσο, σε κάποιες περιπτώσεις, οι δραστηριότητες του χρήστη μιας υπηρεσίας κοινωνικής δικτυώσεως μπορεί να μην διέπονται από την εξαίρεση λόγω οικιακής χρήσεως και ο χρήστης ενδέχεται να θεωρηθεί ότι επωμίζεται κάποιες από τις ευθύνες ενός υπεύθυνου επεξεργασίας δεδομένων. Για παράδειγμα, όταν η υπηρεσία κοινωνικής δικτυώσεως χρησιμοποιείται ως πλατφόρμα συνεργασίας για έναν οργανισμό ή μια εταιρεία, η χρήση της εκφεύγει της καθαρά προσωπικής χρήσης. Αν ο χρήστης μιας υπηρεσίας κοινωνικής δικτυώσεως ενεργεί εκ μέρους μιας εταιρείας ή ενός οργανισμού ή χρησιμοποιεί την εν λόγω υπηρεσία κυρίως ως πλατφόρμα για την επιδίωξη διαφημιστικών, πολιτικών ή φιλανθρωπικών στόχων, η εξαίρεση δεν ισχύει και ο χρήστης αναλαμβάνει όλες τις ευθύνες ενός υπεύθυνου επεξεργασίας δεδομένων, ο οποίος αποκαλύπτει δεδομένα προσωπικού χαρακτήρα σε έναν άλλο υπεύθυνο επεξεργασίας δεδομένων προσωπικού χαρακτήρα (δηλ. την υπηρεσία κοινωνικής δικτύωσης) και σε τρίτους (σε άλλους χρήστες της εν λόγω υπηρεσίας ή ενδεχομένως ακόμα και σε άλλους υπεύθυνους επεξεργασίας δεδομένων με πρόσβαση στα δεδομένα). Σε αυτές τις περιπτώσεις, ο χρήστης πρέπει να λάβει τη σύμφωνη γνώμη των ενδιαφερομένων προσώπων ή να στηρίξει την επεξεργασία σε κάποια άλλη νομική βάση, που προβλέπεται στην Οδηγία 95/46/ΕΚ.

Περαιτέρω, η Γνώμη 5/2009 επισημαίνει ότι η ύπαρξη μεγάλου αριθμού επαφών μπορεί να σημαίνει ότι δεν ισχύει η εξαίρεση λόγω οικιακής χρήσεως και επομένως ότι ο χρήστης μπορεί να θεωρείται ως υπεύθυνος της επεξεργασίας δεδομένων. Επίσης, σύμφωνα πάντοτε με την ίδια Γνώμη, όταν η πρόσβαση στις πληροφορίες προφίλ επεκτείνεται πέραν των επαφών της επιλογής του χρήστη, π.χ. όταν παρέχεται πρόσβαση σε ένα προφίλ σε όλους τους χρήστες της υπηρεσίας κοινωνικής δικτυώσεως ή όταν τα δεδομένα παρέχουν δυνατότητα καταγραφής από τις μηχανές αναζητήσεως, η πρόσβαση υπερβαίνει το προσωπικό ή το οικιακό πλαίσιο. Κατά αντίστοιχο τρόπο, αν ένας χρήστης λάβει συνειδητή απόφαση να επεκτείνει την πρόσβαση στα στοιχεία του πέραν των «φίλων» της επιλογής του καθίσταται υπεύθυνος επεξεργασίας δεδομένων και υπέχει την ευθύνη αυτού.

Σε ακόμα μια υπόθεση που κρίθηκε στο Ευρωπαϊκό Δικαστήριο (Case C‑210/16) κρίθηκε ότι διαχειριστής σελίδας μπορεί να θεωρείται από κοινού υπεύθυνος επεξεργασίας με το κοινωνικό δίκτυο, καθώς μετέχει στην διαμόρφωση του περιεχομένου που απευθύνεται στους χρήστες και προβαίνει στην συλλογή δεδομένων των χρηστών. Στην συγκεκριμένη υπόθεση, το Γερμανικό Δικαστήριο διέταξε την εναγόμενη εταιρία να απενεργοποιήσει την σελίδα, επ’απειλή προστίμου, δεδομένου ότι δεν ειδοποιούσε τα μέλη της σελίδας ότι προβαίνει σε συλλογή και επεξεργασία των δεδομένων τους μέσω cookies και εξάγοντας συμπεράσματα χρησιμοποιώντας εργαλεία ανάλυσης. Περισσότερα για την απόφαση θα βρείτε εδώ.

Η υπόθεση Cambridge Analytica επιγραμματικά

Το σκάνδαλο που έκανε την εμφάνισή του στα ελληνικά μέσα ενημέρωσης τους τελευταίους μήνες αποτελεί ένα πρόβλημα το οποίο ανατρέχει πριν την ανάδειξη του Προέδρου των ΗΠΑ, Ντόναλντ Τραμπ. Δεδομένου ότι η συζήτηση γύρω από το ζήτημα έχει ήδη λάβει μεγάλες διαστάσεις, επί του παρόντος θα αρκεστούμε σε μία πολύ απλή ανάλυση των γεγονότων που περιστρέφονται γύρω από αυτό και στο πώς επηρέασε την κοινή γνώμη για την πολιτική προστασίας του Facebook λίγους μήνες πριν την εφαρμογή του Νέου Κανονισμού.

Με πολύ απλά λόγια, η εταιρία ανέθεσε σε προγραμματιστές τη δημιουργία μιας εφαρμογής με τίτλο This is My Digital Life, η οποία αποτελούσε ένα quiz στο Facebook. Όταν ένας χρήστης συνδεόταν για να κάνει το quiz, η εφαρμογή λάμβανε μεγάλο μέρος των προσωπικών δεδομένων του για την παραχώρηση των οποίων δεν είχε συναινέσει, τα οποία μάλιστα αποτελούσαν δεδομένα που το Facebook δεν επιτρέπει να λαμβάνουν οι εφαρμογές και διαβιβάζονταν στην εταιρία Cambridge Analytica. Τρία ζητήματα προκάλεσαν μεγάλη αίσθηση στην υπόθεση:

  • Η εταιρία συνεργάστηκε στενά με την προεκλογική εκστρατεία του Ντόναλντ Τραμπ, κάτι το οποίο είναι εμφανές από το γεγονός ότι ο τότε Αντιπρόεδρος της Εταιρίας αποτέλεσε και Συνεργάτη της Ομάδας που προΐστατο των προεκλογικών δραστηριοτήτων.
  • Η εφαρμογή εξέθεσε ένα κενό στον αλγόριθμο που επιτρέπει την δημιουργία εφαρμογών στο Facebook, οδηγώντας σε συλλογή στοιχείων για τους χρήστες που έκαναν το quiz αλλά και πολλούς από τους φίλους τους στην πλατφόρμα, οι οποίοι καμία σχέση δεν είχαν με το εν λόγω quiz.
  • Τα στοιχεία που συλλέγονταν από την εφαρμογή πωλήθηκαν από την εταιρία στην προεκλογική εκστρατεία του Προέδρου Τραμπ και χρησιμοποιήθηκαν για σκοπούς διαφήμισης στο Facebook, κατά παράβαση των όρων χρήσης του Facebook.

Το Facebook αντιμετώπισε το σκάνδαλο ήδη από το 2017, αποδεχόμενο την παραβίαση των όρων χρήσης του και τα λάθη στην πολιτική προστασίας τεχνολογικά.

Είναι σημαντικό, όπως αντιλαμβανόμαστε, να τονιστούν κάποια σημεία στο πώς μεταβάλλεται το τοπίο στο χώρο των δεδομένων των χρηστών που διαχειρίζεται το Facebook και άλλες πλατφόρμες κοινωνικής δικτύωσης μετά τον Κανονισμό 2016/679. Ήδη με σειρά αποφάσεών τους, δικαστήρια σε χώρες της Ευρωπαϊκής Ένωσης έχουν κρίνει ότι το Facebook συνέλεγε πληροφορίες για τις δραστηριότητες προσώπων που χρησιμοποιούσαν την πλατφόρμα, αλλά και για υποκείμενα δεδομένων που δεν την χρησιμοποιούσαν(1), χωρίς να έχουν λάβει τη σχετική συγκατάθεση του χρήστη.

Το Facebook αποτελεί κολοσσό στον τομέα της συλλογής και επεξεργασίας προσωπικών δεδομένων και βρίσκεται αντιμέτωπο με μια πολύ μεγάλη πρόκληση να διαμορφώσει τις πολιτικές προστασίας του κατά τρόπο που να λαμβάνει την συγκατάθεση των χρηστών του για κάθε είδους δεδομένα που λαμβάνει και διαχειρίζεται, να ενημερώνει για τον σκοπό της επεξεργασίας και να καθιστά την αντίρρηση και δη την παύση της ανάκληση της συγκατάθεσης τόσο εύκολη όσο την παροχή της. Αυτό σημαίνει πως πλέον θα πρέπει να είναι πολύ πιο εύκολα προσβάσιμος και διαφανής στους χρήστες ο τρόπος με τον οποίο μπορούν να ανακαλέσουν την συγκατάθεση που έχουν δώσει για την επεξεργασία των δεδομένων τους και να μην χρειάζεται να ανατρέχουν σε σκόρπιες σελίδες πληροφοριών στην πλατφόρμα για να εντοπίσουν τον τρόπο με τον οποίο θα αποσύρουν τη συγκατάθεση που έχουν δώσει. Επιπλέον, το Facebook θα πρέπει να συμμορφωθεί με τον νέο Κανονισμό στο επίπεδο της χρήσης των δεδομένων για σκοπούς πλέον αυτών για τους οποίους έχει συγκατατεθεί ο χρήστης. Δεν πρέπει, δηλαδή να επιτρέπει σε επιχειρήσεις που δρουν μέσα σε αυτό, καθώς και στις δικές του εφαρμογές να χρησιμοποιήσουν τα δεδομένα τα οποία συλλέγουν για σκοπό διαφορετικό από αυτόν για τον οποίο τις συνέλλεξαν.

(1) Βλ. απόφαση του βελγικού α’βάθμιου δικαστηρίου, που διέταξε το Facebook να αναστείλει την δραστηριότητα tracking σε χρήστες του Ίντερνετ που δεν ήταν μέλη του, αλλά επισκέπτονταν σελίδες που ενσωμάτων εργαλεία του κοινωνικού δικτύου, όπως social plug ins, like button, comments κλπ.

Facebook και Προσωπικά Δεδομένα Ανηλίκων

Οι ανήλικοι και τα παιδιά είναι από τους πιο κύριους χρήστες των υπηρεσιών κοινωνικής δικτύωσης. Χαρακτηριστικά, σε έρευνα που πραγματοποιήθηκε από το Ελληνικό Κέντρο Ασφαλούς Διαδικτύου του Ιδρύματος Τεχνολογίας και Έρευνας σε δείγμα 1.100 χρηστών social media, προέκυψαν τα εξής χρήσιμα συμπεράσματα:

  • ποσοστό 55,86% επί του συνόλου των χρηστών social media, αποτελούν παιδιά ηλικίας κάτω των 13 ετών .
  • δημοφιλέστερο μέσο μεταξύ των μαθητών αναδεικνύεται το Viber, στη συνέχεια το Instagram και τρίτο έρχεται το Facebook, με ποσοστό 52,73% των παιδιών να τα χρησιμοποιεί καθημερινά.
  • το 16% των γονέων δήλωσαν πώς δεν γνωρίζουν αν το παιδί τους προστατεύει τα προσωπικά του δεδομένα κατά την χρήση των μέσων κοινωνικής δικτύωσης.
  • Είναι λοιπόν σαφές πως οι ανήλικοι και τα παιδιά αποτελούν πέραν από κύριους χρήστες του Διαδικτύου, και την πιο ευάλωτη ομάδα αυτών, καθώς, στην προσπάθειά τους να κοινωνικοποιηθούν και μη έχοντας την απαιτούμενη διανοητική και ψυχική ωριμότητα, δημοσιεύουν αλόγιστα ιδιωτικές πληροφορίες και συνεπώς, εκτίθενται σε μεγαλύτερο βαθμό στην προσβολή των προσωπικών τους δεδομένων, καθώς και την προσβολή των προσωπικών δεδομένων των κοντινών τους προσώπων, που πραγματοποιείται με τη συλλογή και επεξεργασία των δεδομένων αυτών.

    Tι αλλάζει στην χρήση social media μετά την ψήφιση του ΓΚΠΔ (άρθρο 8);

    • Ο γενικός κανόνας προβλέπει απαίτηση γονικής συναίνεσης για τη χρήση κοινωνικών δικτύων από όλους τους νέους ηλικίας κάτω των 16 ετών. Ωστόσο, τα κράτη μέλη μπορούν να επιλέξουν να αποκλίνουν και να ορίσουν το όριο ηλικίας στα 15, 14 ή 13 χρόνια. Οι έφηβοι μεταξύ 13 έως 15 ετών θα πρέπει να έχουν γονική συναίνεση προκειμένου να μπορούν να χρησιμοποιούν social media. Και παρότι το Facebook δεν παρέχει υπηρεσίες σε πρόσωπα κάτω των 13 ετών, δε διαθέτει σύστημα επαλήθευσης της ηλικίας, με αποτέλεσμα να δημιουργούν προφίλ παιδιά κάτω των 13 ετών. Επειδή επομένως, τεχνικά, η επαλήθευση της ηλικίας ενός προσώπου είναι ιδιαίτερα δυσχερής οφείλει η εταιρεία κοινωνικής δικτύωσης, ως υπεύθυνος επεξεργασίας να καταβάλλει εύλογες προσπάθειες για να εξασφαλίσει επαληθεύσιμη συγκατάθεση, λαμβάνοντας υπόψη κάθε διαθέσιμη τεχνολογία.
    • Οι έφηβοι της ηλικίας 13 έως 15 ετών θα έχουν πρόσβαση σε μια λιγότερο εξατομικευμένη εκδοχή του κοινωνικού δικτύου, με περιορισμένη δυνατότητα δημοσιεύσεων έως ότου λάβουν την άδεια ενός γονέα ή κηδεμόνα.
    • Οι διαφημιστικές κατηγορίες για τους εφήβους είναι πιο περιορισμένες και οι προεπιλεγμένες επιλογές του κοινού στις δημοσιεύσεις δεν περιλαμβάνουν την επιλογή «δημόσια». Επιπλέον διατηρείται απενεργοποιημένη η δυνατότητα αναγνώρισης προσώπου για κάθε χρήστη ηλικίας κάτω των 18 ετών και περιορίζονται τα άτομα που μπορούν να δουν ή να αναζητήσουν πληροφορίες που έχουν κοινοποιήσει έφηβοι, όπως ο τόπος καταγωγής ή τα γενέθλιά τους.
    • Όπως ανακοίνωσε το Facebook στη διάρκεια του τρέχοντος έτους θα παρουσιάσει ένα νέο παγκόσμιο κέντρο βοήθειας, ειδικά για εφήβους το οποίο θα περιλαμβάνει πρόσθετη εκπαίδευση με τα πιο συνηθισμένα ερωτήματά τους σχετικά με το απόρρητο.

    Πώς θα εφαρμοστεί ο ΓΚΠΔ για τους Έλληνες εφήβους;

    Η δημόσια διαβούλευση για τη θέσπιση νομοθετικών μέτρων για την εφαρμογή του ΓΚΠΔ (GDPR) ξεκίνησε στις 20 Φεβρουαρίου 2018 και ολοκληρώθηκε με επιτυχία στις 5 Μαρτίου 2018. Το Υπουργείο Δικαιοσύνης δημοσίευσε στη συνέχεια το προσχέδιο νόμου για την προστασία των προσωπικών δεδομένων. Το άρθρο 6 του προσχεδίου καθορίζει την ηλικία ψηφιακής συναίνεσης στα 15 χρόνια. Σύμφωνα με το άρθρο, για παιδιά ηλικίας κάτω των 15 ετών η επεξεργασία προσωπικών δεδομένων είναι νόμιμη μόνο όταν υπάρχει συναίνεση γονέα ή κηδεμόνα.

    Σημειωτέον ότι όπως επισημαίνει ο εκπρόσωπος του Ελληνικού Κέντρου Ασφαλούς Διαδικτύου (Ε.Κ.Α.Δ.), Γιώργος Κορμάς, εθνικός εκπρόσωπος στο Πανευρωπαϊκό Δίκτυο Ασφαλούς Διαδικτύου Insafe (Internet Safety for Europe) , σήμερα, πάνω από το 80% των παιδιών πέμπτης και έκτης δημοτικού στην Ελλάδα έχουν παρουσία στα κοινωνικά δίκτυα.

    Πώς διαμορφώνονται τα όρια ηλικίας για τα οποία απαιτείται γονική συναίνεση στην Ευρώπη;

      Βέλγιο: 13 ετών
    • Δανία: 13 ετών
    • Φινλανδία: 13 ετών
    • Ιρλανδία: 13 ετών
    • Λετονία: 13 ετών
    • Πολωνία: 13 ετών
    • Ισπανία: 13 ετών
    • Σουηδία: 13 ετών
    • Βρετανία: 13 ετών
    • Αυστρία: 14 ετών
    • Τσεχία: 15 ετών
    • Ελλάδα: 15 ετών
    • Γαλλία: 15/16 ετών
    • Γερμανία: 16 ετών
    • Λουξεμβούργο: 16 ετών
    • Ουγγαρία: 16 ετών
    • Λιθουανία: 16 ετών
    • Σλοβακία: 16 ετών
    • Ολλανδία: 16 ετών

    Ορισμένα συμπεράσματα για την χρήση των social media από ανηλίκους

    Για την αντιμετώπιση του προβλήματος της προστασίας των προσωπικών δεδομένων του ανηλίκου στο διαδίκτυο, πέραν του σημαντικού ρόλου που διαδραματίζουν οι πάροχοι υπηρεσιών στο διαδίκτυο και οι ιδιοκτήτες ιστοσελίδων, οι οποίοι μπορούν να εκπονήσουν κοινούς κώδικες δεοντολογίας και να χρησιμοποιούν προστατευτικές τεχνολογικές μεθόδους, όπως είναι το φιλτράρισμα, ο χρονικός περιορισμός πρόσβασης σε ορισμένες ιστοσελίδες κ.ά., είναι κρίσιμη η ενημέρωση, εξοικείωση και κατάρτιση των γονέων και των εκπαιδευτικών σε σχέση με το διαδίκτυο και τις υπηρεσίες κοινωνικής δικτύωσης ώστε να είναι σε θέση να επιβλέπουν τα παιδιά κατά την πλοήγησή τους και να τα προστατεύουν από τους σχετικούς με αυτό κινδύνους.

    Tι μέτρα θα μπορούσαν να ληφθούν για την αποτελεσματικότερη προστασία των ανηλίκων κατά την χρήση μέσων κοινωνικής δικτύωσης;

    • Οι ιστοσελίδες, οι οποίες απευθύνονται σε ανηλίκους να συλλέγουν απ’ αυτούς μόνο την ηλεκτρονική τους διεύθυνση και την ηλικία του και να δηλώνουν σαφώς στο δικτυακό τους τόπο την πολιτική που ακολουθούν για την προστασία των προσωπικών δεδομένων.
    • Η συγκατάθεση των γονέων στην επεξεργασία των δεδομένων του παιδιού τους θα πρέπει να αποδεικνύεται. Αυτό μπορεί να γίνει με ηλεκτρονικό ταχυδρομείο (e-mail), το οποίο θα επαληθεύεται με μεταγενέστερη αλληλογραφία ή τηλεφωνική επικοινωνία, ή με ηλεκτρονικό μήνυμα με ηλεκτρονική υπογραφή των γονέων.
    • Ο έλεγχος και η επαλήθευση της ηλικίας του χρήστη social media μπορεί για παράδειγμα να γίνει μέσω του ΑΜΚΑ.

    Σημαντικό είναι να κατανοήσουμε ότι το γεγονός ότι δεν επιτρέπεται σε παιδιά κάτω των 15 ετών στην Ελλάδα να χρησιμοποιούν τα μέσα κοινωνικής δικτύωσης χωρίς την συγκατάθεση των γονιών τους, θα οδηγήσει τα παιδιά αυτά, τα οποία έχουν εδώ και καιρό πρόσβαση στις υπηρεσίες του διαδικτύου, στο να λένε ψέματα για την ηλικία της, προκειμένου να συνεχίσουν να έχουν πρόσβαση, παρά στο να ζητήσουν την συγκατάθεση των γονιών τους» σημειώνουν.\ Με δεδομένο επομένως, ότι τα παιδιά χρησιμοποιούν το διαδίκτυο και τις υπηρεσίες κοινωνικής δικτύωσης σε όλο και μικρότερη ηλικία, και το γεγονός ότι περισσότερα παιδιά έχουν πρόσβαση στο διαδίκτυο μέσω κινητών συσκευών, απαιτείται στοχευμένη συνεργασία ανάμεσα στις εταιρείες κοινωνικής δικτύωσης, τους κατασκευαστές κινητών συσκευών και αναλογίων παιχνιδιών, τους παρόχους υπηρεσιών διαδικτύου, τους παρόχους κινητών εφαρμογών και περιεχομένου, τις οργανώσεις καταναλωτών, και τις οργανώσεις για τα παιδιά προκειμένου , μέσω της νέας νομοθεσίας, να εξασφαλισθεί η μέγιστη προστασία των ανηλίκων.

    Η προσπάθεια των μέσων κοινωνικής δικτύωσης να κρατήσουν το μελλοντικό αγοραστικό κοινό τους : Η περίπτωση του Messenger for Kids

    Το Facebook παρουσίασε στην Αμερική το Messenger Kids, μια δωρεάν εφαρμογή , απλοποιημένη εκδοχή του κανονικού Messenger, για παιδιά από 6 έως 12 ετών, που θα μπορούν να ανταλλάσσουν μηνύματα κειμένου, βίντεο και φωτογραφίες, με κατάλληλα «φίλτρα», ώστε οι ανήλικοι να μην εκτίθενται σε ακατάλληλο περιεχόμενο, που περιέχει βία, γυμνές εικόνες, σεξ κ.α.

    Παράλληλα, τα μηνύματα του παιδιού, που στέλνονται σε άτομα άνω των 13 ετών, θα εμφανίζονται στην εφαρμογή Messenger των γονιών, ενώ οι γονείς έχουν τη δυνατότητα να εγκρίνουν αν δύο παιδιά θα γίνουν διαδικτυακοί φίλοι.

    Το Messenger Kids, δημιουργήθηκε με τη συνεργασία ψυχολόγων και άλλων ειδικών, καθώς και υπό τις συμβουλές γονιών. Μέσω της εφαρμογής, το παιδί δεν αποκτά το ίδιο λογαριασμό Facebook αλλά η εφαρμογή λειτουργεί ως επέκταση του λογαριασμού του γονέα, καθώς, μόνο αυτοί μπορούν να προσθέσουν φίλους στις επαφές του Messenger Kids ή να διαγράψουν μηνύματα. Σύμφωνα με τις διαβεβαιώσεις του Facebook δεν θα υπάρχουν καθόλου διαφημίσεις μέσω του Messenger Kids, ενώ οι πληροφορίες που συλλέγει η εταιρεία κοινωνικής δικτύωσης δεν θα αξιοποιείται για ευρύτερους διαφημιστικούς σκοπούς.

    Ακόμη, το Facebook δεν θα γνωρίζει την ακριβή ηλικία κάθε παιδιού χρήστη και δεν θα μετακινούνται αυτόματα στο κανονικό Messenger ή στο Facebook, όταν συμπληρώσουν την ηλικία των 13 ετών. Αν ο έφηβος που έχει συμπληρώσει τα 13 έτη του θέλει να γίνει χρήστης του Facebook, θα ανοίγει ένα νέο ξεχωριστό λογαριασμό, στον οποίο δεν θα μεταφέρονται τα δεδομένα από το Messenger Kids.

Πηγές

https://saferinternet4kids.gr/nea/gdpr-ee/

https://saferinternet4kids.gr/press-newsletter/press/survey-press-2018

https://saferinternet4kids.gr/nea/facebook-3

https://curia.gr/prostasia-prosopikon-dedomenon-ton-anilikon-stis-ipiresies-koinonikis-diktiosis

https://www.theverge.com/2018/2/14/17012052/facebook-messenger-kids-android-app-now-available

http://www.opengov.gr/ministryofjustice

Clover, Juli. “Facebook Outlines What Data It Collects From Other Apps and Websites.” Siri on MacRumors, MacRumors, 16 Apr. 2018, www.macrumors.com/2018/04/16/facebook-data-collected-from-apps-websites

Κανέλλος, Γιώργος Π. “Ο Διαχειριστής Σελίδας Στο Facebook Πρέπει Να Θεωρείται Υπεύθυνος Επεξεργασίας Προσωπικών Δεδομένων.” Lawspot, Lawspot.gr, 16 Nov. 2017, www.lawspot.gr/nomika-nea/o-diaheiristis-selidas-sto-facebook-prepei-na-theoreitai-ypeythynos-epexergasias

Reding, V. (2012) ‘The European data protection framework for the twenty-first century’, International Data Privacy Law, 2(3), pp. 119–129. doi: 10.1093/idpl/ips015

Loideain, Nora Ni. “The End of Safe Harbor: Implications for EU Digital Privacy and Data Protection Law.” By John Cigno :: SSRN, 21 Feb. 2016, papers.ssrn.com/sol3/papers.cfm?abstract_id=2734698

Commission Nationale de l’Informatique et des Libertés (2018) ‘PIA, knowledge bases’. Available at: https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-en-knowledgebases.pdf

WP 29 Opinion 5/2009 on online social networking. Available at http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2009/wp163_en.pdf

Information Comissionner Office - Ireland (2017) Personal Data Security Guidance for Micro-Enterprises under the GDPR

Chang, Alvin. “The Facebook and Cambridge Analytica Scandal, Explained with a Simple Diagram.” Vox, Vox, 23 Mar. 2018, www.vox.com/policy-and-politics/2018/3/23/17151916/facebook-cambridge-analytica-trump-diagram

“Court Says Facebook Nude Painting Case Can Be Tried in France.” Reuters, Thomson Reuters, 12 Feb. 2016, www.reuters.com/article/us-facebook-france-court-idUSKCN0VL1XS

Mayer, David. “Facebook Just Lost a Privacy Court Fight to Its EU Arch-Enemy.” Fortune, Fortune, 25 Jan. 2018, fortune.com/2018/01/25/facebook-max-schrems-privacy-cjeu/

Kuchler, Hannah. “Facebook Faces €100m Fine after Belgian Court Ruling.” Financial Times, Financial Times, 16 Feb. 2018, www.ft.com/content/9ea566ac-133d-11e8-8cb6-b9ccc4c4dbbb

Carmichael, Lachlan. “Belgian Court Orders Facebook to Stop Tracking Web Users (Update).” Phys.org - News and Articles on Science and Technology, Phys.org, 16 Feb. 2018, phys.org/news/2018-02-belgian-court-facebook.html

https://www.facebook.com/terms.php

https://www.facebook.com/business/

https://www.facebook.com/business/products/ads/ad-targeting

https://www.facebook.com/business/a/page/page-insights

send