Αποθήκευση και πρόσβαση σε πληροφορίες στον τερματικό εξοπλισμό των χρηστών (Κατευθυντήριες Γραμμές ΕΣΠΔ)

Σε δημόσια διαβούλευση έδωσε το ΕΣΠΔ τις νέες Κατευθυντήριες Γραμμές 2/2023 σχετικά με το τεχνικό πεδίο εφαρμογής του άρθρου 5 παρ.3 της Οδηγίας e-Privacy.

Πρόκειται για την Οδηγία 2002/58, η οποία έχει ενσωματωθεί στην εθνική έννομη τάξη με τον Ν.3471/2006 («Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του ν.2472/1997»), όπως αυτός έχει τροποποιηθεί και παραμένει σε ισχύ.

Το άρθρο 5 της Οδηγίας 2002/58, ευρύτερα γνωστής ως e-Privacy (ePD), αναφέρεται στο απόρρητο των επικοινωνιών, με την παράγραφο 3 του άρθρου να προβλέπει ότι:

3.  Τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνον εάν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες σύμφωνα με την οδηγία 95/46/ΕΚ, μεταξύ άλλων για το σκοπό της επεξεργασίας. Τούτο δεν εμποδίζει οιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή που είναι απολύτως αναγκαία για να μπορεί ο πάροχος υπηρεσίας της κοινωνίας της πληροφορίας την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης να παρέχει τη συγκεκριμένη υπηρεσία.

Η διάταξη έχει μεταφερθεί στον εθνικό νόμο με το άρθρο 4 παρ.5, σύμφωνα με το οποίο:

5. Η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνο αν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεση του μετά από σαφή και εκτενή ενημέρωση κατά την παρ. 1 του άρθρου 11 του ν. 2472/1997. όπως ισχύει. Η συγκατάθεση του συνδρομητή ή χρήστη μπορεί να δίδεται μέσω κατάλληλων ρυθμίσεων στο φυλλομετρητή ιστού ή μέσω άλλης εφαρμογής. Τα παραπάνω δεν εμποδίζουν την οποιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μίας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή η οποία είναι αναγκαία για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής. Με πράξη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) ορίζονται ειδικότερα οι τρόποι παροχής πληροφοριών και δήλωσης της συγκατάθεσης

Η εισαγωγή των νέων Κατευθυντηρίων Γραμμών αναφέρει ότι:

Σύμφωνα με το άρθρο 5 παρ. 3 της ePD, "η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη" επιτρέπεται μόνο βάσει συγκατάθεσης ή αναγκαιότητας για συγκεκριμένους σκοπούς που ορίζονται στο εν λόγω άρθρο. Όπως υπενθυμίζεται στην αιτιολογική σκέψη 24 της Οδηγίας, στόχος της εν λόγω διάταξης είναι η προστασία του τερματικού εξοπλισμού των χρηστών, καθώς αυτός συνιστά μέρος της ιδιωτικής σφαίρας των χρηστών. Από τη διατύπωση του άρθρου και όπως έχει καταστεί σαφές (π.χ. στη Γνώμη 4/2012 της ομάδας εργασίας του άρθρου 29 (εφεξής "ΟΕ29") σχετικά με την απαλλαγή από τη συγκατάθεση για τα cookies) προκύπτει ότι το άρθρο 5 παρ.3 της ePD δεν εφαρμόζεται αποκλειστικά στα cookies, αλλά και σε "παρόμοιες τεχνολογίες". Ωστόσο, επί του παρόντος δεν υπάρχει πλήρης κατάλογος των τεχνικών λειτουργιών που καλύπτονται από το άρθρο 5 παρ.3 της ePD.

Η Γνώμη 9/2014 της ΟΕ29 σχετικά με την εφαρμογή της Οδηγίας στην αναγνώριση συσκευών βάσει ψηφιακού αποτυπώματος έχει ήδη διευκρινίσει ότι τα ψηφιακά αποτυπώματα συσκευών εμπίπτουν στο τεχνικό πεδίο εφαρμογής του άρθρου 5 παρ.3 της ePD, αλλά λόγω των νέων εξελίξεων στις τεχνολογίες απαιτείται περαιτέρω καθοδήγηση όσον αφορά τις τεχνικές παρακολούθησης που παρατηρούνται επί του παρόντος. Το τεχνικό τοπίο εξελίσσεται κατά την τελευταία δεκαετία, με την αυξανόμενη χρήση αναγνωριστικών ενσωματωμένων σε λειτουργικά συστήματα, καθώς και τη δημιουργία νέων εργαλείων που επιτρέπουν την αποθήκευση πληροφοριών σε τερματικά.

Οι ασάφειες όσον αφορά το πεδίο εφαρμογής του άρθρου 5 παρ.3 της ePD έχουν δημιουργήσει κίνητρα για την εφαρμογή εναλλακτικών λύσεων για την παρακολούθηση των χρηστών του διαδικτύου και οδηγούν σε μια τάση καταστρατήγησης των νομικών υποχρεώσεων που προβλέπονται από το άρθρο 5 παρ.3 της ePD. Όλες αυτές οι καταστάσεις προκαλούν ανησυχίες και απαιτούν συμπληρωματική ανάλυση προκειμένου να συμπληρωθεί η προηγούμενη καθοδήγηση από το ΕΣΠΔ.

Σκοπός των κατευθυντήριων γραμμών είναι η διενέργεια τεχνικής ανάλυσης σχετικά με το πεδίο εφαρμογής του άρθρου 5 παρ.3 της ePD, δηλαδή η αποσαφήνιση του τι καλύπτεται από τη φράση "η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη". Οι παρούσες κατευθυντήριες γραμμές δεν σκοπεύουν να εξετάσουν τις περιστάσεις υπό τις οποίες μια πράξη επεξεργασίας μπορεί να εμπίπτει στις εξαιρέσεις από την απαίτηση συγκατάθεσης που προβλέπει η ePD.

Ένας μη εξαντλητικός κατάλογος συγκεκριμένων περιπτώσεων θα αναλυθεί στο τελικό μέρος των κατευθυντήριων γραμμών.

Οι Κατευθυντήριες Γραμμές 2/2023 θα παραμείνουν σε διαβούλευση μέχρι τις 28 Δεκεμβρίου 2023.