Δήλωση Ιδιωτικότητας ως must have κάθε ιστοσελίδας

Η νομική αναγκαιότητα του privacy notice σε περίπτωση συλλογής και επεξεργασίας προσωπικών δεδομένων από μια ιστοσελίδα

ΔΗΜΟΣΙΕΥΣΗ:

14/12/2017 - 18:09

ΤΕΛΕΥΤΑΙΑ ΤΡΟΠΟΠΟΙΗΣΗ:

11/03/2018 - 18:52

Το Internet έχει καταστεί συνώνυμο της καθημερινότητάς μας. Πλοήγηση, ηλεκτρονικές αγορές, cookies, όροι χρήσης είναι μερικοί μόνο από τους όρους που στην «ηλεκτρονική» καθημερινότητά μας συναντούμε χωρίς πάντα να γνωρίζουμε την αληθινή σημασία τους. Το Internet είναι ένας ζωντανός οργανισμός που συλλέγει αναρίθμητες πληροφορίες χωρίς ενίοτε να το γνωρίζουμε.

Τίθεται λοιπόν το ζήτημα πώς προστατεύεται το άτομο από την επεξεργασία των προσωπικών του δεδομένων στο χώρο αυτό.

Σε ενσωμάτωση της οδηγίας eprivacy 2002/58/EK, ο ν. 3471/2006 ρυθμίζει ορισμένες πτυχές της επεξεργασίας δεδομένων στο χώρο των ηλεκτρονικών επικοινωνιών. Συμπληρωματικά εφαρμόζεται ο ν. 2472/1997. Νοούνται, για τους σκοπούς του ως άνω νόμου, ως:

2. "χρήστης": κάθε φυσικό πρόσωπο που χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας.

5. "επικοινωνία": κάθε πληροφορία που ανταλλάσσεται ή διαβιβάζεται μεταξύ ενός πεπερασμένου αριθμού μερών, μέσω μίας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών. Δεν περιλαμβάνονται πληροφορίες που διαβιβάζονται ως τμήμα ραδιοτηλεοπτικών υπηρεσιών στο κοινό μέσω δικτύου ηλεκτρονικών επικοινωνιών, εκτός από τις περιπτώσεις κατά τις οποίες οι πληροφορίες μπορούν να αφορούν αναγνωρίσιμο συνδρομητή ή χρήστη που τις λαμβάνει.

8. "Ηλεκτρονικό ταχυδρομείο": κάθε μήνυμα με κείμενο, φωνή, ήχο ή εικόνα που αποστέλλεται μέσω δημοσίου δικτύου επικοινωνιών, το οποίο μπορεί να αποθηκεύεται στο δίκτυο ή στον τερματικό εξοπλισμό του παραλήπτη, έως ότου ληφθεί από τον παραλήπτη.

Κατά την οδηγία 2/2011 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στην έννοια του ηλεκτρονικού ταχυδρομείου, περιλαμβάνονται emails, sms και μηνύματα πολυμέσων.

9. "Υπηρεσίες ηλεκτρονικών επικοινωνιών": οι υπηρεσίες που παρέχονται συνήθως έναντι αμοιβής και των οποίων η παροχή συνίσταται, εν όλω ή εν μέρει, στη μεταφορά σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών, συμπεριλαμβανομένων των υπηρεσιών τηλεπικοινωνιών και των υπηρεσιών μετάδοσης σε δίκτυα που χρησιμοποιούνται για ραδιοτηλεοπτικές μεταδόσεις. Στις υπηρεσίες ηλεκτρονικών επικοινωνιών δεν περιλαμβάνονται υπηρεσίες παροχής ή ελέγχου περιεχομένου που μεταδίδεται μέσω δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς και υπηρεσίες της Κοινωνίας της Πληροφορίας, όπως αυτές ορίζονται στην παράγραφο 2 του άρθρου 2 του π.δ. 39/2001 (ΦΕΚ 28 Α΄), και που δεν αφορούν, εν όλω ή εν μέρει, στη μεταφορά σημάτων σε δίκτυα ηλεκτρονικών επικοινωνιών.

Το άρθρο 11 του ν. 3471/2006 προβλέπει στην παρ. 1 ότι η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, (με ή) χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς.

Tο άρθρο 5 παρ. 3 του ν. 3471/2006 θέτει ειδικότερες προϋποθέσεις σχετικά με τη νόμιμη δήλωση της συγκατάθεσης του χρήστη υπηρεσιών ηλεκτρονικών επικοινωνιών. Ειδικότερα, ορίζει ότι «Όπου ο παρών νόμος απαιτεί τη συγκατάθεση του χρήστη, η σχετική δήλωση δίδεται εγγράφως ή με ηλεκτρονικά μέσα. Στην τελευταία περίπτωση, ο υπεύθυνος επεξεργασίας εξασφαλίζει ότι ο χρήστης ενεργεί με πλήρη επίγνωση των συνεπειών που έχει η δήλωσή του η οποία καταγράφεται με ασφαλή τρόπο, είναι ανά πάσα στιγμή προσβάσιμη στον χρήστη και μπορεί οποτεδήποτε να ανακληθεί. Έτσι, απαιτείται ενημέρωση του χρήστη πριν από τη δήλωση της ηλεκτρονικής συγκατάθεσης του χρήστη. Ο υπεύθυνος επεξεργασίας οφείλει να παρέχει κατάλληλη ενημέρωση τουλάχιστον για το σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων που αυτή αφορά, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων, την ύπαρξη του δικαιώματος πρόσβασης καθώς και τα στοιχεία ταυτότητάς του ιδίου ή τυχόν εκπροσώπου του και συγκεκριμένα:

το όνομα ή την επωνυμία και τη διεύθυνση επικοινωνίας. Η ενημέρωση πρέπει να είναι αναλυτική και διακριτή από τη γενική ενημέρωση που παρέχει ο υπεύθυνος επεξεργασίας, π.χ. τους όρους χρήσης της αντίστοιχης ιστοσελίδας.

Για το σκοπό αυτό, η ενημέρωση πρέπει να παρέχεται τουλάχιστον με το ίδιο επίπεδο ευχρηστίας με το οποίο δηλώνεται η συγκατάθεση. Για παράδειγμα, η δήλωση από τον χρήστη ότι ενημερώθηκε (π.χ. μέσω σημείωσης ή επιλογής σχετικού πεδίου) δεν είναι επαρκής όταν το κείμενο της ενημέρωσης δεν είναι εύκολα και άμεσα προσβάσιμο από το χρήστη (π.χ. όταν το κείμενο δεν παρατίθεται πριν από τη δήλωση της συγκατάθεσης, αλλά είναι προσβάσιμο μέσω ειδικού συνδέσμου που πρέπει να επιλέξει ο χρήστης).

Ειδικά για την περίπτωση που η δήλωση της ηλεκτρονικής συγκατάθεσης γίνεται μέσω ιστοσελίδας, ο υπεύθυνος επεξεργασίας μπορεί να εξασφαλίζει την ενημέρωση του χρήστη με διάφορους τρόπους όπως ενδεικτικά:

α) Υποχρεώνοντας το χρήστη να αποκτήσει πρόσβαση στο κείμενο της ενημέρωσης (π.χ. με αναδυόμενο πλαίσιο ή παράθυρο) πριν από τη δήλωση της συγκατάθεσης.

β) Παρουσιάζοντας το κείμενο ενημέρωσης σε ειδικό πεδίο φόρμας, ικανού μεγέθους, και υποχρεώνοντας το χρήστη να φτάσει τη γραμμή κύλισης του πεδίου αυτού έως το τέλος, πριν δηλώσει τη συγκατάθεσή του.

γ) Τοποθετώντας το κείμενο ενημέρωσης σε ξεχωριστή ιστοσελίδα, από την οποία ο χρήστης πρέπει να διέλθει υποχρεωτικά πριν δηλώσει τη συγκατάθεσή του.

Η παρ. 3 του ίδιου άρθρου προβλέπει ειδικά για τις διευθύνσεις email ότι εφ’ όσον αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών, ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη συγκατάθεση του, υπό την προϋπόθεση ότι του παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν, στη συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων και αυτό κατά τη συλλογή των στοιχείων επαφής, καθώς και σε κάθε μήνυμα, σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτή τη χρήση (σύστημα «opt-out»).

Όταν ο χρήστης δηλώνει τη συγκατάθεσή του για την αποστολή διαφημιστικών μηνυμάτων ηλεκτρονικού ταχυδρομείου σε συγκεκριμένη ηλεκτρονική διεύθυνση, ο υπεύθυνος επεξεργασίας οφείλει καταρχάς, να επιβεβαιώνει ότι ο χρήστης έχει πρόσβαση στη διεύθυνση αυτή. Η δήλωση συγκατάθεσης στην περίπτωση αυτή γίνεται συνήθως είτε με την αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου από την ηλεκτρονική διεύθυνση του χρήστη σε ηλεκτρονική διεύθυνση του υπεύθυνου επεξεργασίας, είτε με άλλο τρόπο, όπως π.χ. μέσω της ιστοσελίδας του υπεύθυνου επεξεργασίας.

Τέλος, ως προς τα cookies, ο παραπάνω νόμος στο άρθρο 4 παρ. 5 προβλέπει ότι η αποθήκευση πληροφοριών στον τερματικό εξοπλισμό (υπολογιστή/ κινητό) χρήστη επιτρέπεται μόνο αν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεση του μετά από σαφή και εκτενή ενημέρωση κατά την παρ. 1 του άρθρου 11 του ν. 2472/1997. Η συγκατάθεση του συνδρομητή ή χρήστη μπορεί να δίδεται μέσω κατάλληλων ρυθμίσεων στο φυλλομετρητή ιστού ή μέσω άλλης εφαρμογής. Εξαίρεση υπάρχει μόνο στην περίπτωση αποθήκευσης ή πρόσβασης στο τερματικό του χρήστη, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μίας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή η οποία είναι αναγκαία για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής. Ως εκ τούτου, καθίσταται σαφές ότι, με το ισχύον νομικό πλαίσιο, εφόσον η εγκατάσταση «cookie» στο τερματικό ενός χρήστη δεν είναι απολύτως απαραίτητη για την παροχή της υπηρεσίας την οποία ο ίδιος αιτείται, τότε επιτρέπεται η εγκατάσταση και χρήση του «cookie» μόνο υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας ενημερώνει τον χρήστη για την επεξεργασία που θα λάβει χώρα και εφόσον ο χρήστης δηλώσει σαφώς, ρητώς και ειδικώς ότι συγκατατίθεται στην εν λόγω επεξεργασία (σύστημα «opt-in»). Το πότε η εγκατάσταση είναι αναγκαία προκύπτει από τη γνώμη 4/2012 της Ομάδας Εργασίας του άρθρου 29.

Η συγκατάθεση του συνδρομητή ή χρήστη μπορεί καταρχάς να δίδεται μέσω της ιστοσελίδας του παρόχου υπηρεσίας του διαδικτύου με χρήση κατάλληλων μηχανισμών (π.χ. με αναδυόμενα παράθυρα). Μια γενική ενημέρωση στους γενικούς όρους συναλλαγών ή χρήσης της υπηρεσίας, αλλά και η ενημέρωση που περιλαμβάνεται στην πολιτική ιδιωτικότητας δεν θεωρείται επαρκής υπό την παραπάνω έννοια. Αντίθετα, η ενημέρωση πρέπει να αναρτάται σε εμφανές σημείο στην ιστοσελίδα και να είναι ειδική για κάθε περίπτωση.

Προκύπτει λοιπόν από τα ανωτέρω ότι η σωστή επεξεργασία προσωπικών δεδομένων στο χώρο των ηλεκτρονικών επικοινωνιών δεν είναι απλό ζήτημα. Μια απλή prima faciae εξέταση της πολιτικής πολλών ιστοσελίδων αποδεικνύει ότι σπάνια έως ποτέ τηρούνται οι ανωτέρω κανονιστικές υποχρεώσεις.

Είναι αναγκαίο λοιπόν οι επιχειρήσεις που διατηρούν ιστοσελίδες και ηλεκτρονικά καταστήματα να απευθυνθούν σε έναν νομικό προστασίας δεδομένων ώστε να επιτύχουν τη συμμόρφωσή τους με τις νομικές υποχρεώσεις.

Δρ. Ευάγγελος Μαργαρίτης

Δικηγόρος παρ' Εφέταις | Μεταδιδακτορικός Ερευνητής - Βοηθός Διδασκαλίας Νομικής Αθηνών | Certified Information Privacy Professional (CIPP/E) 
Διδάκτωρ Νομικής | Μεταπτυχιακό Δίπλωμα Αστικού...

send