Της Μαγδαληνής Σκόνδρα*
Η σύγχρονη αλληλογραφία δεν θα μπορούσε να μην ακολουθήσει την ψηφιακή εποχή, κατά την οποία η ταχύτητα, η ευκολία και το μηδενικό κόστος ανταλλαγής μηνυμάτων, αποτελούν τόσο θελκτικά προνόμια, που έχουν κάνει την ηλεκτρονική αλληλογραφία το δημοφιλέστερο μέσο επικοινωνίας. Η εμπορική προώθηση προϊόντων βρήκε στην ηλεκτρονική αλληλογραφία ένα άμεσο και αδάπανο εργαλείο. Όπως και κάθε άλλη πρακτική που αποκτά τέτοια απήχηση, έτσι και η ηλεκτρονική αλληλογραφία δεν θα μπορούσε να μη συνδεθεί τόσο με απλώς αθέμιτες πρακτικές, όσο και με παράνομες ενέργειες, ορισμένες εκ των οποίων είναι ακόμη και ποινικά αδικήματα.
Η λέξη SPAM, με την οποία αναφερόμαστε σύντομα στην ανωτέρω πρακτική, προέρχεται από το εμπορικό όνομα αμερικανικού προϊόντος κρέατος σε κονσέρβα στη δεκαετία του 1960 το οποίο εισαγόταν στη Μεγάλη Βρετανία σε μεγάλες ποσότητες. Το 1970, οι Μόντυ Πάιθονς έγραψαν το σκετς Σπαμ ως μέρος της εκπομπής Το ιπτάμενο τσίρκο των Μόντυ Πάιθονς όπου μια ομάδα Βίκινγκς επαναλάμβαναν δυνατά ένα τραγούδι με μόνα λόγια το «σπαμ σπαμ σπαμ…ωραίο σπαμ…εξαίρετο σπαμ». Στη συνέχεια, στη δεκαετία του 1980 οι εταιρείες αποστολής τέτοιων μηνυμάτων τα ονόμαζαν SPAM ως ακρωνύμιο του Sales Promotion and Marketing (Προώθηση Πωλήσεων και Μάρκετινγκ) [1]. Η νομική της έννοια βέβαια, είναι διαφορετική, καθώς δεν χρειάζεται η επικοινωνία να είναι μαζική (νομικά, σπαμ μπορεί να είναι και 1 μόνο μήνυμα), αλλά το περιεχόμενο πρέπει είναι διαφημιστικό (να προωθεί προϊόντα, υπηρεσίες, απόψεις, ή γενικά την «εικόνα» αυτού που το στέλνει).
Το κοινοτικό δίκαιο[2], ορίζει ότι η χρησιμοποίηση συσκευών αυτόματων κλήσεων, φαξ, emails, κλπ. για απευθείας εμπορική προώθηση επιτρέπεται μόνο στην περίπτωση συνδρομητών ή χρηστών οι οποίοι έχουν δώσει εκ των προτέρων τη συγκατάθεσή τους.
Το ελληνικό δίκαιο που ενσωμάτωσε αυτήν την κοινοτική οδηγία[3], προβλέπει το ίδιο.
Ο ελληνικός νόμος προβλέπει την προστασία προσωπικών δεδομένων και στις ηλεκτρονικές επικοινωνίες. Μάλιστα, στην έννοια του δεδομένου προσωπικού χαρακτήρα έχει κριθεί ότι εμπίπτει, και ο τηλεφωνικός αριθμός και ο λογαριασμός ηλεκτρονικού ταχυδρομείου[4] [5] [6] [7].
Η πολιτική επικοινωνία ως σπαμ
Όπως είπαμε παραπάνω, η νομική έννοια της μη νόμιμης αποστολής αζήτητης (ή αυτόκλητης) επικοινωνίας[8], προϋποθέτει την χωρίς ανθρώπινη παρέμβαση επικοινωνία που γίνεται, όμως, συγκεκριμένα, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, χωρίς προηγούμενη ρητή συγκατάθεση[9] του παραλήπτη (σύστημα opt in). Στην έννοια της εμπίπτουν όλα τα μηνύματα που υπηρετούν διαφημιστικούς σκοπούς, και τέτοιοι θεωρούνται και όσοι στοχεύουν να προωθούν δράσεις φιλανθρωπικών ιδρυμάτων ή πολιτικών κομμάτων.
Έτσι, ακόμα και η πολιτική επικοινωνία οφείλει να συμμορφώνεται με τους κανόνες που ισχύουν για το spam[10]. Η Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ) έχει εκδώσει σχετική Οδηγία ήδη από το 2010[11], αλλά και νεότερη πρόσφατα, τον Απρίλιο του 2019, σχετικά με αυτό το ζήτημα[12], μετά και τη σχετική υπ΄ αριθμόν 2/2019 δήλωση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Έτσι, στις τελευταίες Ευρωεκλογές, η ΑΠΔΠΧ, με την υπ’ αριθμό 19/2019 απόφασή της, επέβαλε πρόστιμο 2.000€ για την αποστολή ενός και μόνο μηνύματος υποψηφίου ευρωβουλευτή σε δικηγόρο-ψηφοφόρο, της οποίας την ηλεκτρονική διεύθυνση είχε συλλέξει από τους δημοσιευμένους καταλόγους στοιχείων επικοινωνίας δικηγόρων[13].
Τι σημαίνει ηλεκτρονικό ταχυδρομείο; Είναι μόνο το email?
Σύμφωνα με το νόμο[14] και με την ΑΠΔΠΧ[15], στην έννοια του ηλεκτρονικού ταχυδρομείου εντάσσονται όχι μόνο τα emails, όπως θα πίστευε κανείς, αλλά όλα τα ακόλουθα είδη μηνυμάτων:
- μηνύματα ηλεκτρονικού ταχυδρομείου
- υπηρεσίες μηνυμάτων με χρήση κινητής τηλεφωνίας (SMS, MMS)
- υπηρεσίες φαξ
- υπηρεσίες στιγμιαίων μηνυμάτων (instant messaging), π.χ. Facebook Messenger, WhatsApp, Viber, MSN, Yahoo Messenger, Google Chat, κ.ά.
- υπηρεσίες ηλεκτρονικής ανταλλαγής μηνυμάτων, όπως σελίδες κοινωνικής δικτύωσης, π.χ. Facebook, Twitter, LinkedIn, κ.ά.
Πότε επιτρέπονται μηνύματα ηλεκτρονικού ταχυδρομείου για προωθητικούς σκοπούς;
Μόνη εξαίρεση στον κανόνα της προηγούμενης συγκατάθεσης του παραλήπτη, προβλέπει ο νόμος[16], στην περίπτωση που αυτός που στέλνει το μήνυμα έχει αποκτήσει το τηλέφωνο ή το μέιλ του παραλήπτη, με την ευκαιρία συναλλαγής μαζί του, (π.χ. κατά την αγορά προϊόντων) χωρίς την προηγούμενη συγκατάθεσή του, υπό την προϋπόθεση ότι του δίνει την ευκαιρία να αρνηθεί ήδη από τη στιγμή που του ζητά τα στοιχεία του, αλλά και σε κάθε μήνυμα, σε περίπτωση που αρχικά δεν είχε διαφωνήσει(πχ μέσω ενός κουμπιού «απεγγραφή» ή “unsubscribe”).
Αναγκαία προϋπόθεση είναι όμως η προηγούμενη ενημέρωση του συνδρομητή-πελάτη[17]. Η ενημέρωση αυτή θα πρέπει να παρέχεται κατά τη στιγμή της συλλογής των στοιχείων επικοινωνίας -δηλαδή, την ώρα της συναλλαγής- και να περιλαμβάνει με σαφήνεια την πρόθεση χρήσης των στοιχείων επικοινωνίας του συναλλασσόμενου, συγκεκριμένα για σκοπούς προωθητικών ενεργειών.
Η πρακτική του spamming ως ευκαιρία φθηνής διαφημιστικής προβολής, αλλά και ως ευκαιρία παρανομίας
Η συλλογή στοιχείων επικοινωνίας με τη χρήση ειδικών λογισμικών, των λεγόμενων spambots, αποτελεί ποινικό αδίκημα.
Η ευκολία και το μικρό κόστος της ηλεκτρονικής επικοινωνίας, δεν θα μπορούσε να αφήσει αδιάφορες τις επιχειρήσεις, αλλά και τις διαφημιστικές εταιρίες. Διαμορφώθηκε έτσι, σταδιακά, ως παγκόσμια πρακτική, η τάση της δημιουργίας λιστών διευθύνσεων ηλεκτρονικού ταχυδρομείου ή/και τηλεφωνικών αριθμών. «Με τη βοήθεια ειδικών λογισμικών, των λεγόμενων spambots, πραγματοποιείται εύκολα αυτοματοποιημένη σάρωση ιστοσελίδων και άλλων πηγών του Διαδικτύου, για την συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου από αυτές. Στη συνέχεια το spambot δημιουργεί λίστα των συλλεχθεισών διευθύνσεων»[18].
Τα λογισμικά αυτά συχνά χρησιμοποιούνται από hackers, για να πραγματοποιήσουν επιθέσεις με μολυσμένα μηνύματα ή κακόβουλο κώδικα σε ιστότοπους ή σε διακομιστές. Μετά την δημιουργία τέτοιων λογισμικών, οι έτοιμες λίστες διευθύνσεων που αυτά παρήγαγαν, αποτέλεσαν συχνά και προϊόν πώλησης διαφημιστικών εταιριών στο πελατολόγιο τους. Επικράτησε έτσι το παγκόσμιο φαινόμενο, κάθε επιχείρηση που ήθελε να διαφημιστεί, είτε να αγοράζει τέτοιες έτοιμες λίστες, είτε να παραγγέλλει την δημιουργία τους.
Η συλλογή στοιχείων επικοινωνίας με χρήση τέτοιων λογισμικών, αποτελεί ποινικό αδίκημα[19].
Εκτός του σπαμ, η χρήση των στοιχείων που αποκτήθηκαν με τέτοια λογισμικά, συχνά αποσκοπεί στην αποστολή κακόβουλου λογισμικού κάθε είδους, όπως ιούς, σκουλήκια, λογισμικό παρακολούθησης κλπ, ή με σκοπό αποστολή νέων ηλεκτρονικών μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing) προσωπικών στοιχείων, κυρίως στοιχείων ηλεκτρονικής τραπεζικής (e-banking), με απώτερο στόχο την αφαίρεση χρηματικών ποσών από λογαριασμούς[20]. Οι ενέργειες αυτές, συνδέονται άμεσα και με την αζήτητη αλληλογραφία, καθώς παρατηρείται ότι σε αρκετές περιπτώσεις, εμφανίζονται με το μανδύα του διαφημιστικού μηνύματος, που όμως είτε υποκρύπτει κακόβουλο λογισμικό, είτε προτρέπει τους χρήστες στην γνωστοποίηση προσωπικών τους στοιχείων[21].
Νομικό πλαίσιο: Ν. 3471/2006: lex specialis σε σχέση με το Ν. 2472/1997 (και ήδη με τον GDPR και τον Ν. 4624/2019).
Ποια όμως νομοθεσία εφαρμόζεται στις περιπτώσεις αυτές; Ο Νόμος 3471/2006 που αφορά τις ηλεκτρονικές επικοινωνίες και την επεξεργασία προσωπικών δεδομένων κατά τη χρήση ηλεκτρονικών επικοινωνιών, ή η γενικότερη νομοθεσία για τα προσωπικά δεδομένα (τον παλαιότερο νόμο 2472/1997, τον GDPR και τον νέο Νόμο 4624/2019);
Το ερώτημα έχει τεράστια πρακτική σημασία, καθώς οι διαφορές των διοικητικών προστίμων που προβλέπουν τα νομοθετήματα αυτά, είναι εξαιρετικά μεγάλες.
Ρητά, ορίζεται[22] ότι ο νόμος των ηλεκτρονικών επικοινωνιών (3471/2006) συνιστά ειδικότερο νόμο (lex specialis) σε σχέση με τον γενικότερο Ν. 2472/1997[23]. Κατά τη γενική αρχή του δικαίου, ο ειδικότερος νόμος απωθεί την εφαρμογή του γενικότερου[24].
Στο παρελθόν, όμως, η σχέση γενικού προς ειδικό μεταξύ των δύο νομοθετημάτων, αποτέλεσε αντικείμενο συχνής παρανόησης στις αποφάσεις των δικαστηρίων και της ΑΠΔΠΧ[25].[26].
Οι παραπάνω διαπιστώσεις εξακολουθούν να ισχύουν και μετά την κατάργηση του Ν. 2472/1997 από το Ν. 4624/2019 και την έναρξη ισχύος του GDPR[27].
Παράλληλα, ο νέος νόμος 4624/2019 ρητά προβλέπει ότι κάθε αναφορά στο παλιό νομοθετικό πλαίσιο νοείται πια ως αναφορά στον νέο νόμο και τον GDPR[28].
Επομένως, τα νομοθετήματα αυτά εφαρμόζονται συμπληρωματικά το ένα προς το άλλο, όπως εκτίθεται αμέσως παρακάτω.
Ποιες κυρώσεις προβλέπονται για όποιον παραβιάζει το νόμο;
Η αποστολή αζήτητης ηλεκτρονικής αλληλογραφίας, επισύρει :
-1ον Δυνατότητα αποζημίωσης του παραλήπτη και μάλιστα ποσού τουλάχιστον 10.000€ για κάθε μήνυμα[29], με προσφυγή στα πολιτικά δικαστήρια.
-2ον Διοικητικό πρόστιμο, μεταξύ 880,00 και 146.735,00€[30], που επιβάλλεται από την ΑΠΔΠΧ, είτε αυτεπαγγέλτως, είτε κατόπιν καταγγελίας πολίτη, που υποβάλλεται ηλεκτρονικά[31]. Εάν όμως, η ΑΠΔΠΧ διαγνώσει παράλληλα και παραβίαση διατάξεων του GDPR, όπως έχουμε ήδη δει να συμβαίνει σε αποφάσεις της, το διοικητικό πρόστιμο θα ανέλθει στα δυσθεώρητα επίπεδα του GDPR (πρόστιμα έως και 20.000.000€ ή έως 4% του τζίρου). Είναι δε σχεδόν απίθανο να έχει σημειωθεί παράβαση ανεπιθύμητης ηλεκτρονικής αλληλογραφίας και να μην έχει ταυτόχρονα παραβιαστεί κάποια από τις γενικές αρχές και υποχρεώσεις, που ρυθμίζονται από τον GDPR.
Χαρακτηριστική περίπτωση αποτέλεσε η απόφαση 34/2019[32] της ΑΠΔΠΧ, με την οποία επιβλήθηκε διοικητικό πρόστιμο ύψους 200.000 ευρώ στον ΟΤΕ, όταν εξαιτίας τεχνικού σφάλματος, κατέστη αδύνατη η ικανοποίηση του δικαιώματος εναντίωσης των συνδρομητών στη λήψη προωθητικών μηνυμάτων.
Συμπεράσματα
Όπως γίνεται σαφές από τα παραπάνω, η δυνατότητα αποστολής προωθητικών μηνυμάτων χωρίς προηγούμενη συγκατάθεση του παραλήπτη, ΔΕΝ είναι καταρχήν δυνατή σε άτομα με τα οποία ο αποστολέας δεν είχε καμία συναλλαγή στο παρελθόν. Ούτε βέβαια είναι νόμιμο να σταλεί ένα πρώτο μήνυμα με το οποίο να ζητείται η άδεια -συγκατάθεση του παραλήπτη, αφού ήδη και η πρώτη αυτή επικοινωνία θα έχει γίνει κατά παράβαση του ανωτέρω κανόνα.
Μόνος νόμιμος τρόπος να συλλέξει κανείς τα στοιχεία επικοινωνίας ατόμων με τα οποία δεν είχε ποτέ προηγούμενη συναλλαγή, είναι είτε κατά πρόσωπο, είτε μέσω τηλεφώνου, ζητώντας τους να συγκατατεθούν. Κάτι τέτοιο συμβαίνει για παράδειγμα κυρίως με την ευκαιρία εμπορικών εκθέσεων.
Σύμφωνα με τις σαφείς οδηγίες της ΑΠΔΠΧ[33], η χρήση διευθύνσεων ηλεκτρονικού ταχυδρομείου για την αποστολή διαφημιστικών μηνυμάτων ή για την εμπορία των διευθύνσεων αυτών είναι παράνομη όταν αυτές συλλέγονται:
-Με αγορά ή δωρεάν προμήθεια λιστών ηλεκτρονικών διευθύνσεων από εταιρείες χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των κατόχων των ηλεκτρονικών διευθύνσεων.
-Από καταλόγους που δεν έχουν συσταθεί για το σκοπό της απευθείας εμπορικής προώθησης ή κάθε άλλου είδους διαφήμισης και τα πρόσωπα που περιέχονται σε αυτούς δεν έχουν δώσει τη συγκατάθεση τους για τη λήψη τέτοιας μορφής ηλεκτρονικής επικοινωνίας. (πχ οι κατάλογοι των επαγγελματικών ενώσεων, των σωματείων, συλλόγων, κατάλογοι εκθέσεων κ.λ.π).
-Μέσω Διαδικτύου (harvesting) από μπλογκ και ιστοσελίδες που περιέχουν ηλεκτρονικές διευθύνσεις χρηστών ή κοινών διευθύνσεων επαφής εταιριών, social media, ενημερωτικές λίστες ηλεκτρονικού ταχυδρομείου (mailing lists), white yellow pages κ.ά., ανεξαρτήτως εάν η συλλογή διευθύνσεων πραγματοποιείται χειροκίνητα ή αυτόματα (π.χ. μέσω προγραμμάτων αράχνης (web crawlers).
-Από τρίτους, για παράδειγμα από άτομα που δίνουν τις διευθύνσεις φίλων τους χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των φίλων.
Οι εταιρείες-υπεύθυνοι επεξεργασίας, είναι υπόλογοι στην Αρχή για κάθε διαφημιστική ενέργεια μέσω αζήτητης επικοινωνίας που τους αφορά, ακόμα και αν αυτή γίνεται μέσω κάποιας διαφημιστικής εταιρείας για λογαριασμό τους.
Η συχνή παρανόηση ακόμη και δικαστικών λειτουργών, ότι προσωπικά δεδομένα που έχουν δημοσιευτεί στο διαδίκτυο δεν προστατεύονται από το νόμο, είναι παντελώς λανθασμένη και συνήθως εντοπίζεται στη σύγχυση μεταξύ του πλαισίου προστασίας του απορρήτου των επικοινωνιών με το πλαίσιο για την προστασία των προσωπικών δεδομένων: κάτι τέτοιο μπορεί να ισχύει μόνο για το απόρρητο των επικοινωνιών, που έχει νόημα προστασίας του, όσο η επικοινωνία διεξάγεται -κατά τη βούληση των συμμετεχόντων-ιδιωτικά και όχι δημόσια.
Αντίθετα, το δίκαιο προστασίας προσωπικών δεδομένων, ορίζει ότι επεξεργασία προσωπικών δεδομένων μπορεί να γίνει μόνο εφόσον υπάρχει μία από τις 6 προβλεπόμενες στο δίκαιο νομικές βάσεις και μόνο για συγκεκριμένο θεμιτό και νόμιμο σκοπό, ανεξάρτητα αν τα δεδομένα είναι δημοσιευμένα ή όχι.
Επομένως, για παράδειγμα, κατάλογοι στοιχείων επαγγελματιών, που έχουν δημοσιευτεί προκειμένου να μπορούν να επικοινωνούν μαζί τους πελάτες και συνεργάτες ή συνάδελφοι, δεν μπορούν να χρησιμοποιηθούν για άλλους σκοπούς, καθώς οι συμμετέχοντες στον κατάλογο έδωσαν τη συγκατάθεσή τους μόνο για το συγκεκριμένο σκοπό του καταλόγου και όχι για τη λήψη διαφημιστικών μηνυμάτων.
Έτσι, η φθηνή διαφημιστική λύση που παρείχε για δεκαετίες η πρακτική του spamming, ιδιαίτερα μετά την εφαρμογή του GDPR, μπορεί τελικά να έχει εξαιρετικά «ακριβό» τίμημα. Ο Κανονισμός αυτός, αν και δεν είναι το κατεξοχήν νομοθέτημα που εφαρμόζεται στην περίπτωση που εξετάζουμε, οδηγεί σταδιακά σε μεγαλύτερα ποσοστά ευαισθητοποίησης το μέσο πολίτη, όσον αφορά την πραγματική ουσία του δικαιώματός του στην προστασία των δεδομένων του, ενώ παράλληλα, οι αυστηρές του κυρώσεις, μπορούν να λειτουργήσουν αποτρεπτικά για κάθε τέτοια πρακτική, που συνηθέστατα θα σημαίνει και παραβίαση των όσων προβλέπει.
* Η Μαγδαληνή Σκόνδρα, CIPP/E, είναι δικηγόρος Θεσσαλονίκης, απόφοιτος της Νομικής σχολής του Α.Π.Θ.. Είναι Αντιπρόεδρος του μη κερδοσκοπικού Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος και μέλος της Ελληνικής Ένωσης για την Ιδιωτικότητα και τα Προσωπικά Δεδομένα. Εργάζεται ως δικηγόρος, DPO ιδιωτικών φορέων και σύμβουλος προστασίας προσωπικών δεδομένων.
ΠΗΓΕΣ – ΒΙΒΛΙΟΓΡΑΦΙΑ
-
- [1] Τσίπης,Γεώργιος, ‘Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας’ (Μεταπτυχιακή διατριβή, ΠΑΠΕΙ, Τμήμα Πληροφορικής, 2012). και ‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 3/2008, Ιούλιος – Αύγουστος – Σεπτέμβριος – Χ. Γ. Μουζάκης, Ανεπιθύμητη εμπορική ηλεκτρονική αλληλογραφία – Η αντιμετώπιση του φαινομένου στην ελληνική και διεθνή έννομη τάξη’, ημερομηνία πρόσβασης 30 Νοέμβριος 2019, https://www.nbonline.gr/journals/8/volumes/134/issues/479/lemmas/4639915?searchid=376993.
- [2] Οδηγία 2002/58/ΕΚ
- [3] Άρθρο 11 του Ν.3471/2006
- [4] Βλ. αποφάσεις ΑΠΔΠΧ 70/2017, 59/2012, 59/2011, 83/2009, Οδηγία 1/2010, αλλά και ΟΕ29 Γνώμη 2/2004
- [5] Ειδικότερα η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει κρίνει ότι: «η διεύθυνση ηλεκτρονικού ταχυδροµείου ενός φυσικού προσώπου αποτελεί προσωπικό δεδοµένο, αφού µπορεί να λειτουργήσει ως στοιχείο έµµεσης αναγνώρισης του κατόχου της, επιτρέποντας την επικοινωνία µε αυτόν, ενώ σε αρκετές περιπτώσεις φέρει ακόµα και στοιχεία του ονόµατος του κατόχου. Επισηµαίνεται δε ότι, σύµφωνα και µε τη Γνώµη 4/2007 της οµάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά µε την έννοια των προσωπικών δεδοµένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έµµεσης αναγνώρισης, όπως η διεύθυνση ηλεκτρονικού ταχυδροµείου, µπορούν επαρκώς σε ορισµένες περιπτώσεις να διακρίνουν ένα άτοµο από άλλα στο πλαίσιο ενός συγκεκριµένου συνόλου, ακόµα και αν δεν έχει γίνει η εξακρίβωση του ονόµατός του».ΑΠΔΠΧ απόφαση 70/2017
- [6] Ορ. σχετ. απόφαση ΑΠΔΠΧ, 11/2019
- [7]Συναφώς, τυγχάνουν εδώ εφαρμογής οι υπ΄ αριθ. 255/2017 κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 σχετικά με τη συγκατάθεση. ‘ARTICLE29 Newsroom – Guidelines on Consent under Regulation 2016/679 (wp259rev.01) – European Commission’, ημερομηνία πρόσβασης 1 Δεκέμβριος 2019, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
- [8] όπως αυτή οριοθετείται από την Οδηγία ΕΚ 2002/58 και το άρθρο 11 του Ν. 3471/2006
- [9] Ορ. άρθρο 5 παρ. 3 Ν. 3471/2006.
- [10] Ορ. σχετ. απόφαση ΑΠΔΠΧ 51/2018, http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=64,30,245,14,250,206,129,84
- [11] Οδηγία ΑΠΔΠΧ 1/2010
- [12] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=50,73,143,76,63,114,10,147
- [13] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=64,30,245,14,250,206,129,84
- [14] άρθρο 2 περ. 7 του Ν.3471/2006
- [15] https://www.dpa.gr/portal/page?_pageid=33,127423&_dad=portal&_schema=PORTAL
- [16] άρθρο 11 παρ. 3 του Ν. 3471/2006
- [17] Ορ. και ΑΠΔΠΧ 66/2018
- [18] Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας Τσίπης,Γεώργιος, ‘Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας’.
- [19] Καθώς είναι προφανές ότι τέτοιου είδους συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου μπορεί να υπαχθεί στο άρθρο 370Β΄ΠΚ, αφού με αυτήν το δίχως άλλο αποκτάται χωρίς δικαίωμα πρόσβαση σε ηλεκτρονικά δεδομένα, αλλά και στη διάταξη του άρθρου 38 του Ν.4624/2019, στο βαθμό που η συλλογή αφορά διευθύνσεις ΙΡ και ηλεκτρονικού ταχυδρομείου φυσικών προσώπων, που εμπίπτουν στην έννοια των προσωπικών δεδομένων Έτσι και Εμμανουήλ Μεταξάκης, ‘Η ποινική προστασία της διεύθυνσης ηλεκτρονικού ταχυδρομείιου, του ονόματος χρήστη, του κωδικού πρόσβασης και της διεύθυνσης διαδικτυακού πρωτοκόλλου’, 2014, ΞΔ 2014, 2014, 8., σύμφωνα με τον οποίο ακόμη και οι δυναμικές διευθύνσεις θα πρέπει να θεωρούνται προσωπικά δεδομένα, άποψη που υιοθέτησε και το ΔΕΕ στην C-582.14 Patrick Breyer vs Bundesrepublik Deutschland (http://curia.europa.eu/juris/document/document.jsf?text=&docid=186346&pageIndex=0&doclang=EL&mode=req&dir=&occ=first&part=1&cid=6481564)
- [20] Αυτό μπορεί να συνιστά και το αδίκημα της απάτης μέσω υπολογιστή, εφόσον ο δράστης έχει σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος Έτσι και ‘ΜΕΤΑΞΑΚΗΣ ΠΟΙΝΔΙΚ 2015 681
- [21] Κατά την ΑΠΔΠΧ, τα μηνύματα σπαμ μπορεί να περιέχουν εκτός των άλλων και :
- -ένα κακόβουλο μήνυμα εξαπάτησης με στόχο την εξαγωγή προσωπικών δεδομένων (phishing), όπως ονόματα χρήστη, κωδικούς, αριθμούς πιστωτικής κάρτας, κ.λπ.
- -ένα κακόβουλο μήνυμα με στόχο την οικονομική εξαπάτηση (scamming)
- -μηνύματα φαινομενικά εμπορικά που παραπέμπουν σε ιστοσελίδες με κακόβουλο κώδικα (malware) , https://www.dpa.gr/portal/page?_pageid=33,127453&_dad=portal&_schema=PORTAL
- [22] Κατά το άρθρο 3 του Ν. 3471/2006, οριοθετείται το πεδίο εφαρμογής του ως εξής: «1. Οι διατάξεις των άρθρων 1 έως 17 του παρόντος νόμου έχουν εφαρμογή κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση του απορρήτου των επικοινωνιών, στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών περιλαμβανομένων αυτών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη διαθεσίμων στο κοινό δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, εφαρμόζεται ο ν. 2472/1997 (Α`50), όπως ισχύει.»
-
- Ο ν. 2472/1997, όπως ισχύει, και οι εκτελεστικοί του άρθρου 19 του Συντάγματος νόμοι, όπως ισχύουν, εφαρμόζονται για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών, που δεν ρυθμίζεται ειδικότερα από τον παρόντα νόμο.».
-
- [23] Ορ. σχετ. πρόσφατη υπ’ αριθ. 11/2019 απόφαση της ΑΠΔΠΧ, που σε παραβίαση του άρθρου 11 παρ. 1 του ν. 3471/2006, έκρινε ότι «η Αρχή κρίνει ότι πρέπει να απευθύνει αυστηρή προειδοποίηση στο υπεύθυνο επεξεργασίας, με βάση το άρθρο 21 παρ. 1 εδαφ. α) του Ν 2472/1997, καθότι, σύμφωνα με το άρθρο 3 παρ. 1 και 2 του Ν 3471/2006, εφαρμογή στην προκειμένη περίπτωση έχει ο Ν 2472/1997 και όχι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679.»
- [24]Αυτονοήτως, αυτό γίνεται δεκτό και από τη θεωρία και τους ακαδημαϊκούς: «Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών συνεχίζει να εφαρμόζεται ο ν. 2472/1997 (άρθρο 3 ν. 3471/2006). Η παραπάνω ρύθμιση σημαίνει πρώτα απ’ όλα ότι για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πεδίο των παρεχόμενων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ο ν. 3471/2006 υπερισχύει του ν. 2472/1997, συνεπώς εφαρμόζεται για τις παρεχόμενες στο κοινό υπηρεσίες επικοινωνίας μέσω του διαδικτύου» ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΚΑΙ ΚΑΤΑΧΡΗΣΕΙΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΪΑΦΑ-ΓΚΜΠΑΝΤΙ, ‘ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΚΑΙ ΚΑΤΑΧΡΗΣΕΙΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ’, ΑΡΜΕΝΟΠΟΥΛΟΣ σ.1058.
- [25]. Έτσι, επικρίθηκε η απόφαση 19/2008 της ΑΠΔΠΧ, η οποία εφάρμοσε και μνημόνευσε το Ν. 2472/1997, αν και εξέταζε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, υπαγόμενων στο πεδίο εφαρμογής του Ν.3471/2006: «Στη σχολιαζόμενη απόφαση γίνεται ρητά αναφορά σε στοιχεία και δεδομένα προσωπικού χαρακτήρα των «συνδρομητών» του Παρόχου, δηλαδή αναφέρεται στην ειδική κατηγορία δεδομένων των Οδηγιών 97/66/ΕΚ και 2002/58/ΕΚ. Παρά ταύτα, ουδεμία αναφορά γίνεται στο Ν 3471/2006, ούτε αιτιολογείται με ποια συλλογιστική καταλήγει κανείς στο συμπέρασμα ότι τα στοιχεία αυτά αποτελούν «απλά» δεδομένα προσωπικού χαρακτήρα του Ν 2472/1997, τη στιγμή κατά την οποία αφορούν συνδρομητές Παρόχου υπηρεσιών τηλεφωνίας και επομένως υπάγονται στις διατάξεις του Ν 3471/2006 και εφαρμόζονται μόνο οι εκεί προβλεπόμενοι κανόνες επεξεργασίας.» ‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 2/2008, Απρίλιος – Μάιος – Ιούνιος – Γ. Τσόλιας, Δεδομένα προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και «αντίστροφη αναζήτηση» αυτών για λόγους διακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων Εξ αφορμής της υπ’ αρ. 19/2008 απόφασης της ΑΠΔΠΧ’, ημερομηνία πρόσβασης 2 Δεκέμβριος 2019, https://www.nbonline.gr/journals/8/volumes/134/issues/478/lemmas/4639824.
- [26]Μάλιστα, στην αναφερόμενη μελέτη, ο Γ.Τσόλιας κάνει λόγο για «ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα» στο Ν 3471/2006 σε αντιδιαστολή με τα «απλά δεδομένα» του Ν. 2472/1997 «1. Από τις διατάξεις του Ν 3471/2006 προκύπτει η τυποποίηση περισσότερων κατηγοριών δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών σε δημόσια δίκτυα και μόνον :Στην πρώτη κατηγορία υπάγονται τα δεδομένα κίνησης και θέσης (άρθρο 2 παρ. 3, 4 και άρθρο 6). Στην ίδια κατηγορία, υπάγεται η περίπτωση των δεδομένων θέσης, τα οποία τυγχάνουν επεξεργασίας στο πλαίσιο της παροχής υπηρεσιών προστιθέμενης αξίας (άρθρο 2 παρ. 7 σε συνδυασμό με άρθρο 6 παρ. 3). Στη δεύτερη κατηγορία υπάγονται τα δεδομένα προσωπικού χαρακτήρα που παράγονται ή τυγχάνουν επεξεργασίας στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα, τα οποία όμως δεν αποτελούν δεδομένα κίνησης ή θέσης. Στην Αιτιολογική σκέψη υπ’ αρ. 15 της Οδηγίας 2002/58/ΕΚ γίνεται λόγος για την υπαγωγή του ονόματος, της αρίθμησης ή της διεύθυνσης στην έννοια των δεδομένων κίνησης , στοιχεία τα οποία συνδέονται με το γεγονός και τη μετάδοση της επικοινωνίας.»‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 2/2008, Απρίλιος – Μάιος – Ιούνιος – Γ. Τσόλιας, Δεδομένα προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και «αντίστροφη αναζήτηση» αυτών για λόγους διακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων Εξ αφορμής της υπ’ αρ. 19/2008 απόφασης της ΑΠΔΠΧ’.
- [27] ο οποίος ρητά προβλέπει ότι εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου. (Αιτ. σκέψη 173 GDPR)
- [28] «άρθρο 83 παρ. 1:Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του GDPR και του παρόντος.» Περαιτέρω, κατά την δεύτερη παράγραφο του ίδιου άρθρου «2. Οι οδηγίες και κανονιστικές πράξεις της Αρχής διατηρούνται σε ισχύ, εφόσον δεν προσκρούουν στον GDPR και στις ρυθμίσεις του παρόντος».
- [29] Άρθρο 14 παρ. 2 Ν. 3471/2006
- [30] βάσει της διατηρουμένης σε ισχύ διάταξης του άρθρου 21 του Ν. 2472/97 : Το άρθρο 84 του Ν. 4624/2019, διατήρησε σε ισχύ το άρθρο 21 του Ν. 2472/1997, που αφορά την επιβολή διοικητικών κυρώσεων σύμφωνα με το άρθρο 13 παράγραφος 4 του ν. 3471/2006
- [31] http://www.dpa.gr/portal/page?_pageid=33,211532&_dad=portal&_schema=PORTAL
- [32] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=47,129,81,44,214,237,129,37
- [33] https://www.dpa.gr/portal/page?_pageid=33,127438&_dad=portal&_schema=PORTAL