master_admin

Την Τετάρτη, 08.01.2020, η οργάνωση της κοινωνίας των πολιτών Privacy International απέστειλε από κοινού με περισσότερες από πενήντα (50) οργανώσεις, συμπεριλαμβανομένης της Homo Digitalis, ανοιχτή επιστολή προς τον Διευθύνοντα Σύμβουλο της εταιρίας Alphabet Inc κ. Sundar Pichai.

Με την επιστολή αυτή, οι οργανώσεις που την συνυπογράφουν ζητούν από την Google να προχωρήσει σε άμεσες ενέργειες προκειμένου να αποτρέψει τη χρήση προεγκατεστημένων εφαρμογών σε κινητά τηλέφωνα με λογισμικό Android, οι οποίες επιφέρουν σημαντικούς κινδύνους για την ιδιωτικότητα των χρηστών τους.

Συγκεκριμένα, οι εν λόγω εφαμοργές εντάσσονται σε καθεστώς διακριτικής μεταχείρισης, το οποίο τους επιτρέπει να λειτουργούν εκτός των προτύπων ασφάλειας του λογισμικού Android. Μάλιστα το 91% των εν λόγω προεγκατεστημένων εφαρμογών δεν βρίσκεται διαθέσιμο στο Google Play.

Αυτές οι προεγκατεστημένες εφαρμογές συναντώνται συχνά σε φθηνά κινητά που λειτουργούν με λογισμικό Android και επιτρέπουν τη χρήση της κάμερας και του μικροφώνου, ή ακόμα και τη λήψη της τοποθεσίας της συσκευής.

Όμως, ο σεβασμός της ιδιωτικής ζωής και η προστασία των προσωπικών δεδομένων δεν είναι είδη πολυτελείας αλλά ανθρώπινα δικαιώματα!

Μπορείτε να δείτε το πλήρες κείμενο της επιστολής εδώ και να συμμετέχετε και εσείς σε αυτή την εκστρατεία υπογράφοντας την επιστολή εδώ.

Η Αναστασία Καραγιάννη, μέλος της Homo Digitalis, μίλησε στο TEDx Lesvos στις 29 Σεπτεμβρίου 2019 στο Δημοτικό Θέατρο Μυτιλήνης για ένα αναπάντεχο περιστατικό που έζησε με το smartphone της και πώς αυτό μπορεί να επηρεάζει την ιδιωτικότητά της.

Πώς μπορεί το κινητό της να ήξερε ποιο είναι το αγαπημένο της γάλα και να της πρότεινε να το αγοράσει; Πού βρίσκονται τα όρια της ιδιωτικότητας και τι συμβαίνει όταν εταιρείες ή ακόμα και κυβερνήσεις ξεπερνούν αυτά τα όρια;

Μπορείτε να παρακολουθήσετε ολόκληρη την ομιλία της Αναστασίας εδώ.

Την Παρασκευή 03 Ιανουαρίου 2020, η Homo Digitalis υπέβαλε ανοιχτή επιστολή προς τον Υπουργό Ψηφιακής Διακυβέρνησης, κ. Κυριάκο Πιερρακάκη αναφορικά με τον προτεινόμενο Ευρωπαϊκό Κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (ePrivacy Regulation).

Με την επιστολή αυτή, και σε συνέχεια της από 11 Οκτωβρίου 2019 προηγούμενης επιστολής της οργάνωσής μας, καλούμε τον κ. Υπουργό να στηρίξει με τη στάση του την υιοθέτηση ενός κοινού προτεινόμενου κειμένου από το Συμβούλιο της ΕΕ εντός του 2020 προκειμένου οι Έλληνες και οι Ελληνίδες πολίτες αλλά και όλοι οι χρήστες των ηλεκτρονικών επικοινωνιών εντός της ΕΕ να απολαμβάνουν το υψηλότερο επίπεδο προστασίας για τα δικαιώματα και τις ελευθερίες τους.

Παρά το γεγονός ότι η «Ομάδα Εργασίας για τις Τηλεπικοινωνίες και τη Κοινωνία της Πληροφορίας» του Συμβουλίου και η Φινλανδική Προεδρία είχαν εξετάσει τον προτεινόμενο κανονισμό και τις διατάξεις του επαρκώς, στις 22 Νοεμβρίου 2019, η Επιτροπή Μόνιμων Αντιπροσώπων του Συμβουλίου της Ευρωπαϊκής Ένωσης δεν υιοθέτησε το τελευταίο σχέδιο κειμένου για τον προτεινόμενο Ευρωπαϊκό Κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (ePrivacy Regulation).

Για σχεδόν τρία χρόνια από τότε που η Επιτροπή παρουσίασε την πρόταση της, το Συμβούλιο δεν έχει υιοθετήσει προτεινόμενο κείμενο, ενώ οι προτεινόμενες αναθεωρήσεις του συχνά αποδυνάμωναν το υψηλό επίπεδο προστασίας για τα δικαιώματα και τις ελευθερίες των χρηστών των ηλεκτρονικών επικοινωνιών.

Παρά τη μη υιοθέτηση ενός κοινού προτεινόμενου Κανονισμού από το Συμβούλιο στις 22 Νοεμβρίου 2019, τα Κράτη Μέλη μπορούν ακόμη να γυρίσουν στο τραπέζι των διαπραγματεύσεων για να υιοθετήσουν από κοινού ένα προτεινόμενο κείμενο που θα στοχεύει την ενίσχυση της προστασίας της ιδιωτικής ζωής στις σύγχρονες ηλεκτρονικές επικοινωνίες.

Σε αντίθετη περίπτωση, η ολική απόρριψη του προτεινόμενου κειμένου και η δημιουργία νέου προτεινόμενου Κανονισμού από την Ευρωπαϊκή Επιτροπή θα δημιουργήσει μεγάλη χρονική καθυστέρηση και εκ νέου διαπραγματεύσεις σε επίπεδο Επιτροπής και Ευρωπαϊκού Κοινοβουλίου, οδηγώντας στην αποδυνάμωση των δικαιωμάτων των χρηστών των ηλεκτρονικών επικοινωνιών.

Μπορείτε να δείτε το πλήρες κείμενο της επιστολής μας εδώ.

Σήμερα, 03.01.2020, η Homo Digitalis προχώρησε στην πρώτη της δράση για το 2020! Με Ανοιχτή Επιστολή μας (Αριθμ.Πρωτ: Γ/ΕΙΣ/33/03-01-2020) προς της Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ) γνωστοποιήσαμε την παραβίαση των διατάξεων του Άρθρου 53 του Ν.4624/2019 από την Ελληνική Αστυνομία (ΕΛ.ΑΣ).

Συγκεκριμένα, με βάση τις διατάξεις του εν λόγω άρθρου κάθε αρχή επιβολής του νόμου στην Ελληνική Επικράτεια, όπως η ΕΛ.ΑΣ, υποχρεούται να αναρτά γενικές και ευχερώς προσβάσιμες στο κοινό πληροφορίες σε απλή και κατανοητή γλώσσα και μέσω του διαδικτυακού τόπου της αναφορικά με την επεξεργασία προσωπικών δεδομένων από πλευράς της. Τέτοιες πληροφορίες είναι π.χ. η ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας της ή τα δικαιώματα του υποκειμένου των δεδομένων και πως μπορεί αυτό να τα ασκήσει.

Για παράδειγμα, το Λιμενικό Σώμα, στην προσπάθεια του να συμμορφωθεί με τις εν λόγω διατάξεις έχει αναρτήσει στην ιστοσελίδα του κάποιες βασικές πληροφορίες σχετικά με τα στοιχεία επικοινωνίας της DPO του Υπουργείου Ναυτιλίας και Νησιωτικής Πολιτικής (ΥΝΑΝΠ). Ωστόσο, η ιστοσελίδα της ΕΛ.ΑΣ καθώς και η ιστοσελίδα του Υπουργείου Προστασίας του Πολίτη δεν είναι ενημερωμένες με τις εν λόγω ελάχιστες απαραίτητες πληροφορίες όπως ο νόμος ορίζει.

Στο σημείο αυτό πρέπει να τονίσουμε ότι έχουν συμπληρωθεί πέντε (5) μήνες από την έναρξη ισχύος του Ν.4624/2019 και επομένως ευλόγως θεωρούμε ότι η μη συμμόρφωση της ΕΛ.ΑΣ με τις διατάξεις του άρθρου 53 δυσχεραίνει σημαντικά την πληροφόρηση των υποκειμένων των δεδομένων και αποτελεί τροχοπέδη στην άσκηση και προστασία των δικαιωμάτων τους. 

Μάλιστα, με ηλεκτρονική επιστολή μας στις 19 Νοεμβρίου 2019 προς το Κέντρο Επικοινωνίας του Αρχηγείου της ΕΛ.ΑΣ, υποβάλαμε σχετικό ερώτημα με το οποίο ζητούσαμε να μας υποδείξει η ΕΛ.ΑΣ το πεδίο στο οποίο έχει αναρτήσει τις εκ του νόμου προβλεπόμενες πληροφορίες στην ιστοσελίδα της. Επειδή η ΕΛ.ΑΣ δεν ανταποκρίθηκε στο ερώτημα μας, με δεύτερη ηλεκτρονική επιστολή μας στις 3 Δεκεμβρίου 2019 αποστείλαμε ευγενική υπενθύμιση στην ΕΛ.ΑΣ προκειμένου να απαντήσει σε αυτό. Ωστόσο, η ΕΛ.ΑΣ δεν ανταποκρίθηκε ούτε τότε στο ερώτημά μας.

Επομένως, σήμερα προχωρήσαμε στην γνωστοποίηση της εν λόγω παράβασης προς τον Πρόεδρο της ΑΠΔΠΧ, κ. Μενουδάκο, με Ανοιχτή Επιστολή μας. Σκοπός μας είναι η ΑΠΔΠΧ να προχωρήσει στις απαραίτητες ενέργειες ώστε να επιδιώξει την άμεση συμμόρφωση της ΕΛ.ΑΣ με τις διατάξεις του Ν.4624/2019 και την ανάρτηση στον διαδικτυακό τόπο της ΕΛ.ΑΣ των εκ του νόμου προβλεπόμενων πληροφοριών.

Μπορείτε να δείτε την επιστολή μας και τα συνημμένα έγγραφα αυτής εδώ.

Την Πέμπτη 12 Δεκεμβρίου 2019 η Homo Digitalis είχε τη μεγάλη τιμή και χαρά να συμμετέχει στην ημερίδα που διοργάνωσε η ομάδα μελετών Centre for European Policy Studies (CEPS) αναφορικά με ζητήματα ασφάλειας στον κυβερνοχώρο και τίτλο «From Policy to Action: Next Steps in the European Union Cybersecurity». Η ημερίδα έλαβε χώρα στις Βρυξέλλες.

Η οργάνωση μας συμμετείχε στο πάνελ συζήτησης που αφορούσε τη χρήση τεχνητής νοημοσύνης στον τομέα της κυβερνοασφάλειας με τίτλο «Artificial Intelligence & Cybersecurity». Την οργάνωσή μας εκπροσώπησε το μέλος μας και γραμματέας του Δ.Σ., Λευτέρης Χελιουδάκης.

Τα άλλα μέλη του πάνελ ήταν οι:

Matt Walmsley, EMEA Director, VECTRA,

Nikita Aggarwal, Research Associate Digital Ethics Lab, Oxford University, και

Turo Mattila, Chair of the EU Council’s horizontal working party on cyber issues

Ευχαριστούμε θερμά την CEPS για την ευγενική τους πρόσκληση. Μπορείτε να μάθετε περισσότερα για την ημερίδα και να δείτε το πρόγραμμα αυτής καθώς και υλικό από τις παρουσιάσεις εδώ.

Γράφει η Καλλιρρόη Γραμμένου*

Οι επισκέπτες ιστοσελίδων βρίσκονται συχνά αντιμέτωποι με δυσνόητες, πυκνογραμμένες πολιτικές απορρήτου και ρυθμίσεις cookies.

Οι περισσότεροι χρήστες δεν έχουν τις τεχνικές γνώσεις να αξιολογήσουν εάν μία ιστοσελίδα συμμορφώνεται προς το ισχύον κανονιστικό πλαίσιο και εάν έχουν πραγματική ή κατ’ επίφαση επιλογή ως προς την τοποθέτηση cookies και την παρακολούθηση της διαδικτυακής συμπεριφοράς και των προτιμήσεών τους.

Τα Cookies είναι μικρά αρχεία κειμένου που αποθηκεύονται στη συσκευή του επισκέπτη μίας ιστοσελίδας. Πολλά από αυτά χρησιμοποιούνται για τη βελτίωση της χρηστικότητας ή της λειτουργικότητας ιστοσελίδων/ εφαρμογών.

Η θέση σε ισχύ του GDPR (Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) περιπλέκει ακόμα περισσότερο το τοπίο και δημιουργεί συχνά απορίες και σημεία σύγχυσης.

Η Γαλλική αρχή προστασίας δεδομένων (CNIL) και η Ισπανική Αρχή, με τις νέες κατευθυντήριες γραμμές που εξέδωσαν και το δικαστήριο της ΕΕ, με την σημαντική απόφαση Planet 49 GmbH (υπόθεση C-673/17) παρέχουν χρήσιμες διευκρινίσεις ως προς τις απαιτήσεις συγκατάθεσης των χρηστών για την αποθήκευση cookies στον εξοπλισμό τους.

Παρακάτω επιχειρούμε να εξηγήσουμε με απλό τρόπο τη σύζευξη του κανονισμού GDPR και της οδηγίας ePrivacy αλλά και να δώσουμε κάποιες ενδείξεις στους χρήστες σχετικά με την κατανόηση και την ορθότητα των πολιτικών cookies που χρησιμοποιούν οι πάροχοι ιστοσελίδων.

• Οδηγία ePrivacy και GDPR

Η εγκατάσταση και η χρήση «cookies» ρυθμίζεται από την παράγραφο 5 του άρθρου 4 του ν. 3471/2006 (ο οποίος μετέφερε στην ελληνική έννομη τάξη την Οδηγία ePrivacy – 2002/58/ΕΚ (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, γνωστή ως “cookies directive”).

Η βασική αρχή είναι ότι η εγκατάσταση και χρήση cookies επιτρέπεται μόνο με τη συγκατάθεση του χρήστη.

Υπάρχει μία λανθασμένη αντίληψη ότι όλες οι ρυθμίσεις απορρήτου, συμπεριλαμβανομένων των cookies, ανάγονται μόνο στον GDPR. Το δικαστήριο της ΕΕ στην απόφαση Planet 49 αναφέρεται επίσης στην οδηγία ePrivacy 2002/58. 

Σκοπός της οδηγίας είναι η προστασία της ιδιωτικής σφαίρας των χρηστών, ανεξαρτήτως εάν συλλέγονται ή όχι προσωπικά δεδομένα μέσω τεχνολογιών ηλεκτρονικής επικοινωνίας.

Είναι σημαντικό να κάνουμε την εξής διάκριση:

• Η οδηγία ePrivacy (cookies directive) ρυθμίζει τον δίαυλο επικοινωνίας (ηλεκτρονική επικοινωνία). Ο κανόνας σχετικά με τη λήψη συγκατάθεσης για την τοποθέτηση cookies εφαρμόζεται ανεξαρτήτως εάν γίνεται επεξεργασία προσωπικών δεδομένων ή όχι. 
• Ο ΓΚΠΔ (GDPR) ρυθμίζει τις νομικές βάσεις για τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και ορίζει την έννοια της συγκατάθεσης. Ο Κανονισμός ορίζει ότι η συγκατάθεση δεν μπορεί να είναι ελεύθερη εάν για την παροχή υπηρεσίας ζητείται συγκατάθεση που δεν είναι αναγκαία για τον συγκεκριμένο σκοπό.

Ως πρακτικό παράδειγμα θα μπορούσαμε να αναφέρουμε την περίπτωση ιστοσελίδας η οποία ζητά συγκατάθεση του επισκέπτη για τη χρήση cookies, ενημερώνοντάς τον ότι με τη συγκατάθεσή του αυτή συμφωνεί επίσης στη χρήση των στοιχείων του για επιπλέον σκοπούς, πλην της ζητηθείσας υπηρεσίας (bundled consent).

Ο GDPR ορίζει με σαφήνεια την έννοια της έγκυρης συγκατάθεσης στο άρθρο 7. Επιπλέον, στην αιτιολογική σκέψη 32 του GDPR, αναφέρεται ότι « Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων  υπέρ των δεδομένων που τον αφορούν. […] η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση.»

• Το τέλος του soft opt-in

Μέχρι σήμερα, το τοπίο σχετικά με τη χρήση των cookies και τις ρυθμίσεις απορρήτου των ιστοσελίδων (sites) ήταν νεφελώδες και διόλου ξεκάθαρο. Αυτό οφειλόταν στις διαφορές ως προς τη μεταφορά της οδηγίας ePrivacy στο εσωτερικό δίκαιο κάθε χώρας της ΕΕ αλλά και στην ανοχή που επεδείκνυαν κάποιες αρχές προστασίας δεδομένων σε χώρες όπως η Γαλλία, το Ηνωμένο Βασίλειο και η Γερμανία στη σιωπηρή συγκατάθεση (το επονομαζόμενο “soft opt-in”).

• Τι σημαίνει αυτό στην πράξη;

Όταν ο χρήστης επισκέπτεται μία ιστοσελίδα για πρώτη φορά, στο επάνω ή στο κάτω μέρος της ιστοσελίδας υπάρχει ένα cookie banner. Κλείνοντας το ή συνεχίζοντας την επίσκεψη στην ιστοσελίδα (χωρίς καμία περαιτέρω δήλωση), συνάγεται ότι ο χρήστης συναινεί σιωπηρά, άρα αποδέχεται την χρήση των cookies. Πολλές ιστοσελίδες εξακολουθούν να χρησιμοποιούν αυτό το σύστημα.

Παράδειγμα: Cookie banner σε site με το ακόλουθο περιεχόμενο: «Με τη συνέχιση της πλοήγησης αποδέχεστε τη χρήση των cookies».

Η Γαλλική αρχή CNIL ανακοίνωσε ότι αυτή η πρακτική δεν είναι πλέον συμβατή με τον κανονισμό GDPR διότι η σιωπηρή συγκατάθεση δεν είναι έγκυρη.

Εντούτοις, η CNIL όρισε μεταβατική περίοδο 12 μηνών ώστε οι πάροχοι ιστοσελίδων να προσαρμόσουν κατάλληλα τις ρυθμίσεις cookies.

Αυτό οφείλεται επίσης στο ότι ο κανονισμός ePrivacy δεν έχει τεθεί ακόμα σε ισχύ και παραμένουν σημαντικές αποκλίσεις ως προς την εφαρμογή της οδηγίας ePrivacy στο δίκαιο κάθε κράτους μέλους της ΕΕ. Με τη θέση σε ισχύ του κανονισμού ePrivacy, θα ισχύει ένα ενιαίο καθεστώς για όλα τα κράτη μέλη της ΕΕ, επομένως οι πάροχοι ιστοσελίδων θα πρέπει να υπαχθούν σε ομοιογενές καθεστώς συμμόρφωσης ως προς την χρήση cookies. Η γαλλική αρχή αποφάσισε να μην περιμένει τη θέση σε ισχύ του επερχόμενου κανονισμού ePrivacy προκειμένου να επιβάλλει τη συμμόρφωση των παρόχων ιστοσελίδων με ενιαία πρότυπα ρυθμίσεων απορρήτου.

• Τι πρέπει να ελέγχουν οι χρήστες προκειμένου να καταλάβουν αν μία ιστοσελίδα εφαρμόζει σωστά τη νομοθεσία για τα cookies;

Σύμφωνα με τις τελευταίες νομολογιακές εξελίξεις και τις κατευθυντήριες γραμμές διαφόρων Αρχών προστασίας δεδομένων προσωπικού χαρακτήρα (με πιο πρόσφατες της οδηγίες της Ισπανικής Αρχής), οι επισκέπτες ιστοσελίδων πρέπει να λάβουν υπόψη τους τα εξής προκειμένου να αποφύγουν την τοποθέτηση ανεπιθύμητων cookies και να προσαρμόσουν τις παραμέτρους απορρήτου όπως επιθυμούν:

-Δεν απαιτείται προηγούμενη συγκατάθεση του χρήστη μόνο για τα λειτουργικά cookies (functional cookies) που είναι απολύτως απαραίτητα για τη λειτουργία της ιστοσελίδας, για την εκτέλεση ηλεκτρονικής επικοινωνίας ή για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας. Χωρίς τη χρήση λειτουργικών cookies είναι αδύνατη η περιήγηση του επισκέπτη στην ιστοσελίδα.

-Για τα υπόλοιπα είδη cookies (πλην των λεγόμενων functional cookies) απαιτείται ενημέρωση του χρήστη και παροχή δυνατότητας να συγκατατεθεί ρητά, με ρητή και  θετική ενέργεια (επιλέγοντας ο ίδιος το αντίστοιχο τετραγωνίδιο) ή να αρνηθεί την τοποθέτηση των cookies στον υπολογιστή του (παροχή επιλογών ανά κατηγορία cookies και όχι για όλα αδιακρίτως).

-Η ιστοσελίδα θα πρέπει να παρέχει ενημέρωση στον χρήστη όχι μόνο σχετικά με τα cookies που τοποθετεί στον υπολογιστή του χρήστη (“First Party” Cookie) αλλά και σχετικά με τα cookies από Τρίτα Μέρη (third-party cookies) κυρίως για τους σκοπούς συμπεριφορικής διαφήμισης (Online behavioural advertising – OBA). Κάθε ιστοσελίδα που χρησιμοποιεί συμπεριφορική διαφήμιση οφείλει να παρέχει πληροφορίες σχετικά με την συλλογή και την χρήση δεδομένων, τις οποίες οι χρήστες πρέπει να είναι σε θέση να εντοπίσουν με ευχέρεια.

Σύμφωνα με τις οδηγίες της Ισπανικής Αρχής, πληροφορίες σχετικά με cookies από Τρίτα Μέρη μπορούν να παρέχονται με αναπτυσσόμενη λίστα (drop-down) ή με αναδυόμενο κείμενο (pop-up).

-Οι επισκέπτες ιστοσελίδας πρέπει να παρέχουν τη συγκατάθεσή τους στην τοποθέτηση cookies κατά τρόπο ρητό και σαφή, δηλαδή με δήλωση ή με σαφή θετική ενέργεια (π.χ. με συμπλήρωση τετραγωνιδίου). Κατά συνέπεια, τυχόν προσυμπληρωμένα τετραγωνίδια δεν συνεπάγονται ότι ο χρήστης συναινεί νομίμως στην επεξεργασία, διότι η συγκατάθεσή του δεν είναι ελεύθερη ούτε ρητή (Απόφαση Δικαστηρίου ΕΕ, Planet49 GmbH, σκέψεις 62, 63).

 Συνεπώς, προεπιλεγμένο τετραγωνίδιο το οποίο οι χρήστες πρέπει να απο-επιλέξουν προκειμένου να αρνηθούν να δώσουν τη συγκατάθεσή τους δεν είναι συμβατό προς τον κανονισμό GDPR ούτε προς την οδηγία ePrivacy.

-Η πολιτική cookies πρέπει να παρουσιάζεται ευκρινώς και με απλή γλώσσα στην ιστοσελίδα. Η πολιτική πρέπει να περιγράφει με εύληπτο τρόπο τις διαθέσιμες ρυθμίσεις απορρήτου, καθώς και να παρέχει στον χρήστη τη δυνατότητα επιλογής των ρυθμίσεων απορρήτου ανά σκοπό, χωρίς προεπιλεγμένες από τον πάροχο ρυθμίσεις (αρχή της διαφάνειας).

-Οι πληροφορίες τις οποίες ο πάροχος υπηρεσιών πρέπει να παρέχει στον επισκέπτη της ιστοσελίδας περιλαμβάνουν τη διάρκεια λειτουργίας των cookies καθώς και το εάν τρίτοι πάροχοι μπορούν να έχουν πρόσβαση στα cookies (Απόφαση Δικαστηρίου ΕΕ, υπόθεση Planet49 GmbH). 

• Άλλα στοιχεία που πρέπει να προσέχουν οι χρήστες

Α) Λήψη ξεχωριστής συγκατάθεσης ανά σκοπό επεξεργασίας

Ο χρήστης πρέπει να ελέγχει εάν το αίτημα για λήψη συγκατάθεσης είναι χωριστό ανά σκοπό επεξεργασίας.

Παράδειγμα: ιστοσελίδα ζητά από τον χρήστη να επιλέξει τετραγωνίδιο για να κατεβάσει μία εφαρμογή στο κινητό ή στον υπολογιστή του και ταυτόχρονα τον ενημερώνει ότι με τη συγκατάθεση αυτή συμφωνεί επίσης σε περαιτέρω χρήση των στοιχείων του για διαφημιστικούς σκοπούς. Εν προκειμένω, η συγκατάθεση δεν είναι ελεύθερη, ούτε συγκεκριμένη, διαβαθμισμένη και ελεύθερα ανακλητή. Στη συγκεκριμένη περίπτωση, η συγκατάθεση δίνεται για περισσότερους σκοπούς επεξεργασίας οι οποίοι δεν είναι διακριτοί και η άρνηση του χρήστη να δεχτεί την περαιτέρω επεξεργασία για σκοπούς marketing, τον αποκλείει από την πρόσβαση στην εφαρμογή (bundled consent).

Επομένως οι χρήστες πρέπει να αντιλαμβάνονται ότι μία λήψη συγκατάθεσης πρέπει να αντιστοιχεί σε έναν ευδιάκριτο σκοπό.

Β) Cookie walls

Το Δικαστήριο της ΕΕ στην πρόσφατη απόφαση Planet49 δεν ανέλυσε τη συμβατότητα των cookie walls προς τον κανονισμό GDPR. Ωστόσο, η Ολλανδική αρχή προστασίας δεδομένων διευκρίνισε ότι τα cookie walls δεν είναι συμβατά με τον GDPR.

• Πώς λειτουργούν τα cookie walls;

Τα cookie walls αρνούνται στον επισκέπτη την πρόσβαση σε μία ιστοσελίδα, εάν εκείνος δεν συγκατατεθεί στην εγκατάσταση λογισμικού παρακολούθησης (tracking) ή άλλων ψηφιακών μεθόδων για στοχευμένη διαφήμιση.

Σε αυτή την περίπτωση, οι επισκέπτες ιστοσελίδας εξαναγκάζονται να αποδεχτούν τη χρήση τους προκειμένου να έχουν πρόσβαση στο περιεχόμενό της. Συνεπώς, δεν υπάρχει ρητή και ελεύθερη συγκατάθεση κατά την έννοια του GDPR.

Γ) Soft opt-in

Όταν μία ιστοσελίδα ενημερώνει τον επισκέπτη ότι με την πλοήγησή του αποδέχεται τα cookies, δεν του δίνει τη δυνατότητα να λάβει γνώση και να δεχτεί ή να απορρίψει τη χρήση τους. Έτσι, δίνεται άδεια σε τρίτους παρόχους να εγκαταστήσουν cookies αλλά και να παρέχουν διαφημιστικό περιεχόμενο χωρίς κανέναν έλεγχο και συγκατάθεση από τον ίδιο τον χρήστη.

• Η κούραση των χρηστών

Δεδομένου ότι δεν έχει τεθεί ακόμα σε ισχύ ο κανονισμός ePrivacy, δεν έχει αναληφθεί συντονισμένη δράση από όλες τις αρχές προστασίας δεδομένων.  Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (“ΑΠΔΠΧ”), πραγματοποίησε στις αρχές του 2019 ελέγχους σε 65 ιστοσελίδες και διαπίστωσε χαμηλό επίπεδο συμμόρφωσης με τον κανονισμό.

Μένει να δούμε εάν οι υπόλοιπες αρχές προστασίας δεδομένων θα ακολουθήσουν το παράδειγμα της γαλλικής αρχής CNIL και θα παρέχουν κατευθυντήριες γραμμές οι οποίες θα συμβάλλουν στη συμμόρφωση των παρόχων ιστοσελίδων με τις απαιτήσεις του GDPR και της οδηγίας ePrivacy.

Οι χρήστες πρέπει επίσης να αντιληφθούν ότι η πρόσβαση σε πολιτικές απορρήτου που είναι γραμμένες με απλό και κατανοητό τρόπο έχει ως σκοπό το σεβασμό της αρχής της διαφάνειας ως προς τη χρήση των δεδομένων τους, καθώς και την εξατομίκευση των προτιμήσεων απορρήτου, ούτως ώστε να μην εκτίθενται σε συστηματική παρακολούθηση και ανεπιθύμητη διαφήμιση.

Οι μη εξοικειωμένοι χρήστες συχνά δυσανασχετούν με τον αριθμό των ενεργειών που απαιτούνται ώστε να παρέχουν συγκατάθεση και θεωρούν τη διαδικασία ανώφελη (consent fatigue). Είναι ωστόσο χρήσιμο να διαθέτουν τις απαραίτητες γνώσεις προκειμένου να αποφύγουν την εγκατάσταση cookies από τρίτους παρόχους και το να εκθέτουν τις προτιμήσεις τους προς διαφημιστική εκμετάλλευση, χωρίς κανέναν έλεγχο και λογοδοσία. Σε ιστοσελίδα η οποία έχει διαμορφώσει σωστά τις ρυθμίσεις για τα cookies, η διαδικασία αυτή δε διαρκεί πολύ και αρκούν μερικά κλικ από τον χρήστη.

Σε περίπτωση που ο χρήστης εντοπίσει ότι μία ιστοσελίδα δε συμμορφώνεται με το  ρυθμιστικό πλαίσιο για τα cookies, μπορεί να προσφύγει στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα. Εάν πρόκειται για ελληνική ιστοσελίδα, μπορεί να προσφύγει στην ελληνική ΑΠΔΠΧ.

Σημειώνεται ότι η Homo Digitalis, πιστή στις αξίες της, δε χρησιμοποιεί cookies ή άλλες τεχνολογίες στην ιστοσελίδα της προκειμένου να καταγράψει τη δραστηριότητά σας.

*Η Καλλιρρόη Γραμμένου, LL.M., CIPP/E, είναι δικηγόρος Αθηνών, απόφοιτος της Νομικής σχολής του Α.Π.Θ., με LL.M. στο δίκαιο της ΕΕ από τα πανεπιστήμια Λουξεμβούργου/Nancy II. Έχει διατελέσει DPO και νομικός σύμβουλος του εκτελεστικού οργανισμού της ΕΕ CHAFEA. Έχει εργαστεί ως δικηγόρος και σύμβουλος προστασίας προσωπικών δεδομένων στην Ελλάδα και στο Λουξεμβούργο.

Η οργάνωση της κοινωνίας των πολιτών AlgorithmWatch δημοσίευσε στην ιστοσελίδα της άρθρο αναφορικά με τη χρήση τεχνολογίας αναγνώρισης προσώπου από αρχές επιβολής του νόμου στις χώρες της Ευρωπαϊκής Ένωσης. Ο Λευτέρης Χελιουδάκης της Homo Digitalis είχε την τιμή να συμμετέχει στην έρευνα αυτή.

Σύμφωνα με τα στοιχεία της έρευνας, τουλάχιστον 10 κράτη μέλη της ΕΕ χρησιμοποιούν ήδη σχετικές εφαρμογές αναγνώρισης προσώπου, ενώ πολλά κράτη, συμπεριλαμβανομένης της Ελλάδας, έχουν ήδη προγραμματίσει την άμεση εφαρμογή τους.

Συγκεκριμένα για την Ελλάδα, στις 14/12/2019, ημέρα Σάββατο, αναρτήθηκε στην ιστοσελίδα του Υπουργείου Προστασίας του Πολίτη ανακοίνωση με την οποία γίνεται ευρέως γνωστό οτι η Ελληνική Αστυνομίας (ΕΛ.ΑΣ) προέβη στη σύναψη σύμβασης που αφορά την προμήθεια Συστημάτων για Έξυπνη Αστυνόμευση (Smart Policing) με την εταιρία INTRACOM TELECOM ύψους 4 εκατ. Ευρώ.

Σύμφωνα με το νέο τεύχος τεχνικών προδιαγραφών στο πλαίσιο υλοποιήσης της δράσης αυτής, όπως έχει αναρτηθεί στην ιστοσελίδα της Ελληνικής Αστυνομίας (Απρίλης 2018) και συγκεκριμένα τις σελίδες 5/178, 31/178 και 147/178 μεταξύ άλλων, ένας από του σκοπούς της δράσης είναι η παράδοση στην ΕΛ.ΑΣ λογισμικού αναγνώρισης φωτογραφιών προσώπου, μέσω του οποίου θα γίνεται η σύγκριση με ψηφιακά αρχεία φωτογραφιών προσώπου προκειμένου να αναγνωριστεί-ταυτοποιηθεί ένα υπό εξέταση άτομο. Μάλιστα όπως γίνεται εμφανές από τη σελίδα 5/178 του ίδιου εγγράφου, δεν υφίσταται αυτή τη στιγμή στην Ελληνική Αστυνομία πληροφοριακό σύστημα αναγνώρισης φωτογραφιών προσώπου.

Στην Διάυγεια έχει αναρτηθεί η απόφαση κατακύρωσης των αποτελεσμάτων του διαγωνισμού για τη δράση αυτή στην INTRACOM TELECOM το Μάρτιο του 2019 (6ΙΨΖ46ΜΚ6Π-ΘΚΞ, διαθέσιμη εδώ), ενώ η εν λόγω εταιρία έχει αναρτήσει σχετική ανακοίνωση στην ιστοσελίδα της τον Ιούλιο του 2019 στην οποία αναφέρεται ρητά η χρήση τεχνολογιών αναγνώρισης προσώπου.

Μάλιστα, η ΕΛ.ΑΣ συμμετέχει ήδη (περίοδος Αυγούστου 2018 έως Ιουλίου 2021) σε ερευνητικό πρόγραμμα της Ευρωπαϊκής Ένωσης με την επωνυμία SPIRIT (“Scalable privacy preserving intelligence analysis for resolving identities”) με βάση την ιστοσελίδα του οποίου θα λάβουν χώρα και πιλοτικά προγράμματα για τη χρήση συστημάτων αναγνώρισης προσώπων (διαθέσιμες πληροφορίες εδώ).

H Homo Digitalis προχώρησε σήμερα 16/12/2019 σε κατάθεση ανοικτής επιστολής προς τον Υπουργό Προστασίας του Πολίτη, κ. Μιχάλη Χρυσοχοΐδη, προκειμένου να ζητήσει περισσότερες πληροφορίες για τη σύμβαση με την εταιρία INTRACOM TELECOM (αριθμ. πρωτ.: 20977/17.12.2019). Μάλιστα επιδιώκουμε να πληροφορηθούμε και για το εάν το Υπουργείο Προστασίας του Πολίτη έχει μεριμνήσει προκειμένου να συμμορφωθεί με τις διατάξεις του Ν.4624/2019 αναφορικά με την διενέργεια εκτίμησης αντικτύπου της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα και την προηγούμενη διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Άρθρα 65 και 67). Μπορείτε να δείτε την επιστολή μας εδώ.

Επίσης, η εν λόγω σύμβαση αναφέρεται και σε εφαρμογές αυτόματης αναγνώρισης πινακίδων (Automatic Number Plate Recognition / ANPR), οι οποίες σύμφωνα με δημοσίευμα της εφημερίδας ΤΟ ΒΗΜΑ είναι ήδη σε εφαρμογή στη χώρα μας από το καλοκαίρι του 2019. Θυμίζουμε, οτι πρόσφατα, το Αυστριακό Συνταγματικό Δικαστήριο έκρινε αντισυνταγματική τη χρήση τεχνολογίας ANPR από τις αυστριακές αστυνομικές αρχές.

Τέλος, η Homo Digitalis έχει καταθέσει στην Ευρωπαϊκή Ένωση αίτημα για πρόσβαση σε πληροφορίες αναφορικά με το πρόγραμμα SPIRIT, τη συμμετοχή της ΕΛ.ΑΣ σε αυτό και την πιλοτική εφαρμογή του στην Ελλάδα. Μπορείτε να μάθετε περισσότερα εδώ.

Γράφει ο Γιώργος Αρσένης*

Ένα δικαστήριο στην Αυστρία καταδίκασε μια επιχείρηση σε πληρωμή αποζημίωσης 800,00 Ευρώ σε ένα υποκείμενο δεδομένων για λόγους ηθικής βλάβης, σύμφωνα με το άρθρο 82 του ΓΚΠΔ (GDPR). Η απόφαση δεν έχει τεθεί ακόμα σε ισχύ, λόγω του ότι άσκησαν έφεση και οι δυο πλευρές. Αλλά, σε περίπτωση που το εφετείο επιβεβαιώσει την απόφαση, τότε η επιχείρηση κινδυνεύει -θεωρητικά- να βρεθεί μπροστά σε μια μαζική αγωγή, στην οποία εμπλέκονται  περί τα 2 εκατομμύρια υποκείμενα δεδομένων. Φυσικά, η περίπτωση ελκύει το ενδιαφέρον διότι η έκβαση της αναμένεται να αποτελέσει δικαστικό προηγούμενο, με αποτέλεσμα μελλοντικές περιπτώσεις να βασιστούν πάνω σε αυτό το παράδειγμα.

Ας δούμε όμως τα πράγματα από την αρχή, για να καταλάβουμε ποιες επιπτώσεις μπορεί να έχει αυτή η εφαρμογή του άρθρου 82 του ΓΚΠΔ στο δίκαιο άλλων κρατών-μελών της Ευρωπαϊκής Ένωσης.

Profiling

Το ότι ένα ταχυδρομείο συλλέγει και αποθηκεύει συγκεκριμένα προσωπικά δεδομένα πελατών του, δεν είναι κάτι καινούργιο. Μετά όμως από αίτηση ενός υποκειμένου δεδομένων, αποκαλύφθηκε πως το Ταχυδρομείο της Αυστρίας αξιολόγησε και αποθήκευσε δεδομένα που αφορούσαν τις πολιτικές προτιμήσεις περίπου δύο εκατομμυρίων πελατών του.

Η επιχείρηση χρησιμοποίησε στατιστικές μεθόδους όπως το profiling, με στόχο να υπολογίσει τον βαθμό προσκόλλησης ενός ατόμου σε κάποιο αυστριακό κόμμα, βάσει των πολιτικών του πεποιθήσεων (π.χ. μεγάλη πιθανότητα προσκόλλησης στο κόμμα Α; μικρή πιθανότητα προσκόλλησης στο κόμμα Β). Σύμφωνα με δημοσιεύματα, φαίνεται ότι κανένας από τους πελάτες δεν είχε πληροφορηθεί ή δώσει την συγκατάθεση του για αυτήν την επεξεργασία και ότι σε συγκεκριμένες περιπτώσεις οι πληροφορίες αυτές πωλήθηκαν σε τρίτους.

Η ηθική βλάβη έχει τιμή

Ο καθορισμός της αποζημίωσης βασίστηκε σε μια δικαστική μέθοδο, η οποία εφαρμόζεται στην Αυστρία. Σύμφωνα με αυτή, το δικαστήριο έλαβε υπόψη δύο βασικά στοιχεία: (1) το ότι οι πολιτικές απόψεις είναι ένα ιδιαίτερα ευαίσθητο είδος δεδομένων και (2) το ότι η επεξεργασία διεξήχθη εν αγνοία του υποκειμένου των δεδομένων.

Το τοπικό δικαστήριο του Feldkirch, στο ομόσπονδο κρατίδιο Voralberg της Αυστρίας, όπου εκδικάστηκε η υπόθεση σε πρώτο βαθμό, έκρινε ότι η ενόχληση που ένιωσε ο μηνυτής λόγω του profiling στο οποίο υποβλήθηκε χωρίς να δώσει την συγκατάθεση του, συνιστά μη υλική ζημιά, για αυτό και επιδίκασε στον ενάγοντα 800,00 Ευρώ, από τα 2.500,00 Ευρώ που είχε απαιτήσει αρχικά.

Το δικαστήριο αναγνώρισε ότι οι πολιτικές πεποιθήσεις καθιστούν ειδική κατηγορία δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 9 του ΓΚΠΔ. Όμως, θεώρησε επίσης, ότι κάθε περίπτωση αντιλαμβανόμενη ως δυσμενή μεταχείριση ή παραβίαση δεν μπορεί να δίνει έναυσμα για διεκδίκηση αποζημιώσεων για μη υλικές ζημιές.  Ωστόσο, το δικαστήριο έκρινε ότι σε αυτήν την περίπτωση παραβιάστηκαν θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων.

Ο καθορισμός της αποζημίωσης βασίστηκε σε μια δικαστική μέθοδο, η οποία εφαρμόζεται στην Αυστρία. Σύμφωνα με αυτή, το δικαστήριο έλαβε υπόψη δύο βασικά στοιχεία: (1) το ότι οι πολιτικές απόψεις είναι ένα ιδιαίτερα ευαίσθητο είδος δεδομένων και (2) το ότι η επεξεργασία διεξήχθη εν αγνοία του υποκειμένου των δεδομένων.

Και τώρα;

Η απόφαση δεν αποτελεί έκπληξη. Το άρθρο 82 § 1 του ΓΚΠΔ προβλέπει ξεκάθαρα πληρωμή αποζημιώσεων για μη υλικές ζημιές. Όμως, με τα 2,2 εκατομμύρια εμπλεκόμενα υποκείμενα δεδομένων σε αυτήν την επεξεργασία και με απλά μαθηματικά προκύπτει το ποσό των 1,7 δις ευρώ.

Το σίγουρο είναι, ότι σε περίπτωση που το εφετείο επιβεβαιώσει την απόφαση του πρωτοδικείου, θα υπάρξει πληθώρα παρόμοιων υποθέσεων προς εκδίκαση. Αυτός είναι και ο λόγος που ήδη πολλές επιχειρήσεις, και στην γειτονική Γερμανία, εξειδικεύονται σε διαδικασίες όπως αυτή.

Η ανεξάρτητη αρχή

Μετά την απόφαση του τοπικού δικαστηρίου του Feldkirch στις αρχές Οκτωβρίου, προς το τέλος του ίδιου μήνα και συγκεκριμένα στις 29.10.2019, η αυστριακή αρχή προστασίας δεδομένων (Österreichische Datenschutzbehörde), ανακοίνωσε ότι επέβαλε διοικητική κύρωση ύψους 18 εκατομμυρίων ευρώ στο Ταχυδρομείο της Αυστρίας.

Πέραν των πολιτικών πεποιθήσεων, η Αρχή Προστασίας της Αυστρίας εξακρίβωσε περισσότερες παραβιάσεις. Μέσα από περαιτέρω επεξεργασίες, προέκυπταν στοιχεία σχετικά με την συχνότητα αποστολής δεμάτων, ή την συχνότητα αλλαγής κατοικίας, τα οποία χρησιμοποιούνταν για διαφημιστική προσέγγιση μέσω direct-marketing. Το ταχυδρομείο της Αυστρίας, που κατά το ήμισυ ανήκει στο κράτος, δήλωσε ότι θα κινηθεί δικαστικά εναντίον του διοικητικού μέτρου και δικαιολόγησε τον σκοπό της επεξεργασίας ως θεμιτή ανάλυση αγοράς.

Η ιδιαιτερότητα της ετυμηγορίας

Η ετυμηγορία στο Feldkirch δείχνει ότι τα δικαστήρια μπορούν να καταβάλλουν πληρωμές για «αντιξοότητες» λόγω πραγματικών ή υποτιθέμενων παραβιάσεων δεδομένων. Ο προσφεύγων στην δικαιοσύνη δήλωσε απλά ότι ‘ένιωσε ενοχλημένος’ για το τι έγινε, χωρίς δηλαδή να επικαλεστεί μια ηθική βλάβη που προκλήθηκε μέσα από κάποιο αποτέλεσμα της επεξεργασίας, όπως δυσφήμιση, κατάχρηση πνευματικής ιδιοκτησίας, παρενόχληση μέσω τηλεφωνημάτων ή emails. Μπορείτε να βρείτε εδώ την Απόφαση.

Σε αντίθεση με την ανεξάρτητη αρχή, που επέβαλε την κύρωση για τις πολλαπλές παραβιάσεις διατάξεων του GDPR, το δικαστήριο εστίασε την απόφαση του στην ενόχληση που ένιωσε ο μηνυτής. Η ηθική ζημιά προκλήθηκε από το γεγονός ότι μια εταιρεία επεξεργάζεται δεδομένα κατά παράβαση των διατάξεων του GDPR.

* Ο Γιώργος Αρσένης είναι IT Consultant και DPO. Απόφοιτος του Τμήματος Ειδίκευσης Προγραμματιστών του Ε.Π.Λ. Βέροιας με πολυετή πείρα σε θέματα IT Systems Maintenance & Support, σε χώρες της Ευρώπης. Έχει εργαστεί σε οργανισμούς της Ε.Ε. και στον ιδιωτικό τομέα. Έχει εμπειρία με δίκτυα τηλεπικοινωνιών, δίκτυα CISCO, scientific modelling και συστήματα εικονικών μηχανών. Ελεύθερος επαγγελματίας, εξειδικεύεται στην Διαχείριση Συστημάτων Ασφάλειας Πληροφοριών και Προστασία Προσωπικών Δεδομένων

Ηλεκτρονικά προσβάσιμες πηγές:

• • https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes
  • https://www.linkedin.com/pulse/landesgericht-feldkirch-kl%C3%A4ger-stehen-800-euro-f%C3%BCr-zu-tim-wybitul
  • https://netzpolitik.org/2019/datenschutzgrundverordnung-18-millionen-euro-strafe-fuer-die-oesterreichische-post/
  • https://www.addendum.org/datenhandel/schadenersatz/