Γράφει ο Ιωάννης Κροντήρης*

Όσο η κρίση του κορωνοϊού (SARS-Cov-2) μεγαλώνει, τόσο πληθαίνουν οι φωνές από κυβερνήσεις αλλά και μη κυβερνητικούς οργανισμούς που προτείνουν την επιστράτευση τεχνολογικών μέσων για την ανίχνευση της εξάπλωσης του ιού. Ειδικά η ιδέα να χρησιμοποιήσουμε εφαρμογές στα κινητά τηλέφωνα των πολιτών οι οποίες θα ανιχνεύουν τις κοινωνικές επαφές που κάθε χρήστης της εφαρμογής έχει στην καθημερινή του ζωή (Contact Tracing apps ή αλλιώς και Proximity Tracing) βρίσκεται στο επίκεντρο των συζητήσεων όλο και περισσότερο τις τελευταίες εβδομάδες.

Ανεξάρτητα από το κατά πόσο χρήσιμες μπορεί να είναι αυτές οι εφαρμογές στην αντιμετώπιση της πανδημίας, θα πρέπει να κρατήσουμε στο προσκήνιο ένα βασικό στοιχείο: υπάρχει στη διάθεσή μας μια συλλογή από πολλά τεχνολογικά εργαλεία που μας επιτρέπουν να αναπτύξουμε αυτές τις εφαρμογές χωρίς κανέναν συμβιβασμό στην προστασία των προσωπικών δεδομένων, αρκεί βέβαια να τα λάβουμε υπόψη μας από την αρχή («προστασία δεδομένων ήδη από τον σχεδιασμό»).

Εξ όσων γνωρίζουμε, με τα ως τώρα δεδομένα, ο νέος κορωνοϊός μπορεί να είναι μεταδοτικός από απόσταση περίπου ενός μέτρου. Ο στόχος, λοιπόν, αυτών των εφαρμογών είναι να στείλουν ειδοποίηση στο κινητό κάποιου και να τον ενημερώσουν ότι ένα από τα άτομα που συνάντησε στο πρόσφατο παρελθόν (και πιθανώς να μη το γνωρίζει προσωπικά) είναι ασθενής που έχει δαγνωσθεί ως φορέας του SARS-Cov-2, ώστε να λάβει τα απαραίτητα μέτρα (να κάνει το τεστ, να μπει σε καραντίνα).

Η ταχύτητα με την οποία μπορούμε να ανιχνεύσουμε τις επαφές που κάποιος είχε στο πρόσφατο παρελθόν και να τους ειδοποιήσουμε μπορεί να αποτελέσει κλειδί στο να σπάσουμε την αλυσίδα εξάπλωσης του ιού όσο γίνεται συντομότερα και, εν τέλει, να εμποδίσουμε αποτελεσματικά την εξάπλωσή του. Ωστόσο, πρέπει να πούμε εδώ ότι δεν είναι ακόμα ξεκάθαρο αν και κατά πόσο οι εφαρμογές ανίχνευσης επαφών μπορούν να μειώσουν όντως τον ρυθμό μετάδοσης του ιού και υπάρχουν ακόμα πολλά αναπάντητα ερωτήματα τα οποία οι επιδημιολόγοι εξετάζουν.

Εξάλλου, υπάρχουν πληθυσμιακές ομάδες της κοινωνίας μας που δεν χρησιμοποιούν smartphones και επομένως ούτε θα έχουν τη δυνατότητα να χρησιμοποιήσουν την εφαρμογή αλλά και ούτε να περιληφθούν στα σημεία επαφής που θα εντοπίζει η εν λόγω εφαρμογή.

Τεχνικά, η ανάπτυξη εφαρμογών ανίχνευσης επαφών μπορεί να γίνει εγκαθιστώντας μια εφαρμογή στα κινητά τηλέφωνα σε μαζική κλίμακα. Η εφαρμογή γνωρίζοντας την ακριβή τοποθεσία του κάθε χρήστη και επικοινωνώντας με τα κινητά που βρίσκονται σε κοντινή απόσταση μπορεί να κρατάει ακριβές ιστορικό όλων των επαφών μεταξύ των ανθρώπων.

Η λειτουργία αυτή, συμπεριλαμβανομένης της ανταλλαγής πληροφορίας μπορεί να επιτευχθεί χρησιμοποιώντας διάφορες τεχνολογίες, όπως για παράδειγμα Bluetooth, WiFi, NFC, GPS tracking, οι οποίες προσφέρουν μεγαλύτερη ακρίβεια στη συλλογή δεδομένων θέσης σε σύγκριση με την πληροφορία που μπορούμε να συλλέξουμε μέσω των δικτύων κινητής τηλεφωνίας.

Τέτοιες εφαρμογές εγείρουν αμέσως το ζήτημα της προστασίας προσωπικών δεδομένων, καθότι σχετίζονται με τη συλλογή:

-της τοποθεσίας και κατ’ επέκταση της διαδρομής,

-των επαφών των πολιτών, και

-των ιατρικών δεδομένων.

Το ερώτημα που μας απασχολεί σε αυτό το άρθρο είναι:  Χρειάζεται να θυσιάσουμε τις αρχές της προστασίας των προσωπικών δεδομένων με την αιτιολογία ότι ζούμε σε εποχή κρίσης και απαιτούνται δραστικά μέτρα;

Η συζήτηση αυτή είναι έντονη στην Ευρώπη. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (European Data Protection Supervisor-EDPS) αναφέρθηκε στην ανάγκη μιας κοινής πανευρωπαϊκής προσπάθειας και τόνισε ότι καινούργιες τεχνικές λύσεις για την αντιμετώπιση του κορωνοϊού  θα πρέπει να αναπτύσσονται με τέτοιον τρόπο ώστε να διασφαλίζονται οι αρχές ιδιωτικού απορρήτου και προστασίας δεδομένων ήδη από την αρχή («προστασία δεδομένων ήδη από τον σχεδιασμό»).

Προς αυτή την κατεύθυνση, πολύ πρόσφατα δημιουργήθηκε η ευρωπαϊκή κίνηση PEPP-PT αποτελούμενη από περισσότερους από 130 επιστήμονες και ειδικούς από οκτώ ευρωπαϊκές χώρες. Ο στόχος τους είναι να βοηθήσουν εθνικές προσπάθειες να δημιουργήσουν τέτοιου είδους εφαρμογές με τρόπο που να είναι απολύτως συμβατός με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), θέτοντας κοινές αρχές και στάνταρντ.

Τεχνολογικά υπάρχουν ήδη μηχανισμοί και τρόποι τους οποίους μπορούμε να χρησιμοποιήσουμε για να αναπτύξουμε τέτοιες εφαρμογές χωρίς “εκπτώσεις” στην ιδιωτικότητα των πολιτών, και χωρίς καθυστερήσεις. Συγκεκριμένα, είναι τεχνικά δυνατόν αυτές οι εφαρμογές να πετύχουν τον σκοπό τους χωρίς να συλλέγουν περιττά προσωπικά δεδομένα όπως τοποθεσία, διαδρομές, επαφές ή χαρακτηριστικά που ταυτοποιούν τους κατόχους των κινητών τηλεφώνων.

Τι τεχνικές προϋποθέσεις θα έπρεπε λοιπόν να ικανοποιεί ιδανικά μια εφαρμογή, αν θέλουμε να είμαστε βέβαιοι ότι, παράλληλα, σέβεται και προστατεύει την ιδιωτικότητα των πολιτών; Τρία σημαντικά σημεία είναι τα ακόλουθα:

-Το σύστημα πρέπει να συλλέγει μόνο αυτά τα δεδομένα που είναι απαραίτητα για να επιτευχθεί ο σκοπός της εφαρμογής και όχι δεδομένα όπως για παράδειγμα η τοποθεσία των ατόμων, τα οποία δεν σχετίζονται άμεσα με τον σκοπό. Όντως, η πληροφορία που μας ενδιαφέρει εδώ είναι οι επαφές των ατόμων, και όχι το που βρίσκονται,

-Το σύστημα πρέπει να συλλέγει δεδομένα τα οποία να μην συνδέονται άμεσα ή έμμεσα με την ταυτότητα των εμπλεκομένων ατόμων, ούτε να επιτρέπουν τη δημιουργία προφίλ κινήσεων και επαφών,

-Τα δεδομένα που συλλέγονται για κάθε άτομο θα πρέπει να διατηρούνται για το ελάχιστο δυνατό χρονικό διάστημα που απαιτείται και μετά να διαγράφονται.

Μια πιο αναλυτική λίστα δημοσίευσε πρόσφατα το Chaos Computer Club, εξετάζοντας τις τεχνικές και κοινωνικές προϋποθέσεις σε μεγαλύτερο βάθος και εστιάζοντας, μεταξύ άλλων, στην αποκεντρωμένη επεξεργασία των προσωπικών δεδομένων, την χρήση ανοικτού κώδικα, και την ανωνυμοποίηση των δεδομένων.

Μια ευρωπαϊκή προσπάθεια από μια ομάδα επιφανών ερευνητών με το όνομα DP-3T δημοσίευσε πρόσφατα τον σχεδιασμό μιας τεχνικής λύσης η οποία αποτελεί παράδειγμα του πώς μπορούμε να παρακολουθήσουμε την εξάπλωση του ιού μέσω κινητών τηλεφώνων χωρίς να συλλέγουμε ευαίσθητα δεδομένα και χωρίς να παρακολουθούμε τις κινήσεις των πολιτών.

Η λύση τους αξίζει ιδιαίτερης αναφοράς γιατί στηρίζεται σε μια κατανεμημένη αρχιτεκτονική. Παρόλο που υπάρχει ένας κεντρικός server, αυτός δεν παίζε κανένα ρόλο στη συλλογή και επεξεργασία ευαίσθητης πληροφορίας. Αυτό συμβαίνει μόνο στα κινητά τηλέφωνα των χρηστών.

Η βασική ιδέα είναι απλή: δεν έχει σημασία σε ποια τοποθεσία κάποιος ήρθε σε επαφή με κάποιον ασθενή COVID-19, οπότε δεν χρειάζεται εξ αρχής να αποθηκεύουμε την τοποθεσία. Το μόνο που έχει σημασία να ξέρουμε είναι αν δυο άνθρωποι ήρθαν τόσο κοντά ο ένας στον άλλον ώστε να υπάρχει κίνδυνος μετάδοσης του ιού.

Αυτό, μπορούμε να το καθορίσουμε με την χρήση του Bluetooth ώστε να γνωρίζουμε ποιες άλλες συσκευές κινητών τηλεφώνων βρίσκονται στη γύρω περιοχή και για πόση ώρα. Πιο συγκεκριμένα, η εφαρμογή στο κινητό τηλέφωνο δημιουργεί ένα προσωρινό ψευδώνυμο, το οποίο αλλάζει κατά συχνά χρονικά διαστήματα το οποίο μεταδίδεται μέσω του κινητού τηλεφώνου στις άλλες συσκευές που βρίσκονται στη γύρω περιοχή.

Όταν κάποιο άλλο κινητό τηλέφωνο, που επίσης έχει αυτήν την εφαρμογή, πλησιάσει αρκετά, τότε τα δυο κινητά τηλέφωνα είναι σε ακτίνα αρκετή να “ακούσουν” το ένα το προσωρινό ψευδώνυμο του άλλου και να το αποθηκεύουν στη μνήμη τους (δηλαδή τοπικά στο τηλέφωνο) σε κρυπτογραφημένη μορφή. ‘Ετσι, κάθε συσκευή κρατάει (θυμάται) όλα τα ψευδώνυμα που έχει συναντήσει στο παρελθόν. Μέχρι εδώ καμία πληροφορία δεν στέλνεται σε κάποιο κεντρικό Server.

Εάν τώρα κάποιος από τους χρήστες της εφαρμογής διαγνωστεί θετικός στον SARS-Cov-2, ο γιατρός ζητάει από τον ασθενή να στείλει -με τη σύμφωνη γνώμη του- σε έναν κεντρικό server τη λίστα με τα ψευδώνυμα που έχει παράγει το κινητό του φορέα του ιού στο παρελθόν.

Ο server διανέμει αυτή τη λίστα στα κινητά τηλέφωνα των υπολοίπων χρηστών, καθένα από τα οποία συγκρίνει τη λίστα που έλαβε με τη λίστα που έχει αποθηκευμένη στη μνήμη του, για να διαπιστώσει εάν έχει συναντήσει κάποιο από αυτά τα ψευδώνυμα στο παρελθόν. Αν βρεθεί τέτοια περίπτωση, τότε η εφαρμογή παράγει μια ειδοποίηση στον χρήστη για να τον ενημερώσει και να του δώσει οδηγίες τι να κάνει και με ποιόν να επικοινωνήσει.

Όλο το παραπάνω στάδιο εκτελείται και πάλι με κρυπτογραφημένη επικοινωνία και χωρίς να αποκαλύπτεται η ταυτότητα όσων συμμετέχουν. Βλέπουμε, λοιπόν, ότι οι αρχές προστασίας προσωπικών δεδομένων δεν εμποδίζουν τη συλλογή και χρήση δεδομένων για οποιαδήποτε εφαρμογή, ακόμα και για την αντιμετώπιση κρίσεων όπως μια πανδημία.

Το ερώτημα είναι, πώς μπορούμε να το κάνουμε αυτό σωστά και με σεβασμό στην ιδιωτικότητα των πολιτών. Για αυτό τον σκοπό, εδώ και δεκαετίες, έχουν αναπτυχθεί από κρυπτογράφους και άλλους ερευνητές εργαλεία και μέθοδοι που μας επιτρέπουν να επιτυγχάνουμε αυτόν τον στόχο. Ενδεχομένως αυτή η πανδημία να σταθεί αφορμή ώστε να αναδειχτούν ευρύτερα οι δυνατότητες αυτών των εργαλείων.

Αλλά, ίσως είναι ακόμα πιο σημαντικό να συνειδητοποιήσουμε, ότι τεχνικές λύσεις για την αντιμετώπιση του κορωνοϊού μπορούν να είναι αποτελεσματικές μόνο αν υιοθετηθούν σε μεγάλη κλίμακα από τους πολίτες. Και κάτι τέτοιο μπορεί να συμβεί μόνο αν τέτοιες λύσεις σέβονται την ιδιωτικότητα και μπορούν να εμπνεύσουν την εμπιστοσύνη των πολιτών. Για να χτιστεί αυτή η εμπιστοσύνη δεν αρκούν υποσχέσεις κυβερνήσεων και οργανισμών ότι θα σεβαστούν τα προσωπικά δεδομένα που συλλέγουν. Χρειάζονται και τεχνικές λύσεις που δίνουν τις αντίστοιχες εγγυήσεις με τρόπο που δεν μπορεί να αμφισβητηθεί.

* Ο Ιωάννης Κροντήρης είναι απόφοιτος του τμήματος Μηχανικών Η/Υ του Πολυτεχνείου Κρήτης και κατέχει διδακτορικό τίτλο στην Πληροφορική απο το Πανεπιστήμιο του Mannheim της Γερμανίας. Απο το 2014 εργάζεται ως ερευνητής σε θέματα τεχνολογιών προστασίας της ιδιωτικότητας στο ερευνητικό κέντρο της Huawei στο Μόναχο.

Την Τετάρτη, 1^η Απριλίου 2020, η European Digital Rights (EDRi) φιλοξένησε στο δισεβδομαδιαίο διαδικτυακό περιοδικό της “EDRi-gram” άρθρο αναφορικά με τις δράσεις της Homo Digitalis για τη σύμβαση προμήθειας Συστημάτων για Έξυπνη Αστυνόμευση από την Ελληνική Αστυνομία (ΕΛ.ΑΣ).

Μπορείτε να δείτε το εν λόγω άρθρο εδώ.

Μπορείτε να διαβάσετε περισσότερα στην ιστοσελίδα μας εδώ.

Η Κατερίνα Δεμέτζου είναι υποψήφια διδάκτωρ στο OO&R (Ερευνητικό Κέντρο Δικαίου & Επιχειρήσεων) και στο iCIS (Ινστιτούτο Επιστημών Πληροφορικής και Συστημάτων Υπολογιστών) του Πανεπιστημίου Radboud, στην Ολλανδία. Είναι απόφοιτος της Νομικής Σχολής Αθηνών και κατέχει μεταπτυχιακό τίτλο σπουδών (LL.M.) στο «Δίκαιο και Τεχνολογία» από το Πανεπιστήμιο Tilburg της Ολλανδίας.

Η Κατερίνα εστιάζει την έρευνά της στην έννοια του «υψηλού κινδύνου» ως νομική απαίτηση για την εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) βάσει του Άρθρου 35 ΓΚΠΔ. Στο παρελθόν, η Κατερίνα έχει εργαστεί σε δικηγορικά γραφεία στην Ελλάδα, στο Πανεπιστήμιο του Tilburg, στη Philips, στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS), και στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Μίλησε με τη Homo Digitalis σχετικά με τις προκλήσεις που έχει συναντήσει στην έρευνά της και την ανάγκη υιοθέτησης διεπιστημονικής προσέγγισης για την ορθή κατανόηση της σύγχρονης ψηφιακής πραγματικότητας.

– Έχεις δουλέψει σε Ελλάδα, Ολλανδία, και Βέλγιο για μία εντυπωσιακή πληθώρα φορέων, από πανεπιστήμια, μεγάλες εταιρίες τεχνολογίας, και δικηγορικά γραφεία, έως Θεσμούς της Ευρωπαϊκής Ένωσης, και Ελεγκτικές Αρχές. Πόσο σημαντικές ήταν οι εμπειρίες που αποκόμισες από όλα αυτά τα διαφορετικά εργασιακά περιβάλλοντα για να σχηματίσεις μία ολοκληρωμένη εικόνα ως σύγχρονος επαγγελματίας αναφορικά με τις προκλήσεις και τις ευκαιρίες που ανακύπτουν από τις νέες τεχνολογίες για το Δίκαιο και τη κοινωνία;

Η εργασιακή μου εμπειρία πάνω στο κομμάτι των προσωπικών δεδομένων, παρότι σύντομη σε διάρκεια ήταν ιδιαίτερα εποικοδομητική. Αυτό το λέω με την έννοια ότι κατάφερα να ενημερωθώ πάνω σε διαφορετικές λογικές με τις οποίες μπορεί να προσεγγιστεί το ίδιο και το αυτό ζήτημα.

Όλες οι περιπτώσεις στις οποίες αναφέρεστε στην ερώτησή σας παρουσιάζουν το εξής κοινό χαρακτηριστικό: τo κεντρικό αντικείμενο εργασίας και η βασική κατεύθυνση είναι η προστασία προσωπικών δεδομένων. Ωστόσο, το ενδιαφέρον έγκειται στο ότι το κάθε εργασιακό περιβάλλον έχει διαφορετική αφετηρία και διαφορετικούς στόχους.

Μια εθνική εποπτική αρχή (στην Ελλάδα, η Αρχή Προστασίας Προσωπικών Δεδομένων), η ύπαρξη της οποίας προβλέπεται από τον ίδιο το νόμο, έχει ως βασικό στόχο τον έλεγχο συμμόρφωσης των υπεύθυνων επεξεργασίας με τον ΓΚΠΔ. Ταυτόχρονα εκδίδει κατευθυντήριες οδηγίες με σκοπό την ορθή και την όσο το δυνατόν ομοιόμορφη εφαρμογή του νόμου.

Από την άλλη πλευρά, μια ιδιωτική εταιρεία έχει να αντιμετωπίσει το ζήτημα της συμμόρφωσης με το νόμο με σκοπό την αποφυγή προστίμων αλλά και με σκοπό να κερδίσει την εμπιστοσύνη των πελατών της. Το ζήτημα της συμμόρφωσης είναι ιδιαιτέρως πολύπλοκο και απαιτεί τη λήψη αποτελεσματικών μέτρων τα οποία ταυτόχρονα θα κοστίσουν όσο το δυνατόν λιγότερο στην εταιρεία.

Η εμπειρία μου, τέλος, στον Ευρωπαίο Επόπτη (EDPS) ήταν εξαιρετική, κυρίως λόγω του ότι είδα από κοντά τον τρόπο με τον οποίο γίνονται οι ζυμώσεις σε ευρωπαϊκό επίπεδο και τον τρόπο με τον οποιο λαμβάνονται αποφάσεις και υιοθετούνται πολιτικές.

– Γιατί επέλεξες την οδό των διδακτορικών σπουδών ως συνέχεια της επαγγελματικής σταδιοδρομίας σου;

Οι σπουδές σε επίπεδο διδακτορικού αποτελούσαν για εμένα έναν στόχο, ο οποίος πήρε πιο συγκεκριμένη μορφή κατά τη διάρκεια των μεταπτυχιακών μου σπουδών όταν δούλευα τη διπλωματική μου εργασία.

Η ερευνητική διαδικασία και όλη η διανοητική άσκηση στην οποία συνίσταται με γοήτευσε πολύ. Η έρευνα βασίζεται στους εξής πυλώνες: την αποτύπωση ενός βασικού ερευνητικού ερωτήματος, τη χρήση της μεθοδολογίας, τη μελέτη της βιβλιογραφίας και την εξαγωγή συμπερασμάτων.

Ένα άλλο χαρακτηριστικό της διαδικασίας είναι η συνεχής μετάβαση από το γενικό στο ειδικό (και αντίστροφα) και από τη θεωρία στην πράξη (και αντίστροφα).

Για να δώσω ένα παράδειγμα, η ολοκληρωμένη μελέτη μιας νομικής υποχρέωσης του ΓΚΠΔ, απαιτεί τη μελέτη όχι μόνο του ΓΚΠΔ στο σύνολό του, αλλά και στοιχείων της νομικής επιστήμης εν γένει.  Αυτό θα πρέπει να γίνει με ταυτόχρονη διερεύνηση του τι συμβαίνει στην πράξη με βάση και τις δυσκολίες και την αποτελεσματικότητα.

Η διαδικασία λοιπόν που πολύ σύντομα περιέγραψα σε συνδυασμό με το πολύ ενδιαφέρον, σύγχρονο και πολυδιάστατο θέμα της προστασίας προσωπικών δεδομένων είναι οι βασικοί λόγοι για τους οποίους επέλεξα τις διδακτορικές σπουδές.

– Το διδακτορικό σου είναι διεπιστημονικό, καθώς συντονίζεται τόσο από ένα ερευνητικό κέντρο Δικαίου και Επιχειρήσεων αλλά και από ένα Ινστιτούτο Συστημάτων Πληροφορικής και Συστημάτων Υπολογιστών. Πώς είναι να δουλεύεις ως νομικός μαζί με επαγγελματίες από διαφορετικούς επιστημονικούς κλάδους σε κοινά ερευνητικά προγράμματα;

Θα έλεγα πως η διεπιστημονικότητα είναι αναγκαία προϋπόθεση για μια ολοκληρωμένη και σε βάθος κατανόηση κι εκτίμηση των σύγχρονων προκλήσεων.

Το πώς προσεγγίζεις ένα ζήτημα είναι συνάρτηση και των χαρακτηριστικών αυτού του ζητήματος. Για να γίνω πιο συγκεκριμένη, στα ζητήματα δικαίου και τεχνολογίας, το να ερμηνεύσεις μια νομοθετική διάταξη που αφορά στους κινδύνους που προκύπτουν από τη χρήση αλγορίθμων χωρίς να λάβεις υπόψη τη λειτουργία της συγκεκριμένης τεχνολογίας θα οδηγήσει σε μια ερμηνεία κενή.

Αυτό σημαίνει ότι ως νομικός οφείλω να αλληλεπιδρώ και με άλλους τομείς σχετικούς με το αντικείμενο της έρευνάς μου. Κατά τη γνώμη μου πρέπει αρχικά να αφουγκραστούμε την αναγκαιότητα αυτής της αλληλεπίδρασης (το οποίο πιστεύω ότι συμβαίνει) και να εκπαιδευτούμε στην ανάπτυξη εργαλείων για μια τέτοια επικοινωνία.

Σε αυτό το πλαίσιο προσπαθώ να τοποθετήσω τη διδακτορική μου έρευνα. Η συνύπαρξη και η συνεργασία με ανθρώπους κυρίως από τον τομέα της πληροφορικής είναι μόνο ευχάριστη και προσφέρει διαφορετική οπτική και τρόπο σκέψης (και ενίοτε μεθοδολογίας) σε μια έρευνα που άλλως θα ήταν αμιγώς νομική.

Ο στόχος δεν είναι να λειτουργήσει ο ερευνητής συγκεντρωτικά ως προς τη γνώση (να γίνει δηλαδή ταυτόχρονα νομικός, κοινωνιολόγος, προγραμματιστής κλπ) αλλά πρώτον να μπορεί να διαγνώσει ποιες είναι οι επιστήμες τις οποίες οφείλει να εξετάσει για μια πιο ολοκληρωμένη έρευνα και δεύτερον να μπορεί να επικοινωνήσει με τους ειδικούς των λοιπών σχετικών επιστημών και να κατανοήσει τις σημαντικές για την έρευνά του πληροφορίες.

– Οι διδακτορικές σου σπουδές επικεντρώνονται στην έννοια του «υψηλού κινδύνου» ως νομική απαίτηση για την εκπόνηση Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) βάσει του Άρθρου 35 ΓΚΠΔ. Μίλησε μας περισσότερο για το ζήτημα αυτό και για τις προκλήσεις που έχεις συναντήσει έως σήμερα. 

Όντως, η έρευνά μου αφορά σε μία νέα νομική υποχρέωση υπό τον ΓΚΠΔ και σε μια συστατική, αυτής της υποχρέωσης, έννοια (‘υψηλός κίνδυνος’) εν πολλοίς αχαρτογράφητη στον τομέα της προστασίας προσωπικών δεδομένων.

Η έννοια του ΄κινδύνου΄ συναντάται σε πολλές υποχρεώσεις του ΓΚΠΔ και αποτελεί ένα από τα βασικά κριτήρια για τη διαμόρφωση της πολιτικής μιας εταιρείας σε σχέση με την προστασία των δεδομένων που επεξεργάζεται.

Με απλά λόγια, όσο μεγαλύτερος ο κίνδυνος για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, τόσο περισσότερες και πολυπλοκότερες οι υποχρεώσεις των υπεύθυνων επεξεργασίας. 

Αυτό προϋποθέτει την ύπαρξη εργαλείων για να εντοπιστεί και να μετρηθεί ο κίνδυνος. Ένα βασικό στοιχείο το οποίo θα πρέπει να είναι ξεκάθαρο όταν μιλάμε για τον ‘κίνδυνο’ υπό τον ΓΚΠΔ, είναι ότι ο νομοθέτης δεν αναφέρεται αποκλειστικά και μόνο σε κινδύνους που αφορούν στην ασφάλεια των συστημάτων (security risks) αλλά αναφέρεται επιπλέον σε κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (risks to the rights and freedoms of natural persons).

Έτσι λοιπόν, το να εντοπίσει και να μετρήσει ένας υπεύθυνος επεξεργασίας τον κίνδυνο επίθεσης στα ηλεκτρονικά του συστήματα και το να λάβει μέτρα προκειμένου να μειώσει όσο το δυνατόν περισσότερο την πιθανότητα παραβίασης και υποκλοπής δεδομένων, είναι υψίστης σημασίας, όμως δεν αρκεί.

Οφείλει επιπλέον να εντοπίσει κινδύνους που μπορεί να παρουσιαστούν στα θεμελιώδη δικαιώματα των ανθρώπων, όπως για παράδειγμα στο δικαίωμα στην ελευθερία της έκφρασης, της σκέψης κλπ.

Κι ενώ είμαστε αρκετά εξοικειωμένοι με τους κινδύνους που παρουσιάζονται στο επίπεδο ασφάλειας συστημάτων (ποιοί είναι, πώς μετριούνται, πώς αντιμετωπίζονται), δεν ισχύει το ίδιο με τους κινδύνους στα θεμελιώδη δικαιώματα λόγω της επεξεργασίας προσωπικών δεδομένων.

Βασικά ερωτήματα που εγείρονται είναι: με ποια μέθοδο εντοπίζουμε σε κάθε συγκεκριμένη περίπτωση ποια δικαιώματα και ποιες ελευθερίες μπορεί να τεθούν σε κίνδυνο λόγω της επεξεργασίας δεδομένων;

Είναι ο κίνδυνος μετρήσιμος κι αν ναι, ποια είναι τα εργαλεία εκείνα τα οποία θα εξασφαλίσουν μια (όσο το δυνατόν πιο) αντικειμενική μέτρηση του εν λόγω κινδύνου;

Ποιο είναι το σημείο εκείνο (και ποιος το καθορίζει) πέρα από το οποίο ένας κίνδυνος παύει να είναι νομικά αποδεκτός;

Αυτά είναι ορισμένα μόνο ερωτήματα τα οποία πρέπει να απαντηθούν πριν μιλήσουμε για τα μέτρα που χρειάζεται να ληφθούν για τη μείωση του ‘κινδύνου’. Η ερευνητική πρόκληση εν προκειμένω, βρίσκεται στη δημιουργία μιας νομικής μεθοδολογίας η οποία θα επιτρέπει τόσο τη μέτρηση του κινδύνου στα δικαιώματά μας όσο και στην αξιολόγηση της ορθότητας αυτής της μέτρησης.

Θα πρέπει δηλαδή να υπάρχει κοινό λεξιλόγιο, κοινά εργαλεία και κοινή αντίληψη απέναντι στην έννοια του ‘κινδύνου’. Αυτό ταυτόχρονα συμβάλλει στη βασική αρχή της νομικής βεβαιότητας αλλά και στην πιο αποτελεσματική προστασία των δικαιωμάτων και των ελευθεριών μας.

– Η εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων είναι άρρηκτα συνδεδεμένη με τη προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων. Θεωρείς ότι οι υπεύθυνοι επεξεργασίας δείχνουν τη δέουσα προσοχή στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων; Έχουν οι αρμόδιες ελεγκτικές αρχές προχωρήσει στην παροχή επαρκούς καθοδήγησης;

Είναι αρκετά δύσκολο να εκφέρω μια εμπεριστατωμένη άποψη σχετικά με τη στάση των υπεύθυνων επεξεργασίας απέναντι στη συγκεκριμένη νομική υποχρέωση.

Η αίσθηση που έχω μέχρι τώρα είναι πως, με εξαίρεση μεγάλες πολυεθνικές εταιρείες οι οποίες έχουν αναπτύξει ακόμα και αυτοματοποιημένα εργαλεία για την εκτίμηση αντικτύπου, εξακολουθεί να υπάρχει μια δυσκολία κατανόησης του τρόπου εφαρμογής αυτής της υποχρέωσης, κυρίως ως προς τη μεθοδολογία που πρέπει να χρησιμοποιηθεί. 

Ωστόσο, τόσο το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) όσο και οι εθνικές εποπτικές Αρχές, έχουν σταδιακά παράσχει κατευθυντήριες οδηγίες ως προς τους τύπους της επεξεργασίας δεδομένων που ‘ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων’ καθώς και ως προς τα κριτήρια που πρέπει να λαμβάνονται υπόψη για μια τέτοια αξιολόγηση.

Παραδείγματα τύπων επεξεργασίας είναι η μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων, η επεξεργασία δεδομένων με τη χρήση νέων τεχνολογιών, ενώ κριτήρια αποτελούν η συστηματική παρακολούθηση, η επεξεργασία δεδομένων των εργαζομένων και των ανηλίκων κλπ.

Οι προαναφερθέντες τύποι επεξεργασίας και όσοι παρουσιάζουν κριτήρια με βάση τις οδηγίες των Αρχών πρέπει να υπόκεινται σε εκτίμηση αντικτύπου.

Οι οδηγίες αυτές είναι όντως σε μεγάλο βαθμό βοηθητικές. Ωστόσο, προσωπικά θεωρώ ότι χρειάζονται επιπλέον οδηγίες σχετικά με τον τρόπο που οι υπεύθυνοι επεξεργασίας οφείλουν να μετρούν το αν η πιθανότητα ή / και η ένταση του κινδύνου είναι υψηλή / μεσαία / χαμηλή.

Οδηγίες τέτοιου περιεχομένου θα ικανοποιούσαν και το αίτημα του νομοθέτη για ‘αντικειμενική’ αξιολόγηση του κινδύνου.

Για παράδειγμα, ένας υπεύθυνος επεξεργασίας λανθασμένα (όπως κρίνεται εκ του αποτελέσματος) αποφάσισε να μην πραγματοποιήσει εκτίμηση αντικτύπου μιας επεξεργασίας.

Καλείται να εξηγήσει είτε ενώπιον της Αρχής είτε ενώπιον του Δικαστηρίου τον τρόπο (μέθοδο) με τον οποίο κατέληξε στο συμπέρασμα ότι ο κίνδυνος δεν ήταν ‘υψηλός’ και άρα δεν ενέπιπτε στην υποχρέωση εκτίμησης αντικτύπου.

Η έλλειψη κοινού τόπου μεταξύ του υπεύθυνου επεξεργασίας και της Αρχής ή του Δικαστηρίου, ως προς τη μέθοδο αξιολόγησης κινδύνου, μπορεί να οδηγήσει σε υψηλά πρόστιμα για τον υπεύθυνο επεξεργασίας. Το μικρό αυτό παράδειγμα φανερώνει το πρόβλημα που μπορεί να προκύψει από την έλλειψη κατευθυντήριων οδηγιών ως προς τη μέτρηση ‘κινδύνου’.

– Οι καθηγητές που επιβλέπουν τη διδακτορική σου έρευνα, ήτοι Mireille Hildebrandt, Βart Jacobs και Corjo Jansen, είναι πολύ γνωστές προσωπικότητες στον τομέα με μεγάλη ακαδημαϊκή συνεισφορά. Πώς είναι να δουλεύεις δίπλα τους και να μαθαίνεις από αυτούς;

Οι επιβλέποντες καθηγητές μου αποτελούν έναν από τους πιο σημαντικούς λόγους για τον οποίο επέλεξα να προχωρήσω στις συγκεκριμένες διδακτορικές σπουδές.

Είναι τρεις επιστήμονες καταξιωμένοι στον τομέα τους, με πολύ μεγάλη εμπειρία στην επίβλεψη διδακτορικών διατριβών. Με αφορμή αυτή την ερώτηση, θα ήθελα να τονίσω το εξής.

Οι επιβλέποντες καθηγητές είναι ίσως το πιο σημαντικό κριτήριο για να επιλέξει ένας νέος επιστήμονας το δρόμο του διδακτορικού.

Κατά τη γνώμη μου, είναι κριτήριο πιο σημαντικό ακόμα και από το ίδιο το θέμα της διατριβής για το λόγο ότι ο επιβλέπων καθηγητής είναι εκείνος ο οποίος θα σε καθοδηγήσει στην (δύσκολη και περίπλοκη) ερευνητική διαδικασία.

Θα πρέπει λοιπόν να είναι άνθρωπος με τον οποίο μπορείς να συνεννοηθείς, να μπορείς να εκφράσεις τον οποιοδήποτε προβληματισμό σου και στον οποίο μπορείς να στηριχθείς και να νιώσεις ασφαλής. Είναι το προστατευτικό σου δίχτυ με λίγα λόγια. Από αυτή την άποψη, λοιπόν, αισθάνομαι κάτι παραπάνω από τυχερή.

– Έχεις συμμετάσχει σε πληθώρα συνεδρίων για να παρουσιάσεις την ακαδημαϊκή σου έρευνα, όπως το «Computers, Privacy, and Data Protection (CPDP)» στις Βρυξέλλες, το «British & Irish Law, Education and Technology Conference (BILETA)» στο Μπέλφαστ, και το «Living in the Internet of Things: Cybersecurity of the ΙοΤ» στο Λονδίνο. Πόσο σημαντικό είναι για τους ακαδημαϊκούς ερευνητές να συμμετέχουν από κοινού με ειδικούς που εκπροσωπούν άλλους τομείς όπως τις οργανώσεις της κοινωνίας των πολιτών, σε τέτοια συνέδρια;

Η συμμετοχή σε συνέδρια είναι κατά τη γνώμη μου μια δραστηριότητα μεγάλης σημασίας για έναν ερευνητή. Ο βασικός λόγος είναι διότι προσδίδει εξωστρέφεια στην έρευνά του και ταυτόχρονα τον τοποθετεί ως ισάξιο μέλος μιας κοινότητας.

Η προσωπική μου εμπειρία δείχνει πως αυτού του είδους η συμμετοχή είναι πολλαπλώς ευεργετική. Αρχικά διότι καλείσαι να παρουσιάσεις με απλό και κατανοητό τρόπο τόσο την έρευνά σου όσο και τη σημασία αυτής.

Κατά δεύτερον διότι σου δίνεται η δυνατότητα να λάβεις σχόλια, ερωτήσεις, κριτική και με αυτό τον τρόπο να βελτιώσεις ή ακόμα και να αναθεωρήσεις συμπεράσματα.

Έτσι λοιπόν, ο επιστήμονας καταφέρνει να βγει έξω από τα όρια της ακαδημαϊκής κοινότητας και να μπολιάσει τον τρόπο σκέψης και έρευνας με στοιχεία και απόψεις ανθρώπων που ανήκουν σε παρεμφερή ή ακόμα και σε διαφορετικά ερευνητικά πεδία.

Πιστεύω πως με αυτό τον τρόπο απαντάω και στην ερώτησή σας. Η επικοινωνία και η συνεργασία μελών της ακαδημαϊκής κοινότητας με εκπροσώπους άλλων φορέων συμβάλλει σε μια ολιστική προσέγγιση ενός θέματος και αποσοβεί τον κίνδυνο της μονομέρειας στην έρευνα (ο οποίος ορισμένες φορές ελλοχεύει).

Αυτό έχει γίνει αντιληπτό και από τους διοργανωτές μεγάλων συνεδρίων, οι οποίοι προσπαθούν να προσδώσουν διεπιστημονικότητα στα συνέδρια, κυρίως του τομέα δικαίου και τεχνολογίας.

Παραδείγματα συνεδρίων που έχουν υιοθετήσει αυτή τη λογική, είναι όσα αναφέρετε στην ερώτησή σας. Ένα πρόσφατο παράδειγμα αποτελεί το διεθνούς απήχησης συνέδριο ACM FAT Conference, το οποίο μόλις πραγματοποιήθηκε στη Βαρκελώνη τον Ιανουάριο του 2020.

Στην περίπτωση αυτή οι διοργανωτές έκαναν μια σημαντική στροφή στο περιεχόμενο του συνεδρίου, απευθύνοντας κάλεσμα σε νομικούς, κοινωνιολόγους, και ανθρώπους άλλων ειδικοτήτων να συμμετάσχουν και να προσδώσουν διεπιστημονικότητα στο εν λόγω συνέδριο.

Γράφει ο Νικόδημος Καλλιντέρης*

Μια εκτεταμένη έρευνα που έλαβε χώρα σε 65 κράτη δημοσιεύτηκε το Νοέμβριο από τον ανεξάρτητο οργανισμό Freedom House που εδρεύει στις ΗΠΑ και σκοπό έχει την ανάδειξη ζητημάτων περί των δικαιωμάτων και των πολιτικών ελευθεριών στο διαδίκτυο.

Στο σύντομο αυτό άρθρο θα προσπαθήσουμε να αναδείξουμε τις βασικές πτυχές της, οι οποίες ομολογουμένως έχουν προκαλέσει ήδη έντονες συζητήσεις και προβληματισμό καθότι ανατρέπουν πολλά θέσφατα περί της ελευθερίας των χρηστών στον παγκόσμιο διαδικτυακό ιστό.

Κατά την έρευνα, λοιπόν, πρόσβαση στο διαδίκτυο έχουν περί τα 3,8 δισεκατομμύρια πολίτες διεθνώς, εκ των οποίων το 71 %  ζουν σε κράτη, όπου άνθρωποι έχουν διωχθεί και φυλακιστεί για αναρτήσεις πολιτικού, κοινωνικού ή θρησκευτικού περιεχομένου, το 65 % σε χώρες όπου πολίτες έχουν δεχθεί επιθέσεις ή και δολοφονήθηκαν λόγω της διαδικτυακής τους δραστηριότητας, το 59 % σε μέρη όπου οι κρατικές αρχές διέθεταν εντεταλμένο προσωπικό για χειραγώγηση της κοινής γνώμης μέσω στοχευμένης ανάρτησης και διάδοσης σχολίων και προπαγανδιστικού υλικού ενώ το 56 % σε κράτη όπου διαδικτυακές αναρτήσεις πολιτικού, κοινωνικού ή θρησκευτικού περιεχομένου αφαιρέθηκαν με κρατική παρέμβαση.

Λαμβάνοντας υπόψη την ελευθερία πρόσβασης στο διαδίκτυο, την άσκηση του δικαιώματος της ελευθερίας της έκφρασης σε αυτό καθώς και τον σεβασμό της ιδιωτικότητας των χρηστών, η μελέτη κατατάσσει τα κράτη σε τρεις (3) κατηγορίες ανάλογα με την βαθμολογία που συγκεντρώνουν.

Σύμφωνα με την βαθμονόμηση που βασίζεται σε ένα ερωτηματολόγιο 21 ερωτήσεων:

– το 35% των κρατών αξιολογήθηκαν ως «μη ελεύθερα», 

– το 32% «εν μέρει ελεύθερα» και,

– μόλις το 20% ικανοποίησαν τα κριτήρια για ένα διαδίκτυο εν τοις πράγμασι ελεύθερο. 

Την πρώτη θέση στην θωράκιση της ελευθερίας στο διαδίκτυο κατέλαβε η Ισλανδία ενώ η Κίνα κατετάγη στην τελευταία θέση για τέταρτη συνεχή χρονιά

Την πρώτη θέση στην θωράκιση της ελευθερίας στο διαδίκτυο κατέλαβε η Ισλανδία, καθώς δεν εντοπίστηκαν ποινικές διώξεις εις βάρος χρηστών για τον διαδικτυακό τους λόγο ενώ υπάρχει σχεδόν καθολική συνδεσιμότητα με ταυτόχρονη ισχυρή προστασία των δικαιωμάτων των χρηστών.

Από την άλλη, η Κίνα κατετάγη στην τελευταία θέση για τέταρτη συνεχή χρονιά λόγω των διευρυμένων περιστατικών διαδικτυακής λογοκρισίας και κατάργησης λογαριασμών σε σελίδες κοινωνικής δικτύωσης εξαιτίας «αποκλίνουσας» συμπεριφοράς.

Δεδομένου ότι και ο κυβερνοχώρος αποτελεί πεδίο πολιτικού διαλόγου και αντιπαράθεσης η ελευθερία ροή της πληροφορίας σε αυτόν παίζει καθοριστικό ρόλο στο αποτέλεσμα του πολιτικού «παιχνιδιού». Η έρευνα εντόπισε 24 κράτη στα οποία κρατικοί και μη κρατικοί δρώντες συμμετείχαν σε εκτεταμένες εκστρατείες ελέγχου και διαμόρφωσης του περιεχομένου στο διαδίκτυο κατά την διάρκεια προεκλογικών περιόδων κυρίως μέσω προπαγανδιστικών ειδήσεων, παραπληροφόρησης (fake news), πληρωμένων σχολιαστών, αυτοματοποιημένων ρομπότ που αλληλεπιδρούν ως πραγματικοί χρήστες με τεχνολογίες τεχνητής νοημοσύνης (bots) και παραβίασης και «αεροπειρατείας» λογαριασμών σε σελίδες κοινωνικής δικτύωσης.

Στην Αίγυπτο, για παράδειγμα, παύθηκαν 34.000 ιστοσελίδες για να εμποδίσουν την διάδοση της αντιπολιτευτικής ρητορικής, ενώ σε άλλες χώρες όπως στην Τουρκία, στην Ουκρανία και στην Ινδία έλαβαν χώρα κυβερνοεπιθέσεις σε ιστοσελίδες πολιτικού περιεχομένου, χρησιμοποιήθηκαν μέσα προπαγάνδας βασισμένης σε ψευδή στοιχεία και συνελήφθησαν πολιτικοί ακτιβιστές για την διαδικτυακή τους δράση.

Εξαιρετικό ενδιαφέρον παρουσιάζει το κεφάλαιο της έρευνας για την ψηφιακή κατόπτευση των σελίδων κοινωνικής δικτύωσης από τις κυβερνήσεις και την μαζική συλλογή προσωπικών δεδομένων των πολιτών.

Από τα 65 κράτη που διερευνήθηκαν, 40 από αυτά διαθέτουν τεχνολογικά προηγμένα συστήματα παρακολούθησης της διαδικτυακής συμπεριφοράς με την χρήση προγραμμάτων μηχανικής εκμάθησης (machine learning) και τεχνητής νοημοσύνης από το οποίο συνάγεται ότι το 89 % των διαδικτυακών χρηστών παγκοσμίως (δηλ. 3 δισεκατομμύρια) παρακολουθούνται.

Κι ενώ ίσως περίμενε κανείς τέτοιες μέθοδοι να χρησιμοποιούνται μόνο σε ανελεύθερα καθεστώτα, η έρευνα αποδεικνύει ότι τέτοιες πολιτικές εφαρμόζονται ευρέως και σε κράτη του δυτικού κόσμου υπό το πρόσχημα συχνά της καταπολέμησης της σοβαρής εγκληματικότητας όπως της τρομοκρατίας, της παιδικής κακοποίησης ή της εμπορίας ναρκωτικών ουσιών.

Με αμφιλεγόμενες μεθόδους ψηφιακής επιτήρησης σύγχρονες προηγμένες χώρες καταγράφουν ταξιδιώτες λόγω των πολιτικών τους πεποιθήσεων, παρακολουθούν την συμπεριφορά ακόμα και μαθητών και «φακελώνουν» πολιτικούς ακτιβιστές και πολίτες που συμμετέχουν σε πορείες διαμαρτυρίας.

Συνολικά, σε 47 από τα 65 κράτη όπου διεξήχθη η έρευνα παρατηρήθηκαν συλλήψεις χρηστών για τον διαδικτυακό τους λόγο πολιτικού, κοινωνικού ή θρησκευτικού περιεχομένου κατόπιν διευρυμένης ψηφιακής παρακολούθησης.

Στο Ηνωμένο Βασίλειο, για παράδειγμα, οι αστυνομικές αρχές του Λονδίνου παρακολουθούσαν την διαδικτυακή συμπεριφορά 9.000 ακτιβιστών όλου του πολιτικού φάσματος με την πλειοψηφία αυτών δίχως ποινικό παρελθόν χρησιμοποιώντας  συστήματα γεωεντοπισμού και αναλύοντας τις αναρτήσεις τους σε Facebook, Twitter και άλλες πλατφόρμες.

Κοντά στα ανωτέρω οφείλουμε να λάβουμε υπόψη ότι πλέον τα περισσότερα κράτη διαθέτουν εξελιγμένα εργαλεία τεχνητής νοημοσύνης που προσφέρουν στις κυβερνήσεις ανυπολόγιστες δυνατότητες ψηφιακής επιτήρησης των πολιτών όσο ποτέ άλλοτε με βαρύτατες επιπτώσεις σε θεμελιώδη ανθρώπινα δικαιώματα.

Η επιβίωση της δημοκρατίας απαιτεί και επιτάσσει την ύπαρξης μιας δημόσιας σφαίρας, τόσο εκτός δικτύου όσο και στο διαδίκτυο, όπου οι πολίτες θα μπορούν να δραστηριοποιούνται χωρίς τον φόβο μιας συνεχούς επιτήρησης.

*O Νικόδημος Καλλιντέρης είναι νομικός με εξειδίκευση στο Δημόσιο Δίκαιο (ΜΔΕ Δημοσίου Δικαίου Νομικής ΕΚΠΑ). Πεδία έρευνας και ενδιαφέροντος του αποτελούν το απόρρητο των τηλεπικοινωνιών, το Διαδίκτυο των Πραγμάτων (Internet of Things) καθώς και οι τεχνολογίες Βig Data, Machine Learning και η Tεχνητή Nοημοσύνη.

Γράφει η Καλλιρρόη Γραμμένου*

Οι επισκέπτες ιστοσελίδων βρίσκονται συχνά αντιμέτωποι με δυσνόητες, πυκνογραμμένες πολιτικές απορρήτου και ρυθμίσεις cookies.

Οι περισσότεροι χρήστες δεν έχουν τις τεχνικές γνώσεις να αξιολογήσουν εάν μία ιστοσελίδα συμμορφώνεται προς το ισχύον κανονιστικό πλαίσιο και εάν έχουν πραγματική ή κατ’ επίφαση επιλογή ως προς την τοποθέτηση cookies και την παρακολούθηση της διαδικτυακής συμπεριφοράς και των προτιμήσεών τους.

Τα Cookies είναι μικρά αρχεία κειμένου που αποθηκεύονται στη συσκευή του επισκέπτη μίας ιστοσελίδας. Πολλά από αυτά χρησιμοποιούνται για τη βελτίωση της χρηστικότητας ή της λειτουργικότητας ιστοσελίδων/ εφαρμογών.

Η θέση σε ισχύ του GDPR (Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) περιπλέκει ακόμα περισσότερο το τοπίο και δημιουργεί συχνά απορίες και σημεία σύγχυσης.

Η Γαλλική αρχή προστασίας δεδομένων (CNIL) και η Ισπανική Αρχή, με τις νέες κατευθυντήριες γραμμές που εξέδωσαν και το δικαστήριο της ΕΕ, με την σημαντική απόφαση Planet 49 GmbH (υπόθεση C-673/17) παρέχουν χρήσιμες διευκρινίσεις ως προς τις απαιτήσεις συγκατάθεσης των χρηστών για την αποθήκευση cookies στον εξοπλισμό τους.

Παρακάτω επιχειρούμε να εξηγήσουμε με απλό τρόπο τη σύζευξη του κανονισμού GDPR και της οδηγίας ePrivacy αλλά και να δώσουμε κάποιες ενδείξεις στους χρήστες σχετικά με την κατανόηση και την ορθότητα των πολιτικών cookies που χρησιμοποιούν οι πάροχοι ιστοσελίδων.

• Οδηγία ePrivacy και GDPR

Η εγκατάσταση και η χρήση «cookies» ρυθμίζεται από την παράγραφο 5 του άρθρου 4 του ν. 3471/2006 (ο οποίος μετέφερε στην ελληνική έννομη τάξη την Οδηγία ePrivacy – 2002/58/ΕΚ (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, γνωστή ως “cookies directive”).

Η βασική αρχή είναι ότι η εγκατάσταση και χρήση cookies επιτρέπεται μόνο με τη συγκατάθεση του χρήστη.

Υπάρχει μία λανθασμένη αντίληψη ότι όλες οι ρυθμίσεις απορρήτου, συμπεριλαμβανομένων των cookies, ανάγονται μόνο στον GDPR. Το δικαστήριο της ΕΕ στην απόφαση Planet 49 αναφέρεται επίσης στην οδηγία ePrivacy 2002/58. 

Σκοπός της οδηγίας είναι η προστασία της ιδιωτικής σφαίρας των χρηστών, ανεξαρτήτως εάν συλλέγονται ή όχι προσωπικά δεδομένα μέσω τεχνολογιών ηλεκτρονικής επικοινωνίας.

Είναι σημαντικό να κάνουμε την εξής διάκριση:

• Η οδηγία ePrivacy (cookies directive) ρυθμίζει τον δίαυλο επικοινωνίας (ηλεκτρονική επικοινωνία). Ο κανόνας σχετικά με τη λήψη συγκατάθεσης για την τοποθέτηση cookies εφαρμόζεται ανεξαρτήτως εάν γίνεται επεξεργασία προσωπικών δεδομένων ή όχι. 
• Ο ΓΚΠΔ (GDPR) ρυθμίζει τις νομικές βάσεις για τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και ορίζει την έννοια της συγκατάθεσης. Ο Κανονισμός ορίζει ότι η συγκατάθεση δεν μπορεί να είναι ελεύθερη εάν για την παροχή υπηρεσίας ζητείται συγκατάθεση που δεν είναι αναγκαία για τον συγκεκριμένο σκοπό.

Ως πρακτικό παράδειγμα θα μπορούσαμε να αναφέρουμε την περίπτωση ιστοσελίδας η οποία ζητά συγκατάθεση του επισκέπτη για τη χρήση cookies, ενημερώνοντάς τον ότι με τη συγκατάθεσή του αυτή συμφωνεί επίσης στη χρήση των στοιχείων του για επιπλέον σκοπούς, πλην της ζητηθείσας υπηρεσίας (bundled consent).

Ο GDPR ορίζει με σαφήνεια την έννοια της έγκυρης συγκατάθεσης στο άρθρο 7. Επιπλέον, στην αιτιολογική σκέψη 32 του GDPR, αναφέρεται ότι « Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων  υπέρ των δεδομένων που τον αφορούν. […] η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση.»

• Το τέλος του soft opt-in

Μέχρι σήμερα, το τοπίο σχετικά με τη χρήση των cookies και τις ρυθμίσεις απορρήτου των ιστοσελίδων (sites) ήταν νεφελώδες και διόλου ξεκάθαρο. Αυτό οφειλόταν στις διαφορές ως προς τη μεταφορά της οδηγίας ePrivacy στο εσωτερικό δίκαιο κάθε χώρας της ΕΕ αλλά και στην ανοχή που επεδείκνυαν κάποιες αρχές προστασίας δεδομένων σε χώρες όπως η Γαλλία, το Ηνωμένο Βασίλειο και η Γερμανία στη σιωπηρή συγκατάθεση (το επονομαζόμενο “soft opt-in”).

• Τι σημαίνει αυτό στην πράξη;

Όταν ο χρήστης επισκέπτεται μία ιστοσελίδα για πρώτη φορά, στο επάνω ή στο κάτω μέρος της ιστοσελίδας υπάρχει ένα cookie banner. Κλείνοντας το ή συνεχίζοντας την επίσκεψη στην ιστοσελίδα (χωρίς καμία περαιτέρω δήλωση), συνάγεται ότι ο χρήστης συναινεί σιωπηρά, άρα αποδέχεται την χρήση των cookies. Πολλές ιστοσελίδες εξακολουθούν να χρησιμοποιούν αυτό το σύστημα.

Παράδειγμα: Cookie banner σε site με το ακόλουθο περιεχόμενο: «Με τη συνέχιση της πλοήγησης αποδέχεστε τη χρήση των cookies».

Η Γαλλική αρχή CNIL ανακοίνωσε ότι αυτή η πρακτική δεν είναι πλέον συμβατή με τον κανονισμό GDPR διότι η σιωπηρή συγκατάθεση δεν είναι έγκυρη.

Εντούτοις, η CNIL όρισε μεταβατική περίοδο 12 μηνών ώστε οι πάροχοι ιστοσελίδων να προσαρμόσουν κατάλληλα τις ρυθμίσεις cookies.

Αυτό οφείλεται επίσης στο ότι ο κανονισμός ePrivacy δεν έχει τεθεί ακόμα σε ισχύ και παραμένουν σημαντικές αποκλίσεις ως προς την εφαρμογή της οδηγίας ePrivacy στο δίκαιο κάθε κράτους μέλους της ΕΕ. Με τη θέση σε ισχύ του κανονισμού ePrivacy, θα ισχύει ένα ενιαίο καθεστώς για όλα τα κράτη μέλη της ΕΕ, επομένως οι πάροχοι ιστοσελίδων θα πρέπει να υπαχθούν σε ομοιογενές καθεστώς συμμόρφωσης ως προς την χρήση cookies. Η γαλλική αρχή αποφάσισε να μην περιμένει τη θέση σε ισχύ του επερχόμενου κανονισμού ePrivacy προκειμένου να επιβάλλει τη συμμόρφωση των παρόχων ιστοσελίδων με ενιαία πρότυπα ρυθμίσεων απορρήτου.

• Τι πρέπει να ελέγχουν οι χρήστες προκειμένου να καταλάβουν αν μία ιστοσελίδα εφαρμόζει σωστά τη νομοθεσία για τα cookies;

Σύμφωνα με τις τελευταίες νομολογιακές εξελίξεις και τις κατευθυντήριες γραμμές διαφόρων Αρχών προστασίας δεδομένων προσωπικού χαρακτήρα (με πιο πρόσφατες της οδηγίες της Ισπανικής Αρχής), οι επισκέπτες ιστοσελίδων πρέπει να λάβουν υπόψη τους τα εξής προκειμένου να αποφύγουν την τοποθέτηση ανεπιθύμητων cookies και να προσαρμόσουν τις παραμέτρους απορρήτου όπως επιθυμούν:

-Δεν απαιτείται προηγούμενη συγκατάθεση του χρήστη μόνο για τα λειτουργικά cookies (functional cookies) που είναι απολύτως απαραίτητα για τη λειτουργία της ιστοσελίδας, για την εκτέλεση ηλεκτρονικής επικοινωνίας ή για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας. Χωρίς τη χρήση λειτουργικών cookies είναι αδύνατη η περιήγηση του επισκέπτη στην ιστοσελίδα.

-Για τα υπόλοιπα είδη cookies (πλην των λεγόμενων functional cookies) απαιτείται ενημέρωση του χρήστη και παροχή δυνατότητας να συγκατατεθεί ρητά, με ρητή και  θετική ενέργεια (επιλέγοντας ο ίδιος το αντίστοιχο τετραγωνίδιο) ή να αρνηθεί την τοποθέτηση των cookies στον υπολογιστή του (παροχή επιλογών ανά κατηγορία cookies και όχι για όλα αδιακρίτως).

-Η ιστοσελίδα θα πρέπει να παρέχει ενημέρωση στον χρήστη όχι μόνο σχετικά με τα cookies που τοποθετεί στον υπολογιστή του χρήστη (“First Party” Cookie) αλλά και σχετικά με τα cookies από Τρίτα Μέρη (third-party cookies) κυρίως για τους σκοπούς συμπεριφορικής διαφήμισης (Online behavioural advertising – OBA). Κάθε ιστοσελίδα που χρησιμοποιεί συμπεριφορική διαφήμιση οφείλει να παρέχει πληροφορίες σχετικά με την συλλογή και την χρήση δεδομένων, τις οποίες οι χρήστες πρέπει να είναι σε θέση να εντοπίσουν με ευχέρεια.

Σύμφωνα με τις οδηγίες της Ισπανικής Αρχής, πληροφορίες σχετικά με cookies από Τρίτα Μέρη μπορούν να παρέχονται με αναπτυσσόμενη λίστα (drop-down) ή με αναδυόμενο κείμενο (pop-up).

-Οι επισκέπτες ιστοσελίδας πρέπει να παρέχουν τη συγκατάθεσή τους στην τοποθέτηση cookies κατά τρόπο ρητό και σαφή, δηλαδή με δήλωση ή με σαφή θετική ενέργεια (π.χ. με συμπλήρωση τετραγωνιδίου). Κατά συνέπεια, τυχόν προσυμπληρωμένα τετραγωνίδια δεν συνεπάγονται ότι ο χρήστης συναινεί νομίμως στην επεξεργασία, διότι η συγκατάθεσή του δεν είναι ελεύθερη ούτε ρητή (Απόφαση Δικαστηρίου ΕΕ, Planet49 GmbH, σκέψεις 62, 63).

 Συνεπώς, προεπιλεγμένο τετραγωνίδιο το οποίο οι χρήστες πρέπει να απο-επιλέξουν προκειμένου να αρνηθούν να δώσουν τη συγκατάθεσή τους δεν είναι συμβατό προς τον κανονισμό GDPR ούτε προς την οδηγία ePrivacy.

-Η πολιτική cookies πρέπει να παρουσιάζεται ευκρινώς και με απλή γλώσσα στην ιστοσελίδα. Η πολιτική πρέπει να περιγράφει με εύληπτο τρόπο τις διαθέσιμες ρυθμίσεις απορρήτου, καθώς και να παρέχει στον χρήστη τη δυνατότητα επιλογής των ρυθμίσεων απορρήτου ανά σκοπό, χωρίς προεπιλεγμένες από τον πάροχο ρυθμίσεις (αρχή της διαφάνειας).

-Οι πληροφορίες τις οποίες ο πάροχος υπηρεσιών πρέπει να παρέχει στον επισκέπτη της ιστοσελίδας περιλαμβάνουν τη διάρκεια λειτουργίας των cookies καθώς και το εάν τρίτοι πάροχοι μπορούν να έχουν πρόσβαση στα cookies (Απόφαση Δικαστηρίου ΕΕ, υπόθεση Planet49 GmbH). 

• Άλλα στοιχεία που πρέπει να προσέχουν οι χρήστες

Α) Λήψη ξεχωριστής συγκατάθεσης ανά σκοπό επεξεργασίας

Ο χρήστης πρέπει να ελέγχει εάν το αίτημα για λήψη συγκατάθεσης είναι χωριστό ανά σκοπό επεξεργασίας.

Παράδειγμα: ιστοσελίδα ζητά από τον χρήστη να επιλέξει τετραγωνίδιο για να κατεβάσει μία εφαρμογή στο κινητό ή στον υπολογιστή του και ταυτόχρονα τον ενημερώνει ότι με τη συγκατάθεση αυτή συμφωνεί επίσης σε περαιτέρω χρήση των στοιχείων του για διαφημιστικούς σκοπούς. Εν προκειμένω, η συγκατάθεση δεν είναι ελεύθερη, ούτε συγκεκριμένη, διαβαθμισμένη και ελεύθερα ανακλητή. Στη συγκεκριμένη περίπτωση, η συγκατάθεση δίνεται για περισσότερους σκοπούς επεξεργασίας οι οποίοι δεν είναι διακριτοί και η άρνηση του χρήστη να δεχτεί την περαιτέρω επεξεργασία για σκοπούς marketing, τον αποκλείει από την πρόσβαση στην εφαρμογή (bundled consent).

Επομένως οι χρήστες πρέπει να αντιλαμβάνονται ότι μία λήψη συγκατάθεσης πρέπει να αντιστοιχεί σε έναν ευδιάκριτο σκοπό.

Β) Cookie walls

Το Δικαστήριο της ΕΕ στην πρόσφατη απόφαση Planet49 δεν ανέλυσε τη συμβατότητα των cookie walls προς τον κανονισμό GDPR. Ωστόσο, η Ολλανδική αρχή προστασίας δεδομένων διευκρίνισε ότι τα cookie walls δεν είναι συμβατά με τον GDPR.

• Πώς λειτουργούν τα cookie walls;

Τα cookie walls αρνούνται στον επισκέπτη την πρόσβαση σε μία ιστοσελίδα, εάν εκείνος δεν συγκατατεθεί στην εγκατάσταση λογισμικού παρακολούθησης (tracking) ή άλλων ψηφιακών μεθόδων για στοχευμένη διαφήμιση.

Σε αυτή την περίπτωση, οι επισκέπτες ιστοσελίδας εξαναγκάζονται να αποδεχτούν τη χρήση τους προκειμένου να έχουν πρόσβαση στο περιεχόμενό της. Συνεπώς, δεν υπάρχει ρητή και ελεύθερη συγκατάθεση κατά την έννοια του GDPR.

Γ) Soft opt-in

Όταν μία ιστοσελίδα ενημερώνει τον επισκέπτη ότι με την πλοήγησή του αποδέχεται τα cookies, δεν του δίνει τη δυνατότητα να λάβει γνώση και να δεχτεί ή να απορρίψει τη χρήση τους. Έτσι, δίνεται άδεια σε τρίτους παρόχους να εγκαταστήσουν cookies αλλά και να παρέχουν διαφημιστικό περιεχόμενο χωρίς κανέναν έλεγχο και συγκατάθεση από τον ίδιο τον χρήστη.

• Η κούραση των χρηστών

Δεδομένου ότι δεν έχει τεθεί ακόμα σε ισχύ ο κανονισμός ePrivacy, δεν έχει αναληφθεί συντονισμένη δράση από όλες τις αρχές προστασίας δεδομένων.  Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (“ΑΠΔΠΧ”), πραγματοποίησε στις αρχές του 2019 ελέγχους σε 65 ιστοσελίδες και διαπίστωσε χαμηλό επίπεδο συμμόρφωσης με τον κανονισμό.

Μένει να δούμε εάν οι υπόλοιπες αρχές προστασίας δεδομένων θα ακολουθήσουν το παράδειγμα της γαλλικής αρχής CNIL και θα παρέχουν κατευθυντήριες γραμμές οι οποίες θα συμβάλλουν στη συμμόρφωση των παρόχων ιστοσελίδων με τις απαιτήσεις του GDPR και της οδηγίας ePrivacy.

Οι χρήστες πρέπει επίσης να αντιληφθούν ότι η πρόσβαση σε πολιτικές απορρήτου που είναι γραμμένες με απλό και κατανοητό τρόπο έχει ως σκοπό το σεβασμό της αρχής της διαφάνειας ως προς τη χρήση των δεδομένων τους, καθώς και την εξατομίκευση των προτιμήσεων απορρήτου, ούτως ώστε να μην εκτίθενται σε συστηματική παρακολούθηση και ανεπιθύμητη διαφήμιση.

Οι μη εξοικειωμένοι χρήστες συχνά δυσανασχετούν με τον αριθμό των ενεργειών που απαιτούνται ώστε να παρέχουν συγκατάθεση και θεωρούν τη διαδικασία ανώφελη (consent fatigue). Είναι ωστόσο χρήσιμο να διαθέτουν τις απαραίτητες γνώσεις προκειμένου να αποφύγουν την εγκατάσταση cookies από τρίτους παρόχους και το να εκθέτουν τις προτιμήσεις τους προς διαφημιστική εκμετάλλευση, χωρίς κανέναν έλεγχο και λογοδοσία. Σε ιστοσελίδα η οποία έχει διαμορφώσει σωστά τις ρυθμίσεις για τα cookies, η διαδικασία αυτή δε διαρκεί πολύ και αρκούν μερικά κλικ από τον χρήστη.

Σε περίπτωση που ο χρήστης εντοπίσει ότι μία ιστοσελίδα δε συμμορφώνεται με το  ρυθμιστικό πλαίσιο για τα cookies, μπορεί να προσφύγει στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα. Εάν πρόκειται για ελληνική ιστοσελίδα, μπορεί να προσφύγει στην ελληνική ΑΠΔΠΧ.

Σημειώνεται ότι η Homo Digitalis, πιστή στις αξίες της, δε χρησιμοποιεί cookies ή άλλες τεχνολογίες στην ιστοσελίδα της προκειμένου να καταγράψει τη δραστηριότητά σας.

*Η Καλλιρρόη Γραμμένου, LL.M., CIPP/E, είναι δικηγόρος Αθηνών, απόφοιτος της Νομικής σχολής του Α.Π.Θ., με LL.M. στο δίκαιο της ΕΕ από τα πανεπιστήμια Λουξεμβούργου/Nancy II. Έχει διατελέσει DPO και νομικός σύμβουλος του εκτελεστικού οργανισμού της ΕΕ CHAFEA. Έχει εργαστεί ως δικηγόρος και σύμβουλος προστασίας προσωπικών δεδομένων στην Ελλάδα και στο Λουξεμβούργο.

Γράφει ο Γιώργος Αρσένης*

Ένα δικαστήριο στην Αυστρία καταδίκασε μια επιχείρηση σε πληρωμή αποζημίωσης 800,00 Ευρώ σε ένα υποκείμενο δεδομένων για λόγους ηθικής βλάβης, σύμφωνα με το άρθρο 82 του ΓΚΠΔ (GDPR). Η απόφαση δεν έχει τεθεί ακόμα σε ισχύ, λόγω του ότι άσκησαν έφεση και οι δυο πλευρές. Αλλά, σε περίπτωση που το εφετείο επιβεβαιώσει την απόφαση, τότε η επιχείρηση κινδυνεύει -θεωρητικά- να βρεθεί μπροστά σε μια μαζική αγωγή, στην οποία εμπλέκονται  περί τα 2 εκατομμύρια υποκείμενα δεδομένων. Φυσικά, η περίπτωση ελκύει το ενδιαφέρον διότι η έκβαση της αναμένεται να αποτελέσει δικαστικό προηγούμενο, με αποτέλεσμα μελλοντικές περιπτώσεις να βασιστούν πάνω σε αυτό το παράδειγμα.

Ας δούμε όμως τα πράγματα από την αρχή, για να καταλάβουμε ποιες επιπτώσεις μπορεί να έχει αυτή η εφαρμογή του άρθρου 82 του ΓΚΠΔ στο δίκαιο άλλων κρατών-μελών της Ευρωπαϊκής Ένωσης.

Profiling

Το ότι ένα ταχυδρομείο συλλέγει και αποθηκεύει συγκεκριμένα προσωπικά δεδομένα πελατών του, δεν είναι κάτι καινούργιο. Μετά όμως από αίτηση ενός υποκειμένου δεδομένων, αποκαλύφθηκε πως το Ταχυδρομείο της Αυστρίας αξιολόγησε και αποθήκευσε δεδομένα που αφορούσαν τις πολιτικές προτιμήσεις περίπου δύο εκατομμυρίων πελατών του.

Η επιχείρηση χρησιμοποίησε στατιστικές μεθόδους όπως το profiling, με στόχο να υπολογίσει τον βαθμό προσκόλλησης ενός ατόμου σε κάποιο αυστριακό κόμμα, βάσει των πολιτικών του πεποιθήσεων (π.χ. μεγάλη πιθανότητα προσκόλλησης στο κόμμα Α; μικρή πιθανότητα προσκόλλησης στο κόμμα Β). Σύμφωνα με δημοσιεύματα, φαίνεται ότι κανένας από τους πελάτες δεν είχε πληροφορηθεί ή δώσει την συγκατάθεση του για αυτήν την επεξεργασία και ότι σε συγκεκριμένες περιπτώσεις οι πληροφορίες αυτές πωλήθηκαν σε τρίτους.

Η ηθική βλάβη έχει τιμή

Ο καθορισμός της αποζημίωσης βασίστηκε σε μια δικαστική μέθοδο, η οποία εφαρμόζεται στην Αυστρία. Σύμφωνα με αυτή, το δικαστήριο έλαβε υπόψη δύο βασικά στοιχεία: (1) το ότι οι πολιτικές απόψεις είναι ένα ιδιαίτερα ευαίσθητο είδος δεδομένων και (2) το ότι η επεξεργασία διεξήχθη εν αγνοία του υποκειμένου των δεδομένων.

Το τοπικό δικαστήριο του Feldkirch, στο ομόσπονδο κρατίδιο Voralberg της Αυστρίας, όπου εκδικάστηκε η υπόθεση σε πρώτο βαθμό, έκρινε ότι η ενόχληση που ένιωσε ο μηνυτής λόγω του profiling στο οποίο υποβλήθηκε χωρίς να δώσει την συγκατάθεση του, συνιστά μη υλική ζημιά, για αυτό και επιδίκασε στον ενάγοντα 800,00 Ευρώ, από τα 2.500,00 Ευρώ που είχε απαιτήσει αρχικά.

Το δικαστήριο αναγνώρισε ότι οι πολιτικές πεποιθήσεις καθιστούν ειδική κατηγορία δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 9 του ΓΚΠΔ. Όμως, θεώρησε επίσης, ότι κάθε περίπτωση αντιλαμβανόμενη ως δυσμενή μεταχείριση ή παραβίαση δεν μπορεί να δίνει έναυσμα για διεκδίκηση αποζημιώσεων για μη υλικές ζημιές.  Ωστόσο, το δικαστήριο έκρινε ότι σε αυτήν την περίπτωση παραβιάστηκαν θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων.

Ο καθορισμός της αποζημίωσης βασίστηκε σε μια δικαστική μέθοδο, η οποία εφαρμόζεται στην Αυστρία. Σύμφωνα με αυτή, το δικαστήριο έλαβε υπόψη δύο βασικά στοιχεία: (1) το ότι οι πολιτικές απόψεις είναι ένα ιδιαίτερα ευαίσθητο είδος δεδομένων και (2) το ότι η επεξεργασία διεξήχθη εν αγνοία του υποκειμένου των δεδομένων.

Και τώρα;

Η απόφαση δεν αποτελεί έκπληξη. Το άρθρο 82 § 1 του ΓΚΠΔ προβλέπει ξεκάθαρα πληρωμή αποζημιώσεων για μη υλικές ζημιές. Όμως, με τα 2,2 εκατομμύρια εμπλεκόμενα υποκείμενα δεδομένων σε αυτήν την επεξεργασία και με απλά μαθηματικά προκύπτει το ποσό των 1,7 δις ευρώ.

Το σίγουρο είναι, ότι σε περίπτωση που το εφετείο επιβεβαιώσει την απόφαση του πρωτοδικείου, θα υπάρξει πληθώρα παρόμοιων υποθέσεων προς εκδίκαση. Αυτός είναι και ο λόγος που ήδη πολλές επιχειρήσεις, και στην γειτονική Γερμανία, εξειδικεύονται σε διαδικασίες όπως αυτή.

Η ανεξάρτητη αρχή

Μετά την απόφαση του τοπικού δικαστηρίου του Feldkirch στις αρχές Οκτωβρίου, προς το τέλος του ίδιου μήνα και συγκεκριμένα στις 29.10.2019, η αυστριακή αρχή προστασίας δεδομένων (Österreichische Datenschutzbehörde), ανακοίνωσε ότι επέβαλε διοικητική κύρωση ύψους 18 εκατομμυρίων ευρώ στο Ταχυδρομείο της Αυστρίας.

Πέραν των πολιτικών πεποιθήσεων, η Αρχή Προστασίας της Αυστρίας εξακρίβωσε περισσότερες παραβιάσεις. Μέσα από περαιτέρω επεξεργασίες, προέκυπταν στοιχεία σχετικά με την συχνότητα αποστολής δεμάτων, ή την συχνότητα αλλαγής κατοικίας, τα οποία χρησιμοποιούνταν για διαφημιστική προσέγγιση μέσω direct-marketing. Το ταχυδρομείο της Αυστρίας, που κατά το ήμισυ ανήκει στο κράτος, δήλωσε ότι θα κινηθεί δικαστικά εναντίον του διοικητικού μέτρου και δικαιολόγησε τον σκοπό της επεξεργασίας ως θεμιτή ανάλυση αγοράς.

Η ιδιαιτερότητα της ετυμηγορίας

Η ετυμηγορία στο Feldkirch δείχνει ότι τα δικαστήρια μπορούν να καταβάλλουν πληρωμές για «αντιξοότητες» λόγω πραγματικών ή υποτιθέμενων παραβιάσεων δεδομένων. Ο προσφεύγων στην δικαιοσύνη δήλωσε απλά ότι ‘ένιωσε ενοχλημένος’ για το τι έγινε, χωρίς δηλαδή να επικαλεστεί μια ηθική βλάβη που προκλήθηκε μέσα από κάποιο αποτέλεσμα της επεξεργασίας, όπως δυσφήμιση, κατάχρηση πνευματικής ιδιοκτησίας, παρενόχληση μέσω τηλεφωνημάτων ή emails. Μπορείτε να βρείτε εδώ την Απόφαση.

Σε αντίθεση με την ανεξάρτητη αρχή, που επέβαλε την κύρωση για τις πολλαπλές παραβιάσεις διατάξεων του GDPR, το δικαστήριο εστίασε την απόφαση του στην ενόχληση που ένιωσε ο μηνυτής. Η ηθική ζημιά προκλήθηκε από το γεγονός ότι μια εταιρεία επεξεργάζεται δεδομένα κατά παράβαση των διατάξεων του GDPR.

* Ο Γιώργος Αρσένης είναι IT Consultant και DPO. Απόφοιτος του Τμήματος Ειδίκευσης Προγραμματιστών του Ε.Π.Λ. Βέροιας με πολυετή πείρα σε θέματα IT Systems Maintenance & Support, σε χώρες της Ευρώπης. Έχει εργαστεί σε οργανισμούς της Ε.Ε. και στον ιδιωτικό τομέα. Έχει εμπειρία με δίκτυα τηλεπικοινωνιών, δίκτυα CISCO, scientific modelling και συστήματα εικονικών μηχανών. Ελεύθερος επαγγελματίας, εξειδικεύεται στην Διαχείριση Συστημάτων Ασφάλειας Πληροφοριών και Προστασία Προσωπικών Δεδομένων

Ηλεκτρονικά προσβάσιμες πηγές:

• • https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes
  • https://www.linkedin.com/pulse/landesgericht-feldkirch-kl%C3%A4ger-stehen-800-euro-f%C3%BCr-zu-tim-wybitul
  • https://netzpolitik.org/2019/datenschutzgrundverordnung-18-millionen-euro-strafe-fuer-die-oesterreichische-post/
  • https://www.addendum.org/datenhandel/schadenersatz/