Η εποχή της "συγκομιδής" των προσωπικών δεδομένων
Γράφει η Αδαμαντία Βολικού*
Η ονομαζόμενη «συγκομιδή δεδομένων» αποτελεί, στη σύγχρονη εποχή, μια δραστηριότητα δημοφιλή και συχνά ιδιαίτερα επικερδή για όσους ασχολούνται με αυτή.
-Μπορεί, ωστόσο, η συγκομιδή αυτή να γίνεται ανεξέλεγκτα ή υπόκειται σε περιορισμούς;
-Και τι συμβαίνει όταν άλλοι συγκεντρώνουν τα προσωπικά μας δεδομένα, τους καρπούς δηλαδή της δικής μας «σοδειάς»;
Τι είναι «συγκομιδή δεδομένων»;
Ο όρος «συγκομιδή» ή «απόξεση» ή «απόσπαση» δεδομένων (data scraping) είναι ένας γενικός όρος, ο οποίος αναφέρεται σε όλες τις μεθόδους που χρησιμοποιούνται και στοχεύουν στην απόκτηση και συλλογή δεδομένων από το διαδίκτυο.
Η συγκομιδή μπορεί να γίνεται από μεμονωμένα άτομα και χειροκίνητα –ποιος από εμάς άλλωστε δεν έχει συλλέξει πληροφορίες από το διαδίκτυο; – ωστόσο, σήμερα, ο συνηθέστερος τρόπος που επιτρέπει τη συλλογή εξαιρετικά μεγάλου όγκου δεδομένων σε ασύγκριτα ταχύτερο χρόνο είναι ο αυτοματοποιημένος. Η αυτοματοποιημένη συγκομιδή δεδομένων πραγματοποιείται με τη χρήση ειδικού λογισμικού, το οποίο στοχεύει στην απόσπαση δεδομένων που βρίσκονται στο διαδίκτυο και, πρακτικά, αποτελεί μια μορφή αντιγραφής δεδομένων, τα οποία συγκεντρώνονται για μεταγενέστερη ανάλυση και χρήση.
Τις βασικότερες μορφές συγκομιδής δεδομένων αποτελούν:
α) η απόσπαση στοχευμένων και συγκεκριμένων δεδομένων από ιστοσελίδες (screen scraping, ελλ. «συγκομιδή δεδομένων οπτικής εξόδου»),
β) η απόκτηση όλων των δεδομένων ενός ιστοτόπου, συμπεριλαμβανομένης της γλώσσας προγραμματισμού του και η μετατροπή τους στη μορφή που επιθυμεί ο αποκτών λ.χ. δημιουργία αρχείου ή βάσης δεδομένων (web scraping ή web harvesting, ελλ. «ιστοσυγκομιδή») και
γ) η χρήση προγραμμάτων-ρομπότ (web spiders, web crawlers, scraper bots, search bots), τα οποία διατρέχουν τις σελίδες του παγκόσμιου ιστού και αντιγράφουν το περιεχόμενό τους και το περιεχόμενο των υπερσυνδέσμων (hyperlinks) που περιέχονται σε αυτές ώστε να δημιουργήσουν ευρετήρια του internet (web crawling ή web spidering, ελλ. «ανίχνευση ιστού»). Η μέθοδος αυτή χρησιμοποιείται κυρίως από μηχανές αναζήτησης (Google, Bing κλπ.), με σκοπό να αυξήσουν, να επικαιροποιήσουν και να κάνουν πιο ελκυστικά τα αποτελέσματα αναζήτησης.
Πού χρησιμεύει η συγκομιδή δεδομένων και πώς μας αφορά;
Η συγκέντρωση και ανάλυση κάθε μορφής δεδομένων και πληροφοριών από ηλεκτρονικά προσβάσιμες πηγές δεν αποτελούν είδηση για το σύγχρονο κόσμο. Χρησιμοποιούνται ευρέως εδώ και έτη σε πολλούς κλάδους που επηρεάζουν άμεσα ή έμμεσα την καθημερινή μας ζωή.
Η συλλογή και χρήση δεδομένων προορίζεται, μεταξύ άλλων, για την προώθηση της ιατρικής έρευνας, την υποστήριξη μεγάλης ή μικρής κλίμακας στατιστικών μελετών, τη διευκόλυνση και ενίσχυση της ακαδημαϊκής έρευνας, την εξέλιξη της επιστήμης γενικότερα και της τεχνολογίας, την προώθηση της οικονομίας και του εμπορίου προς όφελος των καταναλωτών. Στην τελευταία περίπτωση, τα αποτελέσματα των τεχνικών της συγκομιδής δεδομένων γίνονται άμεσα αντιληπτά στο χρήστη του διαδικτύου μέσα από τη δυνατότητα πρόσβασης σε ιστοτόπους σύγκρισης τιμών προϊόντων και υπηρεσιών (λ.χ. τιμές εισιτηρίων, καταλυμάτων και εμπορευμάτων) και τη βελτίωση των παρεχόμενων προϊόντων και υπηρεσιών ώστε να ανταποκρίνονται στις ανάγκες του σύγχρονου καταναλωτή (λ.χ. έξυπνες συσκευές).
Ωστόσο, η συγκομιδή δεδομένων δεν έχει ως αντικείμενο μόνο την απόκτηση πληροφοριών γενικού, επιστημονικού ή οικονομικού ενδιαφέροντος. Τα προσωπικά δεδομένα των χρηστών του διαδικτύου δηλαδή όλες οι διαθέσιμες στο διαδίκτυο πληροφορίες που σχετίζονται ή μπορούν να σχετιστούν με κάθε χρήστη έχουν ανεκτίμητη αξία για ολόκληρο σχεδόν τον επιχειρηματικό κόσμο του πλανήτη αλλά και για άλλους κλάδους όπως η επιστήμη και η τεχνολογία, για την επιβίωση και εξέλιξή τους σε συνθήκες σκληρού ανταγωνισμού.
Η δραστηριότητα του ανθρώπου στο διαδίκτυο είναι ανεξάντλητη: online αγοραπωλησίες, μέσα κοινωνικής δικτύωσης, επαγγελματική προβολή, υπηρεσίες ηλεκτρονικού ταχυδρομείου, αναζήτηση πληροφοριών, blogs, ανάρτηση σχολίων, υπηρεσίες συνδρομητικές ή όχι, με εγγραφή ή χωρίς. Σύμφωνα με πρόσφατες στατιστικές, ως τις αρχές του 2020 υπολογίζεται ότι κάθε χρήστης παράγει κατά μέσο όρο 1,7 megabytes δεδομένων ανά δευτερόλεπτο. Η ίδια αυτή δραστηριότητα αφήνει πίσω της και τα ίχνη μας, τα προσωπικά δεδομένα, τα οποία γίνονται πολυπόθητο αντικείμενο συγκομιδής.
Με ποιους «μοιραζόμαστε» τα προσωπικά μας δεδομένα;
Η συγκομιδή δεδομένων αποτελεί συνήθη και διαδεδομένη διεθνώς πρακτική για πολλούς κλάδους, οι οποίοι συγκεντρώνουν και αποθηκεύουν τεράστια πακέτα δεδομένων (big data sets) για να τα επεξεργαστούν αργότερα για δική τους χρήση ή για να τα πουλήσουν σε άλλους ενδιαφερόμενους. Η απόσπαση προσωπικών δεδομένων απευθείας από τον παγκόσμιο ιστό γίνεται συχνά δίχως να το γνωρίζουν τα ίδια τα πρόσωπα.
Τα παραδείγματα των κλάδων που δραστηριοποιούνται στη συγκομιδή προσωπικών δεδομένων είναι πολλά:
-Υπεύθυνοι τμημάτων ανθρώπινου δυναμικού και εταιρειών προσλήψεων (recruiters) φιλτράρουν ιστότοπους με βιογραφικά σημειώματα, και προφίλ εργαζομένων, προκειμένου να ενημερώσουν τις βάσεις δεδομένων τους και να διακρίνουν τις τάσεις στην αγορά εργασίας.
-Επιχειρήσεις συλλέγουν δεδομένα για να διαμορφώσουν παγκόσμιες αλλά και τοπικές στρατηγικές προώθησης και διαφήμισης προϊόντων και υπηρεσιών και να διακρίνουν καταναλωτικές τάσεις.
-Πάροχοι τραπεζικών και ασφαλιστικών υπηρεσιών στοχεύουν στην προώθηση προγραμμάτων στους καταναλωτές και στην αξιολόγηση της φερεγγυότητάς τους.
-Η επιστημονική και η ακαδημαϊκή κοινότητα, όπως και τα μέσα μαζικής ενημέρωσης αποσπούν δεδομένα για ερευνητικούς, στατιστικούς και άλλους σκοπούς.
-Δεδομένα από ιστότοπους που περιέχουν ηλεκτρονικές διευθύνσεις ή τηλεφωνικούς αριθμούς χρησιμοποιούνται για ανεπιθύμητες τηλεφωνικές κλήσεις, αποστολή ανεπιθύμητης αλληλογραφίας ή για ηλεκτρονική απάτη.
Πρόσφατα, το σκάνδαλο Facebook-Cambridge Analytica αποκάλυψε τη χρήση της συγκομιδής δεδομένων και στην πολιτική. Εκεί, στόχος της συγκομιδής ήταν ο επηρεασμός της πρόθεσης ψήφου εκατομμυρίων χρηστών της πλατφόρμας.
Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστoτόπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα.
Ποια είναι τα προσωπικά δεδομένα;
Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ ή GDPR), ισχύει από τις 25 Μαΐου 2018 στις χώρες της Ευρωπαϊκής Ένωσης και στις χώρες του Ευρωπαϊκού Οικονομικού Χώρου (Νορβηγία, Ισλανδία και Λιχτενστάιν). Στο πεδίο του εμπίπτουν όλα τα φυσικά πρόσωπα που βρίσκονται στις χώρες αυτές. Σύμφωνα με τον Κανονισμό, προσωπικό δεδομένο είναι κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο («υποκείμενο των δεδομένων») και συντελεί στην αναγνώρισή και ταυτοποίησή του, είτε άμεσα είτε έμμεσα.
Προσωπικά δεδομένα που μπορούν να οδηγήσουν άμεσα στην αναγνώριση ενός φυσικού προσώπου είναι το ονοματεπώνυμο, η διεύθυνση, η ηλεκτρονική διεύθυνση, στοιχεία τραπεζικών λογαριασμών, ημερομηνία γέννησης, στοιχεία επαγγέλματος, δεδομένα υγείας, οπτικό ή ακουστικό υλικό κ.ά.. Επιπλέον, προσωπικά δεδομένα θεωρούνται και όσα χρησιμοποιούνται για την έμμεση αναγνώριση ενός προσώπου δηλαδή αυτή που προκύπτει από το συνδυασμό περισσότερων πληροφοριών. Για παράδειγμα, διευθύνσεις IP, cookies ή άλλα διαδικτυακά ίχνη που αφήνει ένα πρόσωπο κατά την περιήγησή του στο διαδίκτυο, θεωρούνται προσωπικά δεδομένα καθώς όταν συνδυαστούν με άλλα αναγνωριστικά στοιχεία του, οδηγούν έμμεσα στην αναγνώρισή του.
Είναι η συγκομιδή προσωπικών δεδομένων νόμιμη;
Η πρακτική της συγκομιδής πληροφοριών από το διαδίκτυο χρησιμοποιείται διεθνώς και μέχρι σήμερα δεν έχει χαρακτηριστεί παράνομη. Ωστόσο, η απόσπαση δεδομένων από ιστότοπους τρίτων δεν μπορεί να πραγματοποιείται ανεξέλεγκτα. Οποιοσδήποτε επιχειρεί πρόσβαση και απόσπαση δεδομένων θα πρέπει, αρχικά, να ακολουθεί και να συμμορφώνεται με τους «όρους χρήσης» των ιστοτόπων αυτών. Οι όροι χρήσης ενός ιστότοπου προβλέπουν, συνήθως, αν και σε ποιο βαθμό μπορεί κάποιος να αποσπάσει δεδομένα από αυτόν καθώς και αν απαιτείται για αυτό η προηγούμενη έγγραφη άδεια του ιδιοκτήτη/διαχειριστή του (χαρακτηριστικό παράδειγμα οι όροι του Twitter).
Η απόσπαση δεδομένων κατά παράβλεψη των παραπάνω κανόνων, ή ακόμα και η συγκομιδή δεδομένων από ιστότοπο που δεν έχει αναρτήσει όρους χρήσης ή δεν περιλαμβάνει σε αυτούς περιορισμούς σχετικά με τη συγκομιδή, εκθέτει τον αποσπώντα σε σοβαρούς κινδύνους. Πέρα από την κατάχρηση των κανόνων ηθικής και δεοντολογίας που θεωρείται ότι διέπουν το data scraping, η αθέμιτη και άμετρη χρήση τέτοιων τεχνικών καθιστά αυτόν που τις χρησιμοποιεί υπεύθυνο για παραβίαση του δικαίου των συμβάσεων, των νόμων περί προστασίας της πνευματικής ιδιοκτησίας ή/και του ποινικού δικαίου κατά περίπτωση.
Ειδικότερα, στο πεδίο των προσωπικών δεδομένων, τα τελευταία έτη, η ανεξέλεγκτη και εν αγνοία των χρηστών του διαδικτύου χρήση των τεχνικών συγκομιδής έχει προκαλέσει προβληματισμούς και αντιπαραθέσεις ως προς το αν και σε ποιο βαθμό κινείται εντός νόμιμων ορίων.
Ίσως ο πιο σημαντικός προβληματισμός αφορά στην προστασία των προσωπικών δεδομένων που είναι δημόσια ορατά και προσβάσιμα δηλαδή όσα δεν καλύπτονται από κωδικούς πρόσβασης, ρυθμίσεις απορρήτου και ιδιωτικότητας και άλλα μέτρα προστασίας, και έχουν γίνει δημόσια ορατά είτε από επιλογή του χρήστη, είτε δίχως να το γνωρίζει. Δεν είναι σπάνιο το φαινόμενο, φίλοι, γνωστοί ή άλλοι να αναρτούν στο διαδίκτυο πληροφορίες για εμάς χωρίς να έχουμε ενημερωθεί, ούτε επίσης οι περιπτώσεις στις οποίες τα προφίλ των χρηστών σε διάφορες πλατφόρμες είναι δημόσια ορατά είτε επειδή αμέλησαν να προσαρμόσουν τις ρυθμίσεις ιδιωτικότητας είτε επειδή αυτές είναι γραμμένες σε δυσνόητη γλώσσα.
Το βασικό επιχείρημα όσων αποσπούν δεδομένα (data scrapers) είναι ότι κάθε χρήστης που κατέστησε τα προσωπικά δεδομένα του δημόσια προσβάσιμα παρέχει σιωπηρά τη συγκατάθεσή του για τη συγκομιδή τους αφού γνωρίζει εκ των προτέρων ότι οποιοσδήποτε μπορεί να έχει πρόσβαση σε αυτά. Το επιχείρημα αυτό έκανε δεκτό απόφαση πρωτοβάθμιου δικαστηρίου των ΗΠΑ στην υπόθεση hiQ Labs Inc. v LinkedIn Corpοration.
Στον ευρωπαϊκό χώρο, ο ΓΚΠΔ δεν περιέχει προβλέψεις ή ρυθμίσεις που να αναφέρονται ευθέως στη συγκομιδή δεδομένων. Θέτει, ωστόσο, ένα γενικό πλαίσιο προστασίας των προσωπικών δεδομένων με το οποίο, όσοι εμπλέκονται στη συγκομιδή πρέπει να συμμορφωθούν, εφόσον επιθυμούν οι μέθοδοι αυτές να θεωρούνται νόμιμες και να αποφύγουν κυρώσεις. Το πλαίσιο αυτό θεωρείται ότι προστατεύει τόσο τα δημόσια όσο και τα μη δημόσια προσβάσιμα προσωπικά δεδομένα και ενισχύει το επιχείρημα ότι όταν τα προσωπικά δεδομένα ενός ατόμου είναι δημόσια ορατά και προσβάσιμα, αυτό δεν σημαίνει ότι έχουν τεθεί και σε δημόσια χρήση.
Το προστατευτικό πλαίσιο για τα προσωπικά δεδομένα. Είναι επαρκές;
Αρχικά, όσοι πραγματοποιούν συγκομιδή προσωπικών δεδομένων θα πρέπει να στηρίζονται σε κάποιο νόμιμο λόγο/νόμιμη βάση για να το κάνουν.
Από τις νόμιμες βάσεις που προβλέπονται στον ΓΚΠΔ η συγκομιδή μπορεί να στηριχθεί κυρίως σε δύο: είτε στη συγκατάθεση του προσώπου για την επεξεργασία των προσωπικών δεδομένων του, είτε στο να είναι η επεξεργασία απαραίτητη για να εξυπηρετηθούν νόμιμα συμφέροντα αυτού που διενεργεί τη συγκομιδή. Αν όμως τα νόμιμα αυτά συμφέροντα έρχονται σε αντίθεση με θεμελιώδη δικαιώματα των προσώπων, τότε συγκομιδή δεν μπορεί να πραγματοποιηθεί καθώς χάνει τη νόμιμη βάση της.
Επίσης, συγκομιδή στηριζόμενη σε νόμιμα συμφέροντα δεν μπορεί να γίνει όταν πρόκειται να συλλεχθούν «ευαίσθητα προσωπικά δεδομένα» δηλαδή όσα αναφέρονται σε φύλο, καταγωγή, πολιτικές, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλική ζωή και προσανατολισμό, Εδώ ο ΓΚΠΔ απαιτεί (με εξαιρέσεις) το πρόσωπο να δώσει για τη συγκομιδή όχι απλή αλλά ρητή συγκατάθεση.
Στη συνέχεια, ορίζεται ότι η συγκομιδή δεδομένων θα πρέπει να ακολουθεί ορισμένες βασικές προϋποθέσεις. Αφενός δεν μπορεί να είναι γίνεται απεριόριστα αλλά μόνο στην ποσότητα που είναι απολύτως αναγκαία για το σκοπό για τον οποίο πραγματοποιείται («ελαχιστοποίηση των δεδομένων»). Αφετέρου ο σκοπός αυτός πρέπει να γίνεται γνωστός στα πρόσωπα και να είναι εξ αρχής σαφής και συγκεκριμένος («περιορισμός του σκοπού»).
Τέλος, ο ΓΚΠΔ υποχρεώνει όσους συλλέγουν προσωπικά δεδομένα είτε απευθείας από τα πρόσωπα είτε από άλλες πηγές, όπως συμβαίνει στη συγκομιδή, να ενημερώνουν κάθε πρόσωπο για τη συλλογή και τους σκοπούς της με απλό και κατανοητό τρόπο, γνωστοποιώντας του το κείμενο της λεγόμενης «πολιτικής απορρήτου».
Εφόσον ενημερωθεί, κάθε πολίτης έχει δικαίωμα να επικοινωνήσει με τον αποσπώντα και να ασκήσει τα δικαιώματα που προβλέπει ο ΓΚΠΔ και αυτά είναι: το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα, το δικαίωμα διόρθωσης, το δικαίωμα διαγραφής, το δικαίωμα περιορισμού της επεξεργασίας, το δικαίωμα στη φορητότητα των δεδομένων και το δικαίωμα εναντίωσης στην επεξεργασία ιδίως όταν αυτή γίνεται αυτοματοποιημένα και στοχεύει στη δημιουργία προφίλ. Αν η επικοινωνία με τον αποσπώντα αποβεί άκαρπη, ο πολίτης μπορεί να απευθυνθεί στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα.
Κάπου εδώ ξεκινούν τα προβλήματα. Ο ίδιος ο ΓΚΠΔ δίνει τη δυνατότητα σε όποιον συλλέγει δεδομένα όχι απευθείας από τα πρόσωπα αλλά από άλλες πηγές να μην ενημερώσει χωριστά κάθε πρόσωπο αν η ενημέρωση θεωρείται για κάποιο λόγο αδύνατη (π.χ. κρίνεται αδύνατο να εντοπιστούν όλα τα πρόσωπα ή για να ενημερωθούν όλοι απαιτείται εξοντωτικό κόστος). Σε αυτές τις περιπτώσεις ο αποσπών δεδομένα επιτρέπεται να προχωρήσει σε γενική μόνο ενημέρωση προς το κοινό, μπορεί για παράδειγμα να αναρτήσει τις σχετικές πληροφορίες στον ιστότοπό του.
Είναι αρκετό αυτό για την προστασία των προσωπικών δεδομένων;
Και σημαίνει πώς κάθε πρόσωπο θα πρέπει να επισκεφθεί χιλιάδες ιστoτόπους παγκοσμίως για ενημερωθεί ποιοι αποσπούν προσωπικά του δεδομένα;
Η απάντηση που δίνεται από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) είναι ότι όταν οι αποσπώντες δεδομένα κρίνουν ότι υπάρχει αδυναμία ενημέρωσης, αρκεί να πραγματοποιήσουν τη λεγόμενη «εκτίμηση αντικτύπου» δηλαδή να εξετάσουν μόνοι τους κατά πόσο οι πράξεις τους μπορούν να θέσουν σε κίνδυνο τα δικαιώματα των προσώπων και να λάβουν τα κατάλληλα μέτρα για την προστασία των δεδομένων. Με τη θέση αυτή συντάσσονται και ορισμένες Αρχές Προστασίας Προσωπικών Δεδομένων όπως η βρετανική (ICO) και η ελληνική. Αν δεν υπάρξει ενημέρωση των προσώπων, ούτε εκτίμηση αντικτύπου, τότε όποιος ανακαλυφθεί ότι επιχειρεί συγκομιδή προσωπικών δεδομένων καλείται να πληρώσει πρόστιμο που φτάνει έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης. Πρέπει όμως πρώτα να ανακαλυφθεί…
Τελικά, μπορεί η «αδυναμία ενημέρωσης κάθε προσώπου» να χρησιμοποιηθεί ως δικαιολογία από όσους θέλουν να αποφύγουν να συμμορφωθούν με τον ΓΚΠΔ; Προς το παρόν, η απάντηση είναι αρνητική, και ήρθε από την πολωνική αρχή προστασίας προσωπικών δεδομένων (UODO). H αρχή, τοποθετούμενη αυστηρά υπέρ της προστασίας των προσωπικών δεδομένων, στις αρχές του 2019 επέβαλε πρόστιμο περίπου 220.000 ευρώ σε εταιρεία (Bisnode) επειδή προέβη στη συγκομιδή δημόσια προσβάσιμων προσωπικών δεδομένων εκατομμυρίων Πολωνών ιδιοκτητών επιχειρήσεων με σκοπό να παραχωρήσει έπειτα σε τράπεζες στοιχεία για την πιστοληπτική τους ικανότητα, την ίδια στιγμή που ο μοναδικός τρόπος για να ενημερωθούν οι ίδιοι για τη συλλογή των δεδομένων τους ήταν μέσω μιας σχετικής ανάρτησης της εταιρείας σε ιστοσελίδα της.
Για νεότερες εξελίξεις ας αναμείνουμε στις οθόνες μας.
Υπάρχουν άλλοι τρόποι προστασίας από την αυθαίρετη συγκομιδή δεδομένων;
Η απάντηση είναι θετική, επαφίεται, ωστόσο, στα χέρια αυτών που κατέχουν και διαχειρίζονται τους ιστότοπους από όπου συλλέγονται τα δεδομένα. Η ανάρτηση «όρων χρήσης» σε κάθε ιστότοπο, οι οποίοι να επιτρέπουν την περιορισμένη συγκομιδή δεδομένων μόνο έπειτα από γραπτή άδεια του διαχειριστή ή να απαγορεύουν τη συγκομιδή, έχει θεωρηθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (υπόθεση Ryanair Ltd vPR Aviation BV) ως ένα μέτρο ικανό να περιορίσει την ανεξέλεγκτη συλλογή δεδομένων και να φέρει όσους την επιχειρούν αντιμέτωπους με τις νομικές τους ευθύνες.
Το ίδιο αποτέλεσμα επιτυγχάνεται και με τη χρήση της τεχνολογίας. Κάθε ιστότοπος έχει τη δυνατότητα να περιορίσει τον όγκο των επισκέψεων/αιτημάτων πρόσβασης και απόσπασης δεδομένων που δέχεται από συγκεκριμένες διευθύνσεις IP ή διευθύνσεις IP των scraper bots ή ακόμα και να αποκλείσει εντελώς αυτές (IP addresses blocking). Επίσης, μέσα από τη διαδικασία εγγραφής, σύνδεσης και χρήσης κωδικού πρόσβασης, το περιεχόμενο ενός ιστότοπου γίνεται ορατό μόνο στους εγγεγραμμένους χρήστες του.
Αποτελεσματικές θεωρούνται ομοίως, τόσο η μέθοδος τείχους προστασίας κατά των ρομπότ συγκομιδής (anti-bot firewalls) όσο και η μέθοδος CAPTCHA (επιβεβαίωση ότι η πρόσβαση δεν επιχειρείται από ρομπότ) και, τέλος, η ενσωμάτωση στον ιστότοπο ενός αρχείου ονομαζόμενου robot.txt μέσα από το οποίο ο ιστότοπος ορίζει αν και σε ποιο βαθμό το περιεχόμενό του είναι προσβάσιμο και διαθέσιμο προς συγκομιδή.
Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί.
Αντί για επίλογο
Η συμφιλίωση ανάμεσα στις πρακτικές συγκομιδής και στην προστασία των προσωπικών δεδομένων δεν είναι εύκολη υπόθεση. Η απόλυτη προστασία για τα προσωπικά μας δεδομένα θα επιτυγχανόταν μόνο με την πλήρη αποχή μας από το διαδίκτυο. Κάτι τέτοιο όμως είναι αδύνατο να συμβεί. Δημιουργούνται πολλά ερωτήματα για το αν το ισχύον νομικό πλαίσιο προστατεύει πλήρως τα προσωπικά δεδομένα και μέχρι να απαντηθούν τη λύση θα μπορούσαν να δώσουν οι ενδιαφερόμενες πλευρές. Όσοι αποσπούν δεδομένα μπορούν να συμμορφώνονται με τους νομικούς και ηθικούς κανόνες, όσοι διαχειρίζονται ιστοσελίδες έχουν τη δυνατότητα με την κατάλληλη τεχνολογία να αποτρέπουν ή να περιορίζουν τη συγκομιδή δεδομένων και οι χρήστες του διαδικτύου μπορούν να είναι προσεκτικότεροι ως προς τις πληροφορίες που επιλέγουν να είναι δημόσια ορατές.
* Η Αδαμαντία Βολικού είναι δικηγόρος με ειδίκευση στο Δίκαιο του Διαδικτύου (Master’s Degree) και στο Αστικό, Αστικό Δικονομικό και Εργατικό Δίκαιο (Μ.Δ.Ε.). Εκπροσωπεί φυσικά και νομικά πρόσωπα σε υποθέσεις που εμπίπτουν στα παραπάνω πεδία ενώ εργάζεται και ως νομική σύμβουλος εταιρειών πάνω σε θέματα προστασίας προσωπικών δεδομένων, πληροφορικής – νέων τεχνολογιών και συμμόρφωσης με τη νομοθεσία. Είναι διαπιστευμένη επαγγελματίας για την προστασία της ιδιωτικότητας και των προσωπικών δεδομένων (CIPP/E) από τη διεθνή ένωση IAPP.
Πηγές επιπλέον των υπερσυνδέσμων:
-
- Brett Massimino, Accessing Online Data: Web-Crawling and Information-Scraping. Techniques to Automate the Assembly of Research Data, Journal of Business Logistics, 2016, 37(1): 34–42.
- European Commission, An Introduction to Web Scraping, IT and Legal aspects, ESTP Course on Automated collection of online process: sources, tools and methodological aspects, 2017.
- Vlad Krotov, Leiser Silva, Legality and Ethics of Web Scraping, Twenty-fourth Americas Conference on Information Systems, New Orleans, 2018.
- Adrian Agius, Legal Perspectives on Scraping Data from the Modern Web, https://www.lawinsociety.org/legal-perspectives-on-scraping-data-from-the-modern-web/
- Fiona Campbell, Data Scraping – Considering the privacy issues, 2019, https://privacylawblog.fieldfisher.com/2019/data-scraping-considering-the-privacy-issue