Κοινωνία Τετάρτη 18/01/2023, 20:14
ΚΟΙΝΩΝΙΑ

GDPR επτά χρόνια μετά: Τα τεχνάσματα των εταιρειών και η άμυνα των πολιτών

GDPR επτά χρόνια μετά: Τα τεχνάσματα των εταιρειών και η άμυνα των πολιτών

Όταν το 2016 θεσπίστηκε ο Γενικός Κανονισμός Προστασίας Δεδομένων, γνωστός και ως GDPR, πολλοί δέχτηκαν την είδηση με ανακούφιση καθώς θεώρησαν ότι θα έμπαινε ένα τέλος στο ατελείωτο «σπαμάρισμα» και τις τηλεφωνικές πωλήσεις προϊόντων και υπηρεσιών. Κι όμως, επτά χρόνια μετά, τα δεδομένα δείχνουν ότι αντί για τα ανεπιθύμητα μηνύματα, είναι τελικά το ίδιο το GDPR που καταλήγει πολλές φορές στον «κάδο απορριμμάτων». Κι αυτό γιατί οι οχλήσεις, όχι μόνο μέσω διαδικτύου, αλλά και μέσω τηλεφώνου με ό,τι μορφή μπορούν να πάρουν -sms, κλήσεις, μηνύματα μέσω viber, whatsapp κτλ- συνεχίζονται από πολλές εταιρείες που με διάφορα τεχνάσματα παραβιάζουν την ιδιωτικότητα των πολιτών. 

Για αυτό δεν είναι και λίγοι αυτοί, που στη σκέψη και μόνο ότι θα ανοίξουν το πρωί το ηλεκτρονικό τους ταχυδρομείο, αισθάνονται δυσφορία, καθώς θα κληθούν να διαχειριστούν δεκάδες ή και εκατοντάδες e-mail από άγνωστους αποστολείς, μπαίνοντας σε μια διαδικασία χρονοβόρα που έχει γίνει ρουτίνα, ενώ δεν θα έπρεπε. Αυτήν της εκκαθάρισης. 

«Αν κάναμε μια κατηγοριοποίηση στα e-mails που λαμβάνουμε καθημερινά, θα βλέπαμε ότι υπάρχουν τα αμιγώς επαγγελματικά, τα προσωπικά, μια μεγάλη ποσότητα από μαζικά για προωθητικές ενέργειες, και σε αυξανόμενες πια περιπτώσεις και τα κακόβουλα, όπως οι προσπάθειες για ηλεκτρονικές απάτες», εξηγεί στην «Κ» ο Αιμίλιος Κορωναίος, δικηγόρος και γνώστης του ζητήματος.

Όπως προσθέτει: «Δεν προκαλεί έκπληξη λοιπόν ότι η αζήτητη προωθητική επικοινωνία, όπως αποκαλείται, θεωρείται πια, η πιο “αθώα”. Τα προωθητικά μηνύματα δεν βλάπτουν την τσέπη ή την υπόληψη. Και έτσι, η απώλεια χρόνου και η ψυχική αναστάτωση του να καθαρίζεις διαρκώς τον ηλεκτρονικό λογαριασμό σου υποτιμάται καταρχάς από εμάς τους ίδιους».

Τι ορίζει η νομοθεσία

Στην Ελλάδα, ισχύουν δύο διαφορετικές διαδικασίες προστασίας από τις παραβιάσεις προσωπικών δεδομένων. Η πιο πρόσφατη είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων, γνωστός και ως GDPR, ο οποίος θεσπίστηκε το 2016. Η αρχική βάση της προστασίας είναι όμως ο νόμος 3471/ 2006. Με βάση τους παραπάνω νόμους, απαγορεύεται σε οποιονδήποτε να επεξεργάζεται προσωπικά δεδομένα τρίτου χωρίς νόμιμη βάση.

Ο δικηγόρος Νίκος Σιαμάκης, ο οποίος παρακολουθεί στενά την εφαρμογή της νομοθεσίας και αναλαμβάνει συχνά υποθέσεις που έχουν να κάνουν με την παραβίαση του GDPR, εξηγεί πως η επεξεργασία των προσωπικών δεδομένων για προωθητικούς σκοπούς, είναι νόμιμη μόνο εάν και εφόσον είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων του υπεύθυνου επεξεργασίας, χωρίς να θίγονται τα δικαιώματά μάς ή αν εμείς έχουμε δώσει τη συγκατάθεσή μας.

GDPR επτά χρόνια μετά: Τα τεχνάσματα των εταιρειών και η άμυνα των πολιτών-1
Shutterstock

Όπως εξηγεί: «Για παράδειγμα, ο καταστηματάρχης για να τοποθετήσει μια κάμερα στην είσοδο του καταστήματός του, επικαλείται λόγους προστασίας της περιουσίας του. Στην πραγματικότητα, η πράξη έχει δείξει πως το “έννομο συμφέρον” είναι μια εξόχως διασταλτική έννοια και πολλοί από όσους παραβιάζουν προσωπικά δεδομένα, χρησιμοποιούν κατεξοχήν αυτή τη δικαιολογία. Στο όνομα του “έννομου συμφέροντος” έχουμε ακούσει πολλά. Ένα παράδειγμα είναι ο έμπορος που στέλνει προωθητικά e-mail για να υπενθυμίσει τάχα τη συντήρηση που χρειάζεται ένα προϊόν».

Τα παράθυρα υφαρπαγής των διευθύνσεων e-mail

Η «Κ» επικοινώνησε με την Αρχή Προστασίας Δεδομένων, αρμόδια για την παρακολούθηση του θέματος, την καταγραφή και διεκπεραίωση των καταγγελιών αλλά και την επιβολή των προστίμων.

Οι καταγγελίες που αφορούν τις ηλεκτρονικές επικοινωνίες και ειδικότερα τις αζήτητες ηλεκτρονικές επικοινωνίες αλλά και τηλεφωνικές κλήσεις για σκοπούς προώθησης προϊόντων ή υπηρεσιών είναι σταθερά μεγάλος.

Τα στοιχεία της Αρχής για την παράνομη προώθηση προϊόντων και υπηρεσιών (spam e-mail, τηλεφωνικές οχλήσεις, sms και μηνύματα σε πλατφόρμες ανταλλαγής μηνυμάτων) δείχνουν τα εξής:

Made with Flourish

Πώς γίνονται όμως οι παραβάσεις;

«Ο συνηθέστερος τρόπος είναι η αποστολή e-mail», σημειώνει ο κ. Σιαμάκης: «Η διεύθυνση ηλεκτρονικού ταχυδρομείου έχει γίνει ένα υποτιμημένο προσωπικό δεδομένο. Το βλέπουμε όταν πολλές εταιρείες επιστρατεύουν την αβάσιμη δικαιολογία ότι δήθεν βρήκαν την ηλεκτρονική διεύθυνση σε δημόσιο διαδικτυακό σημείο.

Ο νόμος όμως είναι ξεκάθαρος: Το γεγονός ότι ένα τηλέφωνο ή μια ηλεκτρονική διεύθυνση είναι αναρτημένα δημοσίως, δεν σημαίνει και ότι μπορεί να αξιοποιηθούν. Βρίσκονται εκεί για λόγους που σχετίζονται με την εργασία του κάθε υποκειμένου. Για παράδειγμα, ένας δημοσιογράφος αναρτά την ηλεκτρονική του διεύθυνση για να ενημερώνεται για ζητήματα σχετικά με τη δουλειά του ή ένας δικηγόρος για να είναι εύκολα προσβάσιμος σε έναν πολίτη που χρειάζεται νομική βοήθεια».

GDPR επτά χρόνια μετά: Τα τεχνάσματα των εταιρειών και η άμυνα των πολιτών-2
Shutterstock

Ο κ. Σιαμάκης συμπληρώνει πως συχνά συμβαίνει και το εξής: Ξαφνικά, μια κλήση ή ένα e-mail «ρωτούν» τον πολίτη αν δίνει τη συγκατάθεσή του να δέχεται επικοινωνία.

«Ο παραλήπτης δέχεται όμως μια ερώτηση που δεν έχει ποτέ ζητήσει», σημειώνει ο έμπειρος δικηγόρος και προσθέτει: «Επίσης, το γεγονός ότι ένα e-mail δίνει τη δυνατότητα της απεγγραφής (unsubscribe) δεν σημαίνει ότι το έχουμε λάβει και νόμιμα. Η επιλογή απεγγραφής, που σε κάποιες περιπτώσεις δεν είναι καν διαθέσιμη και σε άλλες ταλαιπωρεί πολύ κάποιον για να τη χρησιμοποιήσει – παράνομες και οι δύο πρακτικές- είναι υποχρέωση εφόσον κάποιος έχει στείλει νόμιμα εξαρχής το e-mail».

Ο κ. Κορωναίος επισημαίνει πως το unsubscribe έχει αρχίσει να γίνεται παρωχημένο και σε ορισμένες περιπτώσεις και επικίνδυνο. Οι αρχές δίωξης ηλεκτρονικού εγκλήματος εξηγούν πως σε κάποιες περιπτώσεις phishing (απάτης με τη μέθοδο του ηλεκτρονικού ψαρέματος), το θύμα πατώντας το κουμπί «unsubscribe» επέτρεψε την εγκατάσταση του κακόβουλου λογισμικού, γεγονός που οδήγησε ακόμα και σε αφαίρεση χρημάτων από τραπεζικούς λογαριασμούς.

Μεγάλος είναι και ο αριθμός παραβάσεων μέσω τηλεφωνικών κλήσεων, οι οποίες στη συντριπτική πλειοψηφία τους αφορούν την προώθηση πακέτων κινητής τηλεφωνίας ή ενέργειας (ηλεκτρικού ρεύματος).

Εδώ την εμφάνισή τους κάνουν ακόμα πιο ευφάνταστες δικαιολογίες, σύμφωνα με τον κ. Σιαμάκη. «Τις κλήσεις αναλαμβάνουν να διεκπεραιώνουν τηλεφωνικά κέντρα ιδιωτών, οι οποίοι έχουν ως πελάτες τις εταιρείες κινητής τηλεφωνίας ή και ενέργειας. Ο πολίτης μπορεί να έχει αποδεχτεί λοιπόν την επικοινωνία για μια συγκεκριμένη εταιρεία αλλά όχι για μία άλλη. Το τηλεφωνικό κέντρο όμως “βομβαρδίζει” με κλήσεις για λογαριασμό όλων των πελατών του, με το επιχείρημα ότι ο πολίτης έχει δώσει συγκατάθεση στο συγκεκριμένο τηλεφωνικό κέντρο».

GDPR επτά χρόνια μετά: Τα τεχνάσματα των εταιρειών και η άμυνα των πολιτών-3
Shutterstock

H ξεχωριστή περίπτωση της αζήτητης πολιτικής επικοινωνίας 

Οι νομικοί που μίλησαν στην «Κ» θεωρούν ειδικότερη περίπτωση αλλά με έντονο ενδιαφέρον, την κατηγορία της αζήτητης πολιτικής επικοινωνίας, για την οποία όμως στατιστικά στοιχεία δεν είναι διαθέσιμα από την Αρχή Προστασίας Δεδομένων.

Καταγγελίες με αυτό το αντικείμενο εμφανίζονται κατά βάση τα έτη που υπάρχουν εκλογικές αναμετρήσεις (π.χ. 2019). Ο Κωνσταντίνος Μενουδάκος, πρόεδρος της Αρχής, σημείωσε, μιλώντας στην« Κ», πως πρόκειται για ένα πιο σύνθετο ζήτημα σε σχέση με τις αμιγώς εμπορικές επικοινωνίες. 

Όπως τονίζει: «Η πολιτική επικοινωνία είναι μια θεμιτή δραστηριότητα για τη λειτουργία των πολιτικών κομμάτων και της δημοκρατίας και επιτρέπεται υπό προϋποθέσεις που προσδιορίζονται από την Αρχή με βάση τον Γενικό Κανονισμό Προστασίας Δεδομένων. Η τήρηση των προϋποθέσεων αυτών έχει ως στόχο τη διατήρηση της ισορροπίας ανάμεσα στο έννομο συμφέρον των πολιτικών κομμάτων και στο δικαίωμα στην προστασία των προσωπικών δεδομένων.

Παρ’ όλα αυτά, η Αρχή επανεξετάζει, στο πλαίσιο της αρμοδιότητάς της, με βάση τις πρόσφατες αποφάσεις του ΣτΕ (1343-5/2022), τα ζητήματα νομιμότητας που ανέκυψαν σε σχέση με την πολιτική επικοινωνία, επικαιροποιώντας τις κατευθυντήριες οδηγίες που είχε εκδώσει το έτος 2019 για τη σύννομη επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία».

Στην ουσία, ο νόμος του 2006 για τα προσωπικά δεδομένα δεν αναφέρει ρητά την πολιτική επικοινωνία. Όπως εξηγεί ο δικηγόρος Αιμίλιος Κορωναίος: «το αποτέλεσμα είναι να αντιμετωπίζεται μέχρι πρόσφατα, με όρους προωθητικής/ διαφημιστικής επικοινωνίας. Τα τελευταία χρόνια όμως, η Αρχή έχει επιδείξει μεγάλη κινητικότητα στην επιβολή προστίμων σε πολιτευτές. Πριν από κάποιο καιρό ανέλαβα μια υπόθεση όπου ο πελάτης μου λάμβανε διαρκώς μηνύματα από πολιτικό με τον οποίο είχε συνεργαστεί μια φορά και σε αυτό το πλαίσιο είχαν ανταλλάξει τηλέφωνα. Η Αρχή επέβαλε πρόστιμο μερικών χιλιάδων ευρώ στον εν λόγω πολιτικό».

Μεγαλύτερα πρόστιμα 

Στο θέμα του ύψους των προστίμων, και πέρα από την πολιτική επικοινωνία, παρατηρείται σημαντική κινητικότητα, με την Αρχή να ανεβάζει σε ορισμένες περιπτώσεις πολύ υψηλότερα τον πήχη σε σχέση με το παρελθόν. Ενδεικτικά, τον περασμένο Απρίλιο, επιβλήθηκε το πρόστιμο των 6.000.000 ευρώ σε εταιρεία κινητής τηλεφωνίας, λόγω διαρροής δεδομένων κλήσεων συνδρομητών, το χρονικό διάστημα 1/9/2020 – 5/9/2020. 

Επίσης, το 2019 επιβλήθηκε πρόστιμο ύψους 200.000 ευρώ σε πάροχο κινητής τηλεφωνίας γιατί σε διαφημιστικά e-mail που απέστειλε σε 2.000 άτομα δεν λειτουργούσε η επιλογή της απεγγραφής (unsubscribe).

H άγνοια των πολιτών και τι μπορούν να κάνουν στην πράξη

Κωνσταντίνος Κακαβούλης, δικηγόρος και συνεργάτης της Homo Digitalis, οργάνωσης για την υπεράσπιση των ψηφιακών δικαιωμάτων στην Ελλάδα, σημειώνει πως η άγνοια των πολιτών για το τι μπορούν να κάνουν είναι μέρος του προβλήματος. «Οι περισσότεροι πολίτες νομίζουν ότι πρέπει να απευθυνθούν σε έναν δικηγόρο, όπως για όλα τα προβλήματα με τα οποία βρισκόμαστε αντιμέτωποι στην Ελλάδα. Στην πραγματικότητα είναι πολύ πιο απλό. H καταγγελία στην Αρχή Προστασίας Δεδομένων, με ένα μέιλ ή με μια επιστολή, ενεργοποιεί άμεσα την παρακολούθηση του ζητήματος».

Ο κ. Κακαβούλης σημειώνει τα θολά σημεία που υπάρχουν όταν μια εταιρεία ή ένας έμπορος μας ζητούν το e-mail μας για προωθητικές ενημερώσεις. «Σύμφωνα με τον νόμο, το ότι εμείς είμαστε οι κάτοχοι του εν λόγω e-mail και δίνουμε τη συγκατάθεσή μας για την αποστολή προωθητικών ενημερώσεων, πρέπει να μπορεί να αποδειχθεί.

Για τον λόγο αυτό πρέπει να μας αποστέλλεται ένα μήνυμα όταν εγγραφόμαστε σε ένα newsletter, με το οποίο θα επιβεβαιώνουμε τη συγκατάθεσή μας. Χωρίς αυτή την πρακτική, θα μπορεί ο κάθε άνθρωπος που έχει τη διεύθυνση e-mail ή το κινητό μας τηλέφωνο να μας εγγράψει σε όσες υπηρεσίες προωθητικών μηνυμάτων θέλει».

Οι πολίτες μπορούν επίσης να κάνουν χρήση της πλατφόρμας My Data Done Right (mydatadoneright.eu), μιας υπηρεσίας για την οποία συνεργάζονται οργανώσεις ψηφιακών δικαιωμάτων, όπως η Homo Digitalis, και εθελοντές από όλη την Ευρώπη. Η πλατφόρμα δίνει τη δυνατότητα σε κάποιον να δημιουργήσει, να στείλει και να παρακολουθήσει τα αιτήματά του για να αποκτήσει πρόσβαση, να διαγράψει, να διορθώσει ή να μετακινήσει από κάπου που δεν θέλει τα προσωπικά του δεδομένα. Μοιάζει με άλλα λόγια με άμεση και δωρεάν νομική βοήθεια για θέματα προστασίας προσωπικών δεδομένων.

Flourish logoA Flourish chart

Πηγή: kathimerini.gr

Ακολουθήστε το Money Review στο Google News