Κοινωνικά δίκτυα και Γενικός Κανονισμός για τα Προσωπικά Δεδομένα: σκέψεις και προβληματικές. Ο ρόλος της συναίνεσης

Επαμεινώνδα Στυλόπουλου, Δικηγόρου, LL.M., ACIArb, ep.styl@slo.gr

0

Αναμφίβολα τα κοινωνικά δίκτυα δεν αποτελούν «μύθο» αλλά μία σύγχρονη πραγματικότητα. Σύμφωνα δε με την Ομάδα Εργασία του Άρθρου 29 – που λειτουργούσε μέχρι την εφαρμογή του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα – τα χαρακτηριστικά τους συνίστανται συνοπτικά στα εξής στοιχεία:

– Οι χρήστες προσκαλούνται να δημιουργήσουν ένα προφίλ του εαυτού τους
– Το κοινωνικό δίκτυο παρέχει τα εργαλεία στους χρήστες να ανεβάσουν το υλικό τους
– Η κοινωνικοποίηση επιτυγχάνεται με την ανταλλαγή των επαφών των χρηστών

Επίσης, αναμφίβολα τα κοινωνικά δίκτυα έχουν δομηθεί προκειμένου να συλλέγουν και να επεξεργάζονται δεδομένα. Η δομή αυτή αποτελεί και το βασικό άξονα της επιχειρηματικής τους αξιοποίησης. Άλλωστε, στο συμπέρασμα αυτό έχουν καταλήξει – παλαιότερα – τόσο η Ομάδα Εργασίας του Άρθρου 29 όσο και η Εθνική μας Αρχή για τη προστασία δεδομένων με την υπ’ αριθμ. 17/2016 απόφασή της. Η συνολική πολιτική που είχε μέχρι πρότινος υιοθετηθεί από τα κοινωνικά δίκτυα αναφορικά με το ζήτημα των δεδομένων ήταν τελικά στοιχειώδης. Ωστόσο, ο Κανονισμός για τη Προστασία Δεδομένων Προσωπικού Χαρακτήρα έθεσε νέους όρους και κυρίως σε ό,τι αφορά σημεία όπως τη διαφάνεια, τη φορητότητα, τη συγκατάθεση αλλά και τη πλήρη διαγραφή.

Εν γένει, τα κοινωνικά δίκτυα από άποψη ρόλου κατά την επεξεργασία δεδομένων δύνανται να αποτελούν υπεύθυνους επεξεργασίας, εκτελούντες την επεξεργασία, ή και τα δύο με βάση το εάν ενεργούν – λόγου χάρη – για το χρήστη ή τον διαφημιζόμενο και υπό ποιους όρους. Για παράδειγμα, στις απλές διαφημίσεις τα κοινωνικά δίκτυα λειτουργούν ως υπεύθυνοι επεξεργασίας και στις στοχευμένες διαφημίσεις, όπου ο υπεύθυνος ορίζει τα κριτήρια της διαφήμισης, τα κοινωνικά δίκτυα λειτουργούν ως εκτελούντες την επεξεργασία. Άλλωστε, υπάρχει διάκριση ανάμεσα σε αυτούς που προβαίνουν σε επεξεργασία προσωπικών δεδομένων σε υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία. Η διαφορά τους είναι ότι οι πρώτοι καθορίζουν τους σκοπούς και τον τρόπο επεξεργασίας των δεδομένων, ενώ οι δεύτεροι λειτουργούν υπό τις οδηγίες τους. H διαφορά αυτή βέβαια είναι συχνά λεπτή. Ωστόσο, πλέον και οι εκτελούντες την επεξεργασία ευθύνονται ευθέως και έναντι οποιουδήποτε, όταν επεξεργάζονται τα δεδομένα τους, στις περιπτώσεις που δεν τηρούν την υφιστάμενη νομοθεσία ή εάν λειτούργησαν αντίθετα με τις οδηγίες των υπευθύνων επεξεργασίας.

Επίσης, σύμφωνα με το Κανονισμό για τη Προστασία Δεδομένων Προσωπικού Χαρακτήρα, θεμέλιο λίθο για την επεξεργασία δεδομένων αποτελεί η συναίνεση του υποκειμένου. Ο Κανονισμός αυστηροποίησε τις προϋποθέσεις κάτω από τις οποίες η λήψη της συναίνεσης θεωρείται νόμιμη και άρα έγκυρη. Η νομιμότητα της συγκατάθεσης υπόκειται σε μία σειρά προϋποθέσεων, οι οποίες θα πρέπει όλες να πληρούνται, προκειμένου τελικά η επεξεργασία εν προκειμένου από τα κοινωνικά δίκτυα να είναι νόμιμη. Κατά συνέπεια, κάποιες μέθοδοι λήψης αυτής που έως τώρα θεωρούνταν νόμιμες ή πως άνηκαν σε γκρίζες ζώνες (πχ προσημειωμένο κουτάκι αποδοχής της Πολιτική Απορρήτου) πλέον δεν αρκούν για να δικαιολογήσουν τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων.

Ακόμη, σύμφωνα με το Κανονισμό, ο τελευταίος δεν εφαρμόζεται όταν η επεξεργασία δεδομένων στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας. Η προσωπική ή οικιακή χρήση των κοινωνικών δικτύων εκφεύγει του Κανονισμού. Ωστόσο, η Γνώμη 5/2009 της Ομάδας Εργασίας του Άρθρου 29 είχε επισημάνει ότι η ύπαρξη μεγάλου αριθμού επαφών μπορεί να σημαίνει ότι δεν ισχύει η εξαίρεση λόγω οικιακής χρήσεως και επομένως ότι ο χρήστης μπορεί να θεωρείται ως υπεύθυνος της επεξεργασίας δεδομένων όταν η πρόσβαση στις πληροφορίες προφίλ επεκτείνεται πέραν των επαφών της επιλογής του χρήστη, π.χ. όταν παρέχεται πρόσβαση σε ένα προφίλ σε όλους τους χρήστες της υπηρεσίας κοινωνικής δικτυώσεως ή όταν τα δεδομένα παρέχουν δυνατότητα καταγραφής από τις μηχανές αναζητήσεως, οπότε και η πρόσβαση υπερβαίνει το προσωπικό ή το οικιακό πλαίσιο.

Ειδικότερα, σύμφωνα με το ΔΕΚ στις αποφάσεις Bodil Linqvist και Satakunnan arkkinapörssi και Satamedia, η εξαίρεση της οικιακής χρήσεως πρέπει να ερμηνευθεί ως αφορώσα αποκλειστικά τις δραστηριότητες, οι οποίες εντάσσονται στο πλαίσιο της ιδιωτικής ή οικογενειακής ζωής των ιδιωτών. Ως εκ τούτου, όταν η ανακοίνωση των συλλεγομένων δεδομένων γίνεται σε απροσδιόριστο αριθμό ατόμων δεν έχει εφαρμογή η εξαίρεση της οικιακής χρήσεως (ΑΠΔΠΧ 17/2016).

Όπως αναφέρθηκε, η επεξεργασία, αλλά και διαβίβαση δεδομένων – και δη για επιχειρηματικούς σκοπούς – έχει πλέον ως θεμέλιο λίθο τη συγκατάθεση του υποκειμένου. Σε αυτή τη περίπτωση, η προβληματική των κοινωνικών δικτύων σχετίζεται με τη δημιουργία μία τριμερούς σχέσης μεταξύ επιχείρησης, χρήστη και κοινωνικού δικτύου, όπου ο χρήστης θα πρέπει να έχει παράσχει νόμιμα – κατά τα ανωτέρω – την συναίνεση του στο κοινωνικό δίκτυο ώστε το τελευταίο να έχει χρησιμοποιήσει τα στοιχεία του, προκειμένου λόγου χάρη να «γνωρίζει» τις προτιμήσεις του και αυτές να τις «αποκαλύψει» σε μία επιχείρηση που θέλει να διαφημιστεί, η δε επιχείρηση θα πρέπει να έχει λάβει ορθά κατά τα ανωτέρω τη συναίνεση του χρήστη όταν τον προσκαλεί διά «διαφήμισης» να γίνει «ακόλουθος» στη σελίδα της στα μέσα κοινωνικής δικτύωσης, αν και συμβατικά οι δύο τελευταίοι (η διαφημιζόμενη επιχείρηση και ο χρήστης του κοινωνικού δικτύου) τυπικά δεν έχουν καμία συμβατική σχέση, αλλά αμφότεροι επαφίενται στους όρους του κοινωνικού δικτύου.

Εν κατακλείδι, οι προβληματικές του Κανονισμού για τη Προστασία Δεδομένων Προσωπικού Χαρακτήρα στα κοινωνικά δίκτυα δεν εξαντλούνται στο σημείο αυτό αλλά υπάρχουν αρκετά άλλα ζητήματα όπως ο τόπος πρόσβασης, η εθνικότητα ή κατοικία του χρήστη, οι εφαρμογές, κλπ τα οποία θα περιμένουμε με το καιρό να αποσαφηνιστούν.

Επαμεινώνδας Στυλόπουλος
Δικηγόρος, LL.M., ACIArb, ep.styl@slo.gr

Σχόλια