Τα προσωπικά δεδομένα στη δίνη του διαδικτύου και η νομική ανταπάντηση

Μελέτη των κ.κ. Κυρ. Γατουρτζίδη και Θωμά Ευσταθίου, φοιτητών της Νομικής του Δημοκρίτειου Πανεπιστημίου Θράκης

0

Πίνακας περιεχομένων

Μέσα Κοινωνικής Δικτύωσης. 2
Ι.Β. Η περίπτωση της “Cambridge Analytica”. 2

Ι.Γ. Υπάρχει και το «χακάρισμα». 3

Ι.Δ. Κοινός τόπος. 3

Η «νομική ασπίδα». 4

ΙΙ.A. Εθνικό επίπεδο. 4

ΙΙ.Α.1. Θεμελιώδη δικαιώματα. 4
ΙΙ.Α.2. Ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. 6

ΙΙ.Β. Ενωσιακό επίπεδο. 6

ΙΙ.Β.1. Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου. 6

ΙΙ.Β.2. Χάρτης Θεμελιωδών Δικαιωμάτων του Άνθρωπου της Ευρωπαϊκής Ένωσης  7

ΙΙ.Β.3. Ευρωπαίος Επόπτης Προστασίας Δεδομένων. 7

ΙΙ.Β.4. General Data Protection Regulation (GDPR). 7

III. Προβληματισμοί. 8

ΙΙΙ.Α. Γνώση ή άγνοια δικαιωμάτων;. 8

ΙΙΙ.Β. Κατανόηση των παραχωρήσεων. 9

ΙΙΙ.Γ. Μια καλύτερη γνωριμία με τα…«διαδικτυακά μπισκότα». 10

Προτεινόμενες λύσεις. 11
V. Συμπερασματικές παρατηρήσεις. 12

Περίληψη: Η νομική επιστήμη έκπαλαι προσαρμόζεται στις εξελίξεις. Ο κατ’ εξοχήν διαρκώς μεταβαλλόμενος τομέας φέρει αδιαμφισβήτητα το όνομα «τεχνολογία». Συγκεκριμένα η τόσο μεγάλη ενασχόληση των πολιτών με τα διαδικτυακά μέσα αλλά και το διαδίκτυο καθεαυτό, σε συνδυασμό με την επιπολαιότητα έως και άγνοια ή αδιαφορία που πολλές φορές αυτοί δείχνουν καθιστούν τα προσωπικά τους δεδομένα εν κινδύνω. Ο εθνικός και ενωσιακός νομοθέτης θέλησε να προασπίσει τα ανθρώπινα δικαιώματα· ωστόσο τα υποκείμενα τους συχνά δεν τα επικαλούνται, αλλά και αν τα επικαλούνταν θα ήταν επαρκή; Τα γεγονότα αυτά, η προβληματική, αλλά και κάποιες λύσεις, αναλύονται στο παρόν άρθρο.

I. Μέσα Κοινωνικής Δικτύωσης

Ένας καινός τρόπος επικοινωνίας και μια πρωτόγνωρη πραγματικότητα έχουν εδραιωθεί με την κατίσχυση των λεγόμενων «Σόσιαλ Μίντια». Η έκταση που έχουν λάβει προκαλεί -εκτός των άλλων- τη νομική επιστήμη να δώσει τη δική της απάντηση.

Ι.Α. Το φαινόμενο “Tik Tok”

Ένα χαρακτηριστικό παράδειγμα είναι αυτό της εφαρμογής “Tik Tok”· αναπτυσσόμενη με ιλιγγιώδεις ρυθμούς εμφιλοχωρεί στην σφαίρα της νομοθετικά κατοχυρωμένης «προσωπικότητας» του κάθε χρήστη αυτής. Τουλάχιστον αυτό το επιχείρημα επικαλέστηκαν κυβερνήσεις κρατών, με πρωτεργάτη την Ινδία, τα οποία απαγόρευσαν την εν λόγω εφαρμογή στην επικράτειά τους[1]. Το περιοδικό “Forbes” ανέφερε πως αναμένεται να λάβουν χώρα σε Ευρώπη και Αμερική συζητήσεις για τη νομιμότητα των μέσων που μετέρχεται η εφαρμογή. Γενικεύοντας θα θιχτεί το ζήτημα του επιπέδου διασφάλισης των προσωπικών δεδομένων και εν γένει της ιδιωτικότητας, κατά την χρήση του διαδικτύου.

Ι.Β. Η περίπτωση της “Cambridge Analytica”

Ο ασκός του Αιόλου θα έλεγε κανείς ότι άνοιξε μαζί με τον φάκελο της εν λόγω υπόθεσης. Πρόκειται για μια εταιρεία η οποία εμπλεκόταν σε προεκλογική των Η.Π.Α. καμπάνια, αλλά και στην εκστρατεία για το Brexit, και για τον σκοπό αυτό συνέλεξε προσωπικά δεδομένα χρηστών του “Facebook” δίχως την συναίνεσή των. Περίπου 87 εκατομμύρια χρήστες υπήρξαν θύματα αυτού του τεχνάσματος[2]. Μέχρι και φωτογραφίες οι οποίες ουδέποτε είχαν αναρτηθεί παρά μόνο βρίσκονταν σε προσωπικό φάκελο στο κινητό τους, έφτασαν στα χέρια της εταιρείας.

Η αρχή της ελευθερίας της ιδιωτικής βουλήσεως βάλλεται τα μάλα από το ενδεχόμενο αλλά και το γεγονός της, ουσιαστικά, υποκλοπής δεδομένων που μόνο με την συγκατάθεσή των θιγομένων, τρίτοι δύνανται να έχουν πρόσβαση σε αυτά. Συνεχίζοντας, υποκλοπή θεωρείται και η υπέρβαση των συμφωνημένων, ήτοι η χρησιμοποίηση δεδομένων για σκοπό διαφορετικό από τον προβαλλόμενο, για τον οποίο μπορεί και να υπήρξε συγκατάθεση. Η άνωθι θέση ομοιάζει με την κατάχρηση εξουσίας στον χώρο του Δημοσίου Δικαίου· οπότε τρόπον τινά πρόκειται για αρχή που έχει τριτενεργήσει στον τομέα του Ιδιωτικού Δικαίου. Καταδεικνύεται έτσι το διαβλητό κάθε πλατφόρμας ανάλογου είδους.

Εξίσου πλήττεται η ελευθερία της αυτοδιάθεσης κατά την χωρίς συναίνεση χρήση προσωπικών δεδομένων χρηστών του διαδικτύου, είτε για εμπορικούς είτε για κοινωνικούς, πολιτικούς ακόμα και επιστημονικούς σκοπούς. Μόνη εξαίρεση θα μπορούσε να θεωρηθεί το «Δημόσιο Συμφέρον» για χάρη του οποίου ατομικά δικαιώματα υπό προϋποθέσεις μπορούν και να αμβλυνθούν[3].

Μπορεί η “Facebook” να καταδικάστηκε και να της επιβλήθη πρόστιμο· ωστόσο λίγο αργότερα μια διαφημιστική εταιρεία η Hyp3r κατηγορήθηκε πως εκμεταλλευόμενη ένα κενό στο λογισμικό του “Instagram”, το οποίο ανήκει στην “Facebook”, αποθήκευσε “stories, bios” και “followers” πολλών χρηστών για ίδια συμφέροντα. Η “Facebook” αντέδρασε, αλλά στο κομμάτι του λογισμικού, στο νομικό, όμως, κομμάτι θα γίνουν βήματα προόδου;

Ι.Γ. Υπάρχει και το «χακάρισμα»

Πέρα από τις ραδιουργίες και τις δολιότητες, κρυφές και όχι, εταιρειών-κολοσσών υφίσταται και το έγκλημα, ήτοι μια άδικη πράξη που καταλογίζεται στον δράστη της και τιμωρείται για αυτήν σύμφωνα με τον νόμο[4], της υποκλοπής δεδομένων χρηστών του διαδικτύου από «χάκερς». Κάτι τέτοιο συνέβη και με τον Πέιτζ Τόμσον ο οποίος κατάφερε να υφαρπάξει διαδικτυακά στοιχεία 106 εκατομμύρια ατόμων από μια εταιρεία παροχής χρηματοπιστωτικών υπηρεσιών, την “Capital One”. Το καθιερωμένο πλέον ως κυβερνοέγκλημα έχει καταστεί ευρέως διαδεδομένο ανά τον κόσμο. Η ολλανδική CBS εκτιμά ότι το 12% των ατόμων κάτω των 25 ετών το 2018 έπεσε θύμα αυτού του εγκλήματος.

Παρατηρείται εύκολα πως κάθε πληροφορία η οποία δημοσιεύεται, κοινοποιείται, προωθείται, επεξεργάζεται ή αποθηκεύεται δια τεχνολογικών μέσων και δη του διαδικτύου είναι ανεπαρκώς προστατευμένη και σχετικώς εκτεθειμένη σε τρίτους.

Ι.Δ. Κοινός τόπος

Μια κοινή και όπως έχει επικρατήσει ανώδυνη μέθοδος σκιαγράφησης πλευρών της κατά τα άλλα προστατευομένης προσωπικότητάς των χρηστών είναι τα λεγόμενα “Cookies”. Πλέον, σε κάθε μέσο κοινωνικής δικτύωσης, εφαρμογή και ιστοσελίδα εμφανίζεται μία οιονεί σύμβαση προσχώρησης, στην οποία ο αποδεχόμενος δε δύναται να διαπραγματευτεί τροποποιήσεις[5], κατά την είσοδό του χρήστη σε αυτά. Ουσιαστικά συνάπτεται μάλλον επιπόλαια μια δικαιοπραξία μεταξύ του χρήστη και του εκάστοτε «απρόσωπου αντισυμβαλλομένου». Αυτή η παραδοχή θεμελιώνεται στον ορισμό κιόλας της δικαιοπραξίας, της δήλωσης βουλήσεως δηλαδή του συμβαλλομένου προς επίτευξη ενός ηθελημένου έννομου αποτελέσματος.

Όμως είναι πραγματικά τόσο αθώα τα “Cookies” όσο και το όνομά τους; Η έκθεση της Ευρωπαϊκής Επιτροπής δείχνει ότι η σύμβαση αυτή στην οποία εν αγνοία τους οι περισσότεροι προσχωρούν έχει ορισμένους σκοπούς[6]. Δυο εκ των βασικών αυτών σκοπών είναι η αποθήκευση των προτιμήσεων του χρήστη και η συλλογή δεδομένων για την συμπεριφορά του κατά την πλοήγησή του στο διαδίκτυο. Όλα αυτά ώστε να επιλεγεί η «ιδανική» μέθοδος προώθησης προϊόντων και υπηρεσιών στους χρήστες αλλά και για την βελτίωση του (κατα)πλεονεκτικά εν προκειμένω αντισυμβαλλομένου μέσου κοινωνικής δικτύωσης, εφαρμογής ή ιστοσελίδας, στον διαδικτυακό χώρο.

Πρόκειται με άλλα λόγια για μια έρευνα που καταλήγει στην συλλογή δεδομένων που αφορούν στην προσωπικότητα, για την οποία δίνεται η συγκατάθεση του χρήστη χωρίς, όμως, πραγματικά ο ίδιος να γνωρίζει τις παραχωρήσεις που έχει αποδεχτεί. Βεβαίως δεν χωρεί επίκληση ουσιώδους πλάνης κατά το 141 ΑΚ, αφενός διότι ο συμβαλλόμενος χρήστης ενδέχεται ακόμη και αν γνώριζε να προσχωρούσε, αφετέρου διότι αποτελεί πλάνη περί τα παραγωγικά αίτια. Η τελευταία δεν θεωρείται ουσιώδης όπως αναφέρει και το 143 ΑΚ, ενώ δεν θεμελιώνεται στην συγκεκριμένη περίπτωση ούτε η εξαίρεση του 142 ΑΚ. Επομένως, κατακρίνοντας απλώς την τεχνική προβολής όρων των “Cookies” και όχι αυτή καθεαυτή την συναπτόμενη σύμβαση, θα έλεγε κανείς ότι εγείρεται σύγκρουση με τα χρηστά ήθη, επομένως και η δικαιοπραξία είναι άκυρη κατά το 178 ΑΚ.

II. Η «νομική ασπίδα»

ΙΙ.A. Εθνικό επίπεδο 

ΙΙ.Α.1. Θεμελιώδη δικαιώματα

Ένα από τα θεμελιώδη ατομικά δικαιώματα που μάλιστα κατοχυρώνεται στο Σύνταγμα της ελληνικής Δημοκρατίας, είναι το «δικαίωμα στην προσωπικότητα». Το τελευταίο έχει πολλές πτυχές και εκφάνσεις, ενώ ολόκληρο το ηπειρωτικό νομικό σύστημα βασίζεται στον άνθρωπο και την απρόσκοπτη πρόοδο του, δηλαδή στην ελεύθερη ανάπτυξη της προσωπικότητάς του. Το ά 5 του Συντάγματος παρέχει την απαιτούμενη, θεωρητική τουλάχιστον, διασφάλιση της μη προσβολής της προσωπικότητας.

Ο ίδιος ο ΑΚ έρχεται να δώσει ένα πληρέστερο νομικό πλαίσιο διασφάλισης της προσωπικότητας του ανθρώπου. Αυτό συμβαίνει με την διάταξη του άρθρου 57 ΑΚ που αποτελεί τη νομική βάση που θα επικαλεστεί όποιος θεωρεί ότι προσβλήθηκε παράνομα η προσωπικότητά του. Το 59 ΑΚ δρα στο ίδιο πλαίσιο επιτρέποντας και αξίωση αποζημιώσεως της ηθικής βλάβης του προσβληθέντος. Συγκεκριμένα επιδεχόμενα προσβολής και εμπίπτοντα στην σφαίρα της προσωπικότητας είναι, ενδεικτικά, τα σωματικά αγαθά, τα ψυχικά αγαθά, η εξωτερική τιμή, η ελευθερία, η οπτικοακουστική αναπαράσταση του ατόμου και το άσυλο της κατοικίας του.

Όσον αφορά στην τελευταία από τις αναφερθείσες εκφάνσεις, δηλαδή το άσυλο κατοικίας, αλλά και γενικότερα το δικαίωμα στην ιδιωτικότητα, υπάρχει αυτοτελής αναφορά στο Σύνταγμα. Το ά 9 αναφέρει στην παράγραφο ένα εδάφιο δύο: «Η ιδιωτική και οικογενειακή ζωή του ατόμου είναι απαραβίαστη». Τα παραπάνω προστατεύουν πέρα από την προσωπικότητα, κατ’ επέκταση, και την αξία του ανθρώπου[7], η οποία συνιστά ένα ακόμη από τα θεμελιώδη δικαιώματα (ΑΠ 1735/2009).

Για να καταστεί δυνατή η επίκληση του 57 ΑΚ και να δύνανται εν προκειμένω οι χρήστες του διαδικτύου να ζητήσουν επαναφορά της τάξης πρέπει να πληρούνται ορισμένες προϋποθέσεις. Αυτές είναι η ύπαρξη προσβολής της προσωπικότητας από πράξη ή παράλειψη άλλου, η προσβολή αυτή να χαρακτηρίζεται παράνομη καθώς και η υπαιτιότητα του προσβάλοντος. Παρατηρείται δηλαδή μια μορφή αδικοπρακτικής συμπεριφοράς που καθιστά επίκαιρα τα 914, 919, 920 και 932 ΑΚ (ΑΠ 167/2000).

Οι αξιώσεις που έχει τη δυνατότητα να αντιπαραθέσει ο προσβληθείς είναι αρχικά η «αξίωση άρσης της προσβολής» κατά το ΑΚ 57 παρ. 1 εδ. α., ενώ αν υπάρχει κίνδυνος επανάληψης της προσβολής στο μέλλον εγείρεται κατά το αυτό ακριβώς άρθρο η «αξίωση για παράλειψη της προσβολής στο μέλλον». Στην επόμενη παράγραφο του ίδιου άρθρου θεμελιώνεται η «αξίωση προς αποζημίωση» εφόσον συντρέχουν οι προϋποθέσεις της αδικοπραξίας, δηλαδή παρανομία, υπαιτιότητα, περιουσιακή ζημία και αιτιώδης συνάφεια προσβολής και ζημίας. Τέλος, κατά το ενδεχόμενο που υπήρξε (και) βλάβη στον ψυχικό κόσμο του θύματος τότε αναδύεται και η «αξίωση για ικανοποίηση της ηθικής βλάβης» (59, 932 ΑΚ).

Βεβαίως εκτός αυτών, πάντοτε υφίστανται και οι γενικές αρχές του Δικαίου που αν και άγραφες γεννούν αγώγιμα δικαιώματα, ίσως όμως μόνο με την κατάλληλη τεκμηρίωση και με μια συνδυαστική επίκλησή των. Συγκεκριμένα και ενδεικτικά υπάρχουν η αρχή της ελευθερίας της βουλήσεως και η αρχή της αυτοδιάθεσης οι οποίες θίγονται κατά την μη ηθελημένη συλλογή στοιχείων της προσωπικότητας κάποιου δια ηλεκτρονικών μέσων.

ΙΙ.Α.2. Ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα[8]

Το Σύνταγμα αναφέρει ξεχωριστά το ζήτημα της προστασίας των προσωπικών δεδομένων στο άρθρο 9Α, λέγοντας πως απαγορεύεται η συλλογή, χρήση και επεξεργασία τέτοιου είδους πληροφοριών με κάθε τρόπο και δη ηλεκτρονικά. Προς επίρρωσιν του ως άνω στόχου ιδρύει μια από τις συνταγματικά κατοχυρωμένες ανεξάρτητες αρχές της χώρας η οποία θα συγκροτηθεί και θα λειτουργεί βάσει του σχετικού νόμου που θα εκδοθεί, αφού στο άρθρο τέθηκε επιφύλαξη νόμου με την χαρακτηριστική φράση «ως νόμος ορίζει».

Ο νόμος αυτός ήταν τελικά ο Ν 2472/1997 ο οποίος ενσωμάτωσε την ευρωπαϊκή οδηγία 95/46/ΕΚ. Όπως συναγάγεται εύκολα από την μέχρι τώρα ανάλυση, το διαδίκτυο, όλη η ανθρώπινη δραστηριότητα σε αυτό, τα αποτυπώματα της προσωπικότητας του καθενός που αφήνονται εκεί και οι επικρεμάμενες εταιρείες που αγωνιούν να συλλέξουν πληροφορίες ώστε να αυξήσουν τα κέρδη τους, είναι όλα, λοιπόν, μια ειδική περίπτωση. Γι’ αυτό πέρα από τους συνηθισμένους τρόπους προστασίας προσβολής της προσωπικότητας ήταν αναγκαία και η συνεπικουρική του σκοπού προστασίας των προσωπικών δεδομένων  ίδρυση της ΑΠΔΠΧ, της οποίας ίσως οι εξουσίες υστερούν του λειτουργήματός της.

Τα δικαιώματα που εγγυάται η αρχή είναι το δικαίωμα στη διαφάνεια, το δικαίωμα σε περίπτωση συλλογής προσωπικών δεδομένων για πρόσβαση, διόρθωση, διαγραφή αυτών, για αίτημα περιορισμού επεξεργασίας των, καθώς και δικαίωμα που επιτρέπει την μεταφορά κατά παραγγελία, των δεδομένων. ενώ, τέλος, ο καθένας δύναται να παρέμβει σε ό, τι σχετίζεται με τα προσωπικά του δεδομένα όπως επίσης και να εναντιωθεί στην επεξεργασία τους.

Επιτρέπεται υποβολή καταγγελίας για παραβίαση των 15-22 ΓΚΠΔ δικαιωμάτων του υποκειμένου των δεδομένων, για παράνομη επεξεργασία προσωπικών δεδομένων, για παράβαση των ά. 11 παρ. 1 και 2 του ν. 3471/2006 και για αποστολή ανεπιθύμητων μηνυμάτων. 

ΙΙ.Β. Ενωσιακό επίπεδο

 ΙΙ.Β.1. Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου

Αν και ουσιαστικά δεν αποτελεί η ΕΣΔΑ μέρος ούτε του πρωτογενούς ούτε και του δευτερογενούς Ενωσιακού Δικαίου εντούτοις αφενός το ΔΕΕ την συμβουλεύεται για να εξαγάγει γενικές αρχές του Ενωσιακού Δικαίου καθώς και για να διαμορφώσει ερμηνευτικά κριτήρια. Είναι μια διεθνής σύμβαση στην οποία μετέχουν τα περισσότερα ευρωπαϊκά κράτη ενώ στο άρθρο 6 παρ 2 της Σύμβασης για την Ευρωπαϊκή Ένωση, που αποτελεί κατ’ εξοχήν πρωτογενές δίκαιο της ένωσης, δίδεται η απαιτούμενη νομική βάση για μελλοντική προσχώρηση της ΕΣΔΑ στην ΕΕ.

Η ίδια η ΕΣΔΑ, δικαιοδοτικό όργανο της οποίας είναι το ΕΔΔΑ, στο άρθρο 8 κατοχυρώνει το δικαίωμα στην ιδιωτικότητα και την οικογενειακή ζωή. Παρατηρείται μια πλούσια νομολογία του ΕΔΔΑ, συλλογή της οποίας είναι διαθέσιμη στο: https://www.echr.coe.int/Documents/FS_Data_ENG.

Ενδεικτικά στην υπόθεση “Uzun v Germany” το δικαστήριο έκρινε πως ο ολιγόμηνη παρακολούθηση από αστυνομικές αρχές με σύστημα GPS ενός υπόπτου για εμπλοκή σε βομβιστική επίθεση δεν καταπάτησε το άρθρο 8 ΕΣΔΑ διότι “it had pursued the legitimate aims of protecting national security, public safety and the rights of the victims, and of preventing crime. It had also been proportionate…”. Άρα επιβεβαιώνεται η αρχική επισήμανση πως ακόμα και θεμελιώδη δικαιώματα κάμπτονται σχετικά υπό προϋποθέσεις. 

ΙΙ.Β.2. Χάρτης Θεμελιωδών Δικαιωμάτων του Ανθρώπου της Ευρωπαϊκής Ένωσης

Εδώ πρόκειται για έναν ισόκυρο των συνθηκών χάρτη βάσει του ά. 6 ΣΕΕ που τον καθιστά αμιγώς πρωτογενές Ενωσιακό Δίκαιο. Τα δικαιώματα που κατοχυρώνει –εκτός από τα κοινωνικά- είναι αγώγιμα σε εθνικό, με τους περιορισμούς του VII μέρους του χάρτη, όσο και σε ενωσιακό επίπεδο, στα εθνικά και ενωσιακά δικαστήρια αντίστοιχα.

Τα άρθρα 7 και 8 του χάρτη κάνουν μια ξεκάθαρη και ίσως την πιο προοδευτική μέχρι στιγμής μνεία στο δικαίωμα στην ιδιωτικότητα και στην προστασία των προσωπικών δεδομένων αντίστοιχα. Τονίζει πως για ανάμειξη ακόμα και αρχών στα προσωπικά δεδομένα κάποιου απαιτείται η πρότερη συγκατάθεση αυτού. Τέλος ιδρύει μια ανάλογη ανεξάρτητη αρχή για τον έλεγχο της τήρησης των παραπάνω.

ΙΙ.Β.3. Ευρωπαίος Επόπτης Προστασίας Δεδομένων

Όπως και η εθνική ανεξάρτητη αρχή έτσι και ο ΕΕΠΔ αξιώνει να δώσει την λύση ή έστω να περιορίσει τα προβλήματα σε ένα τόσο ευαίσθητο και ιδιαίτερο ζήτημα. Έχει σίγουρα δομικές διαφορές από την εθνική αρχή, όπως και λειτουργικές· ωστόσο συνοπτικά για να διεκπεραιώσει τον στόχο του, την προστασία των δεδομένων εποπτεύει την επεξεργασία αυτών από υπηρεσίες της ΕΕ, συμβουλεύει αναφορικά με το θέμα όργανα και οργανισμούς της ένωσης, ασκεί σχετικές καταγγελίες, διεξάγει έρευνες, συνεργάζεται με τις όμοιές της εθνικές αρχές και παρακολουθεί τις επικίνδυνες νέες τεχνολγίες. 

ΙΙ.Β.4. General Data Protection Regulation (GDPR)[9]

Η «ναυαρχίδα» της προστασίας των προσωπικών δεδομένων μπορεί πλέον να θεωρηθεί ο κανονισμός υπ’ αριθμόν 2016/679 της ΕΕ που αφορά κάθε τομέα, ιδιωτικό και δημόσιο και άπτεται κάθε πιθανού φορέα που επεξεργάζεται προσωπικά δεδομένα ανεξαρτήτως της περιοχής της έδρας του, αρκεί κάπως να θίγονται ευρωπαίοι πολίτες. Παρέχεται με τον εν λόγω κανονισμό δυνατότητα στην ΑΠΔΠΧ να ελέγχει την συμμόρφωση με τα άρθρα του κανονισμού (ο οποίος ως τέτοιος έχει γενική, καθολική και άμεση ισχύ στα κράτη μέλη της ΕΕ) και να επιβάλλει τα απαραίτητα πρόστιμα.

Με τον κανονισμό ενισχύεται η διαφάνεια κατά την επεξεργασία προσωπικών δεδομένων, περιορίζεται το εύρος του σκοπού επεξεργασίας που νομιμοποιεί την διαδικασία αυτή, ελαχιστοποιούνται τα δεδομένα που επιτρέπεται να επεξεργαστούν τα οποία πλέον θα πρέπει να είναι ακριβή και επικαιροποιημένα. Δίδεται, επίσης, μια στοιχειώδης εγγύηση της ασφάλειας των σχετικών δεδομένων κατά τη διάρκεια μιας πιθανής επεξεργασίας. Τέλος, αν τύχουν αποθήκευσης ορισμένα δεδομένα, αυτή πρέπει να είναι περιορισμένη χρονικά. Για όλα αυτά το βάρος απόδειξης φέρει ο υπεύθυνος επεξεργασίας.

Τα δικαιώματα των υποκειμένων, πλέον ενισχυμένα, είναι το «δικαίωμα ανάκλησης της ήδη δοθείσας συναίνεσης (άρ.7)», το «Δικαίωμα πρόσβασης στα δεδομένα – δικαίωμα λήψης αντιγράφου (άρ.15)», το «Δικαίωμα διόρθωσης (άρ.16)», το «Δικαίωμα διαγραφής (άρ.17)», το «Δικαίωμα περιορισμού της επεξεργασίας (άρ.18)», το «Δικαίωμα στη φορητότητα (άρ.20)», το «Δικαίωμα εναντίωσης (άρ.21)». Πέρα από αυτά ο κανονισμός εμπεριέχει αναλυτικά τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την χρηστή λειτουργία του, ενώ, τέλος, ρυθμίζει πολλούς περαιτέρω  σχετικούς τομείς ειδικότερα.

III. Προβληματισμοί

Παρά την ύπαρξη νομοθετικού πλαισίου προστασίας των προσωπικών δεδομένων, τόσο σε εθνικό όσο και σε ενωσιακό επίπεδο (όπως εκτέθηκε παραπάνω), συνεχίζουν να εκδηλώνονται ορισμένοι προβληματισμοί σχετικά με το πραγματικό και ουσιαστικό επίπεδο προστασίας των χρηστών του διαδικτύου και των μέσων κοινωνικής δικτύωσης. 

ΙΙΙ.Α. Γνώση ή άγνοια δικαιωμάτων;

Πρώτα απ’ όλα για να μπορούν οι πολίτες να προστατεύουν τα προσωπικά τους δεδομένα αποτελεσματικά πρέπει να γνωρίζουν, έστω και στοιχειωδώς, τα δικαιώματα που τους παρέχονται. Στο πεδίο αυτό τα στοιχεία είναι ανησυχητικά. Η ευρωπαϊκή Επιτροπή, εκπόνησε έρευνα[10] στην οποία συμμετείχαν 27.524 Ευρωπαίοι πολίτες εκ των οποίων οι 1.014 ήταν Έλληνες. Αναφορικά με τις γνώσεις σχετικά με την προστασία των προσωπικών δεδομένων και τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), μόλις το 35% των ερωτηθέντων Ελλήνων γνώριζαν τι ακριβώς είναι ο GDPR ( ποσοστό το οποίο βέβαια ταυτίζεται με τον ευρωπαϊκό μ.o.), ενώ το 32% απλώς γνώριζε την ύπαρξή του και το υπόλοιπο 32% την αγνοούσε.

Αντίθετα, πιο υψηλά είναι τα ποσοστά που παρατηρούνται σχετικά με την γνώση του έργου και του τρόπου λειτουργίας της αρχής προστασίας δεδομένων προσωπικού χαρακτήρα της κάθε χώρας. Εκεί οι Έλληνες ερωτηθέντες απάντησαν πως γνωρίζουν την ύπαρξη της αντίστοιχης ελληνικής αρχής σε ποσοστό 64%, ξεπερνώντας τον ευρωπαϊκό μ.ο. που βρίσκεται στο 57%.

Εκ διαμέτρου αντίθετη είναι η εικόνα όσον αφορά την γνώση των δικαιωμάτων που προσφέρει η Ε.Ε. σχετικά με την προστασία των δεδομένων. Ακόμα πιο μειωμένα είναι τα ποσοστά των ατόμων που έχουν ασκήσει τα δικαιώματα αυτά, καθώς ο μ.ο. άσκησης δικαιώματος αναφορικά με την προστασία των προσωπικών δεδομένων σε ενωσιακό επίπεδο είναι 15.3% και σε ελληνικό 11.16%. Βέβαια η Επιτροπή θεωρεί ως επιτυχία το γεγονός ότι το 73% των ερωτηθέντων γνωρίζουν τουλάχιστον ένα δικαίωμα που κατοχυρώνει ο GDPR ενώ το 67% γνωρίζει την ύπαρξή του. Ωστόσο, απλώς η γνώση της ύπαρξης προστατευτικών κανονισμών και εθνικών αρχών χωρίς την γνώση του περιεχομένου και της λειτουργίας τους αντίστοιχα δεν μπορεί να διασφαλίσει την άσκηση των δικαιωμάτων που έχουν κατοχυρωθεί. 

ΙΙΙ.Β. Κατανόηση των παραχωρήσεων

Το πρόβλημα του το ότι οι πολίτες πολύ συχνά δεν γνωρίζουν τα δικαιώματά τους έρχεται να οξύνει το γεγονός των αυξημένων παραχωρήσεων προσωπικών δεδομένων που απαιτούν οι περισσότερες διαδικτυακές εφαρμογές και ιστοσελίδες προκειμένου να παράσχουν τις υπηρεσίες τους (Terms of Service). Στο ίδιο συντείνουν οι συχνά δυσνόητες πολιτικές απορρήτου (privacy policy) και η όλο και αυξανόμενη χρήση των “cookies”.

Αναφορικά με τις πολιτικές απορρήτου παρατηρείται έντονα το γεγονός ότι η μεγάλη πλειοψηφία των χρηστών του διαδικτύου δεν τις γνωρίζει. Αυτό βέβαια είναι αρκετά επικίνδυνο για τους χρήστες των εφαρμογών καθώς δεν δύνανται είτε λόγω αμέλειας είτε λόγω προσωπικής αδυναμίας να κατανοήσουν ποια ακριβώς στοιχεία παραχωρούν στον εκάστοτε πάροχο. Έτσι η πραγματική βούληση των ατόμων να δεσμεύονται από την εκάστοτε πολιτική απορρήτου στο σύνολό της ή των “ToS” είναι, παρότι τυπικά έγκυρη, αφού η γνώση της άγνοιας δεν συνιστά πλάνη υπό την έννοια του 141 ΑΚ, άκρως αμφισβητούμενη. Έτσι εγείρεται ένα μεγάλο ερώτημα σχετικά με το δικαίωμα στην ιδιωτικότητα, δικαίωμα συνταγματικά κατοχυρωμένο υπό το ά. 9, το ά. 8 παρ. 1 της ΕΣΔΑ και 7 του ΧΘΔΕΕ, αφού ο χρήστης τελικά δεν γνωρίζει ότι και πως το σύνολο της ιδιωτικής του δράσης, αποθηκεύεται και κοινοποιείται εντός αλλά και εκτός του παρόχου της υπηρεσίας που χρησιμοποιεί.

Βέβαια οι περισσότερες εταιρείες όπως η “Google” και η “Facebook” ισχυρίζονται πως τα δεδομένα τα οποία συλλέγουν χρησιμοποιούνται για την καλύτερη εξυπηρέτηση των χρηστών τους (π.χ. με την εμφάνιση ειδήσεων και διαφημίσεων που ανταποκρίνονται περισσότερο στα ενδιαφέροντα και στην προσωπικότητα του καθενός).

Κάποιες πληροφορίες είναι, μάλιστα ιδιαίτερα ευαίσθητες όπως οι κωδικοί τραπεζικών λογαριασμών (μπορούν να αποθηκευτούν από την “Google” αν το επιτρέψει ο χρήστης), αριθμοί πιστωτικών καρτών[11], η τοποθεσία[12] (εντοπίζεται τόσο από την “Google” και δεδομένα αυτής συλλέγονται από τη Facebook και το “Instagram” όταν αναρτάται με οποιονδήποτε τρόπο η τοποθεσία του ατόμου[13]), καθώς και οι ιδιωτικές συνομιλίες[14]. Ωστόσο, όπως αποκαλύφθηκε από το σκάνδαλο της συμβουλευτικής εταιρείας Cambridge Analytica τα δεδομένα τα οποία παραχωρούνται μπορεί να διαρρεύσουν εκθέτοντας σε κίνδυνο την ιδιωτική ζωή του χρήστη που τα παραχωρεί. Μια τέτοια έκθεση μπορεί να λάβει χώρα, κατά δικαστική επιταγή, και στο πλαίσιο μιας δίκης, οπότε και τίθεται ζήτημα σύγκρουσης αρχών του δικαίου.

ΙΙΙ.Γ. Μια καλύτερη γνωριμία με τα…«διαδικτυακά μπισκότα»

Τα “cookies” είναι μηνύματα που μεταδίδουν οι διακομιστές ιστού στο πρόγραμμα περιήγησής όταν κανείς επισκέπτεται ιστότοπους στο Διαδίκτυο. Το πρόγραμμα περιήγησής αποθηκεύει κάθε μήνυμα σε ένα μικρό αρχείο, που ονομάζεται “cookie.txt”. Όταν ζητηθεί άλλη σελίδα από το διακομιστή, το πρόγραμμα περιήγησης αποστέλλει το “cookie.txt” πίσω στον διακομιστή. Αυτά τα αρχεία περιέχουν συνήθως πληροφορίες σχετικά με την επίσκεψη ενός ατόμου στην ιστοσελίδα, καθώς και τυχόν πληροφορίες που έχει προσφέρει οικειοθελώς, όπως το όνομα και τα ενδιαφέροντά του, στοιχεία με άλλα λόγια που στη νομική επιστήμη συναπαρτίζουν τα διακριτικά στοιχεία της προσωπικότητας τα οποία εξατομικεύουν τους ανθρώπους μεταξύ των.

Καθίσταται ευθύς αμέσως σαφές πως όσο περισσότερα “cookies” βρίσκονται σε έναν υπολογιστή τόσο περισσότερες πληροφορίες συλλέγονται για ένα άτομο. Σταδιακά αρχίζει μέσω των αναζητήσεων του ατόμου να σκιαγραφείται η προσωπικότητά του. Ενδιαφέροντα, πολιτικές και θρησκευτικές πεποιθήσεις, οικογενειακή κατάσταση, εργασία και κάθετι –υποτίθεται- ενδόμυχο, βρίσκονται αποθηκευμένα ως “cookies”. Η συσσώρευση αυτών των πληροφοριών μπορεί εν δυνάμει να αποτελέσει μεγάλο πλήγμα στην ιδιωτικότητα του ατόμου και για αυτόν τον λόγο θα πρέπει να αποφεύγεται. Ενώ οι ιστοσελίδες πλέον υποχρεούνται να ζητούν την ρητή αποδοχή των “cookies” δεν καθίσταται σαφές στον χρήστη το μέγεθος της δραστηριότητάς του που αποθηκεύεται, καθώς και ο κίνδυνος τον οποίο αντιμετωπίζει.

IV. Προτεινόμενες λύσεις

Κανένας προβληματισμός δε δύναται να αποβεί εποικοδομητικός αν δεν έπονται αυτού κάποιες στοιχειώδεις προτάσεις περιορισμού αυτού.  Εκ των αναφερθέντων γίνεται αντιληπτή η αδήριτη και επιτακτική ανάγκη της λήψης μέτρων προκειμένου να υπάρξει ένα αποτελεσματικό πλαίσιο προστασίας των ηλεκτρονικών προσωπικών δεδομένων, ελαχιστοποιώντας ή ακόμα και -κάποτε- εκμηδενίζοντας τις πιθανές διαρροές προσωπικών πληροφοριών σε τρίτους.

Όπως έγινε κατανοητό από την ως άνω παρουσίαση ο μεγαλύτερος κίνδυνος για τα προσωπικά δεδομένα έγκειται στην άγνοια του κοινού για τις πιθανές χρήσεις των δεδομένων που καταχωρεί στις διάφορες ιστοσελίδες και εφαρμογές, καθώς για τα ήδη υπάρχοντα δικαιώματά του γύρω από τα δεδομένα αυτά. Για αυτό είναι αναγκαία η πλήρης ενημέρωση των πολιτών από την πολιτεία, σε ένα πλαίσιο διαδικτυακής επιμόρφωσης.

Κρίνεται, μάλιστα, απαραίτητο να νομοθετηθεί σε υπερεθνικό επίπεδο η υποχρέωση των διαδικτυακών εφαρμογών και ιστοσελίδων να παρουσιάζουν συνοπτικά και με κατανοητούς όρους, τα ευαίσθητα δεδομένα που ζητούν από τους χρήστες να παραχωρήσουν, καθώς και τον σκοπό της χρήσης τους. Τα δε παραχωρούμενα αυτά δεδομένα θα πρέπει να ελαχιστοποιηθούν, στο βαθμό που να είναι απολύτως απαραίτητα για την λειτουργία των εφαρμογών και των βασικών αναγκών των ιστοσελίδων (πχ για την επισκεψημότητα).

Αποφασιστικό ρόλο στην προστασία των προσωπικών δεδομένων δύνανται να επιτελέσουν οι αρμόδιες σχετικές αρχές προστασίας δεδομένων, οι οποίες θα πρέπει να μεριμνούν εντονότερα, στο πλαίσιο θέσπισης ουσιωδέστερων εξουσιών υπέρ αυτών, για τυχόν κατάχρηση προσωπικών δεδομένων των πολιτών από ιστοσελίδες και εφαρμογές, καθώς και να ελέγχουν ότι οι υπάρχουσες πολιτικές απορρήτου και “ToS” συμβαδίζουν με την νομοθεσία, όχι μόνο τυπικά αλλά και ουσιαστικά.

Εξίσου θεμιτή πρέπει να θεωρείται η σμίκρυνση του πλαισίου συλλόγης-επεξεργασίας προσωπικών δεδομένων από εταιρείες υπό προϋποθέσεις και μόνο. Παράλληλα θα πρέπει να επιβάλλονται ακόμα υψηλότερα πρόστιμα σε περίπτωση που αυτές δεν συμμορφώνονται με τα ενωσιακά και εθνικά νομοθετήματα. Τέλος οι ίδιες οι εταιρείες θα πρέπει να λαμβάνουν μέτρα, ώστε να αποφεύγεται η διαρροή προσωπικών δεδομένων των καταναλωτών τους, σύμφωνα με τις εκάστοτε νομικές επιταγές, όπως συνέβη με τη “Facebook”.

Τα οικονομικά συμφέροντα όταν συγκρούονται με την προφύλαξη των προσωπικών δεδομένων θα πρέπει να έρχονται σε δεύτερη μοίρα. Είναι επίσης απαραίτητο οι εταιρείες που συλλέγουν προσωπικά δεδομένα να είναι κατάλληλα θωρακισμένες με ειδικά συστήματα ενάντια σε επιθέσεις «χάκερς».

Σε κάθε περίπτωση αν το θύμα αδυνατεί να βασιστεί σε ειδικότερα άρθρα νόμων, είτε επειδή δεν υπάρχουν οι κατάλληλοι που να καλύπτουν τη συγκεκριμένη περίπτωση είτε επειδή αν και υπάρχουν είναι δυσχερής η απόδειξη της πλήρωσης των προϋποθέσεων εφαρμογής των, τα δικαστήρια κατ’ εξαίρεση και αν το επιβάλλουν οι περιστάσεις θα μπορούσαν να δεχτούν την αυτοτελή επίκληση των συνταγματικά κατοχυρωμένων θεμελιωδών δικαιωμάτων, χωρίς βεβαίως να υποπέσουν σε “contra legem” λύσεις.

V. Συμπερασματικές παρατηρήσεις

Όπως προκύπτει από τα αναφερθέντα, διαδίκτυο και νομική βρίσκονται σε έναν     άτυπο κηρυγμένο και ηλεκτρισμένο διάλογο με διαρκείς αναπροσαρμογές και από τις δύο πλευρές. Τα προσωπικά δεδομένα κατέστη σαφές ότι, παρά τις όλες προσπάθειες περιορισμού αθέμιτων φαινομένων δεν δύνανται, μέχρι στιγμής, να θεωρηθούν πλήρως προστατευμένα. Κατά την άποψη των γραφόντων πάντοτε θα υφίσταται περιθώριο βελτίωσης, γι’ αυτό και οι ενδεικτικές-προτεινόμενες λύσεις.

[1] ΚΑΘΗΜΕΡΙΝΗ-https://www.kathimerini.gr/1086261/article/epikairothta/kosmos/antistrofh-metrhsh-gia-to-tik-tok (όπου σχολιάζεται η επικαιρότητα) [τελευταία επίσκεψη 10/8/2020]

[2] CNN.gr-https://www.cnn.gr/focus/story/185947/psifiaki-asfaleia-apo-tin-cambridge-analytica-stin-capital-one-to-kyvernoegklima-zei-kai-vasileyei (αναλύονται εθνικού και διεθνούς επιπέδου ζητήματα της επικαιρότητας) [τελευταία επίσκεψη 10/8/2020]

[3] Γέροντας Απόστολος, Επιτομή Γενικού Διοικητικού Δικαίου, 2η έκδοση, εκδ. Σάκκουλας, Αθήνα, 2020, σελ. 102

[4] Lawspot-https://www.lawspot.gr/nomikes-plirofories/voithitika-kemena/egklima (βασική ιστοσελίδα στην Ελλάδα για θέματα σχετιζόμενα με τη νομική) [τελευταία επίσκεψη 10/8/2020]

[5] Γεωργιάδης Απόστολος, Γενικές Αρχές Αστικού Δικαίου, 5η έκδοση, εκδ. Π.Ν. Σάκκουλας, Αθήνα, 2019, σελ. 354

[6] Επίσημος ιστότοπος της Ευρωπαϊκής Επιτροπής-https://ec.europa.eu/info/cookies_el (ενημερώσεις από την Κομισιόν) [τελευταία επίσκεψη 8/10/2020]

[7] ά 2 παρ. 1 Σύνταγμα της ελληνικής δημοκρατίας

[8] Αρχή Προστασίας Προσωπικών Δεδομένων-https://www.dpa.gr/ (επίσημος ιστότοπος της αδα) [τελευταία επίσκεψη 11/8/2020]

[9] Κανονισμός 2016/679 σε ψηφιακή μορφή- https://app.box.com/s/uyhlw54vztcehwjqpbvbpxszrbs0u9p5 (επίσημη ιστοσελίδα της ΕΕ) [τελευταία επίσκεψη 11/8/2020]

[10] Lawspot-https://www.lawspot.gr/nomika-nea/prosopika-dedomena-kai-diadiktyo-ti-gnorizoyn-oi-hristes-stin-ellada-gia-tin-prostasia?fbclid=IwAR21833A6oDrBw_FsqTJ3NxQKWHRVQfv6Nr7DWMv14WWSYwoa6uxYFvc7bU [τελευταία επίσκεψη 12/8/2020]

[11]Facebook-https://www.facebook.com/about/privacy (πολιτική δεδομένων της Facebook) [τελευταία επίσκεψη 12/8/2020]

[12]Google-https://policies.google.com/privacy?hl=en-US#infocollect (prives and terms) [τελευταία επίσκεψη 12/8/2020]

13, 14 Facebook-https://www.facebook.com/about/privacy (πολιτική δεδομένων της Facebook)

Σχόλια