Τετάρτη, Ιουλίου 09, 2008

Η πώληση των προσωπικών δεδομένων των δικηγόρων

Mε την απόφαση 5/2008 η Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο στον ΔΣΑ επειδή το 1999 διέθεσε ετικέτες με τα στοιχεία των μελών του (ονοματεπώνυμα, ιδιότητα και διευθύνσεις) σε μια εταιρία, για σκοπούς άμεσης διαφήμισης (direct marketing).


H απόφαση της Αρχής βασίζεται:


(α) στην έλλειψη συγκατάθεσης των μελών του ΔΣΑ και 

(β) στην έλλειψη  ενημέρωσης τους για την διαβίβαση των στοιχείων τους.


Ως προς την έλλειψη συγκατάθεσης εντυπωσιάζει το γεγονός ότι η Αρχή αποσιωπά τελείως το γεγονός ότι με την δική της Απόφαση 50/2000 (η οποία μετέπειτα δημοσιεύθηκε μάλιστα στην Εφημερίδα της Κυβερνήσεως ως απόφαση 26/2004, γεγονός που της προσέδωσε χαρακτηριστικά κανονιστικής πράξης) έκρινε ότι οι σκοποί direct marketing δεν προϋποθέτουν κατ' αποκλειστικό κανόνα την συγκατάθεση του υποκειμένου των δεδομένων, καθώς εμπίπτουν στην έννοια του “εννόμου συμφέροντος που υπερέχει προφανώς” των δικαιωμάτων των υποκειμένων των δεδομένων. Η προσέγγιση αυτή θεμελιώνεται στο άρθρο 13 παρ. 3 του Ν.2472/1997, αλλά και στην Οδηγία 95/46 που προτάσσει το σύστημα opt-out ειδικά για τις περιπτώσεις της άμεσης διαφήμησης: όποιος δεν θέλει να λαμβάνει μέσω ταχυδρομείου υλικό direct marketing έχει το δικαίωμα να εγγραφεί στο Μητρώο Προσώπων που Δεν Επιθυμούν να λαμβάνουν τέτοιο υλικό. Εντυπωσιάζει αυτή η αιφνίδια “στροφή” στη νομολογία της Αρχής, η οποία δεν έχει καν θεμελιωθεί με επιχειρήματα a contrario, αν ήθελε θεωρηθεί ότι για ειδικούς λόγους θα έπρεπε να προκριθεί ο κανόνας της opt-in συγκατάθεσης, όπως λ.χ. ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες.


Πέρα όμως από την Απόφαση 50/2000, η Αρχή όφειλε να είχε λάβει υπόψη της και το Ν.3448/2006 για την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα, ο οποίος μπορεί να μην ίσχυε μεν το 1999 που τελέστηκε η φερόμενη “παράβαση” του ΔΣΑ, ως ευνοϊκότερος όμως νόμος, ο οποίος ενσωματώνει μάλιστα κοινοτικό δίκαιο (την Οδηγία 2003/98/ΕΚ για την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα) έπρεπε να την είχε απασχολήσει στο σκεπτικό της. Με βάση το Ν.3448/2006, ο οποίος είχε τεθεί σε ισχύ όταν υποβλήθηκε η καταγγελία, ο ΔΣΑ, ως νομικό πρόσωπο δημοσίου δικαίου, έχει την υποχρέωση να παράσχει σε ιδιώτες τις πληροφορίες που τηρεί. Ακόμη κι όταν αυτές οι πληροφορίες αποτελούν δεδομένα προσωπικού χαρακτήρα, η υποχρέωση του ΔΣΑ εξακολουθεί να ισχύει: στην Γνωμοδότηση 7/2003 της Ομάδας Εργασίας για την προστασία προσωπικών δεδομένων, κείμενο το οποίο επίσης δεν απασχόλησε την Αρχή καθόλου στο σκεπτικό της επίμαχης απόφασης, ρητά αναφέρεται ότι το “έννομο συμφέρον” αποτελεί λόγο που επιτρέπει την περαιτέρω χρήση προσωπικών δεδομένων που τηρούνται από αρχεία του δημόσιου τομέα! Είναι απορίας άξιον πως, υπό το φως του μεταγενέστερου, αλλα ευνοϊκότερου αυτού θεσμικού πλαισίου, η Αρχή δεν έλαβε υπόψιν της, εκτός από τη δική της Απόφαση 50/2000, την κοινοτική νομοθεσία, μολονότι σε τρεις σχετικά πρόσφατες αποφάσεις της έχει μνημονεύσει τον Ν.3448/2006. Σημειωτέον ότι στην Ομάδα Εργασίας για την προστασία προσωπικών δεδομένων που εξέδωσε και την Γνωμοδότηση 7/2003 συμμετέχουν, βάσει της Οδηγίας 95/46, και εκπρόσωποι της Αρχής.


Το πιο εντυπωσιακό όμως είναι ότι η Αρχή, με μια απόφαση του 2008 επιβάλλει, κατόπιν καταγγελίας, πρόστιμο για μια πράξη που τελέστηκε το 1999! Σύμφωνα με την Απόφαση 57/2003, (βλ. Ετήσια Έκθεση ΑΠΔΠΧ 2003, σελ. 35) η Αρχή απέρριψε ως καταχρηστική μία προσφυγή που ασκήθηκε τρία χρόνια μετά την προσβολή του δικαιώματος, επειδή έκρινε ότι δεν ασκήθηκε εντός “ευλόγου χρόνου”. Ενώ δηλαδή η τριετία κρίθηκε τότε μη εύλογος χρόνος, τα επτά χρόνια που παρήλθαν απο την χορήγηση των στοιχείων εκ μέρους του ΔΣΑ (1999) μέχρι την υποβολή της εναντίον του καταγγελίας (2006)  δεν προβλημάτισαν καθόλου την Αρχή στην απόφασή της. Η πιθανή καταχρηστικότητα της καταγγελίας έπρεπε επίσης να ελεγχθεί από την Αρχή, δεδομένου ότι η εν λόγω απόφση του ΔΣΑ για διάθεση των δεδομένων των μελών του σε εταιρίες είχε ήδη ανακληθεί από ετών. Εφόσον αυτό είχε γνωστοποιηθεί στον καταγγέλλοντα, αλλά αυτός επέμενε στην υποστήριξη της καταγγελίας θα ήταν προφανές ότι δεν επιδίωκε πλέον την προστασία των δικαιωμάτων του, αλλά ενδεχομένως είχε άλλους σκοπούς. Και όλα, αυτά μολονότι στις 18/7/2006 που κατατέθηκε η καταγγελία είχε ήδη τεθεί σε εφαρμογή ο Ν.3471/2006, βάσει του οποίου η Αρχή ρητώς πλέον έχει ρητή ευχέρεια “να θέτει στο αρχείο αιτήσεις ή παράπονα που κρίνονται αόριστα, αβάσιμα ή υποβάλλονται καταχρηστικώς ή ανωνύμως” (άρθρο 19 παρ. 1 (ιγ)  Ν.2472/1997). 


Ως προς το θέμα της ενημέρωσης των υποκειμένων των δεδομένων, ο ΔΣΑ όφειλε να είχε λάβει αδεια από την  Αρχή για ενημέρωση των υποκειμένων δια του τύπου (σύμφωνα με την Απόφαση 408/1998 και την Κανονιστική Πράξη 1/1999). Ωστόσο, αυτή η υποχρέωση βάρυνε κατά κύριο λόγο την εταιρία, η οποία συνέλλεξε τα προσωπικά δεδομένα των δικηγόρων. Η Αρχή δεν ασχολήθηκε στην απόφαση καθόλου με το αν η εταιρία ενημέρωσε τα υποκείμενα των δεδομένων δια του τύπου ή ατομικώς, δηλ. αν τήρησε τις διατάξεις του άρθρου 11 του Ν.2472/1997.


Εδώ τίθεται ένα σοβαρό ζήτημα όσον αφορά το μέλλον και την εφαρμοσιμότητα της περαιτέρω χρήσης πληροφοριών του δημόσιου τομέα και την διαμόρφωση μιας αγοράς “περιεχομένου” στην Ελλάδα:  κάθε φορά που μία εταιρία ζητά να αντλήσει δεδομένα απο ένα ν.π.δ.δ. οφείλει και το ίδιο το ν.π.δ.δ., εκτός από την εταιρία, να λάβει ειδική άδεια της Αρχής και να ενημερώσει τα υποκείμενα των δεδομένων δια του τύπου, ή  τελικά αρκεί η -ισοδύναμου αποτελέσματος- ενημέρωση μόνο από τον ιδιωτικό φορέα; Είναι προφανές ότι θα είναι άνευ ουσίας μια τέτοια διπλή ενημέρωση, η οποία θα επιβαρύνει συν τοις άλλοις και το Δημόσιο, ενώ ο ιδιώτης είναι αυτός που σκοπεύει να προβεί στην επιχειρηματική δραστηριότητα. Όροι αναλογικότητας, αλλά και οικονομικής εκ του αποτελέσματος ανάλυσης,  θα επέβαλαν την τελολογική συστολή του νόμου ως προς αυτό το θέμα. Η Αρχή με την απόφασή της θα μπορούσε σε αυτό το σημείο να “απαλλάξει” εκ των υστέρων τον ΔΣΑ και να αυτοπεριορίσει τον ελεγκτικό της ρόλο στο κατά πόσον η εταιρία εκπλήρωσε την υποχρέωση ενημέρωσης, αναγνωρίζοντας ότι, καθόσον πρόκειται για την ίδια περίπτωση επεξεργασίας (δηλ. για μία πράξη) δεν απαιτούνται δύο ενημερώσεις από τους δύο υπεύθυνους επεξεργασίας, αφού ο αντικειμενικός σκοπός είναι η ενημέρωση των υποκειμένων των δεδομένων και όχι οι περιττή γραφειοκρατία. 


Δεν υπάρχουν σχόλια:

Καταδίκη για εξύβριση στο Instagram

“Fuck you rapist bastard”, έγραψε κάποιος ως σχόλιο στο Instagram κάτω από τη φωτογραφία ενός γνωστού μπλόγκερ της Ισλανδίας, την ημέρα πο...