netweek - Δρ. Γιώργος Ρουσόπουλος, ICT Auditor, Aρχή Προστασίας Προσωπικών Δεδομένων: «Η αποστολή GDPR emails είναι …λάθος»

Σάββατο, 23 Ιουνίου 2018

ΔΙΑΦΗΜΙΣΗ

Software

Δρ. Γιώργος Ρουσόπουλος, ICT Auditor, Aρχή Προστασίας Προσωπικών Δεδομένων: «Η αποστολή GDPR emails είναι …λάθος»

30 Μαΐου 2018 | 13:37 Γράφει το Net Week  Online Team Topics: Security,Θεσμικά

Το τελευταίο διάστημα και ενόψει εφαρμογής του GDPR, τα emails και τα κινητά όλων κατακλύστηκαν από μηνύματα που ζητούσαν την επιβεβαίωση λήψης newsletter και προσφορών.

Το οξύμωρο στην όλη υπόθεση είναι ότι για την αποστολή των διαφημιστικών emails δεν εφαρμόζεται το GDPR.  Σύμφωνα με την ePrivacy οδηγία (2002/58/ΕΚ με τις τροποποιήσεις με την 2009/136/ΕΚ) η συγκατάθεση δεν είναι η μόνη προϋπόθεση για την αποστολή διαφημιστικών email/SMS. Και αυτό διότι η ePrivacy οδηγία προσφέρει το soft opt-in, που δίνει την ευχέρεια στις επιχειρήσεις να διαφημίζουν στους πελάτες τους χωρίς τη συγκατάθεσή τους, στις εξής περιπτώσεις:  (α) να έλαβαν το email νόμιμα στο πλαίσιο πώλησης ή άλλης παρόμοιας συναλλαγής, (β) να είχαν ενημερώσει τη στιγμή συλλογής του email ότι θα το χρησιμοποιούσαν για διαφήμιση (γ) να διαφημίζουν παρόμοια προϊόντα και (δ) να προσφέρουν τη δυνατότητα δωρεάν και εύκολης διαγραφής σε κάθε μήνυμα που στέλνουν.

Όταν, λοιπόν, μια εταιρεία ζητάει επιβεβαίωση μέσα από τα γνωστά emails που στέλνονται κατά ριπές το τελευταίο διάστημα, υπάρχουν τα εξής ενδεχόμενα:
- Aν είχε αποκτήσει τα emails με συγκατάθεση (opt-in), ελλοχεύει ο κίνδυνος να χάσει αυτή τη δυνατότητα αποστολής, ενώ την είχε.
- Aν είχε αποκτήσει τα στοιχεία κατά τη διάρκεια μιας συναλλαγής νόμιμα (με soft opt-in), ζητάει τη συγκατάθεση ενώ μπορεί να στέλνει χωρίς αυτήν.
- Αν είχε τα στοιχεία παράνομα, τότε με το email που στέλνει παραδέχεται την παρανομία και παραβιάζει το αρ. 11 του ν. 3471/2006, όχι το GDPR ή το ν. 2472/97. Για να ξεδιαλύνει την κατάσταση σε αυτό το θέμα το NetFAX είχε τη δυνατότητα να κάνει μια ενδιαφέρουσα συζήτηση με τον Δρ. Γιώργο Ρουσόπουλο, ICT Auditor στην Αρχή Προστασίας Προσωπικών Δεδομένων.

    Τις τελευταίες εβδομάδες τα email και τα κινητά μας κατακλύστηκαν, ενόψει εφαρμογής του GDPR, από μηνύματα που μας ζητούσαν να επιβεβαιώσουμε ότι επιθυμούμε να συνεχίσουμε να λαμβάνουμε ενημέρωση. Ένα άλλο φαινόμενο που παρατηρήσαμε είναι sites να αναφέρουν ότι είναι συμβατά με το GDPR. Η αποστολή αυτών των μηνυμάτων αποτελεί απαίτηση του GDPR, καλύπτοντας αυτούς που τα στέλνουν ή όχι; Και πόσο νόημα έχει ένα site να είναι συμβατό με το GDPR;

Δρ. Γιώργος Ρουσόπουλος: Το ερώτημά σας αναφέρεται σε δύο κατηγορίες ενεργειών, τις οποίες καλό είναι να διαχωρίσουμε.
Η πρώτη αφορά στα μηνύματα που μας ζητούν επιβεβαίωση της συγκατάθεσής μας, για να συνεχίσουμε να λαμβάνουμε ενημέρωση ή προσφορές και είναι η πιο προβληματική. Αυτή, ας την αναλύσουμε όμως στην επόμενη ερώτηση. Κι αυτό γιατί το GDPR δεν αλλάζει τον τρόπο με τον οποίο οι εταιρείες οφείλουν να στέλνουν διαφημιστικά μηνύματα καθώς εφαρμόζεται η ειδικότερη νομοθεσία ePrivacy (προστασία δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών) η οποία ήταν ήδη αυστηρή, περίπου όσο και ο GDPR.

Η δεύτερη αφορά ενημερωτικά μηνύματα που στέλνονται προς χρήστες μιας ιστοσελίδας ή μιας ηλεκτρονικής εφαρμογής, με τα οποία οι αποδέκτες ενημερώνονται ότι άλλαξε η πολιτική χειρισμού των προσωπικών δεδομένων, προκειμένου να είναι συμβατή με το GDPR, αλλά συνήθως χωρίς να ζητείται επιβεβαίωση συγκατάθεσης.

Είναι γεγονός ότι ο νέος Γενικός Κανονισμός για την Προστασίας των Δεδομένων (GDPR) έχει αυξήσει τις υποχρεώσεις όσων επεξεργάζονται προσωπικά δεδομένα, ιδιαίτερα δε για τη διαφάνεια μιας επεξεργασίας, δηλαδή την ενημέρωση που παρέχεται στους χρήστες μιας ιστοσελίδας ή εφαρμογής. Επομένως, είναι λογικό να υπάρχουν αλλαγές στον τρόπο επεξεργασίας προσωπικών δεδομένων και είναι υποχρεωτικό να ενημερωθούν κατάλληλα οι χρήστες. Άλλωστε, σε ένα τυπικό site διενεργείται σχεδόν πάντα επεξεργασία προσωπικών δεδομένων για διάφορους θεμιτούς σκοπούς, όπως για τη διενέργεια μιας πώλησης, τη διαφήμιση προϊόντων, την ασφάλεια της ιστοσελίδας κλπ.

Οι εταιρείες είχαν μια διετία για να προετοιμαστούν. Κάποιοι φρόντισαν και έκαναν νωρίς βήματα για την προσαρμογή τους, άλλοι τα άφησαν για την τελευταία στιγμή (κι όχι μόνο στην Ελλάδα, αλλά σε όλο τον κόσμο). Επειδή πολλοί επέλεξαν ως προσφορότερο μέσο το email (το GDPR δεν προσδιορίζει τα μέσα παροχής ενημέρωσης, αυτό είναι επιλογή της κάθε εταιρείας), λάβαμε όλοι μας αρκετά email από ιστοσελίδες ή εφαρμογές για τις αλλαγές στην πολιτική προσωπικών δεδομένων. Αυτά δεν φαίνεται κατ’ αρχήν να προβληματίζουν, αν και το ότι πολλοί επέλεξαν να τα στείλουν λίγο πριν τις 25 Μαΐου ενδέχεται να δημιούργησε δυσφορία στους αποδέκτες των μηνυμάτων.

    Mια εταιρεία που στέλνει ενημέρωση (π.χ newsletter) σε τρίτους είναι υποχρεωμένη να στέλνει τέτοια μηνύματα; Μπορεί μια εταιρεία να στέλνει διαφημίσεις/ενημέρωση σε πελάτες – τρίτους χωρίς τη συγκατάθεσή τους και αν ναι σε ποιες περιπτώσεις;

Δρ. Γιώργος Ρουσόπουλος: Όπως αναφέρθηκε και νωρίτερα, αυτού του είδους τα μηνύματα ρυθμίζονται από την ePrivacy νομοθεσία, δηλαδή την οδηγία 2002/58/ΕΚ, όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ και ειδικότερα για την Ελλάδα με το νόμο 3476/2006 και τις τροποποιήσεις του ν. 4070/2012. Υπάρχουν δύο νομικές βάσεις για να μπορεί να στείλει μια εταιρεία ενημερωτικά ή διαφημιστικά μηνύματα. Η πρώτη είναι η συγκατάθεση. Η δεύτερη είναι όταν τα στοιχεία επικοινωνίας (η διεύθυνση email) αποκτήθηκαν νομίμως στο πλαίσιο πώλησης ή άλλης παρόμοιας συναλλαγής, εφόσον η εταιρεία είχε ενημερώσει εκείνη τη στιγμή (τη στιγμή της συλλογής του email) ότι θα χρησιμοποιήσει το email και για διαφήμιση, είχε παράσχει τη δυνατότητα διαγραφής και επιπλέον στα μηνύματα διαφημίζει προϊόντα παρόμοια με αυτά της συναλλαγής και δίνει δυνατότητα δωρεάν και εύκολης διαγραφής. Άρα, εκτός από τη συγκατάθεση, ο νόμος δίνει μια ευκαιρία στις επιχειρήσεις να επικοινωνούν με τους πελάτες τους, χωρίς συγκατάθεση.

Ποια η διαφορά; Από έρευνες έχει φανεί ότι όταν ζητείται από ένα χρήστη ιστοσελίδας να επιλέξει ένα checkbox, μικρό ποσοστό το πράττει. Ενώ, αν η επιλογή είναι αρνητική (π.χ. αν δεν θέλεις να λαμβάνεις μηνύματα πατήστε εδώ) το ποσοστό είναι σαφώς μεγαλύτερο. Η οδηγία ePrivacy δεν έχει σκοπό να θέσει εμπόδια στην επιχειρηματικότητα, την ορθή επικοινωνία μιας επιχείρησης με τους πελάτες της, γι’ αυτό και, υπό προϋποθέσεις, την επιτρέπει και χωρίς συγκατάθεση.
Θα αναρωτηθεί κανείς… Ναι, αλλά με το GDPR δεν άλλαξε η συγκατάθεση; Μπορώ να βασιστώ σε συγκατάθεση που είχα λάβει με το παλιότερο θεσμικό πλαίσιο;

Η απάντηση και σε αυτό είναι απλή. Στο ν. 3471/2006 η συγκατάθεση ήταν ήδη ισχυρή. Άρα, μια επιχείρηση ήδη όφειλε και πριν τις 25 Μαΐου να διαθέτει «ισχυρή» συγκατάθεση ή να στέλνει μηνύματα, υπό προϋποθέσεις, σε αυτούς που αποδεδειγμένα ήταν πελάτες της. Όποιοι δεν το έκαναν, κακώς χρησιμοποιούσαν τα email ούτως ή άλλως. Αν πάλι κάποιοι είχαν email «αμφιβόλου» προέλευσης και έστειλαν πρόσκληση για συγκατάθεση, η αποστολή των μηνυμάτων ενδέχεται να τους προκαλέσει μεγαλύτερα προβλήματα. Όσοι δε είχαν τα στοιχεία νομίμως αλλά επέλεξαν να στείλουν email επιβεβαίωσης, προφανώς δεν διαπράττουν παράβαση, αλλά ενδέχεται να χάσουν τμήμα της πελατειακής τους βάσης.

    Πότε ένας χρήστης-πολίτης έχει δικαίωμα να υποβάλλει καταγγελία για μια εταιρεία όσον αφορά τη χρήση τoυ email/κινητού του για αποστολή διαφημιστικών/ενημερωτικών μηνυμάτων; Τι πρέπει να κάνει μια εταιρεία σε μια τέτοια περίπτωση, όταν, δηλαδή, δέχεται μια τέτοια καταγγελία; Τι επιπτώσεις προβλέπει ο κανονισμός αν η εταιρεία αδιαφορήσει ή δεν προβεί στις προβλεπόμενες από τον κανονισμό ενέργειες;

Δρ. Γιώργος Ρουσόπουλος: Κάθε πολίτης έχει δικαίωμα να υποβάλει καταγγελία στην ΑΠΔΠΧ όταν θεωρεί ότι παραβιάζονται τα δικαιώματά του. Στις ιστοσελίδες της Αρχής διατίθεται μια ειδική φόρμα καταγγελίας για αποστολή ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου - το κοινώς λεγόμενο spam Συστήνουμε βέβαια, ειδικά σε περιπτώσεις που δεν φαίνεται να υπάρχει εσκεμμένη ενέργεια αλλά η παρανομία να έχει προκύψει από αβλεψία ή άγνοια, οι πολίτες να απευθύνονται πρώτα στον υπεύθυνο επεξεργασίας, π.χ. ασκώντας τα προβλεπόμενα από τα άρθρα 15 έως 22 ΓΚΠΔ δικαιώματα, όπου αυτά εφαρμόζονται.

Στις περιπτώσεις που ο υπεύθυνος επεξεργασίας έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO) μπορούν να απευθύνονται και σε αυτόν. Τα στοιχεία των DPO είναι δημοσιευμένα, συνήθως, στην ιστοσελίδα του υπευθύνου επεξεργασίας.
Ευθύνη της κάθε εταιρείας είναι να ανταποκρίνεται στα αιτήματα των πολιτών, ιδιαίτερα όσον αφορά στην άσκηση των δικαιωμάτων τους και για τη νομιμότητα μιας επεξεργασίας. Ο κανονισμός (και η νομοθεσία ePrivacy) προβλέπουν μια σειρά από κυρώσεις, από απλές προειδοποιήσεις έως και μεγάλα πρόστιμα. Σε περίπτωση παράβασης η επιλογή της κύρωσης είναι ευθύνη της Αρχής και εξαρτάται από την κάθε ιδιαίτερη υπόθεση, αλλά σε κάθε περίπτωση οι κυρώσεις θα πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

Netweek Online( 30 Μαΐου 2018)
Έχετε άποψη;
Ο σχολιασμός των άρθρων προϋποθέτει την Είσοδο σας στο Netweek Online.
ΔΙΑΦΗΜΙΣΗ

Δείτε ακόμη...

Οι πιο δημοφιλείς ειδήσεις σήμερα

Αυτοί που διάβασαν αυτό διάβασαν επίσης

Τα πιο δημοφιλή Topics

Οι πιο δημοφιλείς ειδήσεις σε αυτήν την ενότητα

Οι πιο δημοφιλείς ειδήσεις σε άλλες ενότητες

ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ

Συνεντεύξεις / Πρόσωπα

 
ΔΙΑΦΗΜΙΣΗ

Topics

Banking / Finance

International

Τηλεπικοινωνίες

Πολιτισμός / Ψυχαγωγία

e-government

Μουσική Βιομηχανία

Retail

Ευρωπαική Ένωση

Services

Ενέργεια / Περιβάλλον

©2018 Boussias Communications, all rights reserved. Κλεισθένους 338, 153 44 Γέρακας, info@boussias.com, Τ:210 6617777, F:210 6617778