Μια ενέργεια που συγκλόνησε το πανελλήνιο πριν 11 περίπου μήνες. Για να μην ξεχνάμε τι σημαίνει το αποτέλεσμα συγκέντρωσης πληροφοριών, πράγμα για το οποίο μια γενιά ολόκληρη αγωνίστηκε για την εξάλειψη του «προσωπικού φακελώματος». Δεν μπορούμε υποκριτικά να «αγωνιζόμαστε»για την εξαφάνιση των καμερών ή την μη αναγραφή του θρησκεύματος και να κωφεύουμε και εθελοτυφλούμε στον πλήρη και ισοπεδωτικό έλεγχο όλων των προσωπικών μας δεδομένων.
Φαινόμενα σαν αυτά που θα διαβάσετε και θα ξαναθυμηθήτε είναι ένα ελάχιστο μόνο συμβάν. Σκεφτείτε τα σοβαρότερα τα οποία σαφώς και θα γίνουν.
____________________
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έριξε πρόστιμο 65.000 ευρώ σε ιδιωτική εταιρεία, για παραβιάσεις των νόμων περί προστασίας των προσωπικών δεδομένων. Σίγα τα λάχανα, θα πείτε. Ναι, αλλά υπάρχει και κάτι πολύ ενδιαφέρον. Η εταιρεία που τιμωρήθηκε, λίγους μήνες πριν από τους Ολυμπιακούς Αγώνες της Αθήνας, το 2004, πούλησε στην αμερικάνικη κυβέρνηση και ειδικότερα στο State Department, για χρήση από την αμερικάνικη πρεσβεία, μια τράπεζα δεδομένων άνω των πέντε εκατομμυρίων Ελλήνων, καθώς και ψηφιακούς χάρτες της Αθήνας και της Θεσσαλονίκης. Στις λίστες περιλαμβάνονται τηλέφωνα, μέϊλ, διευθύνσεις και σε πολλές περιπτώσεις επαγγελματικές ιδιότητες. Πάνω στους ψηφιακούς χάρτες, ο ενδιαφερόμενος μπορεί να βρει με το συγκεκριμένο πρόγραμμα που μένει ο κάτοχος της τηλεφωνικής σύνδεσης, του μέϊλ, κ.ο.κ. ...
Σε μια χώρα βέβαια, στην οποία παρακολουθείτο το τηλέφωνο του πρωθυπουργού από «άγνωστα» έως τώρα κυκλώματα, καθώς και όλου του υπουργικού συμβουλίου, δεν μπορεί παρά να προκαλεί ερώτημα γιατί προμηθεύτηκε ένα τέτοιο σύστημα η αμερικάνικη πρεσβεία στην Αθήνα. Να πιθανολογήσουμε ότι σκέφτηκε μήπως πέσει καμιά στιγμή το σύστημα καταλόγου του ΟΤΕ και άρα όποιος θέλει να μάθει κάποιον αριθμό τηλεφώνου γιατρού, δικηγόρου κ.λ.π., μπορεί να τηλεφωνήσει στην αμερικάνικη πρεσβεία;
Η προμήθεια από το State Department έγινε τον Ιανουάριο του 2004 έναντι 170.000 δολαρίων. Η ελληνική εταιρεία, στην οποία επεβλήθη το πρόστιμο είναι η CALINO ΑΕ. Το δε σύστημά της είναι το «Hellas Navigator»-«Χρυσά Πελατολόγια». Στους καταλόγους περιλαμβάνονται πολλές επαγγελματικές κατηγορίες. Το ενδιαφέρον είναι, όπως τονίζει η ΑΠΔΠΧ, ότι «σε αρκετές περιπτώσεις οι σύλλογοι πωλούσαν τα δεδομένα των μελών τους έναντι αμοιβής». Κάτι που, εμμέσως πλην σαφώς, αφήνει να φανεί ότι υπήρξε εμπόριο προσωπικών δεδομένων. Οι επαγγελματικοί σύλλογοι είναι «επαγγελματικές ενώσεις, επιμελητήρια, δικηγορικοί, φαρμακευτικοί, οδοντιατρικοί και ιατρικοί σύλλογοι, κ.λ.π.».
Αναλυτικά η απόφαση 83/2009 της Αρχής:
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ |
Αθήνα, 10-12-2009 Αριθ. Πρωτ.: Γ/ΕΞ/7500/10-12-2009 |
Α Π Ο Φ Α Σ Η 83/2009
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε μετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση την 07.05.2009 στο κατάστημά της, αποτελούμενη από τους Χ. Γεραρή, Πρόεδρο, Λ. Κοτσαλή, Α. Παπανεοφύτου, Α. Πράσσο, Α. Ρουπακιώτη, τακτικά μέλη και Γ. Πάντζιου, αναπληρωματικό μέλος, σε αντικατάσταση του τακτικού μέλους Α. Πομπόρτση, ο οποίος αν και εκλήθη νομίμως και εγγράφως δεν παρέστη λόγω κωλύματος, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Το τακτικό μέλος Α-Ι. Μεταξάς καθώς και το αναπληρωματικό του μέλος Γ. Λαζαράκος, αν και κλήθηκαν νομίμως, δεν παρέστησαν λόγω κωλύματος. Παρόντες χωρίς δικαίωμα ψήφου ήταν οι Κ. Καρβέλη, νομική ελέγκτρια, Γ. Ρουσόπουλος και Α Χρυσάνθου, πληροφορικοί ελεγκτές, ως εισηγητές, και η Μ. Γιαννάκη, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
Στην Αρχή υποβλήθηκαν δέκα (10) καταγγελίες και ερωτήματα σχετικά με τη δραστηριότητα της εταιρείας "CALINO” A.E. (εφεξής Calino) στους τομείς της αζήτητης ηλεκτρονικής επικοινωνίας και της συλλογής και πώλησης προσωπικών δεδομένων. Με την υπ' αριθμ. πρωτ. Γ/ΕΞ/5084/02-10-2008 εντολή του Προέδρου της Αρχής διατάχθηκε η διενέργεια ελέγχου στην επιχείρηση. Ο έλεγχος πραγματοποιήθηκε την 03.10.2008, στα γραφεία της εταιρείας, που βρίσκονται στη λεωφόρο Τατοΐου 362, στις Αχαρνές Αττικής.
Κατόπιν της διενέργειας του ελέγχου συντάχθηκε αρχικό πόρισμα, το οποίο στάλθηκε στην εταιρεία για παρατηρήσεις με το υπ' αριθμ. πρωτ. Γ/ΕΞ/770/04.02.2009 έγγραφο της Αρχής. Η Calino κατέθεσε τις παρατηρήσεις της με το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/1200/23.02.2009. Το πόρισμα του διοικητικού ελέγχου κατατέθηκε στην Αρχή με το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/1840/23.03.2009.
Στο πόρισμα περιγράφεται η λειτουργία της εταιρείας σε θέματα που άπτονται της αρμοδιότητας της Αρχής και επισημαίνονται πέντε (5) συνολικά ευρήματα. Σύμφωνα με όσα αναφέρονται σε αυτό, το προϊόν που απασχολεί την Αρχή είναι το “Hellas Navigator”, το οποίο διαφημίζεται από την εταιρεία με το χαρακτηριστικό τίτλο “Χρυσά Πελατολόγια”. Πρόκειται για ένα επαγγελματικό τηλεφωνικό κατάλογο, ο οποίος συνδυάζει δυνατότητες εντοπισμού διευθύνσεων φυσικών προσώπων πάνω σε ψηφιακό χάρτη με στοιχεία κατοίκων και εταιρειών (τηλέφωνα, διευθύνσεις, διευθύνσεις ηλεκτρονικού ταχυδρομείου, επάγγελμα) για την Ελλάδα και την Κύπρο, τα οποία περιέχονται στον εν λόγω κατάλογο.
Ως ένα μέσο για τη διαφήμιση του ανωτέρω προϊόντος η Calino χρησιμοποιεί την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου και τηλεομοιοτυπίας (FAX). Στο μήνυμα αυτό αναφέρονται ενδεικτικά τα εξής:
“...ΕΠΑΓΓΕΛΜΑΤΙΚΟΣ ΚΟΣΜΟΣ με 900.000 επιχειρήσεις και επαγγελματίες ανά κατηγορία στο γραφείο σας. Αμφίδρομη αναζήτηση. Είναι η μεγαλύτερη βάση της Ελλάδας...
...ΔΙΕΥΘΥΝΣΕΙΣ από 5.500.000 κατοίκους. Είναι καταχωρημένοι κατά: ονοματεπώνυμο – τηλέφωνο – οδό – δήμο – ταχυδρομικό κωδικό...
...Διατίθενται και ΑΝΟΙΧΤΕΣ ΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ (δυνατότητα export) με τους 5.500.000 ιδιώτες και 950.000 επιχειρήσεις...
...Περιλαμβάνονται κατάλογοι με 110.000 ΑΡΙΘΜΟΥΣ FAX & E-MAIL επιχειρήσεων για άμεση επικοινωνία...
...Οι βάσεις είναι 100% απαλλαγμένες και από τα δηλωθέντα απόρρητα τηλέφωνα και από τις πρόσφατες και παλαιότερες εγγραφές όσων έχουν δηλώσει στην Αρχή Προστασίας Προσωπικών Δεδομένων ότι επιθυμούν να μην συμπεριλαμβάνονται σε λίστες...
...αν δεν επιθυμείτε να λαμβάνετε ενημερωτικά email σχετικά με τα προϊόντα μας πατήστε εδώ... ”
Ως διευθύνσεις αποστολής του μηνύματος αναγράφονται μία από τις hnv@otenet.gr, hellasnv@otenet.gr, hnv2@altecnet.gr, hnv1@hol.gr και calino1@ath.forthnet.gr
Τα ευρήματα που επισημαίνονται στο πόρισμα έχουν συνοπτικά ως εξής:
Εύρημα 1ο: Η εταιρεία συλλέγει διευθύνσεις ηλεκτρονικού ταχυδρομείου από σελίδες του διαδικτύου. Στη συνέχεια, οι διευθύνσεις αυτές πωλούνται είτε ως τμήμα ανοικτής βάσης δεδομένων είτε ως τμήμα του εμπορευόμενου από την εταιρεία προϊόντος (Hellas Navigator) και χρησιμοποιούνται ως λίστες αποστολής διαφημιστικού υλικού από τρίτους (τα φυσικά ή νομικά πρόσωπα που τις αγοράζουν). Αφορούν τόσο φυσικά όσο και νομικά πρόσωπα και συλλέγονται με τη χρήση λογισμικού-αράχνης (web crawler) ονόματι larbin. Το λογισμικό αυτό διατρέχει ιστοτόπους που έχουν ηλεκτρονική διεύθυνση (URL) που ανήκει στο Ελληνικό επίπεδο ονομάτων χώρου (domain .gr) και συλλέγει όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που συναντά.
Εύρημα 2ο: Διευθύνσεις ηλεκτρονικού ταχυδρομείου και λοιπά προσωπικά στοιχεία μελών έχουν συλλεχθεί από επαγγελματικές ενώσεις (επιμελητήρια, δικηγορικούς, φαρμακευτικούς, οδοντιατρικούς και ιατρικούς συλλόγους, κλπ), οι οποίοι παρέχουν τα στοιχεία αυτά, είτε επί πληρωμή είτε δωρεάν, με στόχο την προώθηση των δραστηριοτήτων των μελών τους. Άλλη πηγή προέλευσης αποτελούν τα στοιχεία που συλλέγονται από επαγγελματικές εκθέσεις, για παράδειγμα μέσω του εντύπου οδηγού των εκθέσεων που περιέχει τα στοιχεία επικοινωνίας των εκθετών.
Η τακτική της Calino είναι να αποστέλλει επιστολή στους συλλόγους και να αιτείται τη χορήγηση των στοιχείων των μελών τους, ώστε να συμπεριληφθούν στον επαγγελματικό οδηγό. Τα στοιχεία που ζητά είναι επώνυμο ή επωνυμία, όνομα, επάγγελμα, διεύθυνση, τηλέφωνο, fax, e-mail, website, όπως προκύπτει από τις επιστολές που επιδείχτηκαν στους ελεγκτές κατά τη διενέργεια του ελέγχου. Σε αρκετές από τις περιπτώσεις αυτές οι σύλλογοι πωλούσαν τα δεδομένα των μελών τους έναντι αμοιβής. Σε άλλες περιπτώσεις τα στοιχεία συλλέγονται αυτοματοποιημένα από τις ιστοσελίδες των συλλόγων.
Σύμφωνα με τις δηλώσεις των εκπροσώπων της εταιρείας, τα στοιχεία από τις πηγές αυτές καταχωρίζονται και στις λίστες με τις διευθύνσεις ηλεκτρονικού ταχυδρομείου της εταιρείας. Η εταιρεία δεν παρέχει κανενός είδους ενημέρωση προς τα υποκείμενα των δεδομένων, κατά το στάδιο της συλλογής τους από τους φορείς αυτούς.
Εύρημα 3ο: Η εταιρεία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα τα οποία συλλέγει από τον ιστοχώρο http://www.whitepages.gr/ που ανήκει στον ΟΤΕ. Ο ιστοχώρος αυτός παρέχει υπηρεσία καταλόγου των συνδρομητών σταθερής τηλεφωνίας του ΟΤΕ για όλη την Ελλάδα. Από την υπηρεσία αυτή μπορεί κάποιος να αναζητήσει τηλεφωνικούς αριθμούς με βάση τα στοιχεία του ονόματος του συνδρομητή, όπως επίσης και να πραγματοποιήσει αντίστροφη αναζήτηση, δηλαδή να βρει τα στοιχεία του συνδρομητή αναζητώντας τον με βάση τον αριθμό του τηλεφώνου του. Τα στοιχεία του συνδρομητή που εμφανίζονται σε κάθε τέτοια αναζήτηση περιλαμβάνουν: ονοματεπώνυμο, περιοχή, διεύθυνση, αριθμό τηλεφώνου και επάγγελμα (εάν αυτό είναι διαθέσιμο).
Η συλλογή των στοιχείων πραγματοποιείται με αυτοματοποιημένο λογισμικό που εκμεταλλεύεται τη δυνατότητα αντίστροφης αναζήτησης. Το λογισμικό έχει δημιουργήσει η Calino αποκλειστικά για το σκοπό αυτό και μπορεί να προγραμματιστεί ώστε να αναζητήσει σειριακά όλους τους πιθανούς τηλεφωνικούς αριθμούς μιας περιοχής. Με τον τρόπο αυτό, η Calino αντιγράφει ουσιαστικά τον ηλεκτρονικό κατάλογο του ΟΤΕ, συλλέγοντας σειριακά τα στοιχεία των συνδρομητών του.
Στη συνέχεια, τα στοιχεία αυτά εντάσσονται στη βάση δεδομένων του εμπορευόμενου από τη εταιρεία λογισμικού (Hellas Navigator) και συνδυάζονται με τις γεωγραφικές συντεταγμένες που αντιστοιχούν στη διεύθυνση του εκάστοτε συνδρομητή. Η Calino έχει δημιουργήσει εξειδικευμένο λογισμικό για την γεωγραφική απεικόνιση, σε ψηφιακό χάρτη, των διευθύνσεων που έχει συλλέξει. Με τον τρόπο αυτό πραγματοποιείται μια επιπλέον επεξεργασία των δεδομένων που λαμβάνονται από τον ηλεκτρονικό κατάλογο του ΟΤΕ, καθώς, στην πράξη, σε κάθε δεδομένο διεύθυνσης αντιστοιχίζονται οι συντεταγμένες του στο χάρτη. Με τη συσχέτιση αυτή δίδεται η δυνατότητα περαιτέρω αναζήτησης στα δεδομένα του καταλόγου, με βάση πια και τη γεωγραφική πληροφορία. Για παράδειγμα, μέσω του λογισμικού Hellas Navigator, μπορεί κάποιος να σχεδιάσει μια γεωγραφική περιοχή πάνω στο χάρτη (πχ. με βάση τα γεωγραφικά όρια μιας ενορίας) και να βρει τα στοιχεία των κατοίκων και των επαγγελματιών της περιοχής αυτής. Η λειτουργία αυτή δεν είναι δυνατό να πραγματοποιηθεί μέσω της αναζήτησης στον ηλεκτρονικό κατάλογο του ΟΤΕ και είναι αποτέλεσμα της συσχέτισης των συλλεγόμενων στοιχείων με γεωγραφικά δεδομένα.
Εύρημα 4ο: Κατά τη διενέργεια του ελέγχου διαπιστώθηκε ότι η εταιρεία αποστέλλει διαφημιστικά e-mail στη λίστα των ηλεκτρονικών διευθύνσεων που έχει συλλέξει με τον τρόπο που περιγράφεται στα ευρήματα 1 και 2. Σκοπός των e-mail αυτών είναι να διαφημιστούν τα προϊόντα της εταιρείας. Επίσης διαπιστώθηκε ότι αποστέλλονται και διαφημιστικά FAX για τον ίδιο σκοπό.
Στο περιεχόμενο των διαφημιστικών μηνυμάτων αναφέρονται τα στοιχεία επικοινωνίας της εταιρείας καθώς και ηλεκτρονικές διευθύνσεις και τηλέφωνα, στα οποία οι παραλήπτες μπορούν να ζητήσουν τον τερματισμό της αζήτητης επικοινωνίας. Όπως εξηγήθηκε στους ελεγκτές από τους εκπροσώπους της εταιρείας, η διαδικασία διαγραφής παραλήπτη από τη λίστα παραληπτών της εταιρείας συνίσταται στην ένταξη σε κατάλληλο κατάλογο της διεύθυνσης ηλεκτρονικού ταχυδρομείου ή του αριθμού FAX οποιουδήποτε παραλήπτη ζητήσει να μη λαμβάνει ενημερωτικά μηνύματα ή κλήσεις. Ο κατάλογος αυτός χρησιμεύει ώστε η διεύθυνση ηλεκτρονικού ταχυδρομείου ή ο αριθμός FAX του εκάστοτε μη ενδιαφερόμενου παραλήπτη να μην συμπεριλαμβάνεται στο μέλλον στις διευθύνσεις που συλλέγει και διαβιβάζει η Calino. Ουσιαστικά η εταιρεία χρησιμοποιεί σύστημα opt-out για την αποστολή των μηνυμάτων, δηλαδή αποστέλλει μηνύματα χωρίς την προηγούμενη συγκατάθεση των συνδρομητών, αλλά διαγράφει τους συνδρομητές από τα αρχεία της, σε περίπτωση που αυτοί εναντιωθούν στην επεξεργασία.
Εύρημα 5ο: Κατά τη διενέργεια του ελέγχου διαπιστώθηκε ότι η εταιρεία έχει πωλήσει τους ηλεκτρονικούς της καταλόγους στην κυβέρνηση των Η.Π.Α. Συγκεκριμένα, αναφέρθηκε στους ελεγκτές, ως στοιχείο ένδειξης της σοβαρότητας και της αξιοπιστίας της επιχείρησης, ότι στους πελάτες συμπεριλαμβάνεται και η κυβέρνηση των Η.Π.Α. Το γεγονός αυτό περιλαμβάνεται και στο διαφημιστικό μήνυμα της εταιρείας. Στους ελεγκτές επιδείχθηκε σειρά από μηνύματα που οδήγησαν στην σύναψη συμφωνίας μεταξύ της εταιρείας και της κυβέρνησης των Η.Π.Α. (United States Government, Department of State, Office of Acquisition) και δόθηκε αντίγραφο της συμφωνίας αυτής.
Από το αντίγραφο αυτό προκύπτει ότι η Calino προχώρησε τον Ιανουάριο του 2004 σε σύναψη σύμβασης ύψους 170.000 δολλαρίων ΗΠΑ. Από τη σύμβαση προκύπτει ότι δόθηκαν στην κυβέρνηση των ΗΠΑ σύνολα δεδομένων που αποτελούνται από ψηφιακούς χάρτες της Αθήνας και της Θεσσαλονίκης και τη βάση δεδομένων τηλεφώνων της Ελλάδας, καθώς και λογισμικό για την αναζήτηση και εύρεση στοιχείων από αυτά τα σύνολα δεδομένων. Σύμφωνα με όσα αναφέρονται στη σύμβαση, η κυβέρνηση των ΗΠΑ είχε τη δυνατότητα να χρησιμοποιήσει και να επεκτείνει τα σύνολα δεδομένων αυτά και να τα αντιγράψει σε πολλαπλά αντίτυπα για τις υπηρεσίες της.
Η εταιρεία κλήθηκε νομίμως σε ακρόαση ενώπιον της Αρχής στη συνεδρίαση της 09.04.2009 για να δώσει περαιτέρω διευκρινίσεις και να εκθέσει τις απόψεις της. Κατά την παρουσία της στη συνεδρίαση της Αρχής έλαβε προθεσμία και κατέθεσε συμπληρωματικό υπόμνημα με το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/2582/24.04.2009 έγγραφο.
Η Αρχή, αφού άκουσε τους εισηγητές της υπόθεσης και έλαβε υπόψη όλα τα στοιχεία του φακέλου, μετά και από διεξοδική συζήτηση,
ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Όπως ορίζεται στο άρθρο 4, παρ. 1, εδ. α' του Ν. 2472/1997 τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών. Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου αποτελούν δεδομένα προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 2 στοιχ. α' του Ν. 2472/1997, όταν ανήκουν σε φυσικά πρόσωπα. Στην προκειμένη περίπτωση, όπως προκύπτει από το υπ’ αριθμ. 1 εύρημα, πραγματοποιείται συλλογή διευθύνσεων από ιστοσελίδες, όπου το υποκείμενο των δεδομένων έχει ανακοινώσει τα στοιχεία του για τελείως διαφορετικό σκοπό, για παράδειγμα για την αποστολή μηνυμάτων επικοινωνίας για προσωπικούς σκοπούς ή για τη συμμετοχή του σε ομάδες συζήτησης. Το αυτόματο λογισμικό έχει ρυθμιστεί έτσι ώστε να μην κάνει καμία διάκριση των διευθύνσεων που συλλέγει με κριτήριο το σκοπό της δημοσίευσης τους, συλλέγοντας όλα τα στοιχεία τα οποία συναντά. Επομένως, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου, που συλλέγονται με τον τρόπο αυτό, δεν συλλέγονται με τρόπο θεμιτό και νόμιμο, για καθορισμένους και νόμιμους σκοπούς και δεν υφίστανται θεμιτή και νόμιμη επεξεργασία εν όψει των σκοπών αυτών, κατά παράβαση της προαναφερθείσας διάταξης του Ν. 2472/1997. Η άποψη αυτή ενισχύεται από το γεγονός ότι το έννομο συμφέρον που επιδιώκει ο υπεύθυνος επεξεργασίας ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα δεν υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς προκαλείται σημαντική όχληση στους αποδέκτες των μηνυμάτων αλλά και πιθανά επιπρόσθετο κόστος από τη χρήση υπηρεσιών διαδικτύου για την ανάγνωση των μηνυμάτων. Έτσι, όσον αφορά στη συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου χωρίς τη συγκατάθεση του υποκείμενου, δεν μπορεί να έχει εφαρμογή η διάταξη του άρθρου 5, παρ. 2 ε' του Ν. 2472/1997. Επισημαίνεται ότι η Ομάδα Εργασίας του άρθρου 29 της οδηγίας 95/46/ΕΚ έχει παρουσιάσει, αναλυτικά, το σκεπτικό αυτό στο έγγραφο εργασίας υπ’ αριθμ. 37/21.11.2000 (σελ. 37, 38 και43, 44), ενώπαρόμοιαπαρουσίασηβρίσκεταικαιστοβιβλίοRegulating Spam, A European Perspective after the Adoption of the E-Privacy Directive (κεφάλαιο4, Harvesting, σελίδες67-79). Επομένως, το αρχείο που έχει δημιουργήσει η Calino, με την τεχνική που περιγράφεται στο εύρημα υπ’ αριθμ. 1 του πορίσματος, παραβιάζει τις διατάξεις των άρθρων 4, 5 παρ. 2 του ν. 2472/1997 και τα στοιχεία του πρέπει να καταστραφούν. Καθώς το αρχείο αυτό έχει διαβιβασθεί σε απροσδιόριστο αριθμό πελατών της εταιρείας, είναι προς το συμφέρον των υποκειμένων της επεξεργασίας να ενημερωθούν όλοι όσοι αγόρασαν το αρχείο αυτό ώστε να προβούν σε διαγραφή των δεδομένων που έχουν συλλεγεί παράνομα. Η πλήρης άρση της παράβασης μπορεί να επιτευχθεί μόνο με τη διαγραφή των στοιχείων από όλα τα πωληθέντα αντίγραφα.
2. Όπως ορίζει το άρθρο 11 παρ. 1 του Ν. 2472/1997 «Ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδομένων προσωπικού χαρακτήρα, να ενημερώνει με τρόπο πρόσφορο και σαφή το υποκείμενο για τα εξής τουλάχιστον στοιχεία: α. την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου του, β. τον σκοπό της επεξεργασίας, γ. τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων, δ. την ύπαρξη του δικαιώματος πρόσβασης.». Όπως προκύπτει από το εύρημα υπ’ αριθμ. 2, ο υπεύθυνος επεξεργασίας δεν φροντίζει σε κανένα σημείο για την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων κατά το στάδιο της συλλογής τους. Είναι αληθές ότι ο σκοπός που επιδιώκει η Calino, δηλαδή το οικονομικό συμφέρον για τη δημιουργία της εφαρμογής καταλόγου επαγγελματικών διευθύνσεων, συμβαδίζει καταρχήν με το επαγγελματικό συμφέρον των υποκειμένων για την ευχερέστερη αναζήτηση των στοιχείων τους από το κοινό. Έτσι, για τη χρήση των στοιχείων που λαμβάνονται από τους επαγγελματικούς φορείς και τις επαγγελματικές εκθέσεις δεν απαιτείται, σύμφωνα με το άρθρο 5 παρ. 2 στοιχ. ε' του Ν. 2472/1997, νέα συγκατάθεση των υποκειμένων των δεδομένων, αλλά αρκεί η προηγούμενη ενημέρωση αυτών σύμφωνα με τα οριζόμενα στο άρθρο 11 παρ. 1 του Ν. 2472/1997. Στην προκειμένη όμως περίπτωση, η ενημέρωση αυτή θα έπρεπε να είχε διενεργηθεί μέσω ατομικής επιστολής με την οποία να παρέχεται ικανό χρονικό διάστημα για την άσκηση του δικαιώματος αντίρρησης, καθώς τα στοιχεία διεύθυνσης είναι διαθέσιμα στην Calino και ο τρόπος αυτός αποτελεί τον προσφορότερο και ασφαλέστερο προκειμένου να ικανοποιηθούν τα δικαιώματα όλων των υποκειμένων της επεξεργασίας. Επομένως, κατά παράβαση του άρθρου 11 παρ. 1 του ν. 2472/97, έγινε συλλογή των παραπάνω στοιχείων από καταλόγους επαγγελματικών ενώσεων. Περαιτέρω παρατηρείται ότι οι διάφορες επαγγελματικές ενώσεις οφείλουν, κατά το στάδιο συλλογής των δεδομένων, να ενημερώνουν τα υποκείμενα για τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων. Η Αρχή κρίνει ότι πρέπει με την επιμέλεια των εισηγητών της υποθέσεως να ενημερωθούν οι επαγγελματικές ενώσεις για την υποχρέωσή τους αυτή.
3. Στο άρθρο 10, παρ. 4 του Ν. 3471/2006 ορίζεται ότι «Τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε δημόσιο κατάλογο επιτρέπεται να υπόκεινται σε επεξεργασία μόνο για τους σκοπούς για τους οποίους έχουν συλλεγεί. Όταν τα δεδομένα αυτά διαβιβάζονται σε τρίτους, ο συνδρομητής θα πρέπει να ενημερώνεται, πριν από τη διαβίβαση, για αυτή τη δυνατότητα και για τον παραλήπτη ή για τις κατηγορίες των πιθανών παραληπτών, να έχει δε την ευκαιρία να αντιταχθεί στη διαβίβαση. Για τη χρησιμοποίηση των δεδομένων αυτών για άλλο σκοπό, είτε από τον φορέα είτε από τρίτο, απαιτείται εκ νέου η ρητή συγκατάθεση του συνδρομητή...». Στην προκειμένη περίπτωση, όπως περιγράφεται στο υπ’ αριθμ. 3 εύρημα του πορίσματος, η Calino συλλέγει προσωπικά δεδομένα από δημόσια προσβάσιμη πηγή, δηλαδή τον κατάλογο συνδρομητών του ΟΤΕ. Τα δεδομένα αυτά υπόκεινται σε επιπλέον επεξεργασία, καθώς συνδυάζονται με γεωγραφική πληροφορία, και δημοσιεύονται με τη μορφή του λογισμικού Hellas Navigator, δηλαδή με τη μορφή προηγμένου ηλεκτρονικού καταλόγου με χάρτη. Με τον τρόπο αυτό βελτιώνεται η ποιότητα των δεδομένων, καθώς είναι δυνατή η παροχή προηγμένων υπηρεσιών αναζήτησης προσωπικών δεδομένων. Η προηγμένη λειτουργία αναζήτησης συνίσταται στο γεγονός ότι ο χρήστης του εν λόγω λογισμικού δύναται να αναζητήσει τα στοιχεία συνδρομητών του ΟΤΕ και με βάση γεωγραφικά δεδομένα. Σε έναν απλό τηλεφωνικό κατάλογο θα μπορούσε να αναζητήσει τα στοιχεία του εκάστοτε συνδρομητή μόνο με βάση συγκεκριμένα στοιχεία (όνομα συνδρομητή, τηλέφωνο, διεύθυνση) και σε πιο περιορισμένη κλίμακα. Ο σκοπός που επιδιώκει ο υπεύθυνος επεξεργασίας, με την παροχή δυνατότητας γεωγραφικής αναζήτησης των προσωπικών δεδομένων όσων περιλαμβάνονται στους καταλόγους συνδρομητών, είναι η πώληση του ηλεκτρονικού καταλόγου για την πραγματοποίηση γεωγραφικά στοχευμένων διαφημιστικών ενεργειών από τον εκάστοτε αγοραστή. Ο εκάστοτε αγοραστής δύναται να δημιουργήσει στοχευμένες ομάδες διαφήμισης (πχ. όλοι οι ηλεκτρολόγοι μιας γεωγραφικής περιοχής) και να διαφημίσει τα προϊόντα του με βάση το είδος του αγοραστικού κοινού, το οποίο έχει επιλέξει. Συνεπώς, ο σκοπός της επεξεργασίας διαφοροποιείται από αυτόν ενός καταλόγου συνδρομητών και ως εκ τούτου, κατά παράβαση του άρθρου 10 παρ. 4 του ν. 3471/2006 η εταιρεία CALINO δημιούργησε αρχείο από τους συνδρομητές του ΟΤΕ.
4. Στο άρθρο 11 παρ. 1 του Ν. 3471/2006 αναφέρεται ότι «η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, με ή χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς». Από το διενεργηθέντα έλεγχο (εύρημα υπ’ αριθμ. 4), έγινε σαφές ότι η Calino δεν εξασφαλίζει τη συγκατάθεση των συνδρομητών πριν την αποστολή των διαφημιστικών της μηνυμάτων μέσω ηλεκτρονικού ταχυδρομείου ή τηλεομοιοτυπίας. Η εταιρεία συμπεριλαμβάνει στο μήνυμα τρόπο εναντίωσης στη συνέχιση της αποστολής διαφημιστικών μηνυμάτων, αλλά η ενέργεια αυτή δεν την απαλλάσσει από την υποχρέωση λήψης συγκατάθεσης των συνδρομητών. Η αποστολή πραγματοποιείται σε όλη τη λίστα διευθύνσεων ηλεκτρονικού ταχυδρομείου και αριθμών τηλεομοιοτυπίας και όχι μόνο σε όσους είχαν κάποια προηγούμενη συναλλαγή μαζί της, οπότε και θα ίσχυε η εξαίρεση της παρ. 3 του ανωτέρω άρθρου. Συνεπώς η Αρχή αποφαίνεται ότι η Calino παραβιάζει συστηματικά την προαναφερθείσα διάταξη, όπως τούτο επιβεβαιώνεται από τις προαναφερθείσες καταγγελίες.
5. Στο άρθρο 9 παρ. 2 του Ν. 2472/1997 ορίζεται ότι «η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς χώρα που δεν ανήκει στην Ευρωπαϊκή ΄Ένωση και η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, επιτρέπεται κατ’ εξαίρεση, με άδεια της Αρχής..». Από το εύρημα υπ’ αριθμ. 5 προκύπτει ότι η Calino πώλησε ηλεκτρονικά αρχεία με προσωπικά δεδομένα (ονόματα, διευθύνσεις και τηλέφωνα) σε κυβερνητική υπηρεσία των ΗΠΑ. Η ενέργεια αυτή αποτέλεσε διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρα εκτός Ευρωπαϊκής Ένωσης. Η εν λόγω διαβίβαση πραγματοποιήθηκε προς χώρα η οποία δεν περιλαμβάνεται σε αυτές, για τις οποίες η Ευρωπαϊκή Επιτροπή έχει αποφανθεί ότι εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας. Για τη διαβίβαση αυτή δεν είχε προηγηθεί γνωστοποίηση ή αίτηση για άδεια, ούτε, φυσικά, υπήρξε άδεια της Αρχής. Συνεπώς η διαβίβαση αυτή πραγματοποιήθηκε κατά παράβαση του προαναφερθέντος άρθρου.
6. Με δεδομένο ότι η εταιρεία CALINO υπέπεσε, κατά τα προαναφερόμενα, σε αυτοτελείς παραβάσεις διατάξεων της κείμενης νομοθεσίας, η Αρχή κρίνει ότι πρέπει να επιβληθούν αντίστοιχες κυρώσεις.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή
Επιβάλει στην εταιρεία CALINO Α.Ε., που αποτελεί τον υπεύθυνο επεξεργασίας για τις περιγραφόμενες στο πόρισμα διοικητικού ελέγχου επεξεργασίες, τις πιο κάτω διοικητικές κυρώσεις:
1. Πρόστιμο ποσού είκοσι πέντε χιλιάδων ευρώ (25.000) για την παραβίαση του άρθρου 4, παρ. 1, εδ. α' του Ν. 2472/1997 που συντελείται με την παράνομη επεξεργασία διευθύνσεων ηλεκτρονικού ταχυδρομείου. Επίσης, η Αρχή διατάσσει την καταστροφή του εν λόγω αρχείου και υποχρεώνει τον υπεύθυνο επεξεργασίας να ενημερώσει, εγγράφως, όλους τους πελάτες του ότι η τήρηση του αρχείου αυτού είναι παράνομη. Η καταστροφή του εν λόγω αρχείου από την Calino συνίσταται στην καταστροφή τόσο της λίστας διευθύνσεων ηλεκτρονικού ταχυδρομείου της Calino, οι οποίες δεν έχουν αποκτηθεί με νόμιμο τρόπο, όσο και στη διαγραφή όλων των διευθύνσεων ηλεκτρονικού ταχυδρομείου από το προϊόν Hellas Navigator. Ο υπεύθυνος επεξεργασίας οφείλει, εντός δεκαπέντε ημερών από τη λήψη της απόφασης, να προσκομίσει στην Αρχή κατάλογο με τους πελάτες που αγόρασαν τη λίστα διευθύνσεων ηλεκτρονικού ταχυδρομείου καθώς και αντίγραφο της επιστολής ενημέρωσης προς αυτούς.
2. Πρόστιμο ποσού πέντε χιλιάδων ευρώ (5.000) για την παραβίαση του άρθρου 11 παρ. 1 του Ν. 2472/1997 που αφορά στη μη παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων για τη συλλογή που πραγματοποιείται από επαγγελματικές ενώσεις και επαγγελματικούς οδηγούς. Η Αρχή κοινοποιεί την παρούσα απόφαση στις επαγγελματικές ενώσεις ενημερώνοντας τους κατ’ αυτόν τον τρόπο ότι υποχρεούνται να ενημερώνουν τα μέλη τους (υποκείμενα των δεδομένων) για τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων που συλλέγουν από αυτά.
3. Προειδοποίηση για την παράβαση του άρθρου 10, παρ. 4 του Ν. 3471/2006. Η εταιρεία οφείλει να τροποποιήσει τον ηλεκτρονικό οδηγό που εκδίδει και να επιτρέπει τη γεωγραφική αναζήτηση μόνο σε όσους συνδρομητές τηλεφωνίας έχουν δώσει εκ νέου τη συγκατάθεση τους για χρήση των δεδομένων τους στο πλαίσιο της δυνατότητας γεωγραφικής αναζήτησης.
4. Πρόστιμο ποσού είκοσι πέντε χιλιάδων ευρώ (25.000) για την παραβίαση του άρθρου 11 παρ. 1 του Ν. 3471/2006 για την αποστολή διαφημιστικών μηνυμάτων ηλεκτρονικού ταχυδρομείου και τηλεομοιοτυπίας (FAX), χωρίς τη συγκατάθεση των συνδρομητών.
5. Πρόστιμο ποσού δέκα χιλιάδων ευρώ (10.000) για την παράβαση του άρθρου 9 παρ. 2 του Ν. 2472/1997 που συντελέστηκε με την παράνομη διαβίβαση δεδομένων σε χώρα εκτός Ε.Ε.
Ο Πρόεδρος |
Η Γραμματέας |
Χ. Γεραρής |
Μ. Γιαννάκη |
Πηγή: http://www.dpa.gr