Σας ενοχλούν εταιρίες στις οποίες δεν έχετε δώσει τα στοιχεία σας; Το τηλέφωνο και η διεύθυνση σας υπάρχουν σε τηλεφωνικούς καταλόγους; Καταγράφονται κλήσεις σας, χωρίς λόγο;
Τώρα όλα αυτά θα πληρώνονται ακριβά! Διαβάστε τι αλλάζει στη νομοθεσία.
Ο παγκόσμιος σάλος που ξέσπασε μετά την αποκάλυψη της χρήσης προσωπικών δεδομένων 50.000.000 χρηστών του Facebook, από εταιρία που ήθελε να αναλάβει την προεκλογική καμπάνια του Donald Trump μας έκανε να αναρωτηθούμε για τη σχετική νομοθεσία που υπάρχει στην Ελλάδα. Μάθαμε ότι έρχονται αλλαγές, που θέτουν τις επιχειρήσεις προ των ευθυνών τους με το μόνο -ίσως- τρόπο που καταλαβαίνουν: τα πολύ αυστηρά πρόστιμα.
Νομοθεσία για τα προσωπικά δεδομένα ή πιο ορθά για τα δεδομένα προσωπικού χαρακτήρα, υπάρχει στην Ευρώπη από το 1995 και στην Ελλάδα από το 1997. Η βασική αρχή είναι πως ουδείς έχει το δικαίωμα να χρησιμοποιεί στοιχεία που έχουμε δώσει σε συγκεκριμένη επιχείρηση, για συγκεκριμένο σκοπό για άλλους λόγους, χωρίς τη ρητή, ειδική και σαφή συγκατάθεση μας.
Γεγονός που σημαίνει πως ουδείς έχει το δικαίωμα να μας απασχολεί στο προσωπικό μας τηλέφωνο (ή email), εφόσον δεν αφορά κάτι για το οποίο δεν έχουμε δώσει τη συναίνεση μας. Και αν ενημερώσουμε ότι δεν επιθυμούμε περαιτέρω ενόχληση, οφείλουν να διαγράψουν τα στοιχεία μας από τις λίστες τους. Θα μας πείτε «αυτό δεν συμβαίνει». Θα σας απαντήσουμε πως από τις 25/5 του 2018 αλλάζουν τα δεδομένα. Γεγονός που έχει να κάνει με τον ευρωπαϊκό κανονισμό (2016/679), γνωστό και ως Γενικός Κανονισμός για την Προστασία των Δεδομένων (General Data Protection Regulation), που θα τεθεί σε εφαρμογή στη χώρα μας, εκείνη την ημέρα.
Αυτό που αλλάζει είναι ότι δίνει, κάποια, περισσότερα δικαιώματα στα υποκείμενα, επικαιροποιεί και αυστηροποιεί το πλαίσιο και -κυρίως- αυξάνει δραματικά τα πρόστιμα που πια θα φτάνουν στα 20.000.000 ευρώ ή το 4% του παγκοσμίου τζίρου μιας εταιρίας.
Άρα, αν τυχόν σας ενοχλούν, χωρίς τη συγκατάθεση σας, με μια αγωγή όλα θα λύνονται. Πάμε όμως, να δούμε κάποια παραδείγματα… βγαλμένα από τη ζωή, με τη βοήθεια του δικηγόρου Νικόλαου Νικολαΐδη, ειδικού επί των προσωπικών δεδομένων. Θα αρχίσουμε από τα βασικά.
Τι είναι τα προσωπικά δεδομένα
Οποιαδήποτε πληροφορία αφορά ένα φυσικό -και μόνο- πρόσωπο. Δηλαδή, όνομα, επίθετο, ηλικία, επάγγελμα, οικογενειακή κατάσταση, διεύθυνση, ΑΦΜ, αριθμός τηλεφώνου, ΑΜΚΑ κλπ. “Το άτομο (φυσικό πρόσωπο) στο οποίο αναφέρονται τα δεδομένα ονομάζεται “υποκείμενο των δεδομένων” όπως μπορείτε να διαβάσετε στην ιστοσελίδα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Ποια είναι τα “ευαίσθητα προσωπικά δεδομένα”
Χαρακτηρίζονται αυτά που αναφέρονται στη στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία του, στην κοινωνική πρόνοια, στην ερωτική ζωή, τις ποινικές διώξεις και καταδίκες. Προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από αυτές που υπάρχουν για τα απλά προσωπικά δεδομένα.
Τι σημαίνει “επεξεργασία προσωπικών δεδομένων”
Είναι κάθε εργασία που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή η αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση, η διαγραφή και η καταστροφή. Κάθε φυσικό ή νομικό πρόσωπο του δημόσιου ή ιδιωτικού τομέα που τηρεί και επεξεργάζεται προσωπικά δεδομένα ονομάζεται “υπεύθυνος επεξεργασίας”.
Ποια είναι η νομοθεσία
Ο νόμος 2472/97 έβαλε την ιστορία σε ένα συγκεκριμένο πλαίσιο. Σύμφωνα με αυτό, οι βασικές αρχές που διέπουν την συλλογή και επεξεργασία δεδομένων είναι οι εξής:
1) Τα προσωπικά δεδομένα πρέπει να συλλέγονται για νόμιμο σκοπό και να υφίστανται θεμιτή επεξεργασία,
2) πρέπει να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτούνται για να επιτευχθεί ο σκοπός της επεξεργασίας,
3) να είναι ακριβή, να υποβάλλονται σε ενημέρωση και να διατηρούνται μόνο για όσο καιρό απαιτείται.
Παράδειγμα: «Αν έχω γραφείο λογιστικής και θέλω να προσλάβω έναν γραμματέα, δεν δικαιούμαι να του ζητήσω DNA τεστ ή ποινικό μητρώο, γιατί αυτά τα δεδομένα- που είναι και ευαίσθητα- δεν έχουν να κάνουν σε τίποτα με το σκοπό της συλλογής και επεξεργασίας, δηλαδή την πρόσληψη στο λογιστικό γραφείο. Έχω δικαίωμα όμως, να ζητήσω τους τίτλους σπουδών του υποψηφίου ή την διεύθυνση του, αφού αυτά σχετίζονται με την αξιολόγηση της πρόσληψης του. Αν δεν προσλάβω κάποιον και μου έχει στείλει το βιογραφικό, δεν μπορώ να το κρατήσω πέντε χρόνια. Εκτός και αν μου έχει δώσει συγκατάθεση (να μου έχει πει “κράτα το για ένα χρόνο μήπως ανοίξει θέση”). Αρμόδια για την εφαρμογή του νόμου είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα».
Η μαγική λέξη είναι η συγκατάθεση. Τι καθιστά νόμιμη την επεξεργασία προσωπικών δεδομένων; Η συγκατάθεση, (πλην ειδικών περιπτώσεων που μπορεί ακόμη και αυτή να μην επαρκεί).
Ποιες είναι οι προβλεπόμενες κυρώσεις
Σε περίπτωση χρήσης απλών προσωπικών δεδομένων από οποιονδήποτε δεν έχει τη συγκατάθεση μας, «προβλέπονται πρόστιμα που επιβάλλονται από την Αρχή. Σε κάποιες περιπτώσεις υπάρχει και ποινική ευθύνη. Αυτή αφορά κυρίως τα ευαίσθητα προσωπικά δεδομένα. Κατόπιν υπάρχει η δυνατότητα άσκησης αγωγής αποζημίωσης, για παράνομη επεξεργασία προσωπικών δεδομένων και εφόσον συνιστά και ποινικό αδίκημα, προχωρούμε στη μήνυση. Υπάρχει και η επιλογή των ασφαλιστικών μέτρων». Όλα αυτά ισχύουν και σήμερα.
Το δεδικασμένο της Google
Tα «βασικά δικαιώματα του υποκειμένου των δεδομένων» είναι αυτά της πρόσβασης, της ενημέρωσης και της εναντίωσης (πχ “θέλω να σταματήσετε”) της αναθεώρησης. Αυτά υπάρχουν και σήμερα. Με το νέο κανονισμό αναγνωρίζεται το δικαίωμα στη ψηφιακή λήθη: να σβήσουν τα δεδομένα σου από παντού.
Βασίζεται στην απόφαση που πήρε το Ευρωπαϊκό Δικαστήριο, την Τρίτη 13 Μαΐου του 2014, όταν υποχρέωσε την Google να διαγράφει προσωπικά δεδομένα πολιτών, εφόσον αυτό επιθυμούν. Η υπόθεση είχε αρχίσει το 2001, όταν η Αρχή Προστασίας Προσωπικών Δεδομένων της Ισπανίας είχε διατάξει τη Google να αφαιρέσει ηλεκτρονικούς συνδέσμους, σε περισσότερα από 100 δημοσιευμένα -στο διαδίκτυο- άρθρα, τα οποία θεωρήθηκαν ως “δυνητικά δυσφημιστικά”. Το δικαστήριο έκρινε ότι, σύμφωνα με την ευρωπαϊκή νομοθεσία, οι πολίτες έχουν το δικαίωμα να διαχειρίζονται οι ίδιοι τα προσωπικά τους δεδομένα, ιδίως αν δεν είναι δημόσια πρόσωπα. Αν οι ίδιοι επιθυμούν, να διαγραφούν από τα αποτελέσματα των μηχανών αναζήτησης στο Διαδίκτυο, έχουν το δικαίωμα να το ζητήσουν, ακόμα και αν οι πληροφορίες έχουν αναρτηθεί νομίμως. Θεσπίζεται επίσης το δικαίωμα φορητότητας δεδομένων. Για παράδειγμα, αν θέλουμε να αλλάξουμε πάροχο ρεύματος και ζητήσουμε τη μεταφορά προσωπικών δεδομένων, η πρώην εταιρία οφείλει να υπακούσει.
Πάμε σε κάποιες από τις στιγμές που ζούμε όλοι -ενδεχομένως και καθημερινά
Επειδή τελικά, όλα είναι βγαλμένα από τη ζωή, ρώτησα τον κ. Νικολαΐδη για κάποιες από τις εμπειρίες που μου έχουν προσφέρει α) μια εταιρία κινητής τηλεφωνίας β) το επαγγελματικό σωματείο μου και γ)… τον αριθμό τηλεφώνου του σπιτιού μου που απασχολούν πολλοί, στους οποίους δεν έχω δώσει ποτέ τα στοιχεία μου.
Τα ψιλά γράμματα που τώρα γίνονται κεφαλαία και bold
Είχα φτάσει κοντά στο εγκεφαλικό, όταν είχα μπει σε πενταψήφιο τηλεφωνικό κατάλογο, αναζήτησα το όνομα μου και μου έδωσε όχι μόνο το τηλέφωνο του σπιτιού, αλλά και τη διεύθυνση στην οποία μένω. Αυτομάτως, πήρα την εταιρία στην οποία άνηκε το συγκεκριμένο πενταψήφιο. Μίλησα με… το μηχάνημα έως ότου μίλησα και με άνθρωπο, για να απαιτήσω την εξαφάνιση των στοιχείων. Με ενημέρωσε ότι “πιθανότατα τα έχει διαθέσει ο πάροχος σας”.
Η πίεση είχε ανέβει σε επίπεδα που ένιωθα ζάλη, όπως πληκτρολογούσα το τηλέφωνο του παρόχου. Μίλησα -ξανά- με τη μηχανή, πριν μιλήσω και με άνθρωπο. Ρώτησα με ποιο δικαίωμα παραχώρησαν τα στοιχεία μου και εφόσον είχαν δώσει αριθμό και διεύθυνση, τι τους σταμάτησε από το να δώσουν αριθμό ταυτότητας και ΑΦΜ. Από την άλλη άκρη της γραμμής άκουσα πως “μήπως δεν ενημερώσατε ότι δεν θέλατε να δοθούν τα προσωπικά δεδομένα;” για να πω “μήπως δεν με ρωτήσατε ποτέ;” και μάθω ότι μέχρι και πριν πέντε χρόνια δεν γινόταν καν η σχετική ερώτηση.
Αναγνωριζόταν το δικαίωμα της κάθε εταιρίας να κάνει ό,τι θέλει με τα στοιχεία μας, μέσα στο πεντασέλιδο που υπογράφαμε για το συμβόλαιο -και υποψιάζομαι πως ελάχιστοι διαβάζαμε. Προφανώς αυτό έχει αλλάξει τα τελευταία χρόνια, γιατί προφανώς και οι εταιρίες γνωρίζουν πολύ καλά πως αν τυχόν δώσουν στοιχεία που έχουμε παραχωρήσει για συγκεκριμένη χρήση, χωρίς τη συγκατάθεση μας, θα έλθουν αντιμέτωπες με την αγωγή μας.
“Η συγκατάθεση πρέπει να είναι ρητή, ειδική και σαφής” λέει ο κ. Νικολαΐδης προσθέτοντας ότι “πλέον στις σελίδες με τους όρους, οι έξυπνοι ΙΤ που ‘χουν έξυπνους δικηγόρους έχουν δημιουργήσει ένα σύστημα που σε υποχρεώνει να πας από σελίδα σε σελίδα μέχρι το τέλος του κειμένου που πρέπει να υπογράψεις -δεν μπορείς να κάνεις page down, “τικ” και να τελειώνεις-, ξεκάθαρα για νομικούς λόγους (ώστε να δείξει αυτός που έχει το όποιο site πως κάνει ό,τι μπορεί για να εξασφαλίσει την αποτελεσματικότερη ενημέρωση του υποκειμένου των δεδομένων). Οι εταιρίες οφείλουν να ρωτούν πριν κάνουν οτιδήποτε που αφορά τα προσωπικά δεδομένα”.
Άπαξ και τσεκάρετε το status σας στους πενταψήφιους τηλεφωνικούς καταλόγους και διαπιστώσετε πως υπάρχει και το τηλέφωνο και η διεύθυνση (ή ένα από τα δύο), μπορείτε να ενημερώσετε με email τον πάροχο και την Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πως επιθυμείτε την άμεση διαγραφή. Αυτό για να μη χρεώνεστε με τηλεφωνήματα. Αν πάλι, κάνετε το τηλέφωνο στο πενταψήφιο, μπορείτε να ενημερώσετε πως δεν διατίθεστε να πληρώσετε την κλήση -που έγινε για λόγους που δεν αφορούσαν δικό σας λάθος. Έτσι κι αλλιώς, η κλήση σας καταγράφεται. Πάμε λοιπόν, σε αυτό το κεφάλαιο.
Η κλήση σας καταγράφεται
“Η καταγραφή επιτρέπεται μόνο όταν πραγματοποιείται, κατά τη διάρκεια νόμιμης επαγγελματικής πρακτικής, με σκοπό την παροχή αποδεικτικών στοιχείων εμπορικής συναλλαγής ή άλλης επικοινωνίας επαγγελματικού χαρακτήρα. Φυσικά, προϋποθέτει τη συγκατάθεση και των δυο πλευρών” διευκρινίζει ο κ. Νικολαΐδης. Γεγονός που σημαίνει πως “με το που μας καλούν, πρέπει να μας λένε ονοματεπώνυμο, το σκοπό για τον οποίον γίνεται η κλήση και μετά ότι καταγράφεται, πριν φτάσουν στο “δέχεστε;”. Αν πούμε “όχι”, η διαδικασία τελειώνει εκεί. Αν προσθέσουμε “δεν θέλω να με ξαναενοχλήσετε” είναι υποχρεωμένοι να προχωρήσουν σε διαγραφή των στοιχείων μας».
Αν σας καταγράφουν χωρίς συναλλαγή είναι παράνομο
Υπάρχει η περίπτωση που ακούμε από την άλλη άκρη της γραμμής πως “καταγράφεται η κλήση για την ασφαλή και την ποιοτική εξυπηρέτηση σας”. Αυτό δεν ισχύει. “Υπάρχει περυσινή απόφαση της Αρχής που λέει πως αυτό δεν επιτρέπεται, διότι το κάνεις καθαρά για δικούς σου λόγους, που δεν αφορούν την απόδειξη της συναλλαγής -περίπτωση που χρειάζεται να ‘χουν αποδεικτικό στοιχείο συναίνεσης σου για την ολοκλήρωση μίας εμπορικής συναλλαγής σε κάτι που σε ρωτούν αν θες. Αν σας καταγράφουν χωρίς συναλλαγή, είναι παράνομο”.
Πώς να απαλλαγείτε από τις υπηρεσίες telemarketing
Επιστρέφετε σπίτι, από τη δουλειά και λέτε να ξαποστάσετε για μισή ώρα πριν συνεχίσετε με τις υποχρεώσεις της ημέρας σας. Εκείνη την ώρα, χτυπά η σταθερή γραμμή. Κατά 90% είναι μια εταιρία που θέλει να πουλήσει κάτι. Κατά 60% δεν είναι η μόνη εταιρία που σας καλεί, σε διάστημα μισής ώρας.
Η λύση είναι η εξής: ενημερώνετε πως δεν θέλετε να σας ξαναενοχλήσουν. Όπως διαβάσατε και παραπάνω, είναι υποχρεωμένοι να διαγράψουν τα στοιχεία σας. Αν δεν το κάνουν, προχωράτε σε καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η συνέχεια είναι η εξέταση της περίπτωσης. Αν τυχόν η Αρχή πάει στην εταιρία που σας ενοχλεί, παρά τη θέληση σας, να ζητήσει εξηγήσεις και με αφορμή εσάς βρει και άλλες παρατυπίες, θα χρειαστεί λίγος χρόνος παραπάνω.
Αν η Αρχή απαιτήσει τη διαγραφή των στοιχείων σας, αυτή και θα γίνει. Διαφορετικά, η εταιρία θα χρεωθεί πρόστιμο. Το ανώτατο είναι τώρα στα 150.000 ευρώ. Σύντομα θα πάει στα 20.000.000 ευρώ. “Έως τώρα, το ανώτατο πρόστιμο έχει επιβληθεί στη Γενική Γραμματεία Πληροφοριακών Συστημάτων, για διαρροή στοιχείων φορολογουμένων. Μολονότι πρόκειται για δημόσια αρχή, επιβλήθηκε το πρόστιμο που “χάθηκε” από το μπάτζετ” τονίζει ο κ. Νικολαΐδης, πριν υπογραμμίσει πως “σε ό,τι αφορά τις φήμες που θέλουν το δημόσιο να εξαιρείται από τα νέα δεδομένα για 1-2 χρόνια, μπορώ να πω ότι πρόκειται για ανακρίβεια. Δεν υπάρχει αυτό το ενδεχόμενο. Ο κανονισμός είναι σαφής και δεσμεύει και το δημόσιο -κάτι που συνέβαινε και υπό τον τρέχοντα νόμο”.
Όταν οι ενώσεις μας μοιράζουν τα στοιχεία μας
Ως μέλος της ΕΣΗΕΑ, έχω ενημερώσει για τα στοιχεία επικοινωνίας στην περίπτωση που χρειαστεί να λάβω κάποια ενημέρωση -ήταν στη λίστα των πραγμάτων που όφειλα να κάνω με την εγγραφή. Κάθε φορά που η Ένωση Συντακτών Ημερησίων Εφημερίδων Αθηνών είχε εκλογές, δεχόμουν καταιγισμό emails υποψηφίων, μαζί με γραπτά μηνύματα στο κινητό μου τηλέφωνο. Σημείωση: δεν είχα δώσει εγώ τα στοιχεία μου.
Κάτι ανάλογο έγινε εσχάτως -σε μικρότερη κλίμακα- με τις εκλογές του ΠΣΑΤ (Πανελλήνιος Σύνδεσμος Αθλητικού Τύπου). Ενημέρωσα πως δεν θέλω να χρησιμοποιούνται τα στοιχεία μου και μου αποκάλυψαν πως τα παραχωρεί η ΕΣΗΕΑ. Ακολούθησε νέο τηλέφωνο στην Ένωση, όπου δήλωσαν έκπληκτοι και επανέλαβα ότι θα ήθελα να διαγραφώ από λίστες που δεν αφορούν ενημερώσεις της Ένωσης -όπως και να διαγράψουν τα στοιχεία μου από όπου τα έχουν δώσει χωρίς τη συγκατάθεση μου. Ομολογώ πως έκανα λόγο και για το ενδεχόμενο αγωγής.
“Δεν γνωρίζω τι υπάρχει σε κάθε καταστατικό Ένωσης. Απαγορεύεται ωστόσο, να δίνουν τα προσωπικά δεδομένα. Κάθε φορέας που έχει βάση προσωπικών δεδομένων, οφείλει να δίνει τη δυνατότητα opt out: να μη δίνουν τα στοιχεία μας πουθενά. Υπάρχει και σχετικό άρθρο στο νόμο. Είναι παράνομο να δίνει ο όποιος φορέας τα στοιχεία μας, αν δεν έχουμε συναινέσει. Για παράδειγμα, τα στοιχεία των δικηγόρων είναι δημοσιευμένα στο site του συλλόγου μας, σε λίστα, προφανώς με τη συγκατάθεση μας”.
Το παράδειγμα του ΠΑΣΟΚ
Σε εσωκομματικές εκλογές που είχε κάνει ο Γιώργος Παπανδρέου, στο ΠΑΣΟΚ υπήρξε ένα παράδειγμα, προς αποφυγή. “Ψήφιζαν μέλη και φίλοι. Οι υπεύθυνοι είχαν κρατήσει όλα τα δεδομένα, σε βάση του ΠΑΣΟΚ. Και των μελών και των φίλων. Η Αρχή Προστασίας ενημέρωσε πως η database μπορεί να υπάρχει για τα μέλη -καθώς επρόκειτο για οργανισμό και άρα είχε το δικαίωμα να διαθέτει τα στοιχεία των μελών του-, αλλά όχι για τους φίλους. Αυτοί γράφτηκαν μόνο για τη συγκεκριμένη διαδικασία: τη ψήφο στις συγκεκριμένες εσωκομματικές εκλογές. Με το πέρας αυτών, το ΠΑΣΟΚ δεν είχε το δικαίωμα να κρατήσει τα στοιχεία και έπρεπε να προχωρήσει στην καταστροφή τους, βάσει της απόφασης 6/2004 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα«.
Τι ισχύει γενικά, για τις ηλεκτρονικές επικοινωνίες
Παλαιότερα, δεχόμασταν στο email μας ουκ ολίγες προωθητικές ενέργειες εταιριών και τραπεζών με τις οποίες είχαμε σχέσεις. Αυτά έχουν κοπεί “γιατί πρώτα οφείλουν να ρωτούν αν δεχόμαστε να λάβουμε οτιδήποτε δεν αφορά τη βάση της συνδιαλλαγής μας. Επίσης, αν ζητήσουμε να μη λάβουμε ποτέ ξανά κάτι, η εταιρία ή η τράπεζα πρέπει να προχωρήσει στη διαγραφή των στοιχείων μας. Μπαίνει και ένας άλλος νόμος στη μέση: ο 3471/2006 που αφορά την προστασία προσωπικών δεδομένων, στον τομέα των ηλεκτρονικών επικοινωνιών».
Πόσο καιρό έχουν το δικαίωμα να διατηρούν εταιρίες τα στοιχεία μας
“Η συγκατάθεση μας πρέπει να ανανεώνεται. Εξαρτάται ωστόσο, από το είδος του δεδομένου, για ποιο σκοπό τα έχει η όποια επιχείρηση -παίζει ρόλο και ποια επιχείρηση είναι αυτή. Η συγκατάθεση πρέπει να δίνεται θετικά, ενεργά. Όχι να λαμβάνουμε email, στο οποίο να αναφέρεται πως “αν δεν απαντήσετε θεωρούμε πως έχετε δώσει τη συγκατάθεση σας”.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου