Παράνομη η συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου και η αποστολή διαφημιστικών μηνυμάτων χωρίς τη συγκατάθεση των συνδρομητών (αποφάσεις της ανεξάρτητης αρχής προστασίας δεδομένων προσωπικού χαρακτήρα)
Αριθμός απόφασης: 83/2009. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε μετά από πρόσκληση του Προέδρου της σε τακτική συνεδρίαση την 07.05.2009 στο κατάστημά της, αποτελούμενη από τους Χ. Γεραρή, Πρόεδρο, Λ. Κοτσαλή, Α. Παπανεοφύτου, Α. Πράσσο, Α. Ρουπακιώτη, τακτικά μέλη και Γ. Πάντζιου, αναπληρωματικό μέλος, σε αντικατάσταση του τακτικού μέλους Α. Πομπόρτση, ο οποίος αν και εκλήθη νομίμως και εγγράφως δεν παρέστη λόγω κωλύματος, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Το τακτικό μέλος Α-Ι. Μεταξάς καθώς και το αναπληρωματικό του μέλος Γ. Λαζαράκος, αν και κλήθηκαν νομίμως, δεν παρέστησαν λόγω κωλύματος. Παρόντες χωρίς δικαίωμα ψήφου ήταν οι Κ. Καρβέλη, νομική ελέγκτρια, Γ. Ρουσόπουλος και Α Χρυσάνθου, πληροφορικοί ελεγκτές, ως εισηγητές, και η Μ. Γιαννάκη, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας. Η Αρχή έλαβε υπόψη τα παρακάτω: Στην Αρχή υποβλήθηκαν δέκα (10) καταγγελίες και ερωτήματα σχετικά με τη δραστηριότητα της εταιρείας "CALINO” A.E. (εφεξής Calino) στους τομείς της αζήτητης ηλεκτρονικής επικοινωνίας και της συλλογής και πώλησης προσωπικών δεδομένων. Με την υπ' αριθμ. πρωτ. Γ/ΕΞ/5084/02-10-2008 εντολή του Προέδρου της Αρχής διατάχθηκε η διενέργεια ελέγχου στην επιχείρηση. Ο έλεγχος πραγματοποιήθηκε την 03.10.2008, στα γραφεία της εταιρείας, που βρίσκονται στη λεωφόρο Τατοΐου 362, στις Αχαρνές Αττικής. Κατόπιν της διενέργειας του ελέγχου συντάχθηκε αρχικό πόρισμα, το οποίο στάλθηκε στην εταιρεία για παρατηρήσεις με το υπ' αριθμ. πρωτ. Γ/ΕΞ/770/04.02.2009 έγγραφο της Αρχής. Η Calino κατέθεσε τις παρατηρήσεις της με το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/1200/23.02.2009. Το πόρισμα του διοικητικού ελέγχου κατατέθηκε στην Αρχή με το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/1840/23.03.2009. Στο πόρισμα περιγράφεται η λειτουργία της εταιρείας σε θέματα που άπτονται της αρμοδιότητας της Αρχής και επισημαίνονται πέντε (5) συνολικά ευρήματα. Σύμφωνα με όσα αναφέρονται σε αυτό, το προϊόν που απασχολεί την Αρχή είναι το “Hellas Navigator”, το οποίο διαφημίζεται από την εταιρεία με το χαρακτηριστικό τίτλο “Χρυσά Πελατολόγια”. Πρόκειται για ένα επαγγελματικό τηλεφωνικό κατάλογο, ο οποίος συνδυάζει δυνατότητες εντοπισμού διευθύνσεων φυσικών προσώπων πάνω σε ψηφιακό χάρτη με στοιχεία κατοίκων και εταιρειών (τηλέφωνα, διευθύνσεις, διευθύνσεις ηλεκτρονικού ταχυδρομείου, επάγγελμα) για την Ελλάδα και την Κύπρο, τα οποία περιέχονται στον εν λόγω κατάλογο. Ως ένα μέσο για τη διαφήμιση του ανωτέρω προϊόντος η Calino χρησιμοποιεί την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου και τηλεομοιοτυπίας (FAX). Στο μήνυμα αυτό αναφέρονται ενδεικτικά τα εξής: “...ΕΠΑΓΓΕΛΜΑΤΙΚΟΣ ΚΟΣΜΟΣ με 900.000 επιχειρήσεις και επαγγελματίες ανά κατηγορία στο γραφείο σας. Αμφίδρομη αναζήτηση. Είναι η μεγαλύτερη βάση της Ελλάδας... ...ΔΙΕΥΘΥΝΣΕΙΣ από 5.500.000 κατοίκους. Είναι καταχωρημένοι κατά: ονοματεπώνυμο – τηλέφωνο – οδό – δήμο – ταχυδρομικό κωδικό... ...Διατίθενται και ΑΝΟΙΧΤΕΣ ΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ (δυνατότητα export) με τους 5.500.000 ιδιώτες και 950.000 επιχειρήσεις... ...Περιλαμβάνονται κατάλογοι με 110.000 ΑΡΙΘΜΟΥΣ FAX & E-MAIL επιχειρήσεων για άμεση επικοινωνία... ...Οι βάσεις είναι 100% απαλλαγμένες και από τα δηλωθέντα απόρρητα τηλέφωνα και από τις πρόσφατες και παλαιότερες εγγραφές όσων έχουν δηλώσει στην Αρχή Προστασίας Προσωπικών Δεδομένων ότι επιθυμούν να μην συμπεριλαμβάνονται σε λίστες... ...αν δεν επιθυμείτε να λαμβάνετε ενημερωτικά email σχετικά με τα προϊόντα μας πατήστε εδώ... ” Ως διευθύνσεις αποστολής του μηνύματος αναγράφονται μία από τις ... Τα ευρήματα που επισημαίνονται στο πόρισμα έχουν συνοπτικά ως εξής: Εύρημα 1ο: Η εταιρεία συλλέγει διευθύνσεις ηλεκτρονικού ταχυδρομείου από σελίδες του διαδικτύου. Στη συνέχεια, οι διευθύνσεις αυτές πωλούνται είτε ως τμήμα ανοικτής βάσης δεδομένων είτε ως τμήμα του εμπορευόμενου από την εταιρεία προϊόντος (Hellas Navigator) και χρησιμοποιούνται ως λίστες αποστολής διαφημιστικού υλικού από τρίτους (τα φυσικά ή νομικά πρόσωπα που τις αγοράζουν). Αφορούν τόσο φυσικά όσο και νομικά πρόσωπα και συλλέγονται με τη χρήση λογισμικού-αράχνης (web crawler) ονόματι larbin. Το λογισμικό αυτό διατρέχει ιστοτόπους που έχουν ηλεκτρονική διεύθυνση (URL) που ανήκει στο Ελληνικό επίπεδο ονομάτων χώρου (domain .gr) και συλλέγει όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που συναντά. Εύρημα 2ο: Διευθύνσεις ηλεκτρονικού ταχυδρομείου και λοιπά προσωπικά στοιχεία μελών έχουν συλλεχθεί από επαγγελματικές ενώσεις (επιμελητήρια, δικηγορικούς, φαρμακευτικούς, οδοντιατρικούς και ιατρικούς συλλόγους, κλπ), οι οποίοι παρέχουν τα στοιχεία αυτά, είτε επί πληρωμή είτε δωρεάν, με στόχο την προώθηση των δραστηριοτήτων των μελών τους. Άλλη πηγή προέλευσης αποτελούν τα στοιχεία που συλλέγονται από επαγγελματικές εκθέσεις, για παράδειγμα μέσω του εντύπου οδηγού των εκθέσεων που περιέχει τα στοιχεία επικοινωνίας των εκθετών. Η τακτική της Calino είναι να αποστέλλει επιστολή στους συλλόγους και να αιτείται τη χορήγηση των στοιχείων των μελών τους, ώστε να συμπεριληφθούν στον επαγγελματικό οδηγό. Τα στοιχεία που ζητά είναι επώνυμο ή επωνυμία, όνομα, επάγγελμα, διεύθυνση, τηλέφωνο, fax, e-mail, website, όπως προκύπτει από τις επιστολές που επιδείχτηκαν στους ελεγκτές κατά τη διενέργεια του ελέγχου. Σε αρκετές από τις περιπτώσεις αυτές οι σύλλογοι πωλούσαν τα δεδομένα των μελών τους έναντι αμοιβής. Σε άλλες περιπτώσεις τα στοιχεία συλλέγονται αυτοματοποιημένα από τις ιστοσελίδες των συλλόγων. Σύμφωνα με τις δηλώσεις των εκπροσώπων της εταιρείας, τα στοιχεία από τις πηγές αυτές καταχωρίζονται και στις λίστες με τις διευθύνσεις ηλεκτρονικού ταχυδρομείου της εταιρείας. Η εταιρεία δεν παρέχει κανενός είδους ενημέρωση προς τα υποκείμενα των δεδομένων, κατά το στάδιο της συλλογής τους από τους φορείς αυτούς. Εύρημα 3ο: Η εταιρεία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα τα οποία συλλέγει από τον ιστοχώρο ... που ανήκει στον ΟΤΕ. Ο ιστοχώρος αυτός παρέχει υπηρεσία καταλόγου των συνδρομητών σταθερής τηλεφωνίας του ΟΤΕ για όλη την Ελλάδα. Από την υπηρεσία αυτή μπορεί κάποιος να αναζητήσει τηλεφωνικούς αριθμούς με βάση τα στοιχεία του ονόματος του συνδρομητή, όπως επίσης και να πραγματοποιήσει αντίστροφη αναζήτηση, δηλαδή να βρει τα στοιχεία του συνδρομητή αναζητώντας τον με βάση τον αριθμό του τηλεφώνου του. Τα στοιχεία του συνδρομητή που εμφανίζονται σε κάθε τέτοια αναζήτηση περιλαμβάνουν: ονοματεπώνυμο, περιοχή, διεύθυνση, αριθμό τηλεφώνου και επάγγελμα (εάν αυτό είναι διαθέσιμο). Η συλλογή των στοιχείων πραγματοποιείται με αυτοματοποιημένο λογισμικό που εκμεταλλεύεται τη δυνατότητα αντίστροφης αναζήτησης. Το λογισμικό έχει δημιουργήσει η Calino αποκλειστικά για το σκοπό αυτό και μπορεί να προγραμματιστεί ώστε να αναζητήσει σειριακά όλους τους πιθανούς τηλεφωνικούς αριθμούς μιας περιοχής. Με τον τρόπο αυτό, η Calino αντιγράφει ουσιαστικά τον ηλεκτρονικό κατάλογο του ΟΤΕ, συλλέγοντας σειριακά τα στοιχεία των συνδρομητών του. Στη συνέχεια, τα στοιχεία αυτά εντάσσονται στη βάση δεδομένων του εμπορευόμενου από τη εταιρεία λογισμικού (Hellas Navigator) και συνδυάζονται με τις γεωγραφικές συντεταγμένες που αντιστοιχούν στη διεύθυνση του εκάστοτε συνδρομητή. Η Calino έχει δημιουργήσει εξειδικευμένο λογισμικό για την γεωγραφική απεικόνιση, σε ψηφιακό χάρτη, των διευθύνσεων που έχει συλλέξει. Με τον τρόπο αυτό πραγματοποιείται μια επιπλέον επεξεργασία των δεδομένων που λαμβάνονται από τον ηλεκτρονικό κατάλογο του ΟΤΕ, καθώς, στην πράξη, σε κάθε δεδομένο διεύθυνσης αντιστοιχίζονται οι συντεταγμένες του στο χάρτη. Με τη συσχέτιση αυτή δίδεται η δυνατότητα περαιτέρω αναζήτησης στα δεδομένα του καταλόγου, με βάση πια και τη γεωγραφική πληροφορία. Για παράδειγμα, μέσω του λογισμικού Hellas Navigator, μπορεί κάποιος να σχεδιάσει μια γεωγραφική περιοχή πάνω στο χάρτη (πχ. με βάση τα γεωγραφικά όρια μιας ενορίας) και να βρει τα στοιχεία των κατοίκων και των επαγγελματιών της περιοχής αυτής. Η λειτουργία αυτή δεν είναι δυνατό να πραγματοποιηθεί μέσω της αναζήτησης στον ηλεκτρονικό κατάλογο του ΟΤΕ και είναι αποτέλεσμα της συσχέτισης των συλλεγόμενων στοιχείων με γεωγραφικά δεδομένα. Εύρημα 4ο: Κατά τη διενέργεια του ελέγχου διαπιστώθηκε ότι η εταιρεία αποστέλλει διαφημιστικά e-mail στη λίστα των ηλεκτρονικών διευθύνσεων που έχει συλλέξει με τον τρόπο που περιγράφεται στα ευρήματα 1 και 2. Σκοπός των e-mail αυτών είναι να διαφημιστούν τα προϊόντα της εταιρείας. Επίσης διαπιστώθηκε ότι αποστέλλονται και διαφημιστικά FAX για τον ίδιο σκοπό. Στο περιεχόμενο των διαφημιστικών μηνυμάτων αναφέρονται τα στοιχεία επικοινωνίας της εταιρείας καθώς και ηλεκτρονικές διευθύνσεις και τηλέφωνα, στα οποία οι παραλήπτες μπορούν να ζητήσουν τον τερματισμό της αζήτητης επικοινωνίας. Όπως εξηγήθηκε στους ελεγκτές από τους εκπροσώπους της εταιρείας, η διαδικασία διαγραφής παραλήπτη από τη λίστα παραληπτών της εταιρείας συνίσταται στην ένταξη σε κατάλληλο κατάλογο της διεύθυνσης ηλεκτρονικού ταχυδρομείου ή του αριθμού FAX οποιουδήποτε παραλήπτη ζητήσει να μη λαμβάνει ενημερωτικά μηνύματα ή κλήσεις. Ο κατάλογος αυτός χρησιμεύει ώστε η διεύθυνση ηλεκτρονικού ταχυδρομείου ή ο αριθμός FAX του εκάστοτε μη ενδιαφερόμενου παραλήπτη να μην συμπεριλαμβάνεται στο μέλλον στις διευθύνσεις που συλλέγει και διαβιβάζει η Calino. Ουσιαστικά η εταιρεία χρησιμοποιεί σύστημα opt-out για την αποστολή των μηνυμάτων, δηλαδή αποστέλλει μηνύματα χωρίς την προηγούμενη συγκατάθεση των συνδρομητών, αλλά διαγράφει τους συνδρομητές από τα αρχεία της, σε περίπτωση που αυτοί εναντιωθούν στην επεξεργασία. Εύρημα 5ο: Κατά τη διενέργεια του ελέγχου διαπιστώθηκε ότι η εταιρεία έχει πωλήσει τους ηλεκτρονικούς της καταλόγους στην κυβέρνηση των Η.Π.Α. Συγκεκριμένα, αναφέρθηκε στους ελεγκτές, ως στοιχείο ένδειξης της σοβαρότητας και της αξιοπιστίας της επιχείρησης, ότι στους πελάτες συμπεριλαμβάνεται και η κυβέρνηση των Η.Π.Α. Το γεγονός αυτό περιλαμβάνεται και στο διαφημιστικό μήνυμα της εταιρείας. Στους ελεγκτές επιδείχθηκε σειρά από μηνύματα που οδήγησαν στην σύναψη συμφωνίας μεταξύ της εταιρείας και της κυβέρνησης των Η.Π.Α. (United States Government, Department of State, Office of Acquisition) και δόθηκε αντίγραφο της συμφωνίας αυτής. Από το αντίγραφο αυτό προκύπτει ότι η Calino προχώρησε τον Ιανουάριο του 2004 σε σύναψη σύμβασης ύψους 170.000 δολλαρίων ΗΠΑ. Από τη σύμβαση προκύπτει ότι δόθηκαν στην κυβέρνηση των ΗΠΑ σύνολα δεδομένων που αποτελούνται από ψηφιακούς χάρτες της Αθήνας και της Θεσσαλονίκης και τη βάση δεδομένων τηλεφώνων της Ελλάδας, καθώς και λογισμικό για την αναζήτηση και εύρεση στοιχείων από αυτά τα σύνολα δεδομένων. Σύμφωνα με όσα αναφέρονται στη σύμβαση, η κυβέρνηση των ΗΠΑ είχε τη δυνατότητα να χρησιμοποιήσει και να επεκτείνει τα σύνολα δεδομένων αυτά και να τα αντιγράψει σε πολλαπλά αντίτυπα για τις υπηρεσίες της. Η εταιρεία κλήθηκε νομίμως σε ακρόαση ενώπιον της Αρχής στη συνεδρίαση της 09.04.2009 για να δώσει περαιτέρω διευκρινίσεις και να εκθέσει τις απόψεις της. Κατά την παρουσία της στη συνεδρίαση της Αρχής έλαβε προθεσμία και κατέθεσε συμπληρωματικό υπόμνημα με το υπ' αριθμ. πρωτ. Γ/ΕΙΣ/2582/24.04.2009 έγγραφο. Η Αρχή, αφού άκουσε τους εισηγητές της υπόθεσης και έλαβε υπόψη όλα τα στοιχεία του φακέλου, μετά και από διεξοδική συζήτηση, ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ 1. Όπως ορίζεται στο άρθρο 4, παρ. 1, εδ. α' του Ν. 2472/1997 τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών. Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου αποτελούν δεδομένα προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 2 στοιχ. α' του Ν. 2472/1997, όταν ανήκουν σε φυσικά πρόσωπα. Στην προκειμένη περίπτωση, όπως προκύπτει από το υπ’ αριθμ. 1 εύρημα, πραγματοποιείται συλλογή διευθύνσεων από ιστοσελίδες, όπου το υποκείμενο των δεδομένων έχει ανακοινώσει τα στοιχεία του για τελείως διαφορετικό σκοπό, για παράδειγμα για την αποστολή μηνυμάτων επικοινωνίας για προσωπικούς σκοπούς ή για τη συμμετοχή του σε ομάδες συζήτησης. Το αυτόματο λογισμικό έχει ρυθμιστεί έτσι ώστε να μην κάνει καμία διάκριση των διευθύνσεων που συλλέγει με κριτήριο το σκοπό της δημοσίευσης τους, συλλέγοντας όλα τα στοιχεία τα οποία συναντά. Επομένως, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου, που συλλέγονται με τον τρόπο αυτό, δεν συλλέγονται με τρόπο θεμιτό και νόμιμο, για καθορισμένους και νόμιμους σκοπούς και δεν υφίστανται θεμιτή και νόμιμη επεξεργασία εν όψει των σκοπών αυτών, κατά παράβαση της προαναφερθείσας διάταξης του Ν. 2472/1997. Η άποψη αυτή ενισχύεται από το γεγονός ότι το έννομο συμφέρον που επιδιώκει ο υπεύθυνος επεξεργασίας ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα δεν υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς προκαλείται σημαντική όχληση στους αποδέκτες των μηνυμάτων αλλά και πιθανά επιπρόσθετο κόστος από τη χρήση υπηρεσιών διαδικτύου για την ανάγνωση των μηνυμάτων. Έτσι, όσον αφορά στη συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου χωρίς τη συγκατάθεση του υποκείμενου, δεν μπορεί να έχει εφαρμογή η διάταξη του άρθρου 5, παρ. 2 ε' του Ν. 2472/1997. Επισημαίνεται ότι η Ομάδα Εργασίας του άρθρου 29 της οδηγίας 95/46/ΕΚ έχει παρουσιάσει, αναλυτικά, το σκεπτικό αυτό στο έγγραφο εργασίας υπ’ αριθμ. 37/21.11.2000 (σελ. 37, 38 και 43, 44), ενώ παρόμοια παρουσίαση βρίσκεται και στο βιβλίο Regulating Spam, A European Perspective after the Adoption of the E-Privacy Directive (κεφάλαιο 4, Harvesting, σελίδες 67-79). Επομένως, το αρχείο που έχει δημιουργήσει η Calino, με την τεχνική που περιγράφεται στο εύρημα υπ’ αριθμ. 1 του πορίσματος, παραβιάζει τις διατάξεις των άρθρων 4, 5 παρ. 2 του ν. 2472/1997 και τα στοιχεία του πρέπει να καταστραφούν. Καθώς το αρχείο αυτό έχει διαβιβασθεί σε απροσδιόριστο αριθμό πελατών της εταιρείας, είναι προς το συμφέρον των υποκειμένων της επεξεργασίας να ενημερωθούν όλοι όσοι αγόρασαν το αρχείο αυτό ώστε να προβούν σε διαγραφή των δεδομένων που έχουν συλλεγεί παράνομα. Η πλήρης άρση της παράβασης μπορεί να επιτευχθεί μόνο με τη διαγραφή των στοιχείων από όλα τα πωληθέντα αντίγραφα. 2. Όπως ορίζει το άρθρο 11 παρ. 1 του Ν. 2472/1997 «Ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδομένων προσωπικού χαρακτήρα, να ενημερώνει με τρόπο πρόσφορο και σαφή το υποκείμενο για τα εξής τουλάχιστον στοιχεία: α. την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου του, β. τον σκοπό της επεξεργασίας, γ. τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων, δ. την ύπαρξη του δικαιώματος πρόσβασης.». Όπως προκύπτει από το εύρημα υπ’ αριθμ. 2, ο υπεύθυνος επεξεργασίας δεν φροντίζει σε κανένα σημείο για την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων κατά το στάδιο της συλλογής τους. Είναι αληθές ότι ο σκοπός που επιδιώκει η Calino, δηλαδή το οικονομικό συμφέρον για τη δημιουργία της εφαρμογής καταλόγου επαγγελματικών διευθύνσεων, συμβαδίζει καταρχήν με το επαγγελματικό συμφέρον των υποκειμένων για την ευχερέστερη αναζήτηση των στοιχείων τους από το κοινό. Έτσι, για τη χρήση των στοιχείων που λαμβάνονται από τους επαγγελματικούς φορείς και τις επαγγελματικές εκθέσεις δεν απαιτείται, σύμφωνα με το άρθρο 5 παρ. 2 στοιχ. ε' του Ν. 2472/1997, νέα συγκατάθεση των υποκειμένων των δεδομένων, αλλά αρκεί η προηγούμενη ενημέρωση αυτών σύμφωνα με τα οριζόμενα στο άρθρο 11 παρ. 1 του Ν. 2472/1997. Στην προκειμένη όμως περίπτωση, η ενημέρωση αυτή θα έπρεπε να είχε διενεργηθεί μέσω ατομικής επιστολής με την οποία να παρέχεται ικανό χρονικό διάστημα για την άσκηση του δικαιώματος αντίρρησης, καθώς τα στοιχεία διεύθυνσης είναι διαθέσιμα στην Calino και ο τρόπος αυτός αποτελεί τον προσφορότερο και ασφαλέστερο προκειμένου να ικανοποιηθούν τα δικαιώματα όλων των υποκειμένων της επεξεργασίας. Επομένως, κατά παράβαση του άρθρου 11 παρ. 1 του ν. 2472/97, έγινε συλλογή των παραπάνω στοιχείων από καταλόγους επαγγελματικών ενώσεων. Περαιτέρω παρατηρείται ότι οι διάφορες επαγγελματικές ενώσεις οφείλουν, κατά το στάδιο συλλογής των δεδομένων, να ενημερώνουν τα υποκείμενα για τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων. Η Αρχή κρίνει ότι πρέπει με την επιμέλεια των εισηγητών της υποθέσεως να ενημερωθούν οι επαγγελματικές ενώσεις για την υποχρέωσή τους αυτή. 3. Στο άρθρο 10, παρ. 4 του Ν. 3471/2006 ορίζεται ότι «Τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε δημόσιο κατάλογο επιτρέπεται να υπόκεινται σε επεξεργασία μόνο για τους σκοπούς για τους οποίους έχουν συλλεγεί. Όταν τα δεδομένα αυτά διαβιβάζονται σε τρίτους, ο συνδρομητής θα πρέπει να ενημερώνεται, πριν από τη διαβίβαση, για αυτή τη δυνατότητα και για τον παραλήπτη ή για τις κατηγορίες των πιθανών παραληπτών, να έχει δε την ευκαιρία να αντιταχθεί στη διαβίβαση. Για τη χρησιμοποίηση των δεδομένων αυτών για άλλο σκοπό, είτε από τον φορέα είτε από τρίτο, απαιτείται εκ νέου η ρητή συγκατάθεση του συνδρομητή...». Στην προκειμένη περίπτωση, όπως περιγράφεται στο υπ’ αριθμ. 3 εύρημα του πορίσματος, η Calino συλλέγει προσωπικά δεδομένα από δημόσια προσβάσιμη πηγή, δηλαδή τον κατάλογο συνδρομητών του ΟΤΕ. Τα δεδομένα αυτά υπόκεινται σε επιπλέον επεξεργασία, καθώς συνδυάζονται με γεωγραφική πληροφορία, και δημοσιεύονται με τη μορφή του λογισμικού Hellas Navigator, δηλαδή με τη μορφή προηγμένου ηλεκτρονικού καταλόγου με χάρτη. Με τον τρόπο αυτό βελτιώνεται η ποιότητα των δεδομένων, καθώς είναι δυνατή η παροχή προηγμένων υπηρεσιών αναζήτησης προσωπικών δεδομένων. Η προηγμένη λειτουργία αναζήτησης συνίσταται στο γεγονός ότι ο χρήστης του εν λόγω λογισμικού δύναται να αναζητήσει τα στοιχεία συνδρομητών του ΟΤΕ και με βάση γεωγραφικά δεδομένα. Σε έναν απλό τηλεφωνικό κατάλογο θα μπορούσε να αναζητήσει τα στοιχεία του εκάστοτε συνδρομητή μόνο με βάση συγκεκριμένα στοιχεία (όνομα συνδρομητή, τηλέφωνο, διεύθυνση) και σε πιο περιορισμένη κλίμακα. Ο σκοπός που επιδιώκει ο υπεύθυνος επεξεργασίας, με την παροχή δυνατότητας γεωγραφικής αναζήτησης των προσωπικών δεδομένων όσων περιλαμβάνονται στους καταλόγους συνδρομητών, είναι η πώληση του ηλεκτρονικού καταλόγου για την πραγματοποίηση γεωγραφικά στοχευμένων διαφημιστικών ενεργειών από τον εκάστοτε αγοραστή. Ο εκάστοτε αγοραστής δύναται να δημιουργήσει στοχευμένες ομάδες διαφήμισης (πχ. όλοι οι ηλεκτρολόγοι μιας γεωγραφικής περιοχής) και να διαφημίσει τα προϊόντα του με βάση το είδος του αγοραστικού κοινού, το οποίο έχει επιλέξει. Συνεπώς, ο σκοπός της επεξεργασίας διαφοροποιείται από αυτόν ενός καταλόγου συνδρομητών και ως εκ τούτου, κατά παράβαση του άρθρου 10 παρ. 4 του ν. 3471/2006 η εταιρεία CALINO δημιούργησε αρχείο από τους συνδρομητές του ΟΤΕ. 4. Στο άρθρο 11 παρ. 1 του Ν. 3471/2006 αναφέρεται ότι «η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, με ή χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς». Από το διενεργηθέντα έλεγχο (εύρημα υπ’ αριθμ. 4), έγινε σαφές ότι η Calino δεν εξασφαλίζει τη συγκατάθεση των συνδρομητών πριν την αποστολή των διαφημιστικών της μηνυμάτων μέσω ηλεκτρονικού ταχυδρομείου ή τηλεομοιοτυπίας. Η εταιρεία συμπεριλαμβάνει στο μήνυμα τρόπο εναντίωσης στη συνέχιση της αποστολής διαφημιστικών μηνυμάτων, αλλά η ενέργεια αυτή δεν την απαλλάσσει από την υποχρέωση λήψης συγκατάθεσης των συνδρομητών. Η αποστολή πραγματοποιείται σε όλη τη λίστα διευθύνσεων ηλεκτρονικού ταχυδρομείου και αριθμών τηλεομοιοτυπίας και όχι μόνο σε όσους είχαν κάποια προηγούμενη συναλλαγή μαζί της, οπότε και θα ίσχυε η εξαίρεση της παρ. 3 του ανωτέρω άρθρου. Συνεπώς η Αρχή αποφαίνεται ότι η Calino παραβιάζει συστηματικά την προαναφερθείσα διάταξη, όπως τούτο επιβεβαιώνεται από τις προαναφερθείσες καταγγελίες. 5. Στο άρθρο 9 παρ. 2 του Ν. 2472/1997 ορίζεται ότι «η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς χώρα που δεν ανήκει στην Ευρωπαϊκή ΄Ένωση και η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας, επιτρέπεται κατ’ εξαίρεση, με άδεια της Αρχής..». Από το εύρημα υπ’ αριθμ. 5 προκύπτει ότι η Calino πώλησε ηλεκτρονικά αρχεία με προσωπικά δεδομένα (ονόματα, διευθύνσεις και τηλέφωνα) σε κυβερνητική υπηρεσία των ΗΠΑ. Η ενέργεια αυτή αποτέλεσε διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρα εκτός Ευρωπαϊκής Ένωσης. Η εν λόγω διαβίβαση πραγματοποιήθηκε προς χώρα η οποία δεν περιλαμβάνεται σε αυτές, για τις οποίες η Ευρωπαϊκή Επιτροπή έχει αποφανθεί ότι εξασφαλίζουν ικανοποιητικό επίπεδο προστασίας. Για τη διαβίβαση αυτή δεν είχε προηγηθεί γνωστοποίηση ή αίτηση για άδεια, ούτε, φυσικά, υπήρξε άδεια της Αρχής. Συνεπώς η διαβίβαση αυτή πραγματοποιήθηκε κατά παράβαση του προαναφερθέντος άρθρου. 6. Με δεδομένο ότι η εταιρεία CALINO υπέπεσε, κατά τα προαναφερόμενα, σε αυτοτελείς παραβάσεις διατάξεων της κείμενης νομοθεσίας, η Αρχή κρίνει ότι πρέπει να επιβληθούν αντίστοιχες κυρώσεις. ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η Αρχή Επιβάλει στην εταιρεία CALINO Α.Ε., που αποτελεί τον υπεύθυνο επεξεργασίας για τις περιγραφόμενες στο πόρισμα διοικητικού ελέγχου επεξεργασίες, τις πιο κάτω διοικητικές κυρώσεις: 1. Πρόστιμο ποσού είκοσι πέντε χιλιάδων ευρώ (25.000) για την παραβίαση του άρθρου 4, παρ. 1, εδ. α' του Ν. 2472/1997 που συντελείται με την παράνομη επεξεργασία διευθύνσεων ηλεκτρονικού ταχυδρομείου. Επίσης, η Αρχή διατάσσει την καταστροφή του εν λόγω αρχείου και υποχρεώνει τον υπεύθυνο επεξεργασίας να ενημερώσει, εγγράφως, όλους τους πελάτες του ότι η τήρηση του αρχείου αυτού είναι παράνομη. Η καταστροφή του εν λόγω αρχείου από την Calino συνίσταται στην καταστροφή τόσο της λίστας διευθύνσεων ηλεκτρονικού ταχυδρομείου της Calino, οι οποίες δεν έχουν αποκτηθεί με νόμιμο τρόπο, όσο και στη διαγραφή όλων των διευθύνσεων ηλεκτρονικού ταχυδρομείου από το προϊόν Hellas Navigator. Ο υπεύθυνος επεξεργασίας οφείλει, εντός δεκαπέντε ημερών από τη λήψη της απόφασης, να προσκομίσει στην Αρχή κατάλογο με τους πελάτες που αγόρασαν τη λίστα διευθύνσεων ηλεκτρονικού ταχυδρομείου καθώς και αντίγραφο της επιστολής ενημέρωσης προς αυτούς. 2. Πρόστιμο ποσού πέντε χιλιάδων ευρώ (5.000) για την παραβίαση του άρθρου 11 παρ. 1 του Ν. 2472/1997 που αφορά στη μη παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων για τη συλλογή που πραγματοποιείται από επαγγελματικές ενώσεις και επαγγελματικούς οδηγούς. Η Αρχή κοινοποιεί την παρούσα απόφαση στις επαγγελματικές ενώσεις ενημερώνοντας τους κατ’ αυτόν τον τρόπο ότι υποχρεούνται να ενημερώνουν τα μέλη τους (υποκείμενα των δεδομένων) για τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων που συλλέγουν από αυτά. 3. Προειδοποίηση για την παράβαση του άρθρου 10, παρ. 4 του Ν. 3471/2006. Η εταιρεία οφείλει να τροποποιήσει τον ηλεκτρονικό οδηγό που εκδίδει και να επιτρέπει τη γεωγραφική αναζήτηση μόνο σε όσους συνδρομητές τηλεφωνίας έχουν δώσει εκ νέου τη συγκατάθεση τους για χρήση των δεδομένων τους στο πλαίσιο της δυνατότητας γεωγραφικής αναζήτησης. 4. Πρόστιμο ποσού είκοσι πέντε χιλιάδων ευρώ (25.000) για την παραβίαση του άρθρου 11 παρ. 1 του Ν. 3471/2006 για την αποστολή διαφημιστικών μηνυμάτων ηλεκτρονικού ταχυδρομείου και τηλεομοιοτυπίας (FAX), χωρίς τη συγκατάθεση των συνδρομητών. 5. Πρόστιμο ποσού δέκα χιλιάδων ευρώ (10.000) για την παράβαση του άρθρου 9 παρ. 2 του Ν. 2472/1997 που συντελέστηκε με την παράνομη διαβίβαση δεδομένων σε χώρα εκτός Ε.Ε.
Αριθμός απόφασης: 59/2011, Η Αρχή Προστασίας δεδομένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τμήματος στην έδρα της την 10.05.2011 και ώρα 10:00 μετά από πρόσκληση του Προέδρου της, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Χρήστος Παληοκώστας, Αναπληρωτής Πρόεδρος, παραιτηθέντος του Προέδρου της Αρχής Χρίστου Γεραρή, και τα αναπληρωματικά μέλη, Πέτρος Τσαντίλας ως εισηγητής, ημήτρης Λιάπης, και οι Γρηγόριος Λαζαράκος, σε αντικατάσταση των τακτικών μελών Αναστασίου Πράσσου, Λεωνίδα Κοτσαλή και Αναστασίου-Ιωάννη Μεταξά αντίστοιχα, οι οποίοι, αν και εκλήθησαν νομίμως εγγράφως δεν παρέστησαν λόγω κωλύματος. Παρών χωρίς δικαίωμα ψήφου ήταν ο Ανάργυρος Χρυσάνθου, Πληροφορικός ελεγκτής, ως βοηθός εισηγητή, και Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας. Η Αρχή έλαβε υπόψη τα παρακάτω: Με τις υπ’ αρ. πρωτ. ΑΠΠΧ Γ/ΕΙΣ/3109/25-6-2008, Γ/ΕΙΣ/3784/30-7-2008 όπως συμπληρώθηκε με την υπ’ αρ. πρωτ. Γ/ΕΙΣ/7182/24-12-2008, Γ/ΕΙΣ/967/12-02-2009 όπως συμπληρώθηκε με την υπ’ αρ. πρωτ. Γ/ΕΙΣ/966/12-02-2009, Γ/ΕΙΣ/5604/21-10-2008 και Γ/ΕΙΣ/7177/24-12-2008 (αρ.πρωτ. οικ. 2163/12-09-2008) αιτήσεις τους στην Αρχή Προστασίας εδομένων Προσωπικού Χαρακτήρα οι A, B, Γ, και Ε (που διαβιβάζεται στην Αρχή από την Αρχή ιασφάλισης του Απορρήτου των Επικοινωνιών) αντίστοιχα, καταγγέλλουν ότι η εταιρεία X (εφεξής: εταιρεία) αποστέλλει μη ζητηθέντα μηνύματα ηλεκτρονικού ταχυδρομείου στις ηλεκτρονικές τους διευθύνσεις (4 διευθύνσεις του δικτυακού χώρου www……., www……., www……., www……., όλες οι διευθύνσεις του δικτυακού χώρου www…… και www……..). Συγκεκριμένα, καταγγέλλουν ότι η εταιρεία αποστέλλει μηνύματα ηλεκτρονικού ταχυδρομείου (spam) για την προώθηση προϊόντων και υπηρεσιών που παρέχει. Με τις ως άνω αιτήσεις τους οι Α, Β, Γ, και Ε καταγγέλλουν ότι η εταιρεία δεν ικανοποίησε προσηκόντως το αίτημά τους για διαγραφή των ηλεκτρονικών τους διευθύνσεων από τη λίστα παραληπτών της εταιρείας. Η Αρχή, κατά την εξέταση της πρώτης αίτησης του Α, με το υπ’ αρ. πρωτ.Γ/ΕΞ/3109-1/07-07-2008 έγγραφό της απηύθυνε σύσταση προς την εταιρεία, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 19 παρ. 1 στοιχ. γ΄του Ν.2472/1997, καλώντας την να προσαρμόσει τις πρακτικές της, προκειμένου η αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου να συνάδει με τις διατάξεις του άρθρου 11 του Ν.3471/2006. Σε απάντηση του εγγράφου αυτού της Αρχής, η εταιρεία ενημέρωσε την Αρχή με την υπ’ αρ. πρωτ. Γ/ΕΙΣ/3456/15-07-2008 αίτησή της, ότι συλλέγει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου από τους συμμετέχοντες στα σεμινάρια που η ίδια διοργανώνει, επισημαίνοντας ότι οι συμμετέχοντες στα σεμινάρια μπορούν να παρέχουν, εκτός από τα δικά τους στοιχεία επικοινωνίας, και διευθύνσεις ηλεκτρονικού ταχυδρομείου φίλων τους, ύστερα από προηγούμενη ενημέρωση και συγκατάθεση των τελευταίων. Τέλος, στην αίτηση αυτή, η εταιρεία αναφέρει ότι παρέχει τη δυνατότητα διαγραφής των παραληπτών ηλεκτρονικού ταχυδρομείου από τη λίστα-κατάλογο που διατηρεί, τονίζοντας ότι οι ηλεκτρονικές διευθύνσεις του Α έχουν διαγραφεί από τη λίστα αυτή. Ακολούθως η Αρχή, κατά την εξέταση των αιτήσεων των Β και Γ, ζήτησε από την εταιρεία, με το υπ’ αρ. πρωτ. Γ/ΕΞ/966-1/27-02-2009 έγγραφό της, να διευκρινίσει τον τρόπο λήψης συγκατάθεσης των ενδιαφερομένων για την αποστολή ηλεκτρονικής επικοινωνίας, καθώς και το είδος των προσωπικών τους δεδομένων που τηρεί στα αρχεία της, όπως και την προέλευση των δεδομένων αυτών. Επιπρόσθετα, η Αρχή με το ίδιο έγγραφο ζήτησε διευκρινίσεις αναφορικά με τη διαδικασία εμπορικής προώθησης την οποία ακολουθεί, τον τρόπο εξασφάλισης της συγκατάθεσης των συνδρομητών των ηλεκτρονικών μέσων επικοινωνίας και τη διαδικασία άσκησης του δικαιώματος αντίρρησης των παραληπτών των διαφημιστικών της μηνυμάτων. Στο έγγραφο αυτό της Αρχής, η εταιρεία απάντησε με τις υπ’ πρωτ. Γ/ΕΙΣ/1483/6-03-2009 και Γ/ΕΙΣ/1623/13-03-2009 αιτήσεις της, με τις οποίες διευκρίνισε τα ακόλουθα: 1. « Όσον αφορά τους δύο καταγγέλλοντες κατά πάσα πιθανότητα τα στοιχεία τους έχουν αποκτηθεί με κάποιον από τους προηγούμενους τρόπους, χωρίς να είμαι σε θέση να γνωρίζω με βεβαιότητα επακριβώς. Σε κάθε περίπτωση οι ηλεκτρονικές τους διευθύνσεις μπορούν να αποκτηθούν ελεύθερα από επίσκεψη στα websites τους (…) Η ηλεκτρονική διεύθυνση του Β αναφέρεται προς επικοινωνία στο www……., κάτω από το όνομά του (ανοίγει παράθυρο επικοινωνίας). Οι ηλεκτρονικές διευθύνσεις του Γ αναφέρονται στο www……., To www……., και www……., είναι δεδομένο ότι αποτελούν ίδιες διευθύνσεις του ιδίου κατόχου.» 2. Για καθένα από τους δυο καταγγέλλοντες η εταιρεία δεν κρατά κανένα άλλο προσωπικό τους δεδομένο πέρα από τις προσωπικές τους διευθύνσεις. 3. Τα ηλεκτρονικά έντυπα της εταιρείας δεν αποβλέπουν στην εμπορική προώθηση, δεν έχουν εμπορικό σκοπό, αλλά είναι ενημερωτικά. 4. Η εταιρεία συλλέγει διευθύνσεις ηλεκτρονικού ταχυδρομείου κατά τους ακόλουθους τρόπους: • Από συμμετέχοντες σε σεμινάρια και εκδηλώσεις, τα οποία διοργανώνει η εταιρεία. Οι συμμετέχοντες χορηγούν τις ηλεκτρονικές τους διευθύνσεις και αρκετών φίλων ή γνωστών τους. (Α) • Από συμμετέχοντες σε μεγάλα συνέδρια, στα οποία είναι ομιλητής ο Z. Στο τέλος κάθε ομιλίας ο Z ζητεί από όσους συμμετέχοντες το επιθυμούν να παράσχουν τις ηλεκτρονικές τους διευθύνσεις προκειμένου να τους αποστέλλεται το ενημερωτικό φυλλάδιο της εταιρείας. Υπάρχουν και περιπτώσεις όπου πολίτες που δεν έχουν διεύθυνση ηλεκτρονικού ταχυδρομείου δίνουν τη διεύθυνση τρίτων, συνήθως συγγενών, προκειμένου να λαμβάνουν εκείνοι το ενημερωτικό φυλλάδιο της εταιρείας. (Β) • Από τον κατάλογο των εκθετών σε μεγάλες κλαδικές εκθέσεις στις οποίες παρίσταται ο Z. Στην περίπτωση αυτή αποστέλλεται πρώτα ένα αναγνωριστικό μήνυμα ηλεκτρονικού ταχυδρομείου στις ηλεκτρονικές διευθύνσεις των εκθετών, το οποίο εξηγεί την ταυτότητα και τις δραστηριότητες της εταιρείας. Το μήνυμα αυτό έχει τίτλο «ΕΠΙΣΤΟΛΗ ΓΝ5ΡΙΜΙΑΣ» και παρέχει και δυνατότητα διαγραφής. (Οι δύο τελευταίες καταγγελίες των Γ και Β περιέχουν τέτοιο μήνυμα στα επισυναπτόμενα.) (Γ) • Από αιτήσεις που δέχεται η εταιρεία για να συμπεριλάβει μια ή περισσότερες ηλεκτρονικές διευθύνσεις στους αποδέκτες των εντύπων τους. () • Από συλλογή διευθύνσεων ηλεκτρονικών ταχυδρομείου από ιστοσελίδες, οι οποίες παρέχουν ηλεκτρονική διεύθυνση επικοινωνίας των κατόχων τους. (Ε) 5. «Όπως σας έχω αναφέρει και πιο πάνω, μέχρι πρότινος δεν αρχειοθετούσαμε και δεν κρατούσαμε κανένα σχεδόν αποδεικτικό στοιχείο για τους ενδιαφερόμενους αποδέκτες. Τα αρχεία μας εμπλουτίζονται από το 1997! Ήδη έχει αρχίσει η αρχειοθέτηση των στοιχείων των αποδεκτών. Πρόσφατα δημιουργήσαμε ένα έντυπο ενδιαφέροντος, το οποίο μπορούν να συμπληρώνουν όσοι θέλουν να λαμβάνουν τα ενημερωτικά της φυλλάδια μέσω ηλεκτρονικού ταχυδρομείου. Επίσης στο www.………… έχουμε ανάλογη παραπομπή. Έχω χιλιάδες φύλλα αξιολόγησης που οι συμμετέχοντες συμπληρώνουν μετά από σεμινάρια τους σε εταιρείες, στα οποία όσοι επιθυμούν δηλώνουν το ενδιαφέρον τους να λαμβάνουν ηλεκτρονικά έντυπα από μένα. Παρόλα αυτά, παλιότερα αρχεία υπάρχουν αλλά όχι για όλους, μιας και η άγνοια μου δε με άφησε να προνοήσω ότι θα έπρεπε να φυλάσσονται και έτσι αφού κάναμε τις ανάλογες καταχωρήσεις, τα έντυπα αρχεία…καταστρεφόντουσαν από μένα προσωπικά ή τη βοηθό μου.» 6. Αν κάποιος παραλήπτης ασκήσει το δικαίωμα αντίρρησης του, η διεύθυνση ηλεκτρονικού ταχυδρομείου του διαγράφεται εκτός από τις περιπτώσεις εκείνες, κατά τις οποίες ζητείται να διαγραφεί διεύθυνση ηλεκτρονικού ταχυδρομείου που δεν περιλαμβάνεται στην λίστα παραληπτών της εταιρείας. Αυτό οφείλεται κατά την εταιρεία ίσως στο γεγονός ότι λαμβάνουν το ενημερωτικό της φυλλάδιο σε διαφορετική ηλεκτρονική διεύθυνση από αυτή που ζητούν να διαγραφεί. 7. Το δικαίωμα αντίρρησης (αίτημα διαγραφής από τη λίστα παραληπτών της εταιρείας) μπορεί να ασκηθεί με τέσσερις (4) τρόπους από τους παραλήπτες των ηλεκτρονικών μηνυμάτων με δυνατότητες που παρέχονται στα συνημμένα αρχεία των ενημερωτικών φυλλαδίων της εταιρείας. 8. «Από την τελευταία μας επικοινωνία και μετά, έχω αναθέσει σε δύο εξωτερικούς διαφορετικούς συμβούλους/προγραμματιστές....να ακόμα περισσότερο την κατάσταση και να κάνουν όσο το δυνατόν πιο εύκολη και φιλική για το χρήστη την απαιτούμενη διαδικασία...Το θέμα προχωρά αλλά αντιμετωπίζουμε τεχνικές δυσκολίες. Εκεί πιθανόν οφείλεται και το πρόβλημα με τους κύριους καταγγέλλοντες. Ενώ δηλαδή η βοηθός μου ΣΤ, έχει από τον Οκτώβριο αφαιρέσει δυο φορές τις διευθύνσεις τους από τις λίστες μας, η ασυμφωνία των προγραμματιστών και οι επακόλουθες καθυστερήσεις στην υλοποίηση των νέων εφαρμογών προκάλεσε εν αγνοία μου πιθανόν το πρόβλημα επαναφοράς των διευθύνσεων στις λίστες μας…Παρά τις αντίξοες οικονομικές συνθήκες των καιρών μας, ήδη έχω προχωρήσει σε νέα χρηματική επένδυση και αυστηρές οδηγίες στους προγραμματιστές να ετοιμάσουν μηχανισμό που θα με απαλλάξει από τέτοιου είδους φαινόμενα.» Κατόπιν τούτων, η Αρχή κάλεσε με τo υπ’ αρ. πρωτ. Γ/ΕΞ/1817/15-03-2011 έγγραφό της την εταιρεία, όπως νομίμως εκπροσωπείται, να παραστεί στη συνεδρίαση του Τμήματος της Αρχής, την Τρίτη 5.04.2011 και ώρα 10.00 π.μ., για τη συζήτηση των προαναφερόμενων καταγγελιών. Στη συνεδρίαση της Αρχής, την 5.04.2011, παρέστησαν νομίμως ο ιδιοκτήτης της εταιρείας, Z, και ο Χ. Ζυγογιάννης, δικηγόρος της εταιρείας. Η εταιρεία ζήτησε και έλαβε την αναβολή της συζήτησης της υπόθεσης προκειμένου να υποβάλει μέχρι τις 8.04.2011 υπόμνημα σχετικά με τις εξεταζόμενες καταγγελίες. Η εταιρεία υπέβαλε το υπόμνημα της με το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/2480/8-4-2011 έγγραφό της, το οποίο εξετάστηκε από την Αρχή, κατά την συνεδρίαση του Τμήματος, την 10.05.2011. Οι καταγγελίες των Α, Β, Γ, και Ε κατά της εταιρείας X εξετάζονται από κοινού λόγω συνάφειας. Η Αρχή, αφού άκουσε τον εισηγητή και τον βοηθό εισηγητή της υπόθεσης και έλαβε υπόψη όλα τα στοιχεία του φακέλου, μετά και από διεξοδική συζήτηση, ΣΚΕΦΘΗΚΕ ΣΥΜΦΝΑ ΜΕ ΤΟΝ ΝΟΜΟ 1. Σύμφωνα με τα οριζόμενα στο άρθρο 4 παρ. 1 εδ. α΄ του Ν. 2472/1997 τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών. Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου αποτελούν δεδομένα προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 2 στοιχ. α΄ του Ν. 2472/1997, όταν ανήκουν σε φυσικά πρόσωπα. Η συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου φυσικών προσώπων από δημόσιους χώρους στο διαδίκτυο (π.χ. από ιστοσελίδες) για τους σκοπούς της προώθησης προϊόντων και υπηρεσιών είναι αντίθετη προς τη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ειδικότερα, για τα δεδομένα αυτά ισχύει ότι: α) η επεξεργασία τους αντίκειται στις διατάξεις του άρθρου 4 του Ν.2472/1997, καθόσον δεν συλλέγονται με τρόπο θεμιτό και νόμιμο και για καθορισμένους και νόμιμους σκοπούς και δεν υφίσταται θεμιτή και νόμιμη επεξεργασία εν όψει των σκοπών αυτών. Ειδικότερα, το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ανακοινώνει τη διεύθυνσή του δημοσίως για τελείως διαφορετικό σκοπό, για παράδειγμα για την αποστολή μηνυμάτων επικοινωνίας για προσωπικούς σκοπούς ή για τη συμμετοχή του σε ομάδες συζήτησης. β) το έννομο συμφέρον που επιδιώκει ο υπεύθυνος επεξεργασίας ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα δεν υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς προκαλείται σημαντική όχληση στους αποδέκτες των μηνυμάτων αλλά και πιθανά επιπρόσθετο κόστος από τη χρήση υπηρεσιών διαδικτύου για την ανάγνωση των μηνυμάτων. Συνεπώς, η συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου χωρίς τη συγκατάθεση του υποκειμένου παραβιάζει την παρ. 2 στοιχ. ε΄ του άρθρου 5 του Ν. 2472/19971. (Βλ. και απόφαση 83/2009 της Αρχής αναρτημένη στην ιστοσελίδα της). 2. Σύμφωνα με τα οριζόμενα στο άρθρο 11 παρ. 1 του Ν. 3471/2006: «Η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, με ή χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς.» 3. Σύμφωνα με τα οριζόμενα στο άρθρο 11 παρ. 3 του Ν. 3471/2006: «Τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου που αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής, μπορούν να χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών, ακόμη και όταν ο αποδέκτης του μηνύματος δεν έχει δώσει εκ των προτέρων τη συγκατάθεσή του, υπό τον όρο ότι του παρέχεται κατά τρόπο σαφή και ευδιάκριτο η δυνατότητα να αντιτάσσεται, με εύκολο τρόπο και δωρεάν, στη συλλογή και χρησιμοποίηση των ηλεκτρονικών του στοιχείων, και αυτό σε κάθε μήνυμα σε περίπτωση που ο χρήστης αρχικά δεν είχε διαφωνήσει σε αυτή την κρίση.» 4. Σύμφωνα με τα οριζόμενα στο άρθρο 11 παρ. 5 του Ν. 3471/2006: «Οι ανωτέρω ρυθμίσεις ισχύουν και για τους συνδρομητές που είναι νομικά πρόσωπα.» 5. Σύμφωνα με τα οριζόμενα στο άρθρο 5 παρ. 3 του Ν. 3471/2006: «όπου ο παρών νόμος απαιτεί τη συγκατάθεση του συνδρομητή ή χρήστη, η σχετική δήλωση δίδεται εγγράφως ή με ηλεκτρονικά μέσα. Στην τελευταία περίπτωση ο υπεύθυνος επεξεργασίας εξασφαλίζει ότι ο συνδρομητής ή ο χρήστης ενεργεί με πλήρη επίγνωση των συνεπειών που έχει η δήλωσή του η οποία καταγράφεται με ασφαλή τρόπο, είναι ανά πάσα στιγμή προσβάσιμη στο χρήστη ή συνδρομητή και μπορεί ανά πάσα στιγμή να ανακληθεί.» 6. Σύμφωνα με τα οριζόμενα στα άρθρα 2 στοιχ. ε΄και 6 του Ν. 2472/1997, ο υπεύθυνος επεξεργασίας οφείλει να γνωστοποιήσει εγγράφως στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη επεξεργασίας. 7. Από τα στοιχεία των φακέλων των πέντε εξεταζόμενων καταγγελιών των Α, Β, Γ, 1 Το σκεπτικό αυτό αναλύεται εκτενώς τόσο στο έγγραφο εργασίας 37 του 2000 της Ομάδας του άρθρου 29, το οποίο βασίζεται στην οδηγία 95/46/ΕΚ (σελ. 37, 38 και 43, 44 της ελληνικής έκδοσης), όσο και στο βιβλίο Regulating Spam, A European Perspective after the Adoption of the E-Privacy Directive (κεφάλαιο 4, Harvesting, σελ. 67-79), και Ε κατά τις συγκεκριμένης εταιρείας προκύπτουν τα ακόλουθα: • Η συλλογή από την εταιρεία διευθύνσεων ηλεκτρονικού ταχυδρομείου τρίτων από τα συνέδρια, στα οποία μετέχει η εταιρεία - μέθοδος (Β) στην απάντηση της εταιρείας - τα σεμινάρια και τις εκδηλώσεις, που διοργανώνει η εταιρεία - μέθοδος (Α) στην απάντηση της εταιρείας - δεν συνάδει με τη διάταξη του άρθρου 11 παρ. 1 του Ν. 3471/2006, καθόσον δεν εξασφαλίζεται η από τη διάταξη αυτή προβλεπόμενη ρητή συγκατάθεση των τρίτων - κατόχων των διευθύνσεων ηλεκτρονικού ταχυδρομείου. Αντίθετα, στην περίπτωση συλλογής διευθύνσεων από τους συμμετέχοντες στα συνέδρια-σεμινάρια-εκδηλώσεις, η προηγούμενη ρητή συγκατάθεση δίδεται από τους ίδιους τους ενδιαφερόμενους, και επομένως η πρακτική αυτή συνάδει με τη διάταξη του άρθρου 11 παρ. 1 του Ν. 3471/2006. • Η συλλογή από την εταιρεία διευθύνσεων ηλεκτρονικού ταχυδρομείου των εκθετών στις κλαδικές εκθέσεις - μέθοδος (Γ) στην απάντηση της εταιρείας - δεν συνάδει με τις διατάξεις του άρθρου 11 του Ν.3471/2006, καθόσον σύμφωνα με την παράγραφο 5 του άρθρου αυτού η συγκατάθεση του εκάστοτε αποδέκτη μηνύματος ηλεκτρονικού ταχυδρομείου δεν εξαρτάται από το εάν ο αποδέκτης του μηνύματος ηλεκτρονικού ταχυδρομείου είναι νομικό ή φυσικό πρόσωπο. • Η συλλογή από την εταιρεία διευθύνσεων ηλεκτρονικού ταχυδρομείου από αιτήσεις που δέχεται η εταιρεία για να συμπεριλάβει μια ή περισσότερες ηλεκτρονικές διευθύνσεις στους αποδέκτες των εντύπων τους - μέθοδος () στην απάντηση της εταιρείας - δεν συνάδει με τις διατάξεις του άρθρου 11 παρ. 1 του Ν. 3471/2006, σε περίπτωση που στις εν λόγω αιτήσεις περιλαμβάνονται διευθύνσεις ηλεκτρονικού ταχυδρομείου που ανήκουν σε τρίτους. Στην περίπτωση διευθύνσεων, οι οποίες χορηγούνται στην εταιρεία από τους ίδιους, δεν υφίσταται κάποια παράβαση, καθώς πληρούνται οι διατάξεις του άρθρου 11 παρ. 1 του Ν. 3471/2006. • Η συλλογή από την εταιρεία διευθύνσεων ηλεκτρονικού ταχυδρομείου μέσω ιστοσελίδων, οι οποίες παρέχουν ηλεκτρονική διεύθυνση επικοινωνίας των κατόχων τους - μέθοδος (Ε) στην απάντηση της εταιρείας - παραβιάζει τα αναφερόμενα στην ως άνω παράγραφο 1 του σκεπτικού, καθώς συνεπάγεται τη συλλογή διευθύνσεων για διαφορετικό σκοπό από τον σκοπό δημοσίευσής τους. Η επίμαχη επεξεργασία αντίκειται στη διάταξη του άρθρου 5 παρ. 2 στοιχ. ε΄ του Ν.2472/1997, καθόσον το έννομο συμφέρον του υπεύθυνου επεξεργασίας (εταιρεία) δεν υπερέχει προφανώς των δικαιωμάτων των ατόμων στα οποία αναφέρονται τα δεδομένα. • Η εταιρεία δεν ικανοποιεί προσηκόντως τη δυνατότητα διαγραφής από τη λίστα παραληπτών, ύστερα από σχετικό αίτημα, παραβιάζοντας με τον τρόπο αυτό το δικαίωμα αντίρρησης του άρθρου 13 του Ν.2472/1997. Συγκεκριμένα, η εταιρεία δεν ικανοποιεί κατά τη συλλογή της ηλεκτρονικής διεύθυνσης των παραληπτών των ενημερωτικών φυλλαδίων της εταιρείας το δικαίωμα ενημέρωσης του υποκειμένου, όπως ορίζεται στο άρθρο 11 του Ν. 2472/1997. • Η εταιρεία δεν λαμβάνει κατάλληλα οργανωτικά και τεχνικά μέτρα ασφάλειας, όπως ορίζεται στο άρθρο 10 παρ. 3 του Ν. 2472/1997, για την ασφάλεια των προσωπικών δεδομένων των παραληπτών και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επικοινωνίας. • Η συλλογή και καταγραφή διευθύνσεων ηλεκτρονικού ταχυδρομείου συνιστούν επεξεργασία που οδηγεί στην δημιουργία αρχείου δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 2 στοιχ. ε΄ του Ν.2472/1997. Συνεπώς, η εταιρεία ως υπεύθυνος επεξεργασίας για το εν λόγω αρχείο όφειλε να γνωστοποιήσει, κατά τα οριζόμενα στο άρθρο 6 παρ. 1 του Ν. 2472/1997, τη σύσταση και λειτουργία του εν λόγω αρχείου, καθώς και την έναρξη της επεξεργασίας. Η γνωστοποίηση αυτή θα πρέπει να πληροί τους όρους και προϋποθέσεις που θέτει η παρ. 2 του άρθρου 6 του Ν. 2472/1997. ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η Αρχή 1) Κρίνει ότι η συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου χωρίς την προηγούμενη συγκατάθεση των υποκειμένων συνιστά παράνομη επεξεργασία, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 4 παρ. 1 στοιχ. α΄ και 5 παρ. 2 στοιχ. ε΄ του Ν. 2472/1997. Η Αρχή επιβάλλει πρόστιμο δυο χιλιάδων ευρώ (2.000€) στην εταιρεία X για τη διαπιστωθείσα παράβαση που συντελείται με την παράνομη επεξεργασία διευθύνσεων ηλεκτρονικού ταχυδρομείου και διατάσσει την εταιρεία X να διακόψει τη συλλογή ηλεκτρονικών διευθύνσεων από ιστοσελίδες και από οδηγούς κλαδικών εκθέσεων, καθώς και να διαγράψει από το αρχείο παραληπτών των ενημερωτικών φυλλαδίων της εταιρείας τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που έχουν συλλεγεί με αυτούς τους τρόπους. 2) Κρίνει ότι η αποστολή διαφημιστικών μηνυμάτων ηλεκτρονικού ταχυδρομείου και τηλεομοιοτυπίας (FAX) χωρίς τη συγκατάθεση των συνδρομητών συνιστά παραβίαση του άρθρου 11 παρ. 1 του Ν. 3471/2006 και επιβάλλει πρόστιμο δυο χιλιάδων ευρώ (2.000€) στην εταιρεία X. 3) Απευθύνει προειδοποίηση στην εταιρεία X για λήψη, εντός χρονικού διαστήματος τριών (3) μηνών, κατάλληλων οργανωτικών και τεχνικών μέτρων ασφαλείας για την προστασία των προσωπικών δεδομένων των παραληπτών της, σύμφωνα με τα οριζόμενα στο άρθρο 10 παρ. 3 του νόμου 2472/1997. 4) Απευθύνει σύσταση στην εταιρεία X να τηρεί το δικαίωμα ενημέρωσης κατά τη συλλογή των ηλεκτρονικών διευθύνσεων των παραληπτών των ενημερωτικών της φυλλαδίων, σύμφωνα με τα οριζόμενα στο άρθρο 11 του Ν. 2472/1997. 5) Απευθύνει σύσταση στην εταιρεία X να ικανοποιεί το δικαίωμα διαγραφής των παραληπτών των ενημερωτικών της φυλλαδίων, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 11 παρ. 3 του Ν. 3471/2006 και 13 του Ν. 2472/1997. 6) Απευθύνει σύσταση στην εταιρεία X, ως υπεύθυνο επεξεργασίας, να γνωστοποιήσει στην Αρχή τη σύσταση και τη λειτουργία αρχείου με προσωπικά δεδομένα.
πηγή: NOMOS
Δημήτριος Χ. Καραγιάννης, δικηγόρος, Θεσσαλονίκη - Αθήνα.