tuv-iso-logo tuv-iso-27001-logo
  • 29/09/2021

ΑΠΔΠΧ 42/2021 – Όροι νομιμότητας αποστολής email σε πολλαπλούς παραλήπτες

Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.

Μια ενδιαφέρουσα απόφαση εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, που αφορά  στην νομιμότητα της αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου σε πολλαπλούς παραλήπτες, με την ταυτόχρονη όμως εμφάνιση όλων των ηλεκτρονικών διευθύνσεων των παραληπτών, σε τρόπο ώστε, να αυτή να καθίσταται γνωστή και εμφανής στο σύνολο των παραληπτών. Η απόφαση παρουσιάζει ενδιαφέρον, καθώς είναι συνήθης η τακτική πολλές εταιρείες, είτε προς τον σκοπό ενημέρωσης των πελατών τους (newsletter), είτε ακόμη και προς τον σκοπό διαφήμισης των προϊόντων και υπηρεσιών τους να αποστέλλουν ταυτόχρονα τυποποιημένα μηνύματα σε πολλαπλούς αποδέκτες, με τρόπο που να είναι εμφανής η ηλεκτρονική διεύθυνση όλων των αποδεκτών του μηνύματος.

Η υπόθεση εξετάστηκε μετά από καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όταν στην καταγγέλλουσα  απεστάλη στην προσωπική ηλεκτρονική της διεύθυνση δελτίο τύπου από πολιτικό φορέα, χωρίς η ίδια να έχει παράσχει την συγκατάθεση της προς τούτο, ενώ παράλληλα, η ίδια παραπονείτο γιατί, η ηλεκτρονική διεύθυνσή της ήταν εμφανής στους άλλους παραλήπτες του μηνύματος.

Η Αρχή με την υπ. αριθμ. 42/2021 απόφαση της έκρινε σχετικά τα εξής:

Από τα στοιχεία της καταγγελίας προέκυψε ότι, το περιεχόμενο του μηνύματος ήταν δελτίο τύπου σε σχέση με την πολιτική δράση μέλους της Βουλής και ότι οι εμφανιζόμενες διευθύνσεις ηλεκτρονικού ταχυδρομείου, οι οποίες, όπως προκύπτει από πολλά από τα ονόματα χώρου των ηλεκτρονικών διευθύνσεων των αποδεκτών, σχετίζονται σε μεγάλο βαθμό με δημοσιογράφους, είναι σε αρκετές περιπτώσεις άμεσα σχετιζόμενες με το ονοματεπώνυμό τους και είναι ορατές σε όλους τους αποδέκτες.

Σύμφωνα με το άρθρο 4 στοιχ. 1 του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (εφεξής ΓΚΠΔ) δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»). Το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου. Στο πλαίσιο αυτό, η διεύθυνση ηλεκτρονικού ταχυδρομείου ενός φυσικού προσώπου αποτελεί δεδομένο προσωπικού χαρακτήρα, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου της, επιτρέποντας την επικοινωνία με αυτόν, ενώ σε αρκετές περιπτώσεις φέρει ακόμα και στοιχεία του ονόματος του κατόχου ταυτοποιώντας τον άμεσα.

Στο άρθρο 4 στοιχ. 7 του ΓΚΠΔ, ως υπεύθυνος επεξεργασίας ορίζεται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία, ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».

Στο άρθρο 5 παρ. 1 του ΓΚΠΔ ορίζονται οι Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Σε αυτές περιλαμβάνονται οι αρχές της ακρίβειας (εδαφ. δ’), σύμφωνα με την οποία τα δεδομένα πρέπει να είναι ακριβή σε σχέση με τους σκοπούς της επεξεργασίας και της ακεραιότητας και εμπιστευτικότητας (εδαφ. στ’), σύμφωνα την οποία τα δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο, που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη, ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή, ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών, ή οργανωτικών μέτρων.

Με βάση το άρθρο 6 παρ. 1 του ΓΚΠΔ, «η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: (…) α) το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, (…) στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον, ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.»

Στο άρθρο 32 παρ. 1 και 2 του ΓΚΠΔ ορίζεται ότι: «1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων (…) 2. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία, ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση, ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν, ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία».

Όπως προέκυψε από τα στοιχεία του φακέλου της υπόθεσης, η επεξεργασία της ηλεκτρονικής διεύθυνσης της καταγγέλλουσας, η οποία υπήρξε εν μέρει αυτοματοποιημένη κατ’ αρ. 2 παρ. 1 ΓΚΠΔ, έγινε από την καταγγελλόμενη, ως υπεύθυνο επεξεργασίας, για σκοπό αποστολής δελτίου τύπου σε σχέση με πολιτική δράση μέλους της Βουλής των Ελλήνων. Από τους αποδέκτες του ηλεκτρονικού μηνύματος προκύπτει ότι αποδέκτες αυτού ήταν κυρίως δημοσιογράφοι. Η επεξεργασία στοιχείων επικοινωνίας δημοσιογράφων για το σκοπό αυτό μπορεί να είναι σύννομη, είτε με τη νομική βάση της συγκατάθεσης του υποκειμένου των δεδομένων (άρθρο 6 παρ. 1 α’ ΓΚΠΔ), είτε επί τη βάση του υπέρτερου εννόμου συμφέροντος (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ). Η καταγγελλόμενη αποδέχεται ότι, η αποστολή του δελτίου τύπου στη διεύθυνση ηλεκτρονικής αλληλογραφίας της καταγγέλλουσας, έγινε εκ παραδρομής, αλλά προκύπτει ότι, θεωρούσε ότι η διεύθυνση αντιστοιχεί σε δημοσιογράφο. Συνεπώς στην προκειμένη περίπτωση, προκύπτει ότι, η επεξεργασία της διεύθυνσης της καταγγέλλουσας βασίστηκε στο άρθρο 6 παρ. 1 στ’ ΓΚΠΔ και άρα ο ισχυρισμός της καταγγέλλουσας ότι, δεν είχε παράσχει συγκατάθεση δεν ασκεί έννομη επιρροή, ώστε να τεκμηριωθεί παραβίαση του άρθρου 6 παρ. 1 α’ ΓΚΠΔ.

Με βάση το άρθρο 32 του ΓΚΠΔ η χρήση ηλεκτρονικών διευθύνσεων για την ικανοποίηση του σκοπού της επεξεργασίας, πρέπει να γίνεται με τρόπο που εξασφαλίζει το μικρότερο δυνατό κίνδυνο σε σχέση με τα φυσικά πρόσωπα που είναι αποδέκτες των μηνυμάτων. Στην προκειμένη περίπτωση, η συμπερίληψη της διεύθυνσης ηλεκτρονικού ταχυδρομείου της καταγγέλλουσας στο πεδίο «Προς» του μηνύματος ηλεκτρονικού ταχυδρομείου κατέστησε γνωστή τη διεύθυνση αυτή σε όλους τους αποδέκτες του μηνύματος. Με δεδομένο ότι, πολλές από τις διευθύνσεις παραληπτών αντιστοιχούν σε προσωπικές ηλεκτρονικές διευθύνσεις φυσικών προσώπων, οι οποίες δεν έχουν εκ του ονόματος χώρου αυτών σύνδεση με κάποιο μέσο επικοινωνίας (π.χ. του τύπου email@μέσοεπικοινωνίας.gr), ο υπεύθυνος επεξεργασίας όφειλε να αποτρέψει τον εν λόγω κίνδυνο, μέσω οργανωτικών μέτρων, όπως με την χρήση «κρυφής κοινοποίησης», ή με την αποστολή μεμονωμένων μηνυμάτων, εφόσον υπάρχει η δυνατότητα.

Περαιτέρω, καθώς η συμπερίληψη της διεύθυνσης της καταγγέλλουσας έγινε, σύμφωνα με την καταγγελλόμενη, εκ παραδρομής, προκύπτει επίσης ότι, δεν υπήρχαν τα κατάλληλα μέτρα για την διασφάλιση της αρχής της ακρίβειας (άρθρο 5 παρ. 1 δ’ ΓΚΠΔ) καθώς η καταγγελλόμενη βαρυνόταν με την υποχρέωση να έχει ελέγξει αν η διεύθυνση αντιστοιχεί σε δημοσιογράφο.

Η Αρχή έλαβε υπόψη ότι, οι επιπτώσεις από την αποκάλυψη της ηλεκτρονικής διεύθυνσης της καταγγέλλουσας σε δημοσιογράφους είναι ήσσονος σημασίας, ότι η ενέργεια αυτή έχει γίνει χωρίς δόλο, καθώς ο υπεύθυνος επεξεργασίας θεωρούσε ότι, η διεύθυνση αντιστοιχούσε σε δημοσιογράφο και ότι, προέβη άμεσα σε ενέργεια αντιμετώπισης της παράβασης, διαγράφοντας τη διεύθυνση από τα αρχεία του αμέσως μόλις έλαβε γνώση της καταγγελίας. Βάσει των ανωτέρω, η Αρχή έκρινε ομόφωνα ότι, σύμφωνα με το άρθρο 32 παρ. 1, σε συνδυασμό με το άρθρο 5 παρ. 1 στ’ του ΓΚΠΔ και το άρθρο 5 παρ. 1 δ’, συντρέχουν οι προϋποθέσεις άσκησης προς τον υπεύθυνο επεξεργασίας της διορθωτικής εξουσίας του άρθρου 58 παρ. 2 β΄ του ΓΚΠΔ, η οποία κρίνεται ανάλογη με τη βαρύτητα της παράβασης.

Κατόπιν αυτών η Αρχή απηύθυνε στην καταγγελλόμενη επίπληξη για την παράβαση των άρθρων 32 παρ. 1 σε συνδυασμό με το άρθρο 5 παρ. 1 στ’ και του άρθρου 5 παρ. 1 δ’ του ΓΚΠΔ.