- 25/06/2018
ΔΕΕ: Υπεύθυνος επεξεργασίας και ο διαχειριστής fan page στο Facebook
Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.
Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.
Mία εξαιρετικά σημαντική προδικαστική απόφαση, ενόψει και της πλήρους εφαρμογής του Νέου Γενικού Κανονισμού Προσωπικών Δεδομένων (GDPR) εξέδωσε το Δικαστήριο της Ευρωπαϊκής Ένωσης (Τμήμα Μείζονος Συνθέσεως, στην συνεδρίαση του της 5ης Ιουνίου 2018), επί σχετικού αιτήματος, που υπέβαλλε ενώπιον του, το Ανώτατο Ομοσπονδιακό Διοικητικό Δικαστήριο της Γερμανίας και αφορούσε μεταξύ άλλων και τον χαρακτηρισμό ως από κοινού υπευθύνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, τόσο τον δημιουργό και διαχειριστή σελίδας (fan page) – δηλαδή λογαριασμού χρήστη, που μπορεί να δημιουργηθεί σε μέσο κοινωνικής δικτύωσης, όπως το FACEBOOK, από ιδιώτες ή από επιχειρήσεις, με σκοπό να προβάλλει τις δραστηριότητες του στους χρήστες του δικτύου -, όσο παράλληλα και τον φορέα που διαχειρίζεται το μέσο κοινωνικής δικτύωσης, όπως η FACEBOOK INC,(μητρική εταιρεία), ή και άλλη θυγατρική της, που δραστηριοποιείται σε Κράτος Μέλος, ή στην ΕΕ, όπως η FACEBOOK IRELAND.
Αφορμή για την υποβολή της σχετικής αίτησης στο ΔΕΕ αποτέλεσε η ένδικη διαφορά, που ανέκυψε στην Γερμανία, όταν η Ανεξάρτητη Περιφερειακή Αρχή Προστασίας Δεδομένων του Ομοσπονδιακού κρατιδίου Schleswig- Hollstein (αντίστοιχη της ΑΠΔΠΧ στην Ελλάδα) διέταξε μία εταιρεία ιδιωτικού δικαίου, η οποία εξειδικεύεται στον τομέα της εκπαίδευσης, να απενεργοποιήσει την σελίδα που είχε δημιουργήσει στο FACEBOOK, με την αιτιολογία ότι, ούτε η εταιρεία, ούτε και το FACEBOOK ενημέρωναν τους επισκέπτες της σελίδας αυτής, ότι το FACEBOOK συνέλεγε με την χρήση COOKIES πληροφορίες προσωπικού χαρακτήρα, που τους αφορούν και ότι στην συνέχεια πραγματοποιούνταν επεξεργασία των πληροφοριών αυτών.
Η ιδιωτική εταιρεία υπέβαλε ένταση κατά της παραπάνω απόφασης υποστηρίζοντας κατ’ ουσίαν ότι, δεν ήταν η ίδια υπεύθυνη, βάση του εφαρμοστέου επί της προστασίας δεδομένων, δικαίου, ούτε για την επεξεργασία των δεδομένων από το FACEBOOK, ούτε και για τα COOKIES, που αυτό τοποθετεί. Η ένσταση αυτή, που αρχικά απορρίφθηκε από την ως; άνω Γερμανική Αρχή Προστασίας Δεδομένων (ULD) έγινε στην συνέχεια δεκτή από το αντίστοιχο Διοικητικό Πρωτοδικείο της Γερμανίας, ενώ και η έφεση που άσκησε κατά της απόφασης αυτή η Γερμανική ULD απορρίφθηκε επίσης από το Διοικητικό Εφετείο της Γερμανίας. Έτσι, η Ανεξάρτητη Περιφερειακή Αρχή Προστασίας Δεδομένων του Ομοσπονδιακού κρατιδίου Schleswig- Hollstein προσέφυγε ενώπιον του Ανωτάτου Ομοσπονδιακού Διοικητικού Δικαστηρίου της Γερμανίας, το οποίο, όπως και το Διοικητικό Πρωτοδικείο και το Διοικητικό Εφετείο εκτίμησε ότι, η ιδιωτική εταιρεία εκπαίδευσης δεν μπορεί να θεωρηθεί η ίδια ως υπεύθυνη επεξεργασίας δεδομένων, κατά την έννοια των διατάξεων της Οδηγίας 95/46, ενώ παράλληλα, εξέφρασε αμφιβολίες ως προς τις εξουσίες που διέθετε η ULD έναντι της FACEBOOK GERMANY, λαμβανομένου υπόψη ότι, υπεύθυνη για την συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός του Ομίλου της FACEBOOK είναι σε επίπεδο Ένωσης η FACEBOOK IRELAND και για τον λόγο αυτό απευθύνθηκε μα αίτηση της για την έκδοση προδικαστικής απόφασης επί των ζητημάτων αυτών στο ΔΕΕ, το οποίο έκρινε τα εξής:
Οι σελίδες (fan pages), είναι λογαριασμοί χρηστών, που μπορούν να δημιουργούνται στο FACEBOOK ή σε άλλα μέσα κοινωνικής δικτύωσης, από ιδιώτες, ή από επιχειρήσεις .Συγκεκριμένα, ο δημιουργός της σελίδας, ο οποίος έχει προηγουμένως εγγραφεί στο FACEBOOK, μπορεί να χρησιμοποιήσει την πλατφόρμα του εν λόγω μέσου κοινωνικής.
δικτύωσης για να προβάλει τις δραστηριότητες του στους χρήστες του FACEBOOK, καθώς και στα πρόσωπα που επισκέπτονται την σελίδα του και να διοχετεύσει κάθε είδους ανακοινώσεις στην αγορά των μέσων επικοινωνίας και της δημόσιας εκφράσεως .Οι διαχειριστές των σελίδων μπορούν να λαμβάνουν ανώνυμα στατιστικά στοιχεία, σχετικά με τους επισκέπτες των σελίδων αυτών, με την βοήθεια του εργαλείου FACEBOOK INSIGHT, το οποίο τίθεται δωρεάν στην διάθεση τους από το FACEBOOK, σύμφωνα με όρους χρήσεως, μη δυνάμενους να τροποποιηθούν .Τα στοιχεία αυτά συλλέγονται χάρη σε αναγνωριστικά αρχεία (COOKIES), τα οποία διαθέτουν το καθένα τον δικό του κωδικό χρήσεως, παραμένουν ενεργά επί δύο έτη και αποθηκεύονται από το FACEBOOK στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή, ή σε οποιαδήποτε άλλη συσκευή των επισκεπτών της σελίδας. Ο κωδικός χρήσεως, ο οποίος μπορεί να συσχετιστεί με τα δεδομένα συνδέσεως των εγγεγραμμένων χρηστών του FACEBOOK συλλέγεται και υποβάλλεται σε επεξεργασία κατά το άνοιγμα των σελίδων.
Το άρθρο 2 στοιχείο δ της Οδηγίας 95/46 δίνει στην έννοια ¨υπεύθυνος επεξεργασίας¨ ευρύ ορισμό, που καλύπτει κάθε φυσικό, ή νομικό πρόσωπο, δημόσια Αρχή, ή υπηρεσία, ή οποιονδήποτε άλλο φορέα, που μόνος του, ή από κοινού με άλλους καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Εν προκειμένω, πρέπει να γίνει δεκτό ότι, η FACEBOOK INC και σε επίπεδο Ένωσης η FACEBOOK IRELAND είναι αυτές που κατά κύριο λόγο καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των χρηστών του FACEBOOK, καθώς και των επισκεπτών των σελίδων, που φιλοξενούνται στο FACEBOOK και συνεπώς εμπίπτουν στην έννοια ¨υπεύθυνος επεξεργασίας¨, κατά το άρθρο 2 στοιχείο δ της Οδηγίας 95/46, πράγμα το οποίο δεν αμφισβητείται στην συγκεκριμένη υπόθεση.
Συναφώς, επισημαίνεται ότι προφανώς, όποιος επιθυμεί να δημιουργήσει μία σελίδα στο FACEBOOK συνάπτει με την FACEBOOK IRELAND ειδική σύμβαση για το άνοιγμα τέτοιας σελίδας και αποδέχεται στο πλαίσιο αυτό, τους όρους χρήσης της σελίδας αυτής, συμπεριλαμβανομένης της σχετικής με την εν λόγω σελίδα πολιτικής για την χρήση COOKIES, πράγμα το οποίο εναπόκειται στο Εθνικό Δικαστήριο να εξακριβώσει .
Όπως προκύπτει από την ενώπιον του Δικαστηρίου δικογραφία, οι επίμαχες στην υπόθεση της κύριας δίκης, πράξεις επεξεργασίας δεδομένων διενεργούνται ουσιαστικά με την τοποθέτηση COOKIES από το FACEBOOK στον ηλεκτρονικό υπολογιστή, ή σε οποιαδήποτε άλλη συσκευή των προσώπων, που επισκέπτονται την σελίδα, με σκοπό την αποθήκευση πληροφοριών σχετικών με τους φυλλομετρητές ιστού, τα οποία παραμένουν ενεργά επί δύο έτη, εφόσον δεν διαγραφούν. Από την δικογραφία προκύπτει επίσης ότι, στην πράξη το FACEBOOK λαμβάνει, αποθηκεύει και επεξεργάζεται τις αποθηκευμένες στα COOKIES πληροφορίες, ιδίως όταν ένα πρόσωπο χρησιμοποιεί τις υπηρεσίες FACEBOOK, τις υπηρεσίες που παρέχονται από άλλες υπηρεσίες FACEBOOK και τις υπηρεσίες που παρέχονται από άλλες επιχειρήσεις, οι οποίες χρησιμοποιούν τις υπηρεσίες FACEBOOK. Επιπλέον, άλλοι φορείς, όπως οι συνεργαζόμενες με το FACEBOOK επιχειρήσεις, ή ακόμα και τρίτοι είναι δυνατόν να χρησιμοποιούν COOKIES στις υπηρεσίες του FACEBOOK, προκειμένου να προσφέρουν την παροχή υπηρεσιών απευθείας στον εν λόγω μέσο κοινωνικής δικτύωσης, καθώς και στις επιχειρήσεις, που διαφημίζονται στο FACEBOOK.
Σκοπός των ανωτέρω πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι μεταξύ άλλων, να παρέχεται η δυνατότητα, αφενός στο FACEBOOK να βελτιώνει το σύστημα δημοσιεύσεως διαφημίσεων μέσω του δικτύου του και αφετέρου στον διαχειριστή της σελίδας να λαμβάνει στατιστικές που καταρτίζει το FACEBOOK, με βάση τις επισκέψεις στην σελίδα αυτή, προκειμένου να καθορίσει, πως θα προωθήσει την δραστηριότητα του, στατιστικές, οι οποίες του επιτρέπουν να γνωρίζει, παραδείγματος χάριν, το προφίλ των επισκεπτών που εκδηλώνουν την προτίμηση τους για την σελίδα του, ή που χρησιμοποιούν δικές του εφαρμογές, ώστε να μπορεί να τους προσφέρει καλύτερο περιεχόμενο και να αναπτύξει λειτουργίες, που θα μπορούσαν να τους ενδιαφέρουν περισσότερο.
Πάντως, μολονότι απλά και μόνο η χρήση ορισμένου μέσου κοινωνικής δικτύωσης, όπως είναι το FACEBOOK δεν καθιστά τον χρήστη του συνυπεύθυνο για την διενεργούμενη από το μέσο αυτό επεξεργασία δεδομένων προσωπικού χαρακτήρα, εντούτοις, πρέπει να επισημανθεί ότι, ο διαχειριστής σελίδας φιλοξενούμενης στο FACEBOOK με την δημιουργία της σελίδας αυτής, παρέχει την δυνατότητα στο FACEBOOK να τοποθετεί COOKIES στον ηλεκτρονικό υπολογιστή, ή σε οποιαδήποτε άλλη συσκευή του επισκέπτη της σελίδας του εν λόγω διαχειριστή, ανεξαρτήτως του εάν ο επισκέπτης αυτός διαθέτει, ή όχι, λογαριασμό στο FΑCEBOOK.
Στο πλαίσιο αυτό από τα στοιχεία, που υποβλήθηκαν στο Δικαστήριο προκύπτει ότι, η δημιουργία σελίδας στο FACEBOOK προϋποθέτει την εκ μέρους του διαχειριστή της επιλογής συγκεκριμένων ρυθμίσεων, με γνώμονα μεταξύ άλλων, το κοινό στο οποίο στοχεύει ( κοινό – στόχος ), καθώς και τους σκοπούς διαχειρίσεως, ή προωθήσεως των δραστηριοτήτων του, επιλογή η οποία ασκεί επιρροή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, που διενεργείται για την κατάρτιση στατιστικών, με βάση τις επισκέψεις στην σελίδα αυτή. Ο διαχειριστής αυτός μπορεί με την βοήθεια φίλτρων, που θέτει στην διάθεση του το FACEBOOK, να καθορίζει τα κριτήρια βάση των οποίων θα καταρτίζονται οι στατιστικές, ακόμα και να ορίζει τις κατηγορίες προσώπων, των οποίων τα δεδομένα προσωπικού χαρακτήρα θα αποτελέσουν αντικείμενο εκμετάλλευσης από το FACEBOOK. Κατά συνέπεια, ο διαχειριστής σελίδας στο FACEBOOK συμβάλλει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας του.
Ειδικότερα, ο διαχειριστής της σελίδας μπορεί να ζητήσει να λάβει – και άρα να ζητήσει να τύχουν επεξεργασίας -, δημογραφικά δεδομένα, που αφορούν το κοινό – στόχο, ιδίως δεδομένα σχετικά με τα κυρίαρχα χαρακτηριστικά του, από απόψεως, ηλικίας, φύλλου, προσωπικής του και επαγγελματικής καταστάσεως, πληροφορίες σχετικά με τον τρόπο ζωής και τα ενδιαφέρονται του κοινού – στόχου, πληροφορίες σχετικά με τις αγορές και την αγοραστική συμπεριφορά στο διαδύκτιο των επισκεπτών της σελίδας του, τις κατηγορίες προϊόντων, ή υπηρεσιών, που τους ενδιαφέρουν περισσότερο, καθώς και γεωγραφικά δεδομένα, που παρέχουν στον διαχειριστή της σελίδας την δυνατότητα να αποφασίζει, που θα πραγματοποιήσει ειδικές προσφορές, ή που θα διοργανώνει εκδηλώσεις και γενικότερα να κατευθύνει αποτελεσματικότερα τις προτεινόμενες από αυτόν πληροφορίες.
Μολονότι οι στατιστικές επισκεψιμότητας, που καταρτίζει το FACEBOOK διαβιβάζονται στον διαχειριστή της σελίδας σε ανωνυμοποιημένη μορφή, γεγονός πάντως παραμένει ότι, η κατάρτιση των στατιστικών αυτών βασίζεται στην προηγούμενη συλλογή, μέσω των COOKIES, που τοποθετεί το FACEBOOK στους ηλεκτρονικούς υπολογιστές, ή σε οποιαδήποτε άλλη συσκευή των προσώπων που έχουν επισκεφθεί την σελίδα αυτή και στην επεξεργασία των προσωπικών δεδομένων των επισκεπτών αυτών, για στατιστικούς σκοπούς .Εν πάσει περίπτωση, η Οδηγία 95/46 δεν απαιτεί στην περίπτωση που υφίσταται από κοινού ευθύνη διαφόρων φορέων, για μία και την αυτή επεξεργασία, να έχει καθένας από αυτούς πρόσβαση στα σχετικά δεδομένα προσωπικού χαρακτήρα.
Με τις συνθήκες λοιπόν αυτές, πρέπει να γίνει δεκτό ότι, ο διαχειριστής σελίδας στο FACEBOOK συμμετέχει, μέσω της επιλογής των σχετικών ρυθμίσεων, η οποία αποτελεί συνάρτηση, μεταξύ άλλων, του κοινού – στόχου, καθώς και των σκοπών διαχειρίσεως, ή προωθήσεως των δραστηριοτήτων του, στον καθορισμό των σκοπών και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας που έχει δημιουργήσει. Για τον λόγο αυτό, ο διαχειριστής πρέπει εν προκειμένω να χαρακτηριστεί ως υπεύθυνος επεξεργασίας σε επίπεδο Ένωσης, από κοινού με την FACEBOOK IRELAND, για την επεξεργασία αυτή , κατά την έννοια του άρθρου 2 στοιχείο δ της Οδηγίας 95/46.
Τέλος, με την ίδια απόφαση κρίθηκε ότι, η αρχή προστασίας των δεδομένων του Κράτους – Μέλους στο οποίο ο διαχειριστής έχει την έδρα του και ασκεί την δραστηριότητα του δικαιούται με βάση τις διατάξεις της Οδηγίας 95/46 να επιβάλλει κυρώσεις, τόσο στον διαχειριστή της σελίδας, όσο και στην θυγατρική εταιρεία της FACEBOOK, η οποία είναι εγκατεστημένη στο κράτος αυτό.
Η παραπάνω προδικαστική απόφαση του ΔΕΕ θα αποτελέσει οδηγό, για την κρίση από τα Εθνικά Δικαστήρια κάθε κράτους – Μέλους της ΕΕ, ως προς τα σχετικά ζητήματα, αντίστοιχες ήταν και προτάσεις του Γενικού Εισαγγελέα του Δικαστηρίου.
