Διαφημιστικά μηνύματα μέσω Viber και Προστασία Προσωπικών Δεδομένων

 

 Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α. 


Την καταγγελία πολίτη, ο οποίος μετά από συναλλαγή του με εμπορική επιχείρηση, δέχτηκε στο κινητό του τηλέφωνο και ειδικότερα μέσω της εφαρμογής VIBER, διαφημιστικά και ενημερωτικά μηνύματα από την εν λόγω εταιρεία, χωρίς όμως να έχει δώσει την ρητή συγκατάθεση του για περαιτέρω χρήση του αριθμού του κινητού του τηλεφώνου, διερεύνησε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία με την υπ. αριθμ. 66/2018 απόφαση της απηύθυνε σχετική επίπληξη στον υπεύθυνο επεξεργασίας των προσωπικών δεδομένων της εν λόγω εταιρείας, λόγω παραβίασης των διατάξεων και του προϊσχύσαντος Ν.2472/1997, όσο και του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (ΓΚΠΔ).

 

Ειδικότερα και σύμφωνα με την ως άνω απόφαση της η Αρχή έκρινε τα εξής:

 

Μετά από την λήψη της σχετικής καταγγελίας, η Αρχή ζήτησε εγγράφως εξηγήσεις από τον υπεύθυνο επεξεργασίας της καταγγελλόμενης εταιρείας, ο οποίος υποστήριξε ότι, εσφαλμένα ο καταγγέλων υποστήριξε ότι δεν υπήρξε η συγκατάθεση του στην συλλογή του αριθμού του κινητού τηλεφώνου του, καθώς ο ίδιος χορήγησε τον τηλεφωνικό του αριθμό στην εταιρεία, στο πλαίσιο προηγούμενων συναλλαγών του και ότι, η εταιρεία έλαβε την συγκατάθεση του για την αποστολή διαφημιστικών μηνυμάτων, μέσω της διαδικασίας 4 σταδίων της εφαρμογής VIBER BUISNESS, η οποία εξασφαλίζει τις προϋποθέσεις νομιμότητας . Ο υπεύθυνος επεξεργασίας της εταιρείας ισχυρίστηκε ότι, για την αποστολή μηνυμάτων μέσω της εφαρμογής VIBER, εφαρμόζεται η διάταξη του άρθρου 11 παρ. 3 του Ν.3741/2006, η οποία του δίνει την δυνατότητα, υπό προϋποθέσεις, να αποστέλλει διαφημιστικά μηνύματα σε πελάτες της επιχείρησης .

 

Το άρθρο 2 του Ν.2472/1997 ορίζει ότι, δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων .Υποκείμενο δε των δεδομένων είναι το φυσικό πρόσωπο  στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή, ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας, ή βάσει ενός, ή περισσοτέρων συγκεκριμένων στοιχείων, που χαρακτηρίζουν την υπόσταση του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική, ή κοινωνική. Στο πλαίσιο αυτό ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει, ως στοιχείο έμμεσης αναγνώρισης του κατόχου του, επιτρέποντας την επικοινωνία με αυτόν .

 

Στο άρθρο 5 του Ν.2472/1997 προβλέπεται ότι, η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο, όταν το υποκείμενο των δεδομένων έχει δώσει την συγκατάθεση του ( παρ. 1) και κατ’ εξαίρεση και χωρίς την συγκατάθεση του, όταν είναι απολύτως αναγκαίο για την ικανοποίηση του εννόμου συμφέροντος, που επιδιώκει ο υπεύθυνος επεξεργασίας, ή ο τρίτος, ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα και υπό τον όρο ότι, τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών (παρ. 2 εδαφ. ε). Αντίστοιχα, στο άρθρο 6 παρ. 1 του ΓΚΠΔ προβλέπονται οι προϋποθέσεις για το σύννομο της επεξεργασίας, η συναίνεση του υποκειμένου των δεδομένων για έναν ή περισσότερους συγκεκριμένους σκοπούς (εδαφ.α), και το υπέρτερο συμφέρον του υπεύθυνου επεξεργασίας (εδαφ. στ) .

 

Εξάλλου, στο άρθρο 2 του Ν.2472/1997 ορίζεται ως συγκατάθεση του υποκειμένου των δεδομένων, κάθε ελεύθερη, ρητή και ειδική δήλωση βούλησης, που εκφράζεται με τρόπο σαφή και εν πλήρη επιγνώσει  και με την οποία το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα  δεδομένα προσωπικού χαρακτήρα, που το αφορούν. Αντίστοιχος ορισμός απαντάται και στο άρθρο 4 παρ. 1 του ΓΚΠΔ , ενώ στο άρθρο 7 του εν λόγω Κανονισμού ορίζονται πρόσθετες υποχρεώσεις για τη συγκατάθεση, όπως για παράδειγμα όταν η συγκατάθεση του υποκειμένου των δεδομένων, παρέχεται στο πλαίσιο γραπτής δήλωσης, η οποία αφορά και άλλα θέματα, το αίτημα για την συγκατάθεση υποβάλλεται κατά τρόπο ώστε, να είναι σαφώς διακριτό από τα άλλα θέματα ( παρ. 2) .

 

Στο άρθρο 3 του Ν.3471/2006 ορίζεται ότι, το πεδίο εφαρμογής του εν λόγω νόμου περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα για την διασφάλιση του απορρήτου των επικοινωνών, στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών. Στο πλαίσιο αυτό, όταν η επεξεργασία συνίσταται σε απευθείας εμπορική προώθηση προϊόντων και υπηρεσιών για διαφημιστικούς σκοπούς με αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου (στα οποία περιλαμβάνονται και SMS), μέσω υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών, τυγχάνει εφαρμογής το ειδικότερο άρθρο 11 του Ν.3471/2006 για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές υπηρεσίες. Ειδικότερα, σύμφωνα με την παρ. 1 του παραπάνω άρθρου η χρησιμοποίηση αυτομάτων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεμοιοτυπίας ή ηλεκτρονικού ταχυδρομείου και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών, με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο, αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς. Μοναδική εξαίρεση στην υποχρέωση προηγούμενης λήψης  συγκατάθεσης αποτελεί, σύμφωνα με την παρ. 3 του ίδιου άρθρου, η περίπτωση, κατά την οποία, τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου αποκτήθηκαν νομίμως στο πλαίσιο την πώλησης προϊόντων, ή υπηρεσιών, ή άλλης συναλλαγής και χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή, ή για την εξυπηρέτηση παρόμοιων σκοπών και υπό τις λοιπές προϋποθέσεις, που θέτει η συγκεκριμένη παράγραφος.

 

Για την αποστολή διαφημιστικού μηνύματος, μέσω της εφαρμογής VIBER, πραγματοποιείται επεξεργασία του αριθμού τηλεφώνου. Η αποστολή τέτοιων μηνυμάτων, κατά το χρόνο της αποστολής του καταγγελλόμενου μηνύματος ρυθμίζονταν από το Ν.2472/1997, ενώ μετά τις 25/5/2018 εμπίπτει στο πεδίο εφαρμογής του Κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία των Δεδομένων ΓΚΠΔ) και όχι στο πεδίο εφαρμογής του Ν.3471/2006 . Και τούτο διότι, η εφαρμογή VIBER, αποτελεί υπηρεσία της κοινωνία των πληροφοριών και όχι υπηρεσία ηλεκτρονικών υπηρεσιών σε δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών. Συνεπώς, η εξέταση της νομιμότητας της αποστολής του εν λόγω μηνύματος, πρέπει να γίνει με βάση τις διατάξεις του Ν.2472/1997, ενώ η μετά τις 25/5/2018 τήρηση και χρήση του αριθμού τηλεφώνου για διαφημιστικό σκοπό και η ισχύς της τυχόν συγκατάθεσης του υποκειμένου των δεδομένων, κρίνεται με βάση τις διατάξεις; του ΓΚΠΔ. Ειδικότερα, η νομιμότητα της εν λόγω επεξεργασίας μπορεί να βασιστεί, είτε στην συγκατάθεση του υποκειμένου της επεξεργασίας, είτε στο υπέρτερο έννομο συμφέρον του υπεύθυνου επεξεργασίας. Ειδικά, για την τελευταία περίπτωση, προκειμένου να κριθεί ότι, η επεξεργασία είναι απαραίτητη για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας και να εξασφαλίζονται τα δικαιώματα των υποκειμένων των δεδομένων, λαμβάνοντας υπόψη ότι, η αποστολή των μηνυμάτων αυτών προσομοιάζει στην αποστολή μηνυμάτων SMS σε δημόσιο δίκτυο τηλεφωνίας είναι απαραίτητο να πληρούνται τουλάχιστον οι ίδιες προϋποθέσεις, με αυτές που περιγράφονται στο άρθρο 11 παρ. 3 του Ν. 3471/2006 .

 

Εν προκειμένω από τα στοιχεία του φακέλου προκύπτει ότι, ο καταγγέλων είχε στο παρελθόν συναλλαγή με τον υπεύθυνο επεξεργασίας, στο πλαίσιο της οποίας του χορήγησε τον αριθμό του κινητού του τηλεφώνου. Όμως, το υποκείμενο της επεξεργασίας (πελάτης του υπευθύνου) δεν ενημερώθηκε κατά το στάδιο της χορήγησης του τηλεφωνικού του αριθμού, για τις περαιτέρω χρήσεις του αριθμού αυτού και ιδίως για το γεγονός ότι, θα χρησιμοποιηθεί για προώθηση προϊόντων  και υπηρεσιών .

 

Περαιτέρω, η εντός της εφαρμογής VIBER αποδοχή της λήψης μηνυμάτων από τον υπεύθυνο επεξεργασίας, μέσω της χρήσης της υπηρεσίας VIBER BUISNESS, δεν μπορεί να θεωρηθεί ως συγκατάθεση, καθώς δεν πληροί τα κριτήρια της συγκατάθεσης, όπως αυτά περιγράφονται στο άρθρο 2 παρ. ια του Ν.2472/1997 (αλλά ούτε και στο άρθρο 4 παρ. 11 του ΓΚΠΔ). Και τούτο διότι, προκύπτει ότι το υποκείμενο των δεδομένων, κατά την συλλογή των δεδομένων, δεν είχε ενημερωθεί κατάλληλα για το σκοπό της επεξεργασίας, ήτοι την προώθηση προϊόντων, ή υπηρεσιών της εταιρείας, ενώ ούτε κατά την αποστολή του μηνύματος προσδιορίζεται επαρκώς ο σκοπός της αποστολής αυτής, αν για παράδειγμα είναι για την εξυπηρέτηση της πελατειακής σχέσης,, ή για την αποστολή διαφημιστικών  μηνυμάτων. Συνεπώς, η χρήση της διαδικασίας τεσσάρων σταδίων, όπως περιγράφεται στο υπόμνημα του υπεύθυνου επεξεργασίας δεν διασφαλίζει την νομιμότητα της αρχικής χρήσης (συλλογής) του αριθμού τηλεφώνου, κατά την οποία δεν υπήρξε κατάλληλη ενημέρωση του υποκειμένου των δεδομένων για τον σκοπό της επεξεργασίας .

 

Συνεπώς διαπιστώνεται παράβαση του Ν.2472/1997, λόγω της επεξεργασίας του αριθμού τηλεφώνου πελάτη για την αποστολή μηνυμάτων, μέσω της ηλεκτρονικής εφαρμογής VIBER, χωρίς κατάλληλη ενημέρωση του παραλήπτη, παράβαση, η οποία συντελέστηκε σε χρόνο, κατά τον οποίο δεν είχε τεθεί σε εφαρμογή ο ΓΚΠΔ. Περαιτέρω, καθώς ο υπεύθυνος επεξεργασίας φαίνεται ότι, εφάρμοσε την εν λόγω διαδικασία αποστολής μηνύματος, προκειμένου να λάβει συγκατάθεση, η οποία θα ήταν σε ισχύ  και μετά την 25/5/2018, ο εν λόγω αριθμός τηλεφώνου τηρήθηκε μη νόμιμα, για σκοπό προώθησης προϊόντων και υπηρεσιών, όχι μόνο πριν, αλλά και μετά τις 25/5/2018 και κατά συνέπεια προσκρούει και στις διατάξεις του ΓΚΠΔ .

 

Η Αρχή, λαμβάνοντας υπόψη την βαρύτητα της παράβασης και το γεγονός ότι, δεν υπήρξε άλλο παράπονο κατά του υπευθύνου επεξεργασίας έκρινε ότι, θα πρέπει να απευθύνει σχετική επίπληξη στον υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδ. α του ΓΚΠΔ.