Προστασία προσωπικών δεδομένων των ανηλίκων στις υπηρεσίες κοινωνικής δικτύωσης

Transcript

1 Προστασία προσωπικών δεδομένων των ανηλίκων στις υπηρεσίες κοινωνικής δικτύωσης Ιωάννης Δ. Ιγγλεζάκης Επ. Καθηγητής Νομικής Σχολής ΑΠΘ Ι. Γενικά Οι υπηρεσίες κοινωνικής δικτύωσης, όπως είναι τα Facebook, Twitter, MySpace, Google+ κ.ά., είναι από τις πιο δημοφιλείς υπηρεσίες του σύγχρονου Διαδικτύου 1. Τα παιδιά και οι ανήλικοι, οι οποίοι χαρακτηρίζονται ως«ψηφιακοί ιθαγενείς», διότι μεγάλωσαν όσο το Διαδίκτυο ακόμα αναπτυσσόταν, κάνουν χρήση των υπηρεσιών αυτών σε μεγάλο ποσοστό 2. Σύμφωνα με έρευνα που διενεργήθηκε για λογαριασμό της Ευρωπαϊκής Επιτροπής, στην ΕΕ τα παιδιά ηλικίας 13 έως 16 ετών σε ποσοστό 77% και τα παιδιά ηλικίας 9 έως 12 ετών, σε ποσοστό 38%, διαθέτουν λογαριασμό σε υπηρεσία κοινωνικής δικτύωσης 3. Επίσης, ποσοστό 15% των παιδιών της πρώτης κατηγορίας δήλωσαν ότι είχαν περισσότερες από 100 επαφές, ενώ αυτό ήταν ο κανόνας, σε ορισμένα κράτη μέλη της ΕΕ, όσον αφορά τα παιδιά της δεύτερης κατηγορίας. Ωστόσο, οι ανήλικοι είναι η πιο ευάλωτη ομάδα χρηστών, διότι δεν έχουν τον ίδιο βαθμό ψυχικής και διανοητικής ωριμότητας, όπως οι ενήλικοι 4. Όπως είναι, συνε- 1. Βλ. I. Ιγγλεζάκη, Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης. Μέρος 1ο, Συνήγορος 2011 (84), σ. 74 επ. 2. Βλ. Ομάδα εργασίας του άρθρου 29, Γνώμη 5/2009 σχετικά με τις επιγραμμικές υπηρεσίες κοινωνικής δικτύωσης, , σ. 14. International Working Group on Data Protection in Telecommunications, Report and Guidance on Privacy in Social Network Services Rome Memorandum, 4 March 2008, σ Βλ. Ψηφιακό θεματολόγιο: τα παιδιά χρησιμοποιούν τις υπηρεσίες κοινωνικής δικτύωσης σε μικρότερη ηλικία, αλλά πολλά αγνοούν βασικούς κινδύνους της ιδιωτικής ζωής, συμπεραίνεται από πρόσφατη έρευνα, ΙΡ/11/479, Βλ. Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Η πλοήγηση των ανηλίκων στο Διαδίκτυο και η νομική προστασία των προσωπικών δεδομένων, Αρμ 2007, σ. 848 επ.

2 118 Η ΤΕΧΝΟΛΟΓΙΑ ΚΑΙ ΤΟ ΔΙΚΑΙΟ: ΜΙΑ ΣΥΜΒΙΩΤΙΚΗ ΣΧΕΣΗ πώς, εύλογο, τα προβλήματα προστασίας της ιδιωτικότητας και των προσωπικών δεδομένων που ανακύπτουν αναφορικά με τα μέσα κοινωνικής δικτύωσης παρουσιάζονται μεγεθυμένα στην περίπτωση των ανηλίκων. Πιο συγκεκριμένα, οι νέοι έχουν αναπτύξει τη δική τους σχέση με το Διαδίκτυο και τις διαδικτυακές υπηρεσίες και είναι διατιθέμενοι να θέσουν σε κίνδυνο την ιδιωτικότητά τους, δημοσιεύοντας πλήθος προσωπικών τους στοιχείων στα κοινωνικά δίκτυα 5. Έτσι, δεν συνειδητοποιούν ότι η αυτοέκθεσή τους αυτή μπορεί να έχει αρνητικές επιπτώσεις στην προσωπική και επαγγελματική τους ζωή. ΙΙ. Δημοσιοποίηση προσωπικών πληροφοριών Ειδικότερα, τα προβλήματα για την προστασία της ιδιωτικότητας των χρηστών των υπηρεσιών κοινωνικής δικτύωσης έχουν ως αιτία ότι οι χρήστες δεν διστάζουν να αναρτήσουν πλήθος προσωπικών πληροφοριών, κάνοντας χρήση του πραγματικού τους ονόματος και όχι ενός ψευδωνύμου. Παραπέρα, εισφέρουν στοιχεία που συντελούν στην ταυτοποίησή τους, όπως είναι, λ.χ., η πόλη όπου διαμένουν, το σχολείο ή το πανεπιστήμιο από το οποίο αποφοίτησαν, την προσωπική τους κατάσταση, τα ενδιαφέροντά τους, προσωπικές τους φωτογραφίες και φωτογραφίες μαζί με άλλα πρόσωπα, τα οποία επισημαίνονται σε αυτές, καθώς και κοινοποιήσεις παρουσίας 6. Τα κοινωνικά δίκτυα, ως γνωστόν, λειτουργούν συλλέγοντας πλήθος προσωπικών δεδομένων, τα οποία θέτουν στη διάθεση των άλλων χρηστών και για αυτό οι περιορισμοί στην επεξεργασία δεδομένων είναι εκτός της λογικής τους. Οι χρήστες, από την άλλη πλευρά, διέπονται από την επιθυμία της αυτοπροβολής και ένταξης στις ψηφιακές κοινότητες των κοινωνικών δικτύων και δεν αντιλαμβάνονται τις συνέπειες της αυτοέκθεσής τους, όπως προαναφέρθηκε. Ιδίως πρέπει να σημειωθεί ότι οι χρήστες δεν περιορίζονται στην αποκάλυψη πληροφοριών στον κύκλο προσώπων, τα οποία γνωρίζουν προσωπικά, αλλά αποδέχονται τις προσκλήσεις αγνώστων προσώπων, με τους οποίους συνακόλουθα μοιράζονται προσωπικά δεδομένα, με αποτέλεσμα να ελλοχεύει ο κίνδυνος να καταστούν θύματα διαδικτυακού εκφοβισμού, σεξουαλικής παρενόχλησης 7, όπως και να τύχουν τα προσωπικά 5. Βλ. International Working Group on Data Protection in Telecommunications, Report and Guidance on Privacy in Social Network Services Rome Memorandum, 4 March 2008, σ Βλ. Φ. Παναγοπούλου-Κουτνατζή, Οι ιστότοποι Κοινωνικής Δικτυώσεως, 2010, σ Βλ. A. Tsaoussi, Facebook Privacy and the Challenges of Protecting Minors on Social Networking Sites, διαθέσιμο στην ηλ. διεύθυνση:

3 ΙωAννης Δ. ΙγγλεζAκης 119 δεδομένα που τους αφορούν παράνομης επεξεργασίας, λ.χ., να αναδημοσιευθούν στο Διαδίκτυο από τρίτους. Ένα σημαντικό πρόβλημα είναι ότι οι λογαριασμοί, ιδίως των ανηλίκων, δεν προστατεύονται έναντι των τρίτων. Ειδικότερα, οι υπηρεσίες κοινωνικής δικτύωσης δεν διαθέτουν προεπιλεγμένες ρυθμίσεις που να προστατεύουν την ιδιωτικότητα των χρηστών, αλλά η τρέχουσα ρύθμιση είναι να είναι δημόσια προσβάσιμος ο λογαριασμός και, σπανίως, οι χρήστες αλλάζουν τη ρύθμιση αυτή 8. Σύμφωνα με έρευνα που ανακοινώθηκε από το ψηφιακό θεματολόγιο, το ένα τέταρτο των παιδιών που είναι χρήστες σε υπηρεσίες κοινωνικής δικτύωσης διαθέτουν δημόσια προσβάσιμο λογαριασμό, ενώ το ένα πέμπτο από αυτά, δήλωσαν ότι σε αυτό δημοσιεύονται η διεύθυνση ή/και ο αριθμός του τηλεφώνου τους. Μάλιστα, σε πολλά κράτη μέλη, τα νεαρότερα παιδιά είναι πιο πιθανό να έχουν δημόσιους λογαριασμούς 9. Παρά δε το ότι οι ιστοχώροι κοινωνικής δικτύωσης δεν παρέχουν υπηρεσίες σε πρόσωπα κάτω των 13 ετών, δεν διαθέτουν συστήματα επαλήθευσης της ηλικίας, με αποτέλεσμα να γίνεται χρήση των υπηρεσιών τους από πρόσωπα νεότερα των 13 ετών. Επιπλέον, το ψηφιακό χάσμα μεταξύ των γενεών καθιστά τα παιδιά περισσότερα ευάλωτα στο ψηφιακό περιβάλλον, καθώς οι γονείς λόγω της περιορισμένης γνώσης της ψηφιακής τεχνολογίας, αδυνατούν να ασκήσουν εποπτεία στις διαδικτυακές δραστηριότητες των παιδιών τους. ΙΙΙ. Αντιμετώπιση των προβλημάτων προστασίας δεδομένων Τα προβλήματα προστασίας δεδομένων προσωπικού χαρακτήρα των ανηλίκων, τα οποία σκιαγραφήθηκαν προηγουμένως, απαιτούν συγκεκριμένες παρεμβάσεις, για να αντιμετωπισθούν κατάλληλα. Σύμφωνα με τη γνώμη της ομάδας του άρθρου 29 10, πρέπει καταρχήν να ληφθεί μέριμνα για ενημέρωση των παιδιών μέσω του σχολείου, ώστε να γίνει συνείδηση η αναγκαιότητα της προστασίας των προσωπικών δεδομένων. Παραπέρα, πρέπει οι πάροχοι υπηρεσιών κοινωνικής δικτύωσης να λάβουν κατάλληλα μέτρα για την προστασία δεδομένων των ανηλίκων με τη λήψη της συγκατάθεσης των γονέων τους κατά την εγγραφή τους, τη μη συλλογή ευαίσθητων δεδομένων, την απουσία άμεσης εμπορικής προώθησης προς τους ανηλίκους, το διαχωρισμό των κοινοτήτων ανηλίκων και ενηλίκων, αλλά και την 8. Βλ. P. v. Eecke/M. Tryuens, Privacy and social networks, CLSR 2010, σ Βλ. Ψηφιακό θεματολόγιο, ό.π. 10. Βλ. Ομάδα εργασίας του άρθρου 29, Γνώμη 5/2009, ό.π., σ. 15.

4 120 Η ΤΕΧΝΟΛΟΓΙΑ ΚΑΙ ΤΟ ΔΙΚΑΙΟ: ΜΙΑ ΣΥΜΒΙΩΤΙΚΗ ΣΧΕΣΗ εφαρμογή τεχνολογιών για την ενίσχυση της ιδιωτικής ζωής. Τα μέτρα αυτά μπορούν να λαμβάνονται και μέσω μηχανικών αυτορρύθμισης, ωστόσο, κατά την άποψη μας, η νομοθέτησή τους θα καταστήσει ευχερέστερη την επιβολή τους. Οι θεμελιώδεις αρχές που πρέπει να λαμβάνονται υπόψη κατά τον σχεδιασμό της πολιτικής προστασίας των προσωπικών δεδομένων των ανηλίκων είναι οι εξής 11 : α) Το μείζον συμφέρον του παιδιού. Σύμφωνα με την αρχή αυτή, ένα πρόσωπο που δεν έχει ακόμα αποκτήσει σωματική και ψυχολογική ωριμότητα έχει ανάγκη μεγαλύτερης προστασίας από άλλα πρόσωπα. Ο σκοπός που πρέπει να επιδιώκεται είναι η βελτίωση των συνθηκών για το παιδί και η ενδυνάμωση του δικαιώματος του στην ανάπτυξη της προσωπικότητάς του. β) Προστασία και φροντίδα για την ευημερία των παιδιών. Λόγω του ότι η ανωριμότητα του παιδιού το καθιστά ευάλωτο, πρέπει να παρέχεται κατάλληλη προστασία και μέριμνα στο παιδί και την προστασία αυτή πρέπει να αναλαμβάνει η οικογένεια, η κοινωνία και το κράτος. γ) Το δικαίωμα στην ιδιωτική ζωή. Το δικαίωμα αυτό κατοχυρώνεται από το άρθρο 16 της Σύμβασης των ΗΕ για τα δικαιώματα του παιδιού. δ) Αντιπροσώπευση. Τα παιδιά έχουν ανάγκη νομικής αντιπροσώπευσης προκειμένου να ασκήσουν τα περισσότερα από τα δικαιώματά τους, ωστόσο η ανάγκη αυτή πρέπει να σταθμίζεται με το μείζον συμφέρον του παιδιού. Αυτό σημαίνει ότι πρέπει να ζητείται η γνώμη του παιδιού, από ορισμένη ηλικία, σε σχέση με την επεξεργασία των προσωπικών του δεδομένων, αλλά και ότι αν η επεξεργασία δεδομένων άρχισε με τη συγκατάθεση του νόμιμου αντιπροσώπου του, το παιδί μπορεί με την ενηλικίωσή του να την ανακαλέσει. ε) Σύγκρουση του μείζονος συμφέροντος του παιδιού με το δικαίωμα στην προστασία δεδομένων, κατά την οποία υπερτερεί το πρώτο, όπως π.χ. στην περίπτωση όπου προσωπικά δεδομένα πρέπει να κοινοποιούν σε δημόσια αρχή για τη διερεύνηση κακοποίησης παιδιού. στ) Προσαρμογή στο βαθμό ωριμότητας του παιδιού. Αυτό σημαίνει πρακτικά ότι ο τρόπος με τον οποίο αντιμετωπίζεται η άσκηση των δικαιωμάτων του, εν προκειμένω στην προστασία δεδομένων, πρέπει να είναι σχετική με το επίπεδο ωριμότητας του παιδιού. 11. Ομάδα εργασίας του άρθρου 29, Γνωμοδότηση 2/2009 για την προστασία προσωπικών δεδομένων παιδιών, , σ. 4 επ.

5 ΙωAννης Δ. ΙγγλεζAκης 121 ζ) Δικαίωμα συμμετοχής. Κατά την ανάπτυξη τους τα παιδιά πρέπει να συμμετέχουν πιο τακτικά στην άσκηση των δικαιωμάτων τους, πράγμα που σημαίνει ότι πρέπει καταρχήν να έχουν το δικαίωμα της ελεύθερης έκφρασης της γνώμη του και όταν αποκτούν επαρκή ικανότητα, να λαμβάνουν κοινή με τους γονείς τους απόφαση ή αυτόνομη απόφαση. IV. Νομοθεσία για την προστασία προσωπικών δεδομένων 1. Ελλάδα και ΕΕ Στην ΕΕ η προστασία των ανηλίκων αποτελεί ζήτημα προτεραιότητας και για το σκοπό εκδόθηκε στις η Πράσινη Βίβλος για την προστασία των ανηλίκων και της ανθρώπινης αξιοπρέπειας στο πλαίσιο των οπτικοακουστικών υπηρεσιών και των υπηρεσιών 12. Ακολούθως, το Συμβούλιο εξέδωσε τη Σύσταση 98/560 για την ανάπτυξη της ανταγωνιστικότητας της ευρωπαϊκής βιομηχανίας οπτικοακουστικών υπηρεσιών και υπηρεσιών πληροφόρησης μέσω της προώθησης εθνικών πλαισίων με σκοπό την επίτευξη συγκρίσιμου και αποτελεσματικού επιπέδου προστασίας των ανηλίκων και της ανθρώπινης αξιοπρέπειας 13. Στη συνέχεια δε, εξέδωσε τη Σύσταση 2006/952/ΕΚ για την προστασία των ανηλίκων και της ανθρώπινης αξιοπρέπειας και για το δικαίωμα απάντησης σε σχέση με την ανταγωνιστικότητα της ευρωπαϊκής βιομηχανίας οπτικοακουστικών υπηρεσιών και υπηρεσιών επιγραμμικής πληροφόρησης 14. Ωστόσο, στην ισχύουσα κοινοτική και ελληνική νομοθεσία για την προστασία προσωπικών δεδομένων δεν υπάρχουν ειδικές διατάξεις για την προστασία των ανηλίκων. Επομένως, ισχύουν οι γενικές διατάξεις, δηλ. ο ν. 2472/1997 και η οδηγία 95/46/ΕΚ, αντίστοιχα, οι οποίες (διατάξεις) βρίσκουν γενικά εφαρμογή όταν το υποκείμενο των δεδομένων είναι φυσικό πρόσωπο, όπως είναι εν προκειμένω, ένα παιδί. Ωστόσο, όπως επισημαίνεται και από την ομάδα εργασίας του άρθρου 29, η οδηγία 95/46 και, συνεπώς και ο ν. 2472/1997, με τον οποίο ενσωματώθηκε η οδηγία στο ελληνικό δίκαιο, έχουν περιορισμένο προσωπικό και θεματικό πεδίο εφαρμογής, υπό την έννοια ότι δεν λαμβάνουν υπόψη τις ιδιαιτερότητες της ζωής των παιδιών COM(96) 483 τελικό. 13. ΕΕ L 270 της 7/10/98, σ ΕΕ L 378/72 της Βλ. Γνωμοδότηση 2/29, ό.π., σ. 8.

6 122 Η ΤΕΧΝΟΛΟΓΙΑ ΚΑΙ ΤΟ ΔΙΚΑΙΟ: ΜΙΑ ΣΥΜΒΙΩΤΙΚΗ ΣΧΕΣΗ Από τις γενικές διατάξεις του ν. 2472/1997 κατά την επεξεργασία δεδομένων των ανηλίκων στις υπηρεσίες κοινωνικής δικτύωσης βρίσκουν εφαρμογή οι αρχές της νομιμότητας της επεξεργασίας, της αναγκαιότητας και προσφορότητας των δεδομένων, καθώς και της περιορισμένης διατήρησης. Ιδίως, η τελευταία αρχή επιβάλλει να μην διατηρούνται τα δεδομένα των παιδιών, μετά την πάροδο του χρόνου, διότι τα παιδιά αναπτύσσονται και οι πληροφορίες που τα αφορούν καθίστανται ανεπίκαιρες, ενώ σύμφωνα με την αρχή της αναγκαιότητας πρέπει να συλλέγονται τα ελάχιστα κατά το δυνατόν δεδομένα για την εξυπηρέτηση του σκοπού επεξεργασίας. Όπως τονίζεται, πρέπει να λαμβάνεται υπόψη η αρχή του μείζονος συμφέροντος του παιδιού και αυτό σημαίνει ότι δεν πρέπει να περιλαμβάνονται, μεταξύ των δεδομένων που συλλέγονται και υπόκεινται σε επεξεργασία, πληροφορίες για το οικογενειακό περιβάλλον του παιδιού, τις συνθήκες ζωής του ή των γονέων του, η επαγγελματική και κοινωνική τους κατάσταση κ.λπ. 16 Επίσης, πρέπει να γίνονται σεβαστά τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης, τα οποία ασκούνται από τον νόμιμο αντιπρόσωπο του ανηλίκου, σύμφωνα με τις σχετικές διατάξεις του οικογενειακού δικαίου. Παραπέρα, κεντρική σημασία αποδίδεται γενικά κατά την πλοήγηση των ανηλίκων στο Διαδίκτυο στο γεγονός ότι πρέπει να λαμβάνεται η συγκατάθεση των νόμιμων αντιπροσώπων των ανηλίκων κατά τρόπο ώστε να μπορεί να αποδεικνύεται, π.χ. με μήνυμα ηλεκτρονικού ταχυδρομείου που επαληθεύεται με μεταγενέστερη αλληλογραφία ή τηλεφωνική επικοινωνία, μήνυμα με ηλεκτρονική υπογραφή κ.ά. Επιπλέον, τονίζεται ότι είναι χρήσιμο να υιοθετείται μια πολιτική προστασίας των προσωπικών δεδομένων των ανηλίκων στους δικτυακούς τόπους που απευθύνονται σε παιδιά, όπως και να ενημερώνονται οι ανήλικοι όταν ανταλλάσσουν μηνύματα άμεσης επικοινωνίας ή συμμετέχουν σε συζητήσεις, να είναι φειδωλοί ως προς τα στοιχεία που αποκαλύπτουν και ιδίως τα στοιχεία ταυτοποίησής τους HΠΑ Στις ΗΠΑ, όπου ως γνωστόν δεν υφίσταται ένα γενικό νομοθετικό πλαίσιο για την προστασία προσωπικών δεδομένων, αλλά ειδική νομοθεσία σε επιμέρους τομείς, η προστασία δεδομένων των ανηλίκων ρυθμίζεται με τον ομοσπονδιακό νόμο για την προστασία δεδομένων των παιδιών στο Διαδίκτυο (Children s Online Privacy 16. Βλ. Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Η πλοήγηση των ανηλίκων στο Διαδίκτυο, ό.π., σ Βλ. Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Κοινωνία της πληροφορίας και νομική προστασία των προσωπικών δεδομένων της οικογένειας και των μελών της, ΕλΔνη 2008, σ. 691 επ. (698).

7 ΙωAννης Δ. ΙγγλεζAκης 123 Protection Act, COPPA) 18, ο οποίος ισχύει από τις και αναθεωρήθηκε πρόσφατα βρίσκει εφαρμογή σε ιστοχώρους και υπηρεσίες της κοινωνίας της πληροφορίας που απευθύνονται σε παιδιά κάτω των 13 ετών, όπως και σε ιστοχώρους που μπορεί να συλλέγουν προσωπικά δεδομένα παιδιών κάτω των 13 ετών 19. Με βάση το νόμο αυτό, οι ιστοχώροι που εμπίπτουν στο πεδίο εφαρμογής του υποχρεούνται να τηρούν τις πέντε βασικές αρχές προστασίας προσωπικών δεδομένων (Fair Information Principles) 20, αλλά και να τηρούν τις εξής προϋποθέσεις 21, οι οποίες βρίσκουν εφαρμογή και στις υπηρεσίες κοινωνικής δικτύωσης: α) να παρέχουν ενημέρωση σχετικά με τις πληροφορίες που συλλέγουν από τα παιδιά, πως χρησιμοποιούν τις πληροφορίες αυτές και ποια πρακτική ακολουθούν σχετικά με την κοινοποίηση των πληροφοριών σε τρίτους β) να λαμβάνουν τη γονεϊκή συγκατάθεση για τη συλλογή, χρήση ή κοινοποίηση προσωπικών δεδομένων των παιδιών γ) να παρέχουν ενημέρωση στους γονείς σχετικά με τον τύπο των προσωπικών δεδομένων των παιδιών που υπόκεινται σε επεξεργασία, με τη δυνατότητα να ασκήσει το δικαίωμα αντίρρησης κατά της επεξεργασίας και να λάβει πληροφορίες για τα προσωπικά δεδομένα των παιδιών που συλλέχθηκαν δ) να απαγορεύουν τη συμμετοχή ενός παιδιού σε ένα παιχνίδι, έναν διαγωνισμό ή άλλη δραστηριότητα, όταν αποκαλύπτονται προσωπικά του δεδομένα σε υπέρμετρο βαθμό και ε) να προστατεύουν την εμπιστευτικότητα, ασφάλεια και ακεραιότητα προσωπικών δεδομένων που συλλέχθηκαν από τα παιδιά. Σύμφωνα με το νόμο αυτό, η γονεϊκή συγκατάθεση δεν είναι απαραίτητη σε ορισμένες περιπτώσεις, όπως στην περίπτωση όπου η επιγραμμική συλλογή δεδομένων των παιδιών γίνεται για μία και μόνο επικοινωνία με ένα παιδί ή για απάντηση σε ένα και μόνο αίτημά του κ.ο.κ. Αξίζει να σημειωθεί ότι ο τρόπος λήψης της συγκατάθεσης εξαρτάται από τη χρήση των προσωπικών δεδομένων των παιδιών. Αν τα προσωπικά δεδομένα χρησι U.S.C Βλ Βλ. F. Casarosa, Privacy Policy Improvements to Protect Children Privacy, in: C. Akrivopoulou/ A. Psygkas (eds.), Personal Data Privacy and Protection in a Surveillance Era. Technologies and Practices, 2011, σ. 223 επ. (226). 20. Βλ COPPA, Section 1303.b, βλ.

8 124 Η ΤΕΧΝΟΛΟΓΙΑ ΚΑΙ ΤΟ ΔΙΚΑΙΟ: ΜΙΑ ΣΥΜΒΙΩΤΙΚΗ ΣΧΕΣΗ μοποιούνται αποκλειστικά και μόνο από τον ιστοχώρο που τα έχει συλλέξει, αρκεί η αποστολή ενός μηνύματος ηλεκτρονικής αλληλογραφίας για την επαλήθευση της συγκατάθεσης, ενώ όταν τα δεδομένα κοινοποιούνται σε τρίτους, πρέπει η συγκατάθεση από τους γονείς να επαληθεύεται με υπογεγραμμένο από τους έγγραφο μέσω ταχυδρομείου, με χρήση του αριθμού της πιστωτικής τους κάρτας, με μήνυμα που φέρει ηλεκτρονική υπογραφή, ή με μήνυμα ηλεκτρονικής αλληλογραφίας με κωδικό ασφαλείας κλπ. 22 Μετά την αναθεώρηση των διατάξεων του νόμου COPPA, η συγκατάθεση μπορεί να επαληθεύεται και με ένα σκαναρισμένο έντυπο συγκατάθεσης ή με τηλεδιάσκεψη 23. V. Προστασία προσωπικών δεδομένων των ανηλίκων στην Πρόταση Κανονισμού της ΕΕ Διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα των ανηλίκων προβλέπονται στην Πρόταση Κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων) 24. Η εν λόγω πρόταση τροποποιήθηκε από το Συμβούλιο στις και πρόκειται να ακολουθήσει η συζήτησή της από τα αρμόδια όργανα της ΕΕ. Στο προοίμιο γίνεται η 22. Βλ. How to comply with Children s Online Privacy Protection Act, comply.htm. C. Alvergnat, Internet et la collecte de données personnelles auprès des mineurs, Rapport adopté le 12 juin 2001, σ Βλ. New Children s Online Privacy Protection Act (COPPA) Rule Now In Effect, Βλ. COM (2012) 11 final. Βλ. Ι. Ιγγλεζάκη, Η μεταρρύθμιση των κανόνων προστασίας προσωπικών δεδομένων στην ΕΕ. Η πρόταση Κανονισμού για την αντικατάσταση της οδηγίας 95/46/ΕΚ, Συνήγορος 92/2012, σ. 70 επ. Ζ. Καρδασιάδου, Στον απόηχο της Οδηγίας 95/46/ΕΚ, ΕυρΠολ 2/2011, σ. 209 επ. L. Costa/Y. Poullet, Privacy and the regulation of 2012, CLSR 2012, σ. 254 επ. P. De Hert/V. Papakonstantinou, The proposed data protection Regulation replacing Directive 95/46/EC: a sound system for the protection of individuals, CLSR 2012, σ. 130 επ. J. Eckhardt, EU-DatenschutzVO Ein Schreckgespenst oder Fortschritt? CR 2012, σ. 195 επ. Ν. Ηärting, Starke Behörden schwaches Recht der neue EU-Datenschutzentwurf, BB 2012, σ. 459 επ. G. Hornung, A General Data Protection Regulation for Europe? Light and Shade in the Commission s Draft of 25 January 2012, scripted, vol. 9, Issue 1, Ειδικά για τα ζητήματα προστασίας δεδομένων στα κοινωνικά δίκτυα βλ. Ι. Ιγγλεζάκη, Προστασία προσωπικών δεδομένων στις υπηρεσίες κοινωνικής δικτύωσης με βάση την Πρόταση Κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της ΕΕ για την προστασία δεδομένων, Ευρωπαϊκή Έκφραση (88), 1ο τριμ. 2013, σ. 18 επ.

9 ΙωAννης Δ. ΙγγλεζAκης 125 διαπίστωση ότι τα παιδιά έχουν ανάγκη προστασίας των προσωπικών τους δεδομένων, καθώς δεν συνειδητοποιούν τους κινδύνους, τις συνέπειες, τα δικαιώματά τους και τις εγγυήσεις της προστασίας δεδομένων 25. Ειδικές ρυθμίσεις προβλέπονται στο άρθρο 8 που αφορά τη συγκατάθεση στην επεξεργασία προσωπικών δεδομένων παιδιού. Συγκεκριμένα, προβλέπεται ότι η επεξεργασία προσωπικών δεδομένων παιδιού ηλικίας κάτω των 13 ετών, στο πλαίσιο υπηρεσιών της κοινωνίας της πληροφορίας που προσφέρονται σε παιδιά, είναι σύννομη μόνο εάν και εφόσον η συγκατάθεση παρέχεται ή εγκρίνεται από τον γονέα ή τον κηδεμόνα του παιδιού (άρθρο 8 1). Βεβαίως, τεχνικά η επαλήθευση της ηλικίας ενός προσώπου είναι ιδιαίτερα δυσχερής και η πρόταση κανονισμού προβλέπει την υποχρέωση του υπεύθυνου επεξεργασίας να καταβάλλει εύλογες προσπάθειες για να εξασφαλίσει επαληθεύσιμη συγκατάθεση, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία. Περαιτέρω, προβλέπεται η παροχή εξουσιοδότησης προς την Επιτροπή για την έκδοση πράξεων, με τις οποίες θα προσδιορίζονται τα κριτήρια και οι απαιτήσεις για τις μεθόδους εξασφάλισης της επαληθεύσιμης συγκατάθεσης ( 3) ή και να θεσπίσει πρότυπα έντυπα για ειδικές μεθόδους με σκοπό τη διασφάλιση της επαληθεύσιμης συγκατάθεσης. Σχετικά μπορεί να ληφθεί υπόψη, βεβαίως, η πρακτική που ακολουθείται στις ΗΠΑ για την επαλήθευση της συγκατάθεσης, σύμφωνα με όσα προαναφέρθηκαν. Για τα παιδιά ηλικίας μεταξύ 13 και 17 ετών δεν υπάρχει καμία πρόβλεψη στην πρόταση κανονισμού για την παροχή συγκατάθεσης. Στην αιτιολογική σκέψη αριθ. 129 αναφέρεται ότι η Επιτροπή πρέπει να εκδώσει κατ εξουσιοδότηση πράξη για τον προσδιορισμό των κριτηρίων και των προϋποθέσεων σε σχέση με τη συγκατάθεση παιδιού, γενικά, ωστόσο, στο άρθρο 8 δεν προβλέπεται τέτοια εξουσιοδότηση και εύλογα αμφισβητείται αν είναι νοητή η παροχή εξουσιοδότησης σε ένα τόσο σημαντικό θέμα, ενόψει της διάταξης του άρθρου 290 ΣΛΕΕ, η οποία ορίζει ότι οι κατ εξουσιοδότηση πράξεις αφορούν μη ουσιώδη στοιχεία της νομοθετικής πράξης. Παραπέρα, στο άρθρο 23 2 της Πρότασης Κανονισμού προβλέπεται η αρχή της προστασίας δεδομένων εξ ορισμού ή ως προεπιλογή (data protection by default), σύμφωνα με την οποία, τα συστήματα πληροφοριών πρέπει να διαθέτουν προεπιλεγμένες ρυθμίσεις που να παρέχουν επαρκή προστασία των προσωπικών δεδομένων και τυχόν αποκλίσεις πρέπει να γίνονται δεκτές μόνο με τη συγκατάθεση 25. Βλ. αιτιολογ. σκέψεις αρ. 29, 38, παρ. 3 και 46, παρ. 3.

10 126 Η ΤΕΧΝΟΛΟΓΙΑ ΚΑΙ ΤΟ ΔΙΚΑΙΟ: ΜΙΑ ΣΥΜΒΙΩΤΙΚΗ ΣΧΕΣΗ των πρόσωπων τα οποία αφορά η επεξεργασία (opt-in) 26. Η σύλληψη εντάσσεται στο πλαίσιο της σύλληψης της προστασίας της ιδιωτικότητας ήδη κατά το σχεδιασμό (Privacy by design), η οποία είναι μια προσέγγιση που αναπτύσσει κανονιστικό χαρακτήρα και η οποία επιβάλλει στους σχεδιαστές των συστημάτων πληροφορικής να έχουν ως γνώμονα την προστασία της ιδιωτικότητας κατά το σχεδιασμό τους 27. Συγκεκριμένα, στην ως άνω διάταξη προβλέπεται η υποχρέωση του υπεύθυνου επεξεργασίας να εφαρμόζει μηχανισμούς ώστε να διασφαλίζεται ότι, εξ ορισμού, υποβάλλονται σε επεξεργασία μόνο τα προσωπικά δεδομένα που δεν είναι υπερβολικά για κάθε συγκεκριμένο σκοπό επεξεργασίας και ότι αυτό αφορά την ποσότητα των δεδομένων που συλλέγονται, την περίοδο της αποθήκευσής τους και την προσβασιμότητα τους, ενώ διασφαλίζουν και ότι προσωπικά δεδομένα δεν καθίστανται προσπελάσιμα σε αόριστο αριθμό φυσικών προσώπων. Η εφαρμογή της εν λόγω αρχής στις υπηρεσίες κοινωνικής δικτύωσης σημαίνει ότι οι πληροφορίες που δημοσιεύουν οι χρήστες των υπηρεσιών αυτών στο προφίλ τους πρέπει να είναι εξ ορισμού μη προσβάσιμοι από τρίτους 28. Έτσι, οι μη έμπειροι χρήστες των υπηρεσιών αυτών, όπως είναι τα παιδιά, που δεν γνωρίζουν ότι μπορούν να ρυθμίσουν ποιες πληροφορίες του λογαριασμού τους θα είναι δημόσια προσβάσιμες, δεν θα απαιτείται να προβαίνουν σε τέτοιες ρυθμίσεις. Κατ αυτόν τον τρόπο διασφαλίζεται ότι δεν θα αποκαλύπτονται σε τρίτους τα προσωπικά δεδομένα τους σε τρίτους, δίχως τη θέληση των χρηστών και επαναφέρεται ο έλεγχος της πληροφορίας στα πρόσωπα που αυτή αφορά 29. Τέλος, ειδική αναφορά αξίζει να γίνει στο δικαίωμα στην ψηφιακή λήθη, το οποίο κατοχυρώνεται στο άρθρο 17 της πρότασης Κανονισμού, κατά βάση, ως μια αξίωση διαγραφής του ψηφιακού παρελθόντος του ατόμου 30. Το δικαίωμα αυτό αποκτά 26. Βλ. Ιγγλεζάκη, Προστασία δεδομένων προσωπικού χαρακτήρα από τον σχεδιασμό (data protection by design) και εξ ορισμού (data protection by default), Συνήγορος 2013, σ. 76 επ. (77) Λ. Μήτρου, Privacy by design. Η τεχνολογική διάσταση της προστασίας προσωπικών δεδομένων, ΔiΜΕΕ 2013, σ. 14 επ. 27. Βλ. Μήτρου, ό.π., σ Βλ. Ομάδα εργασίας του άρθρου 29, ό.π., σ. 8 Opinion of the European Data Protection Supervisor on the Communication from the Commission to the European Parliament, the Council, the Economic and Social Committee and the Committee of the Regions - «A comprehensive approach on personal data protection in the European Union», σ Βλ. Μήτρου, ό.π., σ Βλ. Ι. Ιγγλεζάκη, Το δικαίωμα στην ψηφιακή λήθη σύμφωνα με την πρόταση Κανονισμού της ΕΕ για την προστασία δεδομένων, Συνήγορος 94/2012, σ. 74 επ.

11 ΙωAννης Δ. ΙγγλεζAκης 127 ιδιαίτερη σημασία, σύμφωνα με τον κοινοτικό νομοθέτη, στην περίπτωση όπου το υποκείμενο των δεδομένων έδωσε τη συγκατάθεσή του στην επεξεργασία των προσωπικών του δεδομένων ενώ ήταν ακόμα παιδί και δεν είχε πλήρη επίγνωση των κινδύνων για την ιδιωτική του ζωή, αργότερα δε, επιθυμεί να διαγραφούν, ιδίως όσων δεδομένων έχει δημοσιοποιηθεί στο Διαδίκτυο 31. Η ειδική αναφορά στην παιδική ηλικία ενός ατόμου έχει την έννοια ότι πρέπει να παρέχεται η δυνατότητα στους νέους για μια νέα αρχή στον ψηφιακό κόσμο και ένα λευκό μητρώο, ώστε να μη γίνεται αρνητική χρήση πληροφοριών που αφορούν το νεανικό παρελθόν ενός ατόμου και οι οποίες μπορεί να το φέρουν, μετά από χρόνια, σε δύσκολη θέση 32. Το ενδιαφερόμενο πρόσωπο πρέπει να επικαλεστεί έναν από τους παρακάτω λόγους για να γίνει δεκτό το αίτημα διαγραφής, ήτοι ότι: α) τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν άλλως πως σε επεξεργασία β) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποσύρει τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 1 στοιχείο α ή το άρθρο 9 2 και εάν δεν υπάρχει άλλος νομικός λόγος για την επεξεργασία των δεδομένων γ) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 19 1 και δεν υφίστανται επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων προβάλλει το δικαίωμα αντίταξης σύμφωνα με το άρθρο 19 2 δ) η επεξεργασία των δεδομένων είναι παράνομη τα δεδομένα πρέπει να διαγραφούν για την τήρηση εκ του νόμου υποχρεώσεως του υπεύθυνου επεξεργασίας. VΙ. Επίμετρο Για την αντιμετώπιση των προβλημάτων προστασίας των προσωπικών δεδομένων των ανηλίκων, σαφώς, απαιτούνται ειδικές νομοθετικές ρυθμίσεις. Η εφαρμογή των διατάξεων που ισχύουν γενικά, για όλες τις κατηγορίες των υποκειμένων των δεδομένων δεν επαρκεί για την επίλυση των ζητημάτων που ανακύπτουν κατά τη συλλογή και επεξεργασία δεδομένων των ανηλίκων από ιστοχώρους και υπηρεσίες της κοινωνίας της πληροφορίας, γενικά, και από υπηρεσίες κοινωνικής δικτύωσης, ειδικά. Η νομοθεσία των ΗΠΑ έχει το πιο πλήρες νομικό πλαίσιο στον τομέα αυτό, ενώ στην ΕΕ, σαφή πρόοδο θα αποτελέσει η ψήφιση του Γενικού Κανονισμού για την προστασία προσωπικών δεδομένων. 31. Βλ. αιτιολογ. σκέψη αρ. 53 της τροποποιημένης Πρότασης Κανονισμού. 32. Για τη σύλληψη αυτή βλ. J. Zittrain, The Future of the Internet and how to stop it, 2008, σ. 228 επ.

12 128 Η ΤΕΧΝΟΛΟΓΙΑ ΚΑΙ ΤΟ ΔΙΚΑΙΟ: ΜΙΑ ΣΥΜΒΙΩΤΙΚΗ ΣΧΕΣΗ Οι διατάξεις του νόμου COPPA των ΗΠΑ έχουν αποτελέσει πηγή έμπνευσης για τον κοινοτικό νομοθέτη, ωστόσο, ο Κανονισμός περιέχει πέραν από τις αντίστοιχες με το νόμο αυτό διατάξεις, δηλ. το άρθρο 8, και άλλες διατάξεις που κατοχυρώνουν δικαιώματα των ανήλικων χρηστών, όπως είναι η αρχή της προστασίας δεδομένων εξ ορισμού ή ως προεπιλογή, και το δικαίωμα στην ψηφιακή λήθη, στα οποία έγινε αναφορά. Βεβαίως, θα πρέπει να αναμένουμε και την έκδοση των κατ εξουσιοδότηση πράξεων, με τις οποίες θα εξειδικευθούν οι τεχνικές λεπτομέρειες της εφαρμογής του άρθρου 8 του Κανονισμού, προκειμένου να σχηματίσουμε την πλήρη εικόνα του πλαισίου που θα ισχύει για την προστασία προσωπικών δεδομένων των ανηλίκων στην ΕΕ.