To Δικαίωμα στη Λήθη: Πραγματικότητα ή Ουτοπία για την Ελληνική Επιχειρηματικότητα και Διαφήμιση Αθήνα, 29 Μαρτίου 2019 ΝΙΚΟΛΑΣ Δ. ΚΑΝΕΛΛΟΠΟΥΛΟΣ Δικηγόρος, Εκτελεστικός Διευθυντής του Ινστιτούτου για το Δίκαιο Προστασίας της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία του Ευρωπαϊκoύ Οργανισμού Δημοσίου Δικαίου (European Public Law Organization EPLO)
Α. ΤΟ ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ ΕΝΝΟΙΑ Το δικαίωμα στη λήθη συνίσταται στη δυνατότητα του υποκειμένου των δεδομένων να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή των δεδομένων που το αφορούν, υπό προϋποθέσεις. Διαγραφή συνιστά η πράξη με την οποία ο υπεύθυνος επεξεργασίας ενός αρχείου δεν έχει πλέον πρόσβαση στα δεδομένα που επεξεργάζεται Δικαίωμα στη λήθη Δυνατότητα διαγραφής δεδομένων Προστασία από βλάβη διατήρησης δεδομένων 2
Eurobarometer 231, EU28 (2015) 3
Α. ΤΟ ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ ΣΥΝΤΑΓΜΑΤΙΚΗ ΚΑΤΟΧΥΡΩΣΗ αρ.2 1 Σ αρ. 5 1 Σ αρ. 9 Σ κατοχύρωση αξίας του ανθρώπου προστασία και ελεύθερη ανάπτυξη προσωπικότητας δικαίωμα προστασίας της ιδιωτικής ζωής αρ. 9 Α Σ δικαίωμα στην ιδιωτικότητα: «Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει» αρ. 8 ΕΣΔΑ δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής: «παν πρόσωπον δικαιούται εις τον σεβασμόν της ιδιωτικής και οικογενειακής ζωής του, της κατοικίας του και της αλληλογραφίας του» 4
Οδηγία 95/46/ΕΚ Ν. 2472/1997 Α. ΤΟ ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ ΟΔΗΓΙΑ 95/46/ΕΚ- Ν. 2472/1997 δεν περιλαμβάνει ειδική θεμελίωση του δικαιώματος στη λήθη. «Αρ. 12 Δικαίωμα πρόσβασης Τα κράτη μέλη εγγυώνται στα πρόσωπα, στα οποία αναφέρονται τα δεδομένα το δικαίωμα να λαμβάνουν από τον υπεύθυνο της επεξεργασίας α) β) κατά περίπτωση, τη διόρθωση, τη διαγραφή ή το κλείδωμα των δεδομένων των οποίων η επεξεργασία δεν είναι σύμφωνη προς τις διατάξεις της παρούσας οδηγίας, ιδίως λόγω ελλιπούς ή ανακριβούς χαρακτήρα των δεδομένων» δεν περιλαμβάνει ειδική θεμελίωση του δικαιώματος στη λήθη. Σύνδεση του δικαιώματος στη λήθη με το δικαίωμα αντίρρησης (αρ.13 Ν. 2472/1997) 5
Α. ΤΟ ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ ΑΠΟΦΑΣΗ GOOGLE SPAIN SL. Υπόθεση C-131/12, Google Spain SL v Agencia Española de Protección de Datos, 2014: - Αναγνώριση του δικαιώματος του ατόμου στη διαγραφή των δεδομένων του - Ιδιαίτερη εφαρμογή στο ψηφιακό περιβάλλον (μηχανές αναζήτησης) - Το δικαίωμα και η υποχρέωση διαγραφής προσωπικών δεδομένων δεν ισχύει πάντοτε, αλλά πρέπει να αναζητείται η εξισορρόπηση των συχνά αντικρουόμενων συμφερόντων: Υποκείμενο δεδομένων (προστασία ιδιωτικότητας) Υπεύθυνος επεξεργασίας (έννομο συμφέρον) (Βλ. και αποφάσεις 82, 83 & 84/2016 ΑΠΔΠΧ) 6
Α. ΤΟ ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ ΑΠΟΦΑΣΗ GOOGLE SPAIN SL. Κατευθυντήριες Γραμμές Ομάδας Εργασίας του άρθρου 29 της οδηγίας 95/46/ΕΚ Βασικά κριτήρια αξιολόγησης για το χειρισμό από τις εθνικές αρχές προστασίας δεδομένων των προσφυγών μετά την άρνηση διαγραφής/κατάργησης συνδέσμου/ων από μηχανές αναζήτησης: Η πληροφορία να αφορά σε φυσικό πρόσωπο, Ιδιότητα/κατάσταση του φυσικού προσώπου (δημόσιο πρόσωπο, ανήλικος, ευαίσθητα δεδομένα) Ποιότητα δεδομένων (είναι ακριβή, επικαιροποιημένα, συναφή και όχι περισσότερα από όσα χρειάζονται) Συνέπειες της δημοσιοποίησης (κίνδυνος για το υποκείμενο, υποκειμενικές απόψεις, σύνδεση με ρητορική μίσους) Πηγή δεδομένων (δημοσιοποίηθηκαν από το ίδιο το φυσικό πρόσωπο;) Νόμιμη βάση δημοσιοποίησης (δημοσιογραφικός σκοπός, νομική υποχρέωση για διάθεση στο κοινό) 7
Α. ΤΟ ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ ΚΑΝΟΝΙΣΜΟΣ 679/2016 (ΕΕ) (ΓΚΠΔ) Αρ. 17 ΓΚΠΔ: Δικαίωμα διαγραφής («δικαίωμα στη λήθη») Δικαίωμα των υποκειμένων και ταυτόχρονα υποχρέωση των υπευθύνων επεξεργασίας, όταν: α) τα προσωπικά δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ άλλο τρόπο σε επεξεργασία και δεν υπάρχει νέα νόμιμη βάση επεξεργασίας τους, β) η νόμιμη βάση επεξεργασίας ήταν η συγκατάθεση του υποκειμένου, και το υποκείμενο ανακαλεί τη συγκατάθεση και δεν υπάρχει άλλη νομική βάση για την επεξεργασία, γ) το υποκείμενο των δεδομένων άσκησε το δικαίωμα εναντίωσης στην επεξεργασία των δεδομένων που το αφορούν και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία, δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε παράνομη επεξεργασία, ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στα οποία υπόκειται ο υπεύθυνος επεξεργασίας 8
Α. ΤΟ ΔΙΚΑΙΩΜΑ ΣΤΗ ΛΗΘΗ ΚΑΝΟΝΙΣΜΟΣ 679/2016 (ΕΕ) (ΓΚΠΔ) Αρ. 17 ΓΚΠΔ: Δικαίωμα διαγραφής («δικαίωμα στη λήθη») - Όχι απόλυτο δικαίωμα - 3: εξαιρέσεις στο βαθμό που η επεξεργασία είναι απαραίτητη: α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση, β) για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας, γ) για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. 9
10
Ο Κανονισμός επηρεάζει σε υψηλό βαθμό τις εκστρατείες επικοινωνίας και μάρκετινγκ των επιχειρήσεων, επιβάλλοντας νέους κανόνες στον τρόπο χειρισμού των δεδομένων προσωπικού χαρακτήρα. Σημαντικό: να γνωρίζουν οι εταιρείες πως να διαχειρίζονται τα δεδομένα που συλλέγουν και επεξεργάζονται και πως να διασφαλίζουν έγκαιρη ανταπόκριση στα αιτήματα των υποκειμένων των δεδομένων αυτών. Χρήσιμη (αν όχι απαραίτητη) η συμβολή εξειδικευμένων συμβούλων (νομικοί/ιτ) 11
Πώς διασφαλίζουμε ότι η επικοινωνία για σκοπούς marketing είναι ασφαλής; Α. Επικοινωνία Β2Β ή Β2C; Β. Εάν Β2C, ποιά είναι η νόμιμη βάση επεξεργασίας (συγκατάθεση/ έννομο συμφέρον); Γ. Το φυσικό πρόσωπο νομιμοποίείται να ασκήσει το δικαίωμα στη διαγραφή; Δ. Ισχύουν κάποιες από τις εξαιρέσεις του αρ. 17 παρ. 3 του Κανονισμού; 12
Προετοιμασία επιχειρήσεων: Αρχείο Δραστηριοτήτων (Data Inventory) - Εντοπισμός σημείων συλλογής και επεξεργασίας προσωπικών δεδομένων - Καταγραφή δεδομένων που συλλέγονται - Θεμελίωση νόμιμης βάσης επεξεργασίας των δεδομένων - Ορισμός χρόνου τήρησης των δεδομένων (νομική υποχρέωση/ έννομο συμφέρον της επιχείρησης/ νομικές αξιώσεις) Υιοθέτηση διαδικασιών και μηχανισμών διαχείρισης αιτημάτων των υποκειμένων - 1 μήνας από την παραλαβή του αιτήματος και ταυτοποίηση του υποκειμένου - Παράταση για 2 επιπλέον μήνες, λαμβανομένων υπόψη της πολυπλοκότητας και του αριθμού των αιτημάτων 13
Προετοιμασία επιχειρήσεων: Διασφάλιση διαφάνειας - Κατάρτιση Πολιτικής Προστασίας Δεδομένων και κατάλληλων ενημερώσεων σε απλή και κατανοητή γλώσσα. - Κατάρτιση εντύπων συγκατάθεσης (όπου απαιτείται). - Καθορισμός καναλιών επικοινωνίας για θέματα προστασίας δεδομένων προσωπικού χαρακτήρα. - Δημιουργία επιλογής unsubscribe στις ηλεκτρονικές επικοινωνίες. 14
Επικοινωνία marketing στην εποχή του Κανονισμού (ΕΕ) 679/2016 και eprivacy Β2C Vs Β2B - Απαιτείται θεμελίωση της νόμιμης βάσης για την επικοινωνία (συγκατάθεση/ έννομο συμφέρον) info@kanell.gr nicolas@kanell.gr Ανάκληση συγκατάθεσης: το ίδιο εύκολη και με τον ίδιο τρόπο που αρχικά χορηγήθηκε 15
Αίτημα διαγραφής Έλεγχος αιτήματος εντός 1 μηνός (+2) Εάν δεκτό το αίτημα, ενημέρωση τρίτων αποδεκτών για διαγραφή Δημιουργία suppression lists 16
ΕΙΔΙΚΟΤΕΡΑ ΖΗΤΗΜΑΤΑ: Α. Διαγραφή από αρχεία back-up: Εφόσον δεν εφαρμόζεται κάποια εξαίρεση του Κανονισμού, η διαγραφή των δεδομένων πρέπει να γίνεται και από τα συστήματα αποθήκευσης (back-up) - Δύσκολη εφαρμογή!!! Πρέπει να διασφαλίζεται, τουλάχιστον, ότι τα δεδομένα δεν θα χρησιμοποιούνται στο μέλλον - Έλεγχος εάν είναι δυνατή η διαγραφή από όλα τα αρχεία της εταιρείας (ηλεκτρονικά/ έγχαρτα) 17
ΕΙΔΙΚΟΤΕΡΑ ΖΗΤΗΜΑΤΑ: Β. Δημιουργία suppression lists: - Ιδιαίτερη σημασία για την επικοινωνία marketing - Δημιουργία unsubscribe option στα email και στα μηνύματα επικοινωνίας (λ.χ. SMS) - Δημιουργία ειδικών suppression lists για τη διασφάλιση ότι δεν θα στέλνονται πλέον προωθητικές ενέργειες (λ.χ. Newsletters/ special offers κ.α.) - Απόδειξη συμμόρφωσης με τον Κανονισμό (αρχή της λογοδοσίας) 18
Ο Κανονισμός δεν πρέπει να αποτελεί εμπόδιο στην επικοινωνία των επιχειρήσεων. Είναι ένα χρήσιμο εργαλείο που θα ισχυροποιήσει τους δεσμούς εμπιστοσύνης των επιχειρήσεων με το κοινό και θα βελτιώσει τις διαδικασίες και τον τρόπο προσέγγισης των φυσικών προσώπων για την αποτελεσματικότερη προώθηση των υπηρεσιών και προϊόντων τους. Απαιτεί επανακαθορισμό και επαναξιολόγηση των διαδικασιών και των σχέσεων με τον πελάτη. 19
Ευχαριστούμε θερμά για την προσοχή σας! ΝΙΚΟΛΑΣ Δ. ΚΑΝΕΛΛΟΠΟΥΛΟΣ T. +30 210 3611 225, +30 210 3611 236, F. +30 210 3610 227 Email: nicolas@kanell.gr www.kanell.gr Δικηγόρος, Εκτελεστικός Διευθυντής του Ινστιτούτου για το Δίκαιο Προστασίας της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία του Ευρωπαϊκoύ Οργανισμού Δημοσίου Δικαίου (European Public Law Organization EPLO)