Παπαθανασίου Αναστάσιος Γέρμανος Γεώργιος Μετά την εφαρμογή του Κανονισμού θα σταματήσω δέχομαι τηλεφωνικές κλήσεις, μεσημεριανές ώρες για προσφορές συνδέσεων κινητής τηλεφωνίας; Μετά την εφαρμογή του Κανονισμού θα σταματήσω να δέχομαι sms από πενταψήφια ότι κέρδισα κάποια προσφορά; Μετά την εφαρμογή του Κανονισμού θα σταματήσω να δέχομαι ανεπιθύμητη ηλεκτρονική αλληλογραφία για την όποια ουδέποτε έχω δώσει την συγκατάθεση μου; Παπαθανασίου Α. Γέρμανος Γ. 2 Οι εταιρείες που χρησιμοποιούν αυτοματοποιημένα μέσα επικοινωνίας, προκειμένου να διαφημιστούν στο αγοραστικό κοινό, πρέπει να φροντίζουν ώστε να είναι σύννομες με τα οριζόμενα στο άρθρο 11 του ν. 3471/2006. Παπαθανασίου Α. Γέρμανος Γ. 3 1
Θα πρέπει, επίσης, να γνωρίζουν ότι σε περίπτωση πραγματοποίησης αζήτητης επικοινωνίας δύνανται να υποστούν διοικητικές κυρώσεις από την Αρχή. Παπαθανασίου Α. Γέρμανος Γ. 4 Οι υπεύθυνοι επεξεργασίας είναι υπόλογοι στην Αρχή για κάθε διαφημιστική ενέργεια μέσω αζήτητης επικοινωνίας που τους αφορά, ακόμα και αν αυτή πραγματοποιηθεί μέσω συνεργασίας με κάποια εταιρεία προώθησης πωλήσεων. Σε περίπτωση λοιπόν που ο υπεύθυνος επεξεργασίας χρησιμοποιήσει κάποια λίστα παραληπτών, η οποία του παρέχεται από τρίτο (π.χ. εταιρεία προώθησης πωλήσεων), θα πρέπει ο τρίτος να του αποδείξει τη νόμιμη δημιουργία της λίστας (προηγούμενη ενημέρωση και συγκατάθεση των κατόχων των ηλεκτρονικών διευθύνσεων που περιέχονται στη λίστα). Παπαθανασίου Α. Γέρμανος Γ. 5 Αν δεν είχατε προηγούμενη συναλλαγή με τους παραλήπτες, πριν από την αποστολή οποιουδήποτε μηνύματος πρέπει να έχετε λάβει εγγράφως ή ηλεκτρονικά τη συγκατάθεσή τους. Αν είχατε προηγούμενη συναλλαγή με τους παραλήπτες κατά την οποία έχετε λάβει τα στοιχεία επικοινωνίας τους, μπορείτε να απευθύνετε ηλεκτρονικά μηνύματα σε αυτούς χωρίς τη συγκατάθεσή τους μόνο όταν αυτά αφορούν στην προώθηση παρόμοιων προϊόντων ή υπηρεσιών ή άλλων παρόμοιων διαφημιστικών σκοπών. Παπαθανασίου Α. Γέρμανος Γ. 6 2
Σε κάθε περίπτωση και οπωσδήποτε πριν από τη λήψη της συγκατάθεσης πρέπει να ενημερώνετε τους παραλήπτες των μηνυμάτων σχετικά με την ταυτότητά σας (π.χ. χ επωνυμία, διεύθυνση, τηλέφωνο και διεύθυνση ηλεκτρονικού ταχυδρομείου), το σκοπό της επεξεργασίας των δεδομένων, την ύπαρξη του δικαιώματος πρόσβασης, καθώς και τους πιθανούς αποδέκτες των δεδομένων (π.χ. τρίτες συνεργαζόμενες με εσάς εταιρείες). Παπαθανασίου Α. Γέρμανος Γ. 7 Κατά την ενημέρωση σχετικά με τους αποδέκτες των δεδομένων θα πρέπει να αναφέρετε συγκεκριμένα τους εν λόγω αποδέκτες (π.χ. εταιρεία Χ, Ψ) ή τη γενική επαγγελματική κατηγορία στην οποία εντάσσονται οι αποδέκτες (π.χ. εταιρείες πώλησης ηλεκτρονικών ειδών). Παπαθανασίου Α. Γέρμανος Γ. 8 Μπορείτε να λαμβάνετε τη συγκατάθεση των παραληπτών σε έντυπη μορφή, για παράδειγμα μέσω διανομής διαφημιστικών εντύπων σε εκθέσεις ή παρουσιάσεις προϊόντων. Μπορείτε επίσης να λαμβάνετε τη συγκατάθεση σε ηλεκτρονική μορφή, π.χ. με χρήση συστήματος κατά το οποίο γίνεται και έλεγχος των ηλεκτρονικών δεδομένων του παραλήπτη (σύστημα double opt in ή verified opt in). Παπαθανασίου Α. Γέρμανος Γ. 9 3
Σε κάθε περίπτωση θα πρέπει να έχετε προηγουμένως ενημερώσει τον παραλήπτη κατά τον τρόπο που προαναφέρθηκε, παρέχοντας επίσης πληροφορία σχετικά με τη δυνατότητα μετέπειτα διαγραφής του από το αρχείο σας (ή αλλιώς ανάκλησης της συγκατάθεσής του). Η δήλωση της συγκατάθεσης σε κάθε περίπτωση πρέπει να είναι ρητή, π.χ. ο παραλήπτης να επιλέγει τη συγκατάθεση και όχι το σχετικό πεδίο να είναι προεπιλεγμένο. Παπαθανασίου Α. Γέρμανος Γ. 10 Όταν τα δεδομένα των παραληπτών διαβιβάζονται σε τρίτους αποδέκτες (π.χ. συνεργαζόμενες εταιρείες), η συγκατάθεση για τη διαβίβαση θα πρέπει να λαμβάνεται σε ξεχωριστό πεδίο (ξεχωριστά χ ρ για κάθε αποδέκτη ή ανά κατηγορία αποδεκτών) Η συγκατάθεση που δίνεται για συγκεκριμένη εταιρεία δεν ισχύει για όλες τις εταιρείες του ομίλου, εκτός αν γι αυτό ενημερώνεται ρητώς ο παραλήπτης και δίνει τη συγκατάθεσή του σε ξεχωριστό πεδίο για κάθε εταιρεία ή επαγγελματική κατηγορία εταιρειών του ομίλου. Παπαθανασίου Α. Γέρμανος Γ. 11 Ένδειξη (indication) βουλήσεως Ελεύθερη, συγκεκριμένη, αδιαμφισβήτητη (unambiguous) και εν πλήρει επιγνώσει (informed) με δήλωση ή με σαφή θετική ενέργεια: εγγράφως, ηλεκτρονικά, προφορικά. O υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει την ύπαρξη συγκατάθεσης Διακριτή δήλωση/ ένδειξη Ανακλητέα Παπαθανασίου Α. Γέρμανος Γ. 12 4
Δεν θα πρέπει να χρησιμοποιείται η πρακτική της αποστολής μηνύματος πρόσκλησης (invitation e mail) με σκοπό τη λήψη της συγκατάθεσης του παραλήπτη. Παπαθανασίου Α. Γέρμανος Γ. 13 Στα μηνύματα αυτά ο αποστολέας συνήθως δηλώνει την επαγγελματική του ταυτότητα και ρωτάει τον παραλήπτη αν θέλει να λαμβάνει διαφημιστικά μηνύματα που αφορούν στην εταιρεία του. Δεν πρέπει να ζητάτε από τους παραλήπτες των μηνυμάτων σας να τα προωθούν σε τρίτους ή να σας χορηγήσουν τις διευθύνσεις τρίτων, εκτός και αν έχουν λάβει προηγουμένως τη συγκατάθεση των τρίτων (πρακτική γνωστή και ως viral marketing, δείτε: (http://www.wilsonweb.com/wmt5/viral principles.htm) Παπαθανασίου Α. Γέρμανος Γ. 14 Θα πρέπει να τηρείτε τις δηλώσεις συγκατάθεσης των παραληπτών σε ειδικό αρχείο. Επίσης πρέπει να παρέχετε σαφή διαδικασία με την οποία να μπορεί ο παραλήπτης να ανακαλέσει τη συγκατάθεσή του και να ζητήσει τη διαγραφή του από τη λίστα παραληπτών ηλεκτρονικών μηνυμάτων. Παπαθανασίου Α. Γέρμανος Γ. 15 5
Στο ίδιο ή σε διαφορετικό αρχείο με αυτό των συγκαταθέσεων πρέπει να τηρείτε και τις αιτήσεις διαγραφής των παραληπτών, όπου θα καταγράφεται η ημερομηνία της διαγραφής του παραλήπτη, καθώς και τα στοιχεία επικοινωνίας του στα οποία αποστέλλονταν τα ηλεκτρονικά σας μηνύματα (π.χ. ηλεκτρονική διεύθυνση). Παπαθανασίου Α. Γέρμανος Γ. 16 Θα πρέπει να παρέχετε στους παραλήπτες: δυνατότητα ενημέρωσης για τα προσωπικά δεδομένα που τηρείτε στο αρχείο σας, δυνατότητα πρόσβασης σε αυτά τα δεδομένα, καθώς και δυνατότητα διόρθωσης, κατόπιν αίτησής τους, εφόσον υπάρχουν σφάλματα στις καταχωρίσεις ή επιδιώκεται η επικαιροποίηση των υφιστάμενων στοιχείων. Παπαθανασίου Α. Γέρμανος Γ. 17 Επίσης, θα πρέπει να λαμβάνετε όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την ασφάλεια του αρχείου ή αλλιώς τη διαφύλαξη της εμπιστευτικότητας, ευ της ακεραιότητας και της διαθεσιμότητας των δεδομένων. Καλή πρακτική αποτελεί να διαθέτετε διαδικασία παρακολούθησης και χειρισμού των παραπόνων για αποστολή αζήτητης επικοινωνίας. Παπαθανασίου Α. Γέρμανος Γ. 18 6
Παπαθανασίου Α. Γέρμανος Γ. 19 Με αγορά ή δωρεάν προμήθεια Από καταλόγους Μέσω Διαδικτύου (harvesting) Από τρίτους.. Παπαθανασίου Α. Γέρμανος Γ. 20 Με αγορά ή δωρεάν προμήθεια λιστών ηλεκτρονικών διευθύνσεων από εταιρείες ή οργανισμούς που έχουν συλλέξει τις διευθύνσεις με τρόπο παράνομο και αθέμιτο, δηλαδή χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των κατόχων των ηλεκτρονικών διευθύνσεων. Απόφαση 83/2009 της Αρχής Παπαθανασίου Α. Γέρμανος Γ. 21 7
Από καταλόγους που δεν έχουν συσταθεί για το σκοπό της απευθείας εμπορικής προώθησης ή κάθε άλλου είδους διαφήμισης και τα πρόσωπα που περιέχονται σε αυτούς δεν έχουν δώσει τη συγκατάθεση τους για τη λήψητέτοιας μορφής ηλεκτρονικής επικοινωνίας. Παραδείγματα αποτελούν οι κατάλογοι των επαγγελματικών ενώσεων, των σωματείων, συλλόγων, κατάλογοι εκθέσεων (π.χ. συγκεκριμένων επαγγελματικών κλάδων, οι κατάλογοι στοιχείων επαφής συνδρομητών) κ.λπ. Παπαθανασίου Α. Γέρμανος Γ. 22 Μέσω Διαδικτύου (harvesting), όπως από χώρους συζητήσεων (forums), ιστολόγια (blogs), ιστοσελίδες (π.χ. όταν περιέχουν ηλεκτρονικές διευθύνσεις χρηστών ή κοινών διευθύνσεων επαφής εταιριών τύπου «info@company.gr», «noc@company.gr»), υπηρεσίες κοινωνικής δικτύωσης, ενημερωτικές λίστες ηλεκτρονικού ταχυδρομείου (mailing lists), διαδικτυακές υπηρεσίες πληροφοριών καταλόγου (white yellow pages), κ.ά. Αυτά ισχύουν, ανεξαρτήτως εάν η συλλογή διευθύνσεων πραγματοποιείται χειροκίνητα ή αυτόματα (π.χ. μέσω προγραμμάτων αράχνης (web crawlers)). Παπαθανασίου Α. Γέρμανος Γ. 23 Από τρίτους, για παράδειγμα από άτομα που δίνουν τις διευθύνσεις φίλων τους χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των φίλων Παπαθανασίου Α. Γέρμανος Γ. 24 8
Παπαθανασίου Α. Γέρμανος Γ. 25 Για τις τηλεφωνικές διαφημιστικές κλήσεις με ανθρώπινη παρέμβαση στο άρθρο 11 του ν. 3471/2006, όπου ορίζονται τα σχετικά με τις μη ζητηθείσες επικοινωνίες, είχε αρχικά επιλεγεί ο κανόνας της προηγούμενης συγκατάθεσης. Παπαθανασίου Α. Γέρμανος Γ. 26 Ωστόσο, με τον ν. 3917/2011 ο κανόνας αυτός τροποποιήθηκε και πλέον οι τηλεφωνικές αυτές κλήσεις επιτρέπονται εκτός και αν ο καλούμενος έχει δηλώσει ότι δεν τις επιθυμεί (σύστημα «opt out»). Το τελευταίο ισχύει τόσο για πελάτες του διαφημιζόμενου όσο και για κάθε πρόσωπο, του οποίου τα στοιχεία αντλούνται από το δημόσιοκατάλογοσυνδρομητών Παπαθανασίου Α. Γέρμανος Γ. 27 9
Το «opt out» σημαίνει ότι τα φυσικά ή νομικά πρόσωπα μπορούν να απευθύνουν τις αντιρρήσεις τους, όσον αφορά την επεξεργασία των δεδομένων τους, απευθείας στον υπεύθυνο επεξεργασίας. Επιπρόσθετα, ο νόμος προβλέπει τη δημιουργία μητρώων «opt out». Ο συνδρομητής μπορεί να δηλώσει ατελώς στον δικό του πάροχο τηλεπικοινωνιακών υπηρεσιών ότι δεν επιθυμεί να λαμβάνει τηλεφωνήματα για απευθείας εμπορική προώθηση. Παπαθανασίου Α. Γέρμανος Γ. 28 Ο πάροχος υποχρεούται να τηρεί μητρώο με αυτές τις δηλώσεις, στο οποίο έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για απευθείας εμπορική προώθηση. η Δυστυχώς, η διάταξη δεν προβλέπει την τήρηση ενός ενιαίου μητρώου από τους παρόχους ή άλλους φορείς, κι έτσι κάθε πάροχος τηλεπικοινωνιακών υπηρεσιών μπορεί να τηρεί το δικό του μητρώο «opt out», με συνέπεια οι ενδιαφερόμενοι για την απευθείας εμπορική προώθηση να πρέπει να συμβουλεύονται όλα τα υπάρχοντα μητρώα. Παπαθανασίου Α. Γέρμανος Γ. 29 Παπαθανασίου Α. Γέρμανος Γ. 30 10
Η Αρχή έχει επιβάλει στο παρελθόν (αποφάσεις 83/2009 και 59/2011) διοικητικές κυρώσεις για αποστολή αζήτητης ηλεκτρονικής επικοινωνίας μέσω ηλεκτρονικού ταχυδρομείου, φαξ ή σύντομων γραπτών μηνυμάτων (SMS). Οι κυρώσεις αυτές ξεκινούσαν από την επιβολή χρηματικού προστίμου και έφταναν έως και την καταστροφή αρχείου με παράνομα κτηθέντα προσωπικά δεδομένα (διευθύνσεις ηλ. ταχυδρομείου). Παπαθανασίου Α. Γέρμανος Γ. 31 Παπαθανασίου Α. Γέρμανος Γ. 32 http://internet safety.sch.gr/index.php/ekp/172 spam http://www.dpa.gr Ν. 2251/1994 περί προστασίας του καταναλωτή. Ν. 2472/1997 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ν. 3471/2006 για την προστασία προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες. ΠΔ 131/2003 σχετικά με ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας Απόφαση 26/2004 της ΑΠΔΠΧ για τη νόμιμη επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της άμεσης εμπορίας ή διαφήμισης. Οδηγία 2/2011 της ΑΠΔΠΧ για την ηλεκτρονική συγκατάθεση στο πλαίσιο του άρθρου 11 του ν. 3471/2006 Παπαθανασίου Α. Γέρμανος Γ. 33 11
Παπαθανασίου Α. Γέρμανος Γ. 34 12