Η Ηοmo Digitalis μιλάει στον Αθήνα 9.84

Η Μαργαρίτα Μυτιληναίου είναι από τις πιο καταξιωμένες ραδιοφωνικούς παραγωγούς των τελευταίων δεκαετιών.

Αύριο το πρωί, υποδέχεται στην εκπομπή της στον Athina 9.84, τη Λαμπρινή Γυφτοκώστα Διευθύντρια Τεχνητής Νοημοσύνης & Ανθρωπίνων Δικαιωμάτων της Homo Digitalis, για μία συζήτηση με θέμα “Τελικά μας ακούει το κινητό μας τηλέφωνο;”

Συντονιστείτε για να μάθετε περισσότερα για τις διαφημίσεις που βλέπουμε καθημερινά παντού στο Internet.
-Γιατί είναι διαφορετικές για τον καθένα από εμάς;
-Πόσο μας επηρεάζει αυτό;
-Κατά πόσο είναι νόμιμο;

 


Κοινό αφιέρωμα με τη noyb στην εφαρμογή του GDPR

Αύριο συμπληρώνονται 5 χρόνια από τότε που ο GDPR τέθηκε σε εφαρμογή! H noyb.eu έχει ετοιμάσει ένα αφιέρωμα για τις προκλήσεις που υπάρχουν στην εφαρμογή των διατάξεων του σε πολλές χώρες στην Ευρώπη, με τη Homo Digitalis να καλύπτει την Ελλάδα!

Σε αυτό το αφιέρωμα αναδεικνύουμε πως:

-Παρά την υψηλή εξειδίκευση του επιστημονικού προσωπικού της ΑΠΔΠΧ, αυτό παραμένει χαμηλόμισθο και διαθέτει περιορισμένο ανθρώπινο δυναμικό και οικονομικούς πόρους,

-Αυτό έχει ως αποτέλεσμα να επηρεάζεται σημαντικά η ταχύτητα διεκπεραίωσης των υπό εξέταση υποθέσεων, με μεγάλες καθυστερήσεις τόσο στη λήψη αποφάσεων όσο ακόμη και στην καθαρογραφή και δημοσίευσή τους!

Το αφιέρωμα καλύπτει πέρα από την Ελλάδα, χώρες όπως η Αυστρία, το Βέλγιο, η Γαλλία, η Γερμανία, η Ιρλανδία, η Ισπανία, η Ιταλία, το Λουξεμβούργο, η Ολλανδία και η Πολωνία.

Ευχαριστούμε θερμά τη noyb.eu για την εξαιρετική συνεργασία!

Το αφιέρωμα βρίσκεται διαθέσιμο εδώ:

 


Εκπαιδευτική Ομιλία μας στη Roche Hellas

Την Πέμπτη 11 Μαΐου η Homo Digitalis είχε τη χαρά να μιλήσει στο προσωπικό της Roche Hellas για το «ψηφιακό αποτύπωμα» στο πλαίσιο του Compliance Week που διοργάνωσε η εταιρεία.

Τέτοιες πρωτοβουλίες ευαισθητοποίησης είναι ιδιαίτερα σημαντικές για αύξηση του επιπέδου ευαισθητοποίησης σχετικά με τα ψηφιακά δικαιώματα όλων μας ως πολίτες, χρήστες του διαδικτύου, καταναλωτές και εργαζόμενοι.

Ελπίζουμε κι άλλες εταιρείες να ακολουθήσουν το παράδειγμα της Roche Hellas! Ευχαριστούμε ιδιαίτερα για την πρόσκληση, τη συμμετοχή και την ενδιαφέρουσα συζήτηση.

Τη Homo Digitalis εκπροσώπησαν οι συνιδρυτές της Κωνσταντίνος Κακαβούλης και Στέφανος Βιτωράτος.

 


Μιλάμε στην εφημερίδα Η Καθημερινή για την εφαρμογή του GDPR

Λαμβάνετε συχνά ανεπιθύμητα μηνύματα;
Κατά πόσο είναι νόμιμη αυτή η πρακτική;
Ποια δικαιώματα έχουμε;
Διαβάστε περισσότερα στις δηλώσεις που έκανε ο Κώστας Κακαβούλης για τη Homo Digitalis στην εφημερίδα Η Καθημερινή και τη δημοσιογράφο Δήμητρα Τριανταφύλλου εδώ.

 


Η ομιλία μας στο BEYOND EXPO στη Θεσσαλονική είναι διαθέσιμη

Μπορείτε να παρακολουθήστε την πρόσφατη ομιλία της Μελίνας Σκόνδρα στην έκθεση Beyond Expo σχετικά με την προστασία των προσωπικών μας δεδομένων και της ιδιωτικότητας στο εργασιακό περιβάλλον και τις υποχρεώσεις των εργοδοτών για τη συμμόρφωση με τον GDPR.
Η τεχνολογία οφείλει να αξιοποιείται με τρόπο που υπηρετεί τον άνθρωπο, κατά τη Μελίνα, κι εμείς δεν θα μπορούσαμε να συμφωνήσουμε περισσότερο! Μπορείτε να δείτε το σχετικό απόσπασμα εδώ (στο 44:38).

 


Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc *

Σκοπός του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (679/2016) είναι η ασφαλής διαχείριση των προσωπικών δεδομένων από φορείς και επιχειρήσεις του δημόσιου και ιδιωτικού τομέα στην ευρωπαϊκή επικράτεια.

Συγκεκριμένα, μέσω της θέσπισης ενιαίων κανόνων, επιχειρείται η προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων, ενώ παράλληλα προστατεύονται θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων.

Στο πλαίσιο αυτό, οι οργανισμοί δεν θα πρέπει απλώς να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να υλοποιούν μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των προσωπικών δεδομένων που επεξεργάζονται.

Πιο συγκεκριμένα, μέσω ενός κατάλληλου προγράμματος συμμόρφωσης, ένας οργανισμός θα πρέπει να αναπτύξει όλους τους απαραίτητους μηχανισμούς, για να είναι σε θέση να ικανοποιεί, μεταξύ των άλλων, και:

  1. τις θεμελιώδεις αρχές για τη νομιμότητα κάθε επεξεργασίας,
  2. τα θεμελιώδη δικαιώματα των υποκειμένων (ενημέρωση, πρόσβαση, διόρθωση, διαγραφή (λήθη), περιορισμός επεξεργασίας, εναντίωση (και στο profiling) και φορητότητα,
  3. τις υποχρεώσεις του ως υπεύθυνος επεξεργασίας.

Ειδικότερα για την αρχή της λογοδοσίας του υπεύθυνου επεξεργασίας, η οπoία αποτελεί και μια από τις θεμελιώδεις αρχές του GDPR,  η λογοδοσία αυτή καθαυτή προκύπτει από την ευθύνη συμμόρφωσης του οργανισμού και την υποχρέωση απόδειξης της συμμόρφωσης ανά πάσα ώρα και στιγμή.

Στο πλαίσιο αυτό, η διοίκηση ενός οργανισμού θα πρέπει να στραφεί προς την προοπτική συμμόρφωσης, αντιλαμβανόμενη ωστόσο ότι μια ουσιαστική συμμόρφωση απαιτεί δέσμευση, πόρους και εργατοώρες.

 

ΠΡΙΝ ΤΗΝ ΕΝΑΡΞΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Επιλογή τρόπου συμμόρφωσης

Εφόσον κριθεί ότι η συμμόρφωση είναι απαραίτητη, η διοίκηση ενός οργανισμού θα πρέπει να επιλέξει σε ποιόν θα ανατεθεί το έργο της συμμόρφωσης.

Όπως και στην περίπτωση διορισμού του υπεύθυνου προστασίας δεδομένων (εφεξής DPO), ένας οργανισμός θα μπορούσε να εξετάσει το ενδεχόμενο της ανάθεσης του έργου συμμόρφωσης σε άτομο ή άτομα που απασχολούνται ήδη στον οργανισμό ή να εξετάσει το ενδεχόμενο ανάθεσης του έργου συμμόρφωσης σε σύμβουλο με αποδεδειγμένη δραστηριότητα στο συγκεκριμένο τομέα.

 

Πρώτη αυτοαξιολόγηση

Από την στιγμή που θα γίνει η τελική επιλογή του τρόπου συμμόρφωσης, θα πρέπει να ξεκινήσουν οι διαδικασίες προς αυτήν την κατεύθυνση.

Καταρχάς, και στις δύο περιπτώσεις (εσωτερική ή εξωτερική ανάθεση), θα πρέπει να συμπληρώνεται ένα ερωτηματολόγιο αρχικής αυτοαξιολόγησης σχετικά με το υφιστάμενο επίπεδο προστασίας δεδομένων του οργανισμού. Αυτό θα βοηθήσει τόσο τον οργανισμό, όσο και τον υπεύθυνο συμμόρφωσης, για να γνωρίζουν από ποια βάση εκκινούν.

Το αποτέλεσμα της αυτοαξιολόγησης μπορεί σε κάποιες περιπτώσεις να επηρεάσει και το συνολικό τίμημα, αφού ενδεχομένως να απαιτηθεί μεγαλύτερη ή μικρότερη προσπάθεια ανάλογα με το υφιστάμενο επίπεδο ετοιμότητας του οργανισμού.

Ορισμός ομάδας εργασίας

Επιπλέον, σε περίπτωση εξωτερικής ανάθεσης, θα πρέπει ο οργανισμός να ορίσει έναν ή και παραπάνω υπεύθυνους επικοινωνίας με την ομάδα συμμόρφωσης και, επιπλέον, να ορίσει μια στενή «ομάδα εργασίας».

Μια ουσιαστική συμμόρφωση απαιτεί διαρκή επικοινωνία μεταξύ των δύο μερών, τόσο για την άμεση ανταλλαγή δεδομένων και πληροφοριών, όσο και για επιτόπιες απαντήσεις και διευκρινήσεις σε απορίες και ερωτήματα της ομάδας συμμόρφωσης.

Πρώτη γνωστοποίηση στο προσωπικό

Σε αυτήν την φάση, απαραίτητη κρίνεται και μια επίσημη ενημέρωση του προσωπικού κάθε ειδικότητας, σχετικά με το επικείμενο πρόγραμμα συμμόρφωσης, καθώς και για την εμπλοκή όλων των βαθμίδων ιεραρχίας και όλων των τμημάτων σε αυτήν την συλλογική προσπάθεια.

 

ΥΛΟΠΟΙΗΣΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Ενδεικτικό Πρόγραμμα Συμμόρφωσης

Όπως είναι αντιληπτό, σκοπός είναι η διασφάλιση του μέγιστου βαθμού συμμόρφωσης του οργανισμού στις απαιτήσεις και τις προϋποθέσεις του GDPR, με γνώμονα η συμμόρφωση να μην δημιουργεί εμπόδια στην καθημερινή λειτουργία και δραστηριότητα του οργανισμού.

Το πρόγραμμα συμμόρφωσης χωρίζεται σε επιμέρους στάδια, κάθε ένα από τα οποία είναι σημαντικό, αφού αποτελούν ενδιάμεσους κρίκους που θα οδηγήσουν στην τελική συμμόρφωση του οργανισμού.

Σε γενικές γραμμές, στην αρχή διεξάγεται μια εκτίμηση του υφιστάμενου επιπέδου συμμόρφωσης σχετικά με τον διαχείριση των προσωπικών δεδομένων.

Στην πορεία, και αφού έχουν συλλεγεί όλες οι απαραίτητες πληροφορίες, προετοιμάζεται ένα πλάνο δράσης στο οποίο περιλαμβάνονται τα προτεινόμενα μέτρα, τα οποία θα πρέπει να έχουν συμφωνηθεί με τον οργανισμό. Το κάθε στάδιο θα πρέπει να συνοδεύεται και από ένα σαφές χρονοδιάγραμμα υλοποίησης.

Το χρονοδιάγραμμα υλοποίησης και η χρονική διάρκεια κάθε επιμέρους φάσης, αλλά και του συνολικού προγράμματος συμμόρφωσης, διαφοροποιούνται κατά περίπτωση.

 

ΠΡΩΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Πρώτες συναντήσεις και επιτόπιες επιθεωρήσεις

Στην πλειονότητα των περιπτώσεων, το έργο συμμόρφωσης ξεκινάει με μια πρώτη συνάντηση, για να ακολουθήσουν πολλές άλλες συναντήσεις και ανταλλαγές πληροφοριών. Στην πρώτη συνάντηση διαμορφώνεται ένα κοινά αποδεκτό πλάνο ενεργειών, χωρισμένο σε επιμέρους στάδια και με σαφή χρονοδιαγράμματα, ενώ παράλληλα τίθενται επί τάπητος τα βασικά θέματα και οι διαδικασίες που θα πρέπει να ακολουθηθούν.

Αρχικές εκπαιδεύσεις

Στην φάση αυτή πραγματοποιούνται οι πρώτες γενικές εκπαιδεύσεις για τον GDPR στην διοίκηση και στο προσωπικό, ξεκινώντας από τους διευθυντές / προϊσταμένους των τμημάτων. Στην περίπτωση πολυπληθών οργανισμών, η πρώτη εκπαίδευση θα μπορούσε να είναι μια ευρεία παρουσίαση που απευθύνεται σε μεγάλο αριθμό προσωπικού.

Ευρετήριο Προσωπικών Δεδομένων και Αρχείο Ροών Δεδομένων

Τόσο το Ευρετήριο Προσωπικών Δεδομένων, όσο και το Αρχείο Ροών Δεδομένων, αποτελούν προπομπούς του Αρχείου Χαρτογράφησης, του Αρχείου Δραστηριοτήτων Επεξεργασίας, αλλά και της μετέπειτα Μελέτης Αποκλίσεων.

Τα δεδομένα συλλέγονται από συμπεράσματα που προκύπτουν τόσο από συναντήσεις και προφορικές συζητήσεις, όσο και μέσω της διανομής και συμπλήρωσης ειδικού ερωτηματολογίου.

Αρχείο Χαρτογράφησης

Αποτελεί μια χρήσιμη ανάλυση της υφιστάμενης κατάστασης σχετικά με την προστασία προσωπικών δεδομένων και των κινδύνων που ελλοχεύουν.

Στο συγκεκριμένο αρχείο πραγματοποιείται μια παρουσίαση των ευρημάτων ανά τμήμα ή/και θέση εργασίας που σχετίζονται με την προστασία των δεδομένων. Η συγκεκριμένη μελέτη θα πρέπει να περιλαμβάνει όλες τις ήδη εντοπισμένες δραστηριότητες του οργανισμού.

Αρχείο Δραστηριοτήτων Επεξεργασίας

Μαζί με την Αρχείο Χαρτογράφησης, σε αυτήν την φάση προετοιμάζεται και απαραίτητο Αρχείο Δραστηριοτήτων, στο οποίο θα πρέπει να απεικονίζονται όλα όσα ορίζει ο GDPR.

Πρώτα νομικά, τεχνικά και οργανωτικά θέματα συμμόρφωσης

Πέρα από τα παραδοτέα αρχεία που προαναφέρθηκαν, στην πρώτη φάση του προγράμματος συμμόρφωσης συστήνεται να ξεκινήσει η υλοποίηση και συγκεκριμένων κρίσιμων διορθωτικών οργανωτικών και τεχνικών μέτρων, για τα οποία κρίνεται σκόπιμο να μην υπάρξουν καθυστερήσεις.

 

ΔΕΥΤΕΡΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ

Επόμενες  συναντήσεις – επισκέψεις – εκπαιδεύσεις

Στην δεύτερη φάση του προγράμματος συμμόρφωσης,  πραγματοποιούνται νέες επισκέψεις σύμφωνα με την εξέλιξη της συμμόρφωσης, ενώ συζητούνται τα παραδοτέα αρχεία της πρώτης φάσης, με περεταίρω εμβάθυνση σε όσα πεδία είναι σημαντικά ή για τα οποία ενδεχομένως να υπάρχουν απορίες.

Ανάλυση Αποκλίσεων

H Ανάλυση Αποκλίσεων έχει σκοπό τον εύρεση των νομικών, κανονιστικών, οργανωτικών και τεχνολογικών αποκλίσεων ως προς τις απαιτήσεις και τις προϋποθέσεις του Κανονισμού.

Θα μπορούσε να ειπωθεί ότι η συγκεκριμένη ανάλυση αφορά μια επαλήθευση των προβληματικών πεδίων που βρέθηκαν από την φάση της αρχικής χαρτογράφησης, μόνο που εδώ συσχετίζονται με συγκεκριμένες απαιτήσεις του Κανονισμού.

Ανάλυση Κινδύνων

Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα αποτελεί η υλοποίηση της Μελέτης Αντικτύπου (DPIA), σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ, η προαναφερόμενη εκτίμηση και αξιολόγηση των κινδύνων, που απορρέουν από την επεξεργασία, πρέπει να διενεργείται σε κάθε περίπτωση, ακόμα και στις περιπτώσεις επεξεργασιών για τις οποίες δεν απαιτείται διενέργεια μελέτης αντικτύπου.

Η ανάλυση συστήνεται να υλοποιείται τόσο πριν, όσο και μετά από την εφαρμογή των προτεινόμενων μέτρων.

Μελέτη Αντικτύπου (Data Privacy Impact Analysis)

Σύμφωνα με τον Άρθρο 35 του Κανονισμού 679/2016, «όταν ένα τύπος επεξεργασίας, ιδίως με την χρήση τεχνολογιών, λαμβανομένων υπόψη της φύσης, του πλαισίου, του πεδίου εφαρμογής και των σκοπών επεξεργασίας, είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες  των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, προβαίνει σε εκτίμηση επιπτώσεων των προβλεπόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα».

Σε αυτό το σημείο κρίνεται σκόπιμη η αναφορά στην σχέση της γενικότερης Ανάλυσης Κινδύνων με την ειδικότερη Μελέτη Αντικτύπου.

Η Μελέτη Αντικτύπου αποτελεί ουσιαστικά μια μεθοδολογία Risk Assessment (ή αλλιώς, ένα υποσύνολο της) με κοινές αρχές και στόχους.

Και αυτό, αφού πολλές από τις ενέργειες και δράσεις που εφαρμόζονται  για την Μελέτη Αντικτύπου, εκπονούνται ήδη για γενικότερη Ανάλυση Κινδύνων. Άλλωστε, πολλοί οργανισμοί (συνήθως οι μεγάλοι σε μέγεθος), μπορεί να επιλέξουν να ενσωματώσουν την Μελέτη Αντικτύπου στο ευρύτερο εταιρικό πλαίσιο διαχείρισης κινδύνων που υιοθετούν.

 

ΤΡΙΤΗ ΦΑΣΗ ΣΥΜΜΟΡΦΩΣΗΣ 

Τελευταίες επισκέψεις και εκπαιδεύσεις

H τελευταία φάση του προγράμματος συμμόρφωσης αποτελείται από συναντήσεις κατά τις οποίες συνοψίζονται εκ νέου όλα τα παραδοτέα αρχεία, με αναφορά στους κινδύνους / ευρήματα και στα κατάλληλα τεχνικά και οργανωτικά μέτρα. Τα επόμενα βήματα που θα ακολουθήσει ο οργανισμός είναι πολύ σημαντικά για την διαρκή και ουσιαστική του συμμόρφωση με τις απαιτήσεις του GDPR. Παράλληλα, υλοποιούνται και οι τελευταίες εκπαιδεύσεις για το προσωπικό που πιθανόν απουσίαζε από τις αρχικές εκπαιδεύσεις.

Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων

Σε αυτήν την φάση υλοποιείται και παραδίδεται το Πρόγραμμα Υλοποίησης Προτεινόμενων Μέτρων για την Προστασία Προσωπικών Δεδομένων.

Πρόκειται μια λίστα των μέτρων με λεπτομέρειες για το ποιος / ποιοι θα το υλοποιήσουν, το status υλοποίησης, ένα χρονοδιάγραμμα υλοποίησης και σχετικές παρατηρήσεις. Το συγκεκριμένο αρχείο πρέπει να παρακολουθείται στην συνέχεια από τον DPO, ο οποίος και θα πρέπει να το διατηρεί μονίμως επικαιροποιημένο.

Σχεδιασμός και διανομή πολιτικών, διαδικασιών, οδηγιών εργασίας, εντύπων

Βάσει του Προγράμματος Υλοποίησης Προτεινόμενων Μέτρων, σε αυτήν την φάση σχεδιάζονται και διανέμονται επίσημα καταγεγραμμένες πολιτικές, διαδικασίες και οδηγίες εργασίας, οι οποίες σχετίζονται με την  ασφάλειας των δεδομένων και έχουν σαν σκοπό την κάλυψη των αποκλίσεων που εντοπίστηκαν κατά την δεύτερη φάση.

 

ΟΛΟΚΛΗΡΩΣΗ ΠΡΟΓΡΑΜΜΑΤΟΣ ΣΥΜΜΟΡΦΩΣΗΣ

Με την παράδοση και των τελευταίων Πολιτικών, Διαδικασιών, Οδηγιών Εργασίας, Εντύπων και άλλων παραδοτέων που συγκαταλέγονται στα προτεινόμενα μέτρα, μπορεί να θεωρηθεί ότι ολοκληρώνεται επισήμως το πρόγραμμα συμμόρφωσης του οργανισμού.

Ωστόσο, οι οργανισμοί είθισται να παρουσιάζουν σημεία απόκλισης μετά από το τέλος της περιόδου επίσημης συμμόρφωσης, με τα σημεία απόκλισης να μεγαλώνουν με το πέρασμα του χρόνου.

Αυτή η αντίδραση μπορεί να θεωρηθεί σε κάποιο βαθμό δικαιολογημένη και αναμενόμενη, αφού η πίεση της καθημερινότητας και οι μεγάλες απαιτήσεις σε σχέση με την κύρια δραστηριότητα και την απρόσκοπτη λειτουργία ενός οργανισμού, μπορεί να θέσουν σταδιακά την προστασία των δεδομένων σε δεύτερη προτεραιότητα.

Για τους παραπάνω λόγους, η παρουσία ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) πρέπει να είναι ουσιαστική και συνεχόμενη, μέσα από μια σειρά ενεργειών, οι οποίες θα καλλιεργούν και θα συντηρούν μια πιο μόνιμη κουλτούρα συμμόρφωσης εντός του οργανισμού (για περισσότερες πληροφορίες: https://www.homodigitalis.gr/posts/7535).

Ακόμα όμως και στις περιπτώσεις όπου δεν απαιτείται η παρουσία ενός DPO, οι οργανισμοί θα πρέπει από μόνοι τους να εφαρμόζουν όλα τα απαραίτητα για μια ουσιαστική συμμόρφωση με το GDPR και την κείμενη νομοθεσία σχετικά με την προστασία προσωπικών δεδομένων.

 

Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος τίτλων MBΑ από το ICBS Thessaloniki Business College και MSc in International Business and Finance από το Reading University, UK. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR. Είναι γενικός γραμματέας, μέλος Δ.Σ. και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος του DPO Network Greece, μέλος της ομάδας Homo Digitalis και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).

Πηγές:

Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

http://homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021

http://homodigitalis.gr/posts/7535, Ο ρόλος και η «καθημερινότητα» του Υπεύθυνου Προστασίας Δεδομένων (DPO), 11 Οκτωβρίου, 2020

Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL 


Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR)

Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc **

Πέρασαν κάτι λιγότερο από 3 χρόνια αφότου ξεκίνησε η εφαρμογή του νέου ευρωπαϊκού Κανονισμού για την προστασία προσωπικών δεδομένων (“ΓΚΠΔ” ή “GDPR“) και η πλειοψηφία των επιχειρήσεων, μικρών και μεγάλων, θα έπρεπε ήδη να γνωρίζουν τις υποχρεώσεις που απορρέουν από τον κανονισμό και την κείμενη νομοθεσία, αλλά και να έχουν υλοποιήσει μια σειρά από ενέργειες προς την κατεύθυνση της προστασίας των (προσωπικών) δεδομένων που διαχειρίζονται.

Ειδικότερα για τις μικρομεσαίες επιχειρήσεις, άσχετα από την απαίτηση ή όχι για διορισμό ενός υπεύθυνου προστασίας δεδομένων (“DPO“), αφού αυτό εξαρτάται από το α) αν υπάρχει τακτική και συστηματική παρακολούθηση δεδομένων πελατών – προσωπικού – προμηθευτών – συνεργατών σε μεγάλη κλίμακα ή β) αν λαμβάνει χώρα μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών (ευαίσθητων) δεδομένων, μια επιχείρηση οφείλει να εφαρμόσει ορισμένα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των δεδομένων. Αν και η έκταση και το εύρος εφαρμογής αυτών των μέτρων μπορεί να διαφοροποιούνται ανάλογα με την περίπτωση, συστήνεται η υλοποίηση μιας – κατ΄ελάχιστον – λίστας προληπτικών ενεργειών.

Ενδεικτικά, αλλά όχι περιοριστικά:

  • Δημιουργία ενός αρχείου δραστηριοτήτων με όλες τις κατηγορίες επεξεργασίας των προσωπικών δεδομένων για τις οποίες είναι υπεύθυνη η επιχείριση (ως υπεύθυνος επεξεργασίας), με ταυτόχρονη αναφορά σε μια σειρά από βασικές πληροφορίες που απαιτούνται από τον ΓΚΠΔ.
  • Ύπαρξη μιας πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα.
  • Ορισμένες γραπτές διαδικασίες για τον τρόπο επεξεργασίας των προσωπικών δεδομένων από την επιχείρηση.
  • Ανάλογα με το είδος και την δραστηριότητα της επιχείρησης, ύπαρξη κατάλληλου εντύπου ενημέρωσης των πελατών για την χρήση των δεδομένων τους, με αναφορά στους σκοπούς για τους οποίους που θα χρησιμοποιηθούν τα δεδομένα, την νομική βάση για την επεξεργασία τους, για πόσο χρονικό διάστημα θα αποθηκεύονται, σε ποιους θα κοινοποιούνται, αναφορά στα βασικά δικαιώματά των πελατών όσον αφορά την προστασία των δεδομένων, το δικαίωμά των πελατών να υποβάλουν καταγγελία κλπ.
  • Σε περίπτωση απασχόλησης προσωπικού, ύπαρξη εντύπου ενημέρωσης του προσωπικού για τις ακριβείς επεξεργασίες των προσωπικών τους δεδομένων (ίδια δομή με το έντυπο ενημέρωσης πελάτη) και, ξεχωριστά, υπογραφή ρήτρας εμπιστευτικότητας. Επίσης, συχνή εκπαίδευση του προσωπικού για την ορθολογική χρήση των εταιρικών δεδομένων.
  • Στην περίπτωση των προμηθευτών και των εξωτερικών συνεργατών, απαίτηση για υπογραφή σύμβασης ή άλλης νομικής πράξης σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά περίπτωση και βάση του είδους της συνεργασίας. Ενδεικτικά, αφορά την ανάθεση σε τρίτες εταιρείες ή ελεύθερους επαγγελματίες: α) της μισθοδοσίας του προσωπικού, β) της ασφάλισης του προσωπικού, γ) της λογιστικής υποστήριξης της επιχείρησης, δ) της μηχανογραφικής υποστήριξης, ε) της διαχείρισης της εταιρικής ιστοσελίδας ή/και των social media, στ) της συντήρησης του εξοπλισμού, ζ) της καθαριότητας των υποδομών, η) της φύλαξης των υποδομών και θ)  τυχόν λοιπές συνεργασίες με συμβούλους.
  • Σε περίπτωση λειτουργίας κλειστού κυκλώματος τηλεόρασης (CCTV), α) ενημέρωση των υποκειμένων  με εμφανείς σημάνσεις για την ύπαρξη του συστήματος βιντεοεπιτήρησης για το σκοπό της ασφάλειας προσώπων και αγαθών και β) τήρηση των σχετικών απαιτήσεων που προκύπτουν από την κείμενη νομοθεσία, όπως ενδεικτικά, τοποθέτηση καμερών σε σημεία εισόδου και εξόδου, σε χώρους ταμείων ή χώρους κρίσιμων εγκαταστάσεων, απαίτηση για διαγραφή του καταγεγραμμένου υλικού εντός 15 ημερών, προστασία µονάδας ελέγχου του κυκλώµατος (καταγραφικό) το υλικό να μην χρησιμοποιείται για την διαδικασία αξιολόγησης του προσωπικού κλπ.
  • Σε περίπτωση ύπαρξης ηλεκτρονικής ιστοσελίδας, ύπαρξη όρων και προϋποθέσεων χρήσης της ιστοσελίδας, δυνατότητα στον επισκέπτη να αποδεχθεί ή να απορρίψει την εγκατάσταση cookies (πέραν των «αυστηρώς απαραίτητων»), ανάρτηση στην ιστοσελίδα της πολιτικής προστασίας δεδομένων της επιχείρησης κλπ.
  • Σε περίπτωση αποστολής ηλεκτρονικών newsletters ή sms marketing από την επιχείρηση, θα πρέπει οπωσδήποτε να δίδεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).

 

Ειδικότερα ως προς την φυσική ασφάλεια, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

*ασφαλής αποθήκευση κρίσιμων δεδομένων, όπως φύλαξη φακέλων προσωπικού, πελατών και λοιπά έντυπα αρχεία σε κλειδωμένα συρτάρια, ντουλάπες ή φωριαμούς,

* εγκατάσταση συστήματος συναγερμού και αλλαγή κωδικών σε περίπτωση αποχώρησης προσωπικού που τους γνώριζε,

* εγκατάσταση κλειστού κυκλώματος τηλεόρασης (CCTV) ή/και συνεργασία με εταιρεία φύλαξης χώρων (security),

* αλλαγή κλειδαριών σε περίπτωση αποχώρησης προσωπικού που χειριζόταν τα κλειδιά,

* κλείδωμα όλων των θυρών και παραθύρων πριν την αποχώρηση από την επιχείρηση κλπ.

Ως προς την ασφάλεια της ηλεκτρονικής πληροφορίας, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

* εφαρμογή προγραμμάτων αντιμετώπισης κακόβουλου λογισμικού (anti malware), καθώς και χρήση προγραμμάτων τειχών ασφαλείας (firewall),

* αποθήκευση στο δίκτυο και κεντρική λήψη αντιγράφων ασφαλείας (backup), σε τακτική βάση και με ασφαλή τρόπο,

* περιορισμοί στην σύνδεση αποσπώμενων μέσων για αποφυγή κακόβουλης εξαγωγής δεδομένων,

* διαχείριση λογαριασμών χρηστών, μηχανισμοί ελέγχου πρόσβασης, διαχείριση κωδικών πρόσβασης,

* λοιπές πολιτικές και διαδικασίες για την προστασία της ηλεκτρονικής πληροφορίας και δεδομένων.

 

Ως προς τις διαβιβάσεις πληροφοριών, προτείνονται ενδεικτικά τα ακόλουθα μέτρα:

* προστασία ηλεκτρονικών αρχείων κατά την αποστολή τους μέσω ηλεκτρονικού ταχυδρομείου (πχ μέσω της ξεχωριστής αποστολής των κωδικών ανοίγματος με sms ή με άλλους ενδεδειγμένους τρόπους προστασίας),

* μηχανισμοί και διαδικασίες για προσεκτική ταυτοποίηση ατόμων πριν την διαβίβαση πληροφοριών δια τηλεφώνου, ηλεκτρονικά ή από κοντά κλπ.

 

Συμπερασματικά, οι μικρομεσαίες επιχειρήσεις δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και την σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που διαχειρίζονται, αλλά και να υιοθετούν μια σειρά από τεχνικά και οργανωτικά μέτρα προστασίας και διαφύλαξης των δεδομένων, υπό το πρίσμα του ΓΚΠΔ / GDPR και της κείμενης νομοθεσίας.

 

** Ο Δημοσθένης Κωστούλας, Quality Manager και DPO σε Ιδιωτική Κλινική, DPO στον Ιατρικό Σύλλογο Θεσσαλονίκης, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος MBΑ και MSc (International Business and Finance). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο “Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα” (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι αρθρογράφος για το GDPR και αποτελεί γενικό γραμματέα και μέλος του Δ.Σ. του ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικό συνεργάτη του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της ομάδας του Homo Digitalis, μέλος του DPO Network Greece και μέλος του ΙΝ.ΕΠ.ΙΔ Β.Ελλάδος.

Πηγές:

  1. Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
  2. Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL
  3. Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, Ο∆ΗΓΙΑ 1/2011, Αριθ. Πρωτ. Γ/ΕΞ/2274/31.03.2011, Χρήση συστηµάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών.
  4. Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα, ΔΕΛΤΙΟ ΤΥΠΟΥ 25/2/2020, Aρ. Πρωτ.: Γ/ΕΞ/1525, Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.
  5. https://ec.europa.eu/info/sites/info/files/data-protection-overview-citizens_el.pdf, ΕΝΑΣ ΟΔΗΓΟΣ ΤΟΥ ΠΟΛΊΤΗ ΓΊΑ ΤΗΝ ΠΡΟΣΤΑΣΊΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΕΕ, Λουξεμβούργο: Υπηρεσία Εκδόσεων της Ευρωπαϊκής Ένωσης, 2018


Η αποστολή ανεπιθύμητης αλληλογραφίας (spamming)

Της Μαγδαληνής Σκόνδρα*

Η σύγχρονη αλληλογραφία δεν θα μπορούσε να μην ακολουθήσει την ψηφιακή εποχή, κατά την οποία η ταχύτητα, η ευκολία και το μηδενικό κόστος ανταλλαγής μηνυμάτων, αποτελούν τόσο θελκτικά προνόμια, που έχουν κάνει την ηλεκτρονική αλληλογραφία το δημοφιλέστερο μέσο επικοινωνίας. Η εμπορική προώθηση προϊόντων βρήκε στην ηλεκτρονική αλληλογραφία ένα άμεσο και αδάπανο εργαλείο. Όπως και κάθε άλλη πρακτική που αποκτά τέτοια απήχηση, έτσι και η ηλεκτρονική αλληλογραφία δεν θα μπορούσε να μη συνδεθεί τόσο με απλώς αθέμιτες πρακτικές, όσο και με παράνομες ενέργειες, ορισμένες εκ των οποίων είναι ακόμη και ποινικά αδικήματα.

Η λέξη SPAM, με την οποία αναφερόμαστε σύντομα στην ανωτέρω πρακτική,  προέρχεται από το εμπορικό όνομα αμερικανικού προϊόντος κρέατος σε κονσέρβα στη δεκαετία του 1960 το οποίο εισαγόταν στη Μεγάλη Βρετανία σε μεγάλες ποσότητες. Το 1970, οι Μόντυ Πάιθονς έγραψαν το σκετς Σπαμ ως μέρος της εκπομπής Το ιπτάμενο τσίρκο των Μόντυ Πάιθονς όπου μια ομάδα Βίκινγκς επαναλάμβαναν δυνατά ένα τραγούδι με μόνα λόγια το «σπαμ σπαμ σπαμ…ωραίο σπαμ…εξαίρετο σπαμ». Στη συνέχεια, στη δεκαετία του 1980 οι εταιρείες αποστολής τέτοιων μηνυμάτων τα ονόμαζαν SPAM ως ακρωνύμιο του Sales Promotion and Marketing (Προώθηση Πωλήσεων και Μάρκετινγκ) [1]. Η νομική της έννοια βέβαια, είναι διαφορετική, καθώς δεν χρειάζεται η επικοινωνία να είναι μαζική (νομικά, σπαμ μπορεί να είναι και 1 μόνο μήνυμα), αλλά το περιεχόμενο πρέπει είναι διαφημιστικό (να προωθεί προϊόντα, υπηρεσίες, απόψεις, ή γενικά την «εικόνα» αυτού που το στέλνει).

Το κοινοτικό δίκαιο[2], ορίζει ότι η χρησιμοποίηση συσκευών αυτόματων κλήσεων, φαξ, emails, κλπ.  για απευθείας εμπορική προώθηση επιτρέπεται μόνο στην περίπτωση συνδρομητών ή χρηστών οι οποίοι έχουν δώσει εκ των προτέρων τη συγκατάθεσή τους.

Το ελληνικό δίκαιο που ενσωμάτωσε αυτήν την κοινοτική οδηγία[3], προβλέπει το ίδιο.

Ο ελληνικός νόμος προβλέπει την προστασία προσωπικών δεδομένων και στις ηλεκτρονικές επικοινωνίες. Μάλιστα, στην έννοια του δεδομένου προσωπικού χαρακτήρα έχει κριθεί ότι εμπίπτει, και ο τηλεφωνικός αριθμός και ο λογαριασμός ηλεκτρονικού ταχυδρομείου[4] [5] [6] [7].

Η πολιτική επικοινωνία ως σπαμ

Όπως είπαμε παραπάνω, η νομική έννοια της μη νόμιμης αποστολής αζήτητης (ή αυτόκλητης) επικοινωνίας[8], προϋποθέτει την χωρίς ανθρώπινη παρέμβαση επικοινωνία που γίνεται, όμως, συγκεκριμένα, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, χωρίς προηγούμενη ρητή συγκατάθεση[9] του παραλήπτη (σύστημα opt in). Στην έννοια της εμπίπτουν όλα τα μηνύματα που υπηρετούν διαφημιστικούς σκοπούς, και τέτοιοι θεωρούνται και όσοι στοχεύουν να προωθούν δράσεις φιλανθρωπικών ιδρυμάτων ή πολιτικών κομμάτων.

Έτσι, ακόμα και η πολιτική επικοινωνία οφείλει να συμμορφώνεται με τους κανόνες που ισχύουν για το spam[10]. Η Αρχή Προστασίας Δεδομένων (ΑΠΔΠΧ) έχει εκδώσει σχετική Οδηγία ήδη από το 2010[11], αλλά και νεότερη πρόσφατα, τον Απρίλιο του 2019, σχετικά με αυτό το ζήτημα[12], μετά και τη σχετική υπ΄ αριθμόν 2/2019 δήλωση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Έτσι, στις τελευταίες Ευρωεκλογές, η ΑΠΔΠΧ, με την υπ’ αριθμό 19/2019 απόφασή της, επέβαλε πρόστιμο 2.000€ για την αποστολή ενός και μόνο μηνύματος υποψηφίου ευρωβουλευτή σε δικηγόρο-ψηφοφόρο, της οποίας την ηλεκτρονική  διεύθυνση είχε συλλέξει από τους δημοσιευμένους καταλόγους στοιχείων επικοινωνίας δικηγόρων[13].

Τι σημαίνει ηλεκτρονικό ταχυδρομείο; Είναι μόνο το email?

Σύμφωνα με το νόμο[14] και με την ΑΠΔΠΧ[15], στην έννοια του ηλεκτρονικού ταχυδρομείου εντάσσονται όχι μόνο τα emails, όπως θα πίστευε κανείς, αλλά όλα τα ακόλουθα είδη μηνυμάτων:

  1. μηνύματα ηλεκτρονικού ταχυδρομείου
  2. υπηρεσίες μηνυμάτων με χρήση κινητής τηλεφωνίας (SMS, MMS)
  3. υπηρεσίες φαξ
  4. υπηρεσίες στιγμιαίων μηνυμάτων (instant messaging), π.χ. Facebook Messenger, WhatsApp, Viber, MSN, Yahoo Messenger, Google Chat, κ.ά.
  5. υπηρεσίες ηλεκτρονικής ανταλλαγής μηνυμάτων, όπως σελίδες κοινωνικής δικτύωσης, π.χ. Facebook, Twitter, LinkedIn, κ.ά.

Πότε επιτρέπονται μηνύματα ηλεκτρονικού ταχυδρομείου για προωθητικούς σκοπούς;

Μόνη εξαίρεση στον κανόνα της προηγούμενης συγκατάθεσης του παραλήπτη, προβλέπει ο νόμος[16], στην περίπτωση που αυτός που στέλνει το μήνυμα έχει αποκτήσει το τηλέφωνο ή το μέιλ του παραλήπτη, με την ευκαιρία συναλλαγής μαζί του, (π.χ. κατά την αγορά προϊόντων) χωρίς την προηγούμενη συγκατάθεσή του, υπό την προϋπόθεση ότι του δίνει την ευκαιρία να αρνηθεί ήδη από τη στιγμή που του ζητά τα στοιχεία του, αλλά και σε κάθε μήνυμα, σε περίπτωση που αρχικά δεν είχε διαφωνήσει(πχ μέσω ενός κουμπιού «απεγγραφή» ή “unsubscribe”).

Αναγκαία προϋπόθεση είναι όμως η προηγούμενη ενημέρωση του συνδρομητή-πελάτη[17]. Η ενημέρωση αυτή θα πρέπει να παρέχεται κατά τη στιγμή της συλλογής των στοιχείων επικοινωνίας -δηλαδή, την ώρα της συναλλαγής- και να περιλαμβάνει με σαφήνεια την πρόθεση χρήσης των στοιχείων επικοινωνίας του συναλλασσόμενου, συγκεκριμένα για σκοπούς προωθητικών ενεργειών.

Η πρακτική του spamming ως ευκαιρία φθηνής διαφημιστικής προβολής, αλλά και ως ευκαιρία παρανομίας

Η συλλογή στοιχείων επικοινωνίας με τη χρήση ειδικών λογισμικών, των λεγόμενων spambots, αποτελεί ποινικό αδίκημα.

Η ευκολία και το μικρό κόστος της ηλεκτρονικής επικοινωνίας, δεν θα μπορούσε να αφήσει αδιάφορες τις επιχειρήσεις, αλλά και τις διαφημιστικές εταιρίες. Διαμορφώθηκε έτσι, σταδιακά, ως παγκόσμια πρακτική,  η τάση της δημιουργίας λιστών διευθύνσεων ηλεκτρονικού ταχυδρομείου ή/και τηλεφωνικών αριθμών. «Με τη βοήθεια ειδικών λογισμικών, των λεγόμενων spambots, πραγματοποιείται εύκολα αυτοματοποιημένη σάρωση ιστοσελίδων και άλλων πηγών του Διαδικτύου, για την συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου από αυτές. Στη συνέχεια το spambot δημιουργεί λίστα των συλλεχθεισών διευθύνσεων»[18].

Τα λογισμικά αυτά συχνά χρησιμοποιούνται από hackers, για να πραγματοποιήσουν επιθέσεις με μολυσμένα μηνύματα ή κακόβουλο κώδικα σε ιστότοπους ή σε διακομιστές. Μετά την δημιουργία τέτοιων λογισμικών, οι έτοιμες λίστες διευθύνσεων που αυτά παρήγαγαν, αποτέλεσαν συχνά και προϊόν πώλησης διαφημιστικών εταιριών στο πελατολόγιο τους. Επικράτησε έτσι το παγκόσμιο φαινόμενο, κάθε επιχείρηση που ήθελε να διαφημιστεί, είτε να αγοράζει τέτοιες έτοιμες λίστες, είτε να παραγγέλλει την δημιουργία τους.

Η συλλογή στοιχείων επικοινωνίας με χρήση τέτοιων λογισμικών, αποτελεί ποινικό αδίκημα[19].

Εκτός του σπαμ, η χρήση των στοιχείων που αποκτήθηκαν με τέτοια λογισμικά, συχνά αποσκοπεί στην αποστολή κακόβουλου λογισμικού κάθε είδους, όπως ιούς, σκουλήκια, λογισμικό παρακολούθησης κλπ,  ή με σκοπό αποστολή νέων ηλεκτρονικών μηνυμάτων ηλεκτρονικού «ψαρέματος» (phishing) προσωπικών στοιχείων, κυρίως στοιχείων ηλεκτρονικής τραπεζικής (e-banking), με απώτερο στόχο την αφαίρεση χρηματικών ποσών από λογαριασμούς[20]. Οι ενέργειες αυτές, συνδέονται άμεσα και με την αζήτητη αλληλογραφία, καθώς παρατηρείται ότι σε αρκετές  περιπτώσεις, εμφανίζονται με το μανδύα του διαφημιστικού μηνύματος, που όμως είτε υποκρύπτει κακόβουλο λογισμικό, είτε προτρέπει τους χρήστες στην γνωστοποίηση προσωπικών τους στοιχείων[21].

Νομικό πλαίσιο: Ν. 3471/2006: lex specialis σε σχέση με το Ν. 2472/1997 (και ήδη με τον GDPR και τον Ν. 4624/2019).

Ποια όμως νομοθεσία εφαρμόζεται στις περιπτώσεις αυτές; Ο Νόμος 3471/2006 που αφορά τις ηλεκτρονικές επικοινωνίες και την επεξεργασία προσωπικών δεδομένων κατά τη χρήση ηλεκτρονικών επικοινωνιών, ή η γενικότερη νομοθεσία για τα προσωπικά δεδομένα (τον παλαιότερο νόμο 2472/1997, τον GDPR και τον νέο Νόμο 4624/2019);

Το ερώτημα έχει τεράστια πρακτική σημασία, καθώς οι διαφορές των διοικητικών προστίμων που προβλέπουν τα νομοθετήματα αυτά, είναι εξαιρετικά μεγάλες.

Ρητά, ορίζεται[22] ότι ο νόμος των ηλεκτρονικών επικοινωνιών (3471/2006) συνιστά ειδικότερο νόμο (lex specialis) σε σχέση με τον γενικότερο Ν. 2472/1997[23]. Κατά τη γενική αρχή του δικαίου, ο ειδικότερος νόμος απωθεί την εφαρμογή του γενικότερου[24].

Στο παρελθόν, όμως, η σχέση γενικού προς ειδικό μεταξύ των δύο νομοθετημάτων, αποτέλεσε αντικείμενο συχνής παρανόησης στις αποφάσεις των δικαστηρίων και της ΑΠΔΠΧ[25].[26].

Οι παραπάνω διαπιστώσεις εξακολουθούν να ισχύουν και μετά την κατάργηση του Ν. 2472/1997 από το Ν. 4624/2019 και την έναρξη ισχύος του GDPR[27].

Παράλληλα, ο νέος  νόμος 4624/2019 ρητά προβλέπει ότι κάθε αναφορά στο παλιό νομοθετικό πλαίσιο νοείται πια ως αναφορά στον νέο νόμο και τον GDPR[28].

Επομένως, τα νομοθετήματα αυτά εφαρμόζονται συμπληρωματικά το ένα προς το άλλο, όπως εκτίθεται αμέσως παρακάτω.

Ποιες  κυρώσεις προβλέπονται για όποιον παραβιάζει το νόμο;

Η αποστολή αζήτητης ηλεκτρονικής αλληλογραφίας, επισύρει :

-1ον Δυνατότητα αποζημίωσης του παραλήπτη και μάλιστα ποσού τουλάχιστον 10.000€ για κάθε μήνυμα[29], με προσφυγή στα πολιτικά δικαστήρια.

-2ον Διοικητικό πρόστιμο, μεταξύ 880,00 και 146.735,00€[30], που επιβάλλεται από την ΑΠΔΠΧ, είτε αυτεπαγγέλτως, είτε κατόπιν καταγγελίας πολίτη, που υποβάλλεται ηλεκτρονικά[31]. Εάν όμως, η ΑΠΔΠΧ διαγνώσει παράλληλα και παραβίαση διατάξεων του GDPR, όπως έχουμε ήδη δει να συμβαίνει σε αποφάσεις της, το διοικητικό πρόστιμο θα ανέλθει στα δυσθεώρητα επίπεδα του GDPR (πρόστιμα έως και 20.000.000€ ή έως 4% του τζίρου). Είναι δε σχεδόν απίθανο να έχει σημειωθεί παράβαση ανεπιθύμητης ηλεκτρονικής αλληλογραφίας και να μην έχει ταυτόχρονα παραβιαστεί κάποια από τις γενικές αρχές και υποχρεώσεις, που ρυθμίζονται από τον GDPR.

Χαρακτηριστική περίπτωση αποτέλεσε η απόφαση 34/2019[32] της ΑΠΔΠΧ, με την οποία επιβλήθηκε διοικητικό πρόστιμο ύψους 200.000 ευρώ στον ΟΤΕ, όταν εξαιτίας τεχνικού σφάλματος, κατέστη αδύνατη η ικανοποίηση του δικαιώματος εναντίωσης των συνδρομητών στη λήψη προωθητικών μηνυμάτων.

Συμπεράσματα

Όπως γίνεται σαφές από τα παραπάνω, η δυνατότητα αποστολής προωθητικών μηνυμάτων χωρίς προηγούμενη συγκατάθεση του παραλήπτη, ΔΕΝ είναι καταρχήν δυνατή σε άτομα με τα οποία ο αποστολέας δεν είχε καμία συναλλαγή στο παρελθόν. Ούτε βέβαια είναι νόμιμο να σταλεί ένα πρώτο μήνυμα με το οποίο να ζητείται η άδεια -συγκατάθεση του παραλήπτη, αφού ήδη και η πρώτη αυτή επικοινωνία θα έχει γίνει κατά παράβαση του ανωτέρω κανόνα.

Μόνος νόμιμος τρόπος να συλλέξει κανείς τα στοιχεία επικοινωνίας ατόμων με τα οποία δεν είχε ποτέ προηγούμενη συναλλαγή, είναι είτε κατά πρόσωπο, είτε μέσω τηλεφώνου, ζητώντας τους να συγκατατεθούν. Κάτι τέτοιο συμβαίνει για παράδειγμα κυρίως με την ευκαιρία εμπορικών εκθέσεων.

Σύμφωνα με τις σαφείς οδηγίες της ΑΠΔΠΧ[33], η χρήση διευθύνσεων ηλεκτρονικού ταχυδρομείου για την αποστολή διαφημιστικών μηνυμάτων ή για την εμπορία των διευθύνσεων αυτών είναι παράνομη όταν αυτές συλλέγονται:

-Με αγορά ή δωρεάν προμήθεια λιστών ηλεκτρονικών διευθύνσεων από εταιρείες χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των κατόχων των ηλεκτρονικών διευθύνσεων.

-Από καταλόγους που δεν έχουν συσταθεί για το σκοπό της απευθείας εμπορικής προώθησης ή κάθε άλλου είδους διαφήμισης και τα πρόσωπα που περιέχονται σε αυτούς δεν έχουν δώσει τη συγκατάθεση τους για τη λήψη τέτοιας μορφής ηλεκτρονικής επικοινωνίας. (πχ οι κατάλογοι των επαγγελματικών ενώσεων, των σωματείων, συλλόγων, κατάλογοι εκθέσεων κ.λ.π).

-Μέσω Διαδικτύου (harvesting) από μπλογκ και ιστοσελίδες που περιέχουν ηλεκτρονικές διευθύνσεις χρηστών ή κοινών διευθύνσεων επαφής εταιριών, social media, ενημερωτικές λίστες ηλεκτρονικού ταχυδρομείου (mailing lists), white yellow pages κ.ά., ανεξαρτήτως εάν η συλλογή διευθύνσεων πραγματοποιείται χειροκίνητα ή αυτόματα (π.χ. μέσω προγραμμάτων αράχνης (web crawlers).

-Από τρίτους, για παράδειγμα από άτομα που δίνουν τις διευθύνσεις φίλων τους χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των φίλων.

Οι εταιρείες-υπεύθυνοι επεξεργασίας, είναι υπόλογοι στην Αρχή για κάθε διαφημιστική ενέργεια μέσω αζήτητης επικοινωνίας που τους αφορά, ακόμα και αν αυτή γίνεται μέσω κάποιας διαφημιστικής εταιρείας για λογαριασμό τους.

Η συχνή παρανόηση ακόμη και  δικαστικών λειτουργών, ότι προσωπικά δεδομένα που έχουν δημοσιευτεί στο διαδίκτυο δεν προστατεύονται από το νόμο, είναι παντελώς λανθασμένη και συνήθως εντοπίζεται στη σύγχυση μεταξύ του πλαισίου προστασίας του απορρήτου των επικοινωνιών με το πλαίσιο για την προστασία των προσωπικών δεδομένων: κάτι τέτοιο μπορεί να ισχύει μόνο για το απόρρητο των επικοινωνιών, που έχει νόημα προστασίας του, όσο η επικοινωνία διεξάγεται -κατά τη βούληση των συμμετεχόντων-ιδιωτικά και όχι δημόσια.

Αντίθετα, το δίκαιο προστασίας προσωπικών δεδομένων, ορίζει ότι επεξεργασία προσωπικών δεδομένων μπορεί να γίνει μόνο εφόσον υπάρχει μία από τις 6 προβλεπόμενες στο δίκαιο νομικές βάσεις και μόνο για συγκεκριμένο θεμιτό και νόμιμο σκοπό, ανεξάρτητα αν τα δεδομένα είναι δημοσιευμένα ή όχι.

Επομένως, για παράδειγμα, κατάλογοι στοιχείων επαγγελματιών, που έχουν δημοσιευτεί προκειμένου να μπορούν να επικοινωνούν μαζί τους πελάτες και συνεργάτες ή συνάδελφοι, δεν μπορούν να χρησιμοποιηθούν για άλλους σκοπούς, καθώς οι συμμετέχοντες στον κατάλογο έδωσαν τη συγκατάθεσή τους μόνο για το συγκεκριμένο σκοπό του καταλόγου και όχι για τη λήψη διαφημιστικών μηνυμάτων.

Έτσι, η φθηνή διαφημιστική λύση που παρείχε για δεκαετίες η πρακτική του spamming, ιδιαίτερα μετά την εφαρμογή του GDPR, μπορεί τελικά να έχει εξαιρετικά «ακριβό» τίμημα. Ο Κανονισμός αυτός, αν και δεν είναι το κατεξοχήν νομοθέτημα που εφαρμόζεται στην περίπτωση που εξετάζουμε, οδηγεί σταδιακά σε μεγαλύτερα ποσοστά ευαισθητοποίησης το μέσο πολίτη, όσον αφορά την πραγματική ουσία του δικαιώματός του στην προστασία των δεδομένων του, ενώ παράλληλα, οι αυστηρές του κυρώσεις, μπορούν να λειτουργήσουν αποτρεπτικά για κάθε τέτοια πρακτική, που συνηθέστατα θα σημαίνει και παραβίαση των όσων προβλέπει.

* Η Μαγδαληνή Σκόνδρα, CIPP/E, είναι δικηγόρος Θεσσαλονίκης, απόφοιτος της Νομικής σχολής του Α.Π.Θ.. Είναι  Αντιπρόεδρος του μη κερδοσκοπικού Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος και μέλος της Ελληνικής Ένωσης για την Ιδιωτικότητα και τα Προσωπικά Δεδομένα. Εργάζεται ως δικηγόρος, DPO ιδιωτικών φορέων και σύμβουλος προστασίας προσωπικών δεδομένων.

ΠΗΓΕΣ – ΒΙΒΛΙΟΓΡΑΦΙΑ

    • [1] Τσίπης,Γεώργιος, ‘Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας’ (Μεταπτυχιακή διατριβή, ΠΑΠΕΙ, Τμήμα Πληροφορικής, 2012). και ‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 3/2008, Ιούλιος – Αύγουστος – Σεπτέμβριος – Χ. Γ. Μουζάκης, Ανεπιθύμητη εμπορική ηλεκτρονική αλληλογραφία – Η αντιμετώπιση του φαινομένου στην ελληνική και διεθνή έννομη τάξη’, ημερομηνία πρόσβασης 30 Νοέμβριος 2019, https://www.nbonline.gr/journals/8/volumes/134/issues/479/lemmas/4639915?searchid=376993.
    • [2] Οδηγία 2002/58/ΕΚ
    • [3] Άρθρο 11 του Ν.3471/2006
    • [4] Βλ. αποφάσεις ΑΠΔΠΧ 70/2017, 59/2012, 59/2011, 83/2009, Οδηγία 1/2010, αλλά και ΟΕ29 Γνώμη 2/2004
    • [5] Ειδικότερα η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει κρίνει ότι: «η διεύθυνση ηλεκτρονικού ταχυδροµείου ενός φυσικού προσώπου αποτελεί προσωπικό δεδοµένο, αφού µπορεί να λειτουργήσει ως στοιχείο έµµεσης αναγνώρισης του κατόχου της, επιτρέποντας την επικοινωνία µε αυτόν, ενώ σε αρκετές περιπτώσεις φέρει ακόµα και στοιχεία του ονόµατος του κατόχου. Επισηµαίνεται δε ότι, σύµφωνα και µε τη Γνώµη 4/2007 της οµάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά µε την έννοια των προσωπικών δεδοµένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έµµεσης αναγνώρισης, όπως η διεύθυνση ηλεκτρονικού ταχυδροµείου, µπορούν επαρκώς σε ορισµένες περιπτώσεις να διακρίνουν ένα άτοµο από άλλα στο πλαίσιο ενός συγκεκριµένου συνόλου, ακόµα και αν δεν έχει γίνει η εξακρίβωση του ονόµατός του».ΑΠΔΠΧ απόφαση 70/2017
    • [6] Ορ. σχετ. απόφαση ΑΠΔΠΧ, 11/2019
    • [7]Συναφώς, τυγχάνουν εδώ εφαρμογής οι υπ΄ αριθ. 255/2017 κατευθυντήριες γραμμές της Ομάδας Εργασίας  του άρθρου 29 σχετικά με τη συγκατάθεση. ‘ARTICLE29 Newsroom – Guidelines on Consent under Regulation 2016/679 (wp259rev.01) – European Commission’, ημερομηνία πρόσβασης 1 Δεκέμβριος 2019, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
    • [8] όπως αυτή οριοθετείται από την Οδηγία ΕΚ 2002/58 και το άρθρο 11 του Ν. 3471/2006
    • [9] Ορ. άρθρο 5 παρ. 3 Ν. 3471/2006.
    • [10] Ορ. σχετ. απόφαση ΑΠΔΠΧ 51/2018, http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=64,30,245,14,250,206,129,84
    • [11] Οδηγία ΑΠΔΠΧ 1/2010
    • [12] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=50,73,143,76,63,114,10,147
    • [13] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=64,30,245,14,250,206,129,84
    • [14] άρθρο 2 περ. 7 του Ν.3471/2006
    • [15] https://www.dpa.gr/portal/page?_pageid=33,127423&_dad=portal&_schema=PORTAL
    • [16] άρθρο 11 παρ. 3 του Ν. 3471/2006
    • [17] Ορ. και ΑΠΔΠΧ 66/2018
    • [18] Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας Τσίπης,Γεώργιος, ‘Νομική Και Τεχνική Προσέγγιση Του Φαινομένου Της Μη Ζητηθείσας Εμπορικής Επικοινωνίας’.
    • [19] Καθώς είναι προφανές ότι τέτοιου είδους συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου μπορεί να υπαχθεί στο άρθρο 370Β΄ΠΚ, αφού με αυτήν το δίχως άλλο αποκτάται χωρίς δικαίωμα πρόσβαση σε ηλεκτρονικά δεδομένα, αλλά και στη διάταξη του άρθρου 38 του Ν.4624/2019, στο βαθμό που η συλλογή αφορά διευθύνσεις ΙΡ και ηλεκτρονικού ταχυδρομείου φυσικών προσώπων, που εμπίπτουν στην έννοια των προσωπικών δεδομένων Έτσι και Εμμανουήλ Μεταξάκης, ‘Η ποινική προστασία της διεύθυνσης ηλεκτρονικού ταχυδρομείιου, του ονόματος χρήστη, του κωδικού πρόσβασης και της διεύθυνσης διαδικτυακού πρωτοκόλλου’, 2014, ΞΔ 2014, 2014, 8., σύμφωνα με τον οποίο ακόμη και οι δυναμικές διευθύνσεις θα πρέπει να θεωρούνται προσωπικά δεδομένα, άποψη που υιοθέτησε και το ΔΕΕ στην C-582.14 Patrick Breyer vs Bundesrepublik Deutschland  (http://curia.europa.eu/juris/document/document.jsf?text=&docid=186346&pageIndex=0&doclang=EL&mode=req&dir=&occ=first&part=1&cid=6481564)
    • [20] Αυτό  μπορεί να συνιστά και το αδίκημα της απάτης μέσω υπολογιστή, εφόσον ο δράστης έχει σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος Έτσι και ‘ΜΕΤΑΞΑΚΗΣ ΠΟΙΝΔΙΚ 2015 681
    • [21] Κατά την ΑΠΔΠΧ, τα μηνύματα σπαμ μπορεί να περιέχουν εκτός των άλλων και :
    • -ένα κακόβουλο μήνυμα εξαπάτησης με στόχο την εξαγωγή προσωπικών δεδομένων (phishing), όπως ονόματα χρήστη, κωδικούς, αριθμούς πιστωτικής κάρτας, κ.λπ.
    • -ένα κακόβουλο μήνυμα με στόχο την οικονομική εξαπάτηση (scamming)
    • -μηνύματα φαινομενικά εμπορικά που παραπέμπουν σε ιστοσελίδες με κακόβουλο κώδικα (malware) , https://www.dpa.gr/portal/page?_pageid=33,127453&_dad=portal&_schema=PORTAL
    • [22] Κατά το άρθρο 3 του Ν. 3471/2006, οριοθετείται το πεδίο εφαρμογής του ως εξής: «1. Οι διατάξεις των άρθρων 1 έως 17 του παρόντος νόμου έχουν εφαρμογή κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση του απορρήτου των επικοινωνιών, στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών περιλαμβανομένων αυτών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη διαθεσίμων στο κοινό δικτύων και υπηρεσιών ηλεκτρονικών επικοινωνιών, εφαρμόζεται ο ν. 2472/1997 (Α`50), όπως ισχύει.»
    1. Ο ν. 2472/1997, όπως ισχύει, και οι εκτελεστικοί του άρθρου 19 του Συντάγματος νόμοι, όπως ισχύουν, εφαρμόζονται για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών, που δεν ρυθμίζεται ειδικότερα από τον παρόντα νόμο.».
    • [23] Ορ. σχετ. πρόσφατη υπ’ αριθ. 11/2019 απόφαση της ΑΠΔΠΧ, που σε παραβίαση του άρθρου 11 παρ. 1 του ν. 3471/2006, έκρινε  ότι «η Αρχή κρίνει ότι πρέπει να απευθύνει αυστηρή προειδοποίηση στο υπεύθυνο επεξεργασίας, με βάση το άρθρο 21 παρ. 1 εδαφ. α) του Ν 2472/1997, καθότι, σύμφωνα με το άρθρο 3 παρ. 1 και 2 του Ν 3471/2006, εφαρμογή στην προκειμένη περίπτωση έχει ο Ν 2472/1997 και όχι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΕΕ) 2016/679.»
    • [24]Αυτονοήτως, αυτό γίνεται δεκτό και από τη θεωρία και τους ακαδημαϊκούς: «Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο μη διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών συνεχίζει να εφαρμόζεται ο ν. 2472/1997 (άρθρο 3 ν. 3471/2006). Η παραπάνω ρύθμιση σημαίνει πρώτα απ’ όλα ότι για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πεδίο των παρεχόμενων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ο ν. 3471/2006 υπερισχύει του ν. 2472/1997, συνεπώς εφαρμόζεται για τις παρεχόμενες στο κοινό υπηρεσίες επικοινωνίας μέσω του διαδικτύου»  ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΚΑΙ ΚΑΤΑΧΡΗΣΕΙΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΪΑΦΑ-ΓΚΜΠΑΝΤΙ, ‘ΠΟΙΝΙΚΟ ΔΙΚΑΙΟ ΚΑΙ ΚΑΤΑΧΡΗΣΕΙΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ’, ΑΡΜΕΝΟΠΟΥΛΟΣ σ.1058.
    • [25]. Έτσι, επικρίθηκε η απόφαση 19/2008 της ΑΠΔΠΧ, η οποία εφάρμοσε και μνημόνευσε το Ν. 2472/1997, αν και εξέταζε περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, υπαγόμενων στο πεδίο εφαρμογής του Ν.3471/2006: «Στη σχολιαζόμενη απόφαση γίνεται ρητά αναφορά σε στοιχεία και δεδομένα προσωπικού χαρακτήρα των «συνδρομητών» του Παρόχου, δηλαδή αναφέρεται στην ειδική κατηγορία δεδομένων των Οδηγιών 97/66/ΕΚ και 2002/58/ΕΚ. Παρά ταύτα, ουδεμία αναφορά γίνεται στο Ν 3471/2006, ούτε αιτιολογείται με ποια συλλογιστική καταλήγει κανείς στο συμπέρασμα ότι τα στοιχεία αυτά αποτελούν «απλά» δεδομένα προσωπικού χαρακτήρα του Ν 2472/1997, τη στιγμή κατά την οποία αφορούν συνδρομητές Παρόχου υπηρεσιών τηλεφωνίας και επομένως υπάγονται στις διατάξεις του Ν 3471/2006 και εφαρμόζονται μόνο οι εκεί προβλεπόμενοι κανόνες επεξεργασίας.» ‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 2/2008, Απρίλιος – Μάιος – Ιούνιος – Γ. Τσόλιας, Δεδομένα προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και «αντίστροφη αναζήτηση» αυτών για λόγους διακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων Εξ αφορμής της υπ’ αρ. 19/2008 απόφασης της ΑΠΔΠΧ’, ημερομηνία πρόσβασης 2 Δεκέμβριος 2019, https://www.nbonline.gr/journals/8/volumes/134/issues/478/lemmas/4639824.
    • [26]Μάλιστα, στην αναφερόμενη μελέτη, ο Γ.Τσόλιας κάνει λόγο για «ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα» στο Ν 3471/2006 σε αντιδιαστολή με τα «απλά δεδομένα» του Ν. 2472/1997 «1. Από τις διατάξεις του Ν 3471/2006 προκύπτει η τυποποίηση περισσότερων κατηγοριών δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών σε δημόσια δίκτυα και μόνον  :Στην πρώτη κατηγορία υπάγονται τα δεδομένα κίνησης και θέσης (άρθρο 2 παρ. 3, 4 και άρθρο 6). Στην ίδια κατηγορία, υπάγεται η περίπτωση των δεδομένων θέσης, τα οποία τυγχάνουν επεξεργασίας στο πλαίσιο της παροχής υπηρεσιών προστιθέμενης αξίας (άρθρο 2 παρ. 7 σε συνδυασμό με άρθρο 6 παρ. 3). Στη δεύτερη κατηγορία υπάγονται τα δεδομένα προσωπικού χαρακτήρα που παράγονται ή τυγχάνουν επεξεργασίας στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα, τα οποία όμως δεν αποτελούν δεδομένα κίνησης ή θέσης. Στην Αιτιολογική σκέψη υπ’ αρ. 15 της Οδηγίας 2002/58/ΕΚ γίνεται λόγος για την υπαγωγή του ονόματος, της αρίθμησης ή της διεύθυνσης στην έννοια των δεδομένων κίνησης , στοιχεία τα οποία συνδέονται με το γεγονός και τη μετάδοση της επικοινωνίας.»‘Ψηφιακή Νομική Βιβλιοθήκη – Περιοδικά – ΔΙΚΑΙΟ ΜΕΣΩΝ ΕΝΗΜΕΡΩΣΗΣ & ΕΠΙΚΟΙΝΩΝΙΑΣ – 2/2008, Απρίλιος – Μάιος – Ιούνιος – Γ. Τσόλιας, Δεδομένα προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών και «αντίστροφη αναζήτηση» αυτών για λόγους διακρίβωσης ιδιαίτερα σοβαρών εγκλημάτων Εξ αφορμής της υπ’ αρ. 19/2008 απόφασης της ΑΠΔΠΧ’.
    • [27] ο οποίος ρητά προβλέπει ότι εφαρμόζεται σε όλα τα θέματα που αφορούν την προστασία θεμελιωδών δικαιωμάτων και ελευθεριών έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα οποία δεν υπάγονται στις ειδικές υποχρεώσεις που έχουν τον ίδιο στόχο, όπως περιγράφονται στην οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου. (Αιτ. σκέψη 173 GDPR)
    • [28] «άρθρο 83 παρ. 1:Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του GDPR και του παρόντος.» Περαιτέρω, κατά την δεύτερη παράγραφο του ίδιου άρθρου «2. Οι οδηγίες και κανονιστικές πράξεις της Αρχής διατηρούνται σε ισχύ, εφόσον δεν προσκρούουν στον GDPR και στις ρυθμίσεις του παρόντος».
    • [29] Άρθρο 14 παρ. 2 Ν. 3471/2006
    • [30] βάσει της διατηρουμένης σε ισχύ διάταξης του άρθρου 21 του Ν. 2472/97 : Το άρθρο 84 του Ν. 4624/2019, διατήρησε σε ισχύ το άρθρο 21 του Ν. 2472/1997, που αφορά την επιβολή διοικητικών κυρώσεων σύμφωνα με το άρθρο 13 παράγραφος 4 του ν. 3471/2006
    • [31] http://www.dpa.gr/portal/page?_pageid=33,211532&_dad=portal&_schema=PORTAL
    • [32] http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=47,129,81,44,214,237,129,37
    • [33] https://www.dpa.gr/portal/page?_pageid=33,127438&_dad=portal&_schema=PORTAL