Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το spam

Απόφαση 83/2009 (http://www.dpa.gr)

Στην Αρχή υποβλήθηκαν δέκα (10) καταγγελίες και ερωτήματα σχετικά με τη δραστηριότητα εταιρίας  στους τομείς της αναζήτησης ηλεκτρονικής επικοινωνίας και της συλλογής και πώλησης προσωπικών δεδομένων.

Ειδικότερα η εν λόγω εταιρία κατείχε ένα επαγγελματικό τηλεφωνικό κατάλογο, ο οποίος συνδυάζει δυνατότητες εντοπισμού διευθύνσεων φυσικών προσώπων πάνω σε ψηφιακό χάρτη με στοιχεία κατοίκων και εταιρειών (τηλέφωνα, διευθύνσεις, διευθύνσεις ηλεκτρονικού ταχυδρομείου, επάγγελμα) για την Ελλάδα και την Κύπρο, τα οποία περιέχονται στον εν λόγω κατάλογο.

Ως ένα μέσο για τη διαφήμιση του ανωτέρω προϊόντος η Εταιρία χρησιμοποιεί την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου και τηλεομοιοτυπίας (FAX). Στο μήνυμα αυτό αναφέρονται ενδεικτικά τα εξής:

“…ΕΠΑΓΓΕΛΜΑΤΙΚΟΣ ΚΟΣΜΟΣ με 900.000 επιχειρήσεις και επαγγελματίες ανά κατηγορία στο γραφείο σας. Αμφίδρομη αναζήτηση. Είναι η μεγαλύτερη βάση της Ελλάδας…

…ΔΙΕΥΘΥΝΣΕΙΣ από 5.500.000 κατοίκους. Είναι καταχωρημένοι κατά: ονοματεπώνυμο – τηλέφωνο – οδό – δήμο – ταχυδρομικό κωδικό…

…Διατίθενται και ΑΝΟΙΧΤΕΣ ΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ (δυνατότητα export) με τους 5.500.000 ιδιώτες και 950.000 επιχειρήσεις…

…Περιλαμβάνονται κατάλογοι με 110.000 ΑΡΙΘΜΟΥΣ FAX & E-MAIL επιχειρήσεων για άμεση επικοινωνία…

…Οι βάσεις είναι 100% απαλλαγμένες και από τα δηλωθέντα απόρρητα τηλέφωνα και από τις πρόσφατες και παλαιότερες εγγραφές όσων έχουν δηλώσει στην Αρχή Προστασίας Προσωπικών Δεδομένων ότι επιθυμούν να μην συμπεριλαμβάνονται σε λίστες…

…αν δεν επιθυμείτε να λαμβάνετε ενημερωτικά email σχετικά με τα προϊόντα μας πατήστε εδώ… ”

Ύστερα από έρευνα η Αρχή διαπίστωσε τα κάτωθι:

Εύρημα 1ο: Η εταιρεία συλλέγει διευθύνσεις ηλεκτρονικού ταχυδρομείου από σελίδες του διαδικτύου. Στη συνέχεια, οι διευθύνσεις αυτές πωλούνται είτε ως τμήμα ανοικτής βάσης δεδομένων είτε ως τμήμα του εμπορευόμενου από την εταιρεία προϊόντος και χρησιμοποιούνται ως λίστες αποστολής διαφημιστικού υλικού από τρίτους (τα φυσικά ή νομικά πρόσωπα που τις αγοράζουν).

Εύρημα 2ο: Διευθύνσεις ηλεκτρονικού ταχυδρομείου και λοιπά προσωπικά στοιχεία μελών έχουν συλλεχθεί από επαγγελματικές ενώσεις (επιμελητήρια, δικηγορικούς, φαρμακευτικούς, οδοντιατρικούς και ιατρικούς συλλόγους, κλπ), οι οποίοι παρέχουν τα στοιχεία αυτά, είτε επί πληρωμή είτε δωρεάν, με στόχο την προώθηση των δραστηριοτήτων των μελών τους.

Εύρημα 3ο: Η εταιρεία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα τα οποία συλλέγει από συγκεκριμένο ιστοχώρο. Τα στοιχεία του συνδρομητή που εμφανίζονται σε κάθε τέτοια αναζήτηση  περιλαμβάνουν: ονοματεπώνυμο, περιοχή, διεύθυνση, αριθμό τηλεφώνου και επάγγελμα (εάν αυτό είναι διαθέσιμο).

Η συλλογή των στοιχείων πραγματοποιείται με αυτοματοποιημένο λογισμικό που εκμεταλλεύεται τη δυνατότητα αντίστροφης αναζήτησης.

Στη συνέχεια, τα στοιχεία αυτά εντάσσονται στη βάση δεδομένων του εμπορευόμενου από τη εταιρεία λογισμικού και συνδυάζονται με τις γεωγραφικές συντεταγμένες που αντιστοιχούν στη διεύθυνση του εκάστοτε συνδρομητή. Η Εταιρία έχει δημιουργήσει εξειδικευμένο λογισμικό για την γεωγραφική απεικόνιση, σε ψηφιακό χάρτη, των διευθύνσεων που έχει συλλέξει. Με τον τρόπο αυτό πραγματοποιείται μια επιπλέον επεξεργασία των δεδομένων καθώς, στην πράξη, σε κάθε δεδομένο διεύθυνσης αντιστοιχίζονται οι συντεταγμένες του στο χάρτη.

Εύρημα 4ο: Κατά τη διενέργεια του ελέγχου διαπιστώθηκε ότι η εταιρεία αποστέλλει διαφημιστικά e-mail στη λίστα των ηλεκτρονικών διευθύνσεων που έχει συλλέξει με τον τρόπο που περιγράφεται στα ευρήματα 1 και 2. Σκοπός των e-mail αυτών είναι να διαφημιστούν τα προϊόντα της εταιρείας. Επίσης διαπιστώθηκε ότι αποστέλλονται και διαφημιστικά FAX για τον ίδιο σκοπό.

Στο περιεχόμενο των διαφημιστικών μηνυμάτων αναφέρονται τα στοιχεία επικοινωνίας της εταιρείας καθώς και ηλεκτρονικές διευθύνσεις και τηλέφωνα, στα οποία οι παραλήπτες μπορούν να ζητήσουν τον τερματισμό της αζήτητης επικοινωνίας. Όπως εξηγήθηκε στους ελεγκτές από τους εκπροσώπους της εταιρείας, η διαδικασία διαγραφής παραλήπτη από τη λίστα παραληπτών της εταιρείας συνίσταται στην ένταξη σε κατάλληλο κατάλογο της διεύθυνσης ηλεκτρονικού ταχυδρομείου ή του αριθμού FAX οποιουδήποτε παραλήπτη ζητήσει να μη λαμβάνει ενημερωτικά μηνύματα ή κλήσεις. Ο κατάλογος αυτός χρησιμεύει ώστε η διεύθυνση ηλεκτρονικού ταχυδρομείου ή ο αριθμός FAX του εκάστοτε μη ενδιαφερόμενου παραλήπτη να μην συμπεριλαμβάνεται στο μέλλον στις διευθύνσεις που συλλέγει και διαβιβάζει η Εταιρία. Ουσιαστικά η εταιρεία χρησιμοποιεί σύστημα opt-out για την αποστολή των μηνυμάτων, δηλαδή αποστέλλει μηνύματα χωρίς την προηγούμενη συγκατάθεση των συνδρομητών, αλλά διαγράφει τους συνδρομητές από τα αρχεία της, σε περίπτωση που αυτοί εναντιωθούν στην επεξεργασία.

Εύρημα 5ο: Κατά τη διενέργεια του ελέγχου διαπιστώθηκε ότι η εταιρεία έχει πωλήσει τους ηλεκτρονικούς της καταλόγους στην κυβέρνηση των Η.Π.Α.

Εν όψει των ανωτέρω ευρημάτων η Αρχή έκρινε:

Όπως ορίζεται στο άρθρο 4, παρ. 1, εδ. α’ του Ν. 2472/1997 τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών. Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου αποτελούν δεδομένα προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 2 στοιχ. α’ του Ν. 2472/1997, όταν ανήκουν σε φυσικά πρόσωπα. Στην προκειμένη περίπτωση, όπως προκύπτει από το υπ’ αριθμ. 1 εύρημα, πραγματοποιείται συλλογή διευθύνσεων από ιστοσελίδες, όπου το υποκείμενο των δεδομένων έχει ανακοινώσει τα στοιχεία του για τελείως διαφορετικό σκοπό, για παράδειγμα για την αποστολή μηνυμάτων επικοινωνίας για προσωπικούς σκοπούς ή για τη συμμετοχή του σε ομάδες συζήτησης. Το αυτόματο λογισμικό έχει ρυθμιστεί έτσι ώστε να μην κάνει καμία διάκριση των διευθύνσεων που συλλέγει με κριτήριο το σκοπό της δημοσίευσης τους, συλλέγοντας όλα τα στοιχεία τα οποία συναντά. Επομένως, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου, που συλλέγονται με τον τρόπο αυτό, δεν συλλέγονται με τρόπο θεμιτό και νόμιμο, για καθορισμένους και νόμιμους σκοπούς και δεν υφίστανται θεμιτή και νόμιμη επεξεργασία εν όψει των σκοπών αυτών, κατά παράβαση της προαναφερθείσας διάταξης του Ν. 2472/1997. Η άποψη αυτή ενισχύεται από το γεγονός ότι το έννομο συμφέρον που επιδιώκει ο υπεύθυνος επεξεργασίας ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα δεν υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, καθώς προκαλείται σημαντική όχληση στους αποδέκτες των μηνυμάτων αλλά και πιθανά επιπρόσθετο κόστος από τη χρήση υπηρεσιών διαδικτύου για την ανάγνωση των μηνυμάτων. Έτσι, όσον αφορά στη συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου χωρίς τη συγκατάθεση του υποκείμενου, δεν μπορεί να έχει εφαρμογή η διάταξη του άρθρου 5, παρ. 2 ε’ του Ν. 2472/1997. Επισημαίνεται ότι η Ομάδα Εργασίας του άρθρου 29 της οδηγίας 95/46/ΕΚ έχει παρουσιάσει, αναλυτικά, το σκεπτικό αυτό στο έγγραφο εργασίας υπ’ αριθμ. 37/21.11.2000 (σελ. 37, 38 και 43, 44), ενώ παρόμοια παρουσίαση βρίσκεται και στο βιβλίο Regulating Spam, A European Perspective after the Adoption of the E-Privacy Directive (κεφάλαιο 4, Harvesting, σελίδες 67-79). Επομένως, το αρχείο που έχει δημιουργήσει η Εταιρία παραβιάζει τις διατάξεις των άρθρων 4, 5 παρ. 2 του ν. 2472/1997 και τα στοιχεία του πρέπει να καταστραφούν. Καθώς το αρχείο αυτό έχει διαβιβασθεί σε απροσδιόριστο αριθμό πελατών της εταιρείας, είναι προς το συμφέρον των υποκειμένων της επεξεργασίας να ενημερωθούν όλοι όσοι αγόρασαν το αρχείο αυτό ώστε να προβούν σε διαγραφή των δεδομένων που έχουν συλλεγεί παράνομα. Η πλήρης άρση της παράβασης μπορεί να επιτευχθεί μόνο με τη διαγραφή των στοιχείων από όλα τα πωληθέντα αντίγραφα.

Ελένη Κλουκινιώτη

info@efotopoulou.gr