ΑΠΔ 99.2013

Παράνομη συλλογή και περαιτέρω χρήση προσωπικών δεδομένων για τον σκοπό της απευθείας εμπορικής προώθησης και διαφήμισης μέσω της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας (SPAM).

 

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ

ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

 

Αθήνα, 03-09-2013

 

Αριθ. Πρωτ.: Γ/ΕΞ/5630/03-09-2013

Α Π Ο Φ Α Σ Η ΑΡ. 99/2013

 

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνεδρίασε μετά από πρόσκληση του Προέδρου της σε σύνθεση Τμήματος, στην έδρα της, την 23/7/2013, σε

συνέχεια της από 2/7/2013 συνεδρίασης της, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυομένου του Προέδρου της Αρχής Πέτρου Χριστόφορου, και τα αναπληρωματικά μέλη της Αρχής Σπύρος Βλαχόπουλος, Γρηγόρης Λαζαράκος, ως εισηγητής, και Χαράλαμπος Ανθόπουλος, σε αντικατάσταση των τακτικών μελών Λεωνίδα Κοτσαλή, Αναστασίου-Ιωάννη Μεταξά και ημητρίου Μπριόλα, οι οποίοι αν και εκλήθησαν νομίμως εγγράφως δεν παρέστησαν λόγω κωλύματος. Παρόντες χωρίς δικαίωμα ψήφου ήταν η Γεωργία Παναγοπούλου, πληροφορικός ελεγκτής, ως βοηθός εισηγητή, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας.

 

Στη συνεδρίαση της 2/7/2013 και μετά από κλήση της Αρχής (με αρ. πρωτ. Γ/ΕΞ/4277/21-06-2013) παρέστη και εξέφρασε τις απόψεις του ο Α, ως νόμιμος εκπρόσωπος της «Ελληνικής Εταιρείας Συστημικών Μελετών», μετά της πληρεξούσιας δικηγόρου του κ. Μαρίας Κωνσταντοπούλου.

 

Η Αρχή έλαβε υπόψη της τα παρακάτω:

 

Στην Αρχή υποβλήθηκαν οι με αρ. πρωτ. Γ/ΕΙΣ/1574/02-03-2012, Γ/ΕΙΣ/4972/17-07-2012, Γ/ΕΙΣ/3744/23-05-2012, Γ/ΕΙΣ/4285/13-06-2012 καταγγελίες που αφορούν στην αποστολή αζήτητων μηνυμάτων ηλεκτρονικού ταχυδρομείου χωρίς την προηγούμενη συγκατάθεση των παραληπτών (spam) από την «Ελληνική Εταιρεία Συστημικών Μελετών», με σκοπό την προώθηση του επαγγελματικού προγράμματος CSAP. Η «Ελληνική Εταιρεία Συστημικών Μελετών» είναι ένα επιστημονικό μη κερδοσκοπικού σκοπού Σωματείο.

Περαιτέρω, στο πλαίσιο διοικητικού ελέγχου που πραγματοποίησε η Αρχή στην εταιρεία «Αirtouch» προέκυψε, μετά από ανάλυση των πειστηρίων-ευρημάτων του εν λόγω ελέγχου, ότι η «Ελληνική Εταιρεία Συστημικών Μελετών» διέθετε αρχείο με περί τις 250.000 διευθύνσεις ηλεκτρονικού ταχυδρομείου (email). Τις διευθύνσεις αυτές απέστειλε στην εταιρεία «Αirtouch», η οποία τις χρησιμοποίησε για αποστολή διαφημιστικών μηνυμάτων για λογαριασμό της «Ελληνική Εταιρεία Συστημικών Μελετών».

Επισημαίνεται ότι η Αρχή με την Απόφαση 42/2013 (σχετικό Πόρισμα με αρ. πρωτ. Γ/ΕΙΣ/1283/21-2/2013) επέβαλε διοικητικές κυρώσεις στην εταιρεία «Αirtouch» για παράνομη συλλογή και περαιτέρω χρήση προσωπικών δεδομένων για τον σκοπό της απευθείας εμπορικής προώθησης και διαφήμισης μέσω της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας (παραβίαση του άρθρου 11 ν. 3471/2006).

Η «Ελληνική Εταιρεία Συστημικών Μελετών» κατέθεσε σχετικά το με αρ. πρωτ. Γ/ΕΙΣ/4424/02-07-2013 υπόμνημα. Στο υπόμνημα αναφέρεται ότι οι διευθύνσεις email στις οποίες εστάλη η επικοινωνία για την προώθηση του μεταπτυχιακού προγράμματος CSAP έχουν συλλεχθεί νομίμως μέσω διαφόρων συνεδρίων και εκδηλώσεων αλλά και με οικειοθελή καταχώρησή τους σε εφαρμογή, η οποία είναι διαθέσιμη στο διαδικτυακό τόπο του προγράμματος, μέσω της οποίας δηλώνουν οι ενδιαφερόμενοι το email τους προκειμένου να λαμβάνουν ενημερωτικό υλικό (newsletters) σχετικά με το πρόγραμμα.

Ειδικά για τον καταγγέλλοντα Β, (καταγγελία με αρ. πρωτ. Γ/ΕΙΣ/4972/17-07-2012), στο υπόμνημα περιλαμβάνεται εκτύπωση από την εν λόγω εφαρμογή, στην οποία περιέχεται η ηλεκτρονική του διεύθυνση με ημερομηνία εγγραφής 6/7/2013.

Η Αρχή, μετά από εξέταση των προαναφερομένων στοιχείων, αφού αναγνώστηκαν τα πρακτικά της 2/7/2013, άκουσε τον εισηγητή και την βοηθό εισηγητή, ο οποία στη συνέχεια αποχώρησε, και κατόπιν διεξοδικής συζήτησης

 

ΣΚΕΦΤΗΚΕ ΣΥΜΦΝΑ ΜΕ ΤΟ ΝΟΜΟ

 

1. Το άρθρο 2 του ν. 2472/1997 ορίζει ότι «δεδομένα προσωπικού χαρακτήρα» είναι «κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων». «Υποκείμενο των δεδομένων» είναι «το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική». Στο πλαίσιο αυτό, η διεύθυνση ηλεκτρονικού ταχυδρομείου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου της, επιτρέποντας την επικοινωνία με αυτόν, ενώ σε αρκετές περιπτώσεις φέρει ακόμα και στοιχεία του ονόματος του κατόχου. Επισημαίνεται δε ότι, σύμφωνα και με τη Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης, όπως η διεύθυνση ηλεκτρονικού ταχυδρομείου, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του.

Σύμφωνα με το άρθρο 2 στοιχ. ζ) ν. 2472/1997, ως υπεύθυνος επεξεργασίας, ορίζεται κάθε φυσικό ή νομικό πρόσωπο που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.

 

2. Το άρθρο 4 ν. 2472/1997 ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει : α) να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών; β) να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας; γ) να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση; δ) να διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους.

 

3. Όταν ο σκοπός της επεξεργασίας είναι η απευθείας εμπορική προώθηση προϊόντων και υπηρεσιών για διαφημιστικούς σκοπούς με χρήση αυτόματων συστημάτων κλήσης, τυγχάνει εφαρμογής το ειδικότερο άρθρο 11 ν. 3471/2006 για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες. Ειδικότερα, σύμφωνα με την παρ. 1 του παραπάνω άρθρου, «η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς». Η Αρχή με την Οδηγία 2/2011 για την ηλεκτρονική συγκατάθεση περιγράφει αναλυτικά τις προϋποθέσεις και τους τρόπους νόμιμης λήψης της συγκατάθεσης με ηλεκτρονικά μέσα για τους σκοπούς της ανωτέρω διάταξης. Μοναδική εξαίρεση στην υποχρέωση λήψης προηγούμενης συγκατάθεσης αποτελεί, σύμφωνα με την παρ. 3 του ίδιου άρθρου, η περίπτωση κατά την οποία τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής και χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών και υπό τις λοιπές προϋποθέσεις που θέτει η συγκεκριμένη παράγραφος. Επισημαίνεται ότι τα παραπάνω, σύμφωνα με την παρ. 7 του άρθρου 11 ν. 3471/2006, ισχύουν και για παραλήπτες μηνυμάτων ηλεκτρονικού ταχυδρομείου που είναι νομικά πρόσωπα.

 

4. Στην υπό κρίση περίπτωση, η «Ελληνική Εταιρεία Συστημικών Μελετών», πραγματοποιούσε αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου προκειμένου να προωθήσει το επαγγελματικό πρόγραμμα CSAP, σε μεγάλο αριθμό παραληπτών, χωρίς να έχει εξασφαλίσει την προηγούμενη συγκατάθεσή τους. Ειδικά για τις καταγγελλόμενες περιπτώσεις, μόνο για τον καταγγέλλοντα Β, (καταγγελία με αρ. πρωτ. Γ/ΕΙΣ/4972/17-07-2012) προσκομίστηκε στοιχείο για την ύπαρξη ηλεκτρονική συγκατάθεσης, αλλά και στην περίπτωση αυτή ο τρόπος λήψης της συγκατάθεσης δεν πληροί τις προϋποθέσεις που ορίζονται στην Οδηγία 2/2011 της Αρχής. Συγκεκριμένα, η εφαρμογή συλλογής ηλεκτρονικών διευθύνσεων (διαθέσιμη στην ιστοσελίδα www.hsss.eu) για τη λήψη ενημερωτικού υλικού (newletters) δεν εφαρμόζει τις επιταγές του άρθρου 4 της Οδηγίας, αφού δεν ακολουθεί ειδικές διαδικασίες για την επιβεβαίωση της δήλωσης συγκατάθεσης του συνδρομητή ή χρήστη, όπως αυτές περιγράφονται στην παρ.2 της Οδηγίας. Συνεπώς τα όσα υποστηρίζει η «Ελληνική Εταιρεία Συστημικών Μελετών» με το υπόμνημά της ως προς τη νομιμότητα του τρόπου συλλογής του ανωτέρω μεγάλου αριθμού διευθύνσεων ηλεκτρονικού ταχυδρομείου και τη συγκατάθεση των τρίτων στους οποίους ανήκουν αυτές για την τήρησή τους σε αρχείο και τον ως άνω τρόπο της περαιτέρω χρησιμοποιήσεώς τους τυγχάνουν αβάσιμα.

 

5. Παρά το γεγονός ότι η αποστολή γινόταν μέσω της εταιρείας «Airtouch», η «Ελληνική Εταιρεία Συστημικών Μελετών» καθόριζε τόσο τον σκοπό, όσο και τα μέσα της επεξεργασίας (διευθύνσεις ηλεκτρονικού ταχυδρομείου). 5ς εκ τούτου αποτελεί τον υπεύθυνο της επεξεργασίας (σε συνεργασία με την εταιρεία «Airtouch» που είναι συνυπεύθυνος της επεξεργασίας, σύμφωνα με τα αναφερόμενα στην απόφαση 42/2013 της Αρχής).

 

6. Καθώς η συγκεκριμένη περίπτωση δεν εμπίπτει στην εξαίρεση της παρ. 3 άρθρου 11 ν. 3471/2006, η πραγματοποιούμενη επεξεργασία συνιστά αζήτητη ηλεκτρονική επικοινωνία χωρίς τη συγκατάθεση των παραληπτών (spam) και παραβιάζει την παρ. 1 άρθρου 11 του ίδιου νόμου και αιτιολογεί την, κατ εφαρμογή της διατάξεως του άρθρου 21 παρ. 1 εδαφ. β΄ και ε΄ Ν. 2472/1997, επιβολή των διοικητικών ποινών που ορίζονται στο διατακτικό, για το ύψος της πρώτης των οποίων λαμβάνεται υπόψη η βαρύτητα της παράβασης και για την δεύτερη η σοβαρότητα της παράβασης, ενόψει του μεγάλου αριθμού των ηλεκτρονικών διευθύνσεων που περιλάμβανε το αρχείο που τηρούσε η «Ελληνική Εταιρεία Συστημικών Μελετών» αλλά και τη συναλλαγή που είχε η τελευταία ως προς την προμήθεια των διευθύνσεων αυτών με την προαναφερθείσα εταιρεία «Airtouch» που, όπως λέχθηκε έχει ήδη απασχολήσει την Αρχή με το ανωτέρω αποτέλεσμα.

 

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

 

Λαμβάνοντας υπόψη τα παραπάνω, η Αρχή επιβάλει «Ελληνική Εταιρεία Συστημικών Μελετών», ως υπεύθυνο επεξεργασίας:

 

α) Πρόστιμο πέντε χιλιάδων (5.000) ευρώ για παράνομη συλλογή και περαιτέρω χρήση προσωπικών δεδομένων για τον σκοπό της απευθείας εμπορικής προώθησης και διαφήμισης μέσω της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας (παραβίαση του άρθρου 11 ν. 3471/2006).

 

β) Καταστροφή του αρχείου των διευθύνσεων ηλεκτρονικού ταχυδρομείου που διατηρεί η εταιρεία «Ελληνική Εταιρεία Συστημικών Μελετών», για τις οποίες δεν έχει λάβει νομίμως τη συγκατάθεση των κατόχων τους, με ακόλουθη ενημέρωση της Αρχής.

 

Ο Αναπληρωτής Πρόεδρος

Γεώργιος Μπατζαλέξης

 

Η Γραμματέας

Ειρήνη Παπαγεωργοπούλου