ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ & ΠΡΟΣΤΑΣΙΑ ΚΑΤΑΝΑΛΩΤΗ

Κεφάλαιο 1

Εισαγωγή

§ 1. Εισαγωγή στο αντικείμενο της έρευνας

Α. Εν αρχή ήσαν τα δεδομένα

“In kaum einem Rechtsgebiet liegen Anspruch und Wirklichkeit so weit auseinander wie im Datenschutzrecht”. Ξεκινώντας ο Καθηγητής Buchner με αυτή τη χαρακτηριστική φράση την υφηγεσία του, στην οποία προσπάθησε να δώσει μια σύγχρονη διάσταση, με επιχειρήματα από τη γερμανική και αμερικανική νομική πραγματικότητα, στην έννοια του θεμελιώδους δικαιώματος του πληροφοριακού αυτοκαθορισμού, θέλει να καταδείξει ότι στην εποχή της ραγδαίας ανταλλαγής πληροφορίας, η προστασία δεδομένων πάνω και πέρα από δικαιοπολιτικές επιλογές και νομοτεχνικές ρυθμίσεις μπορεί να μείνει κενό γράμμα. Τα δεδομένα έχουν τεράστια οικονομική αξία και η «χρηματοποίησή τους» - εν είδει μετατροπής τους στο αντάλλαγμα για τη χρήση υπηρεσιών ψηφιακού περιεχομένου, από την εγγραφή σε μία πλατφόρμα κοινωνικής δικτύωσης μέχρι την απλή επίσκεψη μιας ιστοσελίδας, αποτελεί σήμερα μια πραγματικότητα.

«Οι υπηρεσίες δεν παρέχονται δωρεάν, αλλά [ότι] οι καταναλωτές καταβάλλουν αντίτιμο επιτρέποντας τη χρήση των προσωπικών τους δεδομένων». Καθημερινά λοιπόν αναρίθμητα δεδομένα παράγονται και ανταλλάσσονται μεταξύ των υποκειμένων τους και των υπευθύνων επεξεργασίας, τα οποία – είναι γεγονός – ενδέχεται να καταστούν κτήμα αναρίθμητων τρίτων αποδεκτών. Και έχουν τεράστια οικονομική σημασία.

Εν αρχή ήσαν τα δεδομένα λοιπόν. Δεδομένα που παράγονται ανά πάσα στιγμή με το «χάιδεμα» μιας ψηφιακής οθόνης. Με τον έλεγχο του καιρού. Με ένα «like» σε ένα πιάτο φαγητό. Με την αναπαραγωγή ενός τραγουδιού. Με την ανάγνωση μιας είδησης σε ένα site δημοσιογραφικού περιεχομένου.

Πληροφορίες. Ιδιότητες. Προτιμήσεις. Επιλογές. Προεπιλεγμένες Ρυθμίσεις. Big Data. Data Analytics. Cookies. Αυτές και άλλες πολλές λέξεις και νοήματα μπορούν να χρησιμοποιηθούν ποικιλοτρόπως για να καταδείξουν το αυτονόητο. Στην Κοινωνία της Πληροφορίας (Information Society/ Informationsgesellschaft) τα δεδομένα είναι οικονομικό μέγεθος που κινεί τις αγορές. Σε ορισμένες περιπτώσεις, οι χρήστες «δωρεάν» διαδικτυακών υπηρεσιών, όπως μηχανές αναζήτησης, υπηρεσίες ηλεκτρονικού ταχυδρομείου, μέσα κοινωνικής δικτύωσης, υπηρεσίες αποθήκευσης αρχείων ή άλλες διαδικτυακές ή κινητές εφαρμογές, δεν έχουν πλήρη επίγνωση του βαθμού στον οποίο η δραστηριότητα τους καταγράφεται και αναλύεται με σκοπό τη δημιουργία προστιθέμενης αξίας για τον πάροχο των υπηρεσιών, με αποτέλεσμα να έχουν άγνοια των σχετικών κινδύνων.

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι ένα θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης») και το άρθρο 16 παράγραφος 1 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

Δυστυχώς, το προϊσχύσαν δίκαιο της Οδηγίας 95/46/ ΕΚ κρίθηκε ανεπαρκές. Οι εξελίξεις αυτές απαιτούσαν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ευρωπαϊκή Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι ήταν σημαντικό να δημιουργηθεί και να διατηρείται η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα. Θα πρέπει να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές.

Απάντηση ήταν η εισαγωγή του Κανονισμού 2016/679/ΕΕ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού

χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) – εφ’ εξής «ΓΚΠΔ» ή «Κανονισμός». Σκοπός του είναι η διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και η άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, ώστε το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν προσωπικών τους δεδομένων να είναι ισοδύναμο σε όλα τα κράτη μέλη. Έτσι, από τις 25.5.2018 υπάρχει ένα ενιαίο κανονιστικό πλαίσιο προστασίας προσωπικών δεδομένων, με γνώμονα τις αρχές της διαφάνειας και της νομιμότητας.

Δεν αποτελεί υπερβολή να λεχθεί ότι ο ΓΚΠΔ αποτελεί τη μεγαλύτερης απήχησης εξέλιξη του Ενωσιακού Δικαίου τα τελευταία χρόνια. Κατά την αιτιολογική σκέψη υπ’ αριθ. 6 του Προοιμίου του ΓΚΠΔ, οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο.

Είναι όμως ο ΓΚΠΔ αρκετός στην Κοινωνία της Πληροφορίας, στην οποία οι εξελίξεις τρέχουν γρηγορότερα από τους νομοθετικούς μηχανισμούς των Βρυξελλών; Ή μήπως ο «πληροφοριακός αυτοκαθορισμός» είναι μια αυταπάτη· μήπως πλέον βρισκόμαστε ενώπιον μιας κατάστασης «πληροφοριακού ετεροπεριορισμού»; Συνιστά η «συγκατάθεση» του υποκειμένου την κορωνίδα της πληροφοριακής του αυτοδιάθεσης, ένα είδος πραγμάτωσης της ιδιωτικής του αυτονομίας, ή η προστασία δεδομένων στην Κοινωνία της Πληροφορίας είναι μια ουτοπία; Έχει τη δυνατότητα το υποκείμενο των δεδομένων να λάβει μια ενημερωμένη απόφαση που το αφορά χάρη στην υποχρέωση του υπεύθυνου επεξεργασίας να του παρέχει μια λίστα πληροφοριών ως εξειδίκευση της αρχής της διαφανούς επεξεργασίας, ή μήπως ένας μέσος κοινωνός του δικαίου έχει «κουραστεί» από την ποικιλία, την ένταση και την περιπλοκότητα της πληροφορίας που του παρέχεται; Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και όλα μοιάζουν «χαμένα στο κυβερνοδιάστημα» της ανταλλαγής δεδομένων.

Έχει ειπωθεί ότι “No one has ever read a privacy notice who wasn’t paid to do so”, και με αυτό δηλώνεται ότι τελικά ο βασικός στόχος της ενωσιακής νομοθεσίας για την προστασία του υποκειμένου, να πάρει δηλαδή τον έλεγχο των δεδομένων του, αυτοαναιρείται μέσα στο καταιγισμό των πληροφοριών του παρέχονται.

Αντιλαμβανόμαστε λοιπόν ότι το υποκείμενο των δεδομένων είναι ένα «ασθενές μέρος» σε αυτό το ειδικό πραγματικό έννομης σχέσης που ονομάζεται «επεξεργασία δεδομένων προσωπικού χαρακτήρα». Η διαπίστωση και κατάφαση μιας ανισορροπίας διαπραγματευτικής, οικονομικής και γνωσιακής σχέσης δύο μερών στο πλαίσιο μιας έννομης σχέσης συναντάται και

στον κλάδο του δικαίου που απασχολείται με την προστασία του καταναλωτή. Αναρωτιόμαστε, λοιπόν, πώς αυτοί οι δύο κλάδοι μπορούν να πορευθούν παράλληλα – αν όχι ταυτόχρονα – για να εξασφαλιστεί η μεγαλύτερη δυνατή προστασία στο ασθενέστερο μέρος που στο πλαίσιο ενός πραγματικού εμφανίζει την ιδιότητα τόσο του υποκειμένου δεδομένων όσο και του καταναλωτή.

Με αυτό το ζήτημα θα ασχοληθούμε στην παρούσα μελέτη.

Β. Οριοθετώντας το αντικείμενο της έρευνας

Στόχος της παρούσας μελέτης δεν είναι να αναλύσει έννοιες, καταστάσεις, διατάξεις και νομολογία που αφορούν εν γένει στο δίκαιο προστασίας δεδομένων ή στο δίκαιο προστασίας καταναλωτή. Η ελληνική και διεθνής νομική επιστήμη, άλλωστε, στα συγκεκριμένα ζητήματα βρίθει ρωμαλέων αναζητήσεων, αναλύσεων, θέσεων, συνθέσεων, αντιθέσεων και παραδειγμάτων.

Στόχος της παρούσας μελέτης είναι όμως να εξετάσει το πού τα δύο ανωτέρω υποσυστήματα προστασίας, τόσο για την προστασία του φυσικού προσώπου από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, όσο και για την προστασία του καταναλωτή ως ασθενέστερου μέρους από αθέμιτες σε βάρος του εμπορικές πρακτικές και καταχρηστικούς όρους τους οποίους καλείται να αποδεχθεί σε προδιατυπωμένες συμβάσεις με έναν «προμηθευτή», ιδίως γενικούς όρους συναλλαγών (ΓΟΣ), συμπίπτουν ή τυγχάνουν παράλληλης εφαρμογής. Και μάλιστα, τόσο σε ατομικό, όσο και σε συλλογικό πεδίο.

Όπως φανερώνει και ο τίτλος της παρούσας μελέτης, εκκίνηση γίνεται από το δίκαιο προστασίας δεδομένων. Από την εφαρμογή αυτού του υποσυστήματος αντλούνται οι προβληματισμοί οι οποίοι εξετάζονται και από την οπτική του δικαίου του καταναλωτή.

Και η περίπτωση η οποία απαντάται – στατιστικά, και όχι αξιολογικά – συχνότερα στην καθημερινότητα, είναι η επεξεργασία δεδομένων ενός φυσικού προσώπου στο πλαίσιο μιας εμπορικής επικοινωνίας, εμπορικής προώθησης και εν γένει μιας εμπορικής πρακτικής που απευθύνεται από έναν εμπορευόμενο στο εν λόγω πρόσωπο για να το προσελκύσει ως δυνητικό του πελάτη. Αυτό θα είναι το αντικείμενο του επόμενου και εκτεταμένου 2 Κεφαλαίου. Η αναζήτηση της σχέσης των διατάξεων προστασίας των προσωπικών δεδομένων ενός φυσικού προσώπου όταν αυτά τυγχάνουν επεξεργασίας στο πλαίσιο προωθητικών ενεργειών με τις διατάξεις του δικαίου για την προστασία του καταναλωτή στο πλαίσιο εμπορικών πρακτικών οι οποίες τελούνται (και) με την επεξεργασία προσωπικών δεδομένων του αποδέκτη της πρακτικής.

Στο 3 Κεφάλαιο της παρούσας μελέτης θα ερευνήσουμε τις προϋποθέσεις μιας έγκυρης «συγκατάθεσης» κατά την αυτόνομη έννοια του δικαίου προστασίας δεδομένων και θα αναζητήσουμε τη νομική αξιολόγηση της συγκατάθεσης του υποκειμένου όταν αυτή παρέχεται μέσω αποδοχής προδιατυπωμένων όρων, ιδίως γενικών όρων συναλλαγών. Γνωρίζοντας ότι καθημερινά αποδεχόμαστε «όρους χρήσης» και «πολιτικές απορρήτου» χωρίς καν να τις διαβάζουμε, αναρωτιόμαστε κατά πόσο έχουμε εκείνο το πληροφοριακό απόθεμα που μας επιτρέπει να συγκατατεθούμε εγκύρως. Έτσι, θα προσπαθήσουμε να εντοπίσουμε τη δυνατότητα εφαρμογής της νομοθεσίας για την προστασία του καταναλωτή από καταχρηστικούς γενικούς όρους συναλλαγών στις περιπτώσεις όπου δια της αποδοχής τέτοιων προδιατυπωμένων κειμένων ο καταναλωτής παρέχει συγκατάθεση στην επεξεργασία των δεδομένων του.

Στο 4 Κεφάλαιο θα εξερευνήσουμε τη δυνατότητα συλλογικής προστασίας του υποκειμένου των δεδομένων δια ενεργειών που προέρχονται από ενώσεις καταναλωτών, ενώσεις δηλαδή ταγμένες πρωταρχικώς στην εξυπηρέτηση των γενικών καταναλωτικών συμφερόντων, και όχι αναγκαστικά συμφερόντων περιστρεφόμενων γύρω από τη νομοθεσία προστασίας δεδομένων, με σκοπό να διαπιστωθεί αν οι ενώσεις καταναλωτών – υπό την υφιστάμενη δομή και λειτουργία τους – μπορούν να επεκτείνουν τη δράση τους και προς επιδίωξη σκοπών που εμπίπτουν στον τομέα της προστασίας της ιδιωτικότητας.

Στο 5 Κεφάλαιο θα «μετατοπιστούμε» προς άλλους ορίζοντες, που ίσως με μια πρώτη ματιά δεν καλύπτονται από το αντικείμενο της παρούσας μελέτης. Την αξιολόγηση της παραβίασης του δικαίου προστασίας προσωπικών δεδομένων από τη σκοπιά του δικαίου κατά του αθέμιτου ανταγωνισμού και την εξέταση της δυνατότητας ενός εμπορευόμενου για τη δικαστική προσβολή των παραβιάσεων της νομοθεσίας προστασίας δεδομένων τις οποίες τελεί ένας ανταγωνιστής του αποκτώντας ανταγωνιστικό προβάδισμα. Και αυτό με φόντο την διάχυτη αντίληψη πως όσο περισσότεροι μπορούν να αξιώσουν τη συμμόρφωση ενός παραβάτη με τις προβλέψεις της νομοθεσίας δεδομένων, τόσο διευρύνεται η προστασία υπέρ του υποκειμένου των δεδομένων ως καταναλωτή.

Τέλος, στο 6 Κεφάλαιο θα συνοψιστούν τα πορίσματα της έρευνας και θα καταβληθεί προσπάθεια να αποκρυσταλλωθεί ένα γενικότερο συμπέρασμα για την αξιολογική και συστηματική σχέση των δύο υποσυστημάτων προστασίας, δεδομένων και καταναλωτή.

Κεφάλαιο 2

Προστασία του καταναλωτή από την επεξεργασία προσωπικών του δεδομένων στο πλαίσιο εμπορικών πρακτικών

§ 2. Προκατανόηση του προβλήματος

Αντικείμενο του παρόντος κεφαλαίου είναι η έρευνα και αξιολόγηση της δυνατότητας ενός φυσικού προσώπου να προστατευθεί απέναντι στην επεξεργασία των προσωπικών του δεδομένων στο πλαίσιο μιας εμπορικής πρακτικής την οποία μετέρχεται ο υπεύθυνος επεξεργασίας, ιδίως όταν αυτά χρησιμοποιούνται για σκοπούς εμπορικής προώθησης, με βάση τις διατάξεις για την προστασία του καταναλωτή. Ή με άλλα λόγια, η μελέτη και διερεύνηση της δυνατότητας εφαρμογής προστατευτικών διατάξεων για τον καταναλωτή, όπως περιέχονται εντός των νομοθετικών προβλέψεων που συνιστούν το σχετικό υποσύστημα προστασίας, όταν η αθέμιτη – απέναντι στον καταναλωτή– συμπεριφορά συνίσταται στη – νόμιμη ή παράνομη – επεξεργασία των προσωπικών του δεδομένων στο πλαίσιο μιας εμπορικής πρακτικής, μεταξύ άλλων και για σκοπούς εμπορικής προώθησης. Ιδίως, θα εξεταστούν περιπτώσεις διαπλοκής του δικαίου προστασίας καταναλωτή με το δίκαιο προστασίας δεδομένων, όταν διεξάγεται μια per se παράνομη επεξεργασία.

Αφετηρία για την εξέλιξη της ανάλυσης του παρόντος Κεφαλαίου είναι η «μαύρη λίστα» αθέμιτων εμπορικών πρακτικών, όπως αυτή περιέχεται στο Παράρτημα Ι «Εμπορικές Πρακτικές οι οποίες οποιεσδήποτε συνθήκες, κρίνονται αθέμιτες» της Οδηγίας 2005/29/EK για τις αθέμιτες εμπορικές πρακτικές των επιχειρήσεων προς τους καταναλωτές στην εσωτερική αγορά και για την τροποποίηση της Οδηγίας 84/450/ΕΟΚ του Συμβουλίου, των Οδηγιών 97/7/ΕΚ, 98/27/ΕΚ, 2002/65/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και του κανονισμού (ΕΚ) αριθ. 2006/2004 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου – εφ’ εξής «Οδηγία για τις αθέμιτες εμπορικές πρακτικές» - και δη ο όρος 26 σε αυτό το Παράρτημα Ι, κατά τον οποίο θεωρείται per se επιθετική εμπορική και άρα αθέμιτη πρακτική η:

συνεχής και ανεπιθύμητη άγρα πελατών μέσω τηλεφώνου, φαξ ή ηλεκτρονικού ταχυδρομείου ή άλλων μέσων εξ αποστάσεως, εκτός από περιστάσεις και στο βαθμό που αυτό δικαιολογείται, δυνάμει της εθνικής νομοθεσίας, για να επιβληθεί εκπλήρωση συμβατικής υποχρέωσης. Αυτό ισχύει υπό την επιφύλαξη

του άρθρου 10 της Οδηγίας 97/7/ΕΚ και των οδηγιών 95/46/ΕΚ και 2002/58/ΕΚ.

Η διάταξη αυτή έχει μεταφερθεί στο εθνικό δίκαιο, εντός του Ν. 2251/1994, ως εξής: Άρθρο 9η (Περιπτώσεις επιθετικών εμπορικών πρακτικών) περ. γ:

Απαγορεύονται, ως επιθετικές, εμπορικές πρακτικές που συνίστανται, ιδίως, σε: …

γ) συνεχή και ανεπιθύμητη άγρα πελατών, μέσω τηλεφώνου, φαξ ή ηλεκτρονικού ταχυδρομείου ή άλλων μέσων εξ αποστάσεως, εκτός από περιστάσεις και στο βαθμό που αυτό δικαιολογείται για να επιβληθεί εκπλήρωση συμβατικής υποχρέωσης με την επιφύλαξη της παραγράφου 6 του άρθρου 4 του παρόντος νόμου και των διατάξεων του ν. 2472/1997 (ΦΕΚ 50 Α`), όπως ισχύει.

Διατρέχοντας τον κωδικοποιημένο Ν. 2251/1994, προκύπτει ότι (δυστυχώς) η εν λόγω παράγραφος 6 του άρθρου 4 δεν υπάρχει πια… καθότι καταργήθηκε, χωρίς την αντίστοιχη διόρθωση της ως άνω περ. γ. Η παράγραφος αυτή είχε εισαχθεί με την παράγραφο 6 του άρθρου 4 του Ν.3587/2007 και πριν την κατάργησή της προέβλεπε ότι:

6. Η χρησιμοποίηση των τεχνικών επικοινωνίας πρέπει να γίνεται κατά τέτοιο τρόπο, ώστε να μην προσβάλλεται η ιδιωτική ζωή του καταναλωτή.

Ειδικότερα, σε περιπτώσεις μη ζητηθείσας επικοινωνίας εφαρμόζονται οι διατάξεις του άρθρου 11 του ν. 3471/2006 (ΦΕΚ 133 Α`).

Εν τέλει όμως, η παράγραφος αυτή καταργήθηκε σιωπηρά μετά την αντικατάσταση του άρθρου 4 στη νέα μορφή του ως άνω με το άρθρο 4 της ΥΑ Ζ1-891/2013 (ΦΕΚ Β 2144/30.8.2013), η οποία ισχύει από 13.06.2014 και εφαρμόζεται για συμβάσεις συναφθείσες μετά τις 13.06.2014 (Προσαρμογή προς την Οδηγία 2011/83/ΕΕ) .

Συναφής όμως σήμερα είναι η ρύθμιση του άρθρου 9 παρ. 5 του Ν. 2251/1994 που προστέθηκε την παρ. 5 του άρθρου του 11 του Ν. 3587/2007 που προβλέπει ότι:

5. Η μετάδοση διαφημιστικού μηνύματος απευθείας στον καταναλωτή μέσω τηλεφώνου, τηλεομοιοτυπίας (φαξ), ηλεκτρονικού ταχυδρομείου, αυτόματης κλήσης ή άλλου ηλεκτρονικού μέσου επικοινωνίας επιτρέπεται μόνο εφόσον τηρούνται οι όροι και οι προϋποθέσεις του άρθρου 11 του ν. 3471/2006.

Έτσι, η παραπομπή επί διατάξεων για την προστασία προσωπικών δεδομένων εντός νομοθετημάτων για την προστασία (και) του καταναλωτή έναντι αθέμιτων εμπορικών πρακτικών για την προώθηση προϊόντων και υπηρεσιών, μας θέτει αναπόφευκτα ενώπιον του προβληματισμού της αναζήτησης της ερμηνευτικής και κανονιστικής σχέσης των διατάξεων του δικαίου προστασίας του καταναλωτή – όπως αυτό διαπλάθεται στο εθνικό δίκαιο (κυρίως)

από το Ν. 2251/1994 σε ενσωμάτωση ενωσιακής προέλευσης νομοθετημάτων, όπως ο τελευταίος έχει τροποποιηθεί και ισχύει, ιδίως κατόπιν της εκτεταμένης τροποποίησης την οποία υπέστη με το Ν. 4512/2018 – και του συστήματος προστασίας των προσωπικών δεδομένων, όπως αυτό αναπτύσσεται στο ΓΚΠΔ , στον «εκτελεστικό του» εθνικό νόμο υπ’ αριθ. 4624/2019, αλλά και στη σχετική ενωσιακής προέλευσης νομοθεσία για την προστασία των δεδομένων στα ηλεκτρονικά δίκτυα (Ν. 3471/2006).

Ο προβληματισμός αυτός θα αποτελέσει το βασικό αντικείμενο μελέτης του Παρόντος Κεφαλαίου. Θα καταβληθεί προσπάθεια να αναζητηθεί το θεμιτό ή μη της επεξεργασίας των προσωπικών δεδομένων ενός φυσικού προσώπου αξιολογούμενο από τη πλευρά του δικαίου του Καταναλωτή για την καταπολέμηση αθέμιτων εμπορικών πρακτικών, ιδίως κατά την εμπορική προώθηση προϊόντων και υπηρεσιών. Αντικείμενο δηλαδή του παρόντος κεφαλαίου είναι η εξέταση των περιπτώσεων στις οποίες ένα φυσικό πρόσωπο – ως υποκείμενο προσωπικών δεδομένων – μπορεί να επικαλεστεί τις διατάξεις του δικαίου προστασίας του καταναλωτή – και δη να επικαλεστεί τα εκεί προβλεπόμενα έννομα βοηθήματα – σε περίπτωση επεξεργασίας των προσωπικών του δεδομένων με την οποία δεν συμφωνεί. Και συναφώς, πότε μια ρυθμιστική αρχή για την επιβολή του δικαίου προστασίας του καταναλωτή, μπορεί να επιληφθεί επί περιπτώσεων όπου μια μη σύννομη με το οικείο δίκαιο συμπεριφορά συνίσταται στην παράνομη επεξεργασία προσωπικών δεδομένων. Δηλαδή, θα αναζητηθεί εκείνη η κανονιστική τομή των δύο υποσυστημάτων προστασίας με βάση το σκοπό τους και αφετηρία τη γραμματική διατύπωση των νομοθετικών κειμένων στα οποία οι σχετικές ρυθμίσεις στηρίζονται.

Για το ότι το κατάλληλο πεδίο για να εκκινήσει η αναζήτηση της σχέσης μεταξύ των δύο συστημάτων προστασίας – δεδομένων και καταναλωτή – είναι η σύγκριση της νομοθεσίας για την επεξεργασία δεδομένων στο πλαίσιο σκοπών εμπορικής προώθησης και της νομοθεσίας για τις αθέμιτες εμπορικές πρακτικές, θα προκύψει από τα όσα θα εξαχθούν από τη συγκριτική ανάλυση των επιμέρους ρυθμίσεων υπό το πρίσμα του ίδιου πραγματικού περιστατικού.

Ας τεθεί λοιπόν μια «υπόθεση εργασίας» η οποία εν είδει πρακτικού παραδείγματος θα χρωματίσει τη προβληματική του παρόντος κεφαλαίου.

Η εταιρεία διαδικτυακού marketing Α έχει αναπτύξει ένα λογισμικό τελευταίας τεχνολογίας το οποίο περιλαμβάνει μια βάση δεδομένων με προσωπικά δεδομένα χιλιάδων προσώπων με το όνομα “Solution Pro Viribus”. Πλεονέκτημα αυτής της βάσης είναι η δυνατότητα «φιλτραρίσματος» των

προσώπων που περιέχει με βάση χαρακτηριστικά τους (ηλικιακά, μορφωτικά, δημογραφικά, επαγγελματικά κτλ.). Φυσικά, μέσα στη βάση δεδομένων περιλαμβάνονται και δεδομένα φυσικών προσώπων – ταυτοποιήσιμων με βάση τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους/ email ή τον τηλεφωνικό αριθμό τους ή τη διεύθυνση κατοικίας/ έδρας τους. Τα προσωπικά δεδομένα σε αυτή τη βάση δεδομένων η εταιρεία Α έχει συλλέξει διαχρονικά κατόπιν συνεργασίας με άλλες πλατφόρμες οι οποίες της «πούλησαν» τις δικές τους βάσεις δεδομένων, τις οποίες η εταιρεία Α έχει ενοποιήσει, αλλά και μέσω εισαγωγής πληροφοριών από δημόσιους κατάλογους τηλεπικοινωνιακών παρόχων.

Η εταιρεία Β είναι μια start up επιχείρηση η οποία δραστηριοποιείται στην παροχή έξυπνων λύσεων για το σπίτι – διασύνδεση ηλεκτρικών συσκευών – και έχει αναπτύξει μία εφαρμογή που παρέχεται διά ηλεκτρικών καταστημάτων AppStore και Google Play. Για να επιτύχει την αναγνωρισιμότητα του προϊόντος της εφαρμόζει μια διαφημιστική «εκστρατεία» η οποία περιλαμβάνει, μεταξύ άλλων τη διενέργεια «πληρωμένων» διαφημίσεων σε μέσα κοινωνικής δικτύωσης. Περιλαμβάνει επίσης την «αγορά» από τη βάση δεδομένων της Α συγκεκριμένων κατηγοριών δεδομένων, τις οποίες με βάση τις έρευνες αγοράς που είχε πραγματοποιήσει η Β έκρινε ως πλέον «φιλικές», αφού αντιστοιχούσαν σε πρόσωπα τα οποία θα ήταν πιο εύκολο να εξοικειωθούν με την εφαρμογή που είχε αναπτύξει. Για το σκοπό αυτό αποφασίζεται από τη διοίκηση της Β η έναρξη ενεργειών άμεσου marketing με τηλεφωνικές κλήσεις, μηνύματα email ή μηνύματα μέσω πλατφορμών “Οver-the-top/ ΟΤΤ” όπως το Viber, to WhatsApp, κτλ.

Για την επίτευξη του σκοπού της, η Β αναθέτει στην εταιρεία Ε, που ειδικεύεται στη διενέργεια μαζικών κλήσεων και την αποστολή πολλαπλών μηνυμάτων email, να διενεργήσει την τηλεφωνική ενημέρωση ή/ και αποστολή τέτοιων μηνυμάτων σε πιθανούς πελάτες / στόχους, οι οποίοι προέρχονταν τόσο από την πλατφόρμα “Solution Pro Viribus” όσο και από υφιστάμενο πελατολόγιο της Β. Μεταξύ άλλων, μηνύματα στέλνονται και στους εργαζομένους της Β, αλλά και λοιπούς εργαζομένους της εταιρείας Γ, μιας εταιρείας η οποία έχει εισέλθει στο μετοχικό κεφάλαιο της Β χρηματοδοτώντας την, διατηρώντας συγκεκριμένα μετοχικά δικαιώματα ελέγχου, και η οποία ενοποιεί την εταιρεία Β στις χρηματοοικονομικές της καταστάσεις.

Ως αποτέλεσμα της ενέργειας αυτής, διενεργούνται 6.000 τηλεφωνικές κλήσεις, στέλνονται 85.000 μηνύματα μέσω πλατφόρμας ΟΤΤ και 120.000 μηνύματα ηλεκτρονικού ταχυδρομείου.

Έκπληκτοι πολλοί αποδέκτες τέτοιων κλήσεων «ευγενικά» απάντησαν ότι δεν ενδιαφέρονται για ένα τέτοιο προϊόν όταν κλήθηκαν στους τηλεφωνικούς αριθμούς τους, ενώ οι αποδέκτες μηνυμάτων έλαβαν στα προσωπικά

τους κινητά τηλέφωνα ένα ευφάνταστο μήνυμα με κινούμενες εικόνες που τους παρέπεμπε σε ένα υπερσύνδεσμο της ιστοσελίδας της εταιρείας Β.

Μεταξύ άλλων ενοχλημένων αποδεκτών, ο κύριος Φ.Π. αισθάνεται ιδιαίτερα αναστατωμένος ως καταναλωτής διότι «δεν ζήτησε ποτέ την εν λόγω προωθητική ενέργεια» και αποφασίζει να μιλήσει με το τηλεφωνικό κέντρο της Β για ζητήσει να μην τον ενοχλήσουν ξανά. Καθότι δεν έλαβε καμία ουσιαστική απάντηση, αισθάνεται την ανάγκη να απευθυνθεί στο «Συνήγορο του Καταναλωτή» καθώς και στην ένωση καταναλωτών “Consumο ergo Sum”. Η ένωση αυτή, νόμιμα συσταθείσα κατά τις διατάξεις του Ν. 2251/1994 και εγγραφείσα στα οικεία μητρώα, διαβεβαιώνει τον κύριο Φ.Π. ότι και άλλοι έχουν εκδηλώσει παράπονα κατά της Β και ότι δια των αρμοδίων οργάνων της προτίθεται να υποβάλει έγγραφη καταγγελία στην αρμόδια κατά το Ν. 2251/1994 αρχή (Γενική Γραμματεία Εμπορίου και Προστασίας Καταναλωτή) καθώς και τα ένδικα βοηθήματα που ο εν λόγω νόμος της παρέχει, σε εκπλήρωση του καταστατικού της σκοπού.

Κατόπιν του ανωτέρω ιστορικού, τίθενται τα εξής ερωτήματα:

α. Επεξεργασία προσωπικών δεδομένων για σκοπούς εμπορικής προώθησης θεωρείται εμπορική πρακτική κατά τις διατάξεις του Ν. 2251/1994;

β. Αν η απάντηση στο ερώτημα αυτό είναι καταφατική, πότε μια τέτοια εμπορική πρακτική θεωρείται αθέμιτη;

γ. Σε περιπτώσεις παράνομης επεξεργασίας προσωπικών δεδομένων, μπορεί να υποστηριχθεί ότι μια εμπορική πρακτική είναι per se «αθέμιτη» εξ αυτού και μόνο του λόγου, ανεξαρτήτως άλλων περιστατικών;

δ. Σε περιπτώσεις νόμιμης επεξεργασίας προσωπικών δεδομένων, μπορεί εντούτοις να διαπιστωθεί ότι η υπό εξέταση εμπορική πρακτική θα μπορούσε να είναι αθέμιτη;

ε. Μεταξύ των συστημάτων για την προστασία του καταναλωτή από αθέμιτες πρακτικές που περιλαμβάνουν επεξεργασία δεδομένων του και την προστασία του υποκειμένου απέναντι στην επεξεργασία προσωπικών δεδομένων του υπάρχει σχέση συρροής ή ειδικότητας;

στ. Αν μια τέτοια εμπορική πρακτική που περιλαμβάνει επεξεργασία προσωπικών δεδομένων θεωρηθεί αθέμιτη εμπορική πρακτική κατά το Ν. 2251/1994, έχει αρμοδιότητα η νομοθετικώς προβλεπόμενη αρχή προστασίας καταναλωτών να επιλαμβάνεται σε σχετικές καταγγελίες για την παράνομη επεξεργασία προσωπικών δεδομένων;

ζ. Τέλος, μπορούν να υπάρξουν και άλλες εμπορικές πρακτικές, πλην της εμπορικής προώθησης, στις οποίες μπορεί να συντρέχει παράνομη επεξεργασία προσωπικών δεδομένων ενός φυσικού προσώπου δρώντως ως καταναλωτή

με τέτοιο τρόπο ώστε η υπό κρίση εμπορική πρακτική να γίνει αθέμιτη;

Τα παραπάνω ερωτήματα θα αποτελέσουν τον κορμό της κύριας προβληματικής του παρόντος κεφαλαίου (παρακάτω υπό § 6.). Πριν από αυτό όμως, θα παρατεθούν οι γενικές προϋποθέσεις επιτρεπτού της επεξεργασίας προσωπικών δεδομένων για σκοπούς εμπορικής προώθησης τόσο με βάση τον ΓΚΠΔ (παρακάτω υπό § 3.) όσο και με βάση το Ν. 3471/2006 (παρακάτω υπό § 4.), καθώς και (παρακάτω υπό § 5.) οι γενικές ρυθμίσεις του δικαίου προστασίας του καταναλωτή στο υποσύστημα των διατάξεων για την καταπολέμηση των αθέμιτων εμπορικών πρακτικών, ιδίως σε περιπτώσεις «συνεχούς και ανεπιθύμητης άγρας πελατών», μιας per se απαγορευμένης εμπορικής πρακτικής για την προσέγγιση με μέσα εξ αποστάσεως νέων πελατών.

§ 3. Προσωπικά δεδομένα και Εμπορική Προώθηση κατά τον ΓΚΠΔ

Α. Γενικά

Marketing without data is like driving with eyes closed. Οι δυνατότητες της σύγχρονης τεχνολογίας και τα εργαλεία που παρέχονται για τη διενέργεια στοχευμένης προώθησης προϊόντων και υπηρεσιών προς κάθε χρήστη του διαδικτύου με βάση συμπεράσματα που έχουν εξαχθεί από τη συλλογή και ανάλυση δεδομένων προτιμήσεων εκατομμυρίων χρηστών παγκοσμίως σε ελάχιστα δευτερόλεπτα, εν μέσω της επεξεργασίας προσωπικών τους δεδομένων, φέρνουν στο προσκήνιο το ζήτημα της νομιμότητας αυτής της επεξεργασίας. Τεχνολογικές εφαρμογές και third party cookies εγκαθιστάμενα στα τερματικά (υπολογιστές, κινητά, tablets) χρηστών, κατά το συνήθως συμβαίνον όχι μόνο χωρίς τη συγκατάθεση, αλλά πολύ περισσότερο και χωρίς καν τη γνώση των χρηστών, επιτρέπουν την εξαγωγή «μεταδεδομένων»/ metadata για τις προτιμήσεις, επιλογές, τάσεις του κοινού, που καθίστανται αντικείμενο ανάλυσης σε ελάχιστο χρόνο και αποτελούν το πρώτο βήμα για την παρουσίαση στοχευμένων διαφημίσεων (online behavioral advertising) «κομμένες και ραμμένες» (tailor made) για κάθε χρήστη.

Δεν είναι ψέμα ότι το στοχευμένο marketing είναι πάντα καλύτερο από το «ψυχρό» και απρόσωπο, αυτό δηλαδή που στηρίζεται στη μαζική/ bulk αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου, τα γνωστά μας “spam”. Ακόμη όμως και σε τέτοιες περιπτώσεις, έχει αποδειχθεί ότι χρήστες ενδέχεται εν τέλει να γίνουν πελάτες των spammers, που σημαίνει ότι και τέτοια μηνύματα έχουν (οικονομική) σημασία που δικαιολογεί την ύπαρξή τους.

Τέλος, ουδείς μπορεί να ξεχάσει το φρενήρη ρυθμό με το οποίο κατέφταναν στις ηλεκτρονικές διευθύνσεις των χρηστών εκείνη την άνοιξη του 2018, κατά την εβδομάδα προ της έναρξης εφαρμογής του ΓΚΠΔ, μηνύματα ηλεκτρονικού ταχυδρομείου, ζητώντας «ανανέωση» της συναίνεσης/ συγκατάθεσης του χρήστη, για να «συνεχίσουν να του στέλνουν ενημερώσεις» και μετά τις 25.5.2018 (ημέρα έναρξης ισχύος του ΓΚΠΔ). Προφανώς ουδείς εξοικειωμένος με το αντικείμενο δεν πίστεψε ούτε λεπτό στη σκοπιμότητα τέτοιων μηνυμάτων, γνωρίζοντας ότι το ζήτημα δεν ήταν η ανάγκη ανανέωσης

ή όχι της συγκατάθεσης για τη διενέργεια marketing, αλλά το αν κατά τη λήψη αυτής της συγκατάθεσης είχαν τηρηθεί τα προαπαιτούμενα για την έγκυρη λήψη της από το χρήστη – υποκείμενο προσωπικών δεδομένων κατόπιν νομότυπης ενημέρωσης.

Όλα τα ανωτέρω λοιπόν έχουν στο παρασκήνιό τους τις προϋποθέσεις νομιμότητας διενέργειας πράξεων εμπορικής προώθησης που περιλαμβάνουν επεξεργασία προσωπικών δεδομένων των φυσικών προσώπων/ στόχων ενεργειών εμπορικής προώθησης.

Έτσι λοιπόν, εκτός από τις προϋποθέσεις ενημέρωσης του υποκειμένου των προσωπικών δεδομένων για τη χρήση αυτών για σκοπούς εμπορικής προώθησης, ως βασική και αναγκαία προϋπόθεση οποιασδήποτε πράξης επεξεργασίας προσωπικών δεδομένων κατά τη ρητά διατυπωμένη «Αρχή της Διαφάνειας» του ΓΚΠΔ, ιδιαιτερότητες εμφανίζει και η αναζήτηση της νομικής βάσης της επεξεργασίας. Αυτής δηλαδή της νομικής πρόβλεψης που «κατ’ εξαίρεση και παρά το κατ’ αρχάς γενικώς απαγορευμένο» της επεξεργασίας μπορεί νομίμως να επικαλεστεί ένας υπεύθυνος επεξεργασίας ώστε να προβαίνει σε τέτοια επεξεργασία κατά την «Αρχή της Νομιμότητας» του ΓΚΠΔ. Εξαιρετικά ενδιαφέρον είναι το ζήτημα αυτό, δεδομένου ότι οι σχετικές ρυθμίσεις του ΓΚΠΔ τελούν, κατά το άρθρο 95 αυτού, υπό την επιφύλαξη της εφαρμογής της συναφούς εν ισχύ νομοθεσίας εκ του άρθρου 11 του Ν. 3471/2006, σε ενσωμάτωση της Οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (Οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), όπως αυτή έχει τροποποιηθεί με την Οδηγία 2009/136/ ΕΚ της 25ης Νοεμβρίου 2009, για τροποποίηση της Οδηγίας 2002/22/ΕΚ για την καθολική υπηρεσία και τα δικαιώματα των χρηστών όσον αφορά δίκτυα και υπηρεσίες ηλεκτρονικών επικοινωνιών, της Οδηγίας 2002/58/ΕΚ σχετικά με την επεξεργασία των

δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του κανονισμού (ΕΚ) αριθ. 2006/2004 για τη συνεργασία μεταξύ των εθνικών αρχών που είναι αρμόδιες για την επιβολή της νομοθεσίας για την προστασία των καταναλωτών – εφ’ εξής Οδηγία ePrivacy.

Β. Το ισχύον νομοθετικό πλαίσιο περί επεξεργασίας δεδομένων για σκοπούς εμπορικής προώθησης υπό τον ΓΚΠΔ

1. Οι βασικές αρχές του ΓΚΠΔ

1.α. Η αρχή της Διαφάνειας σε γενικές γραμμές

Οι αρχές της επεξεργασίας των προσωπικών δεδομένων – όπως αυτές αποτυπώνονται στο άρθρο 5 ΓΚΠΔ και εκδηλώνονται με ειδικότερες ρυθμίσεις στις επιμέρους διατάξεις του ΓΚΠΔ – είναι τα «ιερά αξιώματα» της επεξεργασίας, τα οποία παρέχουν ερμηνευτικά επιχειρήματα και βοηθούν στην ανάδειξη και διεξαγωγή αξιολογικών σταθμίσεων ενόψει συγκεκριμένων πραγματικών περιστατικών, υπό τον παρονομαστή της τελεολογίας των αξιωμάτων αυτών.

Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι διαφανής. Θα πρέπει να είναι σαφές και «διαφανές» για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ› άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Αυτό σημαίνει «ενημέρωση» των υποκειμένων. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Θα πρέπει να γνωστοποιείται στα φυσικά πρόσωπα η ύπαρξη κινδύνων, κανόνων, εγγυήσεων και δικαιωμάτων σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και πώς να ασκούν τα δικαιώματά τους σε σχέση με την επεξεργασία αυτή. Ιδίως, οι συγκεκριμένοι σκοποί της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα θα πρέπει

να είναι σαφείς, νόμιμοι και προσδιορισμένοι κατά τον χρόνο συλλογής των δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι επαρκή και συναφή και να περιορίζονται στα αναγκαία για τους σκοπούς της επεξεργασίας τους. Αυτό απαιτεί ειδικότερα να διασφαλίζεται ότι το διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα περιορίζεται στο ελάχιστο δυνατό. Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί να επιτευχθεί με άλλα μέσα. Για να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν διατηρούνται περισσότερο από όσο είναι αναγκαίο, ο υπεύθυνος επεξεργασίας θα πρέπει να ορίζει προθεσμίες για τη διαγραφή τους ή για την περιοδική επανεξέτασή τους. Θα πρέπει να λαμβάνεται κάθε εύλογο μέτρο, ώστε να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που δεν είναι ακριβή διορθώνονται ή διαγράφονται.

Το άρθρο 13 του ΓΚΠΔ εξειδικεύει την πληροφόρηση που πρέπει να δίνεται από τον υπεύθυνο επεξεργασίας κατά τη λήψη προσωπικών δεδομένων του υποκειμένου από το ίδιο, ενώ το άρθρο 14 όταν λαμβάνονται από τρίτη πηγή. Η «ενημέρωση» του υποκειμένου των δεδομένων αποτελεί τη βασική εκδήλωση της αρχής της διαφάνειας. Σύμφωνα με το άρθρο 5 παρ. 1α του ΓΚΠΔ, τα προσωπικά δεδομένα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»). Η αρχή της διαφάνειας εξειδικεύεται στα άρθρα 12 επ. ΓΚΠΔ. Η  αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα

που υπόκεινται σε επεξεργασία. Οι πληροφορίες αυτές μπορούν να παρέχονται σε ηλεκτρονική μορφή, για παράδειγμα, όταν απευθύνονται στο κοινό, μέσω ιστοσελίδας. Αυτό έχει ιδιαίτερη σημασία σε περιπτώσεις στις οποίες η πληθώρα των συμμετεχόντων και η πολυπλοκότητα των χρησιμοποιούμενων τεχνολογιών καθιστούν δύσκολο για το υποκείμενο των δεδομένων να γνωρίζει και να κατανοεί εάν, από ποιον και για ποιο σκοπό συλλέγονται δεδομένα προσωπικού χαρακτήρα που το αφορούν, όπως στην περίπτωση online διαφήμισης. Δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας, κάθε ενημέρωση και ανακοίνωση, εάν η επεξεργασία απευθύνεται σε παιδί, θα πρέπει να διατυπώνεται σε σαφή και απλή γλώσσα την οποία το παιδί να μπορεί να κατανοεί εύκολα.

Από τα άρθρα 13 και 14 ΓΚΠΔ προκύπτει ότι μεταξύ άλλων η ενημέρωση αφορά και γνωστοποίηση για τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν. Δεν απαιτείται ταυτοποίηση σε επίπεδο «μονάδας» αλλά αρκεί η γενική κατηγορία αποδεκτών. Επομένως, τυχόν παράλειψη αναφοράς συγκεκριμένου φυσικού/ νομικού προσώπου ή οντότητας (κατ’ άρθρο 4 ΓΚΠΔ) δεν συνεπάγεται κάποια πλημμέλεια της ενημέρωσης.

Από την άλλη όμως, η ενημέρωση ως προς το σκοπό της επεξεργασίας, πρέπει να είναι συγκεκριμένη. Τα προσωπικά δεδομένα, σύμφωνα με την αρχή του περιορισμού του σκοπού της επεξεργασίας τους, συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Ο «σκοπός της επεξεργασίας» είναι όπως λέγεται χαρακτηριστικά το «σημείο απειλής» και «το σημείο επαφής» για την αναζήτηση της αναγκαιότητας και καταλληλόλητας της επεξεργασίας. Το υποκείμενο των δεδομένων πρέπει

να γνωρίζει, με διαφανή τρόπο, το σκοπό της επεξεργασίας – αφού ο υπεύθυνος δεσμεύεται από αυτόν και για την «περαιτέρω» επεξεργασία των δεδομένων πρέπει να τηρήσει πρόσθετες προϋποθέσεις διαφάνειας, νομιμότητας και λογοδοσίας (Zweckbindung). Είναι σημαντικό το υποκείμενο των δεδομένων να μπορεί να προβλέψει τους λόγους για τους οποίους θα τύχουν επεξεργασίας τα δεδομένα του και τους κινδύνους από τη σχετική επεξεργασία. Η αρχή της διαφάνειας λοιπόν επιβάλλει κατά τη λήψη δεδομένων, οποιαδήποτε μορφή και αν έχει η επεξεργασία, να ενημερώνεται το υποκείμενο για τους σκοπούς της επεξεργασίας με «σαφή τρόπο», ενώ «γενικές αναφορές», όπως «σκοποί διαφήμισης», «ασφαλείας», «καταλογογράφησης» εν γένει δεν είναι σύμφωνοι με το πνεύμα του ΓΚΠΔ.

Περαιτέρω, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται αν καταρτίζεται το προφίλ του και ποιες συνέπειες έχει αυτό. Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το υποκείμενο των δεδομένων, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες, όταν δεν παρέχει τα εν λόγω δεδομένα. Οι πληροφορίες αυτές μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιώδης επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, θα πρέπει να είναι μηχανικώς αναγνώσιμα.

1.β. Η αρχή της νομιμότητας και η διελκυστίνδα «Συγκατάθεσης» και «Εννόμου Συμφέροντος» του Υπεύθυνου Επεξεργασίας

Από την άλλη, κατά την αρχή της νομιμότητας, για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση ένα συγκεκριμένο «πραγματικό» (Erlaubnistatbestand) που το επιτρέπει. Για τις κατηγορίες των απλών προσωπικών δεδομένων,

το άρθρο 6 ΓΚΠΔ θέτει τις βάσεις για τις οποίες τα απλά δεδομένα μπορούν να τύχουν επεξεργασίας.

Έτσι, νόμιμη μπορεί να είναι η επεξεργασία κατόπιν της συγκατάθεσης του ενδιαφερόμενου υποκειμένου των δεδομένων ή με άλλη βάση, προβλεπόμενη από τον νόμο, είτε στον ΓΚΠΔ είτε σε νομοθεσία της Ένωσης ή κράτους μέλους όπως αναφέρεται στον ΓΚΠΔ, περιλαμβανομένης της ανάγκης συμμόρφωσης προς την υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας εκ του νόμου ή της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.

Η συγκατάθεση του υποκειμένου, για την οποία θα γίνει λόγος μόνο παρεμπιπτόντως στο πλαίσιο του παρόντος κεφαλαίου αλλά την εξετάζουμε αναλυτικά στο επόμενο 3 Κεφάλαιο, μπορεί να αποτελεί λόγο επιτρεπτού της επεξεργασίας προσωπικών δεδομένων για σκοπούς εμπορικής προώθησης – ή με άλλα λόγια νομική βάση επεξεργασίας. Απαιτείται να έχει τα χαρακτηριστικά που προβλέπονται στο άρθρο 4 παρ. 11 ΓΚΠΔ, δηλαδή να είναι ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν για τέτοιους σκοπούς. Τα χαρακτηριστικά της συγκατάθεσης – και ιδίως η σχέση της με το δίκαιο προστασίας του καταναλωτή (π.χ. έλεγχος της συγκατάθεσης μέσω ΓΟΣ, απαγόρευση «συνδυασμένης» συγκατάθεσης/ Kopplungsverbot) θα εξεταστούν αναλυτικά στο επόμενο κεφάλαιο.

Για τους σκοπούς της παρούσας ανάλυσης, εκείνη η νομική βάση επεξεργασίας ή «λόγος του επιτρεπτού» της επεξεργασίας που θα μας απασχολήσει ως προς τη σύζευξη δικαίου του καταναλωτή και προσωπικών δεδομένων

είναι αυτή εκ του άρθρου 6 παρ. 1 στ) ΓΚΠΔ. Σύμφωνα με το άρθρο αυτό, η επεξεργασία είναι σύννομη όταν είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί. Η νομική αυτή βάση δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους. Η εν λόγω νομική βάση επεξεργασίας δεν αποτελεί υστερούσα ή υπέρτερη νομική βάση επεξεργασίας σε σχέση με τις λοιπές του άρθρου 6 – όλες οι νομικές βάσεις αποτελούν ισόκυρες βάσεις, αν και για τη συγκατάθεση πρέπει να διατυπωθούν επιφυλάξεις, η ανάλυση των οποίων δεν ανήκει στο αντικείμενο της παρούσας εργασίας. Σε κάθε περίπτωση, το άρθρο 6 παρ. 1 στ) δεν πρέπει να θεωρηθεί ως «αφετηρία» κάθε επεξεργασίας αλλά όπως οι λοιποί λόγοι επιτρεπτού, να ερμηνευτεί «στενά».

Η νομική αυτή βάση αποτελεί την κεντρική ρήτρα στάθμισης συμφερόντων εντός του ΓΚΠΔ και αποτελεί έκφανση της αρχής της «αναλογικότητας». Η ρήτρα αυτή αποτυπώθηκε στο τελικό κείμενο του ΓΚΠΔ, μετά από μια μακρά διαλογική διαμόρφωση του περιεχομένου της, κατόπιν διαφορετικών προηγούμενων εκδοχών.