GDPR – Μια παρεξηγημένη συναίνεση

22 Σεπτεμβρίου, 2019

Για το GDPR (το Γενικό Κανονισμό Προστασίας Δεδομένων, το ΓΚΠΔ, τον General Data Protection Regulation) της Ευρωπαϊκής Ένωσης τα έχουμε ξαναπεί. Τέθηκε σε ισχύ το Μάιο του 2018 και αφορά στον τρόπο με τον οποίο μπορεί κανείς να επεξεργάζεται τα προσωπικά δεδομένα άλλων νόμιμα, εφόσον τους έχει ενημερώσει για αυτό, εφόσον αυτοί έχουν δώσει τη συγκατάθεσή τους για αυτό, κλπ κλπ κλπ, και υπό κάποιους όρους όπως ότι η συγκατάθεση πρέπει να μπορεί να αρθεί ή ότι κανείς πρέπει να μπορεί να έχει πρόσβαση στα δεδομένα του, κλπ κλπ κλπ. Γενικά είναι ένα πλήρες κανονιστικό πλαίσιο για τους Ευρωπαίους πολίτες, κάτι που πριν είχαμε κάπως αποσπασματικά και, τελοσπάντων, στα Ελληνικά μπορείς να διαβάσεις σχετικά πολλά ωραία και έγκυρα στο Lawspot.

Η συγκατάθεση που δίνει το άτομο σε εκείνον που επεξεργάζεται τα δεδομένα του (ώστε να του επιτρέψει ρητά την επεξεργασία αυτή εφόσον το άτομο έχει ενημερωθεί πλήρως και επαρκώς) είναι μια βασική αρχή του GDPR. Αυτή την περίοδο βλέπουμε να εφαρμόζεται στο διαδίκτυο κατά κόρον η υπηρεσία Quantacast, η οποία έρχεται να δώσει μια αυτοματοποιημένη λύση και σε πρώτο επίπεδο δωρεάν λύση στο πρόβλημα της λήψης της συγκατάθεσης. Μέσα σε ένα καλοκαίρι έχει πάρει μάλιστα διαστάσεις μόδας. Πολλές μεγάλες ελληνικές ιστοσελίδες την έχουν υιοθετήσει. Αλλά την έχουν υιοθετήσει εντελώς λανθασμένα!

Ας δούμε το γιατί:

If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

ή

Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται.

Νομίζω ότι η παρακάτω εικόνα μιλά από μόνη της και αποδεικνύει πόσο δικαιολογημένα ή αδικαιολόγητα διαταράσσεται η χρήση της υπηρεσίας:

Για όποιον δεν πείθεται, ας κάνει μια προσπάθεια έστω να διαβάσει την πολιτική απορρήτου, αυτή που του εξηγεί υπό τι όρους δίνει τη συγκατάθεσή του. Δεν είναι και τόσο εύκολο μιας και πρέπει πρώτα να δώσει τη συγκατάθεσή του. Ινσέψιον; Όχι και τόσο. Μάλλον φαύλος κύκλος. Ιδού η ντροπαλή πολιτική προστασίας, κρυμμένη πίσω από την κουρτίνα της συγκατάθεσης:

Ακόμη ο GDPR ορίζει ότι:

In accordance with Council Directive 93/13/EEC (1) a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended.

ή

Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου, θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα.

Αν κάνει λοιπόν κάποιος την απόπειρα να μελετήσει τη σαφή και απλή διατύπωση αντιμετωπίζει κάτι τέτοιο (προσοχή στα scrollbars, έχει πολύ διάβασμα):

Ενώ αν προσπαθήσει να προσδιορίσει την ταυτότητα υπεύθυνου επεξεργασίας βρίσκεται αντιμέτωπος με κάτι τέτοιο (εδώ το scroll είναι για τενοντίτιδες):

Έχει πάει λοιπόν περίπατο η απλή και κατανοητή γλώσσα και η ενημέρωση του χρήστη σχετικά με το ποιος θα έχει πρόσβαση στα προσωπικά του δεδομένα και για ποιο λόγο. Ο χρήστης μπήκε για να διαβάσει ένα άρθρο στα γρήγορα και, αντί αυτού, του παρουσιάζουμε μια εξαντλητική λίστα όρων και ονομάτων εταιρειών που είναι πρακτικά αδύνατο να χειριστεί και να… επεξεργαστεί ο ίδιος. Αναγκαστικά λοιπόν θα δεχτεί τα πάντα. Ή δε θα δεχθεί τίποτα. Και οι δύο εκδοχές είναι μάλλον ανεπιθύμητες.

Η συγκατάθεσή του δηλαδή δε θα είναι αυτό:

‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

ή

«συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,

Η κορυφαία ασυνέπεια της παραπάνω αντιμετώπισης βέβαια δεν είναι κάποιο από τα παραπάνω. Έχει και χειρότερα. Η παρωδία αποκαλύπτεται ρίχνοντας κανείς μια κλεφτή ματιά πίσω από την κουρτίνα της συγκατάθεσης. Πίσω από την κουρτίνα όλα αυτά για τα οποία ο χρήστης ερωτάται για τη συγκατάθεσή του έχουν ήδη συντελεστεί. Οι διαφημίσεις έχουν τρέξει, τα scripts έχουν τρέξει και τα δεδομένα του έχουν μοιραστεί όπου επρόκειτο να μοιραστούν. Δηλαδή μια τρύπα στο νερό.

Disclaimer:

Να ξεκαθαρίσω ότι τα παραπάνω παραδείγματα δεν τα διάλεξα για να ξεχωρίσω την ιστοσελίδα που προφανώς εύκολα κανείςμπορεί να διακρίνει την ταυτότητά της. Η παραπάνω μεθοδολογία χρησιμοποιείται, όπως είπα και στην αρχή κατά κόρον στις μέρες μας. Διάολε, τη ζητάνε οι ίδιοι οι πελάτες που αντιγράφουν ο ένας τον άλλο!

Και είναι ξεκάθαρο ότι μερικά από τα πράγματα που ζητά ο GDPR, αν τα θεωρήσουμε με το κιλό, τότε η αγορά θα έχει μεγάλο πρόβλημα, κανένα site δε θα μπορεί με ένα απλό τρόπο να πάρει καν στατιστικά για τη χρήση του και αυτό για μια ενημερωτική ιστοσελίδα είναι πρόβλημα βιωσιμότητας. Για την ώρα περιμένουμε και τον ePrivacy που θα ξεκαθαρίσει πολλά.

Οι διαφημίσεις και ο διαμοιρασμός των δεδομένων του χρήστη για διαφημιστικούς λόγους είναι ένα άλλο πράγμα, βέβαια, που χρειάζεται πάρα πολύ προσοχή, ώστε ένα απολύτως απαραίτητο στοιχείο της αγορά, η διαφήμιση, να διενεργείται με τρόπο που να μην προσβάλει τα δικαιώματα των χρηστών.

εκτύπωση Κατηγορίες: GDPR, διαδίκτυο | rss 2.0 | trackback

Καθόλου σχόλια μέχρι τώρα!

Ό,τι προαιρείσθε:

Επιτρεπτά (X)HTML tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> . Εάν προσθέσετε εξωτερικά links στο σχόλιό σας τότε αυτό δε θα εμφανιστεί στη λίστα με τα υπόλοιπα σχόλια έως ότου εγκριθεί από τον υποφαινόμενο, οπότε το νου σου!