Τάκης Μπουγιούρης

Για το GDPR (το Γενικό Κανονισμό Προστασίας Δεδομένων, το ΓΚΠΔ, τον General Data Protection Regulation) της Ευρωπαϊκής Ένωσης τα έχουμε ξαναπεί. Τέθηκε σε ισχύ το Μάιο του 2018 και αφορά στον τρόπο με τον οποίο μπορεί κανείς να επεξεργάζεται τα προσωπικά δεδομένα άλλων νόμιμα, εφόσον τους έχει ενημερώσει για αυτό, εφόσον αυτοί έχουν δώσει τη συγκατάθεσή τους για αυτό, κλπ κλπ κλπ, και υπό κάποιους όρους όπως ότι η συγκατάθεση πρέπει να μπορεί να αρθεί ή ότι κανείς πρέπει να μπορεί να έχει πρόσβαση στα δεδομένα του, κλπ κλπ κλπ. Γενικά είναι ένα πλήρες κανονιστικό πλαίσιο για τους Ευρωπαίους πολίτες, κάτι που πριν είχαμε κάπως αποσπασματικά και, τελοσπάντων, στα Ελληνικά μπορείς να διαβάσεις σχετικά πολλά ωραία και έγκυρα στο Lawspot.

Η συγκατάθεση που δίνει το άτομο σε εκείνον που επεξεργάζεται τα δεδομένα του (ώστε να του επιτρέψει ρητά την επεξεργασία αυτή εφόσον το άτομο έχει ενημερωθεί πλήρως και επαρκώς) είναι μια βασική αρχή του GDPR. Αυτή την περίοδο βλέπουμε να εφαρμόζεται στο διαδίκτυο κατά κόρον η υπηρεσία Quantacast, η οποία έρχεται να δώσει μια αυτοματοποιημένη λύση και σε πρώτο επίπεδο δωρεάν λύση στο πρόβλημα της λήψης της συγκατάθεσης. Μέσα σε ένα καλοκαίρι έχει πάρει μάλιστα διαστάσεις μόδας. Πολλές μεγάλες ελληνικές ιστοσελίδες την έχουν υιοθετήσει. Αλλά την έχουν υιοθετήσει εντελώς λανθασμένα!

Ας δούμε το γιατί:

If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

ή

Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται.

Νομίζω ότι η παρακάτω εικόνα μιλά από μόνη της και αποδεικνύει πόσο δικαιολογημένα ή αδικαιολόγητα διαταράσσεται η χρήση της υπηρεσίας:

Για όποιον δεν πείθεται, ας κάνει μια προσπάθεια έστω να διαβάσει την πολιτική απορρήτου, αυτή που του εξηγεί υπό τι όρους δίνει τη συγκατάθεσή του. Δεν είναι και τόσο εύκολο μιας και πρέπει πρώτα να δώσει τη συγκατάθεσή του. Ινσέψιον; Όχι και τόσο. Μάλλον φαύλος κύκλος. Ιδού η ντροπαλή πολιτική προστασίας, κρυμμένη πίσω από την κουρτίνα της συγκατάθεσης:

Ακόμη ο GDPR ορίζει ότι:

In accordance with Council Directive 93/13/EEC (1) a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended.

ή

Σύμφωνα με την οδηγία 93/13/ΕΟΚ του Συμβουλίου, θα πρέπει να παρέχεται δήλωση συγκατάθεσης, διατυπωμένη εκ των προτέρων από τον υπεύθυνο επεξεργασίας σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, χωρίς καταχρηστικές ρήτρες. Για να θεωρηθεί η συγκατάθεση εν επιγνώσει, το υποκείμενο των δεδομένων θα πρέπει να γνωρίζει τουλάχιστον την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα προσωπικού χαρακτήρα.

Αν κάνει λοιπόν κάποιος την απόπειρα να μελετήσει τη σαφή και απλή διατύπωση αντιμετωπίζει κάτι τέτοιο (προσοχή στα scrollbars, έχει πολύ διάβασμα):

Ενώ αν προσπαθήσει να προσδιορίσει την ταυτότητα υπεύθυνου επεξεργασίας βρίσκεται αντιμέτωπος με κάτι τέτοιο (εδώ το scroll είναι για τενοντίτιδες):

Έχει πάει λοιπόν περίπατο η απλή και κατανοητή γλώσσα και η ενημέρωση του χρήστη σχετικά με το ποιος θα έχει πρόσβαση στα προσωπικά του δεδομένα και για ποιο λόγο. Ο χρήστης μπήκε για να διαβάσει ένα άρθρο στα γρήγορα και, αντί αυτού, του παρουσιάζουμε μια εξαντλητική λίστα όρων και ονομάτων εταιρειών που είναι πρακτικά αδύνατο να χειριστεί και να… επεξεργαστεί ο ίδιος. Αναγκαστικά λοιπόν θα δεχτεί τα πάντα. Ή δε θα δεχθεί τίποτα. Και οι δύο εκδοχές είναι μάλλον ανεπιθύμητες.

Η συγκατάθεσή του δηλαδή δε θα είναι αυτό:

‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

ή

«συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,

Η κορυφαία ασυνέπεια της παραπάνω αντιμετώπισης βέβαια δεν είναι κάποιο από τα παραπάνω. Έχει και χειρότερα. Η παρωδία αποκαλύπτεται ρίχνοντας κανείς μια κλεφτή ματιά πίσω από την κουρτίνα της συγκατάθεσης. Πίσω από την κουρτίνα όλα αυτά για τα οποία ο χρήστης ερωτάται για τη συγκατάθεσή του έχουν ήδη συντελεστεί. Οι διαφημίσεις έχουν τρέξει, τα scripts έχουν τρέξει και τα δεδομένα του έχουν μοιραστεί όπου επρόκειτο να μοιραστούν. Δηλαδή μια τρύπα στο νερό.

Disclaimer:

Να ξεκαθαρίσω ότι τα παραπάνω παραδείγματα δεν τα διάλεξα για να ξεχωρίσω την ιστοσελίδα που προφανώς εύκολα κανείςμπορεί να διακρίνει την ταυτότητά της. Η παραπάνω μεθοδολογία χρησιμοποιείται, όπως είπα και στην αρχή κατά κόρον στις μέρες μας. Διάολε, τη ζητάνε οι ίδιοι οι πελάτες που αντιγράφουν ο ένας τον άλλο!

Και είναι ξεκάθαρο ότι μερικά από τα πράγματα που ζητά ο GDPR, αν τα θεωρήσουμε με το κιλό, τότε η αγορά θα έχει μεγάλο πρόβλημα, κανένα site δε θα μπορεί με ένα απλό τρόπο να πάρει καν στατιστικά για τη χρήση του και αυτό για μια ενημερωτική ιστοσελίδα είναι πρόβλημα βιωσιμότητας. Για την ώρα περιμένουμε και τον ePrivacy που θα ξεκαθαρίσει πολλά.

Οι διαφημίσεις και ο διαμοιρασμός των δεδομένων του χρήστη για διαφημιστικούς λόγους είναι ένα άλλο πράγμα, βέβαια, που χρειάζεται πάρα πολύ προσοχή, ώστε ένα απολύτως απαραίτητο στοιχείο της αγορά, η διαφήμιση, να διενεργείται με τρόπο που να μην προσβάλει τα δικαιώματα των χρηστών.

Το GDPR μπαίνει για τα καλά στη ζωή μας από το Μάιο του 2018. Μέσα στη ζωή μας ήταν δηλαδή όλα αυτά τα χρόνια, ως Ευρωπαϊκή νομοθεσία σε περίοδο προσαρμογής, αλλά τώρα η νομοθεσία αυστηροποιείται, συμπυκνώνεται και συνοδεύεται από αυστηρά πρόστιμα. Έχει, δε, άμεση ισχύ από τις 25/05/2018.

Θα αφορά κάθε -μα κάθε- εταιρεία ή επαγγελματία, που με οποιονδήποτε τρόπο διαχειρίζεται προσωπικά δεδομένα άλλων ατόμων. Προσωπικά δεδομένα είναι ονόματα, διευθύνσεις (φυσικές και ηλεκτρονικές), φωτογραφίες και γενικά οτιδήποτε μπορεί να αξιοποιηθεί για την ταυτοποίηση ενός προσώπου.

Σκοπός του GDPR (General Data Protection Regulation) είναι πάνω απ’ όλα η προστασία του ατόμου και των προσωπικών του δεδομένων, η ενεργή ευαισθητοποίηση της αγοράς γύρω από τα ζητήματα αυτά, η τακτοποίηση θεμάτων εξαγωγής προσωπικών δεδομένων εκτός ΕΕ αλλά και η εναρμόνιση όλων των χωρών της ΕΕ υπό αυτό το ενιαίο καθεστώς.

Για το GDPR θα μιλήσουμε πολύ τον επόμενο καιρό, όμως αυτή τη στιγμή θα ήθελα να σου διαλύσω μερικούς μύθους που ήδη έχουν αρχίσει να κυκλοφορούν με τρόπο αρκετά προκλητικό και υπερβολικό. Μύθοι που αφορούν το τι είναι, τι δεν είναι, το τι πρέπει να κάνουμε για αυτό, το πόσο θα κοστίσει.

ΜΥΘΟΣ 1: Ο DATA PROTECTION OFFICER (DPO)

Κυκλοφορεί εσχάτως ο όρος “Data Protection Officer” για να προσδιορίσει τον άνθρωπο εκείνο μέσα σε μια εταιρεία, ο οποίος θα είναι γενικά υπεύθυνος για το πώς η εταιρεία εφαρμόζει σωστά τον κανονισμό. Στην πραγματικότητα είναι ένας ρόλος και όχι μια θέση. Παρουσιάζεται ως θέση από αυτούς που πωλούν χαρτιά, πιστοποιήσεις και σεμινάρια για να σε κάνουν… DPO. Γενικά η αγορά δεν έχει κάποια γενικά αποδεκτή περιγραφή για τον όρο αυτό και, αν τον αναζητήσετε στο διαδίκτυο, δε θα βρείτε τίποτα αντίστοιχο του CEO, του CTO, του CIO, κοκ.

ΜΥΘΟΣ 2: Ο DPO ΕΙΝΑΙ ΥΠΟΧΡΕΩΤΙΚΟ ΝΑ ΥΠΑΡΧΕΙ

Όχι δεν είναι υποχρεωτικό και δεν είναι υποχρεωτικό αυτός να είναι οργανικό μέλος της εταιρείας. Όμως, ναι, η εταιρεία οφείλει να έχει δηλωμένη πολιτική επεξεργασίας προσωπικών δεδομένων και ως προς αυτό ο νόμος είναι πράγματι αυστηρός.  Άλλο όμως το ένα και άλλο το άλλο. Εικάζω ότι μόνο οι πολύ μεγάλες εταιρείες και πολυεθνικές, ακριβώς λόγω του μεγέθους τους, θα θελήσουν να καλύψουν αυτό το ρόλο αυτό εσωτερικά. Οι υπόλοιπες είτε θα το κάνουν outsource είτε θα το καλύψουν με τα υπάρχοντα άτομά τους.

ΜΥΘΟΣ 3: Η ΠΙΣΤΟΠΟΙΗΣΗ

Εδώ τραβάμε τα μαλλιά μας. Κυκλοφορούν ήδη πιστοποιήσεις για τον παραπάνω ρόλο. Περιττό είναι να πούμε ότι οι  πιστοποιήσεις αυτές έχουν τόση αξία όση το χαρτί πάνω στο οποίο τυπώνονται. Δεν υπάρχει κανενός είδους επίσημη αναγνώριση για αυτές τις πιστοποιήσεις, εγχώρια ή Ευρωπαϊκή. Πρόκειται για μια αγορά που στήνεται γύρω από ένα κατά τα άλλα υπαρκτό ζήτημα αλλά με σκοπό την κερδοσκοπία.

ΜΥΘΟΣ 4: ΤΟ “ΣΥΣΤΗΜΑ” ΚΑΙ ΤΟ ΚΟΣΤΟΣ ΤΟΥ

Το σύστημα! Κυκλοφορούν άρθρα από μεγάλα ειδησεογραφικά website και αναφέρουν πράγματα όπως ότι “Έως τις 25 Μαΐου, θα πρέπει όλες οι εταιρείες που διαχειρίζονται προσωπικά δεδομένα, να εντάξουν ένα ηλεκτρονικό σύστημα προστασίας των δεδομένων, όπως ισχύει σε άλλες χώρες της ΕΕ. Το νέο σύστημα κοστίζει 5.000-6.000€”. Σας διαβεβαιώ ότι ένα τέτοιο καθολικό σύστημα διαχείρισης και προστασίας προσωπικών δεδομένων πολύ απλά δεν υπάρχει. Και δεν είναι σχήμα λόγου αυτό. Δεν υπάρχει!

Αν θες να πάρεις έγκυρη πληροφορία για το GDPR μπορείς να διαβάζεις το Lawspot αλλά και τον επίσημο σχετικό ιστότοπο της Ευρωπαϊκής Ένωσης. Ακόμη, καλό θα είναι να διαβάζεις τις υπερβολές με λίγη καχυποψία.

Τελικά το GDPR είναι κάτι σημαντικό και είναι βέβαιο ότι θα μας απασχολήσει μέσα στο 2018. Κι αυτό είναι καλό. Θα πρέπει όμως να μας απασχολήσει επιτέλους στα σοβαρά και με σοβαρό τρόπο, χωρίς υπερβολές και ακρότητες. Τον επόμενο καιρό θα έχουμε να πούμε πολλά σχετικά, γι’ αυτό μείνετε συντονισμένοι.

[photo credit]