Γράφει ο Γιώργος Καρανταΐδης, υπ. Διδάκτωρ Α.Π.Θ. στην Επεξεργασία Σήματος και Ανάλυση Πληροφοριών,
Μηχανικός, MSc

Πολλές συζητήσεις έχουν γίνει σχετικά με το κατά πόσο τα προσωπικά μας δεδομένα στο Διαδίκτυο είναι ασφαλή και αν νομίμως αποκτώνται και επεξεργάζονται από μεγάλες εταιρίες του χώρου. Πριν μερικά χρόνια ξεκίνησαν κάποιες ενέργειες σχετικά με την επιβολή του νόμου περί απορρήτου δεδομένων στον ευρωπαϊκό χώρο σε μεγάλες εταιρείες, όπως τη Facebook.

Το 2013, η Γαλλία δημοσίευσε κανόνες που επιβεβαιώνουν ότι η χρήση των cookies απαιτεί τη συγκατάθεση του χρήστη. Στη συνέχεια, όμως, αποκαλύφθηκε ότι η Facebook είχε τοποθετήσει cookies τόσο στα προγράμματα περιήγησης των χρηστών όσο και των επισκεπτών, χωρίς καμία πρότερη ενημέρωση.

Η Ομάδα Επαφών των Αρχών Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (Contact Group), η οποία ιδρύθηκε το 2014 για να αντιμετωπίσει αυτό το ζήτημα, ισχυρίστηκε ότι οι αντίστοιχοι εθνικοί νόμοι περί προστασίας δεδομένων ισχύουν για την επεξεργασία προσωπικών δεδομένων χρηστών και μη χρηστών από τη Facebook. Η Facebook, ωστόσο, αμφισβήτησε την εξουσία τους.

Στις 16 Μαΐου 2017, η CNIL ανακοίνωσε ότι είχε επιβάλει πρόστιμο από κοινού στην Facebook Inc. και στην Facebook Ireland 150.000 ευρώ για παραβίαση του Γαλλικού Νόμου περί Προστασίας Δεδομένων, συλλέγοντας τεράστιο αριθμό προσωπικών δεδομένων των χρηστών και χρησιμοποιώντας cookies για τη λήψη πληροφοριών συμπεριφοράς, χωρίς επαρκή ενημέρωση των χρηστών. Οι DPA (Data Protection Authorities) επεσήμαναν την παρουσία πολλαπλών γραφείων Facebook στην Ευρωπαϊκή Ένωση και τη στοχευμένη διαφήμισή τους σε χρήστες και μη χρήστες στην Ε.Ε. Διεξήχθησαν επίσης έρευνες από το Βέλγιο, τις Κάτω Χώρες, τη Γερμανία και την Ισπανία για παραβιάσεις απορρήτου δεδομένων σχετικά με την παρακολούθηση χρηστών και μη χρηστών και τη χρήση δεδομένων χρήστη για στοχευμένη διαφήμιση.

Τον Σεπτέμβριο του 2017, το ισπανικό DPA επέβαλε πρόστιμο στη Facebook συνολικά 3 εκατομμυρίων ευρώ για τις παραβιάσεις της. Τον Μάιο του 2017, το Ολλανδικό DPA κατέληξε στο συμπέρασμα ότι το Facebook είχε παραβιάσει το νόμο περί απορρήτου και το DPA διατηρεί το δικαίωμα να επιβάλει κυρώσεις αργότερα.

Τον Φεβρουάριο του 2018, ένα βελγικό δικαστήριο διέταξε τη Facebook να σταματήσει να παραβιάζει τους νόμους περί απορρήτου παρακολουθώντας άτομα σε ιστότοπους τρίτων απειλώντας με πρόστιμο από 250.000 ευρώ την ημέρα έως 125 εκατομμύρια ευρώ, εάν δεν συμμορφωθεί με την απόφαση του δικαστηρίου.

Τον Φεβρουάριο του 2018, το γερμανικό περιφερειακό δικαστήριο στο Βερολίνο αποφάσισε ότι η Facebook απέτυχε να παράσχει αρκετές πληροφορίες στους χρήστες για να λάβουν συναίνεση μετά από ενημέρωση και ότι τα προεπιλεγμένα πλαίσια επιλογής του Facebook παραβίαζαν τη γερμανική νομοθεσία περί προστασίας της ιδιωτικής ζωής και των δεδομένων. Οι παραβιάσεις αφορούσαν την «ποιότητα των πληροφοριών που παρέχονται στους χρήστες, την εγκυρότητα της συγκατάθεσης και την επεξεργασία προσωπικών δεδομένων για διαφημιστικούς σκοπούς».

Οι γαλλικές αρχές ανέφεραν ότι η Facebook χρησιμοποιούσε cookies για τη συλλογή δεδομένων περιήγησης των χρηστών του Διαδικτύου χωρίς τη γνώση ή τη συγκατάθεσή τους. Η Facebook ισχυρίστηκε ότι υπόκεινται μόνο στους νόμους περί προστασίας της ιδιωτικής ζωής και των δεδομένων της Ιρλανδίας όπου βρίσκεται η ευρωπαϊκή θυγατρική της. Το ECJ (European Court of Justice) αποφάσισε το αντίθετο, δηλαδή ότι μια εταιρεία (σε αυτήν την περίπτωση, η Facebook) ενδέχεται να υπόκειται στη νομοθεσία περί προστασίας δεδομένων της χώρας όπου έχει την έδρα της (σε αυτήν την περίπτωση στην Γερμανία), ακόμη και όταν η ευθύνη για τη συλλογή και επεξεργασία δεδομένων για όλη την Ευρωπαϊκή Ένωση κατέχεται από μια αδελφική εταιρεία σε άλλο κράτος μέλος της Ε.Ε (στην περίπτωση αυτή στην Ιρλανδία).

Όπως γίνεται αντιληπτό, τα Γραφεία Προστασίας Δεδομένων της Ε.Ε έχουν επιβάλει σθεναρά τις απαιτήσεις τους σχετικά με τις παραβιάσεις των εθνικών νόμων περί προστασίας δεδομένων κατά τα τελευταία χρόνια, κατά εταιρειών τεχνολογίας όπως η Facebook. Από το χρονικό της δικαστικής πορεία της εν λόγω εταιρείας διακρίνεται πως οι διαφορές στο δίκαιο και την ιδεολογία της ιδιωτικής ζωής και της προστασίας των δεδομένων των ΗΠΑ και της Ε.Ε έχουν οδηγήσει σε μεγάλη απόκλιση στις ενέργειες επιβολής ανά τόπο.

Φαίνεται λοιπόν, ότι λόγω των παραπάνω, από τις 25 Μαΐου 2018 που επιβλήθηκε η εξωεδαφική εφαρμογή του GDPR, οι αμερικανικές εταιρείες χρειάστηκε να αλλάξουν πολλά προκειμένου να επεξεργάζονται νόμιμα τα δεδομένα των χρηστών τους στην Ε.Ε και σύμφωνα με τις απαιτήσεις του GDPR, ώστε να αποφύγουν τα τεράστια πρόστιμα. Το GDPR έχει δώσει εντολή για ένα εντελώς νέο επιχειρηματικό μοντέλο τεχνολογίας σε αυτές τις εταιρείες που λειτουργούν για πάνω από μια δεκαετία με πολύ χαλαρούς περιορισμούς.

Πηγή:

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3212210