ΑΠΔΠΧ 66/2018 : η εφαρμογή Viber αποτελεί υπηρεσία της Κοινωνίας της Πληροφορίας , όπως αυτή ορίζεται στο άρθρο 4 περ. 25 του ΓΚΠΔ και όχι υπηρεσία ηλεκτρονικών επικοινωνιών σε δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών. Συνεπώς, η εξέταση της νομιμότητας της αποστολής του διαφημιστικού μηνύματος της 24/5/2018 πρέπει να γίνει με βάση τις διατάξεις του ν. 2472/1997, ενώ η μετά τις 25/5/2018 τήρηση και χρήση του αριθμού τηλεφώνου για διαφημιστικό σκοπό και η ισχύς τυχόν συγκατάθεσης του υποκειμένου των δεδομένων κρίνεται με βάση τις διατάξεις του ΓΚΠΔ.

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Αθήνα, 09-11-2018
Αριθ. Πρωτ.: Γ/ΕΞ/8841/09-11-2018

Α Π Ο Φ Α Σ Η ΑΡ. 66/2018
(Τμήμα)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τμήματος στην έδρα της την Τετάρτη 7 Νοεμβρίου 2018 μετά από πρόσκληση του Προέδρου της, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Γεώργιος Μπατζαλέξης, Αναπληρωτής Πρόεδρος, κωλυομένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, το τακτικό μέλος της Αρχής Κωνσταντίνος Λαμπρινουδάκης και τα αναπληρωματικά μέλη Παναγιώτης Ροντογιάννης ως εισηγητής και Γρηγόριος Τσόλιας σε αναπλήρωση των τακτικών μελών Αντώνιου Συμβώνη και Χαράλαμπου Ανθόπουλου, οι οποίοι, αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος. Στη συνεδρίαση παρέστη, με εντολή του Προέδρου, ο Γεώργιος Ρουσόπουλος, ειδικός επιστήμονας – ελεγκτής ως βοηθός εισηγητή. Επίσης, παρέστη, με εντολή του Προέδρου, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του Διοικητικού Τμήματος της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα παρακάτω:
Υποβλήθηκε στην Αρχή η υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/4232/29-05-2018 καταγγελία του A. Σύμφωνα με αυτή, ο καταγγέλλων έλαβε στις 24/5/2018 μήνυμα από την «Πιτσουλάκης – Ρομπογιαννάκης Ο.Ε.» (εφεξής και υπεύθυνος επεξεργασίας), μέσω της εφαρμογής Viber, το οποίο ανέφερε ότι η εταιρεία τον ευχαριστεί για τη συγκατάθεσή του και ότι θα συνεχίσει να τον ενημερώνει για ειδικές προσφορές, τεχνολογικά νέα, events και διαγωνισμούς. Ο
Λ. Κηφισίας 1-3, 11523 Αθήνα, Τηλ.: 210-6475600, Fax: 210-6475628, contact@dpa.gr, www.dpa.gr
καταγγέλλων αναφέρει ότι δεν υπήρξε συγκατάθεση για τη συλλογή του αριθμού του ούτε για τη συνέχεια της αποστολής των μηνυμάτων. Η Αρχή με το υπ’ αριθμ. πρωτ. Γ/ΕΞ/4232- 1/25-06-2018 έγγραφό της απέστειλε αντίγραφο της καταγγελίας στον υπεύθυνο επεξεργασίας, ο οποίος υπέβαλλε τις απόψεις του με το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/20-07-2018 έγγραφό του.
Με το έγγραφό αυτό ο υπεύθυνος επεξεργασίας υποστηρίζει, συνοπτικά, ότι ο καταγγέλλων εσφαλμένα αναφέρει ότι δεν υπήρξε συγκατάθεση στη συλλογή του αριθμού του, καθώς χορήγησε ο ίδιος τον αριθμό του τηλεφώνου του στην εταιρεία, στο πλαίσιο προηγούμενων συναλλαγών και ότι έλαβε τη συγκατάθεσή του για την αποστολή διαφημιστικών μηνυμάτων μέσω της διαδικασίας 4 σταδίων της εφαρμογής “Viber Business”, η οποία διαδικασία εξασφαλίζει τις προϋποθέσεις νομιμότητας. Ο υπεύθυνος επεξεργασίας θεωρεί ότι για την αποστολή μηνυμάτων μέσω της εφαρμογής Viber εφαρμόζεται η διάταξη του αρ. 11 παρ. 3 του ν. 3471/2006, η οποία του δίνει τη δυνατότητα, υπό προϋποθέσεις, να αποστέλλει διαφημιστικά μηνύματα σε πελάτες του.
Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου, αφού άκουσε τον εισηγητή και τις διευκρινίσεις του βοηθού εισηγητή, ο οποίος αποχώρησε μετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και κατόπιν διεξοδικής συζήτησης,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Το άρθρο 2 του ν. 2472/1997 ορίζει ότι «δεδομένα προσωπικού χαρακτήρα» είναι «κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων». «Υποκείμενο των δεδομένων» είναι «το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα, και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική». Στο πλαίσιο αυτό, ο αριθμός τηλεφώνου ενός φυσικού προσώπου αποτελεί προσωπικό δεδομένο, αφού μπορεί να λειτουργήσει ως στοιχείο έμμεσης αναγνώρισης του κατόχου του, επιτρέποντας την επικοινωνία με αυτόν. Επισημαίνεται δε ότι, σύμφωνα και με τη Γνώμη 4/2007 της ομάδας εργασίας του άρθρου 29 της Ε.Ε. σχετικά με την έννοια των προσωπικών δεδομένων, ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έμμεσης αναγνώρισης, μπορούν επαρκώς σε ορισμένες περιπτώσεις να διακρίνουν ένα άτομο από άλλα στο πλαίσιο ενός συγκεκριμένου συνόλου, ακόμα και αν δεν έχει γίνει η εξακρίβωση του ονόματός του.
Σύμφωνα με το άρθρο 2 στοιχ. ζ) ν. 2472/1997, ως “υπεύθυνος επεξεργασίας”, ορίζεται κάθε φυσικό ή νομικό πρόσωπο που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Αντίστοιχοι ορισμοί τόσο για τα δεδομένα προσωπικού χαρακτήρα όσο και για τον υπεύθυνο επεξεργασίας προβλέπονται και στο άρθρο 4 παρ. 1 και παρ. 7 του Κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ) ο οποίος έχει τεθεί σε εφαρμογή από τις 25/5/2018.
2. Στο άρθρο 5 του ν. 2472/1997 προβλέπεται ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του (παρ. 1) και κατ’ εξαίρεση χωρίς συγκατάθεση, όταν «είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών» (παρ. 2 εδαφ. ε’). Αντίστοιχα, στο άρθρο 6 παρ. 1 του ΓΚΠΔ προβλέπονται ως προϋποθέσεις για το σύννομο μιας επεξεργασίας η συναίνεση του υποκειμένου των δεδομένων για έναν ή περισσότερους συγκεκριμένους σκοπούς (εδάφ. α’) και το υπέρτερο έννομο συμφέρον του υπεύθυνου επεξεργασίας (εδάφ. στ’).
3. Στο άρθρο 2 παρ. ια’ του ν. 2472/1997 ορίζεται ως συγκατάθεση του υποκειμένου των δεδομένων «κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή, και εν πλήρη επιγνώσει, και με την οποία, το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν…». Αντίστοιχος ορισμός απαντάται και στο άρθρο 4 παρ. 11 του ΓΚΠΔ, ενώ στο άρθρο 7 του εν λόγω Κανονισμού ορίζονται πρόσθετες υποχρεώσεις για τη συγκατάθεση, όπως για παράδειγμα ότι όταν «η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα» (παρ. 2).
4. Στο άρθρο 3 του ν. 3471/2006 ορίζεται ότι το πεδίο εφαρμογής του εν λόγω νόμου περιλαμβάνει «την επεξεργασία δεδομένων προσωπικού χαρακτήρα και τη διασφάλιση του απορρήτου των επικοινωνιών, στο πλαίσιο της παροχής διαθεσίμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών». Στο πλαίσιο αυτό, όταν η επεξεργασία συνίσταται σε απευθείας εμπορική προώθηση προϊόντων και υπηρεσιών για διαφημιστικούς σκοπούς με αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου (στα οποία περιλαμβάνονται και τα SMS) μέσω υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα ηλεκτρονικών επικοινωνιών, τυγχάνει εφαρμογής το ειδικότερο άρθρο 11 ν. 3471/2006 για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες. Ειδικότερα, σύμφωνα με την παρ. 1 του παραπάνω άρθρου, «η χρησιμοποίηση αυτόματων συστημάτων κλήσης, ιδίως με χρήση συσκευών τηλεομοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδρομείου, και γενικότερα η πραγματοποίηση μη ζητηθεισών επικοινωνιών με οποιοδήποτε μέσο ηλεκτρονικής επικοινωνίας χωρίς ανθρώπινη παρέμβαση, για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, επιτρέπεται μόνο αν ο συνδρομητής συγκατατεθεί εκ των προτέρων ρητώς». Η Αρχή με την Οδηγία 2/2011 για την ηλεκτρονική συγκατάθεση περιγράφει αναλυτικά τις προϋποθέσεις και τους τρόπους νόμιμης λήψης της συγκατάθεσης με ηλεκτρονικά μέσα για τους σκοπούς της ανωτέρω διάταξης. Μοναδική εξαίρεση στην υποχρέωση λήψης προηγούμενης συγκατάθεσης αποτελεί, σύμφωνα με την παρ. 3 του ίδιου άρθρου, η περίπτωση κατά την οποία τα στοιχεία επαφής ηλεκτρονικού ταχυδρομείου αποκτήθηκαν νομίμως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής και χρησιμοποιούνται για την απευθείας προώθηση παρόμοιων προϊόντων ή υπηρεσιών του προμηθευτή ή για την εξυπηρέτηση παρόμοιων σκοπών και υπό τις λοιπές προϋποθέσεις που θέτει η συγκεκριμένη παράγραφος.
5. Για την αποστολή διαφημιστικού μηνύματος μέσω της εφαρμογής Viber πραγματοποιείται επεξεργασία του αριθμού τηλεφώνου. Η αποστολή τέτοιων μηνυμάτων, κατά το χρόνο της αποστολής του καταγγελλόμενου μηνύματος ρυθμιζόταν από το ν. 2472/1997 ενώ μετά τις 25/5/2018 εμπίπτει στο πεδίο εφαρμογής του Κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ) και όχι στο πεδίο εφαρμογής του ν. 3471/2006. Και τούτο διότι η εφαρμογή «Viber» αποτελεί «υπηρεσία της κοινωνίας των πληροφοριών» και όχι υπηρεσία ηλεκτρονικών επικοινωνιών σε δημόσιο δίκτυο ηλεκτρονικών επικοινωνιών. Συνεπώς, η εξέταση της νομιμότητας της αποστολής του εν λόγω μηνύματος πρέπει να γίνει με βάση τις διατάξεις του ν. 2472/1997, ενώ η μετά τις 25/5/2018 τήρηση και χρήση του αριθμού τηλεφώνου για διαφημιστικό σκοπό και η ισχύς τυχόν συγκατάθεσης του υποκειμένου των δεδομένων κρίνεται με βάση τις διατάξεις του ΓΚΠΔ. Ειδικότερα, η νομιμότητα της εν λόγω επεξεργασίας μπορεί να βασιστεί είτε στη συγκατάθεση του υποκειμένου της επεξεργασίας είτε στο υπέρτερο έννομο συμφέρον του υπευθύνου επεξεργασίας. Ειδικά για την τελευταία περίπτωση, προκειμένου να κριθεί ότι η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας και να εξασφαλίζονται τα δικαιώματα των υποκειμένων των δεδομένων, λαμβάνοντας υπόψη ότι η αποστολή των μηνυμάτων αυτών προσομοιάζει στην αποστολή μηνυμάτων SMS σε δημόσια δίκτυα τηλεφωνίας, είναι απαραίτητο να πληρούνται τουλάχιστον οι ίδιες προϋποθέσεις με αυτές που περιγράφονται στο αρ. 11 παρ. 3 του ν. 3471/2006.
6. Εν προκειμένω, από τα στοιχεία του φακέλου της υπόθεσης προκύπτει ότι ο καταγγέλλων είχε στο παρελθόν συναλλαγή με τον υπεύθυνο επεξεργασίας, στο πλαίσιο της οποίας του χορήγησε τον αριθμό του κινητού του τηλεφώνου. Όμως, το υποκείμενο της επεξεργασίας (και πελάτης του υπευθύνου) δεν ενημερώθηκε κατά το στάδιο της χορήγησης του τηλεφωνικού του αριθμού για τις περαιτέρω χρήσεις του αριθμού αυτού και ιδίως για το γεγονός ότι ο αριθμός θα χρησιμοποιηθεί για προώθηση προϊόντων και υπηρεσιών.
Περαιτέρω, η εντός της εφαρμογής «viber» αποδοχή της λήψης μηνυμάτων από τον υπεύθυνο επεξεργασίας, μέσω της χρήσης της υπηρεσίας «viber business» δεν μπορεί να θεωρηθεί ως συγκατάθεση, καθώς, δεν πληροί τα κριτήρια της συγκατάθεσης όπως περιγράφονται στο άρθρο 2 παρ. ια’ του ν. 2472/1997 (αλλά ούτε στο αρ. 4 παρ. 11 του ΓΚΠΔ). Και τούτο διότι προκύπτει ότι το υποκείμενο των δεδομένων, κατά τη συλλογή των δεδομένων, δεν είχε ενημερωθεί κατάλληλα για το σκοπό της επεξεργασίας, ήτοι την προώθηση προϊόντων και υπηρεσιών της εταιρείας, ενώ ούτε κατά την αποστολή του μηνύματος προσδιορίζεται επαρκώς ο σκοπός της αποστολής αυτής, αν για παράδειγμα είναι για την εξυπηρέτηση της πελατειακής σχέσης ή για την αποστολή διαφημιστικών μηνυμάτων. Συνεπώς, η χρήση της διαδικασίας τεσσάρων σταδίων, όπως περιγράφεται στο υπόμνημα του υπευθύνου επεξεργασίας, δεν διασφαλίζει τη νομιμότητα της αρχικής χρήσης (συλλογής) του αριθμού τηλεφώνου, κατά την οποία δεν υπήρξε κατάλληλη ενημέρωση του υποκειμένου των δεδομένων για τους σκοπούς της επεξεργασίας.
7. Συνεπώς, διαπιστώνεται παράβαση του ν. 2472/1997 λόγω της επεξεργασίας του αριθμού τηλεφώνου πελάτη για την αποστολή μηνύματος μέσω της ηλεκτρονική εφαρμογής «viber», χωρίς κατάλληλη ενημέρωση του παραλήπτη, παράβαση η οποία συντελέστηκε σε χρόνο κατά τον οποίο δεν είχε τεθεί σε εφαρμογή ο ΓΚΠΔ. Περαιτέρω, καθώς ο υπεύθυνος επεξεργασίας φαίνεται ότι εφάρμοσε την εν λόγω διαδικασία αποστολής μηνύματος προκειμένου να λάβει συγκατάθεση η οποία θα ήταν εν ισχύ και μετά τις 25/5/2018, ο εν λόγω αριθμός τηλεφώνου τηρήθηκε μη νόμιμα για σκοπό προώθησης προϊόντων και υπηρεσιών όχι μόνο πριν αλλά και μετά τις 25/5/2018. Λαμβάνοντας υπόψη τη βαρύτητα της παράβασης και το γεγονός ότι δεν υπήρξε άλλο παράπονο κατά του υπευθύνου επεξεργασίας, η Αρχή κρίνει ότι πρέπει να απευθύνει σχετική επίπληξη στον υπεύθυνο
επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδαφ. α’ του ΓΚΠΔ.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:
Απευθύνει, επίπληξη στον υπεύθυνο επεξεργασίας για μη νόμιμη επεξεργασία αριθμού τηλεφώνου, όπως αυτή περιγράφεται στο σκεπτικό της παρούσης.
Ο Αναπληρωτής Πρόεδρος Η γραμματέας
Γ εώργιος Μπατζαλέξης Ειρήνη Παπαγεωργοπούλου
www.dpa.gr/