alampasis@gmail.com

Κυριακή, 6 Νοεμβρίου 2016

Πρακτικές παραβίασης της ιδιωτικότητας από το facebook: Η απάντηση της Ευρωπαϊκής Επιτροπής για τις λειτουργίες "last active" και "seen" του Facebook


Το "last active" στην εφαρμογή  facebook mobile για smartphones:  Είναι η χρονική σφραγίδα (time stamp) στην εφαρμογή facebook mobile , από την οποία οι φίλοι σου πληροφορούνται, χωρίς την έγκρισή σου, την τελευταία  σύνδεση ("last active") που έκανες στο facebook από το κινητό σου τηλέφωνο (εικόνα 1).

Το "seen" στα μηνύματα του facebook messenger:  Πρόκειται για τη  λειτουργία «διαβάστηκε» ("seen") στα μηνύματα που ανταλλάσεις με τους φίλους σου στο facebook, από την οποία οι φίλοι σου πληροφορούνται, χωρίς την έγκρισή σου, τον ακριβή χρόνο που το μήνυμα αναγνώστηκε (εικόνα 2).

Στις 22/01/2013 υπέβαλα έγγραφη καταγγελία προς την Ευρωπαϊκή Επιτροπή για  παραβίαση του κοινοτικού δικαίου εκ μέρους της Ιρλανδίας ή/και της Ελλάδας, σε σχέση με πρακτικές σοβαρής παραβίασης της ιδιωτικότητας  στο κοινωνικό δίκτυο facebook, από την εταιρία με την επωνυμία "FACEBOOK Ireland Limited" με την οποία συμβάλλονται οι Ευρωπαίοι χρήστες. Η καταγγελία κατά Ελλάδας ή /και Ιρλανδίας  αφορούσε στις λειτουργίες "last active" και  "seen" στην εφαρμογή  facebook mobile για smartphones. Η καταγγελία  καταχωρήθηκε στην Επιτροπή των Ευρωπαϊκών Κοινοτήτων στις 12/02/2013, με  αριθμό πρωτοκόλλου CHAP(2013)00241. Σημειωτέων ότι η καταγγελία δεν στράφηκε κατά της facebook αλλά κατά Ελλάδας/Ιρλανδίας  ("Παράβαση εκ μέρους της Ιρλανδίας ή/και της Ελλάδας με παραβίαση των υποχρεώσεών της/ους που απορρέουν από το κοινοτικό δίκαιο...  σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ... για την αντιμετώπιση πρακτικών σοβαρής παραβίασης της ιδιωτικότητας από την εταιρία "FACEBOOK Ireland Limited") . [Η καταγγελία προς την Ευρωπαϊκή Επιτροπή, εδώ ]

Με αίτηση ασφαλιστικών μέτρων κατά της facebook  - άρθρα  14 Ν 2472/1997 (Προστασία ατόμου από την επεξεργασία προσωπικών δεδομένων) και  57 ΑΚ (προστασίας της  προσωπικότητας) -  που απευθύνθηκε στο Μονομελές Πρωτοδικείο Αθηνών, ζητήθηκε  να διαταχθούν ασφαλιστικά μέτρα για την προσωρινή προστασία του δικαιώματός  επί της προσωπικότητας με την προσωρινή ρύθμιση της κατάστασης που δημιουργήθηκε.  Συγκεκριμένα,  οι  αιτούντες δικηγόροι, Θανάσης Αλαμπάσης και Σπυρίδων Αδάμ,  ζητήσαμε να γίνει δεκτή η από 19/03/2013 αίτησή μας ασφαλιστικών μέτρων, της οποίας η συζήτηση προσδιορίστηκε για την δικάσιμο της 12ης Ιουλίου 2013, με την οποία ισχυριστήκαμε ότι από τις λειτουργίες «last active» και «seen» τις οποίες η facebook έχει ενεργοποιήσει στους λογαριασμούς μας, προσβάλλεται το δικαίωμα μας επί της προσωπικότητάς μας, διότι δεν μας δίνει τη δυνατότητα απενεργοποίησής τους, με αποτέλεσμα να κοινοποιούνται σε τρίτους, προσωπικά μας δεδομένα σχετικά με τον ακριβή χρόνο χρήσης της υπηρεσίας από τα κινητά μας τηλέφωνα, καθώς και τον ακριβή χρόνο ανάγνωσης των άμεσων ηλεκτρονικών μηνυμάτων που λαμβάνουμε από άλλους χρήστες μέσω της υπηρεσίας της καθ ης facebook. Ζητήσαμε για τους λόγους αυτούς, να διατάξει το Δικαστήριο ως ασφαλιστικό μέτρο την προσωρινή ρύθμιση της κατάστασης, ήτοι να υποχρεωθεί προσωρινά η facebook να απενεργοποιήσει  από τους λογαριασμούς που διατηρούμε στην υπηρεσία της τις λειτουργίες:  (α)  τη  χρονική σφραγίδα (time stamp) στην εφαρμογή facebook mobile, από την οποία οι φίλοι μας πληροφορούνται, χωρίς την έγκρισή μας, την τελευταία  σύνδεση ("last active") που πραγματοποιήσαμε στο facebook από τα  κινητά μας τηλέφωνα  και (β)  τη λειτουργία «διαβάστηκε» ("seen") στα μηνύματα που ανταλλάσσουμε με τους φίλους μας στο facebook, από την οποία οι φίλοι μας  πληροφορούνται, χωρίς την έγκρισή μας, τον ακριβή χρόνο που το μήνυμα αναγνώστηκε.

Κατά τη συζήτηση της υπόθεσης και κατά την εκφώνηση της από το οικείο έκθεμα η  καθ' ης "FACEBOOK Ireland Limited", δεν εμφανίστηκε ούτε εκπροσωπήθηκε ενώπιον του Δικαστηρίου και κατά συνέπεια  δικάστηκε ερήμην, αν και αποδείχθηκε ότι ακριβές αντίγραφο της υπό κρίση αίτησης στην ελληνική γλώσσα και σε μετάφραση στην αγγλική γλώσσα, επιδόθηκε νομότυπα και εμπρόθεσμα την 16-4-2013 στην καθ' ης η αίτηση αλλοδαπή εταιρεία κατά το Ιρλανδικό Δίκαιο.

Μετά από (αυτεπάγγελτη) έρευνα του Δικαστηρίου στο διαδίκτυο (!) πιθανολογήθηκε, μεταξύ άλλων,  ότι «μεταξύ των αιτούντων ως χρηστών των υπηρεσιών “facebook” και της καθ' ης έχει καταρτιστεί σύμβαση, η οποία περιέχει ρήτρα παρέκτασης διεθνούς δικαιοδοσίας υπέρ των Δικαστηρίων της Ιρλανδίας σχετικά με “οποιαδήποτε αξίωση, άσκηση αγωγής ή διαφορά (διεκδίκηση) που προκύπτει μεταξύ των μερών και απορρέει από ή σχετίζεται με τον ιστότοπο facebook...” για τους χρήστες που κατοικούν στην Ευρώπη». Το δικαστήριο  διαπίστωσε αυτεπάγγελτα την έλλειψη διεθνούς δικαιοδοσίας του εντοπίζοντας στον ιστότοπο  της facebook (!) τους όρους με αριθμούς 16.1 και 19.1 της ως άνω δήλωσης δικαιωμάτων  και  υποχρεώσεων, που  αποτελεί τους γενικούς όρους συναλλαγών της υπηρεσίας που αποδέχονται όλοι οι χρήστες.  Το δικαστήριο δλδ διαπίστωσε αυτεπάγγελτα την έλλειψη διεθνούς δικαιοδοσίας του χωρίς η facebook να έχει προτείνει την  ένσταση της έλλειψης διεθνούς δικαιοδοσίας των ελληνικών δικαστηρίων.

Όμως έτσι που έκρινε το Δικαστήριο έσφαλε, αφού, μεταξύ άλλων, σε περίπτωση εκδίκασης της υπόθεσης χωρίς κλήτευση του αντιδίκου (687 παρ 1) ή απουσίας του διαδίκου που έχει κλητευθεί δεν υφίσταται κατά το ισχύον στα ασφαλιστικά μέσα ανακριτικό σύστημα, δυνατότητα του δικαστηρίου να λάβει υπόψη του ισχυρισμό που στηρίζει ένσταση, ο όποιος δεν έχει προταθεί (Βαθρακοκοίλης αρθρ. 691/ 90, αλλιώς Μπέης, αρθρ. 691/102-103).  Η αυτεπάγγελτη δυνατότητα του δικαστηρίου δεν είναι απεριόριστη και δεν εκτείνεται και έως τη χρησιμοποίηση των ιδιωτικών γνώσεών του, η οποία θα προσέκρουε στην αρχή της ισότητας των μερών και την αρχή της εκατέρωθεν ακρόασης (ΑΠ 1509/82 Δνη 24/450). [Εκτενής σχολιασμός της απόφασης, εδώ]

Την 28 Οκτωβρίου 2016 μου κοινοποιήθηκε ηλεκτρονικά η με αριθμό Ref. Ares (2016) 6177887- 28/10/2016 απάντηση της ΕΥΡΩΠΑΪΚΗΣ ΕΠΙΤΡΟΠΗΣ (Γενική Διεύθυνση Δικαιοσύνης και Καταναλωτών, Διεύθυνση C: Θεμελιώδη δικαιώματα και κράτος δικαίου,   Μονάδα C.3: Προστασία δεδομένων), με θέμα  "Ελλάδα/Ιρλανδία - Παράβαση των οδηγιών 95/46 και 2002/58 από την εταιρεία Facebook Ireland Limited λόγω λειτουργιών εφαρμογών", τα σημαντικότερα σημεία της οποίας είναι,

1.  Η Ευρωπαϊκή Επιτροπή γνωρίζει ότι η όλο και μεγαλύτερη χρήση των ηλεκτρονικών εφαρμογών μπορεί να συνεπάγεται σημαντικούς κινδύνους για την ιδιωτική ζωή και τη φήμη των χρηστών έξυπνων συσκευών και υπογραμμίζει ότι οι εφαρμογές κινητών για έξυπνα τηλέφωνα πρέπει να συνάδουν με τις απαιτήσεις του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, όπως αναγνωρίζεται στα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ και στο άρθρο 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου. Κάθε τέτοια δραστηριότητα επεξεργασίας πρέπει να συμμορφώνεται, ιδίως, με τις απαιτήσεις που ορίζονται στην οδηγία 95/46/ΕΚ3 για την προστασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.  Ειδικότερα, τα δεδομένα προσωπικού χαρακτήρα πρέπει να αποτελούν αντικείμενο επεξεργασίας για νόμιμους λόγους, για συγκεκριμένο σκοπό και ο όγκος των δεδομένων που υποβάλλονται σε επεξεργασία πρέπει να είναι ανάλογος προς τον επιδιωκόμενο στόχο.

Η οδηγία 95/46/ΕΚ θεσπίζει ένα νομικό πλαίσιο για την εθνική νομοθεσία περί προστασίας των δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης. Κατά συνέπεια, τα κράτη μέλη υποχρεούνται να τη μεταφέρουν στην εθνική τους νομοθεσία. Η οδηγία 2002/58/ΕΚ4, όπως τροποποιήθηκε από την οδηγία 2009/136/ΕΚ, είναι επιπλέον εφαρμοστέα σε όλα τα μέρη του κόσμου που επιθυμούν να επεξεργάζονται πληροφορίες που αποθηκεύονται σε συσκευές χρηστών στην Ευρωπαϊκή Ένωση, συμπεριλαμβανομένων των δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω απαιτήσεις πρέπει να πληρούνται από κάθε μεμονωμένη εφαρμογή για κινητά.

2. (Α) Η πληροφορία εάν και πότε ο χρήστης του δικτύου στο Facebook ανοίγει ένα μήνυμα, που ελήφθη μέσω του Facebook, καθώς και η «χρονική σφραγίδα» της τελευταίας σύνδεσης αποτελούν δεδομένα προσωπικού χαρακτήρα κατά το άρθρο 2 στοιχείο α) της οδηγίας 95/46, δεδομένου ότι είναι πληροφορίες «που συνδέονται με ταυτοποιήσιμο ή ταυτοποιημένο φυσικό πρόσωπο».

(Β) Η αποθήκευση των αναφερόμενων δεδομένων προσωπικού χαρακτήρα, η δημοσιοποίησή τους και η διάθεσή τους σε άλλους χρήστες της εν λόγω εφαρμογής πληρούσε τον ορισμό της επεξεργασίας δεδομένων σύμφωνα με το άρθρο 2 στοιχείο β) της οδηγίας 95/46.

3. Κατά το άρθρο 4 παράγραφος 1 στοιχείο α) της οδηγίας για την προστασία των δεδομένων, το εθνικό δίκαιο ενός κράτους μέλους εφαρμόζεται σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται «στα πλαίσια εγκατάστασης» του υπευθύνου της επεξεργασίας στο έδαφος του εν λόγω κράτους μέλους. Σύμφωνα με το άρθρο 4 παράγραφος 1 στοιχείο γ) της οδηγίας για την προστασία των δεδομένων, η εθνική νομοθεσία ενός κράτους μέλους εφαρμόζεται επίσης όταν ο υπεύθυνος της επεξεργασίας δεν είναι εγκατεστημένος στο έδαφος της Κοινότητας και προσφεύγει σε μέσα που βρίσκονται στο έδαφος του εν λόγω κράτους μέλους. Δεδομένου ότι η συσκευή συντελεί στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από και σχετικά με τον χρήστη, το κριτήριο αυτό συνήθως πληρείται. Οι εν λόγω κανόνες εφαρμόζονται, όπως προβλέπεται από το εθνικό δίκαιο, σε κάθε εφαρμογή που απευθύνεται σε χρήστες εντός της ΕΕ, ανεξάρτητα από το πού βρίσκεται η εταιρεία ανάπτυξης εφαρμογών ή το «app store».

4.  Βασικοί κίνδυνοι όσον αφορά την προστασία δεδομένων στους τελικούς χρήστες είναι η έλλειψη διαφάνειας όσον αφορά τα είδη επεξεργασίας που μπορεί να αναλάβει μια εφαρμογή σε συνδυασμό με την έλλειψη ελευθέρας, ρητής συγκατάθεσης, καθώς το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν έχει στη διάθεσή του όλες τις πληροφορίες σχετικά με την προβλεπόμενη επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Πολλά είδη δεδομένων που είναι διαθέσιμα σε μια έξυπνη κινητή συσκευή αποτελούν δεδομένα προσωπικού χαρακτήρα. Σύμφωνα με το άρθρο 2 στοιχείο η) της οδηγίας 95/46/ΕΚ ως «συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα», νοείται «κάθε δήλωση βουλήσεως, ελευθέρας, ρητής και εν πλήρει  επιγνώσει των επιθυμιών του», με την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν». Αυτό σημαίνει ότι ο κατασκευαστής και/ή ο εμπορικός χρήστης (όπως το Facebook) αυτών των εφαρμογών είναι υποχρεωμένοι να ενημερώνουν με τον ενδεδειγμένο τρόπο τους τελικούς χρήστες σχετικά με τη λειτουργία των εφαρμογών τους, τη σχεδιαζόμενη επεξεργασία προσωπικών δεδομένων, τις δυνατότητες για την προστασία της ιδιωτικής τους ζωής και τα υφιστάμενα μέτρα ασφαλείας. Βάσει των στοιχείων που υποβάλατε, φαίνεται ότι και τα δύο τεχνικά χαρακτηριστικά (σ.σ. χρονικές σφραγίδες "last active" και "seen") για κινητές συσκευές που επιτρέπουν την επικοινωνία με το Facebook θέτουν το ζήτημα της έλλειψης επαρκούς διαφάνειας, ελεύθερης και εν επιγνώσει  συναίνεσης.

5. Η Ευρωπαϊκή Επιτροπή  δεν είναι αρμόδια  για την παρακολούθηση της εφαρμογής των πράξεων του παραγώγου δικαίου της ΕΕ από ιδιωτικούς φορείς, όπως το Facebook.  Αν πιστεύετε ότι τα προσωπικά σας δεδομένα υποβάλλονται σε επεξεργασία παράνομα σύμφωνα με την ελληνική ή την ιρλανδική νομοθεσία για την προστασία των δεδομένων, μπορείτε να υποβάλετε καταγγελία στις οικείες εθνικές αρχές προστασίας των δεδομένων στην Ελλάδα και/ή την Ιρλανδία σύμφωνα με το άρθρο 28 παράγραφος 3 της οδηγίας 95/46, όπως εφαρμόζεται στο εθνικό ελληνικό και ιρλανδικό δίκαιο για την προστασία των δεδομένων. (…) Με την επιφύλαξη της αρμοδιότητας της Ευρωπαϊκής Επιτροπής ως θεματοφύλακα των Συνθηκών, η εποπτεία και η εφαρμογή της νομοθεσίας για την προστασία των δεδομένων εμπίπτει στο πεδίο αρμοδιότητας των εθνικών αρχών και, κυρίως, των εποπτικών αρχών προστασίας δεδομένων και των δικαστηρίων.

Ολόκληρο το κείμενο της  απάντησης της Ευρωπαϊκής Επιτροπής επί της καταγγελίας μου, εδώ