Της Μαρίας Βασίλα,
Μεταξύ των λοιπών υποχρεώσεων και στο πλαίσιο της συμμόρφωσης με τον Γενικό Κανονισμό για τα Προσωπικά Δεδομένα (ΕΕ) 2016/679, οι επεξεργάζουσες προσωπικά δεδομένα επιχειρήσεις καλούνται να συντάξουν ή και συχνά να επικαιροποιήσουν τη λεγόμενη «Πολιτική Απορρήτου» (Privacy Policy), που διατηρούν στην ιστοσελίδα τους. Ως καίρια έκφανση της υποχρέωσης πληροφόρησης του υπεύθυνου επεξεργασίας, που θεμελιώνεται στο άρθρο 13 του Κανονισμού, η ύπαρξη και άρτια σύνθεση της Πολιτικής Απορρήτου αποτελεί ένα ίσως απροβλημάτιστο εγχείρημα, αλλά ταυτόχρονα και «άσσος στο μανίκι» στο πλαίσιο του due diligence.
Η Πολιτική Απορρήτου δεν είναι παρά μια «δήλωση πληροφόρησης και εμπιστευτικότητας» μεταξύ του κατόχου του ιστότοπου και του επισκέπτη-χρήστη σχετικά με το περιεχόμενο, την έκταση, τη νομιμοποίηση, τη νομιμότητα και τη σκοπιμότητα της επεξεργασίας των δεδομένων των χρηστών, κυρίως της διεύθυνσης διαδικτυακού πρωτοκόλλου (IP address). Αν και η παραπάνω περιγραφή φαντάζει αρκετά γενική και αφηρημένη, στη συνέχεια του άρθρου θα εξετάσουμε μια «μίνιμαλ και συνάμα επαρκή» προσέγγιση προσαρμογής του Privacy Policy στις προσταγές του Κανονισμού.
Αρχικά, θα πρέπει να διευκρινιστεί ότι η δήλωση απαιτεί απλή και κατανοητή για τον μέσο χρήστη γλώσσα και έκφραση και οι σύνθετοι και δυσχερείς στην κατανόηση νομικοί όροι θα πρέπει να αποφεύγονται. Το προοίμιο περιέχει μια σύντομη και περιεκτική περιγραφή της βασικής στοχοθεσίας και του περιεχομένου της δήλωσης και προτεινόμενη θεωρείται μια σημείωση παραπομπής στο άρθρο 4 του Κανονισμού, το οποίο περιέχει τους ορισμούς όπως αυτόν του υπευθύνου επεξεργασίας και της συγκατάθεσης.Ποιος, για ποιους λόγους, πώς και με ποια νομιμοποίηση… Οι τρεις αυτές ερωτήσεις εδραιώνουν τρεις βασικούς πυλώνες της περιγραφής ενημέρωσης σχετικά με την επεξεργασία των δεδομένων του πλοηγούμενου σε ένα διαδικτυακό τόπο. Με άλλα λόγια, ο χρήστης έχει το δικαίωμα να γνωρίζει ποιος είναι υπεύθυνος για την επεξεργασία των προσωπικών του στοιχείων και κατ’ επέκταση ποιος φέρει την υποχρέωση λογοδοσίας του άρθρου 5 παρ. 2 του Κανονισμού. Οι νομιμοποιητικοί λόγοι για την επεξεργασία του άρθρου 6 και το είδος των δεδομένων που επεξεργάζονται στα πλαίσια κυρίως της χρήσης και εφαρμογής ηλεκτρονικών φορμών καθώς και ο σκοπός και η αξιοποίηση των δεδομένων οφείλουν να αναφέρονται λεπτομερώς. Επιπρόσθετα, τα στοιχεία του Υπευθύνου Επεξεργασίας πρέπει να παρατίθενται λεπτομερώς και επακριβώς ώστε να διευκολύνεται η επικοινωνία ανάμεσα στους πρωταγωνιστές της επεξεργασίας και στην άσκηση των δικαιωμάτων των προσωπικών δεδομένων.
Με δεδομένη την υψίστης σημασίας άσκηση των δικαιωμάτων (άρθρα 15 επ. του Κανονισμού) και της πρακτικής αποτελεσματικότητάς του για την προστασία της ιδιωτικότητας, είναι αναγκαία η περιγραφή του περιεχομένου και του τρόπου της τελεσφόρου άσκησης αυτών. Στο σημείο αυτό, κρίνεται σωστή και η αναφορά στη δυνατότητα υποβολής καταγγελίας στην Ανεξάρτητη Αρχή Δεδομένων Προσωπικού Χαρακτήρα, καθώς και ο τρόπος διενέργειάς της.
Κλείνοντας, αξίζει να υπογραμμιστεί ότι λόγω των προσπαθειών των συνεχών ερμηνευτικών βελτιώσεων από τη θεωρία και τη νομολογία και λόγω της ακόμη μεταβαλλόμενης διαμόρφωσης του Δικαίου των Προσωπικών Δεδομένων, θα ήταν τελεολογικά ορθή η δημιουργία μιας σημείωσης επιφύλαξης του Υπευθύνου Επεξεργασίας-κατόχου της ιστοσελίδας για τη δυνατότητα επικαιροποίησης της Πολιτικής Απορρήτου και την αναγραφή της ημερομηνία τελευταίας αλλαγής του περιεχομένου της. Με αυτό τον τρόπο, ο τελευταίος «μεταθέτει» το βάρος ευθύνης στον χρήστη, ο οποίος εφόσον επιθυμεί να διαφυλάξει την ιδιωτικότητά του, θα οφείλει να πλοηγείται «νηφάλια και υπεύθυνα»…
Πηγές
- https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/datenschutzerklaerung/
- Milker Jens, Die Umsetzung des Rechts auf Vergessenwerden “im deutschen Recht”, Der Datenschutz als Taktgeber für das Äußerungsrecht, (Diss.) Springer, Mainz, 2019.
- Golland Alexander, Datenverarbeitung in sozialen Netzwerken, dfv Mediengruppe, Frankfurt am Main, 2019.
- https://www.bussgeldkatalog.org/datenschutzerklaerung-website/
Απόφοιτη της Νομικής Σχολής του ΕΚΠΑ διαμένει στην πόλη της Κολωνίας της Γερμανίας. Έχοντας ολοκληρώσει τις μεταπτυχιακές της σπουδές στο Εμπορικό Δίκαιο με ειδίκευση στο ΙΤ - και Corporate Law στο Πανεπιστήμιο της Κολωνίας (Wirtschaftsrecht LL.M) εργάζεται στον χώρο του IT SAP Consulting με κύρια ενασχόληση το Δίκαιο των Προσωπικών Δεδομένων, το Compliance και το Δίκαιο Ανταγωνισμού.