Μία ενδιαφέρουσα απόφαση της Επιτρόπου Προστασίας Προσωπικών Δεδομένων της Κύπρου
Μία ενδιαφέρουσα απόφαση αναφορικά με τη συλλογή διεύθυνσης email από το Mall of Cyprus για να επιτρέψει την πρόσβαση σε δίκτυο Wi-Fi, εξέδωσε η Επίτροπος Προστασίας Προσωπικών Δεδομένων της Κύπρου.
Σύμφωνα μεμ την απόφαση, το καταγγελλόμενο “The Mall of Cyprus” ρωτήθηκε από την Επίτροπο Προστασίας Προσωπικών Δεδομένων ως προς τη νομική βάση επί της οποίας συλλέγει υποχρεωτικά το email του επισκέπτη, προκειμένου να του επιτρέψει την πρόσβαση στο Wi-Fi.
Το Mall of Cyprus υποστήριξε ότι έχει διττό έννομο συμφέρον:
Αφενός ενοικιάζει χώρους εντός των εγκαταστάσεων του, συνεπώς η παροχή δωρεάν WiFi ως υπηρεσία, χρησιμοποιείται για να προσελκύσει ενοικιαστές.
Αφετέρου, το Mall of Cypruso πρέπει να διατηρεί την παροχή WiFi σε ικανοποιητικό επίπεδο προκειμένου να ικανοποιεί επισκέπτες και ενοικιαστές και να διατηρήσει την ηγετική του θέση στην αγορά. Γι’ αυτό πρέπει να ελέγχουν τον αριθμό των χρηστών που είναι συνδεδεμένοι, σε συνάρτηση με την χωρητικότητα της υποδομής (Capacity Management)
Το καταγγελόμενο αναφέρει, μεταξύ άλλων, ότι “η μεγαλύτερη εγγύηση είναι η δυνατότητα που παρέχεται στο υποκείμενο να δώσει μια μη αληθή ηλεκτρονική διεύθυνση, καθώς δεν γίνεται οποιαδήποτε διασταύρωση, ούτε απαιτείται επαλήθευση (verification)”.
Ωστόσο, σύμφωνα με την απόφαση της Επιτρόπου “η πρόσβαση στην υπηρεσία, τελείται μόνο όταν και εφόσον το υποκείμενο των δεδομένων αποδεχθεί τους όρους και προϋποθέσεις.
Η Καθ’ ης την καταγγελία δεν έχει παρουσιάσει τους όρους και προϋποθέσεις. Συνεπάγεται όμως πως περιλαμβάνεται ή/και θα πρέπει να περιλαμβάνεται η ενημέρωση, πως κυριότερος λόγος της συλλογής των δεδομένων προσωπικού χαρακτήρα, είναι η επεξεργασία τους για στατιστικούς σκοπούς, ως αυτό αναφέρεται και στη δήλωση πολιτικής. Δημιουργείται δηλαδή μία συμβατική σχέση, αφού για την παροχή μίας υπηρεσίας ζητείται ένα αντάλλαγμα (offer and acceptance).
Σε μια τέτοια περίπτωση, σύμφωνα με το Άρθρο 7(4) του Κανονισμού λαμβάνεται υπόψιν κατά πόσον για την εκτέλεση της σύμβασης αυτής και της παροχής της υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία επεξεργασία δεν είναι αναγκαία για την εκτέλεση της. Οι Κατευθυντήριες Γραμμές 5/2020 ξεκαθαρίζουν πως όταν η συγκατάθεση ομαδοποιείται ως μη διαπραγματεύσιμο μέρος των όρων και προϋποθέσεων, τότε τεκμαίρεται ότι αυτή δεν έχει δοθεί ελεύθερα.
Αυτό αντικατοπτρίζει και την εξήγηση που δίνεται στην αιτιολογική σκέψη (42) του Κανονισμού αφού, όπως και στην παρούσα περίπτωση, εάν το υποκείμενο των δεδομένων δεν παράσχει την συγκατάθεση του για την επεξεργασία, θα ζημιωθεί με την μη παροχή πρόσβασης στην υπηρεσία.
Συνακόλουθα, η Επιτρόπος επισημαίνει ότι η οποιαδήποτε συγκατάθεση λαμβάνεται από το υποκείμενο των δεδομένων στην παρούσα περίπτωση, τεκμαίρεται ότι δεν έχει δοθεί ελεύθερα. Ούτε θεωρώ ότι είναι απαραίτητη η επεξεργασία της ηλεκτρονικής διεύθυνσης ενός υποκειμένου, προκειμένου να μπορεί να καταστεί δυνατή η πρόσβαση του στην υπηρεσία.
Οι σκοποί τους οποίους επικαλείται η Καθ’ ης την καταγγελία για την εξυπηρέτηση των έννομων της συμφερόντων, θα μπορούσαν να επιτευχθούν με την εξεύρεση άλλων μέσων, λιγότερο παρεμβατικών και/ή επεμβατικών για τα δικαιώματα των υποκειμένων”.
Απόσπασμα της απόφασης
Θεωρώ επίσης ότι η μέθοδος την οποία χρησιμοποιεί τώρα η Καθ’ ης την καταγγελία, δεν εξυπηρετεί επ’ ακριβώς τον σκοπό που επικαλείται, ήτοι της καταμέτρησης του αριθμού και την συχνότητα επισκεψιμότητας στα υποστατικά της, εφόσον
(α) ο χρήστης μπορεί να χρησιμοποιήσει μη αληθή ηλεκτρονική διεύθυνση την οποία μπορεί να αλλάξει κάθε φορά που συνδέεται με το δίκτυο και να μην οδηγήσει στην επαλήθευση της ταυτοποίησης του,
(β) δεν συνδέονται κατ’ ανάγκη όλοι οι επισκέπτες με το ασύρματο δίκτυο της Καθ’ ης κατά την επίσκεψη τους και (γ) η κατηγοριοποίηση, σύμφωνα με τα όσα έχει αναφέρει η Καθ’ ης, διενεργείται εντός χρονικού περιθωρίου ενός μηνός από την τελευταία εγγραφή, και η ηλεκτρονική διεύθυνση μετά την πάροδο του χρονικού αυτού διαστήματος, διαγράφεται.
Σε σχέση με τον σκοπό που επικαλέστηκε η Καθ’ ης αναφορικά με την διαχείριση του δικτύου (Capacity Management) και πάλι μπορούν να εξευρεθούν άλλοι τρόποι, λιγότερο παρεμβατικοί και/ή επεμβατικοί προς τα δικαιώματα των υποκειμένων, εφόσον για την μέτρηση της χωρητικότητας της υποδομής (εύρος ζώνης, ταυτόχρονοι χρήστες κλπ), δεν απαιτείται η συλλογή προσωπικών δεδομένων, αλλά η μέτρηση του συνόλου των συνδεδεμένων συσκευών ή/και ο όγκος των δεδομένων που χρησιμοποιούνται μέσα από το δίκτυο.
Συνακόλουθα, θεωρώ ότι οι λόγοι τους οποίους επικαλείται η Καθ’ ης την καταγγελία δεν μπορούν να γίνουν αποδεκτοί, εφόσον υπάρχουν και άλλοι τρόποι λιγότερο παρεμβατικοί και/ή επεμβατικοί προς τα δικαιώματα των υποκειμένων. Στην βάση αυτής της κατάληξης, θεωρώ ότι η Καθ’ ης την καταγγελία συλλέγει περισσότερα δεδομένα απ’ όσα χρειάζεται τόσο σε σχέση με τους σκοπούς τους οποίους επικαλείται, όσο και για να μπορεί να παρασχεθεί η υπηρεσία ασύρματου δικτύου στους επισκέπτες της, παραβιάζοντας την αρχή της ελαχιστοποίησης (Άρθρου 5(1)(γ) του Κανονισμού).
Σε σχέση τώρα με την άποψη που έχει εκφράσει η Καθ’ ης την καταγγελία πως δεν χρειαζόταν η διενέργεια εκτίμησης αντικτύπου και τους λόγους που έχει επικαλεστεί, θα πρέπει να αναφερθεί ότι οι περιπτώσεις που αναφέρει το Άρθρο 35(3) του Κανονισμού, είναι ενδεικτικές.
Ακόμη και να μην είναι σαφής η αναγκαιότητα εκτίμησης αντικτύπου, η διενέργεια της αποτελεί χρήσιμο εργαλείο για τους υπεύθυνους επεξεργασίας προκειμένου να συμμορφώνονται με τον Κανονισμό. Στην παρούσα περίπτωση όμως, με τα όσα έχει αναφέρει η Καθ’ ης την καταγγελία θεωρώ πως διενεργείται συστηματική αξιολόγηση προσωπικών πτυχών των υποκειμένων και παρακολούθηση τους σε δημοσίως προσβάσιμο χώρο, σε μεγάλη κλίμακα.
Η επεξεργασία απολήγει στην «κατάρτιση προφίλ» των υποκειμένων, αφού αξιολογούνται προσωπικές τους πτυχές, όπως η συχνότητα επισκεψιμότητας στον χώρο της Καθ’ ης την καταγγελία. Αν και η Καθ’ ης την Καταγγελία ενημερώνει τα υποκείμενα των δεδομένων ότι τα δεδομένα τους χρησιμοποιούνται για στατιστικούς σκοπούς, δεν ενημερώνει για το γεγονός ότι προχωρεί στην επεξεργασία αυτή («κατάρτισης προφίλ»).
Θεωρώ συνεπώς πως θα έπρεπε η Καθ’ ης την καταγγελία να είχε διενεργήσει εκτίμηση αντικτύπου για την επεξεργασία, έτσι ώστε να είχε εκτιμηθεί η αναγκαιότητα και αναλογικότητα σε σχέση με τον σκοπό, η εκτίμηση των κινδύνων και οι επιπτώσεις προς τα υποκείμενα των δεδομένων, όπως και τα προβλεπόμενα μέτρα αντιμετώπισης τους.
Κατάληξη:
Στην βάση των πιο πάνω διαπιστώσεων και της εξουσίας που μου παρέχει το Άρθρο 57(1)(α) για παρακολούθηση και επιβολή του Κανονισμού και το Άρθρο 58(2) για επιβολή διορθωτικών μέτρων εκεί και όπου χρειάζεται και ασκώντας τις εξουσίες αυτές και ειδικότερα τις εξουσίες που μου παρέχει το εδάφιο (δ), του Άρθρου 58(2) του Κανονισμού, αποφασίζω και δίδω τις πιο κάτω εντολές:
Εντέλλεται το The Mall of Cyprus (MC) Plc όπως:
(α) Σταματήσει να συλλέγει τις ηλεκτρονικές διευθύνσεις των υποκειμένων των δεδομένων, και
(β) Διαγράψει όσες ηλεκτρονικές διευθύνσεις έχουν συλλεγεί για σκοπούς παροχής πρόσβασης στην υπηρεσία ασύρματου δικτύου.
Υπό το φως των εντολών μου ως ανωτέρω, παρέχεται στο The Mall of Cyprus (MC) Plc, αποκλειστική προθεσμία για συμμόρφωση με τα πιο πάνω, εντός ενός μηνός από την ημερομηνία παραλαβής της παρούσας Απόφασης.
Δείτε αναλυτικά την απόφαση.