Πρόστιμο 3.000 ευρώ σε εταιρεία για την αποστολή email spam

Γράφει η Δέσποινα Γρύλλη 
Δικηγόρος, μέλος του Δικηγορικού Συλλόγου Ρόδου και της ΕΑΝΔΙΡ

Ή Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε προσφάτως και δη στις 08-03-2017 διοικητικό  πρόστιμο ύψους 3.000 ευρώ σε εταιρεία για παράνοµη συλλογή και περαιτέρω χρήση προσωπικών δεδοµένων για τον σκοπό της απευθείας εµπορικής προώθησης και διαφήµισης µέσω της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας (spam) (παραβίαση του άρθρου 11 ν. 3471/2006).

Διέταξε δε , περαιτέρω την καταστροφή του αρχείου των διευθύνσεων ηλεκτρονικού ταχυδροµείου που διατηρεί η εταιρεία για τις οποίες δεν είχε λάβει νοµίµως τη συγκατάθεση των κατόχων τους, µε ακόλουθη ενηµέρωση της Αρχής.

Συγκεκριμένα, η Αρχή έλαβε καταγγελίες σχετικά µε αποστολή μηνυμάτων ηλεκτρονικού ταχυδροµείου µε τα οποία διαφηµίζεται επαγγελµατικό µεταπτυχιακό πρόγραµµα, χωρίς να υπάρχει η προηγούµενη συγκατάθεση των παραληπτών.

Οι καταγγέλλοντες, όπως σημειώνεται ,  περιέλαβαν στις καταγγελίες τους τις ηµεροµηνίες καθώς και το περιεχόµενο των µηνυµάτων που εστάλησαν στις διευθύνσεις ηλεκτρονικού ταχυδροµείου τους.

Ειδικότερα, κατά το νόμο και σύμφωνα με το άρθρο 2 του Ν. 2472/1997 «δεδοµένα προσωπικού χαρακτήρα» είναι «κάθε πληροφορία που αναφέρεται στο υποκείµενο των δεδοµένων».

Ως «υποκείµενο των δεδοµένων» ορίζεται «το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδοµένα, και του οποίου η ταυτότητα είναι γνωστή ή µπορεί να εξακριβωθεί, δηλαδή µπορεί να προσδιορισθεί αµέσως ή εµµέσως, ιδίως βάσει αριθµού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριµένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονοµική, πολιτιστική, πολιτική ή κοινωνική».

Στο πλαίσιο αυτό, η διεύθυνση ηλεκτρονικού ταχυδροµείου ενός φυσικού προσώπου αποτελεί προσωπικό δεδοµένο, αφού µπορεί να λειτουργήσει ως στοιχείο έµµεσης αναγνώρισης του κατόχου της, επιτρέποντας την επικοινωνία µε αυτόν, ενώ σε αρκετές περιπτώσεις φέρει ακόµα και στοιχεία του ονόµατος του κατόχου.

Επισηµαίνεται δε ότι, σύµφωνα και µε τη Γνώµη 4/2007 της οµάδας εργασίας του άρθρου 29 της Ε.Ε. (που συνιστά ανεξάρτητο ευρωπαϊκό συµβουλευτικό όργανο για την προστασία δεδοµένων και την ιδιωτικότητα σχετικά µε την έννοια των προσωπικών δεδοµένων), ειδικά κατά τη λειτουργία ηλεκτρονικών υπηρεσιών, στοιχεία έµµεσης αναγνώρισης, όπως η διεύθυνση ηλεκτρονικού ταχυδροµείου, µπορούν επαρκώς σε ορισµένες περιπτώσεις να διακρίνουν ένα άτοµο από άλλα στο πλαίσιο ενός συγκεκριµένου συνόλου, ακόµα και αν δεν έχει γίνει η εξακρίβωση του ονόµατός του. Περαιτέρω σύμφωνα  µε το άρθρο 2 στοιχ. ζ ’ του Ν. 2472/1997, ως “υπεύθυνος επεξεργασίας”, ορίζεται κάθε φυσικό ή νοµικό πρόσωπο που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα. 

Το άρθρο 4 ν. 2472/1997, επιπροσθέτως,  ορίζει ότι τα δεδοµένα προσωπικού χαρακτήρα για να τύχουν νόµιµης επεξεργασίας πρέπει: α) να συλλέγονται κατά τρόπο θεµιτό και νόµιµο για καθορισµένους, σαφείς και νόµιµους σκοπούς και να υφίστανται θεµιτή και νόµιµη επεξεργασία ενόψει των σκοπών αυτών  β) να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας γ) να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενηµέρωση δ) να διατηρούνται σε µορφή που να επιτρέπει τον προσδιορισµό της ταυτότητας των υποκειµένων τους µόνο κατά τη διάρκεια της περιόδου που απαιτείται για την πραγµατοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. 

Όταν ο σκοπός της επεξεργασίας είναι η απευθείας εµπορική προώθηση προϊόντων και υπηρεσιών για διαφηµιστικούς σκοπούς µε χρήση αυτόµατων συστηµάτων κλήσης, όπως εν προκειμένω, τυγχάνει εφαρµογήςτο άρθρο 11 του Ν. 3471/2006 για την προστασία τωνπροσωπικών δεδοµένων στις ηλεκτρονικές επικοινωνίες.

Ειδικότερα, σύµφωνα µε την παρ. 1 του παραπάνω άρθρου, «η χρησιµοποίηση αυτόµατων συστηµάτων κλήσης, ιδίως µε χρήση συσκευών τηλεοµοιοτυπίας (φαξ) ή ηλεκτρονικού ταχυδροµείου, και γενικότερα η πραγµατοποίηση µη ζητηθεισών επικοινωνιών µε οποιοδήποτε µέσο ηλεκτρονικής επικοινωνίας χωρίς ανθρώπινη παρέµβαση, για σκοπούς απευθείας εµπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφηµιστικούς σκοπούς, επιτρέπεται µόνο αν ο συνδροµητής συγκατατεθεί εκ των προτέρων ρητώς».

Η Αρχή µε την Οδηγία 2/2011 για την ηλεκτρονική συγκατάθεση περιγράφει αναλυτικά τις προϋποθέσεις και τους τρόπους νόµιµης λήψης της συγκατάθεσης µε ηλεκτρονικά µέσα για τους σκοπούς της ανωτέρω διάταξης.

Μοναδική εξαίρεση στην υποχρέωση λήψης προηγούµενης συγκατάθεσης αποτελεί, σύµφωνα µε την παρ. 3 του ίδιου άρθρου, η περίπτωση κατά την οποία τα στοιχεία επαφής ηλεκτρονικού ταχυδροµείου αποκτήθηκαν νοµίµως, στο πλαίσιο της πώλησης προϊόντων ή υπηρεσιών ή άλλης συναλλαγής και χρησιµοποιούνται για την απευθείας προώθηση παρόµοιων προϊόντων ή υπηρεσιών του προµηθευτή ή για την εξυπηρέτηση παρόµοιων σκοπών και υπό τις λοιπές προϋποθέσεις που θέτει η συγκεκριµένη παράγραφος.

Επισηµαίνεται ότι τα παραπάνω, σύµφωνα µε την παρ. 7 του άρθρου 11  του Ν. 3471/2006, ισχύουν και για παραλήπτες µηνυµάτων ηλεκτρονικού ταχυδροµείου που είναι νοµικά πρόσωπα.

Στην υπό κρίση, λοιπόν, υπόθεση όπως προέκυψε από την τελική απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, και με βάση τις συναφείς διατάξεις του νόμου, η συγκεκριμένη εταιρεία συνέχιζε να πραγµατοποιεί αποστολή µηνυµάτων ηλεκτρονικού ταχυδροµείου προκειµένου να προωθήσει το  συγκεκριμένο επαγγελµατικό πρόγραµµα, χωρίς να έχει εξασφαλίσει την προηγούµενη συγκατάθεση των παραληπτών των µηνυµάτων. 

H Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αποφαινόμενη επί του παραπάνω ζητήματος δεν ενέταξε τη συγκεκριμένη περίπτωση  στην εξαίρεση της παρ. 3 άρθρου 11 του  Ν. 3471/2006 και κατέληξε στο συμπέρασμα  ότι η πραγµατοποιούµενη επεξεργασία συνιστά αζήτητη ηλεκτρονική επικοινωνία χωρίς τη συγκατάθεση των παραληπτών (spam) παραβιάζοντας την παρ. 1 άρθρου 11 του ίδιου νόµου και αιτιολογώντας την, κατ’ εφαρµογή της διατάξεως του άρθρου 21 παρ. 1 εδαφ. β΄ και ε΄ του  Ν. 2472/1997,επιβολή διοικητικών κυρώσεων.

Για το ύψος δε του επιβαλλοµένου προστίµου λήφθηκε υπόψη και εκτιµήθηκε η βαρύτητα της παραβάσεως και ότι ο υπεύθυνος επεξεργασίας δεν συµµορφώθηκε στην προηγούµενη απόφαση της Αρχής και δη τονίζεται πως στην ίδια εταιρεία είχε επιβληθεί για τον ίδιο λόγο και πάλι πρόστιμο ποσού 3.000 ευρώ χωρίς όμως να σταματήσει την αποστολή των email spam(απόφαση 10/2014 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα).