Η GPDR αποτελεί μια έναν κανονισμό που αφορά τα προσωπικά δεδομένα, ο οποίος εφαρμόστηκε εντός του 2018 και πλέον διανύει των έβδομο μήνα από την ημέρα εφαρμογής του, ωστόσο πολλές μεγάλες εταιρείες να «κλείνουν» τα μάτια και να μην τον τηρούν, με συνέπεια να καλούνται να πληρώσουν πολλές δεκάδες εκατομμύρια ευρώ.
Περισσότερο από έξι μήνες από την εφαρμογή του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR), οι τεχνολογικοί κολοσσοί δείχνουν να μην έχουν λάβει το μήνυμα. Στις 21 Ιανουαρίου, η Εθνική Επιτροπή Προστασίας Προσωπικών Δεδομένων της Γαλλίας (CNIL) επέβαλε πρόστιμο 50 εκατ. ευρώ στην Google για αδιαφανείς πρακτικές λήψης συναίνεσης των χρηστών και εξατομίκευσης των διαφημίσεων που εμφανίζονται στην πλατφόρμα της. Τρεις μέρες νωρίτερα, δημοσιοποιήθηκαν καταγγελίες κατά οκτώ εταιρειών παροχής υπηρεσιών διαρκούς ροής (streaming), μεταξύ των οποίων η Apple, η Amazon, η Netflix και η YouTube.
Kαι στις δύο περιπτώσεις, κομβικό ρόλο στη διαδικασία ελέγχου της εφαρμογής του GDPR έπαιξε η noyb («none of your business»), μία πανευρωπαϊκή ΜΚΟ με έδρα τη Βιέννη που δραστηριοποιείται στον τομέα της διασφάλισης της ιδιωτικότητας. Συγκεκριμένα, όπως εξηγεί στην «Κ» ο Γιάννης Κούβακας, δικηγόρος και στέλεχος της noyb, η υπόθεση της Google αφορούσε το λογισμικό κινητών τηλεφώνων Android και τον τρόπο με τον οποίο ενημερώνονταν οι χρήστες του για το πώς θα χρησιμοποιούνταν τα δεδομένα τους. «Δεν είχε γίνει επαρκώς σαφές στον χρήστη σε τι συναινούσε, συνεπώς η συναίνεσή του πρέπει να θεωρείται άκυρη», σημειώνει ο κ. Κούβακας, αναφέροντας ότι «είναι η πρώτη επιμέτρηση προστίμου με βάση τους όρους του GDPR».
Οι σχετικές καταγγελίες είχαν γίνει από τη noyb (μαζί με τη γαλλική οργάνωση LQDN) στα τέλη του περασμένου Μαΐου – με το που τέθηκε σε εφαρμογή ο GDPR. Αντίστοιχες καταγγελίες είχαν γίνει κατά της Facebook, της WhatsApp και της Instragram. Οι σχετικές έρευνες, από την ιρλανδική αρχή προστασίας δεδομένων (η Facebook και οι δύο θυγατρικές της έχουν ως ευρωπαϊκή έδρα την Ιρλανδία), είναι ακόμα εν εξελίξει, αναφέρει ο κ. Κούβακας.
Οι νέες καταγγελίες αφορούν την παραβίαση του «δικαιώματος πρόσβασης» των χρηστών στα δεδομένα τους και τον τρόπο επεξεργασίας τους. Σύμφωνα με τον GDPR, οι χρήστες μέσων κοινωνικής δικτύωσης, μηχανών αναζήτησης και άλλων ψηφιακών υπηρεσιών, έχουν το δικαίωμα να λάβουν ένα αντίγραφο των προσωπικών δεδομένων που οι επιχειρήσεις αυτές συλλέγουν, αλλά και πληροφορίες για το ποιοι απέκτησαν πρόσβαση στα δεδομένα αυτά και για ποιους σκοπούς, σε ποιες χώρες, και τον χρόνο αποθήκευσής τους. Το «δικαίωμα πρόσβασης» θεσπίζεται με το άρθρο 15 του GDPR.
Συστήματα με ελλείψεις
Σύμφωνα με τη noyb, καμία από τις οκτώ εταιρείες στις οποίες απέστειλε αίτημα πρόσβασης εκ μέρους συγκεκριμένων χρηστών δεν συμμορφώθηκε πλήρως με τις διατάξεις της ευρωπαϊκής νομοθεσίας. Οι μεγαλύτερες εταιρείες έχουν θέσει σε λειτουργία αυτοματοποιημένα συστήματα ανταπόκρισης σε τέτοιου είδους αιτήματα.
Ωστόσο, η noyb διατείνεται ότι τα συστήματα αυτά δεν καλύπτουν με ουσιαστικό τρόπο τις επιταγές του άρθρου 15.
«Το εργαλείο παροχής των δεδομένων είναι άμεσα διαθέσιμο, αλλά οι πληροφορίες είναι υπερβολικά γενικές ή εξαιρετικά δυσανάγνωστες», εξηγεί ο κ. Κούβακας. «Συνήθως οι χρήστες δεν έχουν τον χρόνο να διαβάσουν αναλυτικά τις πολυσέλιδες πολιτικές απορρήτου ή να αποκρυπτογραφήσουν πώς και από ποιους χρησιμοποιούνται τα δεδομένα τους».
Η noyb, που ιδρύθηκε το 2016 και υπάγεται στην EDRI (European Digital Rights), έχει 3.200 συνδρομητές ανά την Ευρώπη. Τα μέλη της, εκτός από τη χρηματική στήριξη, θέτουν υπόψη της ομάδας στη Βιέννη υποθέσεις που χρήζουν διερεύνησης. Παράλληλα, συνεργάζεται με σειρά οργανώσεων που ασχολούνται με τα ψηφιακά δικαιώματα στην Ευρώπη. Μεταξύ αυτών είναι και η Homo Digitalis στην Αθήνα.
Οπως εξηγεί στην «Κ» ο Λευτέρης Χελιουδάκης, συνιδρυτής της Homo Digitalis, εξαιτίας του πρώιμου σταδίου στο οποίο βρίσκεται η ψηφιακή συνείδηση των πολιτών στην Ελλάδα, η οργάνωσή του δραστηριοποιείται σε ένα ευρύ φάσμα ζητημάτων, από την ιδιωτικότητα έως την ουδετερότητα στο Διαδίκτυο, τον λόγο μίσους online κ.ο.κ. Με τη noyb συνεργάζονται για τη χαρτογράφηση της ενσωμάτωσης της κοινοτικής νομοθεσίας για τα προσωπικά δεδομένα στους τομείς όπου ο GDPR δίνει ευχέρεια επιλογής στα κράτη-μέλη.
Eνα τέτοιο ζήτημα είναι η ηλικία πρόσβασης στην Κοινωνία της Πληροφορίας, την οποία το υπό διαβούλευση νομοσχέδιο θέτει στα 15 (ο Κανονισμός δίνει ένα εύρος επιλογής από 13-16 ετών). Eνα δεύτερο είναι η δυνατότητα, βάσει του άρθρου 80 παρ. 2 του Κανονισμού, ΜΚΟ που ασχολούνται με την προστασία των προσωπικών δεδομένων να προσφεύγουν αυτεπάγγελτα σε διοικητικές και δικαστικές αρχές όταν εντοπίζουν παραβιάσεις της σχετικής νομοθεσίας. Το ελληνικό νομοσχέδιο προβλέπει τη δυνατότητα τέτοιων οργανώσεων να προσφεύγουν στην Αρχή Προστασίας Προσωπικών Δεδομένων, αλλά όχι στα δικαστήρια.
Oπως αναφέρει ο κ. Χελιουδάκης, η εισήγηση της Homo Digitalis είναι να επεκταθεί η δυνατότητα και στη δικαστική προσφυγή, «που παρέχει τη μέγιστη προστασία». Ο ίδιος εξηγεί ότι οι χρήστες δεν έχουν τον χρόνο να διερευνήσουν τον τρόπο με τον οποίο γίνεται η συλλογή και επεξεργασία των δεδομένων τους, ενώ κάποιοι ενδέχεται να ανησυχούν για τις συνέπειες μιας προσφυγής (π.χ. κατά του εργοδότη τους). Σημειώνεται ότι η διαβούλευση για το νομοσχέδιο έχει ολοκληρωθεί από τον περασμένο Μάρτιο, αλλά δεν έχει φτάσει ακόμα στη Βουλή.
Διαφορετική φιλοσοφία
Οι ακτιβιστές των προσωπικών δεδομένων βλέπουν την αποστολή ως μέρος μιας ευρωπαϊκής απόπειρας χαλιναγώγησης των αμερικανικών κολοσσών του χώρου, που έχουν μία πιο χαλαρή στάση απέναντι σε θέματα ιδιωτικής φύσης. «Οι αμερικανικές εταιρείες προέρχονται από μία χώρα που δεν είχε φαινόμενα όπως η Στάζι, δηλαδή την παρακολούθηση από ένα ολοκληρωτικό καθεστώς. Δεν το έχουν ζήσει στο πετσί τους», λέει ο κ. Χελιουδάκης. Η επιτυχία, πάντως, της διαφορετικής ευρωπαϊκής προσέγγισης θα κριθεί στην πράξη – με την κρίσιμη συμβολή της κοινωνίας των πολιτών. «Η νομοθεσία είναι επαρκώς αυστηρή· το ζήτημα είναι η εφαρμογή της», καταλήγει ο κ. Κούβακας, εκφράζοντας την ελπίδα ότι τα βαριά πρόστιμα θα αναγκάσουν τις μεγάλες ψηφιακές επιχειρήσεις να αλλάξουν πρακτικές.