Προστασία προσωπικών δεδομένων και μη ζητηθείσα επικοινωνία – Η νομιμότητα της αποστολής προωθητικών μηνυμάτων και newsletters
Η εμπορική προώθηση προϊόντων και υπηρεσιών και η αποστολή ενημερωτικών μηνυμάτων σε πελάτες μέσω ηλεκτρονικής αλληλογραφίας αποτελεί ένα ισχυρό εργαλείο marketing των επιχειρήσεων. Ωστόσο, προκειμένου να θεωρηθεί επικοινωνία συμβατή με το άρθρο 11 του ν. 3471/2006 για την προστασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών και να μη χαρακτηριστεί ως «μη ζητηθείσα», θα πρέπει να έχει εξασφαλιστεί η εκ των προτέρων ρητή συγκατάθεση του παραλήπτη.
Η αλόγιστη και μη νόμιμη πραγματοποίηση προωθητικών ενεργειών αντιμετωπίζεται αυστηρά από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ»), η οποία έχει επιβάλει «τσουχτερά» πρόστιμα για τον συγκεκριμένο τύπο παράβασης ύψους έως και 200.000 ευρώ ανά υπεύθυνο επεξεργασίας. Σημειώνεται ότι εντός του έτους 2021 η ΑΠΔΠΧ εξέδωσε 9 αποφάσεις επιβάλλοντας διοικητικά πρόστιμα συνολικού ύψους 100.000 ευρώ, ενώ για το έτος 2022 έχουν εκδοθεί ως σήμερα 4 αποφάσεις, δυνάμει των οποίων έχουν επιβληθεί διοικητικά πρόστιμα συνολικού ύψους 62.000 ευρώ.
Οι πρόσφατες αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Χρήση των στοιχείων φυσικού προσώπου στο LinkedIn
Η πιο πρόσφατη σχετική απόφαση υπ’ αριθ. 30/2022 εκδόθηκε τον Ιούλιο και επέβαλε πρόστιμο ύψους 3.000 ευρώ σε εταιρεία για μη νόμιμη αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου με σκοπό την προώθηση υπηρεσιών /newsletter, αφού εξέτασε δύο σχετικές καταγγελίες.
Στην περίπτωση της πρώτης καταγγελίας, η ΑΠΔΠΧ έκρινε ότι η αποστολή newsletter στον καταγγέλλοντα, ο οποίος ήταν «φίλος» στην εφαρμογή κοινωνικής δικτύωσης Linkedin με τον νόμιμο εκπρόσωπο της εταιρείας ήταν μη νόμιμη, καθώς δεν πληρούσε τα κριτήρια του άρθρου 11 παρ. 3 του ν. 3471/2006 ώστε να μπορεί να χρησιμοποιηθεί το email για την αποστολή προωθητικών μηνυμάτων. Συγκεκριμένα, η Αρχή στην απόφαση της έκρινε ότι «με την ύπαρξη επαγγελματικής επαφής του καταγγέλλοντος και του νόμιμου εκπρόσωπου της εταιρείας μέσω επαγγελματικού μέσου κοινωνικής δικτύωσης δεν τεκμηριώνεται ότι ο καταγγέλλων παρείχε τα στοιχεία επικοινωνίας προς τον εκπρόσωπο του καταγγελλόμενου. Τα στοιχεία αυτά μπορεί να είναι διαθέσιμα εντός των μελών του δικτύου [Linkedin], αλλά μόνο για σκοπούς που σχετίζονται άμεσα με αυτό και όχι για σκοπούς προώθησης υπηρεσιών, για τους οποίους μάλιστα ο καταγγελλόμενος ούτε είχε ενημερωθεί ούτε είχε τη δυνατότητα έκφρασης αντίρρησης».
Χρήση της ηλεκτρονικής διεύθυνσης που αντιστοιχεί σε νομικό πρόσωπο
Στην περίπτωση της δεύτερης καταγγελίας, κρίθηκε ότι η αποστολή newsletter σε διεύθυνση ηλεκτρονικού ταχυδρομείου νομικού προσώπου δεν είναι νόμιμη, αν δεν έχει τηρηθεί προηγουμένως η διαδικασία που προβλέπεται στη σχετική νομοθεσία. Συγκεκριμένα, η Αρχή στην απόφαση της έκρινε ότι «είναι αδιάφορο το ότι η αποστολή έχει γίνει προς ηλεκτρονική διεύθυνση που αντιστοιχεί σε νομικό πρόσωπο, καθώς οι προϋποθέσεις για την αποστολή του μηνύματος είναι ίδιες και άρα θα έπρεπε να υπάρχει συγκατάθεση του νομικού προσώπου».
Αποστολή μηνυμάτων SMS χωρίς προηγούμενη συγκατάθεση του παραλήπτη
Περαιτέρω, με την απόφαση υπ’ αριθ. 16/2022 που εκδόθηκε το Μάιο, επεβλήθη πρόστιμο ύψους 54.000 ευρώ σε επιχείρηση η οποία προέβη σε μαζική αποστολή μηνυμάτων SMS προωθητικού περιεχομένου αναφορικά με τις υπηρεσίες της, χωρίς να έχει λάβει εκ των προτέρων ρητή συγκατάθεση των παραληπτών και χωρίς να έχει μαζί τους προηγούμενη συναλλακτική επαφή ή άλλη σχέση ώστε να έχουν αποκτηθεί νομίμως τα στοιχεία επικοινωνίας τους. Επίσης, σε κανένα από τα μηνύματα δεν αναφερόταν μια έγκυρη διεύθυνση στην οποία ο αποδέκτης του μηνύματος να μπορεί να ζητεί τον τερματισμό της επικοινωνίας ασκώντας το δικαίωμα αντίρρησης, όπως ορίζεται στο άρθρο 11 παρ. 4 του ν. 3471/2006. Ο υπεύθυνος επεξεργασίας δεν ικανοποίησε ούτε το δικαίωμα πρόσβασης των υποκειμένων στα προσωπικά τους δεδομένα, καθώς δεν απάντησε στα αιτήματα πρόσβασης/διαγραφής των υποκειμένων των δεδομένων που υποβλήθηκαν με ηλεκτρονικά μέσα
Πότε επιτρέπεται η αποστολή μηνυμάτων με προωθητικό περιεχόμενο/ newsletter?
Η νομική έννοια της μη ζητηθείσας επικοινωνίας, όπως οριοθετείται από την Οδηγία ΕΚ 2002/58 και το άρθρο 11 του ν. 3471/2006, αφορά στην επικοινωνία που γίνεται για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς.
O ν. 3471/2006, προβλέπει ότι η αποστολή μηνυμάτων με προωθητικό χαρακτήρα και περιεχόμενο επιτρέπεται όταν:
Α) ο αποδέκτης έχει δώσει τη συγκατάθεσή του για την λήψη τέτοιου είδους μηνυμάτων και έχει παραχωρήσει οικειοθελώς την ηλεκτρονική του διεύθυνση. Σημειώνεται ότι η συγκατάθεση θα πρέπει να είναι σε συμμόρφωση με τις επιταγές του Γενικού Κανονισμού Προστασίας Δεδομένων («ΓΚΠΔ»), σε εφαρμογή του οποίου έχει εκδοθεί ο ν. 4624/2019.
Συγκεκριμένα η συγκατάθεση θα πρέπει:
- να δίνεται ελεύθερα, δηλαδή να μην αποτελεί προϋπόθεση για την παροχή υπηρεσίας από την εταιρεία,
- να δίνεται για το συγκεκριμένο σκοπό, την αποστολή δηλαδή ενημερωτικών μηνυμάτων,
- να είναι ρητή και να δίνεται μέσω θετικής πράξης (π.χ. ηλεκτρονικό πλαίσιο επιλογής το οποίο το άτομο πρέπει να επιλέξει σαφώς ή υπογραφή σε φόρμα),
- να παρέχεται η δυνατότητα ανάκλησης της συγκατάθεσης (οpt-out).
Β) Ο αποστολέας του newsletter έχει αποκτήσει το email του παραλήπτη μετά από προγενέστερη συναλλαγή μαζί του (π.χ. κατά την αγορά προϊόντων ή παροχή υπηρεσιών), υπό την προϋπόθεση ότι του δίνει την ευκαιρία να αρνηθεί στην λήψη προωθητικών μηνυμάτων τόσο κατά τη συλλογή των στοιχείων επικοινωνίας του, όσο και κατά την αποστολή κάθε ηλεκτρονικού μηνύματος (πχ. με την παροχή της επιλογής “opt-out”). Απαραίτητη προϋπόθεση είναι η προηγούμενη ενημέρωση του πελάτη κατά την ώρα της συναλλαγής για την πρόθεση χρήσης των στοιχείων επικοινωνίας του συναλλασσόμενου για σκοπούς προωθητικών ενεργειών. Επιπλέον, πρέπει να αναφέρεται ευδιάκριτα και σαφώς η ταυτότητα του αποστολέα, καθώς επίσης και η έγκυρη διεύθυνση στην οποία ο αποδέκτης του μηνύματος μπορεί να ζητεί τον τερματισμό της επικοινωνίας. Συνοψίζοντας, η αποστολή μηνυμάτων με προωθητικό περιεχόμενο επιτρέπεται εφόσον υπάρχει έγκυρη συγκατάθεση των παραληπτών ή εφόσον μπορεί να αποδειχθεί προηγούμενη επαφή μαζί τους στο πλαίσιο συναλλαγής, η οποία πληροί τα κριτήρια του άρθρου 11 παρ. 3 του ν. 3471/2006.
Πρέπει να σημειωθεί ότι, εκτός από παράβαση του ν. 3471/2006, είναι πιθανό να συντρέχει και παράλληλη παραβίαση των διατάξεων του ΓΚΠΔ. Χαρακτηριστικό παράδειγμα αποτελεί η απόφαση υπ’ αριθ. 34/2019 της ΑΠΔΠΧ, με την οποία επιβλήθηκε διοικητικό πρόστιμο ύψους 200.000 ευρώ σε πάροχο τηλεπικοινωνιακών υπηρεσιών, μετά από καταγγελίες συνδρομητών οι οποίοι, αν και είχαν δηλώσει ρητά την επιθυμία τους να μην λαμβάνουν μηνύματα προωθητικού περιεχομένου, εξακολουθούσαν να δέχονται σχετική επικοινωνία από τρίτες εταιρείες για σκοπούς προώθησης προϊόντων και υπηρεσιών. Στην περίπτωση αυτή, εκτός από παράβαση του άρθρου 11 του ν. 3471/2006, εντοπίστηκε και παράβαση των άρθρων 21 και 25 του ΓΚΠΔ, καθώς εξαιτίας τεχνικού σφάλματος, κατέστη αδύνατη η ικανοποίηση του δικαιώματος εναντίωσης των συνδρομητών στη λήψη προωθητικών μηνυμάτων.
Ποιες κυρώσεις προβλέπονται για όποιον παραβιάζει το νόμο;
Η αποστολή μη νόμιμης-μη ζητηθείσας ηλεκτρονικής αλληλογραφίας, επιφέρει:
- Αστική ευθύνη – άρθρο 14 του ν. 3471/2006 Δυνατότητα αποζημίωσης του παραλήπτη για περιουσιακή βλάβη, καθώς και ικανοποίηση για ηθική βλάβη με προσφυγή στα πολιτικά δικαστήρια. Η ηθική βλάβη ορίζεται κατ’ ελάχιστον στα 10.000 ευρώ.
- Διοικητικό πρόστιμο – άρθρο 21 του ν. 2472/1997 που διατηρείται σε ισχύ με βάση το άρθρο 84 του ν. 4624/2019 Ύψος προστίμου μεταξύ 880 και 146.735 ευρώ που επιβάλλεται από την ΑΠΔΠΧ. Σε περίπτωση που προκύψει και παράλληλη παραβίαση του ΓΚΠΔ, το διοικητικό πρόστιμο ανέρχεται σε ποσό έως 20.000.000 ευρώ ή έως 4% του τζίρου της επιχείρησης.
Συμπεράσματα
H αποστολή προωθητικών μηνυμάτων ή newsletter δεν είναι νόμιμη και μπορεί να επιφέρει επιβολή προστίμων αν δεν βασίζεται σε προηγούμενη συγκατάθεση του παραλήπτη ή προορίζεται σε άτομα με τα οποία η εταιρεία δεν μπορεί να αποδείξει προγενέστερη συναλλακτική σχέση.
Αξίζει να σημειωθεί ότι απαγορεύεται η αποστολή email με σκοπό τη λήψη συγκατάθεσης του παραλήπτη για μελλοντικές επικοινωνίες για προωθητικούς σκοπούς, καθώς ήδη αυτή η επαφή αποτελεί επικοινωνία κατά παράβαση των σχετικών διατάξεων της σχετικής νομοθεσίας.
Τo γεγονός ότι κάποια προσωπικά δεδομένα (πχ. email) έχουν δημοσιευτεί στο διαδίκτυο ή σε μέσο κοινωνικής δικτύωσης δεν σημαίνει ότι μπορούν να χρησιμοποιηθούν από εταιρείες για την αποστολή μηνυμάτων με προωθητικό περιεχόμενο. Ο ΓΚΠΔ ορίζει ότι η επεξεργασία προσωπικών δεδομένων μπορεί να γίνει μόνο εφόσον στοιχειοθετείται μία από τις προβλεπόμενες νομικές βάσεις στο άρθρο 6 του ΓΚΠΔ και αυτό δεν επηρεάζεται από το αν τα προσωπικά δεδομένα είναι δημοσιευμένα ή όχι.
