Η ραγδαία τεχνολογική εξέλιξη που παρατηρήθηκε ιδίως μετά την εξάπλωση του ιού Covid-19 κατέστησε πλέον εξαιρετικά διαδεδομένες τις πωλήσεις εξ αποστάσεως μέσω ηλεκτρονικού καταστήματος (B2C). Πλέον οι περισσότερες εμπορικές επιχειρήσεις διαθέτουν ηλεκτρονικό κατάστημα για την εξυπηρέτηση των πελατών τους, καθόσον πλέον ένα πολύ μεγάλο τμήμα των εμπορικών συναλλαγών λαμβάνει χώρα με ηλεκτρονικά μέσα, αποτελώντας μία πολύ δημοφιλή επιλογή για τους καταναλωτές.
Ενόψει δε του μεγάλου ανταγωνισμού που επικρατεί πλέον μεταξύ των ηλεκτρονικών καταστημάτων, είναι σαφής η ανάγκη των επιχειρήσεων να έχουν απέναντι στους πελάτες τους ένα σοβαρό «πρόσωπο», παρουσιάζοντας επαρκή εχέγγυα αξιοπιστίας και φερεγγυότητας. Ιδιαιτέρως μεγάλη είναι η ανάγκη για επαρκή και αποτελεσματική διασφάλιση των καταναλωτών στο πεδίο των προσωπικών δεδομένων των τελευταίων, κάτι που μάλιστα αποτελεί και σαφή και επιτακτική νομοθετική επιταγή βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΓΚΠΔ – γνωστός ως GDPR).
Με το παρόν άρθρο θα προσπαθήσουμε να αποσαφηνίσουμε την σημασία που διαδραματίζει η προστασία των προσωπικών δεδομένων στο πλαίσιο του ηλεκτρονικού εμπορίου και, συγκεκριμένα, στο πλαίσιο ηλεκτρονικών καταστημάτων μέσω των οποίων πραγματοποιούνται λιανικές πωλήσεις προϊόντων και αγαθών (B2C πωλήσεις).
Κομβικό ρόλο στο πλαίσιο της αποτελεσματικής προστασίας των προσωπικών δεδομένων σε ένα eshop διαδραματίζει το κείμενο της πολιτικής προστασίας προσωπικών δεδομένων (Privacy Policy) που πρέπει να είναι αναρτημένο στην ιστοσελίδα του ηλεκτρονικού καταστήματος. Η πολιτική προστασίας προσωπικών δεδομένων καταγράφει τον τρόπο με τον οποίο μία επιχείρηση συλλέγει δεδομένα από τη δραστηριότητα των πελατών της μέσω της ιστοσελίδας που φιλοξενεί το eshop, καθώς και τους σκοπούς για τους οποίους επεξεργάζεται κάθε κατηγορία δεδομένων. Πιο συγκεκριμένα, παρακάτω θα προσπαθήσουμε να απαντήσουμε στις κυριότερες ερωτήσεις που αφορούν τα βασικά ζητήματα που συνδέονται με την πολιτική προστασίας προσωπικών δεδομένων.
Τι είναι η πολιτική προστασίας δεδομένων προσωπικού χαρακτήρα (privacy policy) και γιατί είναι τόσο σημαντική σε ένα eshop;
Το κείμενο της πολιτικής προστασίας δεδομένων προσωπικού χαρακτήρα που είναι αναρτημένο στην ιστοσελίδα ενός eshop αποτελεί μία απόδειξη της συμμόρφωσης της ηλεκτρονικής επιχείρησης με τις επιταγές του Νόμου περί προσωπικών δεδομένων, ο οποίος απαιτεί την νόμιμη, θεμιτή και διαφανή επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ενώ περαιτέρω αποτυπώνει την στρατηγική της επιχείρησης αναφορικά με τη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω του ηλεκτρονικού καταστήματος. Μέσω της πολιτικής αυτής, η επιχείρηση έχει την δυνατότητα να χτίσει μία ουσιαστική σχέση εμπιστοσύνης με τους πελάτες της, ενημερώνοντάς τους, όπως επιτάσσει ο νόμος, για την συλλογή και επεξεργασία των προσωπικών τους δεδομένων, ενώ ταυτόχρονα η πολιτική αυτή αποτελεί το «πρόσωπο» της επιχείρησης ενώπιον των υποκειμένων των δεδομένων και των οικείων Αρχών (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), επιτρέποντας στην επιχείρηση να μπορεί ανά πάσα στιγμή να αποδείξει την συμμόρφωσή της με τις επιταγές της οικείας νομοθεσίας.
Ποιες είναι οι υποχρεώσεις των ηλεκτρονικών καταστημάτων βάσει του Γενικού Κανονισμού;
Πρωταρχική υποχρέωση ενός ηλεκτρονικού καταστήματος είναι αυτή της ενημέρωσης ως προς την ταυτότητα του οργανισμού και τα στοιχεία επικοινωνίας, καθώς και ως προς το πρόσωπο του Υπεύθυνου Προστασίας Δεδομένων (DPO). Επίσης, με βάση την αρχή της διαφάνειας πρέπει να αναφέρεται το είδος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται και για ποιον σκοπό γίνεται η συλλογή τους. Θα πρέπει επίσης να αναφέρεται με τρόπο σαφή και ξεκάθαρο σε ποιους δίνει η επιχείρηση τα προσωπικά δεδομένα και για ποιο σκοπό γίνεται αυτό, όπως και το εάν λαμβάνει χώρα profiling. Επίσης, είναι αναγκαίο να αναφέρεται πού αποθηκεύονται τα δεδομένα και για πόσο χρόνο. Τέλος, πολύ σημαντική είναι η αναφορά στα δικαιώματα των υποκειμένων προσωπικού χαρακτήρα και με ποιον τρόπο μπορούν να τα ασκήσουν (δικαίωμα ανάκλησης συγκατάθεσης, δικαίωμα υποβολής καταγγελίας κ.ο.κ).
Ποια προσωπικά δεδομένα συλλέγονται σε ένα ηλεκτρονικό κατάστημα;
Τα συνηθέστερα προσωπικά δεδομένα που συλλέγονται εντός ενός ηλεκτρονικού καταστήματος είναι τα εξής:
Προσωπικά στοιχεία (π.χ. ονοματεπώνυμο, διεύθυνση, τηλέφωνο, ΑΦΜ κλπ).
Οικονομικά δεδομένα (π.χ. αριθμός τραπεζικού λογαριασμού, στοιχεία πιστωτικής ή χρεωστικής κάρτας κλπ).
Δημογραφικά δεδομένα (π.χ. ηλικία, φύλο, γλώσσα κλπ).
Δεδομένα προφίλ (π.χ. προτιμήσεις, διάδραση με social media, clicks κλπ).
Επιγραμμικά και δεδομένα πληροφόρησης (Location data, cookies, username/password κλπ).
Ποιες πληροφορίες πρέπει να περιλαμβάνει μία πολιτική προστασίας δεδομένων προσωπικού χαρακτήρα (privacypolicy);
Το κείμενο της πολιτικής προστασίας προσωπικών δεδομένων (Privacy Policy) που είναι αναρτημένο στην ιστοσελίδα ενός ηλεκτρονικού καταστήματος (eshop) πρέπει να περιλαμβάνει: α) τις κατηγορίες των υποκειμένων των προσωπικών δεδομένων (αυτός που πραγματοποιεί μία παραγγελία είτε μέσω του ηλεκτρονικού καταστήματος είτε τηλεφωνικά, είτε ως εγγεγραμμένος καταναλωτής είτε ως επισκέπτης καταναλωτής, τα εγγεγραμμένα μέλη σε ένα loyaltyπρόγραμμα, οι εγγεγραμμένοι παραλήπτες των ενημερωτικών δελτίων της επιχείρησης (newsletter), οι πλοηγοί της σελίδας, κάποιος τρίτος, λ.χ. παραλήπτης δώρου, κάτοχος τηλεφωνικού αριθμού επικοινωνίας για την παράδοση κλπ), β) τι είδους επεξεργασία δεδομένων λαμβάνει χώρα (συλλογή, αποθήκευση, κοινολόγηση, συσχέτιση, συνδυασμός προσωπικών δεδομένων κλπ), γ) ποιος είναι ο υπεύθυνος επεξεργασίας των προσωπικών δεδομένων (δηλαδή η ηλεκτρονική επιχείρηση, με αναλυτική αναφορά των στοιχείων της δραστηριότητάς της, όπως και των στοιχείων επικοινωνίας της), δ) αν υπάρχει εκτελών την επεξεργασία (αυτός που διενεργεί πράξεις επεξεργασίας για λογαριασμό του υπευθύνου επεξεργασίας, π.χ. εταιρίες ταχυμεταφοράς, εταιρίες hosting), ε) αν υπάρχουν από κοινού υπεύθυνοι επεξεργασίας και, κυρίως, στ) ποιοι είναι οι σκοποί της επεξεργασίας. Ως προς τους σκοπούς της επεξεργασίας, ως τέτοιο αναφέρονται ενδεικτικά: η δημιουργία λογαριασμού και η πρόσβαση σε αυτόν μέσω της χρήσης του email ως ταυτοποιητικού στοιχείου, η ενημέρωση του καταναλωτή μέσω newsletter ή άλλων μηνυμάτων μέσω της συλλογής στοιχείων επικοινωνίας, όπως το email ή το τηλέφωνο, η υλοποίηση μίας παραγγελίας και η εξυπηρέτηση πελατών, η ικανοποίηση δικαιωμάτων του καταναλωτή κ.ο.κ. Σημειώνεται ότι η συλλογή ενός δεδομένου προσωπικού χαρακτήρα (λ.χ. του email) για έναν συγκεκριμένο σκοπό δεν νομιμοποιεί την συλλογή και επεξεργασία του εν λόγω δεδομένου προσωπικού χαρακτήρα για άλλο σκοπό χωρίς την προηγούμενη ενημέρωση του χρήστη για κάθε επιμέρους σκοπό για τον οποίο ζητείται το δεδομένο. Έτσι, για κάθε επιμέρους σκοπό επεξεργασίας, θα πρέπει να αναφέρεται στην πολιτική προστασίας (privacy policy) ποια δεδομένα προσωπικού χαρακτήρα συλλέγονται. Επίσης, πρέπει να γίνεται αναφορά: ζ) στα μέτρα ασφαλείας που τηρεί η επιχείρηση ως προς την τήρηση των δεδομένων, η) στον χρόνο διατήρησης των δεδομένων και θ) στα δικαιώματα των υποκειμένων των δεδομένων (δικαίωμα ενημέρωσης, πρόσβασης, διαγραφής, διόρθωσης, φορητότητας, εναντίωσης) και τον τρόπο άσκησης αυτών.
Τι προϋποθέτει η επιτυχημένη και πλήρης σύνταξη του κειμένου της πολιτικής προστασίας προσωπικών δεδομένων (privacy policy);
Η σύνταξη ενός πλήρους κειμένου πολιτικής προστασίας από τον νομικό της πράξης είναι μία σύνθετη διαδικασία, η οποία προϋποθέτει τον συνδυασμό των κάτωθι:
– Τον συντονισμό μεταξύ περισσότερων ειδικοτήτων (εμπορικοί, τεχνικοί, μάρκετινγκ, ΙΤ, νομικός σύμβουλος κλπ) και την διαμόρφωση πλάνου συμμόρφωσης.
– Την κατανόηση του επιχειρηματικού μοντέλου του εκάστοτε ηλεκτρονικού καταστήματος (eshop).
– Την κατανόηση των ειδών των υποκειμένων.
– Την κατανόηση των σκοπών επεξεργασίας, των δεδομένων που συλλέγονται για κάθε σκοπό και τις πράξεις επεξεργασίας για κάθε σκοπό.
– Την χρήση γλώσσας απλής και κατανοητής, ώστε η πληροφορία να είναι συνοπτική, με σαφή και απλή διατύπωση, στο ύφος και την κουλτούρα της επιχείρησης.
Γιατί η πολιτική προστασίας είναι σημαντική και μοναδική για την κάθε επιχείρηση; Είναι απαραίτητο να συντάσσεται από δικηγόρο;
Όπως προαναφέρθηκε, η πολιτική προστασίας δεδομένων προσωπικού χαρακτήρα συνιστά μία από τις σημαντικότερες υποχρεώσεις που συναρτώνται με τη διαφάνεια στις διαδικασίες της επιχείρησης για τη συμμόρφωση με τις επιταγές του νέου Κανονισμού, αλλά και υποχρέωση που απορρέει από τον Ν. 2251/1994 για την προστασία του καταναλωτή. Είναι, επομένως, υποχρεωτική. Αξίζει να σημειωθεί ιδιαιτέρως και να γίνει απολύτως κατανοητό ότι κάθε επιχείρηση έχει τη δική της αντίληψη και τις δικές της ανάγκες, σχετικά με το ποια δεδομένα της είναι χρήσιμα, ο δε τρόπος με τον οποίο επιλέγει να τα συλλέξει διαφέρει ανάλογα με τη δραστηριότητα που ασκεί και τον σκοπό για τον οποίο δικαιούται να τα συλλέγει. Κάθε επιχείρηση, λοιπόν, συλλέγει με διαφορετικό τρόπο από τους χρήστες του eshop της δεδομένα που της είναι χρήσιμα, χρησιμοποιώντας τα δικά της εργαλεία και εξυπηρετώντας διαφορετικούς σκοπούς για την επίτευξη της επιχειρηματικής της δραστηριότητας. Κάθε πολιτική προστασίας προσωπικών δεδομένων (privacy policy) είναι ένα τελείως εξατομικευμένο κείμενο που αποτυπώνει συγκεκριμένες διαδικασίες μίας συγκεκριμένης επιχείρησης. Αν δε αναλογιστεί κανείς τις κυρώσεις που επισύρει η παραβίαση των νομοθετικών επιταγών σχετικά με την προστασία των προσωπικών δεδομένων, καθίσταται ακόμη πιο επιτακτική η ασφαλής και ορθή σύνταξη του εν λόγω κειμένου. Για τον λόγο αυτό, θα πρέπει να καταστεί σαφές ότι θα πρέπει πάση θυσία να αποφεύγεται από τους ιδιοκτήτες ηλεκτρονικών καταστημάτων η αντιγραφή του κειμένου πολιτικής προστασίας που χρησιμοποιεί κάποιο άλλο ηλεκτρονικό κατάστημα και στο πλαίσιο αυτό, απολύτως επιβεβλημένη κρίνεται η συνδρομή δικηγόρου εξειδικευμένου στα ζητήματα των δεδομένων προσωπικού χαρακτήρα και στην νομοθεσία περί προστασίας του καταναλωτή.
* Το γραφείο μας διαθέτει μεγάλη εμπειρία στον χειρισμό υποθέσεων εταιρικού δικαίου και δικαίου προστασίας προσωπικών δεδομένων. Για περισσότερες πληροφορίες ή νομικές συμβουλές, μπορείτε να επικοινωνήσετε μαζί μας είτε μέσω email στο info@siopi-law.gr είτε τηλεφωνικά στο 2313079293*
Δάφνη I. Σιώπη
Δικηγόρος LLM
Τσιμισκή 52, Θεσσαλονίκη
Τ. 2313 079293, 6977 568673
Ε. info@siopi-law.gr, dsiopi@siopi-law.gr