Υπηρεσίες Γεωεντοπισμού και Προσωπικά Δεδομένα

Οι υπηρεσίες γεωεντοπισμού δίνουν τη δυνατότητα στους “χρήστες” τους με τη χρήση ειδικής τεχνολογίας να ενημερώνονται σε πραγματικό χρόνο για τη γεωγραφική θέση του εκάστοτε “φέροντος” της συσκευής γεωεντοπισμού. Ο απαραίτητος εξοπλισμός για την παροχή των υπηρεσιών αυτών συνήθως συνίσταται αφενός σε μία συσκευή γεωεντοπισμού, που περιλαμβάνει κάρτα SIM για τη σύνδεση με δίκτυο κινητής τηλεφωνίας ή δυνατότητα σύνδεσης στο διαδίκτυο μέσω Wi-Fi, σύστημα γεωγραφικού προσδιορισμού θέσης (GPS), και αφετέρου σε ένα λογισμικό σύστημα, που εγκαθίσταται στον ηλεκτρονικό υπολογιστή του “χρήστη” της υπηρεσίας και καταγράφει το γεωγραφικό στίγμα του “φέροντος” της συσκευής σε πραγματικό χρόνο. Εκτός από την παροχή του στίγματος του “φέροντος” της συσκευής, τέτοιες υπηρεσίες μπορεί να προσφέρουν και πρόσθετα χαρακτηριστικά, όπως ενδεικτικά :

Κατάρτιση αναλυτικών στατιστικών ως προς την θέση και κίνηση του “φέροντος” (λ.χ. ταχύτητα και μοτίβα κίνησης / συμπεριφοράς).
Δυνατότητα ειδοποίησης του “χρήστη”, όταν συντρέχουν συγκεκριμένες συνθήκες (λ.χ. με την έξοδο από ορισμένη γεωγραφική ζώνη, την υπέρβαση ταχύτητας, την πτώση του “κατόχου”).
“Κουμπί πανικού” για χρήση από τον “φέροντα” τη συσκευή σε καταστάσεις εκτάκτου ανάγκης.
Ενεργοποίηση δυνατότητας καταγραφής ήχου σε ορισμένες περιστάσεις.
Αποστολή των δεδομένων γεωεντοπισμού μέσω SMS.

Οι υπηρεσίες γεωεντοπισμού δύνανται να είναι πολύ χρήσιμες για πρόσωπα, που έχουν ανάγκη εποπτείας, όπως άτομα με προβλήματα υγείας, άτομα με ειδικές ανάγκες ή ανηλίκους. Η δε δυνατότητά τους να λειτουργούν μέσω των σύγχρονων “έξυπνων” κινητών τηλεφώνων (smart-phones) με την εγκατάσταση μίας απλής εφαρμογής λογισμικού τις καθιστά εξαιρετικά φθηνές και εύχρηστες. Εντούτοις, οι εκτεταμένες τεχνολογικές τους δυνατότητες δημιουργούν ζητήματα σε σχέση με την ιδιωτικότητα των προσώπων, τα δεδομένα των οποίων καταγράφονται. Επιπλέον και δεδομένου ότι κατά κανόνα ο χρήστης της υπηρεσίας και ο φέρων τη συσκευή γεωεντοπισμού είναι διαφορετικά πρόσωπα, η χρήση τέτοιων υπηρεσιών είναι ανοιχτή σε καταχρήσεις. Ακριβώς λοιπόν επειδή τίθενται υπό διακινδύνευση θεμελιώδη δικαιώματα, ο νόμος ναι μεν δεν απαγορεύει την παροχή υπηρεσιών γεωεντοπισμού, θέτει όμως αυστηρές προϋποθέσεις για τη νομιμότητά τους.

Ορισμοί
Κατ’ αρχάς, προσωπικό δεδομένο θεωρείται κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο, του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική (άρθρο 2α και γ Ν. 2472/1997). Η λειτουργία συστημάτων γεωεντοπισμού και η παρεπόμενη καταγραφή πληροφοριών, που αφορά σε συγκεκριμένα πρόσωπα, συνιστά επεξεργασία προσωπικών δεδομένων (παράγραφος 1 υπ’ αρ. 112/2012 απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στο εξής της “Απόφασης ΑΠΔΠΧ”).

Περαιτέρω, ως ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα που αφορούν τη φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, την υγεία, την κοινωνική πρόνοια και την ερωτική ζωή, τα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και τη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων (άρθρο 2β Ν. 2472/1997). Τέτοια ευαίσθητα προσωπικά δεδομένα είναι και τα δεδομένα υγείας των φερόντων συσκευές γεωεντοπισμού, τα οποία καταγράφονται με σκοπό την παροχή των σχετικών υπηρεσιών (παράγραφος 3 Απόφασης ΑΠΔΠΧ).

Κάθε εργασία ή σειρά εργασιών που πραγματοποιείται με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή και η καταστροφή, συνιστά επεξεργασία προσωπικών δεδομένων (άρθρο 2 α’ και δ’ Ν. 2472/1997). Επομένως και η συλλογή, καταγραφή, επικοινωνία, αποθήκευση, επεξεργασία, συσχέτιση και διαγραφή δεδομένων, που εκτελείται κατά την παροχή υπηρεσιών γεωεντοπισμού, συνιστά επεξεργασία προσωπικών δεδομένων με βάση τον Ν. 2472/1997.

Υποκείμενο προσωπικών δεδομένων είναι κάθε φυσικό πρόσωπο, στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική (άρθρο 2 γ’ Ν. 2472/1997). Είναι λοιπόν προφανές ότι οι φέροντες τελικές συσκευές γεωεντοπισμού, των οποίων τα δεδομένα καταγράφονται, αποτελούν υποκείμενα δεδομένων και έχουν τα αντίστοιχα δικαιώματα του Ν. 2472/1997.

Υπεύθυνος επεξεργασίας προσωπικών δεδομένων είναι οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός (άρθρο 2 ζ’ Ν. 2472/1997). Τέτοιο πρόσωπο, που φέρει και τις αντίστοιχες υποχρεώσεις του υπευθύνου επεξεργασίας σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία, είναι ο χρήστης υπηρεσιών γεωεντοπισμού.

Εκτελών την επεξεργασία είναι οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός (άρθρο 2 η’ Ν. 2472/1997). Τέτοιο πρόσωπο, που φέρει και τις αντίστοιχες υποχρεώσεις του εκτελούντος την επεξεργασία σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία, είναι και ο πάροχος υπηρεσιών γεωεντοπισμού.

Νομικό Πλαίσιο
Από τους προεκτεθέντες ορισμούς προκύπτει σαφώς ότι η λειτουργία συστημάτων γεωεντοπισμού και η παρεπόμενη μέσω αυτών καταγραφή πληροφοριών εμπίπτει στο πεδίο εφαρμογής του Ν. 2472/1997 “για την προστασία δεδομένων προσωπικού χαρακτήρα”, με τον οποίο ενσωματώθηκε στην Ελληνική έννομη τάξη η Οδηγία 95/46/ΕΚ. Επιπλέον, τυγχάνει εφαρμογής και το άρθρο 5 παρ. 3 Ν. 3471/2006 αναφορικά με τη συγκατάθεση του χρήστη με ηλεκτρονικά μέσα για την καταφόρτωση (“download”) της εφαρμογής γεωεντοπισμού στην συσκευή “έξυπνου” κινητού του τηλεφώνου, όπως και η σχετική Οδηγία υπ’ αρ. 2/2011 της ΑΠΔΠΧ.

Δικαιώματα Κατόχου Συσκευής Γεωεντοπισμού
Το Ελληνικό Σύνταγμά αναγνωρίζει ως θεμελιώδες το δικαίωμα του καθενός στην προστασία από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων (9Α Σ). Κατ’ εφαρμογή του Συντάγματος ο εκτελεστικός αυτού Ν. 2472/1997 ορίζει ότι η επεξεργασία προσωπικών δεδομένων κατ’ αρχήν δεν επιτρέπεται χωρίς την συγκατάθεση του υποκειμένου των δεδομένων (άρθρο 5 παρ. 1 του νόμου). Στην περίπτωση που ο χρήστης της υπηρεσίας και ο φέρων τη συσκευή γεωεντοπισμού είναι διαφορετικά πρόσωπα, τότε ο τελευταίος, του οποίου τα δεδομένα καταγράφονται, χαρακτηρίζεται νομικά ως υποκείμενο δεδομένων και έχει τα αντίστοιχα δικαιώματα του Ν. 2472/1997.

Επομένως, πριν από την εγκατάσταση και χρήση συσκευής γεωεντοπισμού ο φέρων θα πρέπει να έχει προηγουμένως ενημερωθεί και, στη συνέχεια, να έχει συγκατατεθεί ως προς την επεξεργασία των προσωπικών του δεδομένων. Η προηγούμενη αυτή ενημέρωση περιλαμβάνει πληροφόρηση τουλάχιστον για το σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων που αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα (άρθρο 2 ια’ Ν. 2472/1997).

Στις περιπτώσεις κατά τις οποίες ο φέρων είναι ενήλικος και στερείται δικαιοπρακτικής ικανότητας τότε η συγκατάθεση για την επεξεργασία των προσωπικών του δεδομένων δίνεται εγγράφως από τον δικαστικό συμπαραστάτη (1666 επ. ΑΚ, παράγραφος 3 Απόφασης ΑΠΔΠΧ). Αν δεν συντρέχει η παραπάνω περίπτωση και δεν υφίσταται συγκατάθεση του φέροντος, τότε η επεξεργασία προσωπικών του δεδομένων δύναται να νομιμοποιείται, εφόσον είναι αναγκαία για την εκπλήρωση υποχρεώσεως του υπεύθυνου επεξεργασίας, η οποία επιβάλλεται από το νόμο, ή εφόσον είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου, εάν αυτό τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του (άρθρο 5 παρ. 2 β’ και γ’ Ν. 2472/1997). Επομένως, στην περίπτωση λόγου χάρη που ενήλικος δεν έχει τεθεί σε δικαστική συμπαράσταση, πάσχει ωστόσο από διανοητική ασθένεια, που καθιστά φυσικώς αδύνατη την παροχή της συγκατάθεσής του, τότε η χρήση υπηρεσιών γεωεντοπισμού για την ατομική του ασφάλεια και την παροχή υπηρεσιών σε περίπτωση εκτάκτου ανάγκης είναι νόμιμη, εφόσον είναι αναγκαία.

Στις περιπτώσεις, κατά τις οποίες ο φέρων είναι ανήλικος, για τη χρήση υπηρεσιών γεωεντοπισμού απαιτείται η συγκατάθεση των ασκούντων την γονική μέριμνα του ανηλίκου (1510 ΑΚ, παράγραφος 3 Απόφασης ΑΠΔΠΧ). Ωστόσο, η σχετική απόφαση των ασκούντων τη γονική μέριμνα πρέπει να αποβλέπει στο συμφέρον του ανηλίκου, αλλιώς ελέγχεται ως παράνομη εξαιτίας της βλάβης που προκαλεί σε αυτόν (1511 ΑΚ). Έτσι, σε υπηρεσίες γεωεντοπισμού με φέροντες ανηλίκους πρέπει να αξιολογείται κάθε φορά το εάν το δικαίωμα του ανηλίκου στην ιδιωτικότητα υπερισχύει του δικαιώματος πρόσβασης του γονέα στα δεδομένα του παιδιού του (παράγραφος 10 Απόφασης ΑΠΔΠΧ).

Οι διατάξεις διεθνούς προστασίας των δικαιωμάτων του παιδιού προβλέπουν ότι κανένα παιδί δεν θα πρέπει να αποτελέσει αντικείμενο αυθαίρετης ή παράνομης επέμβασης στην ιδιωτική του ζωή, στην οικογένειά του, στην κατοικία του ή στην αλληλογραφία του, άλλα ούτε παρανόμων προσβολών της τιμής και της υπόληψής του (άρθρο 16 της Σύμβασης των ΗΕ για τα Δικαιώματα του Παιδιού). Αντιστοίχως, η Ευρωπαϊκή Ομάδα Εργασίας του Άρθρου 29 διατυπώνει την άποψη ότι τα παιδιά δεν πρέπει να αντιμετωπίζονται για λόγους ασφάλειας με υπερβολική επιτήρηση η οποία μειώνει την αυτονομία τους αλλά ότι πρέπει να βρίσκεται ισορροπία μεταξύ της προστασίας της οικειότητας και της ιδιωτικής ζωής των παιδιών και της ασφάλειάς τους (Γνώμη 2/2009 Art29 WP). Στα πλαίσια δε ελέγχου της νομιμότητας κλειστών κυκλωμάτων τηλεόρασης η εγχώρια Αρχή Προστασίας έχει κρίνει ότι υπάρχει ο κίνδυνος να περιορισθεί η ανάπτυξη της έννοιας της ελευθερίας του παιδιού, εάν πιστέψει από μικρή ηλικία ότι είναι φυσιολογικό να παρακολουθείται μέσω καμερών (βλ. Οδηγία 1/2011 ΑΠΔΠΧ σχετικά με τη χρήση συστημάτων βιντεοεπιτήρησης, Απόφαση 77/2009 ΑΠΔΠΧ, Γνώμη 2/2009 Art29 WP).

Με βάση τα παραπάνω η ΑΠΔΠΧ έχει κρίνει σχετικά ότι θα πρέπει να γίνεται ενημέρωση του παιδιού, με περιεχόμενο προσαρμοσμένο στην ηλικία του, τόσο από τον πάροχο της υπηρεσίας όσο και από τον γονέα. Τα παιδιά πρέπει να συμμετέχουν στην απόφαση για τη χρήση μίας τέτοιας υπηρεσίας (1511 παρ. 3 ΑΚ). Συγκεκριμένα, εφόσον το επίπεδο ωριμότητας του παιδιού είναι επαρκώς υψηλό (γεγονός που πιθανολογείται ότι ισχύει σε παιδιά άνω των 14 ετών βλ. σχετικά διάταξη άρθρου 134 ΑΚ), ενδείκνυται, πέραν της συγκατάθεσης των γονέων που ασκούν την γονική μέριμνα, η την επιμέλεια αν έχει ανατεθεί σε έναν από αυτούς, αφού ενημερωθεί, για τη χρήση της υπηρεσίας γεωεντοπισμού, να ληφθεί και εκτιμηθεί η γνώμη του ανηλίκου, ως προς την χρησιμοποίηση ή μη της συσκευής, η οποία (χρησιμοποίηση) θα κατατείνει στην προστασία του και συνακόλουθα αφορά το συμφέρον του (παράγραφος 10 Απόφασης ΑΠΔΠΧ).

Τέλος, ο φέρων συσκευή γεωεντοπισμού έχει από τον νόμο τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης ως προς τα υπό επεξεργασία προσωπικά του δεδομένα (άρθρα 11, 12, 13 Ν. 2472/1997). Έτσι, έχει το δικαίωμα πλήρους ενημέρωσης σχετικά με τον ακριβή τρόπο επεξεργασίας των προσωπικών του δεδομένων, τον τρόπο πρόσβασης του χρήστη της υπηρεσίας σε αυτά, τα ειδικά χαρακτηριστικά της υπηρεσίας και τα μέτρα ασφαλείας που εφαρμόζει ο υπεύθυνος επεξεργασίας. Επίσης, έχει το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα, είτε αυτά είναι τα ευαίσθητα δεδομένα υγείας του ή τα δεδομένα γεωεντοπισμού. Τέλος, έχει το δικαίωμα να αντιταχθεί οποτεδήποτε στην επεξεργασία των προσωπικών του δεδομένων, γεγονός που θα έχει σαν συνέπεια την διακοπή χρήσης της υπηρεσίας (παράγραφος 4 Απόφασης).

Υποχρεώσεις Χρήστη Υπηρεσιών Γεωεντοπισμού
Ο χρήστης – τελικός καταναλωτής υπηρεσιών γεωεντοπισμού χαρακτηρίζεται ως υπεύθυνος επεξεργασίας από τον νόμο και φέρει τις ακόλουθες υποχρεώσεις σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία:

  • Υποχρέωση Γνωστοποίησης Αρχείου (άρθρο 6 Ν. 2472/1997) – Για τη διασφάλιση της νόμιμης συλλογής και επεξεργασίας προσωπικών δεδομένων ο χρήστης οφείλει να γνωστοποιήσει προηγουμένως στην ΑΠΔΠΧ τη σύσταση αρχείου προσωπικών δεδομένων.
  • Υποχρέωση Τήρησης Νομίμων Προϋποθέσεων Επεξεργασίας (άρθρο 5 Ν. 2472/1997) – Ο χρήστης των υπηρεσιών υποχρεούται να λαμβάνει την πληροφορημένη συγκατάθεση του φέροντος τη συσκευή γεωεντοπισμού, αφού τον έχει ενημερώσει καταλλήλως σύμφωνα με τον νόμο. Σε περίπτωση που ο φέρων τη συσκευή είναι ενήλικος και είναι σε δικαστική συμπαράσταση η συγκατάθεση δίνεται εγγράφως από τον δικαστικό συμπαραστάτη. Σε περίπτωση που ο φέρων τη συσκευή είναι ενήλικος και δεν είναι σε δικαστική συμπαράσταση αλλά αδυνατεί λόγω φυσικής αδυναμίας να παρέχει τη συγκατάθεσή του, η επεξεργασία των προσωπικών του δεδομένων με υπηρεσίες γεωεντοπισμού γίνεται νομίμως, εφόσον όμως είναι αναγκαία για την ατομική του ασφάλεια και την παροχή υπηρεσιών σε περίπτωση εκτάκτου ανάγκης. Σε περίπτωση που ο φέρων τη συσκευή είναι ανήλικος, η συγκατάθεση δίνεται νομίμως από τους ασκούντες την γονική του μέριμνα, εφόσον είναι προς το συμφέρον του και αφού έχει προηγουμένως ενημερωθεί, με περιεχόμενο προσαρμοσμένο στην ηλικία του.
  • Υποχρέωση Τήρησης των Νομίμων Χαρακτηριστικών της Επεξεργασίας (άρθρο 4 Ν. 2472/1997) – Ο χρήστης υποχρεούται, μεταξύ άλλων, να χρησιμοποιεί την υπηρεσία κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς, όπως λόγου χάρη για την ατομική ασφάλεια προσώπου, που έχει υπό την εποπτεία του. Επίσης, τα συλλεγόμενα δεδομένα θα πρέπει να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. Ιδιαίτερα, ως προς την χρήση υπηρεσιών γεωεντοπισμού σε ανηλίκους η επιτήρηση θα πρέπει να επεκτείνεται μόνο στις αναγκαίες περιόδους της ημέρας και πάντως όχι σε 24ωρη βάση. Τέλος, τα συλλεγόμενα δεδομένα θα πρέπει να διατηρούνται μόνο κατά τη διάρκεια της περιόδου που απαιτείται, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους και δη να διαγράφονται πάραυτα, αφότου η ασφάλεια του φέροντος τη συσκευή γεωεντοπισμού έχει διασφαλιστεί.
  • Υποχρέωση Ικανοποίησης Δικαιωμάτων Υποκειμένου Δεδομένων (άρθρα 11, 12, 13 Ν. 2472/1997) – Ο χρήστης των υπηρεσιών οφείλει με κατάλληλες διαδικασίες να ικανοποιεί τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης του φέροντος τη συσκευή γεωεντοπισμού.
  • Υποχρεώσεις Διαφύλαξης Απορρήτου Επεξεργασίας (άρθρο 10 Ν. 2472/1997) – Ο χρήστης των υπηρεσιών οφείλει να διαφυλάσσει το απόρρητο της επεξεργασίας και να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων.
  • Υποχρεώσεις κατά τη Συλλογή Ευαίσθητων Προσωπικών Δεδομένων – Αν η συλλογή και επεξεργασία δεδομένων κατά τη χρήση υπηρεσιών γεωεντοπισμού εμπλέκει ευαίσθητα προσωπικά δεδομένα, όπως δεδομένα υγείας, θα υπάγεται σε αυστηρότερες προϋποθέσεις. Έτσι, θα επιτρέπεται μόνο ύστερα από άδεια της ΑΠΔΠΧ, και μόνο εφόσον συντρέχουν μία ή και οι δύο από τις ακόλουθες προϋποθέσεις : (α) το υποκείμενο έδωσε τη γραπτή συγκατάθεσή του εκτός εάν η συγκατάθεση έχει αποσπασθεί με τρόπο που αντίκειται στο νόμο ή τα χρηστά ήθη ή νόμος ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση, ή (β) η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή προβλεπόμενου από το νόμο συμφέροντος τρίτου, εάν το υποκείμενο τελεί σε φυσική ή νομική αδυναμία να δώσει τη συγκατάθεσή του (άρθρο 7 παρ. 2 περ. α’ και β’ του Ν. 2472/1997).

Νομική Κάλυψη Παρόχου Υπηρεσιών Γεωεντοπισμού
Στις περισσότερες περιπτώσεις ο πάροχος υπηρεσιών γεωεντοπισμού δεν επιλέγει τον σκοπό και τον τρόπο της σχετικής επεξεργασίας προσωπικών δεδομένων, αφού κάτι τέτοιο καθορίζεται από τον χρήστη – καταναλωτή της υπηρεσίας. Τέτοιες είναι οι περιπτώσεις που ο πάροχος συμβάλλεται μεν με τον χρήστη της υπηρεσίας αλλά δεν επιλέγει ή δεν δύναται να επιλέγει ο ίδιος τον φέροντα τη συσκευή και, κατά συνέπεια, δεν γνωρίζει την ταυτότητα του τελευταίου και δεν δύναται να συνδέσει τα καταγραφόμενα δεδομένα με ορισμένο φυσικό πρόσωπο. Επιπλέον, δεν επιλέγει τους σκοπούς καταγραφής των προσωπικών δεδομένων του φέροντος τη συσκευή, ο καθορισμός των οποίων εμπίπτει στη διακριτική ευχέρεια του χρήστη της υπηρεσίας. Τέλος, δεν επιλέγει και τους τρόπους επεξεργασίας, αφού αυτοί δύνανται να είναι περισσότεροι του ενός (λχ. υπηρεσία στίγματος σε χάρτη, υπηρεσία συναγερμού, κουμπί πανικού), ανάλογα με την πολυπλοκότητα της παρεχόμενης υπηρεσίας, και επομένως και αυτών η επιλογή ανήκει στη διακριτική ευχέρεια του χρήστη. Συνεπώς, είναι πιο ορθό να κριθεί ότι στις παραπάνω περιπτώσεις ο πάροχος συνεπικουρεί τον χρήστη ως εκτελών την επεξεργασία για λογαριασμό του και φέρει τις αντίστοιχες υποχρεώσεις του εκτελούντος την επεξεργασία σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία (βλ. εντούτοις παράγραφο 5.1.2 Γνώμης 13/2011 Art29 WP).

Ως εκτελών την επεξεργασία σε υπηρεσίες γεωεντοπισμού ο πάροχος κρίνεται σκόπιμο να δεσμεύει εγγράφως τον χρήστη – καταναλωτή της υπηρεσίας με αναλυτικούς ΓΟΣ για την εκτέλεση από τον τελευταίο των υποχρεώσεών του, που αναλύονται παραπάνω. Έτσι, η κατάρτιση κατάλληλων ΓΟΣ για υπηρεσίες γεωεντοπισμού θα λειτουργήσει τόσο στην κατεύθυνση της διασφάλισης των συμφερόντων του παρόχου όσο και της πληροφόρησης του καταναλωτή για τις υποχρεώσεις του, που απορρέουν από το δίκαιο προστασίας προσωπικών δεδομένων.

Περαιτέρω, ο πάροχος υπηρεσιών γεωεντοπισμού φέρει τις ακόλουθες υποχρεώσεις σύμφωνα με τον Ν. 2472/1997 και την κείμενη νομοθεσία :

  1. Υποχρέωση Παροχής Νόμιμης Ηλεκτρονικής Συγκατάθεσης από τον Χρήστη της Υπηρεσίας (άρθρο 5 παρ. 3 Ν. 3471/2006) – Κατά την συγκατάθεση του χρήστη με ηλεκτρονικά μέσα για την καταφόρτωση (“download”) της εφαρμογής γεωεντοπισμού στην συσκευή “έξυπνου” κινητού του τηλεφώνου ο πάροχος οφείλει να εξασφαλίζει ότι ο χρήστης ενεργεί με πλήρη επίγνωση των συνεπειών που έχει η δήλωση του η οποία καταγράφεται με ασφαλή τρόπο, είναι ανά πάσα στιγμή προσβάσιμη στον χρήστη και μπορεί οποτεδήποτε να ανακληθεί. Ειδικότερες υποχρεώσεις για την νόμιμη παροχή της ηλεκτρονικής συγκατάθεσης του χρήστη προβλέπονται στην σχετική Οδηγία υπ’ αρ. 2/2011 της ΑΠΔΠΧ.
  2. Υποχρεώσεις σε Σχέση με τον Σχεδιασμό της Υπηρεσίας – Ο πάροχος θα πρέπει να έχει σχεδιάσει με τέτοιο τρόπο την υπηρεσία, ώστε να είναι ανά πάσα στιγμή σαφές στον κάτοχο της συσκευής γεωεντοπισμού πότε αυτή είναι ενεργοποιημένη και καταγράφει τα προσωπικά του δεδομένα, λόγου χάρη με σχετική ένδειξη “on” (βλ. παράγραφο 5.2.1 Γνώμης 13/2011 της Ομάδας Εργασίας του Άρθρου 29)
  3. Υποχρέωση Συνδρομής στην Ικανοποίηση Δικαιωμάτων Υποκειμένου Δεδομένων (άρθρα 11, 12, 13 Ν. 2472/1997) – Ο πάροχος υποχρεούται να συνδράμει με κατάλληλες διαδικασίες τον χρήστη των υπηρεσιών, προκειμένου ο τελευταίος να είναι σε θέση να ικανοποιεί τα δικαιώματα ενημέρωσης, πρόσβασης και αντίρρησης του φέροντος τη συσκευή γεωεντοπισμού.
  4. Υποχρεώσεις Διαφύλαξης Απορρήτου Επεξεργασίας (άρθρο 10 παρ. 3 Ν. 2472/1997) – Ο πάροχος πρέπει να λαμβάνει όλες τις αναγκαίες προφυλάξεις, ώστε να διατηρούνται τα δεδομένα ασφαλή και να παρεμποδίζεται η μη εξουσιοδοτημένη πρόσβαση σε αυτά, ιδίως με τη θέσπιση μέτρων επαλήθευσης και εξακρίβωσης της ταυτότητας. Ο λογαριασμός χρήστη και το συνθηματικό που αρχικά δίνεται στο συνδρομητή θα πρέπει να αλλάζεται υποχρεωτικά από τον ίδιο με την πρώτη του είσοδο στο διαδικτυακό τόπο. Θα πρέπει επίσης να έχει ελάχιστο μήκος 8 χαρακτήρες και να ορίζονται κανόνες πολυπλοκότητας. Πρέπει να τηρούνται αρχεία καταγραφής για τις ατομικές προσβάσεις των χρηστών του συστήματος, καθώς και διαδικασίες τακτικής επίβλεψης των αρχείων καταγραφής, προκειμένου να ανιχνεύεται έγκαιρα περιστατικό παραβίασης ασφαλείας. Κατά τη μεταφορά μέσω ανοικτών δικτύων, όπως το διαδίκτυο, προσωπικών δεδομένων γεωεντοπισμού, τα δεδομένα πρέπει να προστατεύονται μέσω κρυπτογράφησης. Αναγκαία είναι η εφαρμογή μέτρων φυσικής ασφάλειας των αποθηκευμένων δεδομένων των συστημάτων εντοπισμού GPS, ώστε να αποφεύγεται η διάδοσή τους σε μη νόμιμους αποδέκτες (παράγραφος 5 Απόφασης).
  5. Υποχρεώσεις σε σχέση με το Προσωπικό (άρθρο 10 παρ. 1 και 2 Ν. 2472/1997) – Η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να διεξάγεται αποκλειστικά και μόνο από το προσωπικό του παρόχου και μόνο κατ` εντολήν του. Τα πρόσωπα αυτά θα πρέπει να έχουν αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου. Για τυχόν ανάθεση από τον πάροχο της εκτέλεσης της επεξεργασίας σε τρίτους απαιτείται η προηγούμενη έγγραφη συναίνεση του χρήστη – καταναλωτή της υπηρεσίας. Η ανάθεση θα πρέπει να γίνεται με έγγραφη σύμβαση, που θα προβλέπει τις ίδιες ακριβώς υποχρεώσεις για τον τρίτο, που περιγράφονται επί του παρόντος.

Τέλος, μολονότι όπως αναφέρθηκε, στις περισσότερες των περιπτώσεων ο πάροχος δεν θεωρείται με βάση τον νόμο ως υπεύθυνος επεξεργασίας αλλά ως εκτελών την επεξεργασίας, εντούτοις και για λόγους ασφάλειας δικαίου κρίνεται σκόπιμη η υποβολή στην ΑΠΔΠΧ γνωστοποίησης αρχείου για την παροχή υπηρεσιών γεωεντοπισμού.

Διοικητικές & Ποινικές Κυρώσεις

Σε περίπτωση παραβίασης των υποχρεώσεών τους, όπως περιγράφονται επί του παρόντος, η ΑΠΔΠΧ επιβάλλει στους υπεύθυνους επεξεργασίας ή στους τυχόν εκπροσώπους τους τις ακόλουθες διοικητικές κυρώσεις (άρθρο 21 Ν. 2472/1997) :

α) Προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης.
β) Πρόστιμο ποσού από τριακόσιες χιλιάδες (300.000) έως πενήντα εκατομμύρια (50.000.000) δραχμές.
γ) Προσωρινή ανάκληση άδειας.
δ) Οριστική ανάκληση άδειας.
ε) Καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή, επιστροφή ή κλείδωμα (δέσμευση) των σχετικών δεδομένων.

Ως προς τις σχετικές ποινικές κυρώσεις προβλέπεται ότι όποιος παραλείπει να γνωστοποιήσει στην ΑΠΔΠΧ τη σύσταση και λειτουργία αρχείου ή οποιαδήποτε μεταβολή στους όρους και τις προυποθέσεις χορηγήσεως της άδειας, που προβλέπεται από την παρ. 3 του άρθρου 7 του παρόντος νόμου, τιμωρείται με φυλάκιση έως τριών (3) ετών και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών. Περαιτέρω, όποιος διατηρεί αρχείο χωρίς άδεια ή κατά παράβαση των όρων και προϋποθέσεων της άδειας της Αρχής, τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) δραχμών έως πέντε εκατομμυρίων (5.000.000) δραχμών (άρθρο 22 Ν. 2472/1997).

Περισσότερα
Νόμος 2472/1997 για την προστασία δεδομένων προσωπικού χαρακτήρα.
Υπ’ αρ. 2/2011 Οδηγία ΑΠΔΠΧ για την ηλεκτρονική συγκατάθεση.
Υπ’ αρ. 112/2012 απόφαση ΑΠΔΠΧ σχετικά με γνωστοποιήσεις υπηρεσιών γεωεντοπισμού από επιχειρήσεις.
Γνώμη 2/2009 της Ομάδας Εργασίας του Άρθρου 29 για την Προστασία Προσωπικών Δεδομένων των Παιδιών.
Γνώμη 13/2011 της Ομάδας Εργασίας του Άρθρου 29 για τις Υπηρεσίες Γεωεντοπισμού σε Συσκευές Έξυπνων Κινητών Τηλεφώνων.
Γνώμη 2/2013 της Ομάδας Εργασίας του Άρθρου 29 για Εφαρμογές Λογισμικού σε Συσκευές Έξυπνων Κινητών Τηλεφώνων.
Σύμβαση των ΗΕ για τα Δικαιώματα του Παιδιού.