Υποχρεώσεις υπευθύνων επεξεργασίας

Γενικά

Οι εταιρείες που χρησιμοποιούν αυτοματοποιημένα μέσα επικοινωνίας, προκειμένου να διαφημιστούν στο αγοραστικό κοινό, πρέπει να φροντίζουν ώστε να είναι σύννομες με τα οριζόμενα στο άρθρο 11 του ν. 3471/2006. Θα πρέπει, επίσης, να γνωρίζουν ότι σε περίπτωση πραγματοποίησης αζήτητης επικοινωνίας ενδέχεται να υποστούν από την Αρχή τις προβλεπόμενες διοικητικές κυρώσεις.

Οι υπεύθυνοι επεξεργασίας είναι υπόλογοι στην Αρχή για κάθε διαφημιστική ενέργεια μέσω αζήτητης επικοινωνίας που τους αφορά, ακόμα και αν αυτή πραγματοποιηθεί μέσω συνεργασίας με κάποια εταιρεία προώθησης πωλήσεων. Σε περίπτωση, λοιπόν, που ο υπεύθυνος επεξεργασίας χρησιμοποιήσει κάποια λίστα παραληπτών, η οποία του παρέχεται από τρίτο (π.χ. εταιρεία προώθησης πωλήσεων), θα πρέπει ο τρίτος να του αποδείξει τη νόμιμη δημιουργία της λίστας αυτής (προηγούμενη ενημέρωση και συγκατάθεση των κατόχων των ηλεκτρονικών διευθύνσεων που περιέχονται σε αυτήν).

Η Αρχή έχει επιβάλει στο παρελθόν (βλ. ενδεικτικά αποφάσεις 83/2009, 59/2011, 78/2016 και 50/2017) διοικητικές κυρώσεις για αποστολή αζήτητης ηλεκτρονικής επικοινωνίας μέσω ηλεκτρονικού ταχυδρομείου, φαξ ή σύντομων γραπτών μηνυμάτων (SMS). Οι κυρώσεις αυτές ξεκινούσαν από την επιβολή χρηματικού προστίμου και έφταναν έως και την καταστροφή αρχείου με παράνομα κτηθέντα προσωπικά δεδομένα (διευθύνσεις ηλ. ταχυδρομείου).

 

Νόμιμη ηλεκτρονική αποστολή διαφημιστικών μηνυμάτων (χωρίς να κάνω spam)

Αν σκοπεύετε να διαφημίσετε τα προϊόντα ή τις υπηρεσίες σας με την αποστολή ηλεκτρονικών μηνυμάτων (π.χ. με αποστολή ενημερωτικών δελτίων, προσφορών, προσκλήσεων), διαβάστε προσεκτικά τις παρακάτω ειδικότερες ερωτήσεις-απαντήσεις:

 

i) Χρειάζομαι ή όχι τη συγκατάθεση των παραληπτών για την αποστολή μηνυμάτων;

 

  • Αν δεν είχατε προηγούμενη συναλλαγή με τους παραλήπτες, πριν από την αποστολή οποιουδήποτε μηνύματος πρέπει να έχετε λάβει εγγράφως ή ηλεκτρονικά τη συγκατάθεσή τους.
  • Αν είχατε προηγούμενη συναλλαγή με τους παραλήπτες κατά την οποία έχετε λάβει τα στοιχεία επικοινωνίας τους, μπορείτε να απευθύνετε ηλεκτρονικά μηνύματα σε αυτούς χωρίς τη συγκατάθεσή τους μόνο όταν αυτά αφορούν την προώθηση παρόμοιων προϊόντων ή υπηρεσιών ή άλλων παρόμοιων διαφημιστικών σκοπών.

 

ii) Τι πληροφορίες πρέπει να παρέχω στους παραλήπτες κατά το στάδιο συλλογής των δεδομένων τους;

 

  • Σε κάθε περίπτωση και οπωσδήποτε πριν από τη λήψη της συγκατάθεσης πρέπει να ενημερώνετε τους παραλήπτες των μηνυμάτων σχετικά με την ταυτότητά σας (π.χ. επωνυμία, διεύθυνση, τηλέφωνο και διεύθυνση ηλεκτρονικού ταχυδρομείου), τον σκοπό της επεξεργασίας των δεδομένων, την ύπαρξη του δικαιώματος πρόσβασης, καθώς και τους πιθανούς αποδέκτες των δεδομένων (π.χ. τρίτες συνεργαζόμενες με εσάς εταιρείες).
  • Κατά την ενημέρωση σχετικά με τους αποδέκτες των δεδομένων θα πρέπει να αναφέρετε συγκεκριμένα τους εν λόγω αποδέκτες (π.χ. εταιρεία Χ, Ψ) ή τη γενική επαγγελματική κατηγορία στην οποία εντάσσονται οι αποδέκτες (π.χ. εταιρείες πώλησης ηλεκτρονικών ειδών).

 

iii) Πώς μπορώ να λαμβάνω νόμιμα τη συγκατάθεση των παραληπτών;

 

  • Μπορείτε να λαμβάνετε τη συγκατάθεση των παραληπτών σε έντυπη μορφή, για παράδειγμα μέσω διανομής διαφημιστικών εντύπων σε εκθέσεις ή παρουσιάσεις προϊόντων.
  • Μπορείτε επίσης να λαμβάνετε τη συγκατάθεση σε ηλεκτρονική μορφή, π.χ. με χρήση συστήματος κατά το οποίο γίνεται και έλεγχος των ηλεκτρονικών δεδομένων του παραλήπτη (σύστημα «double opt-in» ή «verified opt-in»). Για το συγκεκριμένο θέμα συμβουλευτείτε την Οδηγία 2/2011 της Αρχής για την ηλεκτρονική συγκατάθεση.
  • Σε κάθε περίπτωση θα πρέπει να έχετε προηγουμένως ενημερώσει τον παραλήπτη κατά τον τρόπο που αναφέρθηκε στην ερώτηση ii) παραπάνω, παρέχοντας επίσης πληροφορία σχετικά με τη δυνατότητα μετέπειτα διαγραφής του από το αρχείο σας (ή αλλιώς ανάκλησης της συγκατάθεσής του).
  • Η δήλωση της συγκατάθεσης σε κάθε περίπτωση πρέπει να είναι ρητή, π.χ. ο παραλήπτης να επιλέγει τη συγκατάθεση και όχι το σχετικό πεδίο να είναι προεπιλεγμένο.
  • Όταν τα δεδομένα των παραληπτών διαβιβάζονται σε τρίτους αποδέκτες (π.χ. συνεργαζόμενες εταιρείες), η συγκατάθεση για τη διαβίβαση θα πρέπει να λαμβάνεται σε ξεχωριστό πεδίο (ξεχωριστά για κάθε αποδέκτη ή ανά κατηγορία αποδεκτών, όπως αναφέρεται στην ερώτηση ii) παραπάνω).
  • Η συγκατάθεση που δίνεται για συγκεκριμένη εταιρεία δεν ισχύει για όλες τις εταιρείες του ομίλου, εκτός αν γι’ αυτό ενημερώνεται ρητώς ο παραλήπτης και δίνει τη συγκατάθεσή του σε ξεχωριστό πεδίο για κάθε εταιρεία ή επαγγελματική κατηγορία εταιρειών του ομίλου.
  • Δεν θα πρέπει να χρησιμοποιείται η πρακτική της αποστολής μηνύματος πρόσκλησης (invitation e-mail) με σκοπό τη λήψη της συγκατάθεσης του παραλήπτη. Στα μηνύματα αυτά ο αποστολέας συνήθως δηλώνει την επαγγελματική του ταυτότητα και ρωτάει τον παραλήπτη αν θέλει να λαμβάνει διαφημιστικά μηνύματα που αφορούν την εταιρεία του.
  • Δεν πρέπει να ζητάτε από τους παραλήπτες των μηνυμάτων σας να τα προωθούν σε τρίτους ή να σας χορηγήσουν τις διευθύνσεις τρίτων, εκτός και αν έχουν λάβει προηγουμένως τη συγκατάθεση των τρίτων (πρακτική γνωστή και ως viral marketing, δείτε εδώ.

 

iv) Τι διαδικασίες πρέπει να ακολουθώ ως προς τη διαχείριση των συγκαταθέσεων των συνδρομητών;

 

  • Θα πρέπει να τηρείτε τις δηλώσεις συγκατάθεσης των παραληπτών σε ειδικό αρχείο.
  • Επίσης πρέπει να παρέχετε σαφή διαδικασία με την οποία να μπορεί ο παραλήπτης να ανακαλέσει τη συγκατάθεσή του και να ζητήσει τη διαγραφή του από τη λίστα παραληπτών ηλεκτρονικών μηνυμάτων.
  • Στο ίδιο ή σε διαφορετικό αρχείο με αυτό των συγκαταθέσεων πρέπει να τηρείτε και τις αιτήσεις διαγραφής των παραληπτών, όπου θα καταγράφεται η ημερομηνία της διαγραφής του παραλήπτη, καθώς και τα στοιχεία επικοινωνίας του στα οποία αποστέλλονταν τα ηλεκτρονικά σας μηνύματα (π.χ. ηλεκτρονική διεύθυνση).

 

v) Τι διαδικασίες πρέπει να ακολουθώ ως προς τη διαχείριση του αρχείου προσωπικών δεδομένων των παραληπτών;

 

  • Θα πρέπει να παρέχετε στους παραλήπτες δυνατότητα ενημέρωσης για τα προσωπικά δεδομένα που τηρείτε στο αρχείο σας, δυνατότητα πρόσβασης σε αυτά τα δεδομένα, καθώς και δυνατότητα διόρθωσης, κατόπιν αίτησής τους, εφόσον υπάρχουν σφάλματα στις καταχωρίσεις ή επιδιώκεται η επικαιροποίηση των υφιστάμενων στοιχείων.
  • Επίσης, θα πρέπει να λαμβάνετε όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την ασφάλεια του αρχείου ή αλλιώς τη διαφύλαξη της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των δεδομένων.
  • Καλή πρακτική αποτελεί να διαθέτετε διαδικασία παρακολούθησης και χειρισμού των παραπόνων για αποστολή αζήτητης επικοινωνίας.

 

vi) Τι πρέπει να γνωρίζω αν συνεργάζομαι με κάποια εταιρεία προώθησης πωλήσεων για τη διαφήμιση των προϊόντων ή υπηρεσιών μου;

 

  • Οι συνεργαζόμενες εταιρείες πρέπει να χρησιμοποιούν καταρχήν τη δική σας λίστα παραληπτών, παρέχοντας μόνο τα μέσα αποστολής των ηλεκτρονικών μηνυμάτων (την πλατφόρμα της διαφήμισης).
  • Σε περίπτωση που οι εταιρείες διατηρούν δική τους λίστα πρέπει να μπορούν να εξασφαλίζουν ότι έχουν λάβει τη συγκατάθεση των παραληπτών όσον αφορά τον συγκεκριμένο τύπο διαφήμισης που θέλετε να πραγματοποιήσετε (π.χ. οι παραλήπτες να έχουν δηλώσει ότι ενδιαφέρονται να λαμβάνουν διαφημιστικά μηνύματα για κάποιο είδος προϊόντων ή υπηρεσιών).
  • Θα πρέπει να έχετε δυνατότητα ελέγχου της λίστας των παραληπτών και του τρόπου αποστολής των μηνυμάτων (συγκατάθεση, αρχείο διαγραφών, κ.λπ.), σύμφωνα με όσα αναφέρθηκαν παραπάνω.
  • Όλα τα ανωτέρω πρέπει να προβλέπονται στη σύμβασή σας με τη διαφημιστική εταιρεία.

 

Τα παραπάνω σημεία πρέπει να λαμβάνονται υπόψη είτε όταν η αποστολή των μηνυμάτων γίνεται με μη αυτόματο τρόπο, είτε όταν γίνεται με αυτοματοποιημένο τρόπο, π.χ. με τη χρήση ειδικού λογισμικού μαζικής αποστολής μηνυμάτων ηλεκτρονικού ταχυδρομείου.

 

Παράνομη συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου

Η χρήση διευθύνσεων ηλεκτρονικού ταχυδρομείου για την αποστολή διαφημιστικών μηνυμάτων ή για την εμπορία των διευθύνσεων αυτών είναι παράνομη όταν αυτές συλλέγονται:

  • Με αγορά ή δωρεάν προμήθεια λιστών ηλεκτρονικών διευθύνσεων από εταιρείες ή οργανισμούς που έχουν συλλέξει τις διευθύνσεις με τρόπο παράνομο και αθέμιτο, δηλαδή χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των κατόχων των ηλεκτρονικών διευθύνσεων. Δείτε την Απόφαση 83/2009 της Αρχής για περισσότερες πληροφορίες.
  • Από καταλόγους που δεν έχουν συσταθεί για τον σκοπό της απευθείας εμπορικής προώθησης ή κάθε άλλου είδους διαφήμισης και τα πρόσωπα που περιέχονται σε αυτούς δεν έχουν δώσει τη συγκατάθεση τους για τη λήψη τέτοιας μορφής ηλεκτρονικής επικοινωνίας. Παραδείγματα αποτελούν οι κατάλογοι των επαγγελματικών ενώσεων, των σωματείων, συλλόγων, κατάλογοι εκθέσεων (π.χ. συγκεκριμένων επαγγελματικών κλάδων, οι κατάλογοι στοιχείων επαφής συνδρομητών ), κ.λπ.
  • Μέσω Διαδικτύου (harvesting), όπως από χώρους συζητήσεων (forum), ιστολόγια (blog), ιστοσελίδες (π.χ. όταν περιέχουν ηλεκτρονικές διευθύνσεις χρηστών ή κοινών διευθύνσεων επαφής εταιριών τύπου «info@company.gr», «noc@company.gr»), υπηρεσίες κοινωνικής δικτύωσης, ενημερωτικές λίστες ηλεκτρονικού ταχυδρομείου (mailing lists), διαδικτυακές υπηρεσίες πληροφοριών καταλόγου (white yellow pages), κ.ά. Αυτά ισχύουν, ανεξαρτήτως εάν η συλλογή διευθύνσεων πραγματοποιείται χειροκίνητα ή αυτόματα (π.χ. μέσω προγραμμάτων αράχνης (web crawler)).
  • Από τρίτους, για παράδειγμα από άτομα που δίνουν τις διευθύνσεις φίλων τους χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των φίλων αυτών.