Μια υπόθεση θρίλερ που ίσως αλλάξει θεαματικά το ζήτημα της προστασίας των προσωπικών δεδομένων ήταν η τολμηρή απόφαση της Γαλλίας να επιβάλλει αστρονομικά πρόστιμα στις αυτοκρατορίες Google και Amazon. Η Ισμήνη Ρηγοπούλου, νομικός που εργάζεται στην αρμόδια νομική αρχή στο Παρίσι, μας περιγράφει βήμα-βήμα πώς φτάσαμε στην απόφαση, τι σημαίνει και τις αλλαγές που έρχονται.
Η είδηση έκανε τον γύρο του κόσμου, κυρίως στην Ευρώπη, προκαλώντας έκπληξη αλλά και μια σχεδόν άγρια χαρά στους πολίτες: η CNIL, η Γαλλική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο ύψους 100 εκατομμυρίων στην Google και 35 εκατομμυρίων ευρώ στην Amazon όσον αφορά στη χρήση και εγκατάσταση cookies στους υπολογιστές εκατομμυρίων πολιτών, εν αγνοία τους. Στην ομάδα αυτή δουλεύει εδώ και τέσσερα χρόνια μια Ελληνίδα, η Ισμήνη Ρηγοπούλου. Η νομικός, μόλις 33 ετών, με τις ήδη εντυπωσιακές υποθέσεις σε θέματα προστασίας μιλά στο iefimerida.gr για το σύμπαν των αλλαγών που έρχονται στον χάρτη της προστασίας των δεδομένων μας. Αλλωστε ήταν και παραμένει στην ομάδα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων που διερμηνεύει και επιβάλει το περίφημο GDPR. Το μήνυμα είναι ένα: οι πολίτες και μόνο αυτή πρέπει να αποφασίζουν για τα προσωπικά τους δεδομένα. Και έχουν τα εργαλεία για να το κάνουν!
Εχει ενδιαφέρον ότι το πρόστιμο μαμούθ της CNIL σε Google και Αmazon προκάλεσε μεγάλη αίσθηση.
Η προστασία προσωπικών δεδομένων είναι απαραίτητη για τους πολίτες, ενώ για τις εταιρείες αποτελεί ουσιαστικά θέμα ανταγωνισμού. Ολες οι ευρωπαϊκές αρχές προστασίας προσωπικών δεδομένων βρίσκονται στο επίκεντρο του ενδιαφέροντος, διότι με τον νέο κανονισμό GDPR μας έχουν δοθεί περισσότερες δυνάμεις, κυρίως για την επιβολή κυρώσεων. Είμαστε πιο δυνατοί και ο κόσμος περιμένει να κάνουμε κάτι, να βοηθήσουμε. Να δώσουμε στους πολίτες τον έλεγχο των προσωπικών τους δεδομένων.
Να έχω εγώ και μόνο εγώ τον έλεγχο των προσωπικών μου δεδομένων, χωρίς τρικλοποδιές ή γκρίζα τοπία…
Αυτός είναι ο σκοπός του GDPR και ήταν συνειδητή επιλογή της Ευρώπης να βάλει τον πολίτη στο επίκεντρο της ψηφιακής ρύθμισης. Να είναι ο πολίτης ο κυρίαρχος των προσωπικών του δεδομένων, αυτός που θα ασκεί τα δικαιώματά του με όποιον τρόπο θέλει. Οι εταιρείες πρέπει να καταλάβουν ότι το GDPR είναι ένα όπλο για αυτές, ότι οι αρχές προστασίας δεδομένων δεν είναι εδώ μόνο για τις κυρώσεις, αλλά και για τις βοηθήσουν. Τουλάχιστον στην CNIL (Commission Nationale Informatique & Libertés) έχουμε ένα πολύ μεγάλο τμήμα στο οποίο επικεντρωνόμαστε για να βοηθήσουμε τις εταιρείες να συμμορφωθούν. Τακτικά δημοσιεύουμε κατευθυντήριες γραμμές, συστάσεις, έχουμε διαρκή επικοινωνία. Υπάρχουν πολλοί τρόποι να βοηθήσουμε τις εταιρείες να συμμορφωθούν.
Είναι εντυπωσιακό πόσο μεγάλη έκταση πήρε η είδηση αυτή στα ελληνικά μέσα ενημέρωσης. Εχει ενδιαφέρον η ανταπόκριση στην είδηση…
Ναι, ίσως επειδή έχει αρχίσει ο πολίτης να καταλαβαίνει το κλειδί που του έχει δοθεί. Ό,τι βλέπει πως μία αρχή προστασίας προσωπικών δεδομένων τον προστατεύει. Επίσης αυτή δεν είναι η πρώτη κύρωση της CNIL στην Google.
Aν δεν κάνω λάθος πέρυσι επιβλήθηκε πρόστιμο 50 εκατομμυρίων; Αλήθεια τι κατάληξη είχε αυτή η υπόθεση;
Ναι ακριβώς. Η Google είχε κάνει τότε προσφυγή στο Ανώτατο Δικαστήριο στη Γαλλία, αλλά το Συμβούλιο της Επικρατείας επικύρωσε την ποινή της CNIL. Φυσικά η ίδια διαδικασία μπορεί να επιβληθεί και με το πρόστιμο των 100 εκατομμυρίων για την Google και των 35 εκατομμυρίων ευρώ για την Αmazon.
To 2019 οι γαλλικές αρχές είχαν επιβάλλει ένα υψηλό πρόστιμο στην Google, εκείνη την φορά για θέματα φοροδιαφυγής. Νομίζω αναπτύσσεται ένα σθεναρό μέτωπο από την πλευρά της Γαλλίας απέναντι στην αυτοκρατορία της Google. Δεν το έχουμε δει έτσι αλλού, τουλάχιστον στην Ευρώπη.
Εχουμε παρατηρήσει ότι στη Γαλλία το Google είναι ο κυρίαρχος στις διαδικτυακές αναζητήσεις. Περισσότερο από 90% των Γάλλων χρησιμοποιούν το Google. Eχουμε 47 εκατομμύρια χρήστες της Google στη Γαλλία! Επίσης η βασική δραστηριότητα είναι το display advertising – η τοποθέτηση διαφημίσεων- για την Google, οπότε είναι σημαντικό να κοντρολάρουμε την μεγαλύτερη της δραστηριότητα.
Γιατί ξαφνικά βλέπουμε τόσο υψηλά πρόστιμα;
Παλιά, πριν το GDPR, οι αρχές προστασίας προσωπικών δεδομένων δεν είχαν πολλά εργαλεία και δυνάμεις, για αυτό οι κυρώσεις ήταν λιγότερο ισχυρές. Συνεπώς οι μεγάλες εταιρείες όπως η Google και η Αmazon δεν ενδιαφέρονταν και τόσο πολύ για το πρόστιμο. Προτιμούσαν να πληρώσουν το πρόστιμο παρά να συμμορφωθούν, ίσως επειδή τους στοίχιζε περισσότερο το να συμμορφωθούν. Τώρα όμως, τα πρόστιμα «πονάνε» πιο πολύ. Στην συγκεκριμένη περίπτωση έχουμε τριπλή κύρωση: είναι το χρηματικό πρόστιμο, είναι η δημοσίευση του προστίμου που επηρεάζει σημαντικά τη φήμη της εταιρείας, αλλά είναι και η υποχρέωση να συμμορφωθούν με τις οδηγίες της CNIL μέσα σε τρεις μήνες. Πρόκειται για τριπλή και σημαντική η κύρωση.
Αν δεν συμμορφωθούν το πρόστιμο είναι 100.000 για κάθε μέρα;
Ακριβώς, για κάθε μέρα που περνάει μετά τους τρεις μήνες, το πρόστιμο ανέρχεται στις 100.000 ευρώ ημερησίως.
Τι άλλαξε για να φτάσουμε σε αυτά τα υψηλά ποσά και με ποια λογική καθορίζεται το ύψος του προστίμου; Υπάρχει κάτι σαν «μενού κυρώσεων»;
Καθορίζονται ουσιαστικά από το είδος της παραβίασης. Στην συγκεκριμένη περίπτωση έχουμε τρεις παραβιάσεις, οι οποίες πρέπει να υπογραμμίσω ότι δεν ήταν πάνω σε καινούριες υποχρεώσεις του GDPR, αλλά ήταν πάνω σε θεμελιώδεις αρχές.
Ποιες είναι αυτές οι παραβιάσεις θεμελιωδών αρχών που έκανε η Google;
Η πρώτη ότι δεν υπήρχε ελεύθερη συγκατάθεση του Γάλλου πολίτη για να μπουν τα cookies στην αναζήτησή του. Επίσης, δεν υπήρχε ενημέρωση του πολίτη όσον αφορά στη χρήση των cookies, ενώ εκεί που υπήρχε ενημέρωση η διατύπωση δεν ήταν σαφής, ούτε πλήρης. Συνεπώς ο πολίτης δεν μπορούσε να πάρει ελεύθερα και ενημερωμένα μια απόφαση. Επίσης, στην περίπτωση της Google -όχι της Amazon- υπήρχε μόνο μερικά η δυνατότητα για τον πολίτη να ασκήσει το δικαίωμα εναντίωσης, μη αποδοχής. Διότι παρότι η Google είχε βάλει ένα εργαλείο για αυτό το σκοπό, ένα από τα cookies της Google παρέμενε αποθηκευμένο στον υπολογιστή και συνέχιζε να διαβάζει πληροφορίες.
Εν αγνοία του πολίτη, δηλαδή!
Ακριβώς. Ενώ ο χρήστης είχε ασκήσει το δικαίωμα εναντίωσης. Για αυτό για την Google ήταν τριπλή η παραβίαση, ενώ για την Αmazon διπλή.
Συμπεραίνω ότι αθροίστηκαν τα ποσά προστίμου που αντιστοιχούν σε κάθε μία από αυτές τις παραβιάσεις για να προκύψουν οι εντυπωσιακές κυρώσεις τελικά.
Ουσιαστικά το ποσό του προστίμου διευκρινίζεται από το ίδιο το GDPR, έχουμε κάποιο όριο προστίμου που μπορούμε να επιδώσουμε. Ορίζεται δηλαδή από την ευρωπαϊκή νομοθεσία.
Ο αριθμός των χρηστών που χρησιμοποιούν το Google, επηρεάζει το ύψος του προστίμου;
Ναι, αλλά βασικά αυτό που επηρεάζει είναι το μέγεθος των εταιρειών και ο κεντρικός ρόλος των δραστηριοτήτων τους, δηλαδή για την Google οι διαφημίσεις.
Αρα, η δημιουργία κέρδους.
Ακριβώς.
Εσείς χρησιμοποιείτε Google και Αmazon;
Google ναι, αυτό χρησιμοποιώ για τις αναζητήσεις μου, έχοντας ρυθμίσει τις επιλογές σχετικά με τη χρήση των προσωπικών μου δεδομένων.
Πρόσφατα ένα άρθρο στους New York Times επεσήμανε πόσο ασαφή είναι τα κείμενα της Google σχετικά με τα προσωπικά δεδομένα. Εγραφε μάλιστα ο αρθρογράφος ότι ενώ το 1999 χρειάζονταν 2 λεπτά για να διαβάσεις το σχετικό κείμενο, το 2018 χρειαζόσουν μισή ώρα. Είναι άραγε και αυτό ενδεικτικό της στάσης των συγκεκριμένων εταιρειών απέναντι σε ζητήματα ιδιωτικότητας και της σαφούς διατύπωσης του πλαισίου της;
Ναι σίγουρα. Βέβαια το Ευρωπαϊκό Συμβούλιο Προστασίας Προσωπικών Δεδομένων έχει δημοσιεύσει κατευθυντήριες γραμμές για το πώς πρέπει να γράφονται αυτές οι σημειώσεις. Πρέπει να είναι ξεκάθαρες, σαφείς, καλογραμμένες, με χρήση απεικονίσεων για να είναι πιο ευκολοδιάβαστες. Δεν έχουν συμμορφωθεί πλήρως όλες οι εταιρείες με αυτές τις κατευθυντήριες γραμμές. Τουλάχιστον προς το παρόν.
Τι θα συμβεί αν μετά την πάροδο των τριών μηνών δεν πειθαρχήσουν οι Google και Αmazon;
Θα υπάρχει το επιπλέον πρόστιμο, τα 100.000 ευρώ ανά μέρα.
Και πάλι, αν αρνηθούν να πληρώσουν αυτό το πρόστιμο;
Τότε θα έχουν παραβιάσει μια απόφαση Δημόσιας Αρχής, συνεπώς μπορούμε να πάμε στα Δικαστήρια. Σε αυτή την περίπτωση, αναλαμβάνει η γαλλική δικαιοσύνη και όχι πλέον η CNIL, καθώς θα υπάρχει παράβαση διοικητικής απόφασης.
Εχει τη δυνατότητα μια αρμόδια αρχή χώρας της Ευρωπαϊκής Ενωσης, αν δεν πειθαρχήσει κάποια εταιρεία να «κατεβάσει» τον διακόπτη;
Όχι ακριβώς. Να σας πω σε τι έχει δικαίωμα να «κατεβάσει τον διακόπτη»: στις διαβιβάσεις δεδομένων από την Ευρώπη. Αλλά να κλείσει τον διακόπτη τελείως όχι. Φυσικά μπορούν να υπάρχουν άλλης μορφής περιορισμοί. Πάντως να σας πω την αλήθεια δεν έχει συμβεί ποτέ ως τώρα να μην πειθαρχήσει κάποιος…
Ξεκίνησατε να εργάζεστε στην CNIL πριν τέσσερα χρόνια, σε μια κρίσιμη χρονική στιγμή.
Ναι. Ξεκίνησα δύο χρόνια πριν την εφαρμογή του GDPR και ήμουν στην ομάδα της Προεδρίας του Ευρωπαϊκού Συμβουλίου Προστασίας Προσωπικών Δεδομένων που τότε είχε την προεδρία Γαλλία.
Ανήκετε δηλαδή στους αρχιτέκτονες του GDPR;
(γελάει) ναι με κάποιον τρόπο. Εργάζομαι στα διεθνή και ευρωπαϊκά θέματα, για τη λήψη αποφάσεων σε ευρωπαϊκό επίπεδο όσον αφορά στην εφαρμογή του GDPR, μέσα στο πλαίσιο του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Επίσης, είμαι συντονιστής μιας ομάδας εμπειρογνωμόνων για τις διαβιβάσεις δεδομένων από την Ευρώπη σε τρίτες χώρες.
Σε αυτό το γκρουπ που συντονίζετε συμμετέχει και η αρμόδια ελληνική αρχή;
Ναι βεβαίως. Ολες οι αρμόδιες αρχές χωρών μελών της Ευρωπαϊκής Ενωσης συμμετέχουν. Επίσης συμμετέχω στις δραστηριότητες περιφερειακών φόρουμ Ασίας, ΟΑΣΑ, Λατινικής Αμερικής. Εχουμε ένα πολύ μεγάλο επικοινωνιακό κομμάτι και παίρνω μέρες σε όλες τις δραστηριότητες αυτών των γκρουπ. Για αυτό το λόγο έχω ταξιδέψει πολύ για παράδειγμα σε Βραζιλία, Μαρόκο. Πάντα σε σχέση με το GDPR.
Είστε η μόνη Ελληνίδα στην CNIL;
Είμαι η μόνη ξένη, μη Γαλλίδα στην CNIL.
Ισχύει ότι η διαδικασία, η έρευνα, για να φτάσουμε στην ιστορική επιβολή των προστίμων σε Google και Αmazon, διήρκησε έναν χρόνο;
Ναι, είναι ακριβές, τότε ξεκίνησαν οι έλεγχοι από την CNIL.
Εχετε εικόνα για την κατάσταση που επικρατεί στην Ελλάδα σε αρχή με την προστασία των προσωπικών δεδομένων;
Δεν έχω προσωπική ενημέρωση και ακριβή εικόνα. Αυτό που όμως ακούω είναι ότι οι επεξεργαστές -είτε εταιρείες, είτε δημόσιες αρχές- δυσκολεύονται πολύ να συμμορφωθούν με τις αρχές του GDPR είτε επειδή είναι μεγάλα τα κόστη, είτε επειδή είναι δύσκολη η κατανόησή του κειμένου.
Εχει σημαντικό ότι αναφέρεστε και στις δημόσιες αρχές.
Βεβαίως. Το πρόβλημα που αντιμετωπίζουμε παγκοσμίως δεν έχει σχέση μόνο με τον ιδιωτικό τομέα αλλά και με την προσβασιμότητα που έχουν οι δημόσιες αρχές στα προσωπικά μας δεδομένα. Ειδικά το πρόβλημα το έχουμε με την Αμερική. Πρόσφατα βγήκε μια απόφαση του Ευρωπαϊκού Δικαστηρίου η λεγόμενη Schrems II. Ο αυστριακός Μαρξ Σρεμς κατόρθωσε μέσα σε 4 χρόνια να ρίξει τις δυο συμφωνίες που είχε διαπραγματευθεί η Ευρωπαϊκή Επιτροπή με τις ΗΠΑ για τις διαβιβάσεις δεδομένων από την Ευρώπη στην Αμερική. Η πρώτη συμφωνία ήταν το «Safe Harbor» και το δεύτερο το «Privacy Shield» που έπεσε τον Ιούλιο και ήταν μια απόφαση-φάρος για τα προσωπικά δεδομένα.
Μια περίπτωση Δαβίδ-Γολιάθ δηλαδή;
Ναι. Κατάφερε να ρίξει αυτές τις δυο συμφωνίες και το αποτέλεσμα είναι ότι τώρα υπάρχουν δυσκολίες για τις μεταβιβάσεις δεδομένων στις ΗΠΑ. Και φυσικά το δικαστήριο έχει δώσει οδηγίες για ενίσχυση των κριτηρίων που θα επιτρέπουν να γίνουν με ασφάλεια αυτές οι μεταβιβάσεις.
Eίστε 33 ετών, πολύ νέα για το έργο που ήδη έχει κάνετε και επηρεάζει τις ζωές όλων μας. Αναρωτιέμαι αν υπάρχει κάποιο πρότζεκτ, κάποια υπόθεση σταθμός για εσάς.
Ηταν πολύ σημαντικό για μένα πριν δυο χρόνια όταν η Ευρωπαϊκή Επιτροπή υιοθέτησε με την Ιαπωνία μια απόφαση για την μεταφορά προσωπικών δεδομένων. Ημουν το βασικό μέλος της ομάδας για να δώσει η Ευρωπαϊκή Επιτροπή Προσωπικών Δεδομένων τη δική της γνωμοδότηση σε αυτή την απόφαση. Επρεπε να το κάνω σε ένα πολύ σύντομο χρονικό διάστημα, να εξετάσω την ιαπωνική νομοθεσία προστασίας προσωπικών δεδομένων. Είχε όμως εξαιρετικό ενδιαφέρον και μου επέτρεψε να γνωρίσω σημαντικές προσωπικότητες από την Ιαπωνία. Η άλλη υπόθεση αφορούσε στη σύναψη ενός συμβολαίου με τις ευρωπαϊκές αρχές για τον έλεγχο της ασφάλειας αγορών. Διαπραγματευθήκαμε μια σύμβαση με 101 χώρες σε όλο τον κόσμο. Μια σημαντική σύμβαση με την οποία ασχολήθηκα δύο χρόνια και είχε υψηλή σημασία.