Πληρωμή με προσωπικά δεδομένα: Ένα νέο «νόμισμα» ή μια – εκτός συστήματος – απορρύθμιση;

Ευάγγελος Ι. Μαργαρίτης, Δικηγόρος, Δ.Ν., Μεταδιδάκτωρ (Post – Doc) Νομικής Αθηνών, CIPP/E

  1. Data analytics και οικονομικές συναλλαγές

«Οι υπηρεσίες δεν παρέχονται δωρεάν, αλλά [ότι] οι καταναλωτές καταβάλλουν αντίτιμο επιτρέποντας τη χρήση των προσωπικών τους δεδομένων». Ήδη από το 2014 η Ομάδα Εργασίας του άρθρου 29, νυν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, στη «Γνώμη 06/2014 σχετικά με την έννοια των εννόμων συμφερόντων του υπευθύνου επεξεργασίας, σύμφωνα με το άρθρο 7 της Οδηγίας 95/46/ΕΚ», σελ. 58, είχε αναγνωρίσει ότι τα σύγχρονα επιχειρηματικά μοντέλα διαδικτυακού περιεχομένου στηρίζονται στην επεξεργασία και αξιοποίηση δεδομένων και μεταδεδομένων.

Πληροφορίες. Ιδιότητες. Προτιμήσεις. Επιλογές. Προεπιλεγμένες Ρυθμίσεις. Big Data. Data Analytics. Cookies. Αυτές και άλλες πολλές λέξεις και νοήματα μπορούν να χρησιμοποιηθούν ποικιλοτρόπως για να καταδείξουν το αυτονόητο. Στην Κοινωνία της Πληροφορίας (Information Society/ Informationsgesellschaft) τα δεδομένα είναι οικονομικό μέγεθος που κινεί τις αγορές. Και όσο και αν η πρόσβαση σε «υπηρεσίες ψηφιακού περιεχομένου» φαίνεται «δωρεάν», η παρακολούθηση των χρηστών (tracking) μέσω ειδικών εφαρμογών παράγει πληροφορίες για αυτούς που μπορούν να τύχουν αξιοποίησης για εμπορικούς/ διαφημιστικούς σκοπούς.

Σε πολλές περιπτώσεις όμως, οι χρήστες «δωρεάν» διαδικτυακών υπηρεσιών, όπως μηχανές αναζήτησης, υπηρεσίες ηλεκτρονικού ταχυδρομείου, μέσα κοινωνικής δικτύωσης, υπηρεσίες αποθήκευσης αρχείων ή άλλες διαδικτυακές ή κινητές εφαρμογές, δεν έχουν πλήρη επίγνωση του βαθμού στον οποίο η δραστηριότητα τους καταγράφεται και αναλύεται με σκοπό τη δημιουργία προστιθέμενης αξίας για τον πάροχο των υπηρεσιών, με αποτέλεσμα να έχουν άγνοια των σχετικών κινδύνων. Η πρόσφατη νομολογία του ΔΕΕ (π.χ. Planet49) απαιτεί ρητή συγκατάθεση του χρήστη – κατόπιν ενημέρωσής του – χωρίς προεπιλεγμένα τετραγωνίδια, για την εγκυρότητα εγκατάστασης τέτοιων μηχανισμών.

Από τη διεθνή νομολογία, αξίζει να αναφερθεί η απόφαση του Πρωτοδικείου του Βερολίνου (LG Berlin) της 16.1.2018 – 16 O 341/15 [MMR 2018, 328]. Εκεί κρίθηκε εξ επόψεως δικαίου αθέμιτων εμπορικών πρακτικών μια «δήλωση» στη landing page του Facebook ότι «είναι και παραμένει δωρεάν». Οι ενάγοντες δηλαδή ισχυρίστηκαν ότι εφ’ όσον τα προσωπικά δεδομένα των χρηστών του αξιοποιούνται για εμπορικούς σκοπούς, τότε η χρήση της υπηρεσίας δεν είναι δωρεάν – με συνέπεια η εν λόγω δήλωση να είναι παραπλανητική.

Όμως, το δικάσαν δικαστήριο έκρινε ότι δεν συντρέχει τέτοια περίπτωση «αθέμιτης πρακτικής». Και τούτο διότι το «δωρεάν» της παροχής προϊόντος ή υπηρεσίας αφορά μόνο σε «χρηματικές μονάδες» και ανταλλάγματα. Αυτό όμως δεν δημιουργεί, κατά την εν λόγω γερμανική νομολογία, στο «μέσο και προσεκτικό καταναλωτή» την πεπλανημένη εντύπωση περί του ότι όντως δεν πληρώνει κάτι για τη χρήση του, αν και παρέχει προσωπικά του δεδομένα, διότι ακριβώς ένας τέτοιος καταναλωτής δεν συνδέει το «χρήμα» με άλλου είδους άυλη ή συναισθηματική παροχή όπως τα προσωπικά του δεδομένα.

  1. Data as a new currency?

Ήταν όμως αναπόφευκτο ότι η «αναπόδραστη ανάγκη των συναλλαγών» θα δημιουργούσε νέα μοντέλα πρόσβασης σε ψηφιακές υπηρεσίες χάριν αξιοποίησης δεδομένων όχι μέσω «trackers» εν αγνοία του χρήστη, αλλά εν είδει «συγκατάθεσης» αυτού ως αντιπαροχή της πρόσβασης σε μια ψηφιακή υπηρεσία. Μοντέλα δηλαδή, όπου τα προσωπικά δεδομένα γίνονται «νόμισμα» πληρωμής μιας υπηρεσίας.

Ήταν όμως αναπόφευκτο ότι η «αναπόδραστη ανάγκη των συναλλαγών» θα δημιουργούσε νέα μοντέλα, όπου τα προσωπικά δεδομένα γίνονται «νόμισμα» πληρωμής μιας υπηρεσίας

Πράγματι, ήδη έχουν κάνει την εμφάνισή τους τα «cookie walls». Δηλαδή τεχνικές ρυθμίσεις που εμποδίζουν την πρόσβαση σε μια ιστοσελίδα, αν ο χρήστης δεν «δεχθεί» να εγκατασταθούν στο τερματικό του μηχανισμοί παρακολούθησης που θα «ανιχνεύουν» και διαβιβάζουν περαιτέρω την on-lineδραστηριότητά του.

Το άρθρο 7 παρ. 4 GDPR προβλέπει ότι  για να εξετάζεται το κύρος αυτής της συγκατάθεσης και το αν είναι «ελεύθερη», λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης. Η ρύθμιση αυτή απαγορεύει το «bundling» της συγκατάθεσης με τη σύμβαση ως νομική βάση επεξεργασίας δεδομένων.

Καθιστά άκυρη τη συγκατάθεση που δίνεται χωρίς να υπάρχει «αναγκαιότητα» για την εκτέλεση της σύμβασης. Ωστόσο, αν αυτή η ρύθμιση σε επίπεδο προστασίας δεδομένων μοιάζει λογική συνέπεια του ελεύθερου χαρακτήρα της συγκατάθεσης, στην «άλλη όχθη» του συμβατικού δικαίου, μοιάζει πλήρως ξένη.

Πιο αναλυτικά, ελεύθερη δεν είναι η συγκατάθεση όταν είναι «συνδυασμένη συγκατάθεση», κατάσταση που εμφανίζεται όταν η συγκατάθεση ενός προσώπου εμφανίζεται ως αναγκαία προϋπόθεση για την πρόσβαση σε μια υπηρεσία, χωρίς όμως η συγκατάθεση να είναι αναγκαία (Kopplungsverbot). Ο ρόλος του άρθρου 7 παράγραφος 4 του ΓΚΠΔ για την εκτίμηση του κατά πόσο η συγκατάθεση παρέχεται ελεύθερα είναι, λοιπόν, προς αυτήν την κατεύθυνση.

Το άρθρο 7 παράγραφος 4 του ΓΚΠΔ υποδηλώνει ότι, μεταξύ άλλων, η κατάσταση στην οποία η συγκατάθεση «συνδυάζεται» με την αποδοχή όρων ή προϋποθέσεων, ή η σύναψη σύμβασης ή η παροχή υπηρεσίας «εξαρτάται» από τη συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης ή την παροχή της εν λόγω υπηρεσίας, θεωρείται εξαιρετικά ανεπιθύμητη και εξ αυτού του λόγου απαγορευμένη από το δίκαιο. Εάν παρασχεθεί συγκατάθεση στην περίπτωση αυτή, θεωρείται ότι αυτή δεν έχει παρασχεθεί ελεύθερα (αιτιολογική σκέψη του ΓΚΠΔ υπ’ αριθ. 43).

Στόχος του άρθρου 7 παράγραφος 4 είναι να διασφαλίσει ότι ο σκοπός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα δεν συγκαλύπτεται ούτε συνδυάζεται με τη σύναψη σύμβασης ή την παροχή υπηρεσίας για την οποία τα εν λόγω δεδομένα προσωπικού χαρακτήρα δεν είναι αναγκαία. Με τον τρόπο αυτό, ο ΓΚΠΔ (επιδιώκει να) εξασφαλίσει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την οποία ζητείται συγκατάθεση δεν μπορεί να καταστεί, άμεσα ή έμμεσα, η αντιπαροχή της σύμβασης.

O ΓΚΠΔ (επιδιώκει να) εξασφαλίσει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα για την οποία ζητείται συγκατάθεση δεν μπορεί να καταστεί, άμεσα ή έμμεσα, η αντιπαροχή της σύμβασης

Προς τούτο, όμως, και για την αξιολόγηση της ad hoc αναγκαιότητας παροχής των δεδομένων, θα αξιολογηθούν οι προσωπικές συνθήκες του υποκειμένου. Σε γενικές γραμμές όμως, οι δύο νόμιμες βάσεις για τη σύννομη επεξεργασία δεδομένων προσωπικού χαρακτήρα, δηλαδή η συγκατάθεση και η σύμβαση, δεν επιτρέπεται να συγχωνευθούν και να μην διακρίνονται η μία από την άλλη.

  1. Δύο νέες Οδηγίες προς «σύμπλεξη δικαίου καταναλωτή, συμβάσεων και προστασίας δεδομένων»

Σε επίπεδο συμβατικού δικαίου, ο ενωσιακός νομοθέτης, με δύο πρόσφατα νομοθετήματα, τις Οδηγίες 2019/770/ΕΕ και 2019/2161/ΕΕ, που δεν έχουν ενσωματωθεί ακόμη στο εθνικό μας δίκαιο, μας δείχνει ότι υπάρχει και άλλος δρόμος. Αναγνωρίζεται ότι συχνά πραγματοποιείται προμήθεια ψηφιακού περιεχομένου ή ψηφιακών υπηρεσιών σε περιπτώσεις που ο καταναλωτής δεν καταβάλλει τίμημα, αλλά παρέχει δεδομένα προσωπικού χαρακτήρα στον έμπορο.

Τα εν λόγω επιχειρηματικά μοντέλα χρησιμοποιούνται με διάφορες μορφές σε σημαντικό μέρος της αγοράς. Βέβαια, αν και στο προοίμιο της πρώτης ως άνω οδηγίας αναφέρεται ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να θεωρηθούν εμπόρευμα, η πραγματικότητα οδεύει αλλού – και μάλιστα παρά την ως άνω απαγόρευση «σύμπλεξης» συγκατάθεσης και σύμβασης.

Αναγνωρίζεται ότι συχνά πραγματοποιείται προμήθεια ψηφιακού περιεχομένου ή ψηφιακών υπηρεσιών σε περιπτώσεις που ο καταναλωτής δεν καταβάλλει τίμημα, αλλά παρέχει δεδομένα προσωπικού χαρακτήρα στον έμπορο

Η πρώτη ως άνω Οδηγία 2019/770/ΕΕ σκοπό έχει να αναγνωρίσει υπέρ του καταναλωτή δικαίωμα συμβατικής επανόρθωσης, στο πλαίσιο αυτών των επιχειρηματικών μοντέλων. Έτσι, εφαρμόζεται σε συμβάσεις με τις οποίες ο έμπορος προμηθεύει ή αναλαμβάνει την υποχρέωση να προμηθεύσει ψηφιακό περιεχόμενο ή ψηφιακή υπηρεσία στον καταναλωτή, και ο καταναλωτής παρέχει ή αναλαμβάνει την υποχρέωση να παράσχει δεδομένα προσωπικού χαρακτήρα.

Τα δεδομένα προσωπικού χαρακτήρα μπορούν να παρέχονται στον έμπορο είτε κατά τον χρόνο σύναψης της σύμβασης είτε αργότερα, για παράδειγμα, όταν ο καταναλωτής παρέχει τη συγκατάθεσή του προκειμένου ο έμπορος να χρησιμοποιήσει τα δεδομένα προσωπικού χαρακτήρα τα οποία ο καταναλωτής μπορεί να αναφορτώσει ή να δημιουργήσει με τη χρήση του ψηφιακού περιεχομένου ή της ψηφιακής υπηρεσίας.

Βασική ρύθμιση της οδηγίας αυτής είναι ότι ο καταναλωτής δικαιούται να ζητήσει αποκατάσταση της συμμόρφωσης του ψηφιακού περιεχομένου ή της ψηφιακής υπηρεσίας ή να λάβει αναλογική μείωση του τιμήματος ή να καταγγείλει τη σύμβαση σύμφωνα με τους όρους του παρόντος άρθρου, όταν υπάρχει «μη συμμόρφωση» σύμφωνα με τους όρους του ειδικού αυτού νομοθετήματος.

Πώς θα ενσωματωθεί αυτή η οδηγία στο εθνικό μας δίκαιο; Αναμφισβήτητα, δημιουργεί έναν νέο «τύπο» σύμβασης. Απαιτείται τροποποίηση του Αστικού Κώδικα ή απλώς τροποποίηση του δικαίου προστασίας καταναλωτή; Θα ήταν βέβαια, πράγματι καινοτόμο να ενσωματωθεί στον Αστικό μας Κώδικα.

Από την άλλη, στη δεύτερη ως άνω Οδηγία 2019/2161/ΕΕ προβλέφθηκαν ειδικά ρυθμίσεις για συμβάσεις προμήθειας ψηφιακού περιεχομένου ή ψηφιακών υπηρεσιών, βάσει των οποίων ο καταναλωτής παρέχει ή αναλαμβάνει να παράσχει δεδομένα προσωπικού χαρακτήρα στον έμπορο. Δυνάμει της Οδηγίας αυτής, προστέθηκε νέο άρθρο 6α στην Οδηγία 2011/83/ΕΕ, το οποίο ουσιαστικά έχει ενσωματωθεί στο εθνικό μας δίκαιο στα άρθρα 3α επ. του Ν. 2251/1994.

Έτσι, επεκτάθηκε το πεδίο εφαρμογής της Οδηγίας 2011/83/ΕΕ ώστε να καλύπτει και τις συμβάσεις βάσει των οποίων ο προμηθευτής παρέχει ή αναλαμβάνει την υποχρέωση να παράσχει ψηφιακή υπηρεσία στον καταναλωτή και ο καταναλωτής παρέχει ή αναλαμβάνει την υποχρέωση να παράσχει δεδομένα προσωπικού χαρακτήρα.

Εκεί προβλέπεται ότι προτού ο καταναλωτής δεσμευτεί από εξ αποστάσεως σύμβαση ή οποιαδήποτε αντίστοιχη προσφορά σε επιγραμμική αγορά, ο πάροχος της επιγραμμικής αγοράς, με την επιφύλαξη της Οδηγίας 2005/29/ΕΚ, παρέχει στον καταναλωτή πληροφορίες με τρόπο σαφή και κατανοητό, αλλά και κατάλληλο για τα μέσα επικοινωνίας εξ αποστάσεως.

  1. Το παράδοξο: Η Συγκατάθεση ως Νομική Παροχή – Η εκτέλεση σύμβασης ως επεξεργασία δεδομένων;

Το πρακτικότατο αυτό ζήτημα – της «πληρωμής με δεδομένα» δημιουργεί πολλά ερμηνευτικά προβλήματα, τα οποία κάθε άλλο παρά την ασφάλεια δικαίου ευνοούν. Και φυσικά, δημιουργούνται μέγιστα προβλήματα «συμμόρφωσης» σε επιχειρήσεις που στηρίζουν τα επιχειρηματικά τους μοντέλα στην πληρωμή με δεδομένα.

Ας πάρουμε ένα υποθετικό παράδειγμα. Η επιχείρηση Α έχει δημιουργήσει μια ιστοσελίδα διαδικτυακών γνωριμιών, στους όρους χρήσης της οποίας αναφέρεται ότι «Αν θέλετε να χρησιμοποιήσετε την υπηρεσία μας και να μπείτε σε έναν μοναδικό κόσμο γνωριμιών, μας δίνετε τη συγκατάθεσή σας για να επεξεργαζόμαστε τα δεδομένα σας για διαφημιστικούς σκοπούς. Θα μοιραστούμε τα δεδομένα σας με τους συνεργάτες μας στο δίκτυο της Google για σας παρέχουμε μοναδικές προσφορές προϊόντων και υπηρεσιών». Πράγματι, ο χρήστης Β γράφεται στην ιστοσελίδα.

Τίθενται πολλά ζητήματα. Αρχικώς, μια τέτοια συγκατάθεση είναι «ελεύθερη», και άρα νόμιμη; Βάση επεξεργασίας των δεδομένων του χρήστη (εικόνα, προτιμήσεις, διεύθυνση ηλεκτρονικού ταχυδρομείου κτλ) είναι αυτή η συγκατάθεση ή η εκτέλεση της σύμβασης;

Αν ο χρήστης ανακαλέσει τη συγκατάθεσή του στην επεξεργασία δεδομένων, μπορεί η επιχείρηση, ως υπεύθυνος επεξεργασίας να συνεχίσει την επεξεργασία, επικαλούμενη άλλη νομική βάση; Αν ανακαλέσει τη συγκατάθεσή του, τότε θα βρίσκεται σε «υπαίτια παραβίαση σύμβασης»; Τότε όμως, πώς αυτό συμβιβάζεται με το «ελεύθερα ανακλητό» της συγκατάθεσης, ως γενική αρχή του δικαίου προστασίας δεδομένων; Μπορεί το ίδιο πραγματικό να είναι σύννομο στο ένα υποσύστημα προστασίας, και παράνομο στο άλλο;

  1. Τα δεδομένα ως χρήμα ανάλογα με το υποκείμενο;

Πού μπορεί να φτάσει αυτή «χρηματοποίηση» των δεδομένων; Σε αντίθεση με το παραδοσιακό «χρήμα» ως μέσο αξιών (για το οποίο βλ. τις εξαιρετικές αναλύσεις της Καθ. Π. Παπαρσενίου, Χρηματική Ενοχή, Ιδίως σε Ξένο Νόμισμα, Π.Ν. Σάκκουλας 2020, αρ. 32 επ.), το οποίο πάντα έχει ένα σταθερό μέσο αναφοράς – τη νομισματική μονάδα, αυτό φαντάζει ξένο στο σύστημα που εξετάζουμε. Και τούτο διότι πάντα τα προσωπικά δεδομένα ενός διάσημου προσώπου θα έχουν μεγαλύτερη «αξία» από ό,τι ενός λιγότερο γνωστού.

Ουδείς αμφιβάλλει ότι το δίκαιο προσωπικών δεδομένων οδηγείται σε έναν «μετασχηματισμό». Αν και ο νομοθέτης της Ευρωπαϊκής Ένωσης αρνείται τον εμπορευματικό χαρακτήρα των προσωπικών δεδομένων, η αναπόδραστη ανάγκη των συναλλαγών που έχει δημιουργήσει μοντέλα «data for content» απαιτεί ρύθμιση σε μια σειρά ζητημάτων, το πρώτο εκ των οποίων που ρυθμίστηκε ήταν τα δικαιώματα καταναλωτή κατά το ρυθμιστικό πεδίο εφαρμογής των ως άνω οδηγιών.

Εν αναμονή ενσωμάτωσης των ανωτέρω οδηγιών στο εθνικό δίκαιο, μπορούμε να προβληματιστούμε για το ποια ζητήματα δημιουργούνται από την παραδοχή των προσωπικών δεδομένων ως «αντιπαροχής» για την πρόσβαση σε μια υπηρεσία.