Νομιμότητα Επεξεργασίας Δεδομένων
Πίνακας περιεχομένων
- Νόμιμη Βάση Επεξεργασίας - Συγκατάθεση
- Φύση Συλλεγόμενων Δεδομένων – Προσωπικά Δεδομένα
- Σχέση Skroutz και Συνεργάτη - Από Κοινού Υπεύθυνοι Επεξεργασίας
- Τρόπος Λήψης Συγκατάθεσης – Η Συγκατάθεση στον Skroutz Αρκεί
- Αναθεώρηση – Διαρκής Επανέλεγχος
Νόμιμη Βάση Επεξεργασίας - Συγκατάθεση
Το Skroutz Analytics είναι ένα εργαλείο που λειτουργεί μέσω cookies και αποσκοπεί στην ανάλυση της εμπορικής αποτελεσματικότητας του εκάστοτε καταστήματος και των προϊόντων του. Λόγω της συλλογής δεδομένων με χρήση cookies, εφαρμοστέα νομοθεσία είναι καταρχήν η Ευρωπαϊκή Οδηγία ePrivacy για την προστασία της ιδιωτικότητας στις ηλεκτρονικές επικοινωνίες και ο ελληνικός εφαρμοστικός Ν.3471/2006, όπως ισχύει. Τα cookies που χρησιμοποιούνται στο πλαίσιο του Skroutz Analytics έχουν ως σκοπό την στατιστική ανάλυση της χρήσης των Υπηρεσιών Skroutz και για το λόγο αυτό κατηγοριοποιούνται ως cookies ανάλυσης ή επίδοσης ή στατιστικής χρήσης (οι όροι χρησιμοποιούνται στην πράξη εναλλακτικά, ως ισοδύναμοι). Καθώς αυτή η κατηγορία cookies δεν εμπίπτει στα αναγκαία cookies, κατά τη διάταξη του άρθρου 4§5 του Ν.3471/2006, όπως ισχύει απαιτείται η συγκατάθεση του χρήστη για την τοποθέτηση και μετέπειτα ανάγνωσή τους. Αυτό επιβεβαιώνεται τόσο μέσω των διευκρινίσεων της Γνώμης 04/2012 της Ομάδας Εργασίας του Άρθρου 29, όσο και μέσω των σχετικών συστάσεων της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες (Γ/ΕΞ/1525-25/2/2020), όπου αναφέρεται ότι τα cookies στατιστικής ανάλυσης απαιτούν την συγκατάθεση του χρήστη, κατόπιν αναλυτικής ενημέρωσης, πριν την τοποθέτησή τους στη συσκευή του χρήστη. Παράλληλα, εφαρμόζεται κατά παραπομπή της Ευρωπαϊκής Οδηγίας ePrivacy και ο γενικότερος Ευρωπαϊκός Κανονισμός GDPR, ο οποίος ορίζει επιπλέον απαιτήσεις για ειδική, ελεύθερη συγκατάθεση.
Στην ιστοσελίδα συνεργάτη εμπόρου που χρησιμοποιεί την υπηρεσία Skroutz Analytics, λειτουργεί ειδικό script που «διαβάζει» εάν ο συγκεκριμένος χρήστης έχει δώσει τη συγκατάθεσή του για τη χρήση των cookies «Επίδοσης» στο Skroutz.gr και, εφόσον ο χρήστης έχει δώσει τέτοια συγκατάθεση και παράλληλα έχει διέλθει εντός των τελευταίων 15 ημερών από το Skroutz.gr, καταγράφονται στοιχεία της συνεδρίας του στην ιστοσελίδα συνεργάτη εμπόρου, για σκοπούς στατιστικής ανάλυσης της χρήσης των Υπηρεσιών Skroutz.
Συγκεκριμένα, ο χρήστης, όπως ενημερώνεται και πλήρως εδώ, επιλέγοντας την κατηγορία cookies «Επίδοσης» στο banner που του εμφανίζεται κατά την είσοδό του στην ιστοσελίδα του Skroutz, δίνει στο Skroutz, μεταξύ άλλων, τη συγκατάθεσή του για τη λειτουργία του Skroutz Analytics μέσω συγκεκριμένων cookies («opt-in informed consent»). Αυτή η συγκατάθεση διαρκεί για ένα έτος και μπορεί ανά πάσα στιγμή να ανακληθεί μέσω ειδικού μηχανισμού τροποποίησης επιλογών, στο κάτω μέρος της Πολιτικής Cookies του Skroutz.
Φύση Συλλεγόμενων Δεδομένων – Προσωπικά Δεδομένα
Αναφέρθηκε παραπάνω ότι εφαρμόζονται εν προκειμένω, καταρχήν η Ευρωπαϊκή Οδηγία ePrivacy και ο Ν.3471/2006, καθώς και παράλληλα ο GDPR, ιδίως ως προς τα κριτήρια της έγκυρης συγκατάθεσης. Ωστόσο, στο πλαίσιο λειτουργίας του Skroutz Analytics, όπως αναφέρεται στο παράδειγμα «Skroutz Analytics – Cookies» - Τι καταγράφεται και εδώ, συλλέγονται –πέρα από κατά τα λοιπά ανώνυμα δεδομένα περιήγησης- και η διεύθυνση IP του χρήστη, όσο και τυχόν αναγνωριστικό παραγγελίας (order ID). Από τα δεδομένα αυτά δεν προκύπτει μεν ευθέως ταυτοποίηση του χρήστη για τον Skroutz, ωστόσο ενδέχεται να θεωρηθεί ότι αποτελούν δεδομένα ταυτοποιήσιμου φυσικού προσώπου κατά τον ορισμό της διάταξης του Άρθρου 4§1 GDPR και άρα προσωπικά δεδομένα. Ο Skroutz, πιστός στις αξίες του για όσο το δυνατόν μεγαλύτερη προστασία των προσωπικών δεδομένων των χρηστών του και ακολουθώντας αυστηρή νομική προσέγγιση, αντιμετωπίζει τόσο τη διεύθυνση IP, όσο και το τυχόν αναγνωριστικό παραγγελίας, ως προσωπικά δεδομένα του εκάστοτε χρήστη. Επίσης, ως προσωπικά δεδομένα αντιμετωπίζονται από εμάς συλλήβδην και όλα τα υπόλοιπα δεδομένα της συνεδρίας του (ανώνυμου κατά τα λοιπά) χρήστη που καταγράφονται από το Skroutz Analytics, λόγω της σύνδεσής τους με τη διεύθυνση IP και το τυχόν αναγνωριστικό παραγγελίας.
Εν όψει αυτών, στο πλαίσιο λειτουργίας του Skroutz Analytics, πέρα από την Ευρωπαϊκή Οδηγία ePrivacy και το Ν.3471/2006, εφαρμοστέος είναι και ο GDPR, καθώς και ο αντίστοιχος Ν.4624/2019. Συνεπώς, αναλυτική ενημέρωση ως προς την επεξεργασία των προσωπικών του δεδομένων στο πλαίσιο της λειτουργίας του Skroutz Analytics, σύμφωνα και με τις απαιτήσεις των διατάξεων των Άρθρων 13-14 GDPR, λαμβάνει ο χρήστης και εδώ, στο παράδειγμα «Skroutz Analytics – Cookies». Παράλληλα, λαμβάνονται και όλα τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα ασφάλειας της επεξεργασίας, κατά τις διατάξεις του Άρθρου 32 GDPR.
Σχέση Skroutz και Συνεργάτη - Από Κοινού Υπεύθυνοι Επεξεργασίας
Όπως αναλύθηκε και ανωτέρω, από τη στιγμή που συλλέγονται η διεύθυνση IP, όσο και το τυχόν αναγνωριστικό παραγγελίας, όλα τα δεδομένα που συλλέγονται μέσω του Skroutz Analytics, θεωρούνται από εμάς προσωπικά δεδομένα. Τα προσωπικά αυτά δεδομένα συλλέγονται μέσω ειδικού τεχνολογικού μηχανισμού (script) του Skroutz που λειτουργεί στην ιστοσελίδα του συνεργάτη εμπόρου και κατόπιν γίνονται αντικείμενο ανάλυσης, στατιστικής ομαδοποίησης και εξαγωγής επιχειρηματικών συμπερασμάτων, από τον Skroutz. Παράλληλα, ο συνεργάτης έμπορος έχει άμεση πρόσβαση στον διαδικτυακό χώρο συνεργατών (“Σύστημα Skroutz Merchants"), όπου μπορεί ανά πάσα στιγμή να επισκοπεί τα σχετικά συγκεντρωτικά δεδομένα που αφορούν στη χρήση της ιστοσελίδας του από επισκέπτες που παραπέμφθηκαν μέσω Skroutz. Αυτή η συνεργασία μεταξύ εμπόρου και Skroutz, με αντικείμενο την επεξεργασία προσωπικών δεδομένων, με κοινότητα σκοπών και μέσων επεξεργασίας, προσομοιάζει σχέσης Από Κοινού Υπεύθυνων Επεξεργασίας, κατά τις διατάξεις του Άρθρου 26 GDPR, την οποία και προκρίνουμε ως νομικά συνεπέστερη. Συγκεκριμένα, η επεξεργασία αυτή δεν μπορεί να θεωρηθεί ότι γίνεται ανεξάρτητα από τον Skroutz και ανεξάρτητα από το συνεργάτη έμπορο (ώστε να θεωρούνταν μεταξύ τους ανεξάρτητοι Υπεύθυνοι επεξεργασίας)· επίσης, η επεξεργασία αυτή δεν μπορεί να θεωρηθεί ότι γίνεται από τον Skroutz για λογαριασμό του εκάστοτε συνεργάτη εμπόρου (ώστε να θεωρούνταν ο Skroutz Εκτελών την επεξεργασία για λογαριασμό κάθε συνεργάτη εμπόρου), καθώς ο Skroutz επεξεργάζεται τα δεδομένα αυτά καταφανώς και για δικούς του επιχειρησιακούς σκοπούς, όπως η ανάπτυξη και βελτίωση των Υπηρεσιών του· τέλος, η επεξεργασία αυτή δεν μπορεί να θεωρηθεί ότι γίνεται από εκάστοτε συνεργάτη έμπορο για λογαριασμό του Skroutz (ώστε να θεωρούνταν ο κάθε συνεργάτης έμπορος Εκτελών την επεξεργασία για λογαριασμό του Skroutz), καθώς όλος ο κατά τα ανωτέρω τεχνολογικός μηχανισμός αναπτύσσεται και ελέγχεται σε μεγάλο βαθμό απευθείας από τον Skroutz και επίσης, τα δεδομένα της ανάλυσης διαδικτυακής χρήσης που προκύπτουν, χρησιμοποιούνται και από τον εκάστοτε συνεργάτη έμπορο, για σκοπούς βελτίωσης της δικής τους ιστοσελίδας, όπως διαφορετική τοποθέτηση συγκεκριμένων, πιο δημοφιλών προϊόντων.
Ενδεικτικά, αναφέρεται και η πρόσφατη στη θεωρία και νομολογία τάση, σε παρόμοιες σχέσεις μεταξύ επιχειρήσεων και παρόχων τεχνολογικών λύσεων καταγραφής/ανάλυσης επισκεψιμότητας ιστοσελίδων, να προκρίνεται η λύση των Από Κοινού Υπεύθυνων επεξεργασίας. Συναφώς, η Δανική Αρχή Προστασίας Προσωπικών Δεδομένων (Datatilsynet) έκρινε πως στο πλαίσιο της λειτουργίας της διαφημιστικής υπηρεσίας Google Ad Exchange, η Google θεωρείται ως από Κοινού Υπεύθυνη επεξεργασίας με την Δανική Μετεωρολογική Υπηρεσία (DMI), ως προς τα δεδομένα που συλλέγονται από τον ιστότοπο της τελευταίας, για σκοπούς προβολής στοχευμένων διαφημίσεων από τη Google. Υπογραμμίστηκε επίσης, ότι ο πάροχος μίας ιστοσελίδας δεν απαιτείται να έχει πραγματική πρόσβαση στα (συλλεγόμενα) δεδομένα, ώστε να είναι σε θέση να καθορίζει τα μέσα και τους σκοπούς της επεξεργασίας αυτής και συνεπώς, να κατέχει το ρόλο του Υπεύθυνου επεξεργασίας. Αντιθέτως, αρκεί που ο πάροχος της ιστοσελίδας συμμετέχει στα μέσα της επεξεργασίας (ενημέρωση και λήψη συγκατάθεσης μέσω δικού του μπάνερ) και μοιράζεται κοινούς εμπορικούς σκοπούς διαφήμισης. Σε παρόμοια συμπεράσματα Από Κοινού Υπεύθυνων επεξεργασίας καταλήγουν και οι αποφάσεις Wirtschaftakademie (C‑210/16) και Fashion ID (C-40/17) του Δικαστηρίου της Ευρωπαϊκής Ένωσης, δηλαδή σε κατάφαση σχέσης Από Κοινού Υπεύθυνων επεξεργασίας μεταξύ αφενός του Facebook και αφετέρου διαχειριστών «Facebook Fan Pages» ή ιστοσελίδων που ενσωματώνουν κουμπί «Like» του Facebook, αντιστοίχως, ως προς τα δεδομένα των χρηστών τους που συλλέγονται μέσω των σχετικών τεχνολογικών λύσεων καταγραφής/ανάλυσης.
Εν όψει των ανωτέρω, συμπεραίνεται λοιπόν, ότι, ως προς τα προσωπικά δεδομένα που γίνονται αντικείμενο επεξεργασίας στο πλαίσιο του μηχανισμού Skroutz Analytics και μόνο ως προς τη συλλογή και αρχική κοινοποίηση αυτών, η σχέση Από Κοινού Υπεύθυνων επεξεργασίας μεταξύ Skroutz και εκάστοτε συνεργάτη εμπόρου, είναι αυτή που ανταποκρίνεται περισσότερο στην πραγματικότητα. Για το λόγο αυτό, έχουμε προβεί σε σταδιακή τροποποίηση των συμβατικών συμφωνιών μας με τους συνεργάτες έμπορους που χρησιμοποιούν το μηχανισμό Skroutz Analytics, ούτως ώστε να συμπεριλάβουμε ρήτρες που να ανταποκρίνονται στις ελάχιστες απαιτήσεις που προκύπτουν από τις διατάξεις του Άρθρου 26 GDPR. Επιπλέον, έχουμε τροποποιήσει κατάλληλα την Πολιτική Απορρήτου μας, ώστε να ενημερώνονται επαρκώς και οι χρήστες για αυτή τη σχέση Από Κοινού Υπεύθυνων επεξεργασίας, όπως άλλωστε επιτάσσεται από τη διάταξη του Άρθρου 26§2 GDPR.
Τρόπος Λήψης Συγκατάθεσης – Η Συγκατάθεση στον Skroutz Αρκεί
Αναφορικά, τώρα, με υπηρεσίες που προσφέρονται από τρίτους μέσω cookies σε μία ιστοσελίδα, όπως ο μηχανισμός Skroutz Analytics από τον Skroutz, ακόμη κι αν αυτό δεν έχει ακόμη ισχύ νόμου, έχει υιοθετηθεί ευρέως η νομική άποψη ότι τόσο ο τρίτος πάροχος της υπηρεσίας, όσο και ο πάροχος της ιστοσελίδας, φέρουν από κοινού την ευθύνη για τη λήψη της (ενημερωμένης) συγκατάθεσης του χρήστη, πριν από την τοποθέτηση των εν λόγω cookies στη συσκευή του. Μάλιστα, διευκρινίζεται περαιτέρω, ότι ο τρίτος πάροχος της υπηρεσίας μπορεί να συμφωνήσει με τον πάροχο της ιστοσελίδας, να λαμβάνεται η συγκατάθεση των χρηστών από το μέρος που έχει την πιο έντονη «σχέση» με τον χρήστη. Σε όλες τις εν λόγω διατυπώσεις, προκύπτει ξεκάθαρα ότι δεν απαιτείται διπλή συγκατάθεση του χρήστη (double consent), δηλαδή τόσο προς τον τρίτο πάροχο της υπηρεσίας, όσο και προς τον πάροχο της ιστοσελίδας, για την τοποθέτηση τέτοιων cookies. Σε κάθε περίπτωση, η σχέση αυτή μεταξύ των δύο παρόχων υπό την Ευρωπαϊκή Οδηγία ePrivacy, θα μπορούσε να προσομοιαστεί με τη σχέση Από Κοινού Υπεύθυνων επεξεργασίας υπό τον GDPR, όπου ο ένας εκ των δύο Υπευθύνων λαμβάνει εγκύρως τη συγκατάθεση του υποκειμένου, για λογαριασμό και των δύο Υπευθύνων, η οποία σχέση, σύμφωνα και με τα ανωτέρω εκτιθέμενα, συντρέχει πράγματι εν προκειμένω. Εξάλλου, εάν απαιτούνταν όντως διπλή συγκατάθεση του χρήστη, κανένα cookie τρίτου παρόχου (π.χ. «Διαφήμισης»), δεν θα μπορούσε πρακτικά να λειτουργήσει. Σχετικά, παραπέμπουμε στην επαναλαμβανόμενη αιτιoλογική σκέψη No20 στο σχέδιο Ευρωπαϊκού Κανονισμού ePrivacy (π.χ. σχέδιο Σεπτεμβρίου 2018, Νοεμβρίου 2019, Φεβρουαρίου 2020), στο UK International Chamber of Commerce Cookie Guide Νοεμβρίου 2012, στο Information Commissioner’s Office Guidance on the rules on use of cookies and similar technologies Μαΐου 2012, στο Information Commissioner’s Office Guidance on the use of cookies and similar technologies Ιουλίου 2012 κλπ.
Ενόψει των ανωτέρω δυνατοτήτων, ο Skroutz έχει επιλέξει να κεντρικοποιήσει τη λήψη συγκατάθεσης των χρηστών για την τεχνολογία Skroutz Analytics, της οποίας την πληροφορία (που συλλέγεται μέσω cookies) πρωταρχικά χειρίζεται και της οποίας πρωταρχικά επωφελείται για την ανάπτυξη των Yπηρεσιών του. Δεδομένης της αδιαμφισβήτητης αναγνωρισιμότητας και δημοφιλίας του Skroutz ως αξιόπιστο εταιρικό σήμα, είναι ξεκάθαρο ότι ο χρήστης διατηρεί στενότερη σχέση με την ιστοσελίδα του Skroutz, από την οποία εκκινεί κάθε αναζήτησή του, σε σύγκριση με την εκάστοτε ιστοσελίδα συνεργάτη εμπόρου, την οποία πολλές φορές δεν έχει ξαναχρησιμοποιήσει στο παρελθόν, προτού τον παραπέμψει σε αυτήν ο Skroutz. Ακόμη σημαντικότερο, εν όψει της από κοινού ευθύνης μεταξύ Skroutz και εκάστοτε συνεργάτη εμπόρου, καθώς και των πολύ σοβαρών κανονιστικών κυρώσεων στον εν γένει τομέα της προστασίας προσωπικών δεδομένων και ιδωτικότητας, ο Skroutz αδυνατεί να μετακυλήσει το βάρος της λήψης έγκυρης, ενημερωμένης συγκατάθεσης, που να καλύπτει όλα τα σημεία της νομοθεσίας, της εθνικής και ευρωπαϊκής νομολογίας, καθώς και των συστάσεων της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στους πάνω από 3.000 συνεργάτες του, όταν ορισμένοι από αυτούς δεν διαθέτουν καν μηχανισμό opt-in συγκατάθεσης των χρηστών για cookies, πόσω μάλλον αναλυτική ενημέρωση ή δυνατότητα άμεσης ανάκλησης συγκατάθεσης για cookies. Συνεπώς, η κεντρικοποίηση της συγκατάθεσης για τα cookies που χρησιμοποιεί ο μηχανισμός Skroutz Analytics, αποτελεί για τον Skroutz μονόδρομο, στο πλαίσιο επιμελούς διαχείρισης επιχειρηματικού ρίσκου.
Τέλος, σημειώνεται ότι ήδη από το Μάρτιο του 2019, οι μεγαλύτερες σε επισκεψιμότητα ιστοσελίδες της Ελλάδας, συμπεριλαμβανομένης της Skroutz.gr, υποβλήθηκαν σε αυτεπάγγελτο έλεγχο της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με δύο από τα σημεία ελέγχου να αφορούν τα cookies και συγκεκριμένα τη συγκατάθεση και την ενημέρωση των χρηστών. Η ιστοσελίδα του Skroutz προχώρησε σε συμμόρφωση με όλες τις παρατηρήσεις της Αρχής, τόσο αρχικές, όσο και συμπληρωματικές.
Ενόψει και των ανωτέρω, η λήψη συγκατάθεσης για τα cookies «Επίδοσης» που πραγματοποιείται μέσα από την ιστοσελίδα Skroutz.gr:
- με ξεκάθαρη ενέργεια opt-in του χρήστη,
- με δυνατότητα διακριτής opt-in επιλογής για κάθε κατηγορία cookies,
- με συνοδεία τριπλά διαβαθμισμένης και διεξοδικής ενημέρωσης cookies των χρηστών, ένα-κλικ μακριά ανά πάσα στιγμή διαθέσιμης στην ιστοσελίδα,
- με αναλυτική λίστα όλων των cookies που χρησιμοποιούνται τόσο στη ιστοσελίδα του Skroutz, όσο και στις ιστοσελίδες των συνεργατών του Skroutz, συμπεριλαμβανομένης ονομασίας, σκοπού, διάρκειας και πρόσβασης τρίτου μέρους,
- με δυνατότητα ανάκλησης συγκατάθεσης/τροποποίησης επιλογών εύκολα, άμεσα και επίσης ένα-κλικ μακριά,
- με πλήρη ενημέρωση για την επεξεργασία των σχετικών προσωπικών δεδομένων, μέσω ειδικής, διεξοδικής αναφοράς σε σημείο της Πολιτικής Απορρήτου, ένα-κλικ μακριά ανά πάσα στιγμή διαθέσιμης στην ιστοσελίδα του Skroutz,
σε συνδυασμό με την αναλυτική ενημέρωση που έχουμε ζητήσει να λαμβάνει ο χρήστης για τα cookies του Skroutz Analytics στην ιστοσελίδα του εκάστοτε συνεργάτη εμπόρου που χρησιμοποιεί τον μηχανισμό αυτό, υπερκαλύπτει τις απαιτήσεις της νομοθεσίας, αλλά και τις οδηγίες της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για λήψη έγκυρης, ενημερωμένης συγκατάθεσης του χρήστη. Συνεπώς, με βάση όλα τα ανωτέρω λεχθέντα, δεν απαιτείται νομικά επιπλέον συγκατάθεση (double consent) του χρήστη, μέσω της ιστοσελίδας του εκάστοτε συνεργάτη εμπόρου.
Αναθεώρηση – Διαρκής Επανέλεγχος
Υπογραμμίζεται ότι στο Skroutz παρακολουθούνται στενά όλες οι νομοθετικές και νομολογιακές εξελίξεις που αφορούν στην προστασία προσωπικών δεδομένων και ιδιωτικότητας και ιδίως στα cookies, καθώς αποτελούν βασικό μέσο αξιοποίησης των Υπηρεσιών μας. Σε κάθε περίπτωση, βρισκόμαστε σε διαρκή προσπάθεια επανελέγχου και ακόμη ακριβέστερης διατύπωσης της ενημέρωσης των χρηστών μας, αλλά και των συνεργατών μας, σχετικά με τις Υπηρεσίες μας, όπως αυτές εξελίσσονται και αλλάζουν με το χρόνο.