Νομικές ενέργειες: μια νέα δυναμική για τις ομαδικές αγωγές;

Νομική Παρακολούθηση Αρ. 53 – Νοέμβριος 2022

Νομικές ενέργειες: μια νέα δυναμική για τις ομαδικές αγωγές; Η νομική προσφυγή σχετικά με ζητήματα προστασίας προσωπικών δεδομένων εξακολουθεί να είναι σπάνια στη Γαλλία και την Ευρώπη.

Ενώ ο Τύπος αναφέρει τακτικά κυρώσεις κατά τεχνολογικών γιγάντων, αυτές οι κυρώσεις είναι κυρίως έργο των εποπτικών αρχών.

Συγκεκριμένα, οι ζημίες είναι συχνά δύσκολο να εκτιμηθούν σε θέματα παραβίασης της ιδιωτικής ζωής, δεδομένου του κόστους των νομικών ενεργειών.

Η κατάσταση θα μπορούσε να αλλάξει σύντομα, με τη μεταφορά σε εθνικό επίπεδο της οδηγίας (ΕΕ) 2020/1828 σχετικά με τις αντιπροσωπευτικές αγωγές.

Τα κράτη μέλη έχουν προθεσμία έως τις 25 Δεκεμβρίου του τρέχοντος έτους για να συμμορφωθούν με την παρούσα οδηγία, η οποία στοχεύει στην προστασία των συλλογικών συμφερόντων των καταναλωτών.

Οι ομαδικές αγωγές υπάρχουν ήδη στη Γαλλία και το πεδίο εφαρμογής τους έχει σταδιακά επεκταθεί. Οι ομαδικές αγωγές υπάρχουν από τον νόμο της 17ης Μαρτίου 2014, περί καταναλωτικών υποθέσεων.

Σταδιακά επεκτάθηκε σε διάφορους τομείς, συμπεριλαμβανομένων των προσωπικών δεδομένων, με τον νόμο της 18ης Νοεμβρίου 2016, ο οποίος δημιούργησε ένα νέο άρθρο 43ter στον Νόμο περί Προστασίας Δεδομένων.

Ωστόσο, το κείμενο περιορίζει το δικαίωμα άσκησης ομαδικής αγωγής σε εγκεκριμένες ενώσεις προστασίας καταναλωτών, σε ενώσεις άνω των πέντε ετών των οποίων ο καταστατικός σκοπός είναι η προστασία της ιδιωτικής ζωής, και σε συνδικαλιστικές οργανώσεις που εκπροσωπούν εργαζομένους ή δημόσιους υπαλλήλους.

Αυτό το νομικό πλαίσιο δεν επέτρεπε την αποζημίωση των εμπλεκομένων προσώπων για ζημίες.

Αυτό είναι πλέον εφικτό, από τον νόμο της 20ής Ιουνίου 2018, ο οποίος προσαρμόζει τον Νόμο περί Προστασίας Δεδομένων στον ΓΚΠΔ.

Η ομαδική αγωγή επιτρέπει πλέον την αποζημίωση για υλικές και ηθικές ζημίες ενώπιον των δικαστηρίων.

Ο ΓΚΠΔ επιτρέπει επίσης την εξασφάλιση τέτοιας αποκατάστασης μέσω της εντολής σε φορείς, οργανισμούς ή ενώσεις να υποβάλουν καταγγελία εκ μέρους τους στην εποπτική αρχή.

Συνεπώς, η Γαλλία δεν βρίσκεται σήμερα στη χειρότερη θέση όσον αφορά τις αντιπροσωπευτικές αγωγές, όπως φαίνεται, για παράδειγμα, από τις ενέργειες οργανισμών όπως η La Quadrature du Net, η οποία δραστηριοποιείται ιδιαίτερα στον τομέα της προστασίας δεδομένων.

Άλλες χώρες, ωστόσο, προχωρούν παραπέρα.

Η ομαδική αγωγή στη Γαλλία βασίζεται σε μια «επιλογή συμμετοχής» και αφορά μόνο άτομα που συμμετέχουν ρητά στη διαδικασία, σε αντίθεση με την «ομαδική αγωγή» η οποία εκ των προτέρων περιλαμβάνει όλα τα άτομα που αντιστοιχούν στο προφίλ των ζημιωθέντων και τους δίνει τη δυνατότητα να αποσυρθούν από τη διαδικασία. Σε μια τέτοια περίπτωση, μιλάμε για «opt-out».

Ενώ αυτοί οι δύο τύποι διαδικασιών εξακολουθούν να είναι σχετικά σπάνιοι στην Ευρώπη, η ομαδική αγωγή με την έννοια της διαδικασίας «opt-out» είναι ακόμη πιο σπάνια.

Η Ολλανδία επιτρέπει και τους δύο τύπους έφεσης.

Τα τελευταία δύο χρόνια, έχουν ιδρυθεί εκεί αρκετά ιδρύματα με στόχο την άσκηση ομαδικών αγωγών.

Αυτά τα ιδρύματα έχουν, για παράδειγμα, επιτεθεί στην αντιανταγωνιστική συμπεριφορά της Apple και της Google, στις πρακτικές συλλογής δεδομένων των TikTok, Salesforce και Oracle, καθώς και των Airbus και Airbnb.

Το γεγονός ότι ο αντιπροσωπευτικός οργανισμός μπορεί να ζητήσει αποζημίωση για μια ολόκληρη κατηγορία εναγόντων, εκτός εάν αυτοί «επιλέξουν να μην συμμετάσχουν», αποτελεί σημαντική αλλαγή στις ομαδικές αγωγές προστασίας δεδομένων, όπου οι ατομικές αποζημιώσεις είναι γενικά χαμηλές.

Η οικονομικά βιώσιμη φύση τέτοιων αγωγών έχει καταστήσει την Ολλανδία την κορυφαία ευρωπαϊκή δικαιοδοσία για ομαδικές αγωγές., και υπάρχει αύξηση στη χρηματοδότηση αυτού του τύπου οργανισμού από τρίτους.

Σήμερα, το Twitter μηνύεται στην Ολλανδία για παρακολούθηση των χρηστών του.

Το ίδιο ισχύει και για άλλες δημοφιλείς εφαρμογές, όπως το Shazam, το Vinted, αλλά και για πιο ευαίσθητες εφαρμογές όπως το Grindr και τις εφαρμογές παρακολούθησης του εμμηνορροϊκού κύκλου.

Η Ευρωπαϊκή Οδηγία επιτρέπει στις χώρες της ΕΕ να επιλέξουν το μοντέλο της επιλογής συμμετοχής ή της εξαίρεσης, εκτός από την αγωγή ασφαλιστικών μέτρων η οποία -λογικά- προβλέπει τη δυνατότητα εξαίρεσης.

Θα πρέπει να σημειωθεί ότι το κείμενο δίνει στους οργανισμούς τη δυνατότητα να ασκούν διασυνοριακές αγωγές και τους δίνει την επιλογή μεταξύ διαφόρων δικαιοδοσιών. : η αγωγή μπορεί να ασκηθεί στο κράτος μέλος όπου η εναγόμενη εταιρεία έχει την καταστατική της έδρα, αλλά και σε οποιοδήποτε κράτος μέλος όπου διαθέτει υποκατάστημα και στο κράτος κατοικίας του ζημιωθέντος.

Συνεπώς, η Γαλλία θα πρέπει να προετοιμαστεί για να αντιμετωπίσει πανευρωπαϊκές εκκλήσεις.

Θα πρέπει επίσης να προσαρμόσει το νομικό της πλαίσιο στις Η αρχή «ο ηττημένος πληρώνει» όσον αφορά τις αμοιβές δικηγόρων και τα δικαστικά έξοδα, και να προβλέπουν διαδικασία ανακάλυψης, όπως ισχύει στις χώρες του κοινού δικαίου, και το οποίο επιτρέπει, με αιτιολογημένη απόφαση του δικαστή, την προσκόμιση εγγράφων χρήσιμων για τη διαφορά (όπως η ταυτότητα των παθόντων).

Ενώ οι επόμενοι μήνες θα διευκρινίσουν τους όρους εφαρμογής της οδηγίας, φαίνεται ήδη βέβαιο ότι θα έχει αντίκτυπο στον αριθμό των αντιπροσωπευτικών αγωγών στην Ευρώπη.

Θα ήταν καλό να προετοιμαστούμε γι' αυτό και να παρακολουθούμε στενά τη μεταφορά του στη Γαλλία.

Και επίσης

Γαλλία:

Η CNIL επέβαλε πρόστιμο 800.000 ευρώ στην DISCORD INC. για μη συμμόρφωση με διάφορες υποχρεώσεις του ΓΚΠΔ, ιδίως όσον αφορά τις περιόδους διατήρησης δεδομένων και την ασφάλεια των προσωπικών δεδομένων.

Η CNIL επισημαίνει επίσης την έλλειψη προστασίας δεδομένων εξ ορισμού: οι χρήστες δεν ενημερώθηκαν ότι οι συνομιλίες τους μπορούσαν ακόμα να ακουστούν όταν νόμιζαν ότι είχαν φύγει από μια αίθουσα φωνητικής συνομιλίας.

Τέλος, η εταιρεία επικρίθηκε επειδή δεν είχε διενεργήσει ανάλυση επιπτώσεων πριν από την εφαρμογή των θεραπειών.

Η Επιτροπή δημοσίευσε επίσης ένα σχέδιο δράσης στις 24 Νοεμβρίου με στόχο την υποστήριξη της συμμόρφωσης των εφαρμογών για κινητά και την προστασία του απορρήτου των χρηστών.

Σκοπεύει να εμβαθύνει την εμπειρογνωμοσύνη του, να υποστηρίζει τους επαγγελματίες και να ενημερώνει τους πολίτες, για παράδειγμα με τη μορφή οδηγών και συστάσεων.

Τέλος, θα διενεργεί στοχευμένους ελέγχους και, εάν χρειαστεί, θα λαμβάνει κατασταλτικά μέτρα κατά οργανισμών που δεν τηρούν τις υποχρεώσεις τους.

Μετά από μεγάλο αριθμό καταγγελιών, η CNIL διευκρίνισε τους όρους υπό τους οποίους οι οργανισμοί συμπληρωματικής ασφάλισης υγείας μπορούν να συλλέγουν δεδομένα υγείας.

Σημειώνει ότι τα ισχύοντα κείμενα δεν είναι επαρκώς ακριβή και συνιστά την ψήφιση νόμου.

Η 1η Ιανουαρίου 2023 θα σηματοδοτήσει το τέλος των χάρτινων αποδείξεων.

Αυτό το μέτρο «κατά της σπατάλης» εγείρει ερωτήματα σχετικά με την προστασία της ιδιωτικής ζωής, επειδή οι λιανοπωλητές θα μπορούν να εντοπίζουν ολόκληρη την πελατειακή τους βάση, συμπεριλαμβανομένων εκείνων που δεν διαθέτουν κάρτα πιστότητας.

Η CNIL τόνισε στη λευκή βίβλο της ότι μια διεύθυνση ηλεκτρονικού ταχυδρομείου που συλλέγεται με σκοπό την αποστολή απόδειξης ή ηλεκτρονικής πληρωμής δεν μπορεί να χρησιμοποιηθεί για εμπορικούς σκοπούς αναζήτησης πελατών, καθώς αυτοί οι δύο σκοποί είναι αρκετά διαφορετικοί.

Θα είναι σημαντικό να ληφθεί η συγκατάθεση του ενδιαφερόμενου προσώπου ή, σε περίπτωση αναζήτησης προϊόντων ή υπηρεσιών παρόμοιων με αυτά που ήδη παρέχει η εταιρεία, να ενημερωθεί για τους σκοπούς και τη δυνατότητα αντίρρησης εκ των προτέρων κατά τη στιγμή της συλλογής.

Το Ακυρωτικό Δικαστήριο έκρινε στην απόφασή του της 7ης Νοεμβρίου ότι ο κωδικός ξεκλειδώματος για την αρχική οθόνη ενός τηλεφώνου μπορεί να αποτελέσει «κλειδί αποκρυπτογράφησης».

Εάν είναι πιθανό να έχει χρησιμοποιηθεί για την προετοιμασία ή την τέλεση εγκλήματος ή αδικήματος, ο κάτοχός του υποχρεούται να δώσει στους ερευνητές τον κωδικό ξεκλειδώματος για την αρχική οθόνη.

Εάν αρνηθεί να κοινοποιήσει αυτόν τον κώδικα, διαπράττει το αδίκημα της «άρνησης παράδοσης μυστικής συμφωνίας αποκρυπτογράφησης», το οποίο τιμωρείται με πρόστιμο και φυλάκιση.

Ευρώπη:

Στις 16 Νοεμβρίου 2022, τέθηκε σε ισχύ ο Κανονισμός για τις Ψηφιακές Υπηρεσίες (DSA).

Αυτός ο κανονισμός προβλέπει νέες αρμοδιότητες για τις ψηφιακές πλατφόρμες, προκειμένου να περιοριστεί η διάδοση παράνομου περιεχομένου και προϊόντων, να αυξηθεί η προστασία των ανηλίκων και να δοθούν στους χρήστες περισσότερες επιλογές και καλύτερη ενημέρωση.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε τις συστάσεις του σχετικά με τη διαδικασία έγκρισης και τα στοιχεία που πρέπει να συμπεριληφθούν στους Δεσμευτικούς Εταιρικούς Κανόνες (BCR) για τους υπεύθυνους επεξεργασίας δεδομένων.

Το έγγραφο είναι ανοιχτό για δημόσια διαβούλευση έως τις 10 Ιανουαρίου 2023.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) δημοσίευσε τη γνώμη του σχετικά με την προτεινόμενη ρύθμιση για την κυβερνοασφάλεια.

Το κείμενο στοχεύει στον καθορισμό απαιτήσεων κυβερνοασφάλειας σε ολόκληρη την ΕΕ για ένα ευρύ φάσμα προϊόντων υλικού και λογισμικού, όπως προγράμματα περιήγησης, λειτουργικά συστήματα, τείχη προστασίας, συστήματα διαχείρισης δικτύου, έξυπνους μετρητές ή δρομολογητές.

Ο ΕΕΠΔ συνιστά την ενσωμάτωση των αρχών της προστασίας δεδομένων στο παρόν κείμενο εκ κατασκευής και εξ ορισμού.

Τόνισε επίσης ότι ένα ευρωπαϊκό πιστοποιητικό κυβερνοασφάλειας δεν θα μπορούσε να αντικαταστήσει την πιστοποίηση GDPR.

Ο ΕΕΠΔ σχολίασε επίσης την πρόταση κανονισμού για τη θέσπιση κοινού πλαισίου για τις υπηρεσίες μέσων ενημέρωσης: Στη γνωμοδότησή του της 14ης Νοεμβρίου, επισημαίνει την ανεπάρκεια των μέτρων που προβλέπονται για την προστασία των δημοσιογράφων, των πηγών τους και των παρόχων υπηρεσιών μέσων ενημέρωσης.

Συνιστά να διευκρινιστεί ότι κάθε δημοσιογράφος θα επωφεληθεί από αυτήν την προστασία και ζητά περαιτέρω περιορισμό των εξαιρέσεων που επιτρέπουν την υποκλοπή επικοινωνιών από spyware ή άλλες μορφές παρακολούθησης.

Μετά από δύο χρόνια διαπραγματεύσεων με τη Microsoft, η κοινή επιτροπή της Γερμανικής Ομοσπονδιακής Αρχής Προστασίας Δεδομένων και 16 κρατικών ρυθμιστικών αρχών εξέδωσε μια δήλωση που είναι πιθανό να έχει εκτεταμένες επιπτώσεις: οι υπεύθυνοι επεξεργασίας δεδομένων δεν μπορούν προς το παρόν να χρησιμοποιούν νόμιμα το MS365 βάσει του ΓΚΠΔ.

Η ολλανδική αρχή προστασίας δεδομένων εξέδωσε προειδοποίηση προς την κυβέρνησή της στις 14 Νοεμβρίου, αποτρέποντάς την από τη χρήση αμερικανικών υπηρεσιών cloud. Προτρέπει την κυβέρνηση να χρησιμοποιήσει ευρωπαϊκές εναλλακτικές λύσεις.

Η ουγγρική Αρχή Προστασίας Δεδομένων (DPA) διέταξε τον φορέα εκμετάλλευσης ενός ιστότοπου μετεωρολογικών προβλέψεων να σταματήσει τη μεταφορά δεδομένων στις Ηνωμένες Πολιτείες μέσω της Google.

Η DPA διαπίστωσε ότι ο φορέας εκμετάλλευσης του ιστότοπου χρησιμοποίησε το Google Analytics χωρίς να εφαρμόσει επαρκείς διασφαλίσεις για τις μεταφορές δεδομένων προς τις Ηνωμένες Πολιτείες.

Στις 17 Νοεμβρίου, το Ιρλανδικό Συμβούλιο Πολιτικών Ελευθεριών επεσήμανε σε επιστολή του προς την Ευρωπαϊκή Επιτροπή ότι το Meta παραβίαζε τον ΓΚΠΔ και δεν μπορούσε να συμμορφωθεί με τον Κανονισμό για τις Ψηφιακές Αγορές (DMA).

Το ICCL επικαλείται πρόσφατα ασφράγιστα δικαστικά έγγραφα στην Καλιφόρνια, τα οποία αναφέρουν ότι η Meta δεν απάντησε σε αίτημα για πληροφορίες σχετικά με το τι κάνουν 149 από τα συστήματα επεξεργασίας δεδομένων της, γεγονός που υποδηλώνει ότι η λειτουργία αυτών των συστημάτων δεν ήταν κατανοητή από τον άνθρωπο.

Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων εξέδωσε την απόφασή της στις 25 Νοεμβρίου στο πλαίσιο της έρευνάς της σχετικά με την συλλογή δεδομένων από το Facebook, η οποία αφορά τη διαδικτυακή διαθεσιμότητα προσωπικών δεδομένων περισσότερων από 530 εκατομμυρίων χρηστών.

Οι διακυβευόμενες αρχές αφορούσαν την προστασία των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, όπως προβλέπεται από τον ΓΚΠΔ.

Η απόφαση επιβάλλει διοικητικά πρόστιμα συνολικού ύψους 265 εκατομμυρίων ευρώ και διορθωτικά μέτρα.

Η Meta αντιμετωπίζει τρεις άλλες διαδικασίες παραβίασης του GDPR στην Ευρώπη.

Αυτά αφορούν τις γενικές συνθήκες του Facebook αλλά και του Instagram και του WhatsApp.

Τα ευρήματα του ΕΣΠΔ σχετικά με το τελευταίο αναμένεται να δημοσιευτούν στις 5 Δεκεμβρίου και αναμένονται με ανυπομονησία. 

Αφορούν τη νομική βάση για τη συλλογή δεδομένων από χρήστες των μέσων κοινωνικής δικτύωσης.

Η Meta άλλαξε αυτήν τη νομική βάση από τη συγκατάθεση στην αναγκαιότητα επεξεργασίας βάσει σύμβασης, με νομικές συνέπειες που, εάν εγκριθούν από τις αρχές προστασίας δεδομένων, θα υπερβούν κατά πολύ το πλαίσιο της παρούσας υπόθεσης.

Το Γραφείο του Επιτρόπου Πληροφοριών δημοσίευσε μια ενημέρωση των κατευθυντήριων γραμμών του σχετικά με τις διεθνείς μεταφορές στις 17 Νοεμβρίου.

Αυτή η ενημέρωση περιλαμβάνει μια νέα ενότητα σχετικά με τις Εκτιμήσεις Κινδύνου Μεταφοράς (TRA) και ένα εργαλείο για ελεγκτές.

Το Ηνωμένο Βασίλειο έχει συνάψει συμφωνία σχετικά με τη διαβίβαση προσωπικών δεδομένων με την Κορέα, η οποία θα τεθεί σε ισχύ στις 19 Δεκεμβρίου.

Αναφέρει ότι η συμφωνία της είναι «ευρύτερη» από αυτήν της ΕΕ, επιτρέποντας στις εταιρείες να μεταφέρουν δεδομένα που σχετίζονται με πιστωτικές πληροφορίες.

Διεθνές:

Η Google συμφώνησε να καταβάλει το ποσό ρεκόρ των 391,5 εκατομμυρίων δολαρίων σε διακανονισμό για παραβιάσεις απορρήτου σε 40 πολιτείες των ΗΠΑ.

Η υπόθεση αφορά τις πρακτικές γεωγραφικού εντοπισμού της εταιρείας: σύμφωνα με τους γενικούς εισαγγελείς, οι χρήστες παραπλανήθηκαν σχετικά με τους όρους απενεργοποίησης του γεωγραφικού εντοπισμού τους στις ρυθμίσεις του λογαριασμού τους.

Οι ευρωπαϊκές αρχές προστασίας δεδομένων προειδοποίησαν ότι οι δύο εφαρμογές Ehteraz και Hayya που επιβλήθηκαν από τις αρχές του Κατάρ για την είσοδο στη χώρα προκαλούν μαζικές παραβιάσεις της ιδιωτικότητας. επιτρέποντας εκτεταμένη πρόσβαση σε δεδομένα χρήστη, συμπεριλαμβανομένων δεδομένων τοποθεσίας και δεδομένων κλήσεων.

Η CNIL έχει συστήσει στα άτομα που ταξιδεύουν στο Κατάρ να χρησιμοποιούν άδειο ή επαναρυθμισμένο τηλέφωνο.

Το Global Privacy Control, που δημιουργήθηκε τον Οκτώβριο του 2020, βλέπει πλέον τη χρήση του να αυξάνεται χάρη στην υιοθέτησή του από μεγάλους εκδότες και διαδικτυακές πλατφόρμες διαχείρισης συναίνεσης.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GPC) επιτρέπει στους χρήστες να εξαιρεθούν από την πώληση προσωπικών πληροφοριών σε επίπεδο προγράμματος περιήγησης με ένα κλικ, για όλους ή για ορισμένους ιστότοπους.

Σε αντίθεση με τους χειριστές εξαίρεσης, οι οποίοι συχνά φορτώνουν περιεχόμενο και αρχίζουν να συλλέγουν δεδομένα πριν ο χρήστης έχει την ευκαιρία να εξαιρεθεί, το GPC σέβεται την επιλογή του χρήστη πριν από τη φόρτωση του ιστότοπου.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.