Η συγκατάθεση του υποκειμένου ως νόμιμη βάση επεξεργασίας προσωπικών δεδομένων εμπειρική έρευνα ως προς τον βαθμό συμμόρφωσης των ελληνικών ιστοσελίδων

Abstract

Η παρούσα διπλωματική εργασία εστιάζει στη συγκατάθεση του υποκειμένου των δεδομένων, ως νόμιμη βάση επεξεργασίας αυτών. Ειδικότερα, η συγκατάθεση στο δίκαιο των προσωπικών δεδομένων λειτουργεί νομιμοποιητικά, ως βάση επεξεργασίας, όταν πληρούνται τα συγκεκριμένα εννοιολογικά χαρακτηριστικά αυτής, ήτοι, όταν η συγκατάθεση είναι ελεύθερη, ειδική, ρητή και εν πλήρει επιγνώσει. Παράλληλα, η συγκατάθεση πρέπει να είναι και ελευθέρως ανακλητή. Η μεθοδολογία της εργασίας ήταν αρχικά δογματική και συγκριτική, με ερμηνευτική ανάλυση της έννοιας της συγκατάθεσης υπό το προϊσχύον δίκαιο της Οδηγίας 95/46/ΕΚ και του Γενικού Κανονισμού για την Προστασία Δεδομένων μέσα από τη θεωρία, τις Γνώμες και Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του άρθρου 29, καθώς και τη νομολογία δικαστηρίων, αλλά και της ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Επιπλέον, προκειμένου να εξεταστεί η πρακτική εφαρμογή των θεωρητικών αναλύσεων ως προς τη συγκατάθεση, διεξήχθη εμπειρική έρευνα σε 100 ελληνικές ιστοσελίδες υψηλής επισκεψιμότητας. Μέσα από την ανάλυση του περιεχομένου αυτών, καθώς και των διαδικασιών χορήγησης και ανάκλησης της συγκατάθεσης, εξετάστηκε ο βαθμός συμμόρφωσης αυτών με τις εκ του νόμου υποχρεώσεις τους για τη λήψη της συγκατάθεσης για την επεξεργασία προσωπικών δεδομένων. Ιδιαίτερο ενδιαφέρον παρουσίασε η διαπίστωση πως, παρά το γεγονός πως η συντριπτική πλειοψηφία των ιστοσελίδων, ήτοι ποσοστό 90%, παρείχε κάποιας μορφής ενημέρωση ως προς την επεξεργασία των δεδομένων και συνεπώς, ο υπεύθυνος επεξεργασίας γνώριζε τις νόμιμες υποχρεώσεις του, εντούτοις ένας πολύ μικρός αριθμός ιστοσελίδων τηρούσε όλες τις νόμιμες υποχρεώσεις για την επεξεργασία. Ενδεικτικά, το 31,6% των ιστοσελίδων χρησιμοποιούσε προσυμπληρωμένα τετραγωνίδια, το 13,3% εφάρμοζε το σύστημα opt - out, ενώ μόλις το 7% των ιστοσελίδων παρείχε διαδικασίες ανάκλησης της συγκατάθεσης, εξίσου εύκολες με τη χορήγησή της.

This thesis focuses on data subject’s consent as a legal basis for data processing. In particular, consent in the Data Privacy Law serves as a legal basis for data processing, when all the required elements are fulfilled, namely when the consent is freely given, specific, unambiguous and informed. Moreover, consent has to be freely revocable. The methodology of this thesis was mainly dogmatic and comparative, with an interpretative analysis of the concept of consent in the earlier law under the Directive 95/46/EC as well as in the General Data Protection Regulation, through legal literature, Opinions and Guidelines from Article 29 Working Party, as well as case law and decisions from the Greek Data Protection Authority. In addition, in order to examine the practical application of the theoretical approaches of consent, an empirical study was conducted in 100 popular Greek websites. Through the analysis of their content, as well as the procedures of giving and revoking consent, their degree of compliance with their legal obligations to obtain consent for data processing was examined. Of particular interest was the fact that, although the vast majority of the websites, namely 90%, provided some form of information on data processing and therefore, the data controller was aware of their legal obligations, only a very small number of websites fulfilled all the legal obligations for data processing. Indicatively, 31.6% of the websites used pre-ticked boxes, 13.3% used the opt-out system, while only 7% of the websites offered procedures for withdrawing consent, which were as easy as giving consent.