Εισαγωγή στην ειδοποίηση προστασίας δεδομένων
Η ειδοποίηση προστασίας δεδομένων είναι ένα κεντρικό εργαλείο στο δίκαιο προστασίας δεδομένων για την επιβολή της συμμόρφωσης με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR). Από την έναρξη ισχύος του GDPR το 2018, οι επιχειρήσεις και οι οργανισμοί είναι υποχρεωμένοι να επιδεικνύουν την ύψιστη προσοχή κατά την επεξεργασία προσωπικών δεδομένων. Σε περίπτωση παραβίασης αυτών των οδηγιών – όπως ανεπαρκής πληροφόρηση των χρηστών ή μη επιτρεπόμενη επεξεργασία δεδομένων – μπορεί να εκδοθεί σχετική ειδοποίηση. Αυτή δεν μπορεί να εκδοθεί μόνο από τις αρχές προστασίας δεδομένων, αλλά και από ανταγωνιστές, ενώσεις προστασίας καταναλωτών ή ακόμα και από τα ίδια τα άτομα που επηρεάζονται. Ο στόχος μιας ειδοποίησης προστασίας δεδομένων είναι να πείσει την επιχείρηση να σταματήσει την παραβίαση των δικαιωμάτων προστασίας δεδομένων και να συμμορφωθεί με τους κανονισμούς προστασίας δεδομένων. Για τις επιχειρήσεις αυτό σημαίνει ότι πρέπει να ελέγχουν και να προσαρμόζουν τακτικά τις διαδικασίες τους σχετικά με την επεξεργασία προσωπικών δεδομένων για να αποφύγουν ειδοποιήσεις και πιθανές μετέπειτα αγωγές.
Νομικό πλαίσιο
Οι νομικές βάσεις για τις ειδοποιήσεις στον τομέα προστασίας δεδομένων βρίσκονται κυρίως στον GDPR καθώς και στον νόμο κατά του αθέμιτου ανταγωνισμού (UWG). Ο GDPR ορίζει λεπτομερώς πώς μπορούν να συλλέγονται, να αποθηκεύονται και να επεξεργάζονται τα προσωπικά δεδομένα. Οι παραβιάσεις αυτών των κανονισμών – όπως με μη επιτρεπτή επεξεργασία ή έλλειψη διαφάνειας – μπορούν να διωχθούν όχι μόνο από τις αρχές προστασίας δεδομένων, αλλά και στο πλαίσιο του νόμου περί ανταγωνισμού. Το UWG προστατεύει τον ανταγωνισμό από αθέμιτες πρακτικές και προβλέπει ότι μια παραβίαση προστασίας δεδομένων μπορεί να θεωρηθεί και ως παραβίαση του UWG εάν μια επιχείρηση αποκτήσει με τον τρόπο αυτό ένα αθέμιτο πλεονέκτημα. Έτσι, οι ειδοποιήσεις για παραβιάσεις προστασίας δεδομένων μπορούν να εκδίδονται τόσο βάσει του GDPR όσο και του UWG. Οι επιχειρήσεις πρέπει επομένως να διασφαλίσουν ότι ακολουθούν αυστηρά τους νόμιμους κανονισμούς για την επεξεργασία προσωπικών δεδομένων για να αποφύγουν ειδοποιήσεις και περαιτέρω νομικές συνέπειες.
Ανταγωνιστές επιτρέπεται να εκδίδουν ειδοποιήσεις – Αποφάσεις του BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Ανταγωνιστές και ενώσεις προστασίας καταναλωτών μπορούν να εκδίδουν ειδοποιήσεις για παραβιάσεις προστασίας δεδομένων από τις επιχειρήσεις· το δικαστήριο έχει κεντρικό ρόλο στην απόφαση για ειδοποιήσεις λόγω παραβιάσεων προστασίας δεδομένων. Αυτό αποφάσισε το Ομοσπονδιακό Ανώτατο Δικαστήριο της Γερμανίας σε πολλές αποφάσεις στις 27 Μαρτίου 2025 (Αρ. υποθ. I ZR 186/17, I ZR 222/19, I ZR 223/19). Διάφορα δικαστήρια στο παρελθόν αποφάσισαν διαφορετικά για το δικαίωμα ειδοποίησης σε περιπτώσεις παραβίασης προστασίας δεδομένων. Ο μεγάλος αριθμός περιπτώσεων παραβίασης προστασίας δεδομένων δείχνει τη σημασία αυτού του θέματος στην πράξη. Η τρέχουσα απόφαση του BGH ξεκαθαρίζει ότι και οι ανταγωνιστές και οι ενώσεις καταναλωτών μπορούν να ενεργούν. Οι αποφάσεις του BGH του Μαρτίου 2025 είναι πολύ σημαντικές για την πρακτική των ειδοποιήσεων, καθώς επιτρέπουν την επιδίωξη παραβάσεων προστασίας δεδομένων από τις ενώσεις καταναλωτών και τους ανταγωνιστές στα αστικά δικαστήρια. Η ειδοποίηση GDPR είναι μια ειδική μορφή ειδοποίησης που αναφέρεται σε παραβάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων και διαφέρει από άλλες ειδοποιήσεις εξαιτίας της σύνδεσής της με το δίκαιο προστασίας δεδομένων. Η κεντρική ένωση καταναλωτών διαδραματίζει σημαντικό ρόλο στην επιβολή των δικαιωμάτων προστασίας δεδομένων. Οι ενώσεις καταναλωτών συμμετέχουν ενεργά στην ειδοποίηση παραβάσεων προστασίας δεδομένων. Ακόμα και οι ανταγωνιστές μπορούν να παρακολουθούν παραβιάσεις προστασίας δεδομένων, προστατεύοντας έτσι τον ανταγωνισμό. Η απόφαση του BGH έχει σημαντικές επιπτώσεις στην πρακτική και την νομική αξιολόγηση των παραβάσεων προστασίας δεδομένων.
Οι παραβιάσεις προστασίας δεδομένων δεν μπορούν να τιμωρηθούν μόνο από εποπτικές αρχές. Η αποφασιστική ικανότητα των δικαστηρίων σε περιπτώσεις παραβίασης προστασίας δεδομένων είναι κεντρικής σημασίας. Όπως δείχνουν οι αποφάσεις του BGH, μπορούν να κινηθούν εναντίον των παραβάσεων και οι ανταγωνιστές και οι ενώσεις καταναλωτών. Στο πλαίσιο τέτοιων διαδικασιών, ο κατηγορούμενος παίζει επίσης σημαντικό ρόλο. Για τις επιχειρήσεις, αυτό μπορεί ειδικά στον ηλεκτρονικό εμπόριο και κατά την επεξεργασία ευαίσθητων δεδομένων να έχει σημαντικές συνέπειες, όπως αναφέρει η νομική εταιρεία MTR Legal Rechtsanwälte, η οποία συμβουλεύει μεταξύ άλλων στο δίκαιο IT και στο δίκαιο προστασίας δεδομένων. Οι παραβιάσεις του GDPR μπορεί να οδηγήσουν σε σημαντικές νομικές συνέπειες, ειδικά αν υποβληθούν αξιώσεις αναστολής. Σε περίπτωση επαναλαμβανόμενης παραβίασης του GDPR, απειλούνται αυστηρές κυρώσεις και περαιτέρω μέτρα. Η παρακολούθηση των παραβιάσεων προστασίας δεδομένων πραγματοποιείται τόσο μέσω των δικαστηρίων όσο και μέσω ενώσεων. Η σημασία των Παραγράφων 1 και 1 Αρ. στους καθορισμένους παραγράφους είναι απαραίτητη για τη νομική κατανόηση. Το θέμα έχει μεγάλη σημασία για την ανάπτυξη του δικαίου προστασίας δεδομένων και την επιβολή των δικαιωμάτων των καταναλωτών.
Εφαρμογή παιχνιδιών αναρτά δεδομένα
Στην υπόθεση με αριθμό αρχείου I ZR 186/17, αφορούσε ένα λεγόμενο “κέντρο εφαρμογών” σε ένα κοινωνικό δίκτυο, όπου τρίτοι παρείχαν παιχνίδια. Το κέντρο εφαρμογών λειτουργεί ως κεντρική πλατφόρμα, στην οποία προσφέρονται διάφορες εφαρμογές τρίτων. Το κέντρο εφαρμογών έχει σημαντικό ρόλο στην ηλεκτρονική πλατφόρμα παιχνιδιών, καθώς αυτά αποτελούν μεγάλο μέρος της προσφοράς. Κατά τη χρήση της εφαρμογής, μπορούν να επεξεργαστούν προσωπικά δεδομένα, όπως η διεύθυνση ηλεκτρονικού ταχυδρομείου σου. Πριν μπορέσει ο χρήστης να ξεκινήσει ένα παιχνίδι, του εμφανιζόταν ότι η εφαρμογή έλαβε ορισμένα δικαιώματα, όπως για την ανάρτηση κατάστασης. Ωστόσο, αυτές οι ενδείξεις ήταν αόριστες και δεν πληροφορούσαν για τα συγκεκριμένα δεδομένα που επεξεργάζονταν, ποιοι ήταν οι παραλήπτες και για ποιο σκοπό γινόταν αυτό. Κατά αυτής της πρακτικής προσέφυγε η κεντρική ομοσπονδία ενώσεων καταναλωτών των ομόσπονδων χωρών με επιτυχία.
Ο BGH ξεκαθάρισε ότι τέτοιες ασαφείς και γενικές πληροφορίες δεν πληρούν τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR). Ήδη κατά τη συλλογή των δεδομένων μέσω της εφαρμογής πρέπει οι χρήστες να ενημερώνονται πλήρως. Επίσης, το εύρος των δεδομένων που συλλέγονται και επεξεργάζονται πρέπει να παρουσιάζεται με διαφάνεια. Η νόμιμη διατύπωση των σκοπών της χρήσης στη δήλωση προστασίας δεδομένων έχει ιδιαίτερη σημασία. Οι υποχρεώσεις ενημέρωσης σύμφωνα με τα άρθρα 12 και 13 GDPR απαιτούν σαφή, ακριβή και κατανοητή ενημέρωση των ενδιαφερόμενων προσώπων. Δεδομένου ότι αυτές οι απαιτήσεις του GDPR ρυθμίζουν ταυτόχρονα τη συμπεριφορά στην αγορά σύμφωνα με τον νόμο περί ανταγωνισμού (§ 3a UWG), η παραβίασή τους αποτελεί παραβίαση του ανταγωνισμού. Επομένως, οι ανταγωνιστές ή πιστοποιημένες ενώσεις προστασίας καταναλωτών μπορούν να προχωρήσουν νομικά εναντίον τέτοιων παραβιάσεων προστασίας δεδομένων, σύμφωνα με τον BGH. Αυτό ισχύει ανεξάρτητα από το αν κάποιος χρήστης έχει παραπονεθεί.
Οι φαρμακοποιοί πωλούν φάρμακα στο διαδίκτυο
Παρόμοια θέματα αντιμετωπίστηκαν στις υποθέσεις με αριθμούς αρχείων I ZR 222/19 και I ZR 223/19. Εδώ, δύο φαρμακεία πωλούσαν φάρμακα μέσω της πλατφόρμας Amazon. Κατά τη διαδικασία επεξεργάζονταν προσωπικά δεδομένα των πελατών, συμπεριλαμβανομένων και των δεδομένων υγείας, όπως το όνομα, η διεύθυνση ή τα παραγγελθέντα φάρμακα μαζί με πληροφορίες για την εξατομίκευσή τους. Η συλλογή αυτών των δεδομένων υγείας από τα φαρμακεία αποτελούσε το επίκεντρο των υποθέσεων. Υπήρχαν πολλές περιπτώσεις παραβιάσεων προστασίας δεδομένων στον τομέα των φαρμακείων που σχετίζονταν με αυτήν την υπόθεση. Άλλοι φαρμακοποιοί είχαν καταθέσει αγωγές εναντίον αυτών των πρακτικών. Και αυτέs oι αγωγές είχαν επιτυχία· ο BGH κατέστησε σαφές ότι τα δεδομένα παραγγελιών θεωρούνται εντός του Άρθρου 9 παράγραφος 1 του GDPR ως δεδομένα υγείας. Αυτό ισχύει ακόμη και αν τα φάρμακα δεν απαιτούν ιατρική συνταγή. Τα δεδομένα μπορούν να επεξεργαστούν μόνο εφόσον έχει δοθεί ρητή συγκατάθεση από τους πελάτες, την οποία οι φαρμακοποιοί δεν είχαν λάβει.
Ο BGH επιβεβαίωσε την εκτίμηση του Δικαστηρίου της Ευρωπαϊκής Ένωσης ότι τα δεδομένα υγείας υπάρχουν ήδη όταν από την παραγγελία μπορούν να συναχθούν συμπεράσματα για την κατάσταση υγείας ή την αγωγή. Στις διαδικασίες, ο εναγόμενος διαδραμάτισε κεντρικό ρόλο καθώς ήταν υπεύθυνος για την επεξεργασία των δεδομένων. Ιδιαίτερη έμφαση δόθηκε στη σημασία της προστασίας του ενδιαφερόμενου προσώπου κατά την επεξεργασία δεδομένων υγείας. Επίσης, ο BGH αναγνώρισε μια παραβίαση ανταγωνισμού. Το Άρθρο 9 παράγραφος 1 του GDPR θεωρείται κανονισμός για τη συμπεριφορά στην αγορά σύμφωνα με το § 3a UWG, έτσι ώστε η παραβίαση αυτής της διάταξης να μπορεί να διωχθεί από έναν ανταγωνιστή με νομική αγωγή στα αστικά δικαστήρια, σύμφωνα με τους δικαστής της Καρλσρούης. Η σημασία των Παραγράφων 1 και 1 Αρ. στους καθορισμένους παραγράφους τονίστηκε ρητά.
Οι κανονισμοί του GDPR είναι επίσης σημαντικοί για το νόμο περί ανταγωνισμού
Οι αποφάσεις δείχνουν ότι οι κανονισμοί του GDPR – και εδώ ιδιαίτερα οι υποχρεώσεις ενημέρωσης και οι διατάξεις για τη συγκατάθεση – είναι επίσης σχετικοί με το νόμο περί ανταγωνισμού. Υπό ορισμένες συνθήκες, μπορούν να ακυρωθούν τα κέρδη που επιτεύχθηκαν μέσω παραβιάσεων προστασίας δεδομένων· αυτό συνδέεται με πρόστιμα και επιπλέον ποινικά μέτρα, τα οποία μπορούν να επιβληθούν σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων και τον νόμο. Οι επιχειρήσεις που επεξεργάζονται προσωπικά ή ευαίσθητα δεδομένα χωρίς επαρκή πληροφόρηση ή χωρίς έγκυρη συγκατάθεση ενεργούν κατά του ανταγωνισμού. Δεν είναι μόνο οι αρχές προστασίας δεδομένων, αλλά και οι ανταγωνιστές ή πιστοποιημένα συμφέροντα μπορούν να ενεργήσουν κατά τέτοιων παραβάσεων. Με αυτό τον τρόπο, ο BGH επεκτείνει σημαντικά το πεδίο εφαρμογής του δικαίου περί ανταγωνισμού. Οι επιχειρήσεις που παραβιάζουν τους κανονισμούς προστασίας δεδομένων μπορούν, εκτός από πρόστιμα από τις αρχές προστασίας δεδομένων, να αντιμετωπίσουν και ειδοποιήσεις επι πληρωμή και αγωγές αναστολής από ανταγωνιστές και ενώσεις προστασίας καταναλωτών.
Οι επιχειρήσεις είναι καλό να ενημερώνονται
Οι επιχειρήσεις είναι καλό να ελέγχουν ακριβώς τις υποχρεώσεις ενημέρωσής τους και να τις εκπληρώνουν. Αυτό περιλαμβάνει την παροχή σαφούς, κατανοητής και πλήρους ενημέρωσης στους χρήστες για το ποια δεδομένα επεξεργάζονται και για ποιο σκοπό, από ποια νομική βάση προέρχεται αυτό, ποιοι είναι οι παραλήπτες και ποια είναι τα δικαιώματα των ενδιαφερόμενων. Επίσης, πριν από την επεξεργασία ευαίσθητων δεδομένων – όπως π.χ. δεδομένα υγείας – πρέπει να λαμβάνεται και να καταγράφεται μια ρητή συγκατάθεση. Οι γενικές ή κρυφές ρήτρες δεν είναι επαρκείς.
Ηλεκτρονικές αγορές και προστασία δεδομένων
Ηλεκτρονικές αγορές όπως η Amazon Marketplace είναι αδιαμφισβήτητο μέρος του σύγχρονου ηλεκτρονικού εμπορίου. Όμως, εδώ είναι ιδιαιτέρως σημαντική η τήρηση της προστασίας δεδομένων. Οι προμηθευτές που δραστηριοποιούνται σε τέτοιες πλατφόρμες πρέπει να τηρούν τις αυστηρές απαιτήσεις του GDPR κατά τη διαδικασία επεξεργασίας δεδομένων πελατών – όπως ονόματα, διευθύνσεις ή δεδομένα παραγγελιών. Οι αποφάσεις του BGH στις υποθέσεις I ZR 186/17, I ZR 222/19 και I ZR 223/19 κατέδειξαν ότι οι παραβάσεις του GDPR – όπως η επεξεργασία δεδομένων υγείας χωρίς ρητή συγκατάθεση των πελατών – μπορούν να έχουν όχι μόνο συνέπειες στο δίκαιο προστασίας δεδομένων, αλλά και στο νόμο περί ανταγωνισμού. Σε τέτοιες περιπτώσεις, είναι πιθανές οι ειδοποιήσεις από ανταγωνιστές ή ενώσεις προστασίας καταναλωτών και μπορούν να έχουν σημαντικές συνέπειες για τις επιχειρήσεις. Οι αποφάσεις του Ομοσπονδιακού Ανώτατου Δικαστηρίου της Γερμανίας υπογραμμίζουν ότι η τήρηση της προστασίας δεδομένων στις ηλεκτρονικές αγορές δεν είναι απλώς ένα ζήτημα συμμόρφωσης, αλλά και ανταγωνισμού.
Συνέπειες μιας ειδοποίησης
Μια ειδοποίηση προστασίας δεδομένων μπορεί να έχει σημαντικές συνέπειες για τις επιχειρήσεις. Εκτός από την υποχρέωση άμεσης παύσης της εν λόγω επεξεργασίας προσωπικών δεδομένων, σε περίπτωση συνεχιζόμενης παραβίασης, απειλούνται σοβαρές χρηματικές ποινές ή πρόστιμα. Το GDPR προβλέπει ποσά έως και 20 εκατομμυρίων ευρώ ή 4 % του παγκόσμιου ετήσιου κύκλου εργασιών – ανάλογα με το ποιο ποσό είναι μεγαλύτερο. Επιπλέον, μια ειδοποίηση μπορεί επίσης να βλάψει μόνιμα τη φήμη μιας επιχείρησης, καθώς μια παραβίαση της προστασίας δεδομένων εκλαμβάνεται από πελάτες και το κοινό ως σοβαρή παραβίαση εμπιστοσύνης. Οι επιχειρήσεις πρέπει επομένως να δίνουν τη μέγιστη προσοχή στην τήρηση των κανονισμών προστασίας δεδομένων όχι μόνο για νομικούς, αλλά και για λόγους φήμης.
Άμυνα κατά των ειδοποιήσεων
Για να προστατευτούν αποτελεσματικά από τις ειδοποιήσεις στον τομέα προστασίας δεδομένων, οι επιχειρήσεις πρέπει να επανεξετάζουν τακτικά τις πρακτικές προστασίας δεδομένων τους και να προσαρμόζουν στις τρέχουσες απαιτήσεις του GDPR. Συγκεκριμένα, αυτό περιλαμβάνει τη δημιουργία μιας διαφανούς και πλήρους δήλωσης προστασίας δεδομένων, τη λήψη ρητών συναινέσεων για την επεξεργασία ευαίσθητων δεδομένων, καθώς και την υλοποίηση τεχνικών και οργανωτικών μέτρων για την προστασία των δεδομένων. Σε περίπτωση ειδοποίησης, είναι συνετό να αντιδράσουν γρήγορα και να λάβουν νομικές συμβουλές, για να διασφαλίσουν καλύτερα τα συμφέροντά τους. Με προδραστική δράση και συνεπή τήρηση των κανονισμών προστασίας δεδομένων, οι επιχειρήσεις μπορούν να μειώσουν σημαντικά τον κίνδυνο ειδοποιήσεων και περαιτέρω νομικών βημάτων.
MTR Legal Rechtsanwälte συμβουλεύει για προστασία δεδομένων, για τον GDPR και άλλα θέματα δικαίου πληροφοριακών τεχνολογιών.
Επικοινωνήστε μαζί μας !
