Cookies και συμμόρφωση websites και applications: η γαλήνη πριν την καταιγίδα;

    Από: Startup Team

Της Χριστίνας Κολιάτου και του Γιάννη Ψαράκη*

Το παράδειγμα

Μία σύντομη περιήγηση στο διαδίκτυο αρκεί για να διαπιστώσουμε ότι η ισχύουσα νομοθεσία για τα cookies (ιχνηλάτες) δε γίνεται σεβαστή στη χώρα μας. Δεν είναι ανάγκη να αναζητήσουμε «με το κιάλι» ιστοσελίδες που δε συμμορφώνονται˙ αρκεί να επεξεργαστούμε εκείνες που έχουμε επιλέξει να εμφανίζονται κατά την εκκίνηση στο πρόγραμμα περιήγησης που χρησιμοποιούμε.

Διαβάζοντας όσα στη συνέχεια εκτίθενται, θα είμαστε σε θέση και μόνοι μας να εντοπίσουμε «ανορθογραφίες» – ακόμα και σε γνωστά sites.

Έναυσμα για τη συγγραφή αυτού του άρθρου αποτέλεσε η απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (European Data Protection Supervisor – EDPS) στην υπόθεση 2019-0878, από την οποία αντλείται ισχυρή επιβεβαίωση για όσα προηγήθηκαν. Συγκεκριμένα, στην απόφασή που εξεδόθη την 3.5.2021 σημειώνεται ότι ακόμα και η ίδια η ιστοσελίδα του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) απέτυχε να συμμορφωθεί με την περί Cookies νομοθεσία, σε περισσότερα μάλιστα του ενός σημεία.

Έτσι, η «κουλτούρα» έλλειψη συμμόρφωσης δεν εντοπίζεται μόνο στην Ελλάδα˙ αλλά ούτε και αποκλειστικά σε μικρές και μικρομεσαίες επιχειρήσεις. Αυτή η διαπίστωση είναι ενδιαφέρουσα αφού – μολονότι αρκετά (και) τεχνικό ζήτημα – ενωσιακά και εθνικά κείμενα καθιστούν τη συμμόρφωση δυνατή, χωρίς ιδιαιτέρως γκρίζες ζώνες, παρέχοντας την κατάλληλη πληροφόρηση και οδηγίες. Με τη σωστή νομική καθοδήγηση, η συμμόρφωση είναι εφικτή – αρκεί να υπάρχει η θέληση και από πλευράς π.χ. επιχείρησης.

Η συμμόρφωση

Βασικό οδηγό για τη συμμόρφωση αποτελεί η διάκριση των cookies σε αναγκαία (λειτουργικά) και σε μη αναγκαία. Η διαφορά είναι απλή και έγκειται στο εξής: ενώ τα πρώτα είναι τεχνικά απαραίτητα για την πραγματοποίηση της σύνδεσης στην ιστοσελίδα ή για την παροχή της υπηρεσίας διαδικτύου (και κατά τούτο θα λέγαμε εξυπηρετούν κυρίως συμφέροντα του επισκέπτη-χρήστη), τα δεύτερα εγκαθίστανται προς όφελος του κυρίου της ιστοσελίδας (ή και τρίτου) και κυρίως ωφελούν αυτόν. Δευτερευόντως, ευνοούν και το χρήστη υπό την εξής έννοια: παρέχουν δεδομένα για συνήθειές του καθιστώντας έτσι δυνατή τη διαμόρφωση, στη συνέχεια, την ιστοσελίδας, κατά τρόπο που να ανταποκρίνεται καλύτερα στις προτιμήσεις του (όπως έχει δείξει η μέχρι τότε δραστηριότητά του).

Ως ενδεικτικές κατηγορίες αναγκαίων cookies αναφέρονται για παράδειγμα εκείνα που είναι απαραίτητα κατά τη συμπλήρωση μιας ηλεκτρονικής φόρμας από τον χρήστη ή για την καταχώριση των αγορών του χρήστη σε ένα ηλεκτρονικό κατάστημα (π.χ. με επιλογή του κουμπιού «προσθήκη στο καλάθι»), για την αυθεντικοποίηση του συνδρομητή ή χρήστη σε υπηρεσίες που απαιτούν αυθεντικοποίηση (π.χ. κατά την πραγματοποίηση μιας τραπεζικής συναλλαγής μέσω του διαδικτύου), cookies που εγκαθίστανται με σκοπό την ασφάλεια του συνδρομητή ή χρήστη, όπως για παράδειγμα «cookies» που εντοπίζουν επαναλαμβανόμενες αποτυχημένες προσπάθειες εισόδου στον λογαριασμό ενός χρήστη σε μια συγκεκριμένη ιστοσελίδα αλλά και cookies που «θυμούνται» τις επιλογές του συνδρομητή ή χρήστη σχετικά με την παρουσίαση της ιστοσελίδας (π.χ. cookies που αφορούν την επιλογή της γλώσσας ήτης παρουσίασης αποτελεσμάτων αναζήτησης σε μια ιστοσελίδα).

Η διάκριση των Cookies σε αναγκαία και μη είναι χρήσιμη διότι δίνει απάντηση στο εξής ερώτημα: χρειάζεται συναίνεση (η νομοθεσία κάνει λόγο για «συγκατάθεση») πριν την εγκατάστασή τους; Εάν δεν πρόκειται για αναγκαία Cookies, η «συγκατάθεση» πριν αυτά εγκατασταθούν είναι απαραίτητη (σημ.: η χρήση ιχνηλάτη για την αποθήκευση της επιλογής ενός χρήστη εντάσσεται στα τεχνικά απαραίτητα).

Στη συνέχεια θα παρουσιάσουμε τρεις βασικούς άξονες συμμόρφωσης με παραδείγματα των συχνότερων λαθών που παρατηρούνται στην πράξη.

Η συγκατάθεση

Αναφέραμε ήδη ότι για ορισμένα είδη cookies απαιτείται συγκατάθεση. H συγκατάθεση αυτή απαιτεί σαφή θετική ενέργεια. Έτσι, για παράδειγμα, απλή συνέχιση πλοήγησης ή κύλιση οθόνης (scrolling) δεν αποτελούν αποδεκτούς τρόπους παροχής συγκατάθεσης. Ούτε όμως και τα προσυμπληρωμένα τετραγωνίδια αποτελούν «καλή πρακτική».

Ελλείψει οποιασδήποτε εκδήλωσης επιλογής αποδοχής δεν πρέπει να γίνεται χρήση κανενός μη απαραίτητου ιχνηλάτη. Αντίθετα, αναγκαία cookies εγκαθίστανται ήδη νομίμως. Προσοχή όμως: Δεν θεωρείται ότι υπάρχει συγκατάθεση του χρήστη στην περίπτωση κατά την οποία το πρόγραμμα πλοήγησης έχει ως επιλογή την αποδοχή των cookies.

Επίσης, θα πρέπει ο χρήστης να μπορεί, με τον ίδιο αριθμό ενεργειών («κλικ») και από το ίδιο επίπεδο, είτε να αποδέχεται τη χρήση των ιχνηλατών (εκείνων για τους οποίους απαιτείται συγκατάθεση) είτε να την απορρίπτει.

Μπορεί να υπάρχει όμως τέτοια διαμόρφωση ώστε ακόμα και η παροχή ρητής συγκατάθεσης να είναι στην πραγματικότητα μη γνήσια, επίπλαστη (π.χ. περίπτωση «cookie walls»). Για παράδειγμα, πάροχος ιστότοπου εγκαθιστά πρόγραμμα που εμποδίζει την προβολή του περιεχομένου του ιστότοπου πλην ενός αιτήματος για την αποδοχή cookies και των πληροφοριών σχετικά με τα cookies που χρησιμοποιούνται και τους σκοπούς της επεξεργασίας των δεδομένων. Στη συγκεκριμένη περίπτωση δεν υπάρχει δυνατότητα πρόσβασης στο περιεχόμενο χωρίς να πατηθεί το κουμπί «Αποδοχή cookies». Δεδομένου ότι στο υποκείμενο των δεδομένων δεν παρέχεται πραγματική επιλογή, η συγκατάθεσή του δεν παρέχεται ελεύθερα. Η συγκατάθεση στην περίπτωση αυτή δεν συγκροτεί την έγκυρη συγκατάθεση που απαιτείται, καθώς η παροχή της υπηρεσίας στηρίζεται στο κλικ στο κουμπί «Αποδοχή cookies» εκ μέρους του υποκειμένου. Στο υποκείμενο των δεδομένων όμως, με τον τρόπο αυτό, δεν παρέχεται πραγματική επιλογή.

Αλλά ακόμα και αν δοθεί η συγκατάθεση προσηκόντως, ο χρήστης πρέπει να έχει τη δυνατότητα να ανακαλέσει τη συγκατάθεσή του με τον ίδιο τρόπο και με την ίδια ευκολία με τον οποίο τη δήλωσε.

Συχνό λάθος: Σε πολλές σελίδες εγκαθίστανται μη απαραίτητα cookies χωρίς καμία ενημέρωση ή διαδικασία λήψης συγκατάθεσης. Αυτό μπορούμε να το διαπιστώσουμε εύκολα και δωρεάν μέσω ενός καλού cookie scanner (www.cookiebot.com/en/cookie-scanner/?gclid=CjwKCAjwkN6EBhBNEiwADVfya6mgdJ4vGqwyanawoi7EEDAMS0xSxbA4vo31wVxR5l0vkjJa_G54uxoCOFEQAvD_BwE).

Η ενημέρωση

Η συγκατάθεση, ακόμα και αν δοθεί, είναι κενή περιεχομένου εάν δεν έχει βασιστεί σε προηγούμενη κατάλληλη ενημέρωση. Έτσι, θεωρείται κακή πρακτική αν παρέχεται μόνο μια γενική ενημέρωση για τη χρήση ιχνηλατών (π.χ. μέσα σε ένα γενικό κείμενο πολιτικής προστασίας δεδομένων). Με άλλα λόγια, θα πρέπει, τουλάχιστον σε δεύτερο επίπεδο, να παρέχεται εξήγηση για το ρόλο του κάθε ιχνηλάτη και τη διάρκεια αποθήκευσης αυτού.

Ως ενημέρωση 1ου επιπέδου εννοούμε την αρχική πληροφορία (π.χ με την είσοδο στο site, σε μορφή banner) ενώ ως ενημέρωση 2ου επιπέδου εννοούμε την εκτενέστερη πληροφορία η οποία (πρέπει να) παρέχεται, συνήθως κάνοντας κλικ στο εικονίδιο «περισσότερες πληροφορίες».

Ιδίως αν πρόκειται για cookies που συλλέγουν και προσωπικά δεδομένα, πρέπει να αναφέρονται και τα στοιχεία του υπεύθυνου επεξεργασίας και του λόγου που δικαιολογεί την εγκατάστασή τους.

Στο σημείο αυτό είναι αναγκαία μία διευκρίνηση: το ζήτημα των cookies δεν εμπίπτει κατ’ ανάγκη στον GDPR. Μολονότι πράγματι το κοινό ξεκίνησε να εξοικειώνεται με την προβληματική των cookies επ’ ευκαιρία της φρενίτιδας με τον GDPR, το πλαίσιο που ρυθμίζει τη χρήση cookies εντοπίζεται κάποια χρόνια πίσω (Οδηγία ePrivacy 2002/58/ΕΚ και ν. 3471/2006). Με απλά λόγια, ακόμα και αν δεν υπήρχε ο GDPR, τα παραπάνω θα εξακολουθούσαν να είναι απαραίτητα. Τούτο διότι τα κανονιστικά κείμενα περί cookies ισχύουν ανεξαρτήτως του εάν με αυτά συλλέγονται προσωπικά δεδομένα: εάν συλλέγονται και προσωπικά δεδομένα, εφαρμοστέος είναι και ο GDPR (cookies τα οποία τα οποία ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές μπορούν να χρησιμοποιηθούν για να αναγνωριστεί η ταυτότητά τους). Είναι ενδεικτικό ότι ο GDPR κάνει λόγο περί cookies σε ένα μόνο σημείο και μάλιστα στο προοίμιό του (σκ.30). Το σημείο επικάλυψης των δύο νομοθεσιών είναι εκείνο της συγκατάθεσης: σύμφωνα με τις Κατευθυντήριες γραμμές 5/2020 σχετικά με τη συγκατάθεση βάσει του κανονισμού 2016/679 /58/ΕΚ) του Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων «Η έννοια της συγκατάθεσης στο σχέδιο κανονισμού για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες παραμένει συνδεδεμένη με την έννοια της συγκατάθεσης στον ΓΚΠΔ».

Συχνό λάθος: Μη αναγραφή (ούτε σε 2ο επίπεδο) κατηγοριών cookies, χρόνου διατήρησης κ.ο.κ. Η ελλιπής ενημέρωση «επιμολύνει» και τη συγκατάθεση.

Το banner

Υπάρχουν και οι περιπτώσεις στις οποίες η επιδίωξη να εξασφαλιστεί συγκατάθεση επιχειρείται να εξυπηρετηθεί μέσω της κατάλληλης διαμόρφωσης του αντίστοιχου banner.

Λαμβάνοντας τέτοιες τακτικές υπ’ όψιν, η ΑΠΔΠΧ με οδηγίες της ορίζει ότι για να διασφαλιστεί ότι ο χρήστης δεν έχει επηρεαστεί υπέρ της επιλογής αποδοχής, συνιστάται η χρήση κουμπιών και γραμματοσειράς ίδιου μεγέθους, τονισμού και χρώματος, που να προσφέρει την ίδια ευκολία ανάγνωσης. Έτσι, τακτικές όπως ιδιαίτερο μέγεθος ή χρώμα του κουμπιού «αποδοχή» ή «συγκατάθεση» ή και προεπιλογή, βρίσκουν αντίθετη την ΑΠΔΠΧ. Η διαμόρφωση των ενδείξεων «απαγορεύεται να υπαγορεύει» την τελική επιλογή.

Παράλληλα, με τη βοήθεια του IT, το κείμενο της ενημέρωσης πρέπει να προσαρμόζεται σε κάθε είδος τερματικής συσκευής από όπου γίνεται η πρόσβαση (φορητή ή σταθερή συσκευή) και να είναι ευανάγνωστο.

Επίσης, σε πολλές σελίδες θα παρατηρήσουμε ότι για τη λήψη συγκατάθεσης υπάρχει απλά μια επιλογή της μορφής «Εντάξει, ενημερώθηκα» ή «Εντάξει, συμφωνώ», χωρίς δυνατότητα να συνεχιστεί απρόσκοπτα η πλοήγηση (με απομάκρυνση του εν λόγω μηνύματος) αν ο χρήστης δεν επιλέξει το ανωτέρω. Αυτή η τακτική πρέπει να αποφεύγεται.

Συχνό λάθος: Η δυνατότητα απόρριψης της χρήσης ιχνηλατών δίνεται μόνο σε δεύτερο επίπεδο πληροφοριών, δηλαδή μετά το «κλικ» σε υπερσύνδεσμο με «περισσότερες πληροφορίες». Η καλή τακτική υπαγορεύει η αποδοχή να είναι το ίδιο ευχερής με την απόρριψη (και άρα στο ίδιο επίπεδο˙ π.χ. επίπεδο 1 [banner]).

Επίλογος

Η συμμόρφωση με το νομοθετικό καθεστώς για τα cookies είναι μάλλον μία εύκολη υπόθεση. Ιδίως με τη βοήθεια ειδικών, είναι δυνατόν να αποτελέσει μία περιοχή χαμηλού (ή και μηδενικού) ρίσκου για την επιχείρηση. Έχοντας πει αυτό, δεν μπορούμε να μην θίξουμε την πολύ συχνά παρατηρούμενη έλλειψη συμμόρφωσης με το καθεστώς που διέπει την εγκατάσταση cookies. Εν πολλοίς, αυτή η στάση τροφοδοτείται και από την (ψευδ)αίσθηση ότι οι διαχειριστές των ιστοσελίδων (ή και των applications – η νομοθεσία δεν διακρίνει μεταξύ ιστοσελίδων και εφαρμογών) θα μείνουν στον απυρόβλητο. Στην πραγματικότητα όμως «δεν αξίζει το ρίσκο». Είναι βέβαιο ότι αργά ή γρήγορα θα ξεκινήσουν εντατικοί έλεγχοι. Το ερώτημα είναι το πότε.

Εξόχως πιθανό είναι τα πρώτα πρόστιμα να είναι υψηλά˙ και για παιδευτικούς λόγους. Εξάλλου η περίοδος χάριτος που παρείχε η ΑΠΔΠΧ (όπως και άλλες Αρχές π.χ. η Γαλλική CNIL), έχει λήξει προ πολλού (βλ. εδώ www.dpa.gr/el/enimerwtiko/deltia/systaseis-gia-ti-symmorfosi-ypeythynon-epexergasias-dedomenon-me-tin-eidiki). Ενδεικτική είναι άλλωστε η ανακοίνωση του Γραφείου Επιτρόπου Προστασίας Δεδομένων της Κυπριακής Δημοκρατίας: ήδη από την 22.6.2021 – δηλαδή εδώ και μερικές ημέρες – έχουν αρχίσει έλεγχοι σε διαδικτυακούς τόπους οι οποίοι κάνουν χρήση cookies.

Ο παρών οδηγός σκοπεύει να παράσχει κάποιες πρώτες βασικές οδηγίες για το σύνολο των σελίδων˙ εξ ου και η γενικότητα του. Ακριβώς όμως αυτή η γενικότητα καθιστά αναγκαία την αναζήτηση εξειδικευμένης συμβουλής για κάθε συγκεκριμένη περίπτωση.

*Η Χριστίνα Κολιάτου (ΜΔΕ Εμπορικού Δικαίου – PgCert Φορολογικού Δικαίου) και ο Γιάννης Ψαράκης (ΜΔΕ Αστικού Δικαίου – ΜΔΕ Φορολογικού Δικαίου – ΜΔΕ Εμπορικού Δικαίου) είναι συνεργάτες της Δικηγορικής Εταιρείας Ψαράκης|Κεφαλάς (www.psarakislegal.com)