Γράφει η Καλλιρρόη Γραμμένου*

Οι επισκέπτες ιστοσελίδων βρίσκονται συχνά αντιμέτωποι με δυσνόητες, πυκνογραμμένες πολιτικές απορρήτου και ρυθμίσεις cookies.

Οι περισσότεροι χρήστες δεν έχουν τις τεχνικές γνώσεις να αξιολογήσουν εάν μία ιστοσελίδα συμμορφώνεται προς το ισχύον κανονιστικό πλαίσιο και εάν έχουν πραγματική ή κατ’ επίφαση επιλογή ως προς την τοποθέτηση cookies και την παρακολούθηση της διαδικτυακής συμπεριφοράς και των προτιμήσεών τους.

Τα Cookies είναι μικρά αρχεία κειμένου που αποθηκεύονται στη συσκευή του επισκέπτη μίας ιστοσελίδας. Πολλά από αυτά χρησιμοποιούνται για τη βελτίωση της χρηστικότητας ή της λειτουργικότητας ιστοσελίδων/ εφαρμογών.

Η θέση σε ισχύ του GDPR (Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) περιπλέκει ακόμα περισσότερο το τοπίο και δημιουργεί συχνά απορίες και σημεία σύγχυσης.

Η Γαλλική αρχή προστασίας δεδομένων (CNIL) και η Ισπανική Αρχή, με τις νέες κατευθυντήριες γραμμές που εξέδωσαν και το δικαστήριο της ΕΕ, με την σημαντική απόφαση Planet 49 GmbH (υπόθεση C-673/17) παρέχουν χρήσιμες διευκρινίσεις ως προς τις απαιτήσεις συγκατάθεσης των χρηστών για την αποθήκευση cookies στον εξοπλισμό τους.

Παρακάτω επιχειρούμε να εξηγήσουμε με απλό τρόπο τη σύζευξη του κανονισμού GDPR και της οδηγίας ePrivacy αλλά και να δώσουμε κάποιες ενδείξεις στους χρήστες σχετικά με την κατανόηση και την ορθότητα των πολιτικών cookies που χρησιμοποιούν οι πάροχοι ιστοσελίδων.

  • Οδηγία ePrivacy και GDPR

Η εγκατάσταση και η χρήση «cookies» ρυθμίζεται από την παράγραφο 5 του άρθρου 4 του ν. 3471/2006 (ο οποίος μετέφερε στην ελληνική έννομη τάξη την Οδηγία ePrivacy – 2002/58/ΕΚ (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, γνωστή ως “cookies directive”).

Η βασική αρχή είναι ότι η εγκατάσταση και χρήση cookies επιτρέπεται μόνο με τη συγκατάθεση του χρήστη.

Υπάρχει μία λανθασμένη αντίληψη ότι όλες οι ρυθμίσεις απορρήτου, συμπεριλαμβανομένων των cookies, ανάγονται μόνο στον GDPR. Το δικαστήριο της ΕΕ στην απόφαση Planet 49 αναφέρεται επίσης στην οδηγία ePrivacy 2002/58. 

Σκοπός της οδηγίας είναι η προστασία της ιδιωτικής σφαίρας των χρηστών, ανεξαρτήτως εάν συλλέγονται ή όχι προσωπικά δεδομένα μέσω τεχνολογιών ηλεκτρονικής επικοινωνίας.

Είναι σημαντικό να κάνουμε την εξής διάκριση:

  • Η οδηγία ePrivacy (cookies directive) ρυθμίζει τον δίαυλο επικοινωνίας (ηλεκτρονική επικοινωνία). Ο κανόνας σχετικά με τη λήψη συγκατάθεσης για την τοποθέτηση cookies εφαρμόζεται ανεξαρτήτως εάν γίνεται επεξεργασία προσωπικών δεδομένων ή όχι. 
  • Ο ΓΚΠΔ (GDPR) ρυθμίζει τις νομικές βάσεις για τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και ορίζει την έννοια της συγκατάθεσης. Ο Κανονισμός ορίζει ότι η συγκατάθεση δεν μπορεί να είναι ελεύθερη εάν για την παροχή υπηρεσίας ζητείται συγκατάθεση που δεν είναι αναγκαία για τον συγκεκριμένο σκοπό.

Ως πρακτικό παράδειγμα θα μπορούσαμε να αναφέρουμε την περίπτωση ιστοσελίδας η οποία ζητά συγκατάθεση του επισκέπτη για τη χρήση cookies, ενημερώνοντάς τον ότι με τη συγκατάθεσή του αυτή συμφωνεί επίσης στη χρήση των στοιχείων του για επιπλέον σκοπούς, πλην της ζητηθείσας υπηρεσίας (bundled consent).

Ο GDPR ορίζει με σαφήνεια την έννοια της έγκυρης συγκατάθεσης στο άρθρο 7. Επιπλέον, στην αιτιολογική σκέψη 32 του GDPR, αναφέρεται ότι « Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων  υπέρ των δεδομένων που τον αφορούν. […] η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση.»

  • Το τέλος του soft opt-in

Μέχρι σήμερα, το τοπίο σχετικά με τη χρήση των cookies και τις ρυθμίσεις απορρήτου των ιστοσελίδων (sites) ήταν νεφελώδες και διόλου ξεκάθαρο. Αυτό οφειλόταν στις διαφορές ως προς τη μεταφορά της οδηγίας ePrivacy στο εσωτερικό δίκαιο κάθε χώρας της ΕΕ αλλά και στην ανοχή που επεδείκνυαν κάποιες αρχές προστασίας δεδομένων σε χώρες όπως η Γαλλία, το Ηνωμένο Βασίλειο και η Γερμανία στη σιωπηρή συγκατάθεση (το επονομαζόμενο “soft opt-in”).

  • Τι σημαίνει αυτό στην πράξη;

Όταν ο χρήστης επισκέπτεται μία ιστοσελίδα για πρώτη φορά, στο επάνω ή στο κάτω μέρος της ιστοσελίδας υπάρχει ένα cookie banner. Κλείνοντας το ή συνεχίζοντας την επίσκεψη στην ιστοσελίδα (χωρίς καμία περαιτέρω δήλωση), συνάγεται ότι ο χρήστης συναινεί σιωπηρά, άρα αποδέχεται την χρήση των cookies. Πολλές ιστοσελίδες εξακολουθούν να χρησιμοποιούν αυτό το σύστημα.

Παράδειγμα: Cookie banner σε site με το ακόλουθο περιεχόμενο: «Με τη συνέχιση της πλοήγησης αποδέχεστε τη χρήση των cookies».

Η Γαλλική αρχή CNIL ανακοίνωσε ότι αυτή η πρακτική δεν είναι πλέον συμβατή με τον κανονισμό GDPR διότι η σιωπηρή συγκατάθεση δεν είναι έγκυρη.

Εντούτοις, η CNIL όρισε μεταβατική περίοδο 12 μηνών ώστε οι πάροχοι ιστοσελίδων να προσαρμόσουν κατάλληλα τις ρυθμίσεις cookies.

Αυτό οφείλεται επίσης στο ότι ο κανονισμός ePrivacy δεν έχει τεθεί ακόμα σε ισχύ και παραμένουν σημαντικές αποκλίσεις ως προς την εφαρμογή της οδηγίας ePrivacy στο δίκαιο κάθε κράτους μέλους της ΕΕ. Με τη θέση σε ισχύ του κανονισμού ePrivacy, θα ισχύει ένα ενιαίο καθεστώς για όλα τα κράτη μέλη της ΕΕ, επομένως οι πάροχοι ιστοσελίδων θα πρέπει να υπαχθούν σε ομοιογενές καθεστώς συμμόρφωσης ως προς την χρήση cookies. Η γαλλική αρχή αποφάσισε να μην περιμένει τη θέση σε ισχύ του επερχόμενου κανονισμού ePrivacy προκειμένου να επιβάλλει τη συμμόρφωση των παρόχων ιστοσελίδων με ενιαία πρότυπα ρυθμίσεων απορρήτου.

  • Τι πρέπει να ελέγχουν οι χρήστες προκειμένου να καταλάβουν αν μία ιστοσελίδα εφαρμόζει σωστά τη νομοθεσία για τα cookies;

Σύμφωνα με τις τελευταίες νομολογιακές εξελίξεις και τις κατευθυντήριες γραμμές διαφόρων Αρχών προστασίας δεδομένων προσωπικού χαρακτήρα (με πιο πρόσφατες της οδηγίες της Ισπανικής Αρχής), οι επισκέπτες ιστοσελίδων πρέπει να λάβουν υπόψη τους τα εξής προκειμένου να αποφύγουν την τοποθέτηση ανεπιθύμητων cookies και να προσαρμόσουν τις παραμέτρους απορρήτου όπως επιθυμούν:

-Δεν απαιτείται προηγούμενη συγκατάθεση του χρήστη μόνο για τα λειτουργικά cookies (functional cookies) που είναι απολύτως απαραίτητα για τη λειτουργία της ιστοσελίδας, για την εκτέλεση ηλεκτρονικής επικοινωνίας ή για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας. Χωρίς τη χρήση λειτουργικών cookies είναι αδύνατη η περιήγηση του επισκέπτη στην ιστοσελίδα.

-Για τα υπόλοιπα είδη cookies (πλην των λεγόμενων functional cookies) απαιτείται ενημέρωση του χρήστη και παροχή δυνατότητας να συγκατατεθεί ρητά, με ρητή και  θετική ενέργεια (επιλέγοντας ο ίδιος το αντίστοιχο τετραγωνίδιο) ή να αρνηθεί την τοποθέτηση των cookies στον υπολογιστή του (παροχή επιλογών ανά κατηγορία cookies και όχι για όλα αδιακρίτως).

-Η ιστοσελίδα θα πρέπει να παρέχει ενημέρωση στον χρήστη όχι μόνο σχετικά με τα cookies που τοποθετεί στον υπολογιστή του χρήστη (“First Party” Cookie) αλλά και σχετικά με τα cookies από Τρίτα Μέρη (third-party cookies) κυρίως για τους σκοπούς συμπεριφορικής διαφήμισης (Online behavioural advertising – OBA). Κάθε ιστοσελίδα που χρησιμοποιεί συμπεριφορική διαφήμιση οφείλει να παρέχει πληροφορίες σχετικά με την συλλογή και την χρήση δεδομένων, τις οποίες οι χρήστες πρέπει να είναι σε θέση να εντοπίσουν με ευχέρεια.

Σύμφωνα με τις οδηγίες της Ισπανικής Αρχής, πληροφορίες σχετικά με cookies από Τρίτα Μέρη μπορούν να παρέχονται με αναπτυσσόμενη λίστα (drop-down) ή με αναδυόμενο κείμενο (pop-up).

-Οι επισκέπτες ιστοσελίδας πρέπει να παρέχουν τη συγκατάθεσή τους στην τοποθέτηση cookies κατά τρόπο ρητό και σαφή, δηλαδή με δήλωση ή με σαφή θετική ενέργεια (π.χ. με συμπλήρωση τετραγωνιδίου). Κατά συνέπεια, τυχόν προσυμπληρωμένα τετραγωνίδια δεν συνεπάγονται ότι ο χρήστης συναινεί νομίμως στην επεξεργασία, διότι η συγκατάθεσή του δεν είναι ελεύθερη ούτε ρητή (Απόφαση Δικαστηρίου ΕΕ, Planet49 GmbH, σκέψεις 62, 63).

 Συνεπώς, προεπιλεγμένο τετραγωνίδιο το οποίο οι χρήστες πρέπει να απο-επιλέξουν προκειμένου να αρνηθούν να δώσουν τη συγκατάθεσή τους δεν είναι συμβατό προς τον κανονισμό GDPR ούτε προς την οδηγία ePrivacy.

-Η πολιτική cookies πρέπει να παρουσιάζεται ευκρινώς και με απλή γλώσσα στην ιστοσελίδα. Η πολιτική πρέπει να περιγράφει με εύληπτο τρόπο τις διαθέσιμες ρυθμίσεις απορρήτου, καθώς και να παρέχει στον χρήστη τη δυνατότητα επιλογής των ρυθμίσεων απορρήτου ανά σκοπό, χωρίς προεπιλεγμένες από τον πάροχο ρυθμίσεις (αρχή της διαφάνειας).

-Οι πληροφορίες τις οποίες ο πάροχος υπηρεσιών πρέπει να παρέχει στον επισκέπτη της ιστοσελίδας περιλαμβάνουν τη διάρκεια λειτουργίας των cookies καθώς και το εάν τρίτοι πάροχοι μπορούν να έχουν πρόσβαση στα cookies (Απόφαση Δικαστηρίου ΕΕ, υπόθεση Planet49 GmbH). 

  • Άλλα στοιχεία που πρέπει να προσέχουν οι χρήστες

Α) Λήψη ξεχωριστής συγκατάθεσης ανά σκοπό επεξεργασίας

Ο χρήστης πρέπει να ελέγχει εάν το αίτημα για λήψη συγκατάθεσης είναι χωριστό ανά σκοπό επεξεργασίας.

Παράδειγμα: ιστοσελίδα ζητά από τον χρήστη να επιλέξει τετραγωνίδιο για να κατεβάσει μία εφαρμογή στο κινητό ή στον υπολογιστή του και ταυτόχρονα τον ενημερώνει ότι με τη συγκατάθεση αυτή συμφωνεί επίσης σε περαιτέρω χρήση των στοιχείων του για διαφημιστικούς σκοπούς. Εν προκειμένω, η συγκατάθεση δεν είναι ελεύθερη, ούτε συγκεκριμένη, διαβαθμισμένη και ελεύθερα ανακλητή. Στη συγκεκριμένη περίπτωση, η συγκατάθεση δίνεται για περισσότερους σκοπούς επεξεργασίας οι οποίοι δεν είναι διακριτοί και η άρνηση του χρήστη να δεχτεί την περαιτέρω επεξεργασία για σκοπούς marketing, τον αποκλείει από την πρόσβαση στην εφαρμογή (bundled consent).

Επομένως οι χρήστες πρέπει να αντιλαμβάνονται ότι μία λήψη συγκατάθεσης πρέπει να αντιστοιχεί σε έναν ευδιάκριτο σκοπό.

Β) Cookie walls

Το Δικαστήριο της ΕΕ στην πρόσφατη απόφαση Planet49 δεν ανέλυσε τη συμβατότητα των cookie walls προς τον κανονισμό GDPR. Ωστόσο, η Ολλανδική αρχή προστασίας δεδομένων διευκρίνισε ότι τα cookie walls δεν είναι συμβατά με τον GDPR.

  • Πώς λειτουργούν τα cookie walls;

Τα cookie walls αρνούνται στον επισκέπτη την πρόσβαση σε μία ιστοσελίδα, εάν εκείνος δεν συγκατατεθεί στην εγκατάσταση λογισμικού παρακολούθησης (tracking) ή άλλων ψηφιακών μεθόδων για στοχευμένη διαφήμιση.

Σε αυτή την περίπτωση, οι επισκέπτες ιστοσελίδας εξαναγκάζονται να αποδεχτούν τη χρήση τους προκειμένου να έχουν πρόσβαση στο περιεχόμενό της. Συνεπώς, δεν υπάρχει ρητή και ελεύθερη συγκατάθεση κατά την έννοια του GDPR.

Γ) Soft opt-in

Όταν μία ιστοσελίδα ενημερώνει τον επισκέπτη ότι με την πλοήγησή του αποδέχεται τα cookies, δεν του δίνει τη δυνατότητα να λάβει γνώση και να δεχτεί ή να απορρίψει τη χρήση τους. Έτσι, δίνεται άδεια σε τρίτους παρόχους να εγκαταστήσουν cookies αλλά και να παρέχουν διαφημιστικό περιεχόμενο χωρίς κανέναν έλεγχο και συγκατάθεση από τον ίδιο τον χρήστη.

  • Η κούραση των χρηστών

Δεδομένου ότι δεν έχει τεθεί ακόμα σε ισχύ ο κανονισμός ePrivacy, δεν έχει αναληφθεί συντονισμένη δράση από όλες τις αρχές προστασίας δεδομένων.  Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (“ΑΠΔΠΧ”), πραγματοποίησε στις αρχές του 2019 ελέγχους σε 65 ιστοσελίδες και διαπίστωσε χαμηλό επίπεδο συμμόρφωσης με τον κανονισμό.

Μένει να δούμε εάν οι υπόλοιπες αρχές προστασίας δεδομένων θα ακολουθήσουν το παράδειγμα της γαλλικής αρχής CNIL και θα παρέχουν κατευθυντήριες γραμμές οι οποίες θα συμβάλλουν στη συμμόρφωση των παρόχων ιστοσελίδων με τις απαιτήσεις του GDPR και της οδηγίας ePrivacy.

Οι χρήστες πρέπει επίσης να αντιληφθούν ότι η πρόσβαση σε πολιτικές απορρήτου που είναι γραμμένες με απλό και κατανοητό τρόπο έχει ως σκοπό το σεβασμό της αρχής της διαφάνειας ως προς τη χρήση των δεδομένων τους, καθώς και την εξατομίκευση των προτιμήσεων απορρήτου, ούτως ώστε να μην εκτίθενται σε συστηματική παρακολούθηση και ανεπιθύμητη διαφήμιση.

Οι μη εξοικειωμένοι χρήστες συχνά δυσανασχετούν με τον αριθμό των ενεργειών που απαιτούνται ώστε να παρέχουν συγκατάθεση και θεωρούν τη διαδικασία ανώφελη (consent fatigue). Είναι ωστόσο χρήσιμο να διαθέτουν τις απαραίτητες γνώσεις προκειμένου να αποφύγουν την εγκατάσταση cookies από τρίτους παρόχους και το να εκθέτουν τις προτιμήσεις τους προς διαφημιστική εκμετάλλευση, χωρίς κανέναν έλεγχο και λογοδοσία. Σε ιστοσελίδα η οποία έχει διαμορφώσει σωστά τις ρυθμίσεις για τα cookies, η διαδικασία αυτή δε διαρκεί πολύ και αρκούν μερικά κλικ από τον χρήστη.

Σε περίπτωση που ο χρήστης εντοπίσει ότι μία ιστοσελίδα δε συμμορφώνεται με το  ρυθμιστικό πλαίσιο για τα cookies, μπορεί να προσφύγει στην αρμόδια αρχή προστασίας δεδομένων προσωπικού χαρακτήρα. Εάν πρόκειται για ελληνική ιστοσελίδα, μπορεί να προσφύγει στην ελληνική ΑΠΔΠΧ.

Σημειώνεται ότι η Homo Digitalis, πιστή στις αξίες της, δε χρησιμοποιεί cookies ή άλλες τεχνολογίες στην ιστοσελίδα της προκειμένου να καταγράψει τη δραστηριότητά σας.

*Η Καλλιρρόη Γραμμένου, LL.M., CIPP/E, είναι δικηγόρος Αθηνών, απόφοιτος της Νομικής σχολής του Α.Π.Θ., με LL.M. στο δίκαιο της ΕΕ από τα πανεπιστήμια Λουξεμβούργου/Nancy II. Έχει διατελέσει DPO και νομικός σύμβουλος του εκτελεστικού οργανισμού της ΕΕ CHAFEA. Έχει εργαστεί ως δικηγόρος και σύμβουλος προστασίας προσωπικών δεδομένων στην Ελλάδα και στο Λουξεμβούργο.