Η είδηση
Δύο μεγάλα πρόστιμα ανακοίνωσε το Δεκέμβριο η CNIL, η Γαλλική Αρχή Προστασίας Δεδομένων για ζητήματα εγκατάστασης και χρήσης cookies στις γαλλικές ιστοσελίδες της Google (διοικητικό πρόστιμο 60.000.000€ στη GOOGLE LLC και 40.000.000€ στην ευρωπαϊκή θυγατρική της GOOGLE IRELAND LIMITED για τρεις παραβιάσεις, συνολικά 100.000.000 €) και της AMAZON EUROPE CORE (35.000.000 €). Τα πρόστιμα αυτά υπεβλήθησαν εκτός του μηχανισμού One-stop-shop του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ, GDPR), σύμφωνα με τον οποίο επικεφαλής εποπτική αρχή θα ήταν η Ιρλανδική και αυτή του Λουξεμβούργου αντίστοιχα, καθώς κρίθηκε ότι οι πρακτικές των δύο εταιρειών αποτελούν παραβίαση των διατάξεων της Οδηγίας ePrivacy (2009/136/ΕΚ) και του άρθρου 82 του γαλλικού νόμου, με τον οποίο ενσωματώθηκαν οι διατάξεις της στο εθνικό της δίκαιο.
Ειδικότερα οι παραβιάσεις αυτές, όπως διαπιστώθηκαν κατόπιν ελέγχου των 2 ιστοτόπων ήταν:
1. Η εγκατάσταση cookies χωρίς την προηγούμενη συγκατάθεση των χρηστών.
2. Η πλημμελής (google) ή απουσία (amazon) ενημέρωσης των χρηστών.
3. Η πλημμελής ικανοποίηση της εναντίωσης των χρηστών (μόνο για google).
Τι είναι τα cookies (οι ιχνηθέτες)
Tα cookies είναι μικρά αρχεία κειμένου με πληροφορίες που ένας ιστότοπος αποθηκεύει στον υπολογιστή ενός χρήστη κατά την περιήγησή του, ώστε κάθε φορά που ο χρήστης συνδέεται στον ιστότοπο, ο τελευταίος να ανακτά τις εν λόγω πληροφορίες και να προσφέρει στο χρήστη σχετικές με αυτές υπηρεσίες. Γενικά, τα cookies μπορούν να προβληθούν και να διαγραφούν εύκολα.
Πολλά από αυτά χρησιμοποιούνται για τη βελτίωση της χρηστικότητας ή της λειτουργικότητας ιστοσελίδων/ εφαρμογών. Χαρακτηριστικό παράδειγμα τέτοιων πληροφοριών είναι οι προτιμήσεις του χρήστη σε έναν ιστότοπο, όπως αυτές δηλώνονται από τις επιλογές που κάνει ο χρήστης στο συγκεκριμένο ιστότοπο (π.χ. επιλογή συγκεκριμένων «κουμπιών», αναζητήσεων, διαφημίσεων, κλπ).
Ωστόσο, τα cookies μπορούν να αποθηκεύσουν πληθώρα δεδομένων, αρκετά για να αναγνωρίσουν ένα χρήστη χωρίς τη συγκατάθεσή του. Τα cookies είναι το κύριο εργαλείο που χρησιμοποιούν οι διαφημιζόμενοι για την παρακολούθηση της δραστηριότητας των χρηστών στο διαδίκτυο, ώστε να μπορούν να τους στοχεύουν με πολύ συγκεκριμένες διαφημίσεις. Δεδομένου του όγκου των δεδομένων που μπορούν να περιέχουν τα cookies, μπορούν να θεωρηθούν προσωπικά δεδομένα σε ορισμένες περιπτώσεις και, ως εκ τούτου, υπόκεινται στον GDPR.
Σε γενικές γραμμές, υπάρχουν τρεις διαφορετικοί τρόποι ταξινόμησης των cookies:
1. Ποιο σκοπό εξυπηρετούν:
α) Αναγκαία cookies (necessary cookies) - αυτά τα cookies είναι απαραίτητα για την περιήγηση στον ιστότοπο και τη χρησιμοποίηση των δυνατοτήτων του, όπως η πρόσβαση σε ασφαλείς περιοχές του ιστότοπου. Τα cookies που επιτρέπουν στα ηλεκτρονικά καταστήματα (e-shops) στο διαδίκτυο να διατηρούν τα αντικείμενα στο καλάθι ενός χρήστη ενώ ψωνίζει είναι ένα παράδειγμα απόλυτα αναγκαίων cookies. Αυτά τα cookies θα είναι γενικά cookies περιόδου λειτουργίας πρώτου μέρους. Αν και δεν απαιτείται η συγκατάθεση γι’ αυτά τα cookies, τι κάνουν και γιατί είναι απαραίτητα θα πρέπει να εξηγηθούν στο χρήστη.
β) Λειτουργικά ή προτίμησης cookies (preference / functional cookies) - αυτά τα cookies επιτρέπουν σε έναν ιστότοπο να θυμάται τις επιλογές που έχει κάνει ένας χρήστης στο παρελθόν, όπως ποια γλώσσα προτιμά, σε ποια περιοχή θέλει να αναφέρει καιρικές συνθήκες ή για ποιο όνομα και κωδικό πρόσβασης χρήστη μπορεί να συνδεθεί αυτόματα.
γ) Cookies στατιστικών ή απόδοσης (analytics / statistics cookies) - αυτά τα cookies συλλέγουν πληροφορίες σχετικά με τον τρόπο χρήσης ενός ιστότοπου, όπως ποιες σελίδες επισκέφθηκε ο χρήστης και σε ποιους συνδέσμους έκανε κλικ. Καμία από αυτές τις πληροφορίες δεν μπορεί να χρησιμοποιηθεί για την αναγνώρισή του. Είναι όλα συγκεντρωτικά και, επομένως, ανώνυμα. Ο μοναδικός σκοπός τους είναι να βελτιώσουν τις λειτουργίες του ιστότοπου. Αυτό περιλαμβάνει cookies από υπηρεσίες αναλυτικών στοιχείων τρίτων, εφόσον τα cookies προορίζονται για αποκλειστική χρήση του κατόχου του ιστότοπου που επισκέπτεται ο χρήστης.
δ) Διαφημιστικά ή μάρκετινγκ cookies (marketing / advertising cookies) - αυτά τα cookies παρακολουθούν τη διαδικτυακή δραστηριότητα ενός χρήστη για να βοηθήσουν τους διαφημιζόμενους να προβάλλουν πιο σχετικές διαφημίσεις ή να περιορίσουν πόσες φορές βλέπει μια διαφήμιση. Αυτά τα cookies μπορούν να μοιραστούν αυτές τις πληροφορίες με άλλους οργανισμούς ή διαφημιστές. Αυτά είναι μόνιμα cookies και σχεδόν πάντα προέλευσης τρίτων μερών.
2. Πόσο καιρό διαρκούν:
α) Cookies περιόδου λειτουργίας (session cookies) - αυτά τα cookies είναι προσωρινά και λήγουν μόλις κλείσει το πρόγραμμα περιήγησης (ή μόλις ολοκληρωθεί η περίοδος σύνδεσης),
β) Μόνιμα cookies (persistent cookies) - όλα τα cookies που παραμένουν στον σκληρό δίσκο έως ότου τα διαγράψει ο χρήστης ή το πρόγραμμα περιήγησής του, ανάλογα με την ημερομηνία λήξης του cookie. Όλα τα μόνιμα cookies έχουν ημερομηνία λήξης στον κωδικό τους, αλλά η διάρκειά τους μπορεί να διαφέρει. Σύμφωνα με την οδηγία ePrivacy, δεν πρέπει να διαρκούν περισσότερο από 12 μήνες!
3. Ποια είναι η προέλευσή τους:
α) cookies πρώτου μέρους (first-party cookies) - τα cookies τοποθετούνται στη συσκευή του χρήστη απευθείας από τον ιστότοπο που επισκέπτεται,
β) cookies τρίτων μερών (third-party cookies) - αυτά είναι τα cookies που τοποθετούνται στη συσκευή του χρήστη, από τρίτους όπως διαφημιζόμενους ή αναλυτικό σύστημα.
Με την εξαίρεση ορισμένων cookies που θεωρούνται ως “αυστηρώς αναγκαία”, η εγκατάσταση των cookies επιτρέπεται μόνο με τη συγκατάθεση του χρήστη και μετά από κατάλληλη ενημέρωσή του. Όταν οι άνθρωποι διαμαρτύρονται για τους κινδύνους απορρήτου που παρουσιάζουν τα cookies, γενικά μιλούν για cookies τρίτων μερών, μόνιμα, διαφημιστικά. Αυτά τα cookies μπορούν να περιέχουν σημαντικές ποσότητες πληροφοριών σχετικά με τη διαδικτυακή δραστηριότητα, τις προτιμήσεις και την τοποθεσία κάθε χρήστη. Η αλυσίδα ευθύνης (που μπορεί να αποκτήσει πρόσβαση σε δεδομένα cookies) για ένα cookie τρίτου μέρους μπορεί επίσης να γίνει περίπλοκη, αυξάνοντας μόνο τις δυνατότητές τους για κατάχρηση.
Η νομοθεσία
Η εγκατάσταση και η χρήση cookies ρυθμίζεται από το άρθρο 170 του ν. 4070/2012 [ο οποίος μετέφερε στην ελληνική νομοθεσία την Οδηγία ePrivacy – 2009/136/ΕΚ (κατ’ αντιστοιχία άρθρο 5 παρ. 3, οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, γνωστή ως “cookies directive”)]. Η ελληνική ΑΠΔΠΧ εξέδωσε συστάσεις με δελτίο τύπου στις 25/2/2020 (και όχι απόφαση ή οδηγία), για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες αναφέροντας βέλτιστες αλλά και χείριστες πρακτικές, ανά σημείο εφαρμογής της νομοθεσίας. Στην Ευρώπη οι αντίστοιχες αρχές σε Ιρλανδία, Ηνωμένο Βασίλειο, Ισπανία, Γαλλία έχουν εκδώσει κατευθύνσεις.
Είναι σημαντικό να κάνουμε την εξής διάκριση:
- Η οδηγία ePrivacy ρυθμίζει τον δίαυλο επικοινωνίας (ηλεκτρονική επικοινωνία). Ο κανόνας σχετικά με τη λήψη συγκατάθεσης για την τοποθέτηση cookies εφαρμόζεται ανεξαρτήτως εάν γίνεται επεξεργασία δεδομένων προσωπικού χαρακτήρα ή όχι.
- Ο ΓΚΠΔ (GDPR) ρυθμίζει τις νομικές βάσεις για τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και ορίζει την έννοια της συγκατάθεσης.
Το σύστημα της εκ των προτέρων έγκαιρης συγκατάθεσης του χρήστη είναι γνωστό και ως «opt-in», σε αντιδιαστολή με το σύστημα «opt-out» που ίσχυε πριν από την τροποποίηση της ePrivacy. Επιπρόσθετα η σιωπηρή συγκατάθεση (το επονομαζόμενο “soft opt-in”), που εμφανίζεται χωρίς την έγκυρη, έγκαιρη και διακριτή συγκατάθεση, πχ. κλείνοντας ή συνεχίζοντας την επίσκεψη στον ιστότοπο (χωρίς καμία περαιτέρω δήλωση), δεν είναι αποδεκτή από πολλές εθνικές αρχές στην ΕΕ.
Τα cookie walls αρνούνται στον επισκέπτη την πρόσβαση σε έναν ιστότοπο, εάν εκείνος δεν συγκατατεθεί στην εγκατάσταση λογισμικού παρακολούθησης (tracking) ή άλλων ψηφιακών μεθόδων για στοχευμένη διαφήμιση. Σε αυτή την περίπτωση, οι επισκέπτες του ιστοτόπου εξαναγκάζονται να αποδεχτούν τη χρήση τους προκειμένου να έχουν πρόσβαση στο περιεχόμενό του. Συνεπώς, δεν υπάρχει ρητή και ελεύθερη συγκατάθεση κατά την έννοια του ΓΚΠΔ. Η Ολλανδική αρχή προστασίας δεδομένων διευκρίνισε ότι τα cookie walls δεν είναι συμβατά με τον GDPR.
Ο χρήστης / καταναλωτής
Ένα ζήτημα είναι ότι οι πολιτικές απορρήτου και οι πολιτικές cookies μπορούν να οδηγήσουν σε υπερβολική ειδοποίηση ή "κούραση κλικ" (click fatigue). Ένας άλλος είναι ότι η online αγορά είναι ασύμμετρη: οι εταιρείες γνωρίζουν πολύ καλύτερα τον τρόπο με τον οποίο συλλέγουν και επεξεργάζονται τα δεδομένα από ό,τι θα μπορούσε να έχει και ο πιο ικανός και ενημερωμένος καταναλωτής. Ένα τρίτο ζήτημα είναι ότι οι χρήστες συνήθως έχουν λίγες, αν υπάρχουν, πραγματικές επιλογές σχετικά με τον τρόπο με τον οποίο οι επιχειρήσεις επεξεργάζονται, διατηρούν και μοιράζονται προσωπικές πληροφορίες μετά τη συλλογή τους.
Από την πλευρά των χρηστών, πολλοί συχνά δυσανασχετούν με τον αριθμό των ενεργειών που απαιτούνται ώστε να παρέχουν συγκατάθεση και θεωρούν τη διαδικασία κουραστική (consent fatigue). Είναι ωστόσο χρήσιμο να αποφύγουν την εγκατάσταση cookies από τρίτους παρόχους, και να εκθέτουν τις προτιμήσεις τους προς διαφημιστική εκμετάλλευση, χωρίς κανέναν έλεγχο και λογοδοσία και τελικά να εκτιμήσουν την εταιρεία που παρέχει τον ιστότοπο όχι μόνο για τα προϊόντα ή τις υπηρεσίες που διαθέτει αλλά και για τη διαφάνεια στην επικοινωνία με το χρήστη. Σε ιστότοπο με σωστά διαμορφωμένες ρυθμίσεις cookies, η διαδικασία αυτή διαρκεί μόνο μερικά κλικ από το χρήστη και πρέπει να γίνεται συχνά.
Ας μην ξεχνάμε ότι το σημερινό σύστημα μεταθέτει ένα μέρος της ευθύνης στα άτομα να κατανοούν και να διαχειρίζονται τις προσωπικές τους πληροφορίες, τα προσωπικά τους δεδομένα!
Η συμμόρφωση της εταιρείας
Η χρήση cookies στο διαδίκτυο είναι μια δύσκολη εξίσωση από κανονιστικής, τεχνικής και εμπορικής σκοπιάς. Κανονιστικά απαιτείται η παροχή έγκυρης συγκατάθεσης για την εγκατάστασή τους, τεχνικά πρέπει να σχεδιαστεί η αντιστοίχιση των αναγκών του ιστοτόπου με τις επιλογές του χρήστη και εμπορικά πρέπει να εκτιμηθεί η όποια χρήση cookies από τρίτα μέρη (“third-party” cookies).
Τον Αύγουστο του 2020 ο ΣΕΒ εξέδωσε έναν «Πρακτικό Οδηγό Συμμόρφωσης για τη χρήση cookies» στον οποίο επισημαίνονται:
- Η συμμόρφωση με τα cookies υπάρχει ως νομική απαίτηση στην Ελλάδα ήδη από το 2006 και δεν είναι νέα απαίτηση του GDPR.
- Η Ευρωπαϊκή Οδηγία ePrivacy που θέτει το πλαίσιο συμμόρφωσης, δεν αναφέρεται ρητά σε cookies ή σε προσωπικά δεδομένα, αλλά γενικά σε αποθήκευση ή πρόσβαση σε «πληροφορίες» στη συσκευή του χρήστη.
- Η νομοθεσία δεν διακρίνει μεταξύ ιστοσελίδων και εφαρμογών (mobile applications – apps).
Τα βήματα συμμόρφωσης μιας εταιρείας μπορούν να περιλαμβάνουν:
- Έλεγχο: ποιες ιστοσελίδες ή άλλες εταιρικές εφαρμογές της έχουν cookies, ποια cookies χρησιμοποιούνται, τι δεδομένα, για ποιους σκοπούς, για ποια διάρκεια, ποια τρίτα μέρη έχουν πρόσβαση και ποιες είναι οι συμβατικές δεσμεύσεις για αυτό, με ποιες πληροφορίες ενδέχεται να συσχετιστούν οι πληροφορίες αυτές.
- Κατηγοριοποίηση των cookies (με βάση το σκοπό και τη διάρκειά τους) σε:
α) αναγκαία (δεν απαιτείται συγκατάθεση για τη χρήση τους):
β) λειτουργικά,
γ) στατιστικών και
δ) διαφήμισης
3. Έγκυρη, έγκαιρη και διακριτή συγκατάθεση (ανά κατηγορία ιχνηθετών) και ανάκληση συγκατάθεσης
4. Ενημέρωση πολλών επιπέδων (τουλάχιστον 2)
5. Δυναμική διαδικασία συντήρησης και επικαιροποίησης.
Ο ιστότοπος θα πρέπει να παρέχει ενημέρωση στο χρήστη όχι μόνο σχετικά με τα cookies που τοποθετεί στον υπολογιστή του χρήστη (“first-party” cookies) αλλά και σχετικά με τα cookies από τρίτα μέρη (“third-party” cookies) κυρίως για τους σκοπούς συμπεριφορικής διαφήμισης (online behavioural advertising, OBA). Κάθε ιστότοπος που χρησιμοποιεί συμπεριφορική διαφήμιση οφείλει να παρέχει πληροφορίες σχετικά με τη συλλογή και τη χρήση δεδομένων, τις οποίες οι χρήστες πρέπει να είναι σε θέση να εντοπίσουν με ευχέρεια και αν και όποτε θελήσουν να αδρανοποιήσουν. Σύμφωνα με τις οδηγίες της Ισπανικής Αρχής, πληροφορίες σχετικά με cookies από τρίτα μέρη μπορούν να παρέχονται με αναπτυσσόμενη λίστα (drop-down) ή με αναδυόμενο κείμενο (pop-up).
Η συμμόρφωση μια εταιρείας με την ευρωπαϊκή οδηγία ePrivacy, το ΓΚΠΔ (GDPR) και την ελληνική νομοθεσία ως προς τη χρήση cookies είναι θέμα και νομικής συμμόρφωσης εκ σχεδιασμού και εξ ορισμού (privacy by design & by default) αλλά και τεχνικής λειτουργίας. Καίριες ερωτήσεις μπορεί να περιλαμβάνουν:
- Μπορεί να γίνει, ή, αντίστοιχα, να μη γίνει η εγκατάσταση cookies;
- Μπορεί να ελεγχθεί η διαβίβαση δεδομένων προς τρίτα μέρη μέσω cookies, και αν ναι, σε ποιο βαθμό;
- Πόσο εύκολο είναι να καταργηθεί ένα cookie, εφόσον ανακληθεί η συγκατάθεση του χρήστη;
Συμπέρασμα
Τώρα, που ο επιτυχημένος ψηφιακός μετασχηματισμός μιας επιχείρησης είναι πολύ σημαντικός για τη βιωσιμότητα και την ανάπτυξη της, είναι απαραίτητη η αναζήτηση νέων καναλιών λειτουργίας κι επικοινωνίας με τα συνεργαζόμενα μέρη της (προσωπικό, πελάτες, προμηθευτές). Αυτά πρέπει να διασφαλίζουν την ενισχυμένη προστασία της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των δεδομένων προσωπικού χαρακτήρα περισσότερο ως αναγκαία συνθήκη εμπιστοσύνης μεταξύ της επιχείρησης και των ενδιαφερομένων μερών της, παρά ως εκπλήρωση κανονιστικής και τεχνικής συμμόρφωσης υπό την απειλή υψηλών προστίμων. Η δημιουργία κουλτούρας προστασίας και διαχείρισης της ιδιωτικότητας πρέπει να είναι το ζητούμενο κι όχι μόνο η συμμόρφωση!
Ο συγγραφέας δηλώνει ότι δεν υπάρχει σύγκρουση συμφερόντων. Ο συγγραφέας δεν έλαβε οικονομική υποστήριξη για την έρευνα, τη συγγραφή ή/και τη δημοσίευση αυτού του άρθρου.
*Ο Γιάννης Σ. Καλαντζάκης είναι entrepreneur υπηρεσιών υγείας, πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων (DPOaaS) & σύμβουλος επιχειρήσεων σε θέματα ιατρικού τουρισμού, ποιότητας και διαχείρισης δεδομένων προσωπικού χαρακτήρα (GDPR). #IOwnMyHealthData.
