Λήξη της προθεσμίας για τα Cookies: η συμμόρφωση που άργησε 8 χρόνια

 

 

Της Μελίνας Σκόνδρα, δικηγόρου, CIPP/E

Πρόσφατα δημοσιεύθηκε στο Lawspot ένα άρθρο που γράψαμε με τον Βασίλη Καρκατζούνη, σχετικά με τις συστάσεις που εξέδωσε η ελληνική Αρχή Προστασίας Δεδομένων στις 25-2-2020, για τη συμμόρφωση με τη νομοθεσία για τα cookies. Η ιδέα για τη δημοσίευση προέκυψε από τις επικρίσεις για την «αυστηρότητα» των θέσεων της Αρχής. Εξηγήσαμε με τη μεγαλύτερη δυνατή τεκμηρίωση, για ποιο λόγο δεν επρόκειτο για αυστηρότητα, αλλά για τη μόνη δυνατή ερμηνεία της υπάρχουσας νομοθεσίας.  Παρόλ’ αυτά, εξακολουθούμε να διαπιστώνουμε παρόμοιες αντιδράσεις, καθώς και παρανοήσεις που οφείλονται πιθανότατα, στην άγνοια των νομοθετικών προβλέψεων.

Το παρόν άρθρο, δεν είναι ένα ακόμα άρθρο επί του άρθρου, αλλά σε συνέχεια του προηγούμενου, στόχο έχει να εξηγήσει με απλό τρόπο στο μέσο χρήστη του διαδικτύου ή/και ιδιοκτήτη ιστοσελίδας, που δεν είναι εξοικειωμένος με την ειδική νομοθεσία περί cookies και προσωπικών δεδομένων, ποιο είναι το νομικό πλαίσιο και το συναφές καθεστώς, ειδικότερα ως προς τις κατηγορίες των cookies και τους λόγους της πολυετούς διαμάχης που γίνεται γι’ αυτά.

Τι προβλέπει το νομικό πλαίσιο

Το 2002 η Ευρωπαϊκή Ένωση ψήφισε την Οδηγία 2002/58, γνωστή ως e-privacy Οδηγία, η οποία αφορά την προστασία των προσωπικών δεδομένων στο πλαίσιο των ηλεκτρονικών επικοινωνιών. Η Οδηγία αυτή τροποποιήθηκε το 2009, (με την οδηγία υπ’ αριθ. 2009/136), οπότε και όλα τα κράτη- μέλη υποχρεώθηκαν να εισάγουν στο εθνικό τους δίκαιο την εξής πρόβλεψη:

Πριν εγκατασταθεί στη συσκευή (υπολογιστή, τάμπλετ, κινητό κλπ) του χρήστη οποιοδήποτε αρχείο, όπως cookies και άλλες συναφείς τεχνολογίες, το οποίο συλλέγει στοιχεία από αυτήν, ο χρήστης θα πρέπει:

α)να ενημερώνεται σχετικά και

β) να δίνει τη συγκατάθεσή του (σύστημα opt in).

Μάλιστα, η πρόβλεψη αυτή, ισχύει ανεξαρτήτως αν οι πληροφορίες που συλλέγει το cookie από τη συσκευή του χρήστη χαρακτηρίζονται ως προσωπικά δεδομένα ή όχι.

Το κοινοτικό δίκαιο προέβλεψε 2 εξαιρέσεις από τον κανόνα αυτόν:

α) όταν τα αρχεία που εγκαθίστανται στη συσκευή του χρήστη είναι απαραίτητα για την ίδια τη διεξαγωγή της επικοινωνίας μεταξύ του σέρβερ της ιστοσελίδας και της συσκευής ή

β)όταν τα αρχεία που εγκαθίστανται είναι απολύτως απαραίτητα για την παροχή κάποιας υπηρεσίας που ζήτησε ο χρήστης (όπως για παράδειγμα σε ένα e-shop, για να μπορεί η ιστοσελίδα να συγκρατεί και να αποθηκεύει τα προϊόντα που ο χρήστης τοποθέτησε στο καλάθι αγορών).

Εάν συμβαίνει κάτι από τα δύο παραπάνω, τότε (και μόνο) δεν απαιτείται προηγούμενη συγκατάθεση του χρήστη.

Αξίζει να σημειωθεί, ότι έως την τροποποίηση του 2009, η αρχική Οδηγία προέβλεπε το αντίστροφο σύστημα (opt out), δηλαδή την εγκατάσταση των cookies χωρίς συγκατάθεση του χρήστη, αλλά με δυνατότητα αυτός να εναντιωθεί εκ των υστέρων.

Όλα τα παραπάνω, εισήχθησαν (αναγκαστικά) και στο ελληνικό δίκαιο και συγκεκριμένα στο Νόμο 3471/2006, όπως αυτός τροποποιήθηκε το 2012, προκειμένου να προσαρμοστεί στις αλλαγές της οδηγίας 2002/58, αλλά και σε ορισμένες άλλες που είχαν μεσολαβήσει. Η επιλογή αυτή επομένως, δεν ανήκε στον Έλληνα, αλλά στον κοινοτικό νομοθέτη.

Όπως γίνεται πολύ εύκολα κατανοητό από τα παραπάνω, cookies που έχουν στόχο να μετρήσουν την επισκεψιμότητα της ιστοσελίδας ή να διεξάγουν διάφορες άλλες στατιστικές μετρήσεις (πχ από ποιες περιοχές της χώρας προέρχονται οι περισσότεροι επισκέπτες, ποια προϊόντα, υπηρεσίες, άρθρα, τους ενδιαφέρουν περισσότερο κλπ), δεν μπορούν να θεωρηθούν απαραίτητα ούτε για την εκτέλεση της επικοινωνίας, ούτε για υπηρεσία που ζήτησε ο χρήστης. Επομένως, τα γνωστά μας analytics, είτε είναι της Google ή οποιουδήποτε άλλου τρίτου παρόχου (third party), είτε είναι cookies του ιδιοκτήτη της ιστοσελίδας (first party), δεν μπορούν να υπαχθούν στις εξαιρέσεις και να μην θεωρείται απαραίτητη γι’ αυτά η προηγούμενη ενημέρωση και συγκατάθεση του χρήστη.

Πολύ δε περισσότερο, δεν μπορεί να θεωρηθεί ότι εμπίπτουν σε οποιαδήποτε από τις 2 εξαιρέσεις, τα cookies που πραγματοποιούν ιχνηλάτηση (tracking) του χρήστη , για οποιονδήποτε λόγο και αν το κάνουν. Τέτοια, είναι αυτά που εγκαθίστανται στο πρόγραμμα περιήγησής μας (browser), μας αποδίδουν ένα μοναδικό αριθμό (ID) και μας ακολουθούν σε κάθε περιήγηση που κάνουμε στο διαδίκτυο, χτίζοντας ένα πλήρες και λεπτομερές προφίλ για μας. Συνηθέστερα, στόχο έχουν να μας κατατάξουν σε κατηγορίες καταναλωτών, ώστε να μας «σερβίρουν» την κατάλληλη «εξατομικευμένη» -όπως εύσχημα την ονομάζουν- διαφήμιση.

Μετά από τις αποκαλύψεις σκανδάλων, όπως αυτού της Cambridge Analytica, που περιλάμβανε τη δημιουργία ψυχογραφικού προφίλ και την εμφάνιση- ανάλογου με το συγκεκριμένο προφίλ- περιεχομένου σε κάθε χρήστη, με στόχο την άσκηση ψυχολογικής επιρροής στην ψήφο του στις αμερικανικές εκλογές, αποδεικνύεται ότι η στοχευμένη διαφήμιση είναι μάλλον το λιγότερο που μπορεί να υποστούμε.

Βασικές κατηγορίες των cookies

Έτσι, λοιπόν, γίνεται κατανοητό ότι τα cookies ή ιχνηλάτες, όπως τα ονόμασε η ελληνική Αρχή, διακρίνονται σε 3 βασικές κατηγορίες:

α)τα αναγκαία για τη λειτουργία της ιστοσελίδας ή για την παροχή στον χρήστη μιας υπηρεσίας που ζήτησε

β)τα σταστιστικά και

γ)τα διαφημιστικά-μάρκετινγκ.

Εκτός από τα πρώτα, για όλα τα υπόλοιπα απαιτείται προηγούμενη διαφανής ενημέρωση σε απλή και κατανοητή γλώσσα (χωρίς τεχνικούς και νομικούς περίπλοκους όρους) και συγκατάθεση του χρήστη ΠΡΙΝ την εγκατάστασή τους στη συσκευή του. Αυτό, έχει ήδη εδώ και χρόνια καταστεί σαφές, σε ερμηνευτική γνώμη που εξέδωσε το 2012 η πρώην Ομάδα Εργασίας του άρθρου 29 (ΟΕ29) και νυν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Παρόλ’ αυτά θα πρέπει να τονίσουμε ότι στην γνώμη αυτή, η ΟΕ29 υποστήριξε τη θέση ότι οι στατιστικοί ιχνηλάτες πρώτου μέρους δεν κρύβουν ιδιαίτερους κινδύνους για την ιδιωτικότητα, προτείνοντας μάλιστα την ένταξή τους σε μια τρίτη εξαίρεση, σε επόμενη τροποποίηση της οδηγίας.

Το τέλος της σιωπηρής ανοχής

Παρότι όλες οι παραπάνω νομοθετικές προβλέψεις ισχύουν εδώ και αρκετά χρόνια, υπήρξε, ομολογουμένως, μια «σιωπηρή» συμφωνία ανοχής της παραβίασης τους, πανευρωπαϊκά. Αυτό οφειλόταν στο γεγονός ότι στη βάση της τεχνολογίας των cookies στηρίχθηκε ολόκληρο το οικοδόμημα της νέας παγκοσμιοποιημένης «ψηφιακής αγοράς» και εν πολλοίς, της δωρεάν πρόσβασης στο διαδίκτυο. Οι πιέσεις των εμπλεκόμενων μερών προς την κατεύθυνση της διατήρησης πρακτικών παρακολούθησης του χρήστη, είναι αισθητές ακόμη περισσότερο, τα τελευταία 3 χρόνια, κατά την διαπραγμάτευση για την αντικατάσταση της Οδηγίας E-Privacy με έναν νέο Κανονισμό, εναρμονισμένο με τις προβλέψεις του GDPR. Έτσι, αν και η αρχική (αισιόδοξη) πρόθεση της ΕΕ ήταν οι δύο Κανονισμοί να ισχύσουν ταυτόχρονα, μέχρι και σήμερα, 2 χρόνια μετά την εφαρμογή του GDPR, ο E-Privacy κανονισμός δεν έχει ακόμη βρει το δρόμο για την ψήφισή του, εξαιτίας του ισχυρού lobbying που διεξάγεται γύρω του.

Εάν κάποιος λοιπόν, έχει να προσάψει κάτι στις ευρωπαϊκές εποπτικές αρχές προστασίας δεδομένων, είναι ότι δεν επέβαλαν νωρίτερα τα προβλεπόμενα εδώ και χρόνια πρόστιμα για την παραβίαση των παραπάνω κανόνων.

Γιατί όμως τώρα αποφάσισαν ξαφνικά όλες οι ευρωπαϊκές εποπτικές αρχές να εκδώσουν οδηγίες, συστάσεις, αλλά και αποφάσεις επιβολής προστίμων, για την μη συμμόρφωση των ιστοσελίδων με την εδώ και χρόνια ισχύουσα νομοθεσία για τα cookies, όπως παρατηρούμε ότι γίνεται τους τελευταίους μήνες;

Οι λόγοι είναι πολλοί. Αφενός, η έλευση του GDPR έχει μεταβάλλει άρδην και ποικιλοτρόπως το τοπίο στην προστασία των προσωπικών δεδομένων. Το κοινό είναι πλέον περισσότερο ενημερωμένο και ευαισθητοποιημένο στα ψηφιακά του δικαιώματα. Ο ίδιος ο GDPR έχει ανεβάσει τον πήχη της προστασίας και έχει εξοπλίσει με ενισχυμένα δικαιώματα τους πολίτες. Αφετέρου, ο GDPR εφαρμόζεται συμπληρωματικά και στο πεδίο των ηλεκτρονικών επικοινωνιών, σε όποιο σημείο δεν υπάρχει ειδικότερη πρόβλεψη. Κατά ρητή πρόβλεψη και της οδηγίας e-privacy, η συγκατάθεση έπρεπε να είναι σύμφωνη με τις την οδηγία για τα προσωπικά δεδομένα (ΕΚ95/46) την οποία αντικατέστησε ο GDPR, και πλέον με τις απαιτήσεις του τελευταίου. Αυτή η υποχρέωση εισάγει έμμεσα μια σειρά από άλλες υποχρεώσεις που προβλέπονται στον ίδιο τον GDPR, όπως για παράδειγμα τις απαιτήσεις για έγκυρη συγκατάθεση, δηλαδή να είναι ρητή και συγκεκριμένη, να δίνεται μόνο μετά από πλήρη, διαφανή και κατανοητή ενημέρωση και να εκδηλώνεται με σαφή θετική ενέργεια του χρήστη και όχι με αδράνειά του ή προσυμπληρωμένα τετραγωνίδια. Οι επιρροές αυτές του GDPR, έχουν κάνει πολλούς να πιστεύουν (εσφαλμένα) ότι η όλη κινητοποίηση οφείλεται αποκλειστικά στην εφαρμογή του ίδιου. Και τέλος, η συνεχιζόμενη καθυστέρηση στην ψήφιση του E-Privacy κανονισμού, που θα έδινε ένα τέλος στην όλη παραφιλολογία, έχει ξεπεράσει τα χρονικά όρια ανοχής μιας προστασίας δύο ταχυτήτων.

Η περίπτωση των στατιστικών cookies

Είναι αδιαμφισβήτητο ότι για κάθε ιδιοκτήτη ιστοσελίδας, η δυνατότητα να γνωρίζει την απόδοσή της, τα στοιχεία της επισκεψιμότητάς της και της απήχησής της, καθώς και το κοινό που ενδιαφέρεται γι’ αυτήν, τα προϊόντα και τις υπηρεσίες του, είναι ζωτικής σημασίας. Επιπλέον, στην πραγματικότητα, τα στατιστικά cookies, εξάγουν συγκεντρωτικά στοιχεία. Υπό το πρίσμα αυτό, ιδίως όταν δεν καταλήγουν σε κάποιον σέρβερ της Google, έστω ψευδωνυμοποιημένα, αλλά παραμένουν στην ιστοσελίδα, δεν φαίνεται να αποτελούν κανενός είδους σοβαρή απειλή για την ιδιωτική ζωή.

Dura lex, sed lex

Παρόλ’ αυτά, η πρόβλεψη της νομοθεσίας είναι σαφής και δεν επιδέχεται ερμηνείας «ξεχειλώματος» προς εξυπηρέτηση όποιων καταστάσεων.

Σύμφωνα με τα (αμέτρητα) έως σήμερα σχέδια του νέου E-Privacy Κανονισμού, φαίνεται πως η κατάσταση τουλάχιστον για τα στατιστικά cookies, μάλλον πρόκειται να αλλάξει, προβλέποντας πράγματι μια τρίτη εξαίρεση, ιδίως για τα πρώτου μέρους, εάν και όποτε αυτός τελικά ψηφιστεί.

Έως τότε όμως, το τετριμμένο «dura lex, sed lex» παραμένει το πιο κατάλληλο «μότο» για την περίπτωση.