EDPB: Οδηγός για τα Cookie Banner σε ιστοσελίδες

Τον Ιανουάριο του 2023, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) δημοσίευσε έκθεση σχετικά με τα cookie banner (εφεξής η «Έκθεση»). Η Έκθεση παρέχει πρακτική καθοδήγηση, την οποία μπορούν να αξιοποιήσουν πάροχοι ιστοσελίδων (δημοσίου και ιδιωτικού τομέα, εφεξής από κοινού αποκαλούμενοι ως «Φορείς») που δραστηριοποιούνται στον Ευρωπαϊκού Οικονομικού Χώρου (εφεξής «ΕΟΧ») σχετικά με τον τρόπο συμμόρφωσης τους με το ενωσιακό ρυθμιστικό πλαίσιο για τα cookies.

Η Έκθεση ασχολείται με ζητήματα όπως κουμπιά απόρριψης όλων, προεπιλεγμένα πλαίσια, σχεδιασμό banner και εικονίδια ανάκλησης της συγκατάθεσης. Η Έκθεση είναι χρήσιμη για οποιονδήποτε επιθυμεί να εφαρμόσει μια βασική προσέγγιση για τη συμμόρφωση με τα cookies σε ολόκληρο τον ΕΟΧ.

Ιστορικό

Σύμφωνα με τη το ενωσιακό ρυθμιστικό πλαίσιο, η χρήση cookies και παρόμοιων και πιο σύγχρονων τεχνολογιών παρακολούθησης των χρηστών και περιλαμβάνουν την αποθήκευση πληροφοριών ή την απόκτηση πρόσβασης σε πληροφορίες που είναι ήδη αποθηκευμένες στη συσκευή ενός χρήστη (λ.χ. pixel tags, Canvas fingerprinting, ηχητικά δακτυλικά αποτυπώματα, Performance fingerprinting, βασικές πληροφορίες συστήματος και σύνδεσης στο Διαδίκτυο, τα web beacons, εφεξής από κοινού αποκαλούμενα ως «Cookies») υπόκειται σε αυστηρές απαιτήσεις. Συγκεκριμένα, οι κανόνες της ΕΕ για τα cookies[1] απαιτούν από τους παρόχους ιστοσελίδων να λαμβάνουν τεκμαρτά[2] τη συγκατάθεση των χρηστών[3] για πρόσβαση σε οποιεσδήποτε πληροφορίες είναι αποθηκευμένες στη συσκευή τους. Αποκλειστική εξαίρεση αφορά τα cookies που χρησιμοποιούνται:

• για την πραγματοποίηση της μετάδοσης μιας επικοινωνίας μέσω δικτύου ή
• για τη λειτουργία του ιστότοπου ή της εφαρμογής («απαραίτητα cookies»).

Από τον Μάιο του 2021, η ΜΚΟ «noyb», που ίδρυσε ο Max Schrems, υπέβαλε περισσότερες από 700 καταγγελίες κατά παρόχους ιστότοπων των οποίων τα cookie banners φέρεται να παραβίαζαν το ενωσιακό ρυθμιστικό πλαίσιο για τα cookies. Αντίστοιχες ενέργειες πραγματοποιήθηκαν και από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Ελλάδας, η οποία έχει εκδώσει τις ειδικές κατευθυντήριες συστάσεις 1/2020, σχετικά με το ζήτημα της συμμόρφωσης ιστοσελίδων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες κατά τη χρήση ιχνηλατών[4] ενώ προέβη σε αυτεπάγγελτη ελεγκτική δράση σε 30 ιστοσελίδες ενημερωτικού χαρακτήρα, βάσει της επισκεψιμότητας τους με αποτέλεσμα την συμμόρφωση της πλειονότητας των εν λόγω ιστοσελίδων.

Ως εκ τούτου, το ΕΣΠΔ συγκρότησε μια «ειδική ομάδα για τα πλαίσια των cookies», η οποία εκπόνησε την Έκθεση με σκοπό την προώθηση της συνεργασίας και των βέλτιστων πρακτικών μεταξύ των διαφόρων εμπλεκόμενων ρυθμιστικών αρχών[5].

Πορίσματα της Έκθεσης

• Απαιτείται συγκατάθεση για τα μη απαραίτητα cookies. Η έκθεση αναφέρει ότι όσοι τηρούν ιστοσελίδες και χρησιμοποιούν μη απαραίτητα Cookies (λ.χ. Google Analytics) πρέπει να λαμβάνουν συγκατάθεση για τη χρήση τους και ότι η εν λόγω συγκατάθεση δεν μπορεί να ληφθεί με τη χρήση προσυμπληρωμένων τετραγωνιδίων, σύμφωνα με τις κατευθυντήριες γραμμές του ΕΣΠΔ σχετικά με τη συγκατάθεση και την πάγια νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης[6] (εφεξής «ΔΕΕ»). Η Έκθεση αναφέρει ότι ελλείψει τέτοιας συγκατάθεσης, η επακόλουθη επεξεργασία δεν μπορεί να συμμορφώνεται με τον Κανονισμό (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ»).[7]
• Εάν το cookie banner περιλαμβάνει ένα κουμπί «Αποδοχή», θα πρέπει επίσης να περιλαμβάνει ένα κουμπί «Απόρριψη». Η Έκθεση σημειώνει ότι «η συντριπτική πλειονότητα» των ΑΠΔΠΧ του ΕΟΧ κρίνει ότι η απουσία ενός κουμπιού «Απόρριψη» σε ένα cookie banner, που εμφανίζει ένα κουμπί «Αποδοχή» παραβιάζει το ενωσιακό ρυθμιστικό πλαίσιο για τα cookies. Αυτό σημαίνει ότι δεν αρκεί να έχετε ένα κουμπί «Αποδοχή» μαζί με ένα άλλο κουμπί που επιτρέπει στους χρήστες να έχουν πρόσβαση σε περαιτέρω επιλογές. Αντίθετα, το κουμπί «Απόρριψη» θα πρέπει να είναι προσβάσιμο στο πρώτο επίπεδο.
• Εάν το cookie banner περιλαμβάνει έναν σύνδεσμο που επιτρέπει στους χρήστες να απορρίπτουν τα cookies, αυτός ο σύνδεσμος θα πρέπει να είναι εύκολα αναγνωρίσιμος και να εμφανίζεται μέσα στο cookie banner. Σύμφωνα με την Έκθεση, η εμφάνιση ενός συνδέσμου - και όχι ενός κουμπιού - που επιτρέπει στους χρήστες να απορρίπτουν τα cookies είναι αποδεκτή εάν αυτός ο σύνδεσμος είναι σαφώς ορατός και εφιστά την προσοχή του χρήστη σε αυτήν την εναλλακτική επιλογή μέσα στο banner cookie.
• Δεν υπάρχει γενικό πρότυπο για τα χρώματα και την αντίθεση των banner cookie. Οι πάροχοι ιστοσελίδων πρέπει να διεξάγουν ανάλυση κατά περίπτωση για να διασφαλίσουν ότι τα χρώματα και η αντίθεση που χρησιμοποιούνται σε ένα banner cookie δεν είναι παραπλανητικά για τους χρήστες. Η έκθεση αναφέρει επίσης ότι όταν η αντίθεση μεταξύ του κειμένου και του φόντου του κουμπιού είναι τόσο ελάχιστη ώστε το κείμενο να είναι δυσανάγνωστο, η πρακτική αυτή είναι παραπλανητική για τους χρήστες.
• Οι εταιρείες πρέπει να διευκολύνουν τόσο τους χρήστες να ανακαλέσουν τη συγκατάθεσή τους όσο εύκολο είναι να την παρέχουν. Ειδικότερα, η Έκθεση αναφέρει ότι θα πρέπει να είναι τόσο εύκολο για τους χρήστες να ανακαλέσουν τη συγκατάθεσή τους για τα μη απαραίτητα cookies όσο και να την δώσουν[8]. Αυτό σημαίνει ότι οι Φορείς θα πρέπει να επιτρέπουν στους χρήστες να αποσύρουν τη συγκατάθεσή τους, ανά πάσα στιγμή, για παράδειγμα, με ένα μόνιμα ορατό εικονίδιο στον ιστότοπό τους ή έναν σύνδεσμο τοποθετημένο σε ένα ορατό και τυποποιημένο μέρος.

Η Έκθεση δεν επιβάλλει συγκεκριμένη πρόταση ως μέθοδο ανάκλησης, αλλά προβλέπει ότι οι ΑΠΔΠΧ του ΕΟΧ θα αναλύσουν κατά πόσον μια συγκεκριμένη λύση πληροί αυτές τις απαιτήσεις κατά περίπτωση.

Συμπέρασμα

Η έκθεση περιγράφει την τρέχουσα σύγκληση μεταξύ των ΑΠΔΠΧ του ΕΟΧ ως προς το ποιες πρακτικές για τα Cookies πρέπει να θεωρούνται σύμφωνες με το ενωσιακό ρυθμιστικό πλαίσιο. Ωστόσο, το ΕΣΠΔ υπογραμμίζει ότι οι συστάσεις της Έκθεσης ενδέχεται να μην είναι επαρκείς, δεδομένου ότι ενδέχεται να ισχύουν πρόσθετες απαιτήσεις βάσει της εθνικής νομοθεσίας κάθε κράτους  μέλους του ΕΟΧ.

Όλα τα ανωτέρω είναι μια πρακτική απόδειξη της σημασίας που έχει η θέσπιση και εφαρμογή του Κανονισμού για το «ePrivacy». Ο εκτροχιασμός των διαδικασιών σχετικά με την υιοθέτηση του εν λόγω Κανονισμού είναι ο λόγος για τον οποίο ο Ε.Ο.Χ. έχει μείνει δέσμιος σε μια νομοθεσία άλλης εποχής ενώ προκλήσεις της σύγχρονης εποχής δεν αντιμετωπίζονται.

[1] Οδηγία 2002/58/ΕΚ, όπως ισχύει. Στην Ελλάδα έχει ενσωματωθεί με το ν.3471/2006, όπως ισχύει

[2] Άρθρο 5 παρ. 2 Κανονισμού (ΕΕ) 2016/679

[3] Οι προϋποθέσεις εγκυρότητας της οποίας καθορίζονται από τον Κανονισμό (ΕΕ) 2016/679

[4] ΑΠΔΠΧ, «Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες», 25/02/2020

[5] Σύμφωνα με τις δηλώσεις της ίδιας της NOYB, διαθέσιμες εδώ.

[6] Ομάδα Εργασίας Άρθου 29, «Γνώμη 04/2012 σχετικά με την απαλλαγή που ισχύει σε σχέση με τη συναίνεση για τα cookies», WP 194, 7/06/2012.

[7] ΔΕΕ, υπόθεση C‑673/17, Bundesverband der Verbraucherzentralen und VerbraucherverbäΝΔΕ — Verbraucherzentrale Bundesverband eV v Planet49 GmbH, διαθέσιμος Εδώ.

[8] Άρθρο 7 παρ. 3 ΓΚΠΔ