Cookies και παρακολούθηση χρηστών στο διαδίκτυο: Γιατί οι οδηγίες της ΑΠΔΠΧ κινούνται στη σωστή κατεύθυνση
Λίγες ημέρες πριν τη λήξη της "περιόδου χάριτος" για τις ιστοσελίδες εξετάζουμε τις συστάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
10/04/2020
27/04/2020
Συντάκτες: Βασίλης Καρκατζούνης - Μελίνα Σκόνδρα
Η δημοσίευση των συστάσεων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής ΑΠΔΠΧ), για τη συμμόρφωση των υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες (cookies και συναφείς τεχνολογίες) έχει προκαλέσει, σε μικρότερο ή μεγαλύτερο βαθμό, προβληματισμό στην ελληνική αγορά. Στο επίκεντρο της κριτικής των οδηγιών βρίσκεται η πεποίθηση ότι η Αρχή υιοθετεί μία “σκληρή” γραμμή απέναντι στη χρήση των τεχνολογιών αυτών, γεγονός το οποίο θέτει αξεπέραστα εμπόδια στην ψηφιακή αγορά. Χωρίς να παραγνωρίζεται το γεγονός ότι η ελληνική Αρχή υιοθετεί πράγματι μία αυστηρή γραμματική ερμηνεία του νομοθετικού πλαισίου περί προστασίας δεδομένων στις ηλεκτρονικές επικοινωνίες, παρέχοντας καθοδήγηση για την πρακτική εφαρμογή του με γνώμονα την προστασία του τελικού χρήστη, στο παρόν κείμενο θα προσπαθήσουμε να εξηγήσουμε συνοπτικά τους λόγους για τους οποίους η στάση της είναι αναπόφευκτα επιβεβλημένη.
Αφενός, η ΑΠΔΠΧ εξέδωσε συστάσεις (και όχι απόφαση ή Οδηγία), αποτυπώνοντας την άποψή της για τις βέλτιστες (και τις χείριστες) πρακτικές, ανά σημείο εφαρμογής,υπό το φως και των ερμηνευτικών κειμένων που έχουν εκδοθεί όλα αυτά τα χρόνια από άλλες εποπτικές αρχές, την Ομάδα Εργασίας του Άρθρου 29 (εφεξής ΟΕ29) και τα Δικαστήρια, αλλά και υπό το σύγχρονο ερμηνευτικό πρίσμα του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ - GDPR). Επομένως, δεν θα ήταν νοητό να διατυπώσει, ως συστάσεις βέλτιστων πρακτικών, “μέτριες” ή “μετριοπαθείς” θέσεις, ή θέσεις που έχουν ξεπεραστεί από το “state of the art”. Αφετέρου, η χαοτική κατάσταση που επικράτησε στο διαδίκτυο τα προηγούμενα χρόνια, είχε δημιουργήσει την ανάγκη για σαφείς οδηγίες, σημείο προς σημείο, ώστε να διαμορφωθεί ένα ελάχιστο επίπεδο απαιτήσεων, το οποίο πλέον, είναι αναγκαίο να έχει πανευρωπαϊκά συνεκτική -κατά το δυνατόν- ερμηνεία.
Προκειμένου να αποτυπώσουμε τη θέση αυτή με πιο κατανοητό τρόπο, στο τέλος του παρόντος παρατίθεται πίνακας με συγκριτική παρουσίαση των σημείων αναφοράς της ελληνικής Αρχής με τις αντίστοιχες οδηγίες της ΟΕ29, του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (εφεξής ΕΣΠΔ) και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (εφεξής (ΕΕΠΔ), καθώς και τις κατευθύνσεις που έχουν παράσχει δύο εκ των πλέον αναγνωρισμένων εποπτικών αρχών της Ευρωπαϊκής Ένωσης, η γαλλική (CNIL) και η βρετανική (ICO). Αξίζει να σημειωθεί πως λίγες μέρες πριν τη δημοσίευση του παρόντος, η ιρλανδική Αρχή εξέδωσε τις δικές της κατευθύνσεις, οι οποίες υιοθετούν εξίσου αυστηρή ερμηνεία των σχετικών κανόνων, αν όχι αυστηρότερη (για παράδειγμα ως προς τη σύσταση για διεξαγωγή εκτίμησης αντικτύπου).
Το χρονικό σημείο έκδοσης των συστάσεων...
Αν εξαιρέσει κανείς την ατυχή συγκυρία της έκδοσης των συστάσεων την ίδια ημέρα με την έκδοση της πρώτης χρονικά Πράξης Νομοθετικού Περιεχομένου για τη λήψη μέτρων για τον περιορισμό της εξάπλωσης του COVID-19, το χρονικό σημείο δημοσίευσής τους ήταν επιτυχές.
Στην εισαγωγή του εγγράφου της η Αρχή επισημαίνει πως έχει διαπιστώσει “σε ικανό βαθμό έλλειψη συμμόρφωσης στις ειδικές απαιτήσεις της νομοθεσίας όσον αφορά τη διαχείριση cookies και συναφών τεχνολογιών”. Η διαπίστωση αυτή δεν είναι νέα. Στην ουσία η Αρχή υπενθυμίζει, με έναν εύσχημο και επιεική τρόπο, ότι στον δειγματοληπτικό της έλεγχο, πριν από περίπου ένα χρόνο, τα αποτελέσματα κατέδειξαν έλλειψη συμμόρφωσης σε εξαιρετικά υψηλό ποσοστό.
Στη συνέχεια του εγγράφου των οδηγιών της, και πριν προχωρήσει σε ανάλυση των επιμέρους υποχρεώσεων, η Αρχή “αναγνωρίζει ότι μπορεί να απαιτηθεί κάποιος χρόνος προσαρμογής των μηχανισμών διαχείρισης που χρησιμοποιούνται από τις ιστοσελίδες”, παρέχοντας προθεσμία δύο μηνών για προσαρμογή των υπευθύνων επεξεργασίας στις απαιτήσεις της. Το χρονικό αυτό περιθώριο, παρά τη σχετική κριτική που έχει δεχθεί ως σύντομο και αυστηρό σε σχέση με τις αλλαγές που πρέπει να υλοποιηθούν από τις ιστοσελίδες - υπευθύνους επεξεργασίας, παρέχεται με απόλυτα διακριτική ευχέρεια της Αρχής. Και αυτό γιατί, αφενός, το νομοθετικό πλαίσιο για τη χρήση cookies, στην παρούσα του μορφή1, ισχύει από το 20122 και ο ΓΚΠΔ αντίστοιχα από την 25.5.2018, συνεπώς πολλές από τις απαιτήσεις είναι ήδη γνωστές. Αφετέρου, ακόμα και αν γίνει - όπως πρέπει εν προκειμένω - δεκτό ότι στις οδηγίες της Αρχής αποτυπώνονται λεπτομερώς κάποιες νέες βέλτιστες πρακτικές περί προστασίας δεδομένων εξ ορισμού (by default) και ήδη από το σχεδιασμό (by design), στην ουσία τα μέτρα αυτά εξειδικεύουν τον τρόπο λειτουργίας των μηχανισμών ενημέρωσης και συγκατάθεσης, χωρίς να αποκλίνουν από τις γενικές αρχές που ισχύουν γενικότερα για αυτές τις υποχρεώσεις. Σημειωτέον πως πολλές εποπτικές αρχές, όπως σε Γερμανία, Ισπανία και Ηνωμένο Βασίλειο, δεν προβλέπουν καμία περίοδο χάριτος. Δεν πρέπει μάλιστα να παραβλέπεται το γεγονός ότι η ΑΠΔΠΧ έχει δημοσιεύσει εδώ και χρόνια πρακτικές οδηγίες για το ίδιο ζήτημα, οι οποίες όμως παρέμειναν στην πλειονότητά τους ανεφάρμοστες.
...και η αδήριτη ανάγκη συμμόρφωσης
Η καθυστέρηση της ομοιογενούς και έμπρακτης εφαρμογής των κανόνων για τη χρήση cookies και παρεμφερών τεχνολογιών, αποτέλεσε σημαντικό πλήγμα στην προστασία προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες, καθώς συνδυάζεται άμεσα με την παρακολούθηση (tracking) και την κατάρτιση προφίλ (profiling) των χρηστών στο Διαδίκτυο. Άλλωστε, μάλλον όχι τυχαία, η Αρχή επιλέγει να χρησιμοποιήσει στις συστάσεις της τον όρο ”ιχνηλάτης” (tracker), και όχι cookies, ως τον πλέον κατάλληλο για να αποδώσει τις τεχνικές αυτές. Από την επιλογή αυτή καθίσταται σαφές ότι η Αρχή θέτει στο επίκεντρο την παρακολούθηση των χρηστών, αναγνωρίζοντας τις διαρκείς τεχνολογικές εξελίξεις και τηρώντας τεχνολογικά ουδέτερη στάση.
Προφανώς δεν αμφισβητείται το γεγονός πως υπάρχουν επιμέρους διαφορές της ερμηνείας της ΑΠΔΠΧ με άλλες αρχές ή και διαφορετική ερμηνεία επί των ίδιων βασικών θέσεων, καθώς, ούτως ή άλλως, το ειδικό νομικό πλαίσιο (lex specialis) για την προστασία δεδομένων στις ηλεκτρονικές επικοινωνίες είναι Οδηγία, η οποία αναμένεται να αντικατασταθεί από Κανονισμό. Η διαδικασία διαπραγμάτευσης του Κανονισμού ePrivacy έχει ήδη ξεπεράσει τα 3 χρόνια και αποτελεί ακόμα πεδίο έντονων αντιπαραθέσεων. Την ίδια στιγμή όμως που ο Κανονισμός ePrivacy παραμένει σχέδιο, ο ΓΚΠΔ έχει ανεβάσει τον πήχη της προστασίας δεδομένων, με αποτέλεσμα η έκδοση οδηγιών από τις ανά την Ευρώπη εποπτικές αρχές, για την - σύμφωνη με τον ΓΚΠΔ - ερμηνεία της παραμένουσας σε ισχύ Οδηγίας, να καθίσταται επιτακτική ανάγκη.
Τα βασικότερα σημεία στα οποία εμφανίζονται αποκλίσεις μεταξύ των διαφορετικών ανά την Ευρώπη ερμηνειών, συνοψίζονται κυρίως στα ζητήματα της λήψης συγκατάθεσης προ της εγκατάστασης στατιστικών ιχνηλατών (analytics), του επιτρεπτού ή μη των cookie walls3 και του αποδεκτού ή μη της δυνατότητας έκφρασης των επιλογών του χρήστη μέσω των ρυθμίσεων των περιηγητών. Στο πρώτο ζήτημα των στατιστικών ιχνηλατών, η ΑΠΔΠΧ διατυπώνει σύσταση μόνο για τους ιχνηλάτες τρίτων μερών, για τους οποίους θεωρεί απαραίτητη την προηγούμενη συγκατάθεση, ενώ δεν διατυπώνει σαφή θέση για το ζήτημα των στατιστικών ιχνηλατών πρώτου μέρους. Κατ’ ανάλογο τρόπο, η αγγλική και η ιρλανδική αρχή, ακολουθώντας την ΟΕ294, αγγίζουν ακροθιγώς το θέμα, θεωρούν ότι απαιτείται μεν συγκατάθεση, αλλά αναγνωρίζουν ταυτόχρονα ότι οι κίνδυνοι για τα προσωπικά δεδομένα είναι χαμηλοί (η ιρλανδική μάλιστα, δηλώνει ευθέως ότι δεν πρόκειται να προβεί σε κυρώσεις για τέτοια παραβίαση). Στο δεύτερο θέμα, παρατηρείται απόκλιση απόψεων σχετικά με το κατά πόσον είναι επιτρεπτός ο αποκλεισμός από τη γενική πρόσβαση στο σύνολο της ιστοσελίδας ή από τη μερική πρόσβαση σε τμήμα αυτής (βλ. σχετικό σημείο πίνακα). Στο τρίτο ζήτημα, με την πάροδο των ετών, έχουν συγκλίνει πια σχεδόν όλες οι ερμηνείες, ως προς το ότι η εξ ορισμού ρύθμιση του περιηγητή για αποδοχή των ιχνηλατών δε συνιστά συγκατάθεση.
Ένα πιο “ακραίο” παράδειγμα διαφορετικής ερμηνείας, σχετικά με το πλαίσιο για τους “ιχνηλάτες” βρίσκεται στις πρόσφατες κατευθύνσεις που δόθηκαν από την ισπανική αρχή προστασίας δεδομένων προσωπικού χαρακτήρα. Σε αυτές, διατυπώνεται η (μάλλον αποκλίνουσα) άποψη ότι ως θετική ενέργεια για την παροχή της συγκατάθεσης του χρήστη μπορεί να εκληφθεί και η πλοήγηση σε άλλο σημείο της σελίδας, το scrolling, το κλείσιμο της ειδοποίησης, ή το άνοιγμα οποιουδήποτε συνδέσμου, εφόσον ο χρήστης έχει ενημερωθεί πως η ενέργειά του αυτή σημαίνει συγκατάθεση και δεν του δίνεται παραπλανητικά η επιλογή της αποδοχής. Επιπλέον, η ισπανική αρχή θεωρεί πως η μη αποδοχή των cookies μπορεί να οδηγήσει σε αποκλεισμό από την πρόσβαση (cookie wall), εκτός αν αυτό εμποδίζει την άσκηση νομίμου δικαιώματος.
Πέραν της ισπανικής αρχής, οι υπόλοιπες αρχές, παρά τις όποιες επιμέρους μικρο-διαφοροποιήσεις, δεν έχουν σοβαρές αντιφάσεις μεταξύ τους, κυρίως χάρη στις οδηγίες της ΟΕ29 και του ΕΣΠΔ, που εξασφάλισαν σταδιακά ένα ελάχιστο επίπεδο συνεκτικότητας της ερμηνείας. Πλην όμως, η κατά τα προηγούμενα χρόνια μετέωρη κατάσταση αναφορικά με τη χρήση cookies εξακολουθεί να έχει συνέπειες και στους όρους ανταγωνισμού μεταξύ των “συμμορφωμένων” και μη ιστοσελίδων. Πέραν του γνωστού Duopoly ("δυοπώλιο") της βιομηχανίας της online διαφήμισης (Facebook και Google) και τα μείζονος σημασίας ζητήματα που προκύπτουν από τη διαρκή αύξηση των συσχετισμένων δεδομένων που διαθέτουν, προβλήματα προκαλούνται και στους όρους ανταγωνισμού μεταξύ ιστοσελίδων. Μία ιστοσελίδα που επί του παρόντος συμμορφώνεται με τους κανόνες για τη χρήση “ιχνηλατών” ενδέχεται να χάνει σημαντικό τμήμα στοιχείων για τους επισκέπτες/πελάτες της (insights), αποκτώντας... συγκριτικό μειονέκτημα σε σχέση με έναν ανταγωνιστή της που -μάλλον “αναίμακτα” - συνεχίζει να επεξεργάζεται δεδομένα χρηστών χωρίς τις απαραίτητες δικλείδες ασφαλείας.
Don’t shoot the messenger
Ως γνωστόν, η προσκόλληση των νομικών κειμένων σε συγκεκριμένες τεχνολογίες ενέχει τον - καθ’ όλα υπαρκτό με βάση τους ραγδαίους ρυθμούς εξέλιξης της τεχνολογίας - κίνδυνο να καταστούν τα κείμενα παρωχημένα και ανεπαρκή σε πολύ σύντομο χρονικό διάστημα. Στο πλαίσιο αυτό, δεν μπορούμε να αξιώνουμε το κείμενο του νόμου να φτάνει σε επίπεδο ορισμών επιμέρους πρακτικών ή τεχνολογιών και εξαντλητική περιπτωσιολογία. Ως εκ τούτου, οι κατευθύνσεις από τις αρχές θα πρέπει να θεωρούνται απαραίτητες για την ερμηνεία των γενικών κανόνων περί προστασίας δεδομένων, ειδικά όταν εμπλέκεται σε τόσο υψηλό βαθμό η τεχνολογία.
Η κατάσταση στο ελληνικό διαδίκτυο σε ό,τι αφορά τη χρήση cookies ήταν σε γενικές γραμμές ανεξέλεγκτη, αν και ομολογουμένως, έχει παρατηρηθεί ένα ποσοστό βελτίωσης της συμμόρφωσης τον τελευταίο χρόνο. Όσο όμως το ποσοστό αυτό παραμένει χαμηλό και η συμμόρφωση “χαλαρή”, εκτιμούμε πως ήταν επιβεβλημένο η ελληνική Αρχή να υιοθετήσει μια αυστηρή προσέγγιση, παρέχοντας - ως μη όφειλε - περιθώριο δύο μηνών για τη συμμόρφωση.
Στην ίδια κατεύθυνση με τις περισσότερες ευρωπαϊκές εποπτικές αρχές, η ΑΠΔΠΧ ακολούθησε μία προσέγγιση που ερμηνεύει το ισχύον νομοθετικό πλαίσιο, ήτοι τον Ν. 3471/2006 και τον ΓΚΠΔ, σε ευθυγράμμιση με το πνεύμα των αποφάσεων PlanetGMBH5 και Fashion ID GmbH & Co. KG6, του Δικαστηρίου της Ευρωπαϊκής Ένωσης, τις κατευθυντήριες γραμμές της ΟΕ29 και του ΕΣΠΔ, τη νομολογία δικαστηρίων της Γερμανίας και τις οδηγίες δύο εκ των πλέον επιφανών αρχών προστασίας δεδομένων στον κόσμο: της CNIL (Γαλλία) και της ICO (Ηνωμένο Βασίλειο). Η ερμηνεία αυτή, κατά τη γνώμη μας ακολουθεί και την ορθότερη συνδυαστική ερμηνεία των κανόνων της Οδηγίας e-privacy, του Ν.3471/2006 και του ΓΚΠΔ, υπό το πρίσμα του σύγχρονου State of the Art.
Δείτε αναλυτικά τον πίνακα στο συνημμένο αρχείο.
- 1. άρθρο 5 παρ. 3 Ν. 3471/2006. Ο Ν.3471/2006 ενσωμάτωσε στην ελληνική έννομη τάξη την Οδηγία ΕΚ 2002/58, γνωστή ως E-Privacy.
- 2. Το άρθρο 5 του Ν. 3471/2006, όπως ισχύει σήμερα, τροποποιήθηκε με το άρθρο 171 του Ν. 4070/2012, που τέθηκε σε ισχύ στις 10-4-2012. Ο Ν. 4070/2012 ενσωμάτωσε στην ελληνική έννομη τάξη την Οδηγία ΕΚ 2009/136, που μετέβαλε άρδην τον έως τότε κανόνα του opt out για την χρήση cookies, σε γενικότερη υποχρέωση ενημερωμένης συγκατάθεσης με μηχανισμό opt in.
- 3. Η αιτ. σκ. 25 εδ. ζ’ της Οδηγίας ΕΚ 2002/58 προβλέπει ότι: “Για την πρόσβαση σε συγκεκριμένο περιεχόμενο ιστοσελίδων επιτρέπεται πάντως να τίθεται ως όρος η ενημερωμένη αποδοχή «cookies» ή παρόμοιων διατάξεων, εφόσον χρησιμοποιούνται για σύννομο σκοπό”.Ορ. Σχετ. κατά των cookie walls ICO, στην από 11/10/2018 προειδοποίηση που απηύθυνε στην Washington Post. Αντίθετα, υπέρ της δυνατότητας αποκλεισμού, έκρινε η Αυστριακή Αρχή Προστασίας Δεδομένων, στην από 30.11.2018 απόφασή της.
- 4. ARTICLE 29 DATA PROTECTION WORKING PARTY Opinion 04/2012 on Cookie Consent Exemption
- 5. C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbande - Verbraucherzentrale Bundesverband eV κατά Planet49 GmbH
- 6. C-40/17,Fashion ID GmbH & Co. KG κατά Verbraucherzentrale NRW eV