O GDPR και το «καυτό» ζήτημα των cookies

Συντάκτρια: Μερόπη Δράκου

Παρότι τα cookies αναφέρονται μόνο μία φορά στις 88 σελίδες του Γενικού Κανονισμού προστασίας προσωπικών δεδομένων, οι λίγες αυτές γραμμές έχουν σημαντικό αντίκτυπο στη χρήση τους. 

Ειδικότερα, σύμφωνα με την αιτιολογική σκέψη 30 του Κανονισμού:

Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας […] όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία […].  Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.

Ο τρόπος λήψης συγκατάθεσης για την αποδοχή των cookies δεν καθορίζεται στον Κανονισμό. Ωστόσο ο GDPR παρέχει τον δικό του ορισμό νόμιμης συγκατάθεσης στην αιτιολογική σκέψη 32:

Ειδικότερα στην αιτιολογική σκέψη 32 διευκρινίζεται ότι για τη νόμιμη παροχή συγκατάθεσης απαιτείται «σαφής θετική ενέργεια». Επιπλέον, αναφέρονται κάποια παραδείγματα που τηρούν αυτήν την προϋπόθεση:

• συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε διαδικτυακή ιστοσελίδα,
• επιλογή των επιθυμητών τεχνικών ρυθμίσεων για υπηρεσίες της κοινωνίας των πληροφοριών, ή
• μια δήλωση ή συμπεριφορά που δηλώνει σαφώς, στο συγκεκριμένο πλαίσιο, ότι το υποκείμενο των δεδομένων αποδέχεται την πρόταση επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα.

Περαιτέρω, σύμφωνα με την αιτιολογική σκέψη 32:

Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να δίνεται συγκατάθεση για όλους αυτούς τους σκοπούς. Εάν η συγκατάθεση του υποκειμένου των δεδομένων πρόκειται να δοθεί κατόπιν αιτήματος με ηλεκτρονικά μέσα, το αίτημα πρέπει να είναι σαφές, περιεκτικό και να μην διαταράσσει αδικαιολόγητα τη χρήση της υπηρεσίας για την οποία παρέχεται.

Βάσει των παραπάνω, επιχειρήσεις που στους ιστότοπούς τους χρησιμοποιούν διαφορετικές κατηγορίες cookies για πολλαπλούς σκοπούς πρέπει να λαμβάνουν συγκατάθεση για κάθε σκοπό ξεχωριστά. 

Η ρητή συναίνεση του υποκειμένου προηγείται της εγκατάστασης των cookies. Είναι σημαντικό να μήν χρησιμοποιούνται cookies πριν ο επισκέπτης/χρήστης δώσει ρητά τη συγκατάθεσή του για την αποδοχή τους.

Η σιωπηρή συγκατάθεση, η αδράνεια και τα προεπιλεγμένα κουτιά κρίνονται ως ιδιαίτερα ανεπαρκή κατά τον GDPR. 

Ειδικότερα, η απλή επίσκεψη του ιστότοπου δεν μπορεί να εκλαμβάνεται ως συναίνεση για την επεξεργασία των δεδομένων του επισκέπτη, ακόμα και αν παρέχονται στους επισκέπτες πληροφορίες όπως,  

Χρησιμοποιώντας αυτόν τον ιστότοπο, αποδέχεστε τη χρήση cookies. 

Αυτό τονίζεται ιδιαίτερα στην αιτιολογική σκέψη 42 του Κανονισμού, κατά την οποία η συγκατάθεση δεν θεωρείται «ελεύθερη» εάν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί.

Εν κατακλείδι, η συγκατάθεση για τα cookies πρέπει να είναι εν πλήρη ένδειξη της συμφωνίας, ρητή και να παρέχεται με σαφή θετική (opt-in) ενέργεια.