Cookies και GDPR: Τα προσυμπληρωμένα τετραγωνίδια δεν αποτελούν νόμιμη συγκατάθεση, σύμφωνα με τον Εισαγγελέα του Δικαστηρίου της ΕΕ

Πριν λίγες ημέρες παρουσιάσαμε με συνοπτικό τρόπο, ορισμένα βασικά ζητήματα σχετικά με την εφαρμογή της νομοθεσίας για τα cookies στην ψηφιακή πραγματικότητα, ενημέρωνοντας για την ενασχόληση του Δικαστηρίου της Ευρωπαϊκής Ένωσης με το ζήτημα.

Είχαμε μάλιστα υπογραμμίσει το μείζον ζήτημα της νομιμότητας της συγκατάθεσης, σύμφωνα με τις υψηλές απαιτήσεις που θέτει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) σε συνδυασμό με την ειδικότερη νομοθεσία (οδηγία ePrivacy), καθώς και τις δυσκολίες πρακτικής εφαρμογής οποιασδήποτε σχετικής λύσης.

Μόλις την προηγούμενη εβδομάδα, το Δικαστήριο της ΕΕ έδωσε για πρώτη φορά, μέσω προτάσεων του Γενικού Εισαγγελέα, Maciej Szpunar, στην υπόθεση Planet49 GmbH, κατευθύνσεις σχετικά με τη νομιμότητα της χρήσης cookies με βάση τον Γενικό Κανονισμό για την Προστασία Δεδομένων.

Ιστορικό υπόθεσης και νομικά ζητήματα

Η υπόθεση, η οποία κατέληξε ενώπιον του Δικαστηρίου έπειτα από προδικαστικό ερώτημα του Ομοσπονδιακού Δικαστηρίου της Γερμανίας (Bundesgerichtshof), αφορούσε στη διοργάνωση online διαγωνισμού (λαχειοφόρου αγοράς) από τη γερμανική εταιρεία Planet49.

Προκειμένου ένας χρήστης του Διαδικτύου να συμμετέχει σε αυτόν, έπρεπε πρώτα να επιλέξει ή να αποεπιλέξει (tick/untick) δύο τετραγωνίδια (checkboxes), προτού μπορέσει να κάνει κλικ στο κουμπί "συμμετοχή".

Το πρώτο από τα τετραγωνιδία, το οποίο δεν ήταν προεπιλεγμένο, ζητούσε από τον χρήστη να δεχθεί να επικοινωνήσει μαζί του μια σειρά από εταιρείες για προώθηση προϊόντων, ενώ το άλλο τετραγωνίδιο, το οποίο ήταν προεπιλεγμένο, απαιτούσε από τον χρήστη να συναινέσει στην εγκατάσταση cookies στον υπολογιστή του.

Πίσω από αυτά τα φαινομενικά απλά και συνηθισμένα γεγονότα βρίσκονται θεμελιώδη ζητήματα που αφορούν στην εφαρμογή της νομοθεσίας της ΕΕ για την προστασία των δεδομένων και συγκεκριμένα τρία βασικά ερωτήματα:

1. Υφίσταται πράγματι νόμιμη συγκατάθεση στην περίπτωση κατά την οποία η αποθήκευση πληροφοριών ή η απόκτηση προσβάσεως σε πληροφορίες ήδη αποθηκευμένες στον τερματικό εξοπλισμό του χρήστη επιτρέπεται επί τη βάσει προεπιλεγμένου τετραγωνιδίου, το οποίο ο χρήστης πρέπει να αποεπιλέξει προκειμένου να αρνηθεί να παράσχει τη συγκατάθεσή του;

2. Ασκεί επιρροή, στο πλαίσιο της εφαρμογής της σχετικής νομοθεσίας το ζήτημα αν οι πληροφορίες που αποθηκεύονται ή τηλεφορτώνονται αποτελούν δεδομένα προσωπικού χαρακτήρα;

3. Ποιες πληροφορίες οφείλει να παρέχει στον χρήστη ο φορέας παροχής υπηρεσιών; Συγκαταλέγονται στις εν λόγω πληροφορίες η διάρκεια διατήρησης των cookies και το ζήτημα αν τρίτοι έχουν πρόσβαση στα σχετικά δεδομένα;

Οι προτάσεις του Γενικού Εισαγγελέα

Σε σχέση με τα παραπάνω ερωτήματα, οι προτάσεις του Γενικού Εισαγγελέα του Δικαστηρίου της ΕΕ, Maciej Szpunar, είναι σαφείς και κατατοπιστικές:

1. Στο πρώτο ερώτημα, ο Γενικός Εισαγγελέας προτείνει να δοθεί η απάντηση ότι δεν υφίσταται πράγματι νόμιμη συγκατάθεση στην περίπτωση κατά την οποία η αποθήκευση πληροφοριών ή η απόκτηση προσβάσεως σε πληροφορίες ήδη αποθηκευμένες στον τερματικό εξοπλισμό του χρήστη επιτρέπεται επί τη βάσει προεπιλεγμένου τετραγωνιδίου, το οποίο ο χρήστης πρέπει να αποεπιλέξει προκειμένου να αρνηθεί να παράσχει τη συγκατάθεσή του.

Με απλά λόγια, τα προσυμπληρωμένα τετραγωνίδια δεν συνιστούν νόμιμη συγκατάθεση.

Όπως αναφέρει ο Εισαγγελέας, προκειμένου να θεωρηθεί ότι η συγκατάθεση δίνεται ελεύθερα, θα πρέπει να υπάρχει σαφής θετική ενέργεια εκ μέρους του χρήστη, η οποία μάλιστα θα πρέπει να είναι διακριτή από άλλες πράξεις επεξεργασίας (εν προκειμένω τη δήλωση συμμετοχής στη λοταρία).

2. Στο δεύτερο ερώτημα, ο Γενικός Εισαγγελέας προτείνει να δοθεί η απάντηση ότι δεν ασκεί επιρροή, στο πλαίσιο της εφαρμογής της σχετικής νομοθεσίας το ζήτημα αν οι πληροφορίες που αποθηκεύονται ή τηλεφορτώνονται αποτελούν δεδομένα προσωπικού χαρακτήρα.

Με απλά λόγια, ο Εισαγγελέας υποστηρίζει πως η οδηγία ePrivacy (άρθρο 5 παρ. 3) εφαρμόζεται στην αποθήκευση πληροφοριών ή την πρόσβαση σε πληροφορίες, ανεξαρτήτως αν αυτές συνιστούν προσωπικά δεδομένα κατά τον οορισμό του GDPR.

Σύμφωνα με τον Εισαγγελέα, κάθε τέτοια πληροφορία έχει πτυχή ιδιωτικότητας και η Οδηγία αποσκοπεί στην προστασία του χρήστη, ανεξάρτητα από το αν οι παρεμβάσεις αφορούν σε δεδομένα προσωπικού χαρακτήρα ή μη.

3. Στο τρίτο ερώτημα, ο Γενικός Εισαγγελέας προτείνει να δοθεί η απάντηση ότι στις πληροφορίες που πρέπει να παρέχονται στον χρήστη κατά την εγκατάσταση cookies πρέπει να συγκαταλέγονται οι πληροφορίες για τη διάρκεια διατηρήσεως των cookies και το ζήτημα αν τρίτοι έχουν πρόσβαση στις πληροφορίες.

Σύμφωνα με τον Εισαγγελέα, στο πλαίσιο της διαφάνειας, οι πληροφορίες θα πρέπει να είναι σαφείς και κατανοητές, αλλά και επαρκείς για να κατανοήσουν τη λειτουργία των cookies.

Στο πλαίσιο αυτό, η διάρκεια διατήρησης και τα τρίτα μέρη που έχουν πρόσβαση στις πληροφορίες είναι στοιχεία που πρέπει να παρέχονται στο χρήστη.

Σύντομο σχόλιο

Οι προτάσεις του Γενικού Εισαγγελέα είναι ιδιαίτερα σημαντικές, καθώς τα cookies αποτελούν ένα ακανθώδες ζήτημα που χρήζει συστηματικής και αποτελεσματικής αντιμετώπισης σε επίπεδο ΕΕ. Η εκτενέστατη χρήση cookies σε συνδυασμό με την οικονομική τους σημασία, αλλά και την καθυστέρηση έκδοσης του Κανονισμού ePrivacy, δημιουργούν ένα κλίμα ανασφάλειας δικαίου, στην αντιμετώπιση του οποίου το Δικαστήριο της ΕΕ αναμένεται να παίξει - για ακόμα μια φορά - καταλυτικό ρόλο.

Εν συντομία, επί των προτάσεων του Γενικού Εισαγγελέα αξίζει να σημειωθούν τα εξής:

Α. Ο Γενικός Εισαγγελέας επισημαίνει ότι, όσον αφορά την παρούσα υπόθεση, οι απαιτήσεις για τη συγκατάθεση είναι οι ίδιες σύμφωνα με την Οδηγία 95/46 και τον GDPR, ενώ δεν υπάρχει καμία διαφορά αν πρόκειται για γενικό ζήτημα επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή, ειδικότερα, για την αποθήκευση και την πρόσβαση σε πληροφορίες μέσω cookies.

Αν και επί της αρχής, η θέση του Εισαγγελέα είναι ορθή και εξυπηρετεί την ασφάλεια δικαίου, θα πρέπει να σημειωθεί ότι οι απαιτήσεις για τη συγκατάθεση με βάση τον GDPR είναι ποιοτικά αυξημένες και πιο αναλυτικά διατυπωμένες.

Είναι, άλλωστε, αρκετά σαφές πως οι προτάσεις του Γενικού Εισαγγελέα στο ζήτημα των προσυμπληρωμένων τετραγωνιδίων δύσκολα θα μπορούσαν να είναι σε διαφορετική κατεύθυνση, δεδομένου ότι ο GDPR αναφέρει ρητώς πως «η σιωπή, τα προσυμπληρωμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση».

Β. Σε σχέση με τις πληροφορίες που πρέπει να παρέχονται στο χρήστη, οι θέσεις του Γενικού Εισαγγελέα είναι ιδιαίτερα χρήσιμες και κατατοπιστικές.

Ως προς τη διάρκεια, ο Γενικός Εισαγγελέας τονίζει (ορθώς) ότι ο καθορισμός της θα πρέπει να γίνεται μετά από εξέταση μίας σειράς παραμέτρων, όπως η "επεμβατικότητα" του cookie ακόμα και αν αυτό θεωρείται "αυστηρώς απαραίτητο".

Ως προς την πρόσβαση τρίτων μερών στις πληροφορίες, ο Γενικός Εισαγγελέας επισημαίνει ότι ο χρήστης θα πρέπει να ενημερώνται με σαφήνεια για το αν έχουν τρίτοι πρόσβαση στις πληροφορίες που τον αφορούν ή όχι.

Δεδομένου ότι και ο ίδιος ο Γεν. Εισαγγελέας αναγνωρίζει την τεχνική πολυπλοκότητα (technical complexity) των cookies και τη δυσκολία παροχής απλών και περιεκτικών πληροφοριών σχετικά με αυτά, θα ήταν χρήσιμη η παροχή εκ μέρους του κάποιας πρακτικής κατεύθυνσης ή οδηγίας σχετικά με την ενημέρωση του χρήστη. Ο τρόπος με τον οποίο θα παρέχονται στο χρήστη σύνθετες τεχνικές πληροφορίες με τρόπο κατανοητό και συνοπτικό εξακολουθεί να αποτελεί ένα από τα πιο απαιτητικά εγχειρήματα του νέου πλαισίου για την προστασία δεδομένων.

Γ. Ο Γεν. Εισαγγελέας ασχολήθηκε στις προτάσεις του με ένα εξαιρετικά σημαντικό θέμα, το οποίο δεν περιλαμβανόταν στα ερωτήματα του Γερμανικού Δικαστηρίου, και αφορά στο πρώτο τετραγωνίδιο, ήτοι την συγκατάθεση για σκοπούς εμπορικής επικοινωνίας (μέσω τηλεφώνου, email και ταχυδρομείου).

Αν και το εν λόγω τετραγωνίδιο δεν ήταν προεπιλεγμένο, το ζήτημα της νομιμότητας της συγκατάθεσης που εγείρεται αφορά στο εάν αυτή μπορεί να δοθεί ελεύθερα, δεδομένης της "ομαδοποίησης" (bundling) της με τη δυνατότητα συμμετοχής στη λοταρία.

Ερμηνεύοντας τη διάταξη του άρθρου 7 παρ. 4 του GDPR, σύμφωνα με την οποία "κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης", ο Γενικός Εισαγγελέας αναφέρει, μεταξύ άλλων, ότι δεν υφίσταται απόλυτη απαγόρευση για την ομαδοποίηση της συγκατάθεσης με την εκτέλεση σύμβασης.

Παρά το γεγονός ότι οι προτάσεις του γενικού εισαγγελέα δεν δεσμεύουν το Δικαστήριο στις αποφάσεις του, ασκούν πάντοτε επιρροή σε αυτές, ενώ στην προκειμένη περίπτωση, η ανάλυση του Γεν. Εισαγγελέα φαίνεται εύστοχη και τεκμηριωμένη.