Cookies και προσωπικά δεδομένα: Ο λάθος δρόμος της συμμόρφωσης και το εγχείρημα του Lawspot

Πριν λίγους μήνες, στο πρώτο μέρος του άρθρου μας σχετικά με τα cookies παρουσιάσαμε με συνοπτικό τρόπο κάποιες βασικές προκλήσεις αναφορικά με την εφαρμογή του ισχύοντος πλαισίου στην ψηφιακή πραγματικότητα. Ορισμένα, μάλιστα, από τα ζητήματα που τέθηκαν αλλά και τις θέσεις που υποστηρίχθηκαν, επιβεβαιώθηκαν λίγες εβδομάδες μετά από την απόφαση του Δικαστηρίου της ΕΕ σχετικά με τη χρήση cookies (και) υπό το καθεστώς του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).

Στο δεύτερο μέρος του άρθρου θα προχωρήσουμε σε μία συνοπτική αξιολόγηση των λύσεων που χρησιμοποιούνται επί του παρόντος, παρουσιάζοντας ορισμένες βασικές πτυχές τους και αντιπαραβάλοντας τις επιλογές στις οποίες προχωρήσαμε στο Lawspot.

Όπως είναι γνωστό, στις αρχές του 2019 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προχώρησε σε ελέγχους αναφορικά με τη χρήση cookies σε 65 ιστοσελίδες, με τα αποτελέσματα να είναι ιδιαιτέρως ενδιαφέροντα αλλά και αρκετά αποθαρρυντικά, καθώς το επίπεδο συμμόρφωσης των ιστοσελίδων με τις νομοθετικές απαιτήσεις αποδείχθηκε χαμηλό. Όμως ακόμα μεγαλύτερο ενδιαφέρον από την ίδια τη διαδικασία του ελέγχου και των συστάσεων της Αρχής παρουσιάζουν ορισμένες πτυχές της ανταπόκρισης του ελληνικού διαδικτύου σε αυτή τη διαδικασία.

Cookie walls

Διόλου συμπτωματικά, μετά την ολοκλήρωση του ελέγχου της Αρχής, ο αριθμός των ιστοσελίδων που άρχισε να χρησιμοποιεί cookie walls φαίνεται, τουλάχιστον εμπειρικά, πως αυξήθηκε σημαντικά. Ως cookie ή tracking wall εννοείται η εξάρτηση της πρόσβασης ή μη σε μία ιστοσελίδα από την αποδοχή cookies - με απλά λόγια, όταν δεν είναι εφικτό να αποκτήσετε πρόσβαση σε μία ιστοσελίδα χωρίς να αποδεχθείτε ή, σε πολλές περιπτώσεις, να ρυθμίσετε (όπως θα δούμε αλυσιτελώς) τις προτιμήσεις σας σε σχέση με τα cookies.

Η πρακτική αυτή είναι εξόχως αμφιλεγόμενη, καθώς παρά το γεγονός ότι είναι αρκετά διαδεδομένη διεθνώς και υποστηρίζεται εκτενώς σε επίπεδο lobbying, οι εποπτικές αρχές υποστηρίζουν ότι, τουλάχιστον στις περισσότερες περιπτώσεις, δεν είναι συμβατή με το ισχύον πλαίσιο για την προστασία δεδομένων.

Αν και φαίνεται πως κανείς δεν είναι σε θέση να γνωρίζει ακριβώς πως θα διαμορφωθεί τελικά το νέο νομικό πλαίσιο για την προστασία δεδομένων στις ηλεκτρονικές επικοινωνίες (Κανονισμός ePrivacy), κρίνοντας με βάση τα τρέχοντα δεδομένα, στο Lawspot επιλέξαμε να μην χρησιμοποιήσουμε cookie wall. Θέλοντας, ωστόσο, να ενισχύσουμε την ενημέρωση των χρηστών και να αποφύγουμε την πρακτική της “σιωπηρής συγκατάθεσης”, επιλέξαμε να τοποθετήσουμε ένα banner με επαρκές μέγεθος για να μη διαφεύγει της προσοχής τους.

Φαινομενική και όχι ουσιαστική συμμόρφωση

Πέρα, ή πολλές φορές και παράλληλα, προς την πρακτική των cookie walls, πολλές ιστοσελίδες επιλέγουν να επιδείξουν συμμόρφωση με τους κανόνες για τη χρήση cookies, χωρίς να την υλοποιούν στην ουσία. Αν και η έρευνα της ελληνικής Αρχής περιορίστηκε σε συγκεκριμένα “εξωτερικά” στοιχεία της συμμόρφωσης, χωρίς να εξετάζει τις τεχνικές της πτυχές, είναι σαφές ότι οι πρακτικές αυτές δείχνουν μεν μία διάθεση συμμόρφωσης, δεν μπορούν ωστόσο να θεωρηθούν επαρκείς.

Για παράδειγμα, όταν επισκέπτεστε μία ιστοσελίδα που χρησιμοποιεί cookies για την μέτρηση της επισκεψιμότητας θα έπρεπε να παρέχετε τη συγκατάθεσή σας πριν την εγκατάστασή τους. Στην πράξη, στις περισσότερες των περιπτώσεων τα cookies αυτά εγκαθίστανται αμέσως μόλις πραγματοποιηθεί η επίσκεψη, καθιστώντας την επιλογή αποδοχή τους ή μη μία διαδικασία κατ’ επίφασιν επιλογής.

Πέραν αυτού, στο ελληνικό - και όχι μόνο - διαδίκτυο γίνεται εκτενής χρήση προσθέτων (plugins), οι οποίες είτε επιτρέπουν τη διαβαθμισμένη αποδοχή και απόρριψη των cookies, είτε παρέχουν μία γενική επιλογή αποδοχής ή απόρριψης.

Στην πράξη, ωστόσο, σε ένα πολύ μεγάλο ποσοστό ιστοσελίδων (κατά την έρευνά μας η συντριπτική πλειονότητα, ειδικά σε ορισμένες κατηγορίες) οι επιλογές αυτές ουδέποτε υλοποιούνται τεχνικά με αποτέλεσμα όλα τα cookies να εγκαθίστανται κανονικά.

Στο Lawspot θεωρούμε ότι δεν είναι ορθό το να παρέχουμε μόνο μία κατά τα φαινόμενα συμμόρφωση, συνεπώς τα cookies μέτρησης επισκεψιμότητας τρίτου μέρους που χρησιμοποιούμε, εγκαθίστανται μόνο μετά τη συγκατάθεση των χρηστών. Μάλιστα, σε συμμόρφωση προς τις νομοθετικές προβλέψεις, το Lawspot παρέχει τη δυνατότητα ανάκλησης της συγκατάθεσης με άμεση εφαρμογή στην πράξη.

Κατά την άποψή μας, η προσθήκη ενός banner και μίας πολιτικής για cookies είναι σημαντικά κομμάτια της συμμόρφωσης μίας ιστοσελίδας, ωστόσο, εάν οι επιλογές του επισκέπτη δεν υλοποιούνται τεχνικά, η ενημέρωση και η συγκατάθεσή του παραμένουν σε μεγάλο βαθμό κενές περιεχομένου.

EUCCX: Ένα χρήσιμο module από την ομάδα του Lawspot

Έπειτα από αναλυτική συζήτηση σχετικά με τις τεχνικές και εμπορικές απαιτήσεις του Lawspot, καταλήξαμε σε ένα συγκεκριμένο μοντέλο, το οποίο υλοποιήθηκε τεχνικά με τρόπο που να μπορεί να προσφερθεί στην κοινότητα του Drupal, του συστήματος διαχείρισης περιεχομένου ανοιχτού κώδικα (open source) που χρησιμοποιούμε στην ιστοσελίδα. Με μεγάλη μας χαρά είδαμε κατά το διάστημα αυτό το EUCCX (EU Cookie Compliance Extras) να τυγχάνει μεγάλης αποδοχής από την κοινότητα του Drupal μετρώντας ήδη σχεδόν 900 μεταφορτώσεις (downloads) διεθνώς. Το module, το οποίο διατίθεται με άδεια GNU General Public License - version 2, υποστηρίζεται τεχνικά από την ομάδα μας, ενώ υποβάλλουμε updates με βάση τις νομολογιακές και νομοθετικές εξελίξεις.

Περισσότερες πληροφορίες για το project μπορείτε να βρείτε στο https://www.drupal.org/project/euccx.

Στην ουσία το module που αναπτύξαμε παρέχει τη δυνατότητα παροχής ελεύθερης, συγκεκριμένης, διαβαθμισμένης και ελεύθερα ανακλητής συγκατάθεσης για την εγκατάσταση ορισμένων από τα πιο δημοφιλή cookies μέτρησης επισκεψιμότητας και διαφήμισης, σε συμμόρφωση με τις σχετικές νομοθετικές προβλέψεις.

Αν και στο Lawspot δεν χρησιμοποιούνται πλέον cookies διαφήμισης, κατανοούμε πλήρως πως το ζήτημα της online διαφήμισης και της σύνδεσής της με τη χρήση cookies δεν είναι μία απλή συζήτηση, καθώς έχει σημαντικές επιχειρηματικές και τεχνικές παραμέτρους που πρέπει να ληφθούν υπόψη. Αυτός είναι άλλωστε ο λόγος που οι τεχνολογίες αυτές βρίσκονται στο επίκεντρο του διαλόγου μεταξύ κολοσσών του διαδικτύου, διαφημιστών και ΜΚΟ για την προστασία online δικαιωμάτων, αλλά και της προσοχής των εποπτικών αρχών.

Παρ’ όλα αυτά, η διαφάνεια αποτελεί έναν από τους βασικότερους άξονες στο δίκαιο προστασίας προσωπικών δεδομένων και οποιαδήποτε λύση θα πρέπει να τελεί σε συμμόρφωση προς αυτήν. Δεν θεωρούμε θεμιτή την παραπλάνηση των χρηστών σχετικά με τις επιλογές τους και αμφιβάλλουμε αν η συγκατάθεση σε πολλές από τις περιπτώσεις αυτές μπορεί να θεωρηθεί έγκυρη.

Μία από τις σημαντικότερες προκλήσεις που αντιμετωπίσαμε κατά την προσέγγισή μας στο ζήτημα των cookies ήταν εκείνα τα οποία εγκαθίστανται από domains διαφορετικά από το δικό μας (third party). Η διαχείρισή τους είναι μία δύσκολη διαδικασία, καθώς από τη στιγμή που εγκαθίστανται στον τερματικό εξοπλισμό του χρήστη είναι ιδιαίτερα δύσκολο για μία ιστοσελίδα - υπεύθυνο επεξεργασίας να εγγυθεί για την ασφάλεια των διαβιβαζόμενων δεδομένων ή ακόμα και να γνωρίζει το είδος και την έκταση της επεξεργασίας τους από τρίτα μέρη. Πέραν αυτού, τα κυριότερα σημεία στα οποία δώσαμε έμφαση κατά την υλοποίησης της λύσης μας για τα cookies είναι τα εξής:

• Διάκριση cookies με βάση τη λειτουργία που επιτελούν
• Αξιολόγηση χρήσης cookies με βάση τις προδιαγραφές των παρόχων τους
• Τεχνική υλοποίηση επιλογής χρήστη και χρονικό σημείο εγκατάστασης των cookies
• Δυνατότητα ανάκλησης της συγκατάθεσης με αντίστοιχη τεχνική εφαρμογή
• Επικαιροποίηση πολιτικής για τα cookies

Ελπίζουμε το module να φανεί χρήσιμο σε άλλες ιστοσελίδες, καθώς αρκετό διάστημα μετά την επικαιροποίηση του πλαισίου σχετικά με τη χρήση cookies, η εφαρμογή του παραμένει σε πολλές περιπτώσεις εξόχως προβληματική.

Είναι γεγονός πως οι καταγγελίες για παράνομη χρήση cookies στις ευρωπαϊκές Αρχές Προστασίας Δεδομένων, αλλά και τα σχετικά πρόστιμα εκ μέρους τους, αυξάνονται το τελευταίο διάστημα.

Εντούτοις, η ορθή εφαρμογή του πλαισίου απαιτεί υποχωρήσεις σε σχέση με την απόκτηση και αξιοποίηση δεδομένων, τις οποίες ένα σημαντικό μέρος της αγοράς δε φαίνεται διατεθειμένο να κάνει.

Στο πλαίσιο αυτό παραμένει αμφίβολο κατά πόσον η συμμόρφωση μίας ιστοσελίδας με το νομικό πλαίσιο για την προστασία δεδομένων (εν προκειμένω για τα cookies) συνιστά πράγματι ανταγωνιστικό πλεονέκτημα.

Πηγή και άδεια χρήσης φωτογραφίας.