Cookies και προσωπικά δεδομένα: Το πραγματικό τίμημα του σεβασμού της ιδιωτικότητας
Μέρος Πρώτο. Χρήση cookies από ιστοσελίδες και προστασία προσωπικών δεδομένων: Ένα "πρόβλημα" χωρίς (;) λύση
07/03/2019
03/06/2020
*Σημείωση συντάκτη: Το παρόν άρθρο χωρίζεται σε δύο μέρη: στο πρώτο μέρος θα παρουσιάσουμε, με συνοπτικό τρόπο, ορισμένα βασικά ζητήματα σχετικά με την εφαρμογή της νομοθεσίας για τα cookies στην ψηφιακή πραγματικότητα. Για το δεύτερο μέρος δείτε εδώ.
Άλλη μία μέρα ξεκινάει στο γραφείο και τον πρώτο καφέ της ημέρας συνοδεύει μία γρήγορη περιήγηση στο διαδίκτυο. Επισκέπτεστε τις αγαπημένες σας ιστοσελίδες, αλλά και κάποιες νέες τις οποίες σας πρότεινε κάποιος φίλος.
Σχεδόν σε κάθε νέα επίσκεψη, μηνύματα σε banners και popups “κατακλύζουν” την οθόνη σας:
“Χρησιμοποιούμε cookies για την εύρυθμη λειτουργία της ιστοσελίδας και την καλύτερη εμπειρία σας. Συνεχίζοντας την περιήγηση στην ιστοσελίδα μας, αποδέχεστε τη χρήση cookies”.
Τί είναι όμως όλες αυτές οι ειδοποιήσεις για τα cookies; Είναι απαραίτητες και, αν ναι, ποιος είναι ο σκοπός τους;
Ως γνωστόν, από τις 25 Μαΐου 2018 έχει τεθεί σε ισχύ σε όλη την Ευρωπαϊκή Ένωση ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων, γνωστός ως “ΓΚΠΔ” ή στην αγγλική του απόδοση “GDPR”. Ο Κανονισμός έφερε στο προσκήνιο πολλά ζητήματα που αφορούν στην προστασία δεδομένων.
Εν μέσω ενός συνολικού “πανικού” σε σχέση με τον GDPR που οδήγησε σε μάλλον πρωτόγνωρα φαινόμενα, τα cookies βρέθηκαν στο επίκεντρο: «Είναι νόμιμη η χρήση τους από ιστοσελίδες; Για ποια cookies απαιτείται η συγκατάθεση του χρήστη; Τι πρέπει να αλλάξει για να είναι νόμιμη η συγκατάθεση αυτή;», είναι μόνο ορισμένα από τα ερωτήματα που προέκυψαν.
Παρά το γεγονός ότι ο GDPR αποτέλεσε την αφορμή για να επανέλθει το ζήτημα των cookies στο προσκήνιο, στην πραγματικότητα ο Κανονισμός αναφέρεται στα cookies μόλις μία φορά, στην αιτιολογική σκέψη 30:
Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές (servers), μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.
Τι είναι τα cookies και γιατί έχουν τόσο μεγάλη σημασία
Σε επίπεδο ορισμών, σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τα «cookies» είναι μικρά αρχεία με πληροφορίες που μια ιστοσελίδα αποθηκεύει στον υπολογιστή ενός χρήστη, ώστε κάθε φορά που συνδέεται στην ιστοσελίδα, η τελευταία να ανακτά τις εν λόγω πληροφορίες και να προσφέρει στο χρήστη σχετικές υπηρεσίες.
Το είδος των πληροφοριών που περιλαμβάνουν τα αρχεία αυτά, και το κατά πόσον μπορούν να θεωρηθούν προσωπικά δεδομένα, αποτελεί ένα σημαντικό σημείο προς εξέταση από νομικής πλευράς. Αυτός είναι άλλωστε και ο βασικός λόγος αναφοράς τους στον GDPR.
Σε πρακτικό επίπεδο, τα cookies είναι εξαιρετικά χρήσιμα, καθώς επιτελούν μία σειρά από λειτουργίες, οι οποίες είναι τεχνικά ή/και εμπορικά απαραίτητες για τη βιωσιμότητα μίας ιστοσελίδας ή ενός ηλεκτρονικού καταστήματος. Άλλωστε, το σχετικό νομικό πλαίσιο αναγνωρίζει ότι ορισμένα cookies είναι τόσο αναγκαία για την τεχνική λειτουργία μίας ιστοσελίδας που δεν απαιτείται η συγκατάθεση του χρήστη για την εγκατάστασή τους.
Ωστόσο, οι πιθανές λειτουργίες που μπορούν να παρέχονται μέσω των cookies υπερβαίνουν κατά πολύ τις “αυστηρώς απαραίτητες”, καθώς μπορεί να αφορούν από την προβολή ενός βίντεο και τον διαμοιρασμό ενός άρθρου στα μέσα κοινωνικής δικτύωσης, μέχρι την ανάλυση συμπεριφοράς των χρηστών και την προβολή εξατομικευμένων διαφημίσεων.
Για παράδειγμα, με τη βοήθεια ενός cookie καταγράφονται στοιχεία σχετικά με την επίσκεψή σας, προκειμένου ο ιδιοκτήτης της ιστοσελίδας να γνωρίζει πόσους επισκέπτες είχε σε μία ημέρα, από ποιες σελίδες προήλθαν οι επισκέψεις, από ποια πόλη προέρχονται οι επισκέπτες, πόσοι εξ αυτών χρησιμοποιούν κινητό, πόσοι tablet κ.ο.κ.
Αντίστοιχα, ένα cookie επιτρέπει σε μία ιστοσελίδα να γνωρίζει την τοποθεσία σας, προκειμένου να υπολογίσει το κοντινότερο κατάστημα με βάση τη θέση σας.
Επίσης, με τη βοήθεια ενός cookie καταγράφονται στοιχεία σχετικά με την περιήγησή σας, προκειμένου να προβληθούν εξατομικευμένες διαφημίσεις με βάση τις προτιμήσεις σας (και ναι, μάλλον αυτός είναι ο λόγος που η καφετιέρα που ψάχνατε να αγοράσετε σας εμφανίζεται σε όποια ιστοσελίδα επισκέπτεστε).
Οι νομικές, τεχνικές και εμπορικές πτυχές του προβλήματος
Η χρήση cookies στο Διαδίκτυο αποτελεί ένα πολυδιάστατο ζήτημα, το οποίο έχει νομικές, τεχνικές και εμπορικές πτυχές, οι οποίες είναι αδύνατο να αναλυθούν, ή ακόμα και να αναφερθούν, σε ένα κείμενο που πρέπει να παραμείνει εντός λογικών πλαισίων ως προς την έκτασή του. Θα επιχειρήσουμε ωστόσο μία ιδιαίτερα συνοπτική εκδοχή:
Όπως προαναφέρθηκε, ο GDPR αναφέρεται μόνο μία φορά στα cookies, προκειμένου να επιβεβαιώσει ότι μέσω της χρήσης cookies είναι πολύ πιθανό να λαμβάνει χώρα επεξεργασία δεδομένων προσωπικού χαρακτήρα. Το νομικό πλαίσιο που διέπει τη λειτουργία των cookies δεν είναι καθόλου νέο και εντοπίζεται πρωτίστως στην Οδηγία 2002/58/ΕΚ (γνωστή ως Οδηγία ePrivacy). Αξίζει να σημειωθεί ότι η Οδηγία θα έπρεπε, βάσει σχεδιασμού, να έχει ήδη αντικατασταθεί με Κανονισμό από τον Μάιο του 2018, ωστόσο το κείμενό της βρίσκεται ακόμα υπό διαπραγμάτευση, γεγονός που καταδεικνύει, μεταξύ άλλων, τη σημασία που έχουν τα ζητήματα αυτά για την αγορά.
Αν κανείς επιχειρούσε να ερμηνεύσει το ισχύον πλαίσιο για τη χρήση cookies θα έπρεπε να λάβει υπόψη, πέραν των νομικών, και μία σειρά τεχνικών παραμέτρων, όπως για παράδειγμα αν πρόκειται για cookies που διαβιβάζουν δεδομένα στην ίδια την ιστοσελίδα που επισκέπτεται ο χρήστης ή σε κάποιο τρίτο μέρος, ή, αντίστοιχα, αν τα cookies διαγράφονται μετά το “κλείσιμο” του browser ή συνεχίζουν να στέλνουν πληροφορίες και μετά από αυτό.
Αν, ωστόσο, έπρεπε να αποτυπωθεί το νομικό πλαίσιο σχετικά με τα cookies συνοπτικά και με απλά λόγια, το συμπέρασμα θα ήταν το εξής:
Με την εξαίρεση ορισμένων cookies που θεωρούνται ως “αυστηρώς απαραίτητα”, η εγκατάσταση cookies επιτρέπεται ΜΟΝΟ με τη συγκατάθεση του χρήστη και έπειτα από κατάλληλη ενημέρωσή του.
Αυτός είναι ο βασικός λόγος για τον οποίο, ως χρήστες, συναντάμε τόσες πολλές, “ενοχλητικές” και επαναλαμβανόμενες ειδοποιήσεις για τη χρήση cookies από μία ιστοσελίδα: οι ιδιοκτήτες είναι υποχρεωμένοι - στις περισσότερες περιπτώσεις - να λαμβάνουν τη συγκατάθεση των χρηστών για την εγκατάστασή τους.
Ένα θεμελιώδες ζήτημα που ανακύπτει σε σχέση με τη χρήση cookies, μετά την εφαρμογή του GDPR, αφορά στις αυξημένες απαιτήσεις του Κανονισμού προκειμένου μία συγκατάθεση να θεωρηθεί νόμιμη: για παράδειγμα, ο GDPR προβλέπει ρητώς ότι η σιωπή δεν θα πρέπει να εκλαμβάνεται ως συγκατάθεση. Μπορεί, ως εκ τούτου, η συνέχιση της περιήγησης σε μία ιστοσελίδα να θεωρηθεί ως νόμιμη (σιωπηρή) συγκατάθεση;
Επιπρόσθετα, ο GDPR ορίζει ότι, εφόσον υπάρχουν πολλαπλοί σκοποί επεξεργασίας, η συγκατάθεση πρέπει να παρέχεται ξεχωριστά για καθέναν από αυτούς. Επομένως, ακόμα και αν δοθεί η επιλογή συγκατάθεσης για τη χρήση cookies επιδόσεων και διαφήμισης, μπορεί αυτή να παρέχεται συνολικά;
Τα ερωτήματα αυτά έχουν αυτά τόσο νομικά όσο και τεχνικά χαρακτηριστικά, ενώ, πέρα από κάθε αμφιβολία, έχουν έντονες εμπορικές παραμέτρους.
Για του λόγου το αληθές, η ορθή αποτύπωση των όρων που απαιτούνται για την παροχή νόμιμης συγκατάθεσης για την εγκατάσταση cookies είναι νομικό θέμα, ενώ η λειτουργική αντιστοιχία των επιλογών του χρήστη ή, με απλά λόγια, το αν οι επιλογές του χρήστη θα γίνονται πράγματι σεβαστές από την ιστοσελίδα, είναι τεχνικό ζήτημα. Η δε επιλογή του κατά πόσον μία ιστοσελίδα θα μπει στη διαδικασία να διακινδυνεύσει πολύτιμα δεδομένα για τη λειτουργία της, προκειμένου να συμμορφωθεί με το σχετικό πλαίσιο, έχει σαφή εμπορικά χαρακτηριστικά.
Τα cookies, άλλωστε, αποτελούν ένα γνήσιο τεχνο-νομικό θέμα, η εξέταση του οποίου απαιτεί να ληφθούν υπόψη, πέραν των νομικών προσεγγίσεων και ενδεχόμενων λύσεων, σημαντικές τεχνικές πτυχές. Σε ποιο σημείο είναι δυνατό να γίνει, ή, αντίστοιχα, να μη γίνει η εγκατάσταση cookies; Είναι δυνατό να ελεγχθεί η διαβίβαση δεδομένων προς τρίτα μέρη μέσω cookies, και αν ναι, σε ποιο βαθμό; Πόσο εύκολο είναι να καταργηθεί ένα cookie, εφόσον ανακληθεί η συγκατάθεση του χρήστη;
Οι απαντήσεις στα ερωτήματα αυτά επηρεάζουν σαφώς το κατά πόσον μία ιστοσελίδα, πέραν της νομικής επιμέλειας, λειτουργεί σε συμμόρφωση με το νομικό πλαίσιο για την εγκατάσταση cookies.
Απαντήσεις οι οποίες κάθε άλλο παρά εύκολες είναι, ιδίως αν λάβει κανείς υπόψη τις ενδεχόμενες εμπορικές συνέπειες για μία ιστοσελίδα από την απώλεια λειτουργιών τις οποίες επιτελούν τα cookies.
Συνέπειες οι οποίες είναι κρίσιμες όχι μόνο για τη λειτουργία των επιμέρους ιστοσελίδων, αλλά και για το Διαδίκτυο συνολικά, τουλάχιστον όπως το γνωρίζουμε.
Όσο εύκολοι είναι οι αφορισμοί σε σχέση με την τεράστιας κλίμακας επεξεργασία προσωπικών δεδομένων από τις επιχειρήσεις που παρέχουν online υπηρεσίες, όπως για παράδειγμα εξατομικευμένη διαφήμιση, τόσο δύσκολο είναι να βρεθεί βιώσιμη λύση για να παραμείνει το διαδίκτυο ένα ανοιχτό οικοσύστημα με επαρκείς πόρους για να διατηρηθεί - στο βαθμό του εφικτού - αυτάρκες και ανεξάρτητο.
Ομολογουμένως, το θέμα των cookies βρίσκεται στον πυρήνα της online διαφήμισης και των επιχειρηματικών μοντέλων του διαδικτύου, με τις νομικές και τεχνικές πτυχές του να προκαλούν έντονο προβληματισμό στα εμπλεκόμενα μέρη.
Στο δεύτερο μέρος του άρθρου θα επικεντρωθούμε στις λύσεις που υπάρχουν για τη συμμόρφωση με το πλαίσιο για τα cookies, ενώ θα εξηγήσουμε το δρόμο που επιλέξαμε να ακολουθήσουμε με το Lawspot, τα πλεονεκτήματα αλλά και τις συνέπειες της επιλογής αυτής.
Σε μία προσπάθεια να ολοκληρωθεί το πρώτο μέρος με έναν πιο παραγωγικό τρόπο, παραθέτω ορισμένα βασικά συμπεράσματα, τα οποία είναι - κατά την άποψή μου - απαραίτητο να γνωρίζουμε σχετικά με το ζήτημα των cookies:
10 σημαντικά πράγματα που πρέπει να γνωρίζετε για τα cookies
- Η συγκατάθεση για την εγκατάσταση cookies πρέπει να παρέχεται ελεύθερα, δηλαδή να δίνεται επιλογή για την απόρριψη ορισμένων από αυτά. Αν σε ένα ερώτημα η απάντηση είναι ναι ή … ναι, τότε μάλλον δεν υπάρχει πραγματική επιλογή ούτε και ουσιαστικό ερώτημα.
- Τα cookies για τη μέτρηση της επισκεψιμότητας σε μία ιστοσελίδα δεν μπορούν να θεωρηθούν ως αυστηρώς απαραίτητα. Το ίδιο (και σε μεγαλύτερο βαθμό) ισχύει για τα cookies διαφήμισης. Ο όρος “αυστηρώς απαραίτητα” ερμηνεύεται στενά και δεν αφορά στην οικονομική βιωσιμότητα μίας ιστοσελίδας, αλλά την τεχνική της λειτουργία.
- Η δυνατότητα παραμετροποίησης των cookies μέσω του browser δεν αποτελεί πάντοτε έγκυρο τρόπο εναντίωσης στην εγκατάσταση cookies.
- Δεδομένου ότι μία ιστοσελίδα στηρίζεται σε μεγάλο βαθμό στις διαφημίσεις, υπάρχει το ερώτημα αν μπορεί να ζητήσει συνδρομή για την επίσκεψη, εναλλακτικά προς την αποδοχή των cookies. Οι γνώμες διίστανται σε ευρωπαϊκό επίπεδο, ωστόσο δεν αποκλείεται να υπάρχει τέτοια δυνατότητα.
- Τα cookies πρώτου μέρους για τη μέτρηση επισκεψιμότητας δεν αποκλείονται από την υποχρέωση συγκατάθεσης, ανεξαρτήτως αν θεωρούνται πιο φιλικά στην ιδιωτικότητα.
- Πολλές ιστοσελίδες χρησιμοποιούν τεχνολογίες όπως τα cookies που ανήκουν σε τρίτα μέρη (για παράδειγμα μέσω plugins (πρόσθετων) για διαμοιρασμό περιεχομένου σε μέσα κοινωνικής δικτύωσης ή για την προβολή διαφημίσεων). Αυτό δεν απαλλάσσει τον ιδιοκτήτη της ιστοσελίδας από την ευθύνη για συμμόρφωση με τον GDPR. Όχι μόνο παραμένει υπεύθυνος επεξεργασίας, αλλά θα πρέπει να διασφαλίσει ότι το τρίτο μέρος επεξεργάζεται τα δεδομένα με ενδεδειγμένο τρόπο.
- Η νομιμότητα της χρήσης cookie wall, δηλαδή της εμπόδισης με τεχνικά μέσα της περιήγησης ενός επισκέπτη, έως ότου αποδεχθεί την εγκατάσταση cookies, αμφισβητείται έντονα και πρέπει να κρίνεται με βάση διάφορες παραμέτρους.
- Όσα αναφέρονται δεν αφορούν μόνο στα cookies, αλλά, επί της αρχής, και σε “παρόμοιες τεχνολογίες”, όπως web beacons, tracking pixels, κ.ο.κ.
- Αρκετά από τα ζητήματα που θίξαμε εξετάζονται ήδη από το Δικαστήριο της Ευρωπαϊκής Ένωσης στο πλαίσιο σχετικής υπόθεσης. Ελπίζουμε η καθοδήγηση που θα παράσχει το Δικαστήριο να συμβάλλει στην ασφαλέστερη ερμηνεία των κανόνων.
- Ο Κανονισμός ePrivacy θα πρέπει - θεωρητικά - να οριστικοποιηθεί έως το καλοκαίρι. Έπειτα από δεκάδες τροποποιήσεις είναι πλέον αρκετά δύσκολο να προβλέψει κανείς ποια μορφή θα έχει το τελικό κείμενο. Ενδεχομένως θα αναφερθούμε σε πιθανά σενάρια σε μελλοντικό άρθρο.