logo-print

HTTPS, cookies και προστασία δεδομένων σε ιστοσελίδες: Η έλλειψη βασικών στοιχείων συμμόρφωσης μπορεί να οδηγήσει σε πρόστιμο

Πρόσφατη απόφαση της Αρχής Προστασίας Δεδομένων της Ισπανίας

Με πρόσφατη απόφασή της η ισπανική αρχή προστασίας δεδομένων (Agencia Española de Protección de Datos - AEPD) επέβαλε πρόστιμο σε ιστοσελίδα για τις πρακτικές της σχετικά με τη χρήση cookies αλλά και την έλλειψη μέτρων ασφαλείας σε σχέση με τη σύνδεση των χρηστών.

Τα κύρια σημεία της απόφασης, η οποία εκδόθηκε έπειτα από καταγγελία, εμφανίζουν σημαντικό ενδιαφέρον και για ελληνικές ιστοσελίδες, στις οποίες παρατηρούνται παρόμοια φαινόμενα με αυτά τα οποία θεμελίωσαν τις παραβιάσεις στη συγκεκριμένη υπόθεση.

Συγκεκριμένα, τα ζητήματα συμμόρφωσης της ιστοσελίδας με το πλαίσιο για την προστασία προσωπικών δεδομένων ήταν τρία:

1. Σε σχέση με την πολιτική ασφαλείας, η ιστοσελίδα, μέσω της οποίας ήταν δυνατή η καταχώριση στοιχείων για online επικοινωνία, συνέλεγε προσωπικά δεδομένα χρηστών όπως το ονοματεπώνυμο και ο αριθμός ταυτότητας, βασιζόμενη σε πρωτόκολλο «http» (και όχι https), αποτυγχάνοντας έτσι να διασφαλίσει ένα ελάχιστο επίπεδο ασφάλειας για τους χρήστες.

Σύμφωνα με την Αρχή, η διαβίβαση δεδομένων με πρωτόκολλο ασφαλείας http καθιστούσε εφικτή την υποκλοπή των πληροφοριών που μεταφέρονταν από τον τερματικό εξοπλισμό του χρήστη στο διακομιστή (server) της ιστοσελίδας, καθώς οι πληροφορίες αυτές δεν διαβιβάζονταν με ασφαλή (κρυπτογραφημένο) τρόπο.

2. Σε σχέση με την πολιτική προστασίας προσωπικών δεδομένων, η οποία ήταν διαθέσιμη μέσω της ιστοσελίδας, η Αρχή έκρινε ότι τα στοιχεία που παρείχε ήταν ελλιπή σε σχέση με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ). Στην ιστοσελίδα γινόταν αναφορά στην προϊσχύουσα νομοθεσία περί προσωπικών δεδομένων. Αξίζει να σημειωθεί ότι σε αρκετές περιπτώσεις και ελληνικές ιστοσελίδες αναφέρονται στις πολιτικές τους στην προϊσχύουσα νομοθεσία, δηλαδή το Νόμο 2472/1997.

3. Σε σχέση με τη χρήση cookies, η απόφαση αναφέρει ότι η ιστοσελίδα δεν παρουσιάζε στους χρήστες ένα πρώτο επίπεδο πληροφοριών μέσω banner σχετικά με τα cookies. Επιπλέον, η Αρχή σημείωσε ότι στη «νομική ειδοποίηση» (legal notice) της ιστοσελίδας υπήρχαν μόνο γενικές πληροφορίες σχετικά με τα cookies, χωρίς να παρέχονται στοιχεία για τα μέρη που τα εγκαθιστούν και την περίοδο διατήρησής τους. Τέλος, στην απόφαση αναφέρεται ότι δεν υπήρχε η δυνατότητα απόρριψης όλων των cookies.

Ως αποτέλεσμα των παραπάνω, η ισπανική Αρχή διαπίστωσε παραβίαση των άρθρων 13 και 32 του ΓΚΠΔ, καθώς και της εθνικής νομοθεσίας σχετικά με τις υπηρεσίες της κοινωνίας της πληροφορίας και το ηλεκτρονικό εμπόριο.

Στο πλαίσιο αυτό επέβαλε πρόστιμο ύψους 3.000 ευρώ στην εταιρεία - ιδιοκτήτρια της ιστοσελίδας, θέτοντας παράλληλα προθεσμία για την τροποποίηση της πολιτικής ασφαλείας και την εγκατάσταση ασφαλών πρωτοκόλλων επικοινωνίας, καθώς και την προσαρμογή της ιστοσελίδας στις απαιτήσεις του ΓΚΠΔ, συμπεριλαμβανομένης της παροχής των πληροφοριών που απαιτούνται με βάση το άρθρο 13.

Σύντομο σχόλιο

Η απόφαση παρουσιάζει ενδιαφέρον για τις ελληνικές ιστοσελίδες, ειδικά εν μέσω της πανδημίας Covid-19 και των περιοριστικών μέτρων, τα οποία συντελούν στην αυξημένη χρήση του Διαδικτύου για την αγορά προϊόντων και υπηρεσιών.

Σε ό,τι αφορά την ασφάλεια, θα πρέπει να σημειώσουμε πως τη στιγμή που ολοένα και περισσότερες επιχειρήσεις στρέφονται στο ηλεκτρονικό επιχειρείν, είναι κομβικής σημασίας η ανάπτυξη των σχετικών εργαλείων να γίνεται με τήρηση των κανόνων προστασίας δεδομένων ήδη από το σχεδιασμό (data protection by design). Η ασφάλεια των δεδομένων είναι βεβαίως μια διαρκής και συνεχιζόμενη πρόκληση, όμως οι σωστές βάσεις διασφαλίζουν σε σημαντικό βαθμό την αποφυγή "εύκολων" λαθών.

Σε ότι αφορά τα cookies, οι περισσότερες εποπτικές αρχές προστασίας δεδομένων, μεταξύ των οποίων και η ελληνική, είχαν ανακοινώσει ότι η online διαφήμιση και η χρήση ιχνηλατών (trackers) θα βρίσκονταν στο επίκεντρο της προσοχής τους το 2020.

Οι αιφνιδιαστικές εξελίξεις με την πανδημία και άλλα κρίσιμα ζητήματα, όπως οι διεθνείς διαβιβάσεις δεδομένων, είχαν ως αποτέλεσμα το θέμα των cookies να μη λάβει τη δέουσα προσοχή, παρά το γεγονός ότι η αυξημένη χρήση του Διαδικτύου το καθιστά μάλλον πιο επίκαιρο από ποτέ.

Σε κάθε περίπτωση, οι ιδιοκτήτες ιστοσελίδων δεν θα πρέπει να ξεχνούν ότι οι έλεγχοι για τα ζητήματα αυτά μπορούν να πραγματοποιηθούν πολύ πιο εύκολα και αθόρυβα σε σχέση με άλλα ζητήματα που αφορούν πτυχές εσωτερικής λειτουργίας.

Η απόφαση είναι διαθέσιμη στην ισπανική γλώσσα εδώ.

Βασίλης Καρκατζούνης

Δικηγόρος Αθηνών με ειδίκευση σε ζητήματα Δικαίου Διαδικτύου και Νέων Τεχνολογιών.

Έχει συνεργαστεί με ευρύτατο φάσμα επιχειρήσεων που παρέχουν υπηρεσίες και προϊόντα online, παρέχοντας ολοκληρωμένες συμβουλευτικές υπηρεσίες, σε τομείς...

send