Cookies: Ιδιαίτερα χαμηλά επίπεδα συμμόρφωσης και κίνδυνος επιβολής προστίμων σε ιστοσελίδες
Εκτενής έρευνα της βαυαρικής αρχής προστασίας δεδομένων - Καμία ιστοσελίδα δε συμμορφώνεται πλήρως με τους σχετικούς κανόνες
Την πρόθεσή της να επιβάλλει πρόστιμα σε εταιρείες βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) αναφορικά με τις πρακτικές τους για τη χρήση cookies στις ιστοσελίδες ανακοίνωσε η Αρχή Προστασίας Δεδομένων του γερμανικού κρατιδίου της Βαυαρίας.
Η κίνηση της Βαυαρικής Αρχής ενδέχεται να ερμηνευθεί ως προειδοποίηση πως τα cookies, η παρακολούθηση χρηστών και η διαφήμιση στο διαδίκτυο δεν αποτελούν ζήτημα που αφορά μόνο τις μεγάλες εταιρείες τεχνολογίας (βλέπε και το πρόσφατο πρόστιμο 50 εκατ. ευρώ στη Google), αλλά ένα ζήτημα προτεραιότητας για τις επιχειρήσεις, καθώς ενδέχεται να ενέχει σημαντικό κίνδυνο επιβολής προστίμων με βάση τον GDPR.
Υπενθυμίζεται ότι πριν λίγες ημέρες και η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προχώρησε σε ελέγχους για τη συμμόρφωση υπευθύνων επεξεργασίας που παρέχουν διαδικτυακές υπηρεσίες με τον GDPR, αλλά και την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.
Τα συμπεράσματα ήταν γενικώς ενθαρρυντικά σε αρκετά σημεία, όχι όμως για τα cookies, όπου παρατηρήθηκαν σημαντικές ελλείψεις.
Το ιστορικό των ελέγχων της Βαυαρικής Αρχής
Όπως ανακοίνωσε η βαυαρική Αρχή οι έλεγχοι για τις πρακτικές αναφορικά με τη χρήση cookies και την παρακολούθηση των χρηστών αφορούσαν 40 ιστοσελίδες μεγάλων εταιρειών.
Να σημειωθεί ότι, όπως και στην έρευνα της ελληνικής Αρχής, τα ονόματα των ιστοσελίδων δεν έγιναν γνωστά, άναφέρθηκαν όμως οι τομείς στους οποίου ανήκουν βιομηχανίες στις οποίες δραστηριοποιούνταν οι επιχειρήσεις.
Η έρευνα της βαυαρικής Αρχής έχει μία βαρύνουσα σημασία, δεδομένου ότι η εν λόγ περιοχή αποτελεί μία από τις ηγετικές περιοχές στην οικονομία της Γερμανίας με έναν ισχυρό επιχειρηματικό και τεχνολογικό τομέα.
Η Αρχή φέρεται να έδωσε βαρύτητα στη διαχείριση των cookies από τις ιστοσελίδες που αλληλεπιδρούν με τον καταναλωτή/χρήστη και όχι στο πως τα δεδομένα αυτά αξιοποιούνται στη συνέχεια από την ίδια την ιστοσελίδα ή τους συνεργάτες στον τομέα του μάρκετινγκ.
Οι ιστοσελίδες που έλεγξε η Αρχή ανήκαν, μεταξύ άλλων, σε εταιρείες που εντάσσονται στους τομείς του ηλεκτρονικού εμπορίου, αθλητισμού, τράπεζες και ασφαλιστικές, μέσα μαζικής ενημέρωσης, αυτοκινήτων και ηλεκτρονικών ειδών.
Καμία ιστοσελίδα δεν εφαρμόζει νόμιμες πρακτικές για τα cookies - Περίληψη των ευρημάτων της βαυαρικής Αρχής
Μετά την ολοκλήρωση της έρευνάς της, η βαυαρική Αρχή ανακοίνωσε ότι καμία (!) από τις 40 εταιρείες που ελέγξε δεν ακολουθούσε πρακτικές για τα cookies και την παρακολούθηση των χρηστών στις ιστοσελίδες τους που να είναι συμβατές με τον GDPR.
Ως εκ τούτου, η Βαυαρική Αρχή ανακοίνωσε ότι εξετάζει την επιβολή προστίμων με βάση τον Κανονισμό.
Τα βασικά συμπεράσματα:
- Και οι 40 ιστοσελίδες είχαν ενσωματωμένα cookies ή άλλα "εργαλεία εντοπισμού". Ενώ η Βαυαρική Αρχή αφήνει σε μεγάλο βαθμό αόριστο τον όρο "εργαλεία εντοπισμού", στην ουσία αναφέρεται σε εργαλεί που παρέχονται από τρίτους και έχουν ως αποτέλεσμα την αποστολή δεδομένων προς αυτούς , όπως pixels, beacons ή παρόμοια εργαλεία.
- Οι ιστότοποι δεν διέθεταν την απαιτούμενη διαφάνεια σε σχέση με την παροχή συγκατάθεσης για τα cookies "εν πλήρει επιγνώσει", με 30 από τις 40 ιστοσελίδες που ελέγχθηκαν να μην παρέχουν επαρκείς πληροφορίες σχετικά με τη χρήση τενολογιών παρακολούθησης.
- Δεν συλλέγεται "προηγούμενη" συγκατάθεση από τους χρήστες. Η Βαυαρή Αρχή ανέφερε ότι για τις περισσότερες από τις 40 ιστοσελίδες τα δεδομένα από τα cookies αποστέλλονταν αυτόματα σε τρίατα μέρη αμέσως μόλις ο χρήστης επισκεπτόταν την ιστοσελίδα. Έτσι, όπως επισημαίνει η Αρχή, "ο εντοπισμός γίνεται πριν ο χρήστης μπορεί να αποφασίσει εάν θα επιτρέψει τέτοια επεξεργασία".
- Η συγκατάθεση δεν αποκτήθηκε με επαρκώς "σαφή θετική ενέργεια". Η Βαυαρική Αρχή ανέφερε ότι οι περισσότεροι από τις 40 ιστοσελίδες χρησιμοποιούσαν διαφημιστικά banners για να ενημερώνουν τους χρήστες σχετικά με τη χρήση των cookies, τα οποία όμως δεν είχαν ως αποτέλεσμα την συλλογή συγκατάθεσης με τον ορθό τρόπο. Αν και δεν είναι σαφές το ακριβές κριτήριο που θέτει η Αρχή εν προκειμένω, το σημείο αυτό εγείρει ζητήματα αναφορικά με την έννοια της "σιωπηρής" (implied) συγκατάθεσης σε σχέση με τα cookies.
Το πιο ενδιαφέρον συμπέρασμα από τη δράση της Βαυαρικής Αρχής είναι ότι η συμμόρφωση με τα cookies φαίνεται να αποτελεί ένα ιδιαίτερα επίκαιρο θέμα για τις ρυθμιστικές αλλά και εποπτικές αρχές στην Ευρωπαϊκής Ένωσης, καθώς και ένα ζήτημα που μπορεί να συνεπάγεται πρόστιμα για αρκετές εταιρείες.
Η συμμόρφωση με το cookie μπορεί να ελεγχθεί ανά πάσα στιγμή σε λιγότερο από 10 λεπτά και οι εταιρείες που δεν έχουν συμμορφωθεί με το ισχύον πλαίσιο εκτίθενται σε σημαντικό κίνδυνο.