logo-print

Cookies: Πρόστιμο 25.000 ευρώ σε ιστοσελίδα για παραβίαση των υποχρεώσεων ενημέρωσης και συγκατάθεσης

Το γαλλικό Συμβούλιο της Επικρατείας επικύρωσε την ποινή - Τι αναφέρεται για τα third party cookies και τις υποχρεώσεις των ιστοσελίδων

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Το Συμβούλιο της Επικρατείας της Γαλλίας (Conseil d'État)  επικύρωσε με απόφασή του το πρόστιμο 25.000 ευρώ που είχε επιβάλει η γαλλική Αρχή Προστασίας Προσωπικών Δεδομένων (CNIL)  σε ιστοσελίδα για μη συμμόρφωση με τις νομικές υποχρεώσεις σχετικά με την εγκατάσταση cookies.

Με απόφασή της (στις 18 Μαΐου 2017, δηλαδή σε προ GDPR εποχή), η CNIL είχε επιβάλλει χρηματικό πρόστιμο ύψους 25.000 ευρώ σε βάρος του ιδιοκτήτη της ιστοσελίδας «Challenges.fr» με την αιτιολογία ότι δε συμμορφώθηκε με την υποχρέωσή του να ενημερώνει τους επισκέπτες για την εγκατάσταση cookies, καθώς και  για τη μη παροχή δικαιώματος εναντίωσης, παρόλο που είχε κληθεί προηγουμένως να συμμορφωθεί σχετικά.

Στις 27 Νοεμβρίου 2014, η CNIL είχε πραγματοποιήσει επιτόπιο έλεγχο στα γραφεία της εταιρείας «Editions Croque Futur», εκδότριας της ιστοσελίδας «Challenges.fr».

Κατόπιν πληθώρας παραβάσεων που εντοπίσθηκαν στην πολιτική cookies της ιστοσελίδας, η CNIL κάλεσε την εταιρεία να συμμορφωθεί με τη γαλλική νομοθεσία εντός προθεσμίας τριών μηνών.

Έπειτα από τη συμμόρφωση αλλά και την έλλειψη συνεργασίας εκ μέρους της Εταιρείας, η CNIL προχώρησε στην επιβολή προστίμου, επισημαίνοντας ότι η Editions Croque Futur παραβίαζε τις υποχρεώσεις της αναφορικά με την ενημέρωση και την εφαρμογή μηχανισμού εναντίωσης στην εγκατάσταση cookies στις συσκευές των χρηστών.

Ενημέρωση και συγκατάθεση χρηστών για την εγκατάσταση cookies

Η γαλλική νομοθεσία (βλέπε και άρθρο 4 παρ. 5 ελληνικού Νόμου 3471/2006) επιβάλλει την ενημέρωση των χρηστών σχετικά με τους σκοπούς της εγκατάστασης των cookies και με τα μέσα εναντίωσης στην εγκατάσταση αυτή.

Προβλέπει επίσης ότι η συγκατάθεση συλλέγεται πριν την εγκατάσταση αυτού του αρχείου, εκτός και εάν η εγκατάσταση των cookies είναι απαραίτητη για την ορθή λειτουργία της ιστοσελίδας ή εάν ανταποκρίνεται στην παροχή υπηρεσίας που έχει ρητώς ζητήσει ο χρήστης.

Αντίθετα, ο ισχυρισμός πως «ορισμένα cookies, έχοντας σκοπό διαφημιστικό, είναι απαραίτητα για την οικονομική ευρωστία μίας ιστοσελίδας, δε θα πρέπει να συμβάλλει στο να θεωρούνται ως αυστηρώς απαραίτητα για την παροχή της υπηρεσίας ηλεκτρονικής επικοινωνίας», διευκρινίζει το Συμβούλιο της Επικρατείας.

Διαβάστε επίσης: Προστασία προσωπικών δεδομένων εργαζομένων και GDPR

Στην περίπτωση της «Challenges.fr», το Συμβούλιο της Επικρατείας θεωρεί πως η ιστοσελίδα δεν επέτρεπε στους χρήστες να ξεχωρίσουν με σαφήνεια τις κατηγορίες των cookies, ούτε να εναντιωθούν στην εγκατάστασή τους, αλλά ούτε να γνωρίζουν τις συνέπειες της τυχόν εναντίωσης τους σε σχέση με την πλοήγηση στην ιστοσελίδα.

Κατέληξε, λοιπόν, ότι δικαίως η CNIL θεώρησε ότι η παραμετροποίηση των cookies μέσω browser (φυλλομετρητή) η οποία προτεινόταν στους χρήστες της ιστοσελίδας, δεν αποτελούσε εν προκειμένω έγκυρο τρόπο εναντίωσης στην εγκατάσταση cookies.

Η CNIL υποστήριξε επίσης ότι η ιστοσελίδα δεν είχε ούτε προσδιορίσει αλλά ούτε και τηρήσει τη διάρκεια διατήρησης των δεδομένων, μη σεβόμενη την αρχή της αναλογικότητας αναφορικά με τον σκοπό επεξεργασίας.

Εξάλλου, η CNIL διαπίστωσε ότι η εταιρεία δεν συμμορφώθηκε με την υποχρέωσή της να μην τηρεί τα cookies για διάστημα μεγαλύτερο των δεκατριών μηνών, παρά τη σχετική όχληση που έλαβε.

Πρακτικά, δεν αποδεικνύεται από πουθενά ότι η εταιρεία, η οποία θεωρείται ως υπεύθυνη επεξεργασίας δεδομένων μέσω των cookies, προέβη σε οποιεσδήποτε ενέργειες προς τους συνεργάτες της προκειμένου αυτοί να συμμορφωθούν με την εν λόγω περίοδο διατήρησης των cookies.

Όπως αναφέρεται στην απόφαση, εξ ορισμού τα cookies τρίτου μέρους (third party cookies) ελέγχονται από τρίτα μέρη, πράγμα που σημαίνει ότι τα μέρη αυτά παραμένουν «υπεύθυνοι επεξεργασίας» για τα δεδομένα που συλλέγονται.

Ωστόσο, η CNIL θεωρεί ότι ο εκδότης ιστοσελίδας που επιτρέπει σε τρίτους να τοποθετούν cookies στον ιστότοπό του πρέπει επίσης να θεωρείται ως "υπεύθυνος επεξεργασίας" όσον αφορά τα cookies αυτά.

Επομένως, σύμφωνα με την CNIL και το γαλλικό Συμβούλιο της Επικρατείας, ακόμη και αν ο εκδότης δεν υπόκειται σε όλες τις παραδοσιακές υποχρεώσεις που επιβάλλονται στους υπεύθυνους επεξεργασίας δεδομένων (καθώς ο πραγματικός έλεγχος των cookies θα ανήκει σε τρίτους), εξακολουθεί να οφείλει να διασφαλίζει ότι τα τρίτα μέρη δεν χρησιμοποιούν cookies που να παραβιάζουν τις προϋποθέσεις που τίθενται από γαλλικό νομικό πλαίσιο.

Δείτε αναλυτικά την απόφαση του γαλλικού Συμβουλίου της Επικρατείας εδώ.

Η πιο έγκυρη ενημέρωση για ζητήματα προσωπικών δεδομένων στο Lawspot.gr/GDPR

Πολιτειολογία
Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ