Cookies: Μύθοι και πραγματικότητα – Ένα σταυρόλεξο για δυνατούς λύτες

0

Τα Cookies είναι σίγουρα ένα πολύ χρήσιμο εργαλείο για κάθε eShop. Από νομικής, όμως, σκοπιάς τα cookies σε όλη την Ε.Ε. θεωρούνται ως ένα μέσο που ενδέχεται να δημιουργήσει νομικό ρίσκο για τα προσωπικά δεδομένα των χρηστών, αν δεν τηρηθούν ορισμένες νόμιμες διαδικασίες και προϋποθέσεις. Στο πλαίσιο αυτό η Ε.Ε. με Οδηγία του 2009 (Οδηγίας 2009/136 ΕΚ – άρθρο 5 παρ.3) υιοθέτησε τη βασική αρχή ότι δεν επιτρέπεται στα cookies να εγκατασταθούν στον browser ή να αποθηκεύσουν πληροφορίες αν ο χρήστης δεν έχει δώσει προηγουμένως την συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες που του παρέχει ο Controller (Αρχή of Informed Consent).

τα cookies που είναι απολύτως τεχνικά αναγκαία για τη διαβίβαση μιας επικοινωνίας μέσω του Internet ή για την παροχή της πληροφορίας
Καταρχήν ο ίδιος ο νόμος προβλέπει μια εξαίρεση από την προηγούμενη συγκατάθεση: τα cookies που είναι απολύτως τεχνικά αναγκαία για τη διαβίβαση μιας επικοινωνίας μέσω του Internet ή για την παροχή της πληροφορίας. Επίσης, έχει εκδοθεί και σχετική Οδηγία (4/2012) από το WP29 (που είναι συμβουλευτικός μηχανισμός της Ε.Ε. για θέματα προσωπικών δεδομένων) και για άλλες ειδικές κατηγορίες cookies που μπορούν υπό προϋποθέσεις να εξαιρεθούν και αυτά από την υποχρέωση της συγκατάθεσης. Για το θέμα αυτό, όμως, δεν υφίσταται μια απάντηση fit for all για κάθε eShop. Έτσι, θα πρέπει κάθε εταιρεία να κάνει μια στρατηγική μελέτη/ανάλυση που θα συνδυάζει νομικά στοιχεία και τεχνικά χαρακτηριστικά ώστε να γνωρίζει ποια από τα cookies που χρησιμοποιεί εξαιρούνται, ποια θα πρέπει να έχουν την προηγούμενη συγκατάθεση του χρήστη και ποια personalized πολιτική θα πρέπει να εφαρμόσει η ίδια.

Η Αρχή του «Informed Consent»

Όσον αφορά στην αρχή «of informed consent» σε γενικές γραμμές ισχύουν τα ακόλουθα:

1) Για το θέμα της προηγούμενης ενημέρωσης του χρήστη έχει καταστεί κοινός τόπος σε όλες τις χώρες της ΕΕ ότι η ενημέρωση του χρήστη με την προβολή ενός banner στο site κατά την είσοδό του είναι αποδεκτός νομικά τρόπος ενημέρωσης. Στο banner αυτό θα πρέπει να αναφέρεται η ύπαρξη των cookies και θα πρέπει να περιλαμβάνει ένα link που θα οδηγεί σε μια σελίδα, η οποία θα περιέχει πλήρη καταγραφή των συγκεκριμένων cookies που χρησιμοποιούνται κατόπιν της στρατηγικής μελέτης που θα έχει ήδη διεξάγει κατά τα ανωτέρω. Επιπροσθέτως, θα πρέπει να παρέχεται η δυνατότητα στον χρήστη να διαχειρίζεται τις διάφορες κατηγορίες cookies όπως ο ίδιος επιθυμεί (άρα να επιτρέπει την εγκατάσταση κάποιων εξ αυτών και να απενεργοποιεί ή να απαγορεύει την εγκατάσταση άλλων).

Σε κάθε περίπτωση είναι καθολική και ισχύει παντού η απαγόρευση ρυθμίσεων που επιτρέπουν by default την εγκατάσταση των cookies ή που έχουν προεπιλέξει για τον χρήστη την εφαρμογή των cookies (ακόμη και αν του δίνουν την δυνατότητα στην συνέχεια να κάνει opt-out).

2) Σύγχυση, όμως και μεγάλη διαφοροποίηση (από πρακτικής άποψης), υπάρχει για το ζήτημα του νόμιμου τρόπου λήψης της συγκατάθεσης του χρήστη από τον Υπεύθυνο Επεξεργασίας (δηλ. το eShop).

Ουσιαστικά οι τρόποι παροχής της συγκατάθεσης διαχωρίζονται σε δύο βασικές κατηγορίες (που σε ορισμένες περιπτώσεις έχουν και υποκατηγορίες):

α) Implied consent ή soft opt-in: Ο χρήστης ενημερώνεται με banner για την ύπαρξη των cookies. Αν συνεχίζει να περιηγείται στο site τότε θεωρείται ότι έχει δώσει με τον τρόπο αυτό την «υπονοούμενη -implied» συγκατάθεσή του για την εγκατάσταση των cookies προς το eShop και

β) Explicit consent: Ο χρήστης πρέπει να προβεί σε ειδική αποδοχή της τοποθέτησης των cookies κάνοντας μια συγκεκριμένη ενέργεια όπως π.χ. πατώντας το κουμπί “Αποδέχομαι” που εμφανίζεται πάνω στο σχετικό banner. Στην περίπτωση του explicit consent, αν δεν υπάρξει η ως άνω ενέργεια αποδοχής τότε κανονικά το eShop θα πρέπει είτε i) να μην δίνει δυνατότητα στον χρήστη να συνεχίσει την πλοήγησή του στο site είτε ii) να τον αφήσει να περιηγηθεί αλλά να μην ενεργοποιήσει κανένα από τα cookies που απαιτούν συγκατάθεση, αν ο χρήστης δεν προβεί (και μέχρι να προβεί) στη συγκεκριμένη ενέργεια αποδοχής.

Η προσέγγιση του explicit consent στην Ελλάδα

Στην Ελλάδα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εμφανίζεται να υιοθετεί την προσέγγιση του explicit consent θεωρώντας την πιο νομικά ασφαλή για την προστασία των χρηστών. Ως βάση αυτού αποτελεί ο νόμος 3471/2006 που αναφέρει στους γενικούς κανόνες επεξεργασίας (άρθρο 5, παρ. 3) ότι: «Όπου ο παρών νόµος απαιτεί τη συγκατάθεση του συνδροµητή ή χρήστη, η σχετική δήλωση δίδεται εγγράφως ή µε ηλεκτρονικά µέσα. Στην τελευταία περίπτωση, ο υπεύθυνος επεξεργασίας εξασφαλίζει ότι ο συνδροµητής ή χρήστης ενεργεί µε πλήρη επίγνωση των συνεπειών που έχει η δήλωσή του, η οποία καταγράφεται µε ασφαλή τρόπο, είναι ανά πάσα στιγµή προσβάσιµη στον χρήστη ή συνδροµητή και µπορεί οποτεδήποτε να ανακληθεί.»

Νομικά επιχειρήματα για την αρχή του implicit ή soft opt-in consent (προσωπική άποψη της αρθρογράφου)

Εντούτοις, κρίνεται ότι ειδικά για τα cookies θα πρέπει να ληφθούν υπόψη και να διερευνηθούν τα εξής (στο πλαίσιο συζήτησης με την αρμόδιες Αρχές για την θεμελίωση του τρόπου λήψης συγκατάθεσης στην Ελλάδα):

Το WP29 έχει δεχτεί στο Working Document 2/2013 (που έχει εκδοθεί ειδικά για την συγκατάθεση στα cookies) ότι αρκεί μια θετική ένδειξη (active indication) της επιθυμίας του χρήστη για να θεωρηθεί η συγκατάθεση ως έγκυρη. Ως μίνιμουμ εκδήλωση μιας τέτοιας ένδειξης αναφέρεται στο ίδιο έγγραφο ότι μπορεί να αποτελέσει κάθε είδους σημείο/σημάδι (signal) που θα είναι αρκετά ξεκάθαρο ώστε να καταδεικνύει τις επιθυμίες του χρήστη και να γίνεται αντιληπτό από τον Υπεύθυνο Επεξεργασίας. Εν συνεχεία, αναφέρει το έγγραφο αυτό ότι ως θετική συμπεριφορά μπορεί να θεωρηθεί είτε το κλικάρισμα (clicking) ενός κουμπιού ή ενός κουτιού κοντά στο σημείο που παρέχονται οι πληροφορίες ή κάθε άλλη θετική συμπεριφορά από την οποία ένας website operator μπορεί να συνάγει με ασφάλεια ότι η ενέργεια αυτή σημαίνει την ειδική και ενημερωμένη συγκατάθεσή του. Οι αποφάσεις του WP29 είναι συμβουλευτικού και όχι δεσμευτικού χαρακτήρα. Οι ανωτέρω θέσεις όμως του WP 29 έχουν αφήσει ανοιχτό το ζήτημα ερμηνείας του πως λαμβάνεται η συγκατάθεση αυτή και για αυτό βλέπουμε αποκλίσεις από χώρα σε χώρα.

το κλικάρισμα ενός κουμπιού είναι de facto ο πιο ασφαλής τρόπος για να συμπεράνει κανείς ότι ο χρήστης έδωσε την συγκατάθεσή του
Κρίνουμε, λοιπόν ότι η αναφορά στο έγγραφο αυτό στην περίπτωση του πατήματος ενός κουμπιού ή ενός κουτιού είναι ενδεικτική ως παράδειγμα θετικής συμπεριφοράς, η οποία μάλιστα εξισώνεται με οποιαδήποτε άλλη θετική συμπεριφορά που μπορεί να οδηγήσει με ασφάλεια στο συμπέρασμα ότι ο χρήστης παρέχει συγκατάθεση. Άλλωστε και στο άρθρο 4 παρ. 8 της πρότασης Κανονισμού για τα προσωπικά δεδομένα αναφέρεται στον ορισμό της συγκατάθεσης ότι το υποκείμενο απευθύνει τη ρήτη (με την έννοια της δεδηλωμένης) δήλωση βούλησης πως αποδέχεται την επεξεργασία «με δήλωση ή με σαφή θετική ενέργεια». Έτσι, αν και μπορεί να θεωρηθεί πράγματι ότι το κλικάρισμα ενός κουμπιού είναι de facto ο πιο ασφαλής τρόπος για να συμπεράνει κανείς ότι ο χρήστης έδωσε την συγκατάθεσή του, εντούτοις οποιαδήποτε άλλη θετική ενέργεια δεν θα πρέπει να θεωρείται ότι δεν συνάδει de jure με τις νομικές προϋποθέσεις του ευρωπαϊκού δικαίου για τη λήψη της συγκατάθεσης (τη λογική αυτή έχει υιοθετήσει και το Ηνωμένο Βασίλειο βλ. https://ico.org.uk/for-organisations/guide-to-pecr/cookies/ που αποδέχεται και το implicit consent ως έγκυρη δήλωση συγκατάθεση ειδικά για τα cookies).

Ειδικά για την Ελλάδα, λοιπόν, καταρχήν η ελληνική προσέγγιση για το explicit consent εκπορεύεται από τις γενικές προσταγές του ελληνικού νόμου που τάσσει τους γενικούς κανόνες επεξεργασίας, όπως αναφέρθηκε ανωτέρω. Εντούτοις, θα πρέπει να ληφθεί υπόψη ότι το άρθρο αυτό του νόμου είναι προγενέστερο της διάταξης για τα cookies που υιοθετήθηκε το 2012 (με τον ν.4070/2012 που υιοθέτησε την Οδηγία του 2009 που προαναφέρθηκε) και αφορά γενικά στη λήψη συγκατάθεσης για προσωπικά δεδομένα στις ηλεκτρονικές επικοινωνίες (και όχι ειδικά για τα cookies) και άρα η συγκατάθεση του άρθρου 4 παρ. 5 ως ειδικότερη θα μπορούσε να θεωρηθεί ότι κατισχύει της γενικότερης. Όπως αναπτύχθηκε δε αναλυτικά παραπάνω, ειδικά για τα cookies έχουν εκδοθεί αποφάσεις του WP29 που αναγνωρίζουν ως συγκατάθεση κάθε θετική πράξη (και όχι μόνο το κλικάρισμα ενός κουμπιού ή κουτιού ή δήλωση που να καταγράφεται και να φυλάσσεται). Άρα, στο πνεύμα αυτό, η συνέχιση της πλοήγησης σε ένα site από ένα ενημερωμένο χρήστη θα μπορούσε υπό προϋποθέσεις να θεωρηθεί ως θετική πράξη και επαρκή ένδειξη για τη σύννομη συγκατάθεσή του ειδικά για τα cookies (με τελεολογική ερμηνεία της ειδικής συγκατάθεσης για τα cookies που προβλέπει το άρθρο 4 παρ. 5) υπό τον όρο ότι πληρούνται και όλες οι άλλες προϋποθέσεις και υποχρεώσεις του Controller.

Εν κατακλείδι..

Μέχρι να εκδώσει μια σχετική απόφαση η Αρχή Προστασίας ή η ελληνική Δικαιοσύνη που να διευκρινίζει το θέμα ή να τυχόν να αποδέχεται τη συλλογιστική αυτή, τα eShops θα πρέπει να θεωρούν ως νομικά ασφαλές για την ελληνική επικράτεια το να ζητούν το explicit consent με διαδικασίες που θα διαμορφώσουν ειδικά για το δικό τους eShop, για όσα cookies δεν εξαιρούνται. Οι νομικές διαδικασίες θα πρέπει να είναι ανάλογες με το τι cookies χρησιμοποιούν (π.χ. session ή permanent, first party ή third party κ.ο.κ.) με βάση τη στρατηγική μελέτη που θα έχει προηγηθεί.

Θεωρούμε όμως ότι προκειμένου να καταστούν ανταγωνιστικά τα ελληνικά eShops έναντι των υπόλοιπων ευρωπαϊκών που ακολουθούν σε μεγάλο βαθμό την στρατηγική του implied consent θα μπορούσε να υπάρξει μια εποικοδομητική συζήτηση προκειμένου να υιοθετηθεί από τις αρμόδιες Αρχές ή την Δικαιοσύνη η ως άνω προσέγγιση που κρίνουμε από νομικής σκοπιάς ότι συνάδει πλήρως με το πνεύμα της Οδηγίας της ΕΕ ειδικά για τα cookies, με τις του WP29, καθώς και την ερμηνευτική προσέγγιση που υιοθετήθηκε και σε άλλες χώρες για το θέμα αυτό, αλλά και στην τελεολογική (δηλ. με βάση τον σκοπό) ερμηνεία του ελληνικού νόμου χωρίς να γίνεται έκπτωση στην προστασία των δεδομένων των χρηστών.

Disclaimer

Το παρόν άρθρο περιλαμβάνει προσωπική νομική προσέγγιση της υπογράφουσας και δεν αποτελεί επίσημη νομική ερμηνεία των συγκεκριμένων κανόνων. Σε καμία περίπτωση δεν δύναται να θεωρηθεί ως νομική συμβουλή σε οποιαδήποτε επιχείρηση ή ως προτροπή για συγκεκριμένη πράξη ή παράλειψη. Αποτελεί μόνον παράθεση νομικών επιχειρημάτων στο πλαίσιο σχετικής συζήτησης για το θέμα των cookies σε πανευρωπαϊκό επίπεδο. Εξάλλου, κάθε περίπτωση/επιχείρηση κρίνεται ad hoc και θα πρέπει κάθε εταιρεία να λάβει εξατομικευμένη νομική συμβουλή από δικηγόρο για το σύνθετο αυτό θέμα

Πίνακας με την εφαρμογή των Cookie σε όλη την Ευρώπη

Στο πιο κάτω αρχείο, μπορείτε να δείτε ένα πίνακα που περιλαμβάνει λεπτομερή ανάλυση της εφαρμογής του Cookie, σε όλη την Ευρώπη.

Η Μίνα Ζούλοβιτς είναι δικηγόρος, συνεταίρος στο δικηγορικό γραφείο Φιλοθεϊδης & Συνεταίροι. Εξειδικεύεται στο εταιρικό δίκαιο και στον χώρο του δικαίου της Τεχνολογίας, των on line & mobile συναλλαγών & της Καινοτομίας. Παρέχει τις νομικές της υπηρεσίες σε αρκετές από τις μεγαλύτερες ελληνικές και πολυεθνικές εταιρείες (με παρουσία και σε αρκετές χώρες του εξωτερικού), καθώς και σε πολλά δυναμικά και φιλόδοξα start ups με καινοτόμες ιδέες. Έχει συμμετάσχει σε νομοπαρασκευαστικές επιτροπές, διδάσκει ως επισκέπτρια σε ακαδημαϊκά προγράμματα και είναι εισηγήτρια σε εγχώρια και διεθνή συνέδρια και ημερίδες. Επίσης είναι εκλεγμένο μέλος της Συμβουλευτικής Επιτροπής του Ελληνικού Συνδέσμου Ηλεκτρονικού Εμπορίου (GRECA). Το δικηγορικό γραφείο Φιλοθεϊδης & Συνεταίροι αναδείχθηκε πρόσφατα ως το «e-Commerce Law Firm of the Year 2014 in Greece» στα διεθνή βραβεία Corporate INTERNATIONAL Global Awards.

Leave A Reply