Website Cookies
Εισαγωγικά
Τα «cookies» είναι μικρά αρχεία με πληροφορίες που μια ιστοσελίδα (συγκεκριμένα ο εξυπηρετητής ιστού - web server) αποθηκεύει στον υπολογιστή ενός χρήστη, ώστε κάθε φορά που ο χρήστης συνδέεται στην ιστοσελίδα, η τελευταία να ανακτά τις εν λόγω πληροφορίες και να προσφέρει στο χρήστη σχετικές με αυτές υπηρεσίες. Χαρακτηριστικό παράδειγμα τέτοιων πληροφοριών είναι οι προτιμήσεις του χρήστη σε μια ιστοσελίδα, όπως αυτές δηλώνονται από τις επιλογές που κάνει ο χρήστης στη συγκεκριμένη ιστοσελίδα (π.χ. επιλογή συγκεκριμένων «κουμπιών», αναζητήσεων, διαφημίσεων, κλπ).
Η εγκατάσταση των «cookies» επιτρέπεται μόνο με τη συγκατάθεση του χρήστη και μετά από κατάλληλη ενημέρωσή του.
Ειδικότερα, η παράγραφος 5 του άρθρου 4 ν. 3471/2006, όπως αυτή τροποποιήθηκε από το ν. 4070/2012 ορίζει ότι η εγκατάσταση των «cookies» επιτρέπεται μόνο αν ο συνδρομητής ή χρήστης «έχει δώσει τη συγκατάθεση του μετά από σαφή και εκτενή ενημέρωση κατά την παρ. 1 του άρθρου 11 του ν. 2472/1997, όπως ισχύει».
Αυτό το σύστημα είναι γνωστό και ως «opt-in», σε αντιδιαστολή με το σύστημα «opt-out» που ίσχυε πριν από την τροποποίηση της Οδηγίας 2002/58/ΕΚ και επέτρεπε την εγκατάσταση των «cookies» χωρίς τη συγκατάθεση του συνδρομητή ή χρήστη, εφόσον ο τελευταίος έχει προηγουμένως ενημερωθεί και δεν έχει εναντιωθεί στην επεξεργασία.
Επομένως, σύμφωνα με τα παραπάνω, ο πάροχος μιας υπηρεσίας διαδικτύου (π.χ. ένα on-line κατάστημα) ή κάποιος τρίτος (π.χ. διαφημιστικό δίκτυο που προωθεί προϊόντα του μέσω της ιστοσελίδας ενός on-line καταστήματος) μπορεί να εγκαταστήσει ένα «cookie» μόνο εφόσον έχει εξασφαλίσει τη συγκατάθεση του συνδρομητή ή χρήστη μετά από προηγούμενη κατάλληλη ενημέρωσή του.
Πώς λαμβάνεται νόμιμα η συγκατάθεση του συνδρομητή ή χρήστη;
Η συγκατάθεση του συνδρομητή ή χρήστη μπορεί καταρχάς να δίδεται μέσω της ιστοσελίδας του παρόχου υπηρεσίας του διαδικτύου με χρήση κατάλληλων μηχανισμών (π.χ. με αναδυόμενα παράθυρα). Η αποδοχή των «cookies» μπορεί να γίνεται μία φορά για όλα τα «cookies» που εγκαθίστανται από τον ίδιο πάροχο υπηρεσίας της κοινωνίας της πληροφορίας.
Εναλλακτικά, όπως αναφέρεται στο ν. 3471/2006, «η συγκατάθεση μπορεί να δίδεται και μέσω κατάλληλων ρυθμίσεων στο φυλλομετρητή ιστού ή μέσω άλλης εφαρμογής».
Προσοχή! Η ρύθμιση αυτή ισχύει μόνο εφόσον ζητείται η συγκατάθεση του συνδρομητή ή χρήστη για κάθε «cookie», ενώ δεν νοείται ως συγκατάθεση η εκ των προτέρων αποδοχή της λήψης «cookies» μέσω προεπιλεγμένων ρυθμίσεων του φυλλομετρητή.
Για παράδειγμα οι φυλλομετρητές ιστού ή άλλες εφαρμογές, οι οποίες εξ ορισμού απορρίπτουν «cookies» τρίτων και απαιτούν ενεργό επιλογή εκ μέρους των χρηστών προκειμένου αυτοί να αποδεχτούν τόσο την τοποθέτηση όσο και τη συνεχιζόμενη διαβίβαση πληροφοριών που περιέχονται σε «cookies» από συγκεκριμένους δικτυακούς τόπους, μπορούν να παρέχουν έγκυρη και αποτελεσματική συγκατάθεση.
Αντίθετα, εάν οι προεπιλεγμένες ρυθμίσεις του φυλλομετρητή επιτρέπουν να γίνονται αποδεκτά όλα τα «cookies» και απαιτείται ενέργεια εκ μέρους του χρήστη για την απενεργοποίησή τους, δεν ικανοποιούνται οι απαιτήσεις για την συγκατάθεση που θέτει το συγκεκριμένο άρθρο.
Οι απαιτήσεις του άρθρου επίσης δεν ικανοποιούνται από ρυθμίσεις του φυλλομετρητή που επιτρέπουν την εκ των προτέρων απόρριψη των «cookies» από συγκεκριμένους παρόχους υπηρεσιών της κοινωνίας της πληροφορίας (π.χ. μέσω «μαύρων» λιστών που προκαθορίζονται από τον συνδρομητή ή χρήστη) ή παρόμοιους μηχανισμούς που, αν και παρέχουν στο συνδρομητή ή χρήστη περισσότερες επιλογές, δεν υποστηρίζουν την προηγούμενη συγκατάθεσή του για την λήψη «cookies» από παρόχους που δεν έχει αποκλείσει.
Ο συνδρομητής ή χρήστης πρέπει να έχει τη δυνατότητα να ανακαλέσει τη συγκατάθεσή του με τον ίδιο τρόπο με τον οποίο την δήλωσε.
Ποιος είναι ο κατάλληλος τρόπος ενημέρωσης του συνδρομητή ή χρήστη;
Η ενημέρωση του συνδρομητή ή χρήστη πρέπει να γίνεται με τον προσφορότερο κάθε φορά τρόπο, ώστε να εξασφαλίζεται η επαρκής πληροφόρηση πριν την αποθήκευση ή απόκτηση πρόσβασης στον τερματικό εξοπλισμό του.
Για παράδειγμα, μια γενική ενημέρωση στους γενικούς όρους συναλλαγών ή χρήσης της υπηρεσίας, αλλά και η ενημέρωση που περιλαμβάνεται στην πολιτική ιδιωτικότητας, η οποία είναι συνήθως μακροσκελής και περιλαμβάνει διάφορα άλλα θέματα για την επεξεργασία προσωπικών δεδομένων, δεν θεωρείται επαρκής υπό την παραπάνω έννοια.
Αντίθετα, η ενημέρωση πρέπει να αναρτάται σε εμφανές σημείο στην ιστοσελίδα και να είναι ειδική για κάθε περίπτωση.
Εξαίρεση από την υποχρέωση λήψης της συγκατάθεσης του συνδρομητή ή χρήστη
Ως εξαίρεση στη γενική υποχρέωση λήψης συγκατάθεσης, η παράγραφος 5 του άρθρου 4 ν. 3471/2006, ορίζει την περίπτωση εγκατάστασης «cookies» που έχουν ως αποκλειστικό σκοπό τη «διενέργεια της διαβίβασης μίας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή είναι αναγκαία για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής».
Τα «cookies» που εξαιρούνται είναι ουσιαστικά εκείνα που θεωρούνται τεχνικά απαραίτητα για την πραγματοποίηση της σύνδεσης στην ιστοσελίδα ή για την παροχή της υπηρεσίας διαδικτύου.
Η Ομάδα Εργασίας του αρ. 29 στην Γνώμη 4/2012 διευκρίνισε ειδικότερα τις κατηγορίες των «cookies» που εμπίπτουν στην παραπάνω εξαίρεση:
I. «Cookies» που είναι απαραίτητα για την αναγνώριση ή/και διατήρηση περιεχομένου που εισάγει ο συνδρομητής ή χρήστης κατά τη διάρκεια μίας σύνδεσης (session) σε ιστοσελίδα καθ’ όλη τη διάρκεια της συγκεκριμένης σύνδεσης. Για παράδειγμα τέτοια «cookies» είναι απαραίτητα κατά τη συμπλήρωση μίας ηλεκτρονικής φόρμας από τον χρήστη ή για την καταχώριση των αγορών του χρήστη σε ένα ηλεκτρονικό κατάστημα (π.χ. με επιλογή του κουμπιού «προσθήκη στο καλάθι»). Στην ίδια κατηγορία εντάσσονται και τα «επίμονα» (persistent) «cookies» που εγκαθίστανται για τον ίδιο σκοπό και διαρκούν για διάστημα μερικών ωρών.
II. «Cookies» που είναι απαραίτητα για την αυθεντικοποίηση του συνδρομητή ή χρήστη σε υπηρεσίες που απαιτούν αυθεντικοποίηση (π.χ. κατά την πραγματοποίηση μίας τραπεζικής συναλλαγής μέσω του διαδικτύου).
III. «Cookies» που εγκαθίστανται με σκοπό την ασφάλεια του συνδρομητή ή χρήστη, όπως για παράδειγμα «cookies» που εντοπίζουν επαναλαμβανόμενες αποτυχημένες προσπάθειες εισόδου στον λογαριασμό ενός χρήστη σε μία συγκεκριμένη ιστοσελίδα.
IV. «Cookies» με πολυμεσικό περιεχομένο, όπως flash player «cookies», κατά τη διάρκεια μίας σύνδεσης (session) σε ιστοσελίδα. Τέτοια είναι για παράδειγμα τα «cookies» που εγκαθίστανται με την προβολή ενός βίντεο στην ιστοσελίδα που έχει επισκεφτεί ο χρήστης.
V. «Cookies» που είναι απαραίτητα για την πραγματοποίηση της τεχνικής της κατανομής φορτίου (load balancing) σε μία σύνδεση σε ιστοσελίδα του διαδικτύου.
VI. «Cookies» που «θυμούνται» τις επιλογές του συνδρομητή ή χρήστη σχετικά με την παρουσίαση της ιστοσελίδας (π.χ. «cookies» που αφορούν την επιλογή της γλώσσας ή της παρουσίασης αποτελεσμάτων αναζήτησης σε μία ιστοσελίδα).
VII. «Cookies» που εγκαθίστανται μέσω πρόσθετων προγραμμάτων (plug ins) σε ιστοσελίδες κοινωνικών δικτύων και αφορούν στο διαμοιρασμό περιεχομένου μεταξύ των πιστοποιημένων μελών που έχουν ήδη πραγματοποιήσει σύνδεση (logged in).
«Cookies» που εγκαθίστανται με σκοπό τη διαφήμιση
Τα «cookies» που εγκαθίστανται με σκοπό τη διαδικτυακή διαφήμιση (online advertising) δεν εμπίπτουν στην εξαίρεση της παρ. 5 του άρθρου 4 ν. 3471/2006 και επομένως επιτρέπονται μόνο εφόσον έχει ληφθεί προηγουμένως η συγκατάθεση του συνδρομητή ή χρήστη μετά από κατάλληλη ενημέρωση.
Αυτό ισχύει τόσο για τα «cookies» που εγκαθίστανται από τον ίδιο τον πάροχο της ιστοσελίδας που επισκέπτεται ο χρήστης (first party cookies), όσο και για τα «cookies» που εγκαθίστανται από άλλους (π.χ. διαφημιστικά δίκτυα) μέσω του παρόχου της ιστοσελίδας (third party cookies).
Ιδίως για τη δεύτερη περίπτωση, τονίζεται ότι η συγκατάθεση απαιτείται ακόμα και για «cookies» που είναι απαραίτητα για άλλους σκοπούς (π.χ. έρευνα και ανάλυση αγοράς, βελτίωση διαφημιζόμενων προϊόντων, κλπ) και δεν σχετίζονται άμεσα με την αναγνώριση του χρήστη.
«Cookies» που εγκαθίστανται με σκοπό την στατιστική ανάλυση (web analytics)
Η περίπτωση αυτή των «cookies» επίσης δεν εμπίπτει στην εξαίρεση της παρ. 5 του άρθρου 4 ν. 3471/2006, ακόμα και όταν αφορά αποκλειστικά την στατιστική ανάλυση της επισκεψιμότητας σε μία ιστοσελίδα.
Στο πλαίσιο αυτό η Αρχή εξέτασε τη χρήση «cookies» από το διαδικτυακό τόπο της Βουλής των Ελλήνων για έκδοση στατιστικών, στη γνωμοδότηση 7/2011. Έκρινε, ειδικότερα ότι, σύμφωνα με το άρθρο 5 της οδηγίας 2002/58/ΕΚ όπως τροποποιήθηκε με την οδηγία της 2009/136/EK, η χρήση της υπηρεσίας Google Analytics μπορεί να γίνει μόνο μετά από συγκατάθεση των χρηστών της ιστοσελίδας.
Αξίζει πάντως να σημειωθεί ότι η Ομάδα Εργασίας του αρ. 29 αναγνωρίζει την ιδιαιτερότητα αυτού του είδους των «cookies» και τους χαμηλούς κινδύνους ως προς την ιδιωτικότητα και τονίζει την ανάγκη ένταξής τους στις εξαιρέσεις από την υποχρέωση λήψης συγκατάθεσης κατά την επόμενη αναθεώρηση της Οδηγίας 2002/58/ΕΚ.
Πώς μπορώ να ελέγχω τα «cookies» που εγκαθίστανται στον υπολογιστή μου;
Ο βασικός τρόπος που σας επιτρέπει να έχετε έλεγχο των «cookies» είναι οι ρυθμίσεις του φυλλομετρητή διαδικτύου που χρησιμοποιείτε, οι οποίες πρέπει να είναι τέτοιες ώστε να μην επιτρέπουν την εξ αρχής αποδοχή των «cookies» και να ζητούν την ενεργό επιλογή σας για κάθε εγκατάσταση. Βέβαια, θα πρέπει να έχετε υπόψη σας ότι εφόσον έχετε απενεργοποιήσει την αποδοχή «cookies» ενδέχεται να έχετε περιορισμένη πρόσβαση σε μερικές από τις υπηρεσίες ή λειτουργίες που παρέχονται από κάποιον διαδικτυακό τόπο. Είναι επίσης χρήσιμο να εγκαταστήσετε κάποιο από τα πρόσθετα (add-ons ή plug-ins) διαχείρισης «cookies» που είναι διαθέσιμα για το φυλλομετρητή σας, ώστε να αποκτήσετε μεγαλύτερο έλεγχο στο πότε αυτά εγκαθίστανται.
Σε κάθε περίπτωση, θα πρέπει πάντα να γνωρίζετε ότι η
εγκατάσταση των «cookies» επιτρέπεται μόνο εφόσον έχετε προηγουμένως
συναινέσει προς αυτό και αφού έχετε ενημερωθεί επαρκώς (π.χ. από την
ιστοσελίδα που έχετε επισκεφτεί). Αν διαπιστώσετε παραβίαση του παραπάνω
κανόνα μπορείτε να απευθυνθείτε στην Αρχή Προστασίας Δεδομένων.