Skip to main content

Πότε Απαιτείται Συγκατάθεση για Cookies;

Ο γενικός κανόνας είναι απλός: η συγκατάθεση απαιτείται για όλα τα cookies, εκτός από εκείνα που είναι απολύτως απαραίτητα. Ωστόσο, οι λεπτομέρειες έχουν σημασία. Η ακριβής γνώση του πότε απαιτείται και πότε δεν απαιτείται συγκατάθεση αποτρέπει τόσο την υπερβολική συμμόρφωση (ενοχλώντας τους χρήστες με περιττά μηνύματα συγκατάθεσης) όσο και την ελλιπή συμμόρφωση (τοποθέτηση cookies χωρίς νομική βάση).

Ο Γενικός Κανόνας

Το Άρθρο 5(3) της Οδηγίας ePrivacy θεσπίζει τη βάση:

Τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη να επιτρέπεται μόνον υπό την προϋπόθεση ότι ο εν λόγω συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του, έχοντας λάβει σαφείς και εκτενείς πληροφορίες [...] σχετικά με τους σκοπούς της επεξεργασίας.

Αυτό καλύπτει όλα τα cookies, όλο τον τοπικό χώρο αποθήκευσης, κάθε αποθήκευση ή πρόσβαση σε επίπεδο συσκευής. Εάν ο ιστότοπός σας εγγράφει οτιδήποτε στη συσκευή του χρήστη, η συγκατάθεση αποτελεί την προκαθορισμένη απαίτηση.

Η Εξαίρεση των Απολύτως Απαραίτητων

Το ίδιο άρθρο προβλέπει τη μοναδική εξαίρεση:

Τα ανωτέρω δεν εμποδίζουν οποιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της μετάδοσης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή που είναι απολύτως αναγκαία για να προσφέρει ο πάροχος υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης, τη συγκεκριμένη υπηρεσία.

Η εξαίρεση αυτή έχει δύο σκέλη:

  1. Τεχνική μετάδοση: Cookies που απαιτούνται τεχνικά για να πραγματοποιηθεί η επικοινωνία. Πρόκειται για στενή κατηγορία — ουσιαστικά περιορίζεται σε cookies εξισορρόπησης φορτίου (load balancing) και παρόμοιες ανάγκες σε επίπεδο δικτύου.
  2. Απολύτως απαραίτητα για την υπηρεσία: Cookies που είναι ουσιώδη για μια υπηρεσία που ο χρήστης ζήτησε ρητά. Η βασική φράση είναι «την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης». Η υπηρεσία πρέπει να είναι κάτι που ζήτησε ο χρήστης, και το cookie πρέπει να είναι απαραίτητο για την παροχή της.

Cookies που Είναι Απολύτως Απαραίτητα (Δεν Απαιτείται Συγκατάθεση)

  • Cookies ελέγχου ταυτότητας συνεδρίας. Όταν ένας χρήστης συνδέεται, το cookie συνεδρίας που διατηρεί την πιστοποιημένη κατάστασή του είναι απολύτως απαραίτητο για την υπηρεσία που ζήτησε (πρόσβαση στον λογαριασμό του).
  • Cookies καλαθιού αγορών. Σε έναν ιστότοπο ηλεκτρονικού εμπορίου, το cookie που παρακολουθεί τα προϊόντα στο καλάθι είναι απολύτως απαραίτητο για την υπηρεσία αγορών που χρησιμοποιεί ο χρήστης.
  • Διακριτικά προστασίας CSRF. Είναι απολύτως απαραίτητα για την ασφαλή λειτουργία της υποβολής φορμών.
  • Cookies προτιμήσεων συγκατάθεσης για cookies. Το cookie που αποθηκεύει τις επιλογές συγκατάθεσης του χρήστη είναι απολύτως απαραίτητο — χωρίς αυτό, δεν μπορείτε να σεβαστείτε τις προτιμήσεις απορρήτου του.
  • Cookies σχετικά με την εισαγωγή δεδομένων. Cookies που θυμούνται τα δεδομένα φόρμας κατά τη διάρκεια μιας διαδικασίας πολλαπλών βημάτων (όπως μια φόρμα ολοκλήρωσης αγοράς) όταν ο χρήστης έχει ξεκινήσει τη διαδικασία.
  • Cookies εξισορρόπησης φορτίου. Τεχνικά cookies που δρομολογούν αιτήματα στον σωστό διακομιστή. Εμπίπτουν στο σκέλος της «μετάδοσης» της εξαίρεσης.
  • Cookies προσαρμογής διεπαφής χρήστη. Όταν ένας χρήστης επιλέγει ρητά μια γλώσσα ή ένα θέμα μέσω ενός στοιχείου ελέγχου στη σελίδα, το cookie που αποθηκεύει αυτήν την επιλογή είναι απολύτως απαραίτητο για την υπηρεσία που ζήτησε. Ωστόσο, αυτό εξαρτάται από το πλαίσιο — δείτε παρακάτω.

Cookies που ΔΕΝ Είναι Απολύτως Απαραίτητα (Απαιτείται Συγκατάθεση)

  • Cookies ανάλυσης. Η μέτρηση της επισκεψιμότητας του ιστότοπου ωφελεί τον διαχειριστή του ιστότοπου, όχι τον χρήστη. Ο χρήστης δεν ζήτησε υπηρεσία ανάλυσης επισκεψιμότητας.
  • Cookies διαφήμισης και επαναστόχευσης. Εξυπηρετούν τα συμφέροντα των διαφημιστών και του διαχειριστή του ιστότοπου, ποτέ του χρήστη.
  • Cookies κοινοποίησης στα μέσα κοινωνικής δικτύωσης. Ορίζονται από τρίτα κοινωνικά δίκτυα, όχι για μια υπηρεσία που ζήτησε ο χρήστης.
  • Cookies δοκιμών A/B. Εξυπηρετούν τους στόχους βελτιστοποίησης του διαχειριστή.
  • Cookies παρακολούθησης συνεργατών (affiliate). Παρακολουθούν ποιος συνεργάτης παρέπεμψε τον χρήστη, εξυπηρετώντας τα επιχειρηματικά συμφέροντα του διαχειριστή.
  • Cookies μόνιμης σύνδεσης («να με θυμάσαι»). Το EDPB έχει επισημάνει ότι, ενώ ένα cookie συνεδρίας για την τρέχουσα σύνδεση είναι απαραίτητο, ένα μόνιμο cookie που διατηρεί τον χρήστη συνδεδεμένο σε πολλαπλές συνεδρίες υπερβαίνει ό,τι είναι απολύτως απαραίτητο. Ο χρήστης θα μπορούσε να συνδεθεί ξανά.
  • Cookies παρακολούθησης απόδοσης. Cookies που χρησιμοποιούνται για την παρακολούθηση των χρόνων φόρτωσης σελίδων, των ποσοστών σφαλμάτων και παρόμοιων τεχνικών μετρήσεων εξυπηρετούν τον διαχειριστή, όχι τον χρήστη.

Η Συζήτηση για τα Analytics Πρώτου Μέρους

Μία από τις πιο αμφισβητούμενες περιοχές στη συμμόρφωση για cookies είναι το κατά πόσον τα cookies ανάλυσης πρώτου μέρους μπορούν να χρησιμοποιηθούν χωρίς συγκατάθεση. Η απάντηση διαφέρει ανά δικαιοδοσία και εξελίσσεται.

Η Θέση της CNIL (Γαλλία)

Η γαλλική CNIL έχει εκδώσει ειδικές κατευθυντήριες γραμμές σύμφωνα με τις οποίες ορισμένα cookies μέτρησης κοινού μπορούν να εξαιρεθούν από τη συγκατάθεση, εφόσον:

  1. Ο σκοπός περιορίζεται αυστηρά στη μέτρηση του κοινού (χωρίς παρακολούθηση μεταξύ ιστότοπων)
  2. Τα δεδομένα δεν κοινοποιούνται σε τρίτους
  3. Τα cookies είναι μόνο πρώτου μέρους
  4. Τα δεδομένα χρησιμοποιούνται μόνο για την παραγωγή ανώνυμων στατιστικών
  5. Τα cookies έχουν περιορισμένη διάρκεια ζωής (13 μήνες κατ' ανώτατο όριο)
  6. Οι χρήστες ενημερώνονται για τη χρήση τους
  7. Οι χρήστες μπορούν να εξαιρεθούν

Υπό αυτές τις προϋποθέσεις, η CNIL θεωρεί ότι ορισμένα εργαλεία (όπως το Matomo, διαμορφωμένο σε λειτουργία σεβασμού του απορρήτου) πληρούν τις προϋποθέσεις για την εξαίρεση. Το Google Analytics δεν πληροί τις προϋποθέσεις, κυρίως επειδή η Google επεξεργάζεται τα δεδομένα στη δική της υποδομή και μπορεί να τα χρησιμοποιήσει για δικούς της σκοπούς.

Η Θέση της Ολλανδικής AP (Κάτω Χώρες)

Η ολλανδική Autoriteit Persoonsgegevens έχει επίσης επισημάνει ότι τα cookies ανάλυσης με ελάχιστη επίπτωση στο απόρρητο μπορούν να χρησιμοποιηθούν χωρίς συγκατάθεση, αλλά έχει θέσει προϋποθέσεις παρόμοιες με αυτές της CNIL.

Άλλες Δικαιοδοσίες

Οι περισσότερες άλλες ευρωπαϊκές αρχές προστασίας δεδομένων δεν έχουν υιοθετήσει ρητή εξαίρεση για τα analytics. Η ICO (Ηνωμένο Βασίλειο) έχει δηλώσει ότι τα cookies ανάλυσης απαιτούν συγκατάθεση. Οι γερμανικές αρχές γενικά απαιτούν συγκατάθεση για όλα τα μη ουσιώδη cookies. Η θέση της ισπανικής AEPD ευθυγραμμίζεται με την απαίτηση συγκατάθεσης.

Πρακτική Σύσταση

Εκτός εάν δραστηριοποιείστε αποκλειστικά στη Γαλλία ή στις Κάτω Χώρες και μπορείτε να πληροίτε όλες τις προϋποθέσεις της CNIL/AP, η ασφαλέστερη προσέγγιση είναι να αντιμετωπίζετε τα cookies ανάλυσης ως απαιτούντα συγκατάθεση. Εάν βασίζεστε στην εξαίρεση για τα analytics, τεκμηριώστε το σκεπτικό σας, διασφαλίστε ότι πληροίτε κάθε προϋπόθεση και παρακολουθείτε τις κανονιστικές εξελίξεις — αυτή η περιοχή εξακολουθεί να εξελίσσεται.

Εξαιρέσεις Συγκατάθεσης ανά Σκοπό Cookie: Ένα Διάγραμμα Απόφασης

Για κάθε cookie στον ιστότοπό σας, εξετάστε αυτές τις ερωτήσεις:

  1. Είναι το cookie τεχνικά απαραίτητο για τη μετάδοση της επικοινωνίας; (π.χ. εξισορρόπηση φορτίου) Εάν ναι: δεν απαιτείται συγκατάθεση. Εάν όχι: συνεχίστε.
  2. Έχει ο χρήστης ζητήσει ρητά μια υπηρεσία που απαιτεί αυτό το cookie; (π.χ. σύνδεση, προσθήκη προϊόντων στο καλάθι) Εάν ναι: συνεχίστε. Εάν όχι: απαιτείται συγκατάθεση.
  3. Θα αποτύγχανε η ζητηθείσα υπηρεσία να λειτουργήσει χωρίς αυτό το συγκεκριμένο cookie; Εάν ναι: δεν απαιτείται συγκατάθεση (απολύτως απαραίτητο). Εάν η υπηρεσία θα λειτουργούσε αλλά θα ήταν λιγότερο βολική: απαιτείται συγκατάθεση.
  4. Είναι το cookie πρώτου μέρους, περιορισμένο σε συγκεντρωτικά analytics, με δεδομένα που δεν κοινοποιούνται σε τρίτους, και βρίσκεστε σε δικαιοδοσία με εξαίρεση για τα analytics; Εάν ναι σε όλα: πιθανώς εξαιρείται, αλλά τεκμηριώστε το σκεπτικό σας. Εάν όχι σε οποιοδήποτε: απαιτείται συγκατάθεση.
  5. Σε όλες τις άλλες περιπτώσεις: απαιτείται συγκατάθεση.

Ειδικές Καταστάσεις

Cookie Walls

Ένα cookie wall εμποδίζει την πρόσβαση σε έναν ιστότοπο εκτός εάν ο χρήστης αποδεχτεί τα cookies. Η θέση του EDPB είναι ότι τα cookie walls γενικά εμποδίζουν τη συγκατάθεση από το να δίνεται «ελεύθερα» και ως εκ τούτου δεν είναι συμβατά. Ωστόσο, ορισμένες αρχές (κυρίως η ολλανδική AP, μετά από δικαστική απόφαση) έχουν επισημάνει ότι τα cookie walls μπορεί να είναι αποδεκτά εάν προσφέρεται μια γνήσια, ισοδύναμη εναλλακτική λύση — όπως μια πληρωμένη έκδοση της υπηρεσίας χωρίς cookies. Αυτό παραμένει αμφισβητούμενο πεδίο.

Paywall έναντι Cookie Wall

Ορισμένοι εκδότες προσφέρουν ένα μοντέλο «συγκατάθεση ή πληρωμή»: αποδεχτείτε cookies παρακολούθησης για δωρεάν πρόσβαση, ή πληρώστε για μια εμπειρία χωρίς cookies. Το EDPB εξέδωσε γνωμοδότηση το 2024 σχετικά με αυτή την πρακτική, αναγνωρίζοντας ότι μπορεί να επιτρέπεται υπό ορισμένες προϋποθέσεις, εκφράζοντας όμως ανησυχία ότι η εναλλακτική «πληρωμής» πρέπει να είναι πραγματικά εύλογη και να μην ορίζεται σε τιμή σχεδιασμένη να εξαναγκάζει τη συγκατάθεση.

Παιδιά

Σύμφωνα με το Άρθρο 8 του GDPR, η συγκατάθεση για υπηρεσίες της κοινωνίας της πληροφορίας που απευθύνονται σε παιδιά απαιτεί επαλήθευση και, για παιδιά κάτω από μια ορισμένη ηλικία (που κυμαίνεται από 13 έως 16 ανάλογα με το κράτος μέλος), γονική συγκατάθεση. Εάν ο ιστότοπός σας απευθύνεται σε παιδιά, οι απαιτήσεις συγκατάθεσης για cookies είναι πιο αυστηρές.

Πλαίσια Εργαζομένων και B2B

Η Οδηγία ePrivacy ισχύει για τον «συνδρομητή ή χρήστη» — όχι μόνο για τους καταναλωτές. Εάν η πλατφόρμα SaaS B2B σας χρησιμοποιεί μη ουσιώδη cookies, η συγκατάθεση εξακολουθεί να απαιτείται από τον μεμονωμένο χρήστη, ακόμη και σε επιχειρηματικό πλαίσιο.

Τι Συμβαίνει Χωρίς Έγκυρη Συγκατάθεση

Εάν τοποθετείτε μη ουσιώδη cookies χωρίς έγκυρη συγκατάθεση:

  • Τα δεδομένα που συλλέγετε ενδέχεται να είναι παράνομα τόσο βάσει της Οδηγίας ePrivacy όσο και του GDPR.
  • Αντιμετωπίζετε πιθανά πρόστιμα βάσει του GDPR έως 20 εκατομμύρια ευρώ ή 4% του παγκόσμιου ετήσιου κύκλου εργασιών, όποιο είναι υψηλότερο (Άρθρο 83(5)).
  • Ενδέχεται να διαταχθείτε να διαγράψετε τα παρανόμως συλλεχθέντα δεδομένα.
  • Τα δεδομένα ανάλυσης και διαφήμισής σας ενδέχεται να τεθούν σε κίνδυνο — εάν η νομική βάση για τη συλλογή είναι άκυρη, τα δεδομένα δεν μπορούν να χρησιμοποιηθούν νόμιμα.
  • Οι μεταγενέστεροι αποδέκτες αυτών των δεδομένων (διαφημιστικά δίκτυα, πάροχοι analytics) ενδέχεται επίσης να αντιμετωπίσουν ευθύνη.

Δεν πρόκειται για υποθετικούς κινδύνους. Η CNIL επέβαλε πρόστιμο 150 εκατομμυρίων ευρώ στην Google και 60 εκατομμυρίων ευρώ στο Facebook ειδικά για παραβιάσεις της συγκατάθεσης για cookies. Μικρότερες επιχειρήσεις έχουν αντιμετωπίσει πρόστιμα δεκάδων χιλιάδων ευρώ για παρόμοιες αστοχίες.

Το Passiro εντοπίζει κάθε cookie στον ιστότοπό σας και επισημαίνει εκείνα που απαιτούν συγκατάθεση, ώστε να είστε βέβαιοι ότι ο μηχανισμός συγκατάθεσής σας καλύπτει τα σωστά cookies — ούτε περισσότερα ούτε λιγότερα.

Στη συνέχεια, ας συγκρίνουμε τα δύο θεμελιώδη μοντέλα συγκατάθεσης: opt-in έναντι opt-out, και ποιο εφαρμόζεται πού.

Συμμορφώνεται ο ιστότοπός σας με τους κανονισμούς cookies;

Σαρώστε τον ιστότοπό σας δωρεάν και βρείτε όλα τα cookies σε λίγα λεπτά.

Σαρώστε τα cookies σας δωρεάν