Η Οδηγία ePrivacy: Ο νόμος της ΕΕ για τα cookies, εξηγημένος
Όταν οι άνθρωποι αναφέρονται στον «νόμο της ΕΕ για τα cookies», συνήθως εννοούν την Οδηγία ePrivacy — και συγκεκριμένα το Άρθρο 5(3). Αν και ο GDPR κερδίζει τους περισσότερους τίτλους, η Οδηγία ePrivacy είναι ο κανονισμός που διέπει άμεσα τη χρήση των cookies και παρόμοιων τεχνολογιών παρακολούθησης. Η κατανόηση αυτής της οδηγίας, της σχέσης της με τον GDPR και του επικείμενου Κανονισμού ePrivacy είναι απαραίτητη για οποιονδήποτε είναι υπεύθυνος για τη συμμόρφωση των cookies σε έναν ευρωπαϊκό ιστότοπο.
Τι είναι η Οδηγία ePrivacy;
Η Οδηγία ePrivacy (επίσημα, Οδηγία 2002/58/ΕΚ) υιοθετήθηκε στις 12 Ιουλίου 2002 ως μέρος του πλαισίου προστασίας της ιδιωτικής ζωής στις τηλεπικοινωνίες της ΕΕ. Αρχικά επικεντρωνόταν στην ιδιωτικότητα των ηλεκτρονικών επικοινωνιών — καλύπτοντας θέματα όπως η εμπιστευτικότητα των επικοινωνιών, τα δεδομένα κίνησης, το spam και η ταυτοποίηση καλούντος.
Το 2009, η οδηγία τροποποιήθηκε σημαντικά από την Οδηγία 2009/136/ΕΚ (γνωστή συχνά ως «Οδηγία για τα Δικαιώματα των Πολιτών»). Η τροποποίηση αυτή εισήγαγε την απαίτηση συγκατάθεσης για τα cookies που γνωρίζουμε σήμερα, αντικαθιστώντας το προηγούμενο καθεστώς opt-out με ένα μοντέλο opt-in. Πριν από το 2009, οι ιστότοποι χρειαζόταν απλώς να ενημερώνουν τους χρήστες για τα cookies και να τους παρέχουν το δικαίωμα άρνησης. Μετά το 2009, η προηγούμενη συγκατάθεση κατέστη υποχρεωτική για όλα τα μη απαραίτητα cookies.
Σε αντίθεση με τον GDPR, ο οποίος αποτελεί κανονισμό (άμεσα εφαρμόσιμο σε όλα τα κράτη μέλη), η Οδηγία ePrivacy είναι μια οδηγία (κάθε κράτος μέλος πρέπει να τη μεταφέρει στο εθνικό του δίκαιο). Αυτό σημαίνει ότι οι συγκεκριμένοι κανόνες για τα cookies διαφέρουν από χώρα σε χώρα, παρόλο που οι υποκείμενες απαιτήσεις είναι ίδιες.
Άρθρο 5(3): Ο κανόνας συγκατάθεσης για τα cookies
Το Άρθρο 5(3) της Οδηγίας ePrivacy είναι η διάταξη που διέπει άμεσα τα cookies. Στην τροποποιημένη του μορφή, ορίζει:
«Τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη να επιτρέπεται μόνον υπό την προϋπόθεση ότι ο εν λόγω συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του, αφού του παρασχεθούν σαφείς και εκτενείς πληροφορίες σύμφωνα με [την Οδηγία για την Προστασία Δεδομένων, νυν GDPR], μεταξύ άλλων, σχετικά με τους σκοπούς της επεξεργασίας.»
Η διάταξη αυτή θεσπίζει αρκετές βασικές απαιτήσεις:
- Πεδίο εφαρμογής: Καλύπτει οποιαδήποτε αποθήκευση πληροφοριών στη συσκευή του χρήστη ή πρόσβαση σε πληροφορίες αποθηκευμένες στη συσκευή του χρήστη. Αυτό περιλαμβάνει τα cookies, αλλά και το local storage, το IndexedDB, το device fingerprinting, τα tracking pixels και οποιαδήποτε άλλη τεχνολογία διαβάζει ή γράφει στη συσκευή του χρήστη.
- Προηγούμενη συγκατάθεση: Η συγκατάθεση πρέπει να λαμβάνεται πριν από την αποθήκευση ή την πρόσβαση στις πληροφορίες — όχι μετά.
- Ενημερωμένη συγκατάθεση: Στον χρήστη πρέπει να παρέχονται σαφείς και εκτενείς πληροφορίες σχετικά με τους σκοπούς της αποθήκευσης ή της πρόσβασης.
- Πρότυπο συγκατάθεσης: Η αναφορά στον GDPR (αρχικά στην Οδηγία για την Προστασία Δεδομένων) σημαίνει ότι ισχύουν ο ορισμός και οι προϋποθέσεις συγκατάθεσης του GDPR. Η συγκατάθεση πρέπει να παρέχεται ελεύθερα, να είναι συγκεκριμένη, ενημερωμένη και ρητή.
Η εξαίρεση των «απολύτως απαραίτητων»
Το Άρθρο 5(3) περιλαμβάνει μια σημαντική εξαίρεση στη δεύτερη πρότασή του:
«Το παρόν δεν εμποδίζει την τεχνική αποθήκευση ή πρόσβαση με αποκλειστικό σκοπό τη διενέργεια της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή στον βαθμό που είναι απολύτως αναγκαίο για τον πάροχο υπηρεσίας της κοινωνίας της πληροφορίας την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης, ώστε να παρέχει την υπηρεσία.»
Η εξαίρεση αυτή καλύπτει δύο κατηγορίες cookies που δεν απαιτούν συγκατάθεση:
- Cookies απαραίτητα για τη διαβίβαση μιας επικοινωνίας (π.χ. cookies εξισορρόπησης φορτίου).
- Cookies απολύτως απαραίτητα για την παροχή μιας υπηρεσίας που έχει ζητήσει ρητά ο χρήστης (π.χ. cookies καλαθιού αγορών, cookies συνεδρίας ταυτοποίησης, cookies προτιμήσεων χρήστη για μια υπηρεσία που χρησιμοποιεί ενεργά ο χρήστης).
Ο προκάτοχος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, η Ομάδα Εργασίας του Άρθρου 29, παρείχε λεπτομερή καθοδήγηση σχετικά με το ποια cookies χαρακτηρίζονται ως απολύτως απαραίτητα στη Γνώμη 04/2012. Παραδείγματα περιλαμβάνουν:
- Εξαιρούμενα (δεν απαιτείται συγκατάθεση): Cookies συνεδρίας για δεδομένα εισόδου χρήστη (φόρμες πολλαπλών βημάτων), cookies ταυτοποίησης, cookies καλαθιού αγορών, cookies ασφαλείας (tokens CSRF), cookies συνεδρίας αναπαραγωγέα πολυμέσων, cookies εξισορρόπησης φορτίου, cookies προσαρμογής UI (προτίμηση γλώσσας) για την τρέχουσα συνεδρία.
- Μη εξαιρούμενα (απαιτείται συγκατάθεση): Cookies analytics (συμπεριλαμβανομένου του Google Analytics), cookies διαφήμισης, cookies κοινοποίησης/παρακολούθησης μέσων κοινωνικής δικτύωσης, μόνιμα cookies προτιμήσεων που διαρκούν πέραν της συνεδρίας, οποιαδήποτε cookies παρακολούθησης τρίτων.
Η κρίσιμη διάκριση αφορά τα cookies που εξυπηρετούν το ρητό αίτημα του χρήστη έναντι εκείνων που εξυπηρετούν τα συμφέροντα του διαχειριστή του ιστότοπου. Ένα cookie προτίμησης γλώσσας που ορίζεται επειδή ο χρήστης έκανε κλικ σε έναν επιλογέα γλώσσας είναι απολύτως απαραίτητο. Ένα cookie analytics που ορίζεται για να βοηθήσει τον διαχειριστή του ιστότοπου να κατανοήσει την επισκεψιμότητα δεν είναι — ακόμη κι αν ο διαχειριστής το θεωρεί σημαντικό.
Πώς λειτουργούν μαζί η ePrivacy και ο GDPR
Η σχέση μεταξύ της Οδηγίας ePrivacy και του GDPR είναι σχέση lex specialis (ειδικός νόμος) και lex generalis (γενικός νόμος). Η Οδηγία ePrivacy είναι ο ειδικός νόμος που διέπει την ιδιωτικότητα στις ηλεκτρονικές επικοινωνίες, ενώ ο GDPR είναι το γενικό πλαίσιο προστασίας δεδομένων.
Πρακτικά:
- Η Οδηγία ePrivacy διέπει το εάν επιτρέπεται να τοποθετήσετε ένα cookie στη συσκευή ενός χρήστη. Απαιτεί συγκατάθεση για τα μη απαραίτητα cookies, ανεξάρτητα από το εάν το cookie περιέχει προσωπικά δεδομένα.
- Ο GDPR διέπει το τι συνιστά έγκυρη συγκατάθεση και το πώς μπορείτε να επεξεργάζεστε τυχόν προσωπικά δεδομένα που συλλέγονται μέσω cookies. Παρέχει επίσης το πλαίσιο επιβολής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελιών στις Αρχές Προστασίας Δεδομένων (DPAs) και του καθεστώτος των σημαντικών προστίμων.
Αυτό σημαίνει ότι ακόμη και ένα cookie που δεν περιέχει προσωπικά δεδομένα (για παράδειγμα, ένα τυχαία δημιουργημένο αναγνωριστικό analytics χωρίς σύνδεση με οποιαδήποτε άλλα δεδομένα) εξακολουθεί να απαιτεί συγκατάθεση βάσει της Οδηγίας ePrivacy, επειδή το Άρθρο 5(3) εφαρμόζεται σε οποιαδήποτε αποθήκευση στη συσκευή του χρήστη — όχι μόνο στην αποθήκευση προσωπικών δεδομένων.
Αντίστροφα, εάν επεξεργάζεστε προσωπικά δεδομένα μέσω cookies, πρέπει να συμμορφώνεστε με ολόκληρο το πλαίσιο του GDPR: νομική βάση, διαφάνεια, δικαιώματα υποκειμένων των δεδομένων, εκτιμήσεις αντικτύπου σχετικά με την προστασία δεδομένων και όλες τις άλλες υποχρεώσεις.
Εθνικές ενσωματώσεις
Επειδή η Οδηγία ePrivacy είναι οδηγία και όχι κανονισμός, κάθε κράτος μέλος της ΕΕ την έχει μεταφέρει στο εθνικό του δίκαιο με ορισμένες παραλλαγές. Ενώ η βασική απαίτηση — συγκατάθεση πριν από τα μη απαραίτητα cookies — είναι συνεπής σε όλα τα κράτη μέλη, υπάρχουν αξιοσημείωτες διαφορές σε:
- Ένταση επιβολής: Η Γαλλία (CNIL) και η Ιταλία (Garante) υπήρξαν οι πιο ενεργές στην επιβολή για τα cookies, ενώ άλλες χώρες έχουν επικεντρώσει τους πόρους τους αλλού.
- Συγκεκριμένες εξαιρέσεις: Ορισμένες χώρες έχουν υιοθετήσει ελαφρώς ευρύτερες ή στενότερες ερμηνείες της εξαίρεσης των «απολύτως απαραίτητων».
- Cookies analytics: Ορισμένες DPAs έχουν διερευνήσει το εάν κατάλληλα διαμορφωμένα εργαλεία analytics που σέβονται την ιδιωτικότητα (π.χ. ανωνυμοποιημένο analytics χωρίς παρακολούθηση μεταξύ ιστότοπων) θα μπορούσαν να δικαιολογηθούν βάσει έννομου συμφέροντος. Η εξαίρεση της γαλλικής CNIL για εργαλεία μέτρησης κοινού υπό συγκεκριμένες προϋποθέσεις είναι το πιο αξιοσημείωτο παράδειγμα, αν και παραμένει αμφιλεγόμενη.
- Cookie walls: Η νομιμότητα των cookie walls (απαίτηση συγκατάθεσης για πρόσβαση σε έναν ιστότοπο) ποικίλλει ανά δικαιοδοσία. Η ολλανδική DPA και το EDPB έχουν λάβει αυστηρή θέση εναντίον τους, ενώ το γαλλικό Conseil d'Etat τα έκρινε επιτρεπτά υπό ορισμένες προϋποθέσεις.
Ο προτεινόμενος Κανονισμός ePrivacy
Η Ευρωπαϊκή Επιτροπή δημοσίευσε μια πρόταση για έναν Κανονισμό ePrivacy τον Ιανουάριο του 2017, με σκοπό την αντικατάσταση της Οδηγίας ePrivacy και την ευθυγράμμιση των κανόνων για τα cookies με τον GDPR. Πάνω από εννέα χρόνια αργότερα, ο κανονισμός παραμένει υπό διαπραγμάτευση, καθιστώντας τον μία από τις μακροβιότερες νομοθετικές διαδικασίες στην ιστορία της ΕΕ.
Βασικές αλλαγές στον προτεινόμενο κανονισμό
Ενώ το τελικό κείμενο δεν έχει ακόμη συμφωνηθεί, η πρόταση και οι επακόλουθες θέσεις του Συμβουλίου υπέδειξαν αρκετές σημαντικές αλλαγές:
- Άμεση εφαρμογή: Ως κανονισμός και όχι ως οδηγία, ο Κανονισμός ePrivacy θα εφαρμοζόταν ομοιόμορφα σε όλα τα κράτη μέλη, εξαλείφοντας τον σημερινό κατακερματισμό.
- Συγκατάθεση σε επίπεδο προγράμματος περιήγησης: Οι πρώτες προτάσεις περιλάμβαναν διατάξεις που θα επέτρεπαν στους χρήστες να ορίζουν τις προτιμήσεις τους για τα cookies σε επίπεδο προγράμματος περιήγησης, αντί να απαντούν σε μεμονωμένα banner cookies σε κάθε ιστότοπο. Αυτό θα απλοποιούσε δραματικά την εμπειρία του χρήστη, αν και οι τεχνικές και πολιτικές προκλήσεις είναι σημαντικές.
- Διευρυμένο πεδίο εφαρμογής: Ο κανονισμός θα επεκτεινόταν ώστε να καλύπτει υπηρεσίες επικοινωνίας over-the-top (OTT) όπως το WhatsApp και το Skype, οι οποίες δεν καλύπτονται από την τρέχουσα οδηγία.
- Σαφέστερες εξαιρέσεις: Ο κανονισμός στοχεύει να αποσαφηνίσει ποιοι τύποι cookies εξαιρούνται από τη συγκατάθεση, ενδεχομένως διευρύνοντας την εξαίρεση ώστε να περιλαμβάνει ορισμένους τύπους μέτρησης κοινού.
- Κανόνες για τα μεταδεδομένα: Νέες διατάξεις που διέπουν την επεξεργασία των μεταδεδομένων επικοινωνιών (δεδομένα τοποθεσίας, χρόνοι σύνδεσης) πέραν όσων καλύπτει η τρέχουσα οδηγία.
- Εναρμονισμένη επιβολή: Ο κανονισμός θα θέσπιζε έναν συνεπή μηχανισμό επιβολής, πιθανώς κατά το πρότυπο της αρχής «μιας στάσης» (one-stop-shop) του GDPR.
Τρέχουσα κατάσταση και χρονοδιάγραμμα
Από τις αρχές του 2026, ο Κανονισμός ePrivacy παραμένει σε διαπραγματεύσεις τριμερούς διαλόγου (trilogue) μεταξύ του Ευρωπαϊκού Κοινοβουλίου, του Συμβουλίου της ΕΕ και της Ευρωπαϊκής Επιτροπής. Η πρόοδος υπήρξε αργή λόγω θεμελιωδών διαφωνιών σε αρκετά σημεία, συμπεριλαμβανομένου του μηχανισμού συγκατάθεσης σε επίπεδο προγράμματος περιήγησης, του πεδίου εφαρμογής της εξαίρεσης των «απολύτως απαραίτητων» και των κανόνων για την επεξεργασία μεταδεδομένων.
Το πιο ρεαλιστικό σενάριο είναι ότι ο κανονισμός δεν θα οριστικοποιηθεί πριν από το 2027 στην καλύτερη περίπτωση, με μια επιπλέον μεταβατική περίοδο 12-24 μηνών πριν από την έναρξη ισχύος του. Οι διαχειριστές ιστότοπων θα πρέπει να συνεχίσουν να συμμορφώνονται με την τρέχουσα Οδηγία ePrivacy όπως έχει μεταφερθεί στο εθνικό τους δίκαιο, συμπληρωμένη από το πλαίσιο συγκατάθεσης του GDPR.
Πρακτικές συνέπειες για τους ιδιοκτήτες ιστότοπων
Ανεξάρτητα από τη ρυθμιστική αβεβαιότητα γύρω από τον επικείμενο Κανονισμό ePrivacy, οι τρέχοντες κανόνες είναι σαφείς και επιβάλλονται ενεργά. Οι ιδιοκτήτες ιστότοπων θα πρέπει:
- Να αντιμετωπίζουν το τρέχον καθεστώς ως βάση. Η απαίτηση συγκατάθεσης για τα μη απαραίτητα cookies είναι θεσπισμένος νόμος σε όλη την ΕΕ. Μην περιμένετε τον Κανονισμό ePrivacy για να εφαρμόσετε τη συμμόρφωση.
- Να μπλοκάρουν τα μη απαραίτητα cookies πριν από τη συγκατάθεση. Αυτή είναι η πιο τεχνικά απαιτητική πτυχή της συμμόρφωσης, αλλά είναι αδιαπραγμάτευτη. Ο μηχανισμός συγκατάθεσης cookies πρέπει να αποτρέπει τα scripts από το να ορίζουν cookies έως ότου ο χρήστης δώσει ενεργά τη συγκατάθεσή του.
- Να εφαρμόζουν το πρότυπο συγκατάθεσης του GDPR. Όταν η Οδηγία ePrivacy λέει «συγκατάθεση», εννοεί τη συγκατάθεση κατά τον GDPR: παρεχόμενη ελεύθερα, συγκεκριμένη, ενημερωμένη, ρητή και αποδεικνυόμενη με σαφή θετική ενέργεια.
- Να τεκμηριώνουν τα απολύτως απαραίτητα cookies τους. Διατηρήστε ένα σαφές αρχείο για το ποια cookies θεωρείτε απολύτως απαραίτητα και γιατί. Να είστε προετοιμασμένοι να δικαιολογήσετε αυτήν την κατηγοριοποίηση σε περίπτωση αμφισβήτησης από μια DPA.
- Να παρακολουθούν τις εθνικές εξελίξεις. Επειδή η Οδηγία ePrivacy εφαρμόζεται διαφορετικά σε κάθε χώρα, να ενημερώνεστε για την καθοδήγηση και τη δραστηριότητα επιβολής των DPAs στις χώρες όπου βρίσκονται οι χρήστες σας.
- Να προετοιμάζονται για τον Κανονισμό ePrivacy. Αν και το χρονοδιάγραμμα είναι αβέβαιο, η κατεύθυνση είναι σαφής: πιο εναρμονισμένοι κανόνες, ενδεχομένως ευρύτεροι μηχανισμοί συγκατάθεσης και συνεχής έμφαση στην ιδιωτικότητα του χρήστη. Η δημιουργία ενός ισχυρού συστήματος διαχείρισης συγκατάθεσης από τώρα θα καταστήσει τη μετάβαση ομαλότερη όταν έρθει η ώρα.
Η Οδηγία ePrivacy μπορεί να έχει ξεπεράσει τις δύο δεκαετίες, αλλά παραμένει ο ακρογωνιαίος λίθος του νόμου για τα cookies στην Ευρώπη. Σε συνδυασμό με το πλαίσιο συγκατάθεσης του GDPR και τα ενεργά προγράμματα επιβολής των εθνικών DPAs, δημιουργεί ένα ρυθμιστικό περιβάλλον όπου η συμμόρφωση των cookies δεν είναι προαιρετική — είναι νομική υποχρέωση με πραγματικές οικονομικές συνέπειες σε περίπτωση μη συμμόρφωσης.
Συμμορφώνεται ο ιστότοπός σας με τους κανονισμούς cookies;
Σαρώστε τον ιστότοπό σας δωρεάν και βρείτε όλα τα cookies σε λίγα λεπτά.
Σαρώστε τα cookies σας δωρεάν