GDPR & Cookies: Ένας Πλήρης Οδηγός Συμμόρφωσης
Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) μεταμόρφωσε τον τρόπο με τον οποίο οι ιστότοποι διαχειρίζονται τα cookies όταν τέθηκε σε ισχύ στις 25 Μαΐου 2018. Ενώ η οδηγία ePrivacy είναι ο κύριος ενωσιακός νόμος που διέπει τα cookies, ο GDPR εφαρμόζεται όποτε τα cookies επεξεργάζονται προσωπικά δεδομένα — πράγμα που, στην πράξη, σημαίνει σχεδόν πάντα. Η κατανόηση του τρόπου με τον οποίο ο GDPR εφαρμόζεται στα cookies είναι απαραίτητη για κάθε ιστότοπο που λειτουργεί εντός ή στοχεύει χρήστες εντός του Ευρωπαϊκού Οικονομικού Χώρου.
Πώς Εφαρμόζεται ο GDPR στα Cookies
Ο GDPR δεν αναφέρει τα cookies ονομαστικά. Αντ' αυτού, διέπει την επεξεργασία των προσωπικών δεδομένων, όπως ορίζεται στο Άρθρο 4(1) ως κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Η Αιτιολογική Σκέψη 30 του GDPR δηλώνει ρητά ότι τα διαδικτυακά αναγνωριστικά — συμπεριλαμβανομένων των αναγνωριστικών cookies — μπορούν να χρησιμοποιηθούν για τη δημιουργία προφίλ φυσικών προσώπων και την ταυτοποίησή τους. Αυτό σημαίνει ότι κάθε cookie που περιέχει ή συνδέεται με μοναδικό αναγνωριστικό συνιστά προσωπικό δεδομένο βάσει του GDPR.
Στην πράξη, αυτό καλύπτει σχεδόν όλα τα cookies πέρα από τα πιο βασικά λειτουργικά. Τα cookies ανάλυσης που αποδίδουν μοναδικό αναγνωριστικό επισκέπτη, τα διαφημιστικά cookies που παρακολουθούν τη συμπεριφορά περιήγησης, ακόμη και τα cookies συνεδρίας που συνδέονται με λογαριασμό χρήστη, όλα επεξεργάζονται προσωπικά δεδομένα και επομένως εμπίπτουν στις απαιτήσεις του GDPR.
Άρθρο 6: Νόμιμη Βάση για την Επεξεργασία
Βάσει του Άρθρου 6 του GDPR, κάθε περίπτωση επεξεργασίας προσωπικών δεδομένων απαιτεί νόμιμη βάση. Για την επεξεργασία που σχετίζεται με cookies, δύο βάσεις επικαλούνται πιο συχνά:
- Συγκατάθεση (Άρθρο 6(1)(α)): Το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του για την επεξεργασία για έναν ή περισσότερους συγκεκριμένους σκοπούς. Αυτή είναι η κύρια νόμιμη βάση για την πλειονότητα της επεξεργασίας cookies, ιδίως για τα cookies ανάλυσης, μάρκετινγκ και διαφήμισης.
- Έννομο συμφέρον (Άρθρο 6(1)(στ)): Η επεξεργασία είναι απαραίτητη για τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, υπό την προϋπόθεση ότι αυτά τα συμφέροντα δεν υπερισχύουν των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.
Η βάση του έννομου συμφέροντος έχει αποτελέσει αντικείμενο σημαντικής συζήτησης στο πλαίσιο των cookies. Ορισμένοι διαχειριστές ιστοτόπων υποστήριξαν ότι η παρακολούθηση για σκοπούς ανάλυσης εξυπηρετεί έννομο συμφέρον. Ωστόσο, πολλαπλές Αρχές Προστασίας Δεδομένων έχουν απορρίψει αυτό το επιχείρημα για cookies που δεν είναι απολύτως απαραίτητα. Η γαλλική CNIL, η αυστριακή DSB και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) έχουν όλες λάβει τη θέση ότι η συγκατάθεση απαιτείται για τα cookies ανάλυσης, και ότι το έννομο συμφέρον δεν μπορεί να αποτελέσει νόμιμη βάση για την τοποθέτηση μη απαραίτητων cookies στη συσκευή του χρήστη.
Οι Κατευθυντήριες Γραμμές 05/2020 του EDPB σχετικά με τη συγκατάθεση δηλώνουν κατηγορηματικά: «Η κύλιση ή η συνέχιση της περιήγησης σε έναν ιστότοπο δεν συνιστά έγκυρη συγκατάθεση». Η εποχή της συναγόμενης συγκατάθεσης για τα cookies έχει τελειώσει.
Άρθρο 7: Προϋποθέσεις για Έγκυρη Συγκατάθεση
Το Άρθρο 7 καθορίζει τις προϋποθέσεις που πρέπει να πληροί η συγκατάθεση. Για να είναι έγκυρη η συγκατάθεση για cookies βάσει του GDPR, πρέπει να είναι:
- Ελεύθερη: Ο χρήστης πρέπει να έχει πραγματική επιλογή. Η συγκατάθεση δεν είναι ελεύθερη εάν ο χρήστης δεν μπορεί να αρνηθεί ή να ανακαλέσει τη συγκατάθεσή του χωρίς αρνητικές συνέπειες. Τα «τείχη cookies» που μπλοκάρουν την πρόσβαση σε έναν ιστότοπο εκτός εάν γίνουν αποδεκτά όλα τα cookies έχουν κριθεί μη συμμορφούμενα από αρκετές Αρχές Προστασίας Δεδομένων, αν και το νομικό τοπίο διαφέρει ανά δικαιοδοσία.
- Συγκεκριμένη: Η συγκατάθεση πρέπει να δίνεται για κάθε διακριτό σκοπό. Ένα απλό «Αποδοχή όλων» χωρίς τη δυνατότητα συγκατάθεσης σε συγκεκριμένες κατηγορίες δεν πληροί αυτήν την απαίτηση.
- Ενημερωμένη: Ο χρήστης πρέπει να ενημερώνεται σαφώς για το τι συγκατατίθεται. Αυτό σημαίνει τον προσδιορισμό των cookies, των σκοπών τους, των δεδομένων που συλλέγονται και τυχόν εμπλεκόμενων τρίτων.
- Σαφής: Η συγκατάθεση πρέπει να δίνεται μέσω σαφούς καταφατικής ενέργειας. Τα προεπιλεγμένα πλαίσια ελέγχου, η σιωπή ή η αδράνεια δεν συνιστούν έγκυρη συγκατάθεση.
Το Άρθρο 7(3) προσθέτει μια κρίσιμη απαίτηση: η ανάκληση της συγκατάθεσης πρέπει να είναι εξίσου εύκολη με την παροχή της. Εάν ένας χρήστης μπορεί να αποδεχθεί cookies με ένα μόνο κλικ, πρέπει να μπορεί να ανακαλέσει αυτήν τη συγκατάθεση με την ίδια ευκολία. Ένα banner cookies που κάνει το «Αποδοχή» εμφανές αλλά κρύβει την επιλογή εξαίρεσης σε μια σελίδα ρυθμίσεων αρκετά κλικ βαθύτερα δεν συμμορφώνεται.
Άρθρο 4(11): Ο Ορισμός της Συγκατάθεσης
Το Άρθρο 4(11) ορίζει τη συγκατάθεση ως «κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν».
Αυτός ο ορισμός ενισχύεται από την Αιτιολογική Σκέψη 32, η οποία δηλώνει:
«Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων. Αυτό θα μπορούσε να περιλαμβάνει τη συμπλήρωση ενός τετραγωνιδίου κατά την επίσκεψη σε ιστότοπο στο διαδίκτυο. Η σιωπή, τα προεπιλεγμένα τετραγωνίδια ή η αδράνεια δεν θα πρέπει να εκλαμβάνονται ως συγκατάθεση».
Η ορόσημη απόφαση Planet49 του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) τον Οκτώβριο του 2019 (Υπόθεση C-673/17) επιβεβαίωσε αυτήν την ερμηνεία, κρίνοντας ότι τα προεπιλεγμένα πλαίσια ελέγχου δεν συνιστούν έγκυρη συγκατάθεση για cookies.
Υποχρεώσεις Διαφάνειας: Άρθρα 12–14
Τα Άρθρα 12 έως 14 απαιτούν από τους υπευθύνους επεξεργασίας δεδομένων να παρέχουν πληροφορίες σχετικά με την επεξεργασία δεδομένων σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα. Για τα cookies, αυτό σημαίνει:
- Η πολιτική cookies σας πρέπει να είναι γραμμένη σε γλώσσα που μπορούν να κατανοήσουν οι απλοί χρήστες — όχι νομική ορολογία.
- Οι πληροφορίες πρέπει να παρέχονται κατά τη στιγμή της συλλογής δεδομένων (δηλαδή, πριν από την τοποθέτηση των cookies).
- Οι χρήστες πρέπει να ενημερώνονται για την ταυτότητα του υπευθύνου επεξεργασίας, τους σκοπούς της επεξεργασίας, τις κατηγορίες των δεδομένων, τυχόν αποδέκτες, τις περιόδους διατήρησης και τα δικαιώματά τους.
- Εάν τα cookies κοινοποιούνται σε τρίτους (όπως το Google Analytics, το Facebook Pixel ή διαφημιστικά δίκτυα), αυτοί οι τρίτοι πρέπει να προσδιορίζονται.
Άρθρο 17: Το Δικαίωμα στη Διαγραφή
Το Άρθρο 17 παρέχει στα υποκείμενα των δεδομένων το δικαίωμα να ζητήσουν τη διαγραφή των προσωπικών τους δεδομένων. Στο πλαίσιο των cookies, αυτό σημαίνει ότι εάν ένας χρήστης ζητήσει τη διαγραφή των δεδομένων του, όλα τα προσωπικά δεδομένα που συλλέχθηκαν μέσω cookies πρέπει να διαγραφούν. Αυτό περιλαμβάνει προφίλ ανάλυσης, διαφημιστικά αναγνωριστικά και οποιαδήποτε άλλα δεδομένα συνδέονται με αναγνωριστικά cookies.
Για τους διαχειριστές ιστοτόπων που χρησιμοποιούν υπηρεσίες ανάλυσης ή διαφήμισης τρίτων, αυτό μπορεί να είναι ιδιαίτερα δύσκολο, καθώς τα δεδομένα ενδέχεται να τηρούνται από τον τρίτο. Οι συμφωνίες επεξεργασίας δεδομένων σας με τους παρόχους cookies τρίτων πρέπει να περιλαμβάνουν διατάξεις για τη διαχείριση αιτημάτων διαγραφής.
GDPR έναντι ePrivacy: Ποιο Εφαρμόζεται και Πότε;
Η σχέση μεταξύ του GDPR και της οδηγίας ePrivacy μπορεί να προκαλέσει σύγχυση. Δείτε πώς αλληλεπιδρούν:
- Η οδηγία ePrivacy (Άρθρο 5(3)) διέπει την πράξη αποθήκευσης ή πρόσβασης σε πληροφορίες στη συσκευή ενός χρήστη. Απαιτεί συγκατάθεση για όλα τα cookies εκτός από αυτά που είναι απολύτως απαραίτητα. Αυτός είναι ο lex specialis (ειδικός νόμος) για τα cookies.
- Ο GDPR διέπει την επακόλουθη επεξεργασία οποιωνδήποτε προσωπικών δεδομένων συλλέγονται μέσω cookies. Παρέχει το πλαίσιο για το τι συνιστά έγκυρη συγκατάθεση, τα δικαιώματα των υποκειμένων των δεδομένων και τις υποχρεώσεις των υπευθύνων επεξεργασίας.
Σε πρακτικούς όρους: η οδηγία ePrivacy σας λέει ότι χρειάζεστε συγκατάθεση για την τοποθέτηση ενός cookie. Ο GDPR σας λέει πώς μοιάζει μια έγκυρη συγκατάθεση, τι μπορείτε να κάνετε με τα δεδομένα και ποια δικαιώματα έχουν οι χρήστες σχετικά με αυτά τα δεδομένα. Και τα δύο εφαρμόζονται ταυτόχρονα.
Αρχές Προστασίας Δεδομένων και Επιβολή
Κάθε κράτος μέλος της ΕΕ διαθέτει μια Αρχή Προστασίας Δεδομένων (ΑΠΔ) υπεύθυνη για την επιβολή τόσο του GDPR όσο και των εθνικών εφαρμογών της οδηγίας ePrivacy. Αυτές οι αρχές έχουν την εξουσία να διερευνούν καταγγελίες, να διεξάγουν ελέγχους και να επιβάλλουν πρόστιμα έως 4% του παγκόσμιου ετήσιου κύκλου εργασιών ή 20 εκατομμύρια €, όποιο είναι υψηλότερο.
Η επιβολή που σχετίζεται με τα cookies έχει επιταχυνθεί δραματικά από το 2020. Οι ΑΠΔ σε ολόκληρη την Ευρώπη έχουν μετακινηθεί από τις οδηγίες και τις προειδοποιήσεις σε ουσιαστικά πρόστιμα, καθιστώντας τη συμμόρφωση με τα cookies έναν πραγματικό επιχειρηματικό κίνδυνο και όχι μια θεωρητική ανησυχία.
Μεγάλα Πρόστιμα GDPR Σχετικά με Cookies
Οι ακόλουθες ενέργειες επιβολής καταδεικνύουν τις πραγματικές οικονομικές συνέπειες της μη συμμόρφωσης με τα cookies:
| Εταιρεία | Πρόστιμο | Αρχή | Έτος | Βασικό Ζήτημα |
|---|---|---|---|---|
| Amazon Europe | 746 εκατ. € | CNPD (Λουξεμβούργο) | 2021 | Μη συμμορφούμενοι μηχανισμοί παρακολούθησης διαφημίσεων και συγκατάθεσης |
| Google LLC | 150 εκατ. € | CNIL (Γαλλία) | 2022 | Η απόρριψη των cookies δεν ήταν τόσο εύκολη όσο η αποδοχή τους |
| Facebook (Meta) | 60 εκατ. € | CNIL (Γαλλία) | 2022 | Κανένας απλός μηχανισμός για την άρνηση των cookies |
| Microsoft (Bing) | 60 εκατ. € | CNIL (Γαλλία) | 2022 | Cookies τοποθετήθηκαν χωρίς συγκατάθεση, χωρίς εύκολο μηχανισμό άρνησης |
| TikTok | 5 εκατ. € | CNIL (Γαλλία) | 2023 | Η άρνηση των cookies απαιτούσε περισσότερα κλικ από την αποδοχή |
| Criteo | 40 εκατ. € | CNIL (Γαλλία) | 2023 | Αδυναμία λήψης έγκυρης συγκατάθεσης για cookies παρακολούθησης |
| Vueling Airlines | 30.000 € | AEPD (Ισπανία) | 2020 | Καμία επιλογή για απόρριψη cookies, μόνο «αποδοχή» |
Αυτά τα πρόστιμα δεν περιορίζονται στις μεγάλες εταιρείες. Μικρές και μεσαίες επιχειρήσεις έχουν επίσης αντιμετωπίσει ενέργειες επιβολής, ιδίως στη Γαλλία, την Ιταλία και τη Γερμανία. Μόνο η CNIL εξέδωσε πάνω από 100 επίσημες ειδοποιήσεις σε ιστότοπους κάθε μεγέθους σχετικά με τη συμμόρφωση με τα cookies το 2021.
Πρακτική Λίστα Ελέγχου για τη Συμμόρφωση Cookies με τον GDPR
Χρησιμοποιήστε αυτήν τη λίστα ελέγχου για να επαληθεύσετε ότι ο ιστότοπός σας πληροί τις απαιτήσεις του GDPR για τα cookies:
- Εντοπίστε όλα τα cookies που τοποθετεί ο ιστότοπός σας, συμπεριλαμβανομένων εκείνων που τοποθετούνται από σενάρια τρίτων όπως ανάλυση, διαφήμιση και widgets μέσων κοινωνικής δικτύωσης.
- Ταξινομήστε κάθε cookie ως απολύτως απαραίτητο, λειτουργικό, ανάλυσης ή μάρκετινγκ/διαφήμισης.
- Εφαρμόστε προηγούμενη συγκατάθεση για όλα τα μη απαραίτητα cookies. Κανένα cookie ανάλυσης ή μάρκετινγκ δεν πρέπει να ενεργοποιείται πριν ο χρήστης δώσει τη συγκατάθεσή του.
- Παρουσιάστε τις επιλογές συγκατάθεσης δίκαια. Η επιλογή άρνησης των cookies πρέπει να είναι εξίσου εμφανής και προσβάσιμη με την επιλογή αποδοχής τους.
- Προσφέρετε λεπτομερή συγκατάθεση. Οι χρήστες πρέπει να μπορούν να συγκατατίθενται σε συγκεκριμένες κατηγορίες cookies αντί να εξαναγκάζονται σε μια επιλογή «όλα ή τίποτα».
- Μην χρησιμοποιείτε προεπιλεγμένα πλαίσια. Όλες οι προαιρετικές κατηγορίες cookies πρέπει να είναι μη επιλεγμένες από προεπιλογή.
- Παρέχετε σαφείς πληροφορίες σχετικά με τον σκοπό κάθε cookie, τα δεδομένα που συλλέγει, ποιος έχει πρόσβαση στα δεδομένα και πόσο διαρκεί το cookie.
- Προσδιορίστε τους τρίτους. Αναφέρετε τις υπηρεσίες τρίτων που τοποθετούν cookies στον ιστότοπό σας (Google Analytics, Facebook Pixel, HubSpot κ.λπ.).
- Κάντε την ανάκληση εύκολη. Παρέχετε έναν μόνιμο, εύκολα προσβάσιμο τρόπο για να αλλάζουν οι χρήστες τις προτιμήσεις cookies τους μετά την αρχική συγκατάθεση. Ένας σύνδεσμος στο υποσέλιδο ή ένα κινούμενο εικονίδιο είναι συνηθισμένες προσεγγίσεις.
- Αποθηκεύστε αρχεία συγκατάθεσης. Διατηρήστε ένα αρχείο καταγραφής για το πότε κάθε χρήστης έδωσε συγκατάθεση, σε τι συγκατατέθηκε και την έκδοση της πολιτικής cookies που ίσχυε εκείνη τη στιγμή.
- Σεβαστείτε τις επιλογές συγκατάθεσης τεχνικά. Βεβαιωθείτε ότι η άρνηση συγκατάθεσης εμποδίζει πραγματικά την τοποθέτηση των αντίστοιχων cookies. Αυτό απαιτεί το μπλοκάρισμα των σεναρίων πριν από τη συγκατάθεση, όχι απλώς τη διαγραφή των cookies εκ των υστέρων.
- Διατηρήστε μια πολιτική cookies που είναι ενημερωμένη, ακριβής και γραμμένη σε απλή γλώσσα. Ενημερώστε την όποτε προσθέτετε νέα cookies ή υπηρεσίες τρίτων.
- Διαχειριστείτε τα αιτήματα των υποκειμένων των δεδομένων. Έχετε μια διαδικασία για την απάντηση σε αιτήματα διαγραφής που περιλαμβάνει δεδομένα που συλλέγονται μέσω cookies.
- Σαρώστε τακτικά. Εκτελείτε αυτοματοποιημένες σαρώσεις cookies τουλάχιστον μηνιαίως και μετά από κάθε ανάπτυξη για να εντοπίζετε νέα cookies που εισάγονται από ενημερωμένα σενάρια ή πρόσθετα.
Η συμμόρφωση με τα cookies βάσει του GDPR δεν είναι μια εφάπαξ διαδικασία. Απαιτεί συνεχή προσοχή καθώς ο ιστότοπός σας εξελίσσεται, προστίθενται νέα σενάρια και ενημερώνονται οι κανονιστικές οδηγίες. Οι οργανισμοί που την αντιμετωπίζουν ως συνεχή διαδικασία και όχι ως άσκηση συμπλήρωσης πλαισίων είναι εκείνοι που αποφεύγουν τις ενέργειες επιβολής — και οικοδομούν εμπιστοσύνη με τους χρήστες τους στην πορεία.
Συμμορφώνεται ο ιστότοπός σας με τους κανονισμούς cookies;
Σαρώστε τον ιστότοπό σας δωρεάν και βρείτε όλα τα cookies σε λίγα λεπτά.
Σαρώστε τα cookies σας δωρεάν