Συγκατάθεση για Cookies: Τι Απαιτεί Πραγματικά ο Νόμος
Η συγκατάθεση για cookies αποτελεί μία από τις πιο παρεξηγημένες απαιτήσεις στην ψηφιακή προστασία δεδομένων. Πολλές επιχειρήσεις πιστεύουν ότι είναι συμμορφωμένες επειδή εμφανίζουν ένα banner cookies. Όμως ένα banner δεν ισοδυναμεί με συγκατάθεση. Η συγκατάθεση είναι μια συγκεκριμένη νομική έννοια με ακριβείς απαιτήσεις — και η μη τήρησή τους μπορεί να σημαίνει ότι ολόκληρη η συλλογή δεδομένων σας είναι παράνομη.
Το Νομικό Θεμέλιο
Η συγκατάθεση για cookies στηρίζεται σε δύο νομικούς πυλώνες:
Το Άρθρο 5(3) της Οδηγίας ePrivacy θεσπίζει την απαίτηση: η αποθήκευση ή η πρόσβαση σε πληροφορίες στη συσκευή ενός χρήστη απαιτεί τη συγκατάθεσή του, εκτός εάν η αποθήκευση είναι απολύτως αναγκαία για μια υπηρεσία που ο χρήστης έχει ρητά ζητήσει. Αυτός είναι ο κανόνας που διέπει ειδικά τα cookies.
Το Άρθρο 4(11) του GDPR ορίζει τι σημαίνει συγκατάθεση: «"συγκατάθεση" του υποκειμένου των δεδομένων είναι κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.»
Αυτές οι δύο διατάξεις λειτουργούν από κοινού. Η Οδηγία ePrivacy σας λέει πότε απαιτείται συγκατάθεση (για τα μη απαραίτητα cookies). Ο GDPR σας λέει πώς μοιάζει μια έγκυρη συγκατάθεση. Και τα δύο πρέπει να πληρούνται.
Οι Πέντε Απαιτήσεις της Έγκυρης Συγκατάθεσης
Με βάση το Άρθρο 4(11) του GDPR, το Άρθρο 7 και τις Κατευθυντήριες Γραμμές 05/2020 του EDPB για τη συγκατάθεση, μια έγκυρη συγκατάθεση για cookies πρέπει να πληροί πέντε κριτήρια:
1. Ελεύθερη
Ο χρήστης πρέπει να έχει πραγματική επιλογή. Η συγκατάθεση δεν είναι ελεύθερη εάν:
- Η πρόσβαση εξαρτάται από τη συγκατάθεση. Εάν ο χρήστης δεν μπορεί να χρησιμοποιήσει τον ιστότοπο χωρίς να αποδεχτεί όλα τα cookies (ένα «cookie wall»), η συγκατάθεση δεν παρέχεται ελεύθερα. Το EDPB έχει επιβεβαιώσει αυτή τη θέση, αν και ορισμένες εθνικές αρχές προστασίας δεδομένων επιτρέπουν περιορισμένα cookie walls υπό συγκεκριμένες συνθήκες — ιδίως εάν υπάρχει πραγματική εναλλακτική (όπως μια επί πληρωμή έκδοση χωρίς cookies).
- Υπάρχει σημαντική ανισορροπία ισχύος. Σε σχέσεις εργοδότη-εργαζομένου ή κράτους-πολίτη, η συγκατάθεση ενδέχεται να μην είναι πραγματικά ελεύθερη. Για τους περισσότερους ιστότοπους αυτό είναι λιγότερο σχετικό, αλλά έχει σημασία για κυβερνητικές υπηρεσίες και πλατφόρμες intranet.
- Η άρνηση είναι σημαντικά δυσκολότερη από την αποδοχή. Εάν το «Αποδοχή Όλων» είναι ένα εμφανές κουμπί και το «Απόρριψη Όλων» απαιτεί πλοήγηση μέσα από ρυθμίσεις, η συγκατάθεση δεν παρέχεται ελεύθερα. Τόσο η ιταλική Garante όσο και η γαλλική CNIL έχουν εκδώσει ειδικές οδηγίες που απαιτούν η απόρριψη των cookies να είναι εξίσου εύκολη με την αποδοχή τους.
2. Συγκεκριμένη
Η συγκατάθεση πρέπει να δίνεται ξεχωριστά για κάθε διακριτό σκοπό. Γι' αυτό υπάρχουν οι κατηγορίες cookies. Ένας έγκυρος μηχανισμός συγκατάθεσης πρέπει να επιτρέπει στους χρήστες να αποδέχονται τα cookies αναλυτικών στοιχείων ενώ απορρίπτουν τα cookies μάρκετινγκ, ή το αντίστροφο. Η ομαδοποίηση όλων των cookies σε ένα ενιαίο «αποδοχή» ή «απόρριψη» δεν πληροί την απαίτηση της εξειδίκευσης — αν και η προσφορά τόσο «Αποδοχή Όλων» όσο και «Απόρριψη Όλων» ως συντομεύσεων παράλληλα με ελέγχους ανά κατηγορία είναι αποδεκτή.
3. Εν πλήρει επιγνώσει
Πριν δώσει τη συγκατάθεσή του, ο χρήστης πρέπει να ενημερώνεται για:
- Ποιος εγκαθιστά τα cookies (ο διαχειριστής του ιστότοπου και τυχόν τρίτα μέρη)
- Τι κάνει κάθε κατηγορία cookies
- Πόσο διαρκούν τα cookies
- Πώς μπορεί να ανακληθεί η συγκατάθεση
Οι πληροφορίες αυτές πρέπει να παρουσιάζονται με σαφήνεια και σε απλή γλώσσα. Μια πολιτική cookies 5.000 λέξεων θαμμένη πίσω από τρία κλικ δεν καθιστά τη συγκατάθεση «εν πλήρει επιγνώσει» με κανένα ουσιαστικό τρόπο. Το πρώτο επίπεδο του μηχανισμού συγκατάθεσής σας πρέπει να περιλαμβάνει αρκετές πληροφορίες ώστε ο χρήστης να λάβει μια τεκμηριωμένη απόφαση.
4. Ρητή
Η συγκατάθεση απαιτεί μια σαφή θετική ενέργεια. Ο χρήστης πρέπει να κάνει ενεργά κάτι για να δηλώσει τη συγκατάθεσή του — πάτημα κουμπιού, επιλογή πλαισίου, εναλλαγή διακόπτη.
Τι ΔΕΝ συνιστά ρητή συγκατάθεση:
- Προεπιλεγμένα πλαίσια ελέγχου. Το ΔΕΕ αποφάνθηκε οριστικά στην υπόθεση Planet49 (Υπόθεση C-673/17, Οκτώβριος 2019) ότι τα προεπιλεγμένα πλαίσια δεν συνιστούν έγκυρη συγκατάθεση. Αυτό ισχύει για ρυθμίσεις συγκατάθεσης cookies όπου οι κατηγορίες είναι επιλεγμένες εξ ορισμού.
- Συνέχιση της περιήγησης. Το «Συνεχίζοντας να χρησιμοποιείτε αυτόν τον ιστότοπο, συναινείτε στα cookies» δεν συνιστά έγκυρη συγκατάθεση. Η απλή κύλιση ή το πάτημα ενός συνδέσμου δεν αποτελεί «ρητή ένδειξη». Πολλές αρχές προστασίας δεδομένων το έχουν επιβεβαιώσει, και οι κατευθυντήριες γραμμές του EDPB είναι σαφείς επί του θέματος.
- Ρυθμίσεις προγράμματος περιήγησης. Η στήριξη στις ρυθμίσεις του προγράμματος περιήγησης του χρήστη ως μορφή συγκατάθεσης έχει απορριφθεί από τις ρυθμιστικές αρχές. Ο διαχειριστής του ιστότοπου πρέπει να λαμβάνει τη συγκατάθεση απευθείας.
- Σιωπή ή αδράνεια. Εάν ο χρήστης αγνοήσει το banner και συνεχίσει την περιήγηση, αυτό δεν αποτελεί συγκατάθεση. Δεν πρέπει να τοποθετούνται cookies μέχρι ο χρήστης να έχει κάνει μια ενεργή επιλογή.
5. Προηγούμενη
Αν και δεν αναφέρεται ως ξεχωριστό στοιχείο στο Άρθρο 4(11) του GDPR, η Οδηγία ePrivacy καθιστά σαφές ότι η συγκατάθεση πρέπει να λαμβάνεται πριν από την τοποθέτηση των cookies. Αυτή είναι η απαίτηση που πολλοί ιστότοποι εξακολουθούν να μην πληρούν. Τα scripts που εκτελούνται κατά τη φόρτωση της σελίδας — τοποθετώντας cookies αναλυτικών στοιχείων και μάρκετινγκ πριν καν ο χρήστης δει το banner συγκατάθεσης — παραβιάζουν αυτή τη θεμελιώδη απαίτηση.
Τεχνικά, αυτό σημαίνει ότι τα μη απαραίτητα scripts πρέπει να αποκλείονται μέχρι να δοθεί η συγκατάθεση. Η απλή εμφάνιση ενός banner ενώ τα cookies τοποθετούνται ήδη δεν ικανοποιεί την απαίτηση της προηγούμενης συγκατάθεσης.
Πώς Μοιάζει η Έγκυρη Συγκατάθεση στην Πράξη
Μια συμμορφωμένη υλοποίηση συγκατάθεσης για cookies:
- Αποκλείει όλα τα μη απαραίτητα cookies πριν ο χρήστης αλληλεπιδράσει με τον μηχανισμό συγκατάθεσης.
- Παρουσιάζει ένα σαφές πρώτο επίπεδο που εξηγεί τις κατηγορίες των cookies που χρησιμοποιούνται, με επιλογές αποδοχής ή απόρριψης κάθε κατηγορίας.
- Προσφέρει «Αποδοχή Όλων» και «Απόρριψη Όλων» στο ίδιο επίπεδο ευκρίνειας — ίδιο μέγεθος, ίδιο οπτικό βάρος, ίδιος αριθμός απαιτούμενων κλικ.
- Δεν χρησιμοποιεί σκοτεινά μοτίβα (dark patterns) — χωρίς παραπλανητικά χρώματα κουμπιών, χωρίς κρυμμένες επιλογές απόρριψης, χωρίς μπερδεμένη γλώσσα, χωρίς παρώθηση προς την αποδοχή.
- Συνδέει με μια αναλυτική πολιτική cookies που παραθέτει κάθε cookie ανά όνομα, σκοπό, διάρκεια και πάροχο.
- Καταγράφει τη συγκατάθεση με χρονοσήμανση και τις συγκεκριμένες κατηγορίες που ο χρήστης αποδέχτηκε ή απέρριψε.
- Εκτελεί τα σχετικά scripts μόνο αφού δοθεί η συγκατάθεση για τη συγκεκριμένη κατηγορία.
Ο Κύκλος Ζωής της Συγκατάθεσης
Η συγκατάθεση δεν είναι ένα εφάπαξ γεγονός. Έχει έναν κύκλο ζωής που η υλοποίησή σας πρέπει να υποστηρίζει:
Συλλογή
Πρώτη επίσκεψη: εμφανίστε τον μηχανισμό συγκατάθεσης, αποκλείστε τα μη απαραίτητα cookies, περιμένετε ενέργεια από τον χρήστη.
Αποθήκευση
Όταν δίνεται η συγκατάθεση, αποθηκεύστε την επιλογή του χρήστη σε ένα απολύτως αναγκαίο cookie (δεν απαιτείται συγκατάθεση για αυτό το cookie, καθώς είναι απαραίτητο για τον σεβασμό των προτιμήσεων απορρήτου του χρήστη). Αποθηκεύστε επίσης μια εγγραφή στην πλευρά του διακομιστή ως αποδεικτικό της συγκατάθεσης.
Εφαρμογή
Στις επόμενες φορτώσεις σελίδων, διαβάστε το cookie συγκατάθεσης και εκτελέστε μόνο τα scripts που αντιστοιχούν στις κατηγορίες που ο χρήστης αποδέχτηκε. Μην εμφανίσετε ξανά το banner — σεβαστείτε την αποθηκευμένη επιλογή.
Ανάκληση
Το Άρθρο 7(3) του GDPR είναι σαφές: «Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της.» Ο ιστότοπός σας πρέπει να παρέχει έναν μόνιμο, εύκολα προσβάσιμο τρόπο ώστε οι χρήστες να μπορούν να αλλάζουν τις προτιμήσεις τους για τα cookies ανά πάσα στιγμή. Μια συνηθισμένη προσέγγιση είναι ένα μικρό εικονίδιο ή σύνδεσμος στο υποσέλιδο που ανοίγει εκ νέου τη διεπαφή διαχείρισης συγκατάθεσης.
Ανανέωση
Η συγκατάθεση δεν διαρκεί για πάντα. Η CNIL συνιστά την ανανέωση της συγκατάθεσης κάθε 13 μήνες. Το EDPB δεν έχει ορίσει συγκεκριμένη διάρκεια, αλλά απαιτεί η συγκατάθεση να παραμένει έγκυρη και η επιλογή του χρήστη να εξακολουθεί να αντικατοπτρίζει την πραγματική του βούληση. Η βέλτιστη πρακτική είναι η εκ νέου προτροπή τουλάχιστον μία φορά τον χρόνο ή όποτε η χρήση cookies σας αλλάζει σημαντικά.
Αλλαγές
Εάν προσθέσετε νέα cookies, νέες υπηρεσίες τρίτων ή νέους σκοπούς, η υφιστάμενη συγκατάθεση ενδέχεται να μην τα καλύπτει πλέον. Οι χρήστες θα πρέπει να προτραπούν εκ νέου να δώσουν (ή να αρνηθούν) τη συγκατάθεσή τους για τη νέα επεξεργασία.
Εγγραφές Συγκατάθεσης και Απόδειξη
Το Άρθρο 7(1) του GDPR ορίζει: «Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε.» Για τη συγκατάθεση cookies, αυτό σημαίνει ότι πρέπει να τηρείτε εγγραφές για:
- Πότε δόθηκε η συγκατάθεση (χρονοσήμανση)
- Σε τι συγκατατέθηκε ο χρήστης (ποιες κατηγορίες έγιναν αποδεκτές, ποιες απορρίφθηκαν)
- Πώς συλλέχθηκε η συγκατάθεση (πώς έμοιαζε ο μηχανισμός συγκατάθεσης εκείνη τη στιγμή — ένα αναγνωριστικό έκδοσης ή στιγμιότυπο οθόνης)
- Ποιος έδωσε τη συγκατάθεση (συνήθως ένα ανωνυμοποιημένο αναγνωριστικό, όχι το όνομα του χρήστη)
Εάν μια ρυθμιστική αρχή σας ζητήσει να αποδείξετε ότι ένα συγκεκριμένο cookie τοποθετήθηκε με έγκυρη συγκατάθεση, αυτές οι εγγραφές είναι η άμυνά σας. Χωρίς αυτές, δεν έχετε αποδεικτικά στοιχεία ότι ο μηχανισμός συγκατάθεσής σας λειτουργεί — και το βάρος της απόδειξης το φέρετε εσείς, όχι η ρυθμιστική αρχή.
Συνηθισμένες Αστοχίες Συγκατάθεσης
Με βάση τις δράσεις επιβολής σε ολόκληρη την Ευρώπη, αυτές είναι οι πιο συχνά τιμωρούμενες αστοχίες συγκατάθεσης:
- Cookies που τοποθετούνται πριν από τη συγκατάθεση. Scripts αναλυτικών στοιχείων και μάρκετινγκ που εκτελούνται κατά τη φόρτωση της σελίδας, πριν ο χρήστης αλληλεπιδράσει με το banner.
- Απουσία επιλογής απόρριψης στο πρώτο επίπεδο. Απαίτηση από τους χρήστες να πατήσουν «Ρυθμίσεις» ή «Διαχείριση προτιμήσεων» για να απορρίψουν τα cookies, ενώ το «Αποδοχή Όλων» είναι άμεσα διαθέσιμο.
- Προεπιλεγμένες κατηγορίες. Διακόπτες συγκατάθεσης που έχουν εξ ορισμού ρυθμιστεί σε «ενεργό» για τα αναλυτικά στοιχεία και το μάρκετινγκ.
- Καμία δυνατότητα ανάκλησης της συγκατάθεσης. Αφού απορριφθεί το banner, δεν υπάρχει τρόπος για τον χρήστη να αλλάξει την επιλογή του.
- Consent wall / cookie wall. Αποκλεισμός της πρόσβασης στο περιεχόμενο εκτός εάν γίνουν αποδεκτά όλα τα cookies.
- Παραπλανητικός σχεδιασμός. Χρήση πράσινου για το «Αποδοχή» και γκρι για το «Απόρριψη», μεγαλύτερο κουμπί αποδοχής, ή χρήση μπερδεμένης γλώσσας όπως «Συνέχεια χωρίς αποδοχή» έναντι «Αποδοχή και συνέχεια».
Το Passiro σαρώνει την υλοποίηση συγκατάθεσης για cookies του ιστότοπού σας και ελέγχει για αυτές τις συνηθισμένες αστοχίες, βοηθώντας σας να εντοπίσετε και να διορθώσετε κενά συμμόρφωσης προτού το κάνει μια ρυθμιστική αρχή.
Επόμενο: πότε ακριβώς απαιτείται συγκατάθεση; Η απάντηση περιλαμβάνει μερικές σημαντικές αποχρώσεις, όπως την εξαίρεση των απολύτως αναγκαίων cookies και τη συνεχιζόμενη συζήτηση γύρω από τα αναλυτικά στοιχεία πρώτου μέρους (first-party analytics).
Σε αυτή την ενότητα
Συμμορφώνεται ο ιστότοπός σας με τους κανονισμούς cookies;
Σαρώστε τον ιστότοπό σας δωρεάν και βρείτε όλα τα cookies σε λίγα λεπτά.
Σαρώστε τα cookies σας δωρεάν