Τι λέει ο GDPR για τα Cookies;

Τα cookies, οι διευθύνσεις IP και παρόμοια διαδικτυακά αναγνωριστικά αντιμετωπίζονται ρητά στην Αιτιολογική Σκέψη 30 του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR), η οποία αναφέρει: “Τα φυσικά πρόσωπα ενδέχεται να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας [...] όπως είναι οι διευθύνσεις πρωτοκόλλου διαδικτύου, τα αναγνωριστικά των cookies ή άλλα αναγνωριστικά όπως οι ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων.” Αυτή η ταξινόμηση υπογραμμίζει ότι τα cookies, όταν χρησιμοποιούνται για την ταυτοποίηση ατόμων—είτε άμεσα είτε έμμεσα—αποτελούν δεδομένα προσωπικού χαρακτήρα (Αιτιολογική Σκέψη 30 του GDPR).

Τα βασικά ευρήματα από τη νομική και κανονιστική ανάλυση περιλαμβάνουν:

• Τα cookies ως Δεδομένα Προσωπικού Χαρακτήρα: Ο GDPR αναγνωρίζει τα cookies ως δεδομένα προσωπικού χαρακτήρα όταν μπορούν να ταυτοποιήσουν έναν χρήστη, ακόμη και σε συνδυασμό με άλλα δεδομένα.
• Απαίτηση Συναίνεσης: Το Άρθρο 6 και η Αιτιολογική Σκέψη 32 απαιτούν έγκυρη συναίνεση πριν από την εγκατάσταση μη απαραίτητων cookies. Η συναίνεση πρέπει να είναι ελεύθερη, συγκεκριμένη, εν πλήρει επιγνώσει, και αδιαμφισβήτητη. Τα προεπιλεγμένα πλαίσια ή η αδράνεια δεν συνιστούν συναίνεση (Κατευθυντήριες Γραμμές ΕΣΠΔ 05/2020).
• Διαφάνεια: Οι ιστότοποι πρέπει να ενημερώνουν με σαφήνεια τους χρήστες σχετικά με τους τύπους και τους σκοπούς των cookies πριν από τη λήψη της συναίνεσης. Αυτό περιλαμβάνει:
  • Την ταυτότητα του υπεύθυνου επεξεργασίας δεδομένων
  • Τους ακριβείς σκοπούς για τους οποίους χρησιμοποιούνται τα cookies
  • Τα τρίτα μέρη που εμπλέκονται
• Δικαίωμα Ανάκλησης της Συναίνεσης: Οι χρήστες πρέπει να μπορούν να ανακαλέσουν τη συναίνεση τόσο εύκολα όσο την έδωσαν (Άρθρο 7(3) του GDPR).
• Λογοδοσία: Οι οργανισμοί πρέπει να είναι σε θέση να αποδείξουν ότι έχει ληφθεί έγκυρη συναίνεση για όλα τα μη απαραίτητα cookies.

Εμπειρικές μελέτες υποδεικνύουν σημαντικά κενά συμμόρφωσης μεταξύ των ιστοτόπων, με πολλούς να αποτυγχάνουν να εφαρμόσουν μηχανισμούς για αναλυτική συναίνεση, ή να χρησιμοποιούν εξ ορισμού μη συμμορφούμενα μοντέλα εξαίρεσης (opt-out) (Degeling et al., 2019). Οι κανονιστικές ενέργειες έχουν ενισχύσει την ανάγκη για ρητούς μηχανισμούς συναίνεσης (opt-in), ιδιαίτερα για τα cookies παρακολούθησης και διαφήμισης.

Συνοπτικά, σύμφωνα με τον GDPR, τα cookies που μπορούν να ταυτοποιήσουν ένα άτομο είναι δεδομένα προσωπικού χαρακτήρα· επομένως, η χρήση τους ρυθμίζεται αυστηρά μέσω απαιτήσεων για εν επιγνώσει, ρητή συναίνεση και διαφάνεια. Η μη συμμόρφωση μπορεί να οδηγήσει σε σημαντικές κυρώσεις, όπως αποδεικνύεται από πρόσφατες ενέργειες επιβολής στην ΕΕ.