Τι είναι η συμμόρφωση cookie με τον GDPR;

Η συμμόρφωση με τον GDPR για τα cookies επικεντρώνεται στη βασική απαίτηση για τους ιστότοπους να λαμβάνουν προηγούμενη, ρητή συγκατάθεση από τους χρήστες πριν αναπτύξουν cookies στις συσκευές τους. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) ορίζει ότι η εν λόγω συγκατάθεση πρέπει να είναι:

• Ελεύθερα δοσμένη
• Συγκεκριμένη
• Ενήμερη
• Αδιαμφισβήτητη

Αυτό το πρότυπο επιτυγχάνεται μόνο μέσω μιας θετικής ενέργειας—όπως το πάτημα ενός κουμπιού “αποδοχή”—και όχι μέσω παθητικής αποδοχής ή προεπιλεγμένων πλαισίων. Όπως σημειώνουν οι Toth & Wiesche (2022), “η απλή χρήση ενός ιστότοπου δεν μπορεί να ερμηνευθεί ως συγκατάθεση για τη χρήση cookies”.

Η εμπειρική ανάλυση των πρακτικών συμμόρφωσης αναδεικνύει ότι:

• Πολλοί ιστότοποι εξακολουθούν να χρησιμοποιούν μηχανισμούς σιωπηρής συγκατάθεσης ή ήπιας αποδοχής, οι οποίοι δεν πληρούν τα πρότυπα του GDPR.
• Η διαφάνεια των πληροφοριών παραμένει ασυνεπής. Σύμφωνα με μια μελέτη των Santos et al. (2022), λιγότερο από το 25% των εξεταζόμενων banners για cookies παρείχαν σαφείς και αναλυτικές πληροφορίες σχετικά με τους τύπους και τους σκοπούς των cookies που χρησιμοποιούνται.
• Η ανάκληση της συγκατάθεσης συχνά παραμελείται. Το άρθρο 7(3) του GDPR τονίζει ότι οι χρήστες πρέπει να μπορούν να ανακαλούν τη συγκατάθεσή τους τόσο εύκολα όσο την έδωσαν, ωστόσο λιγότεροι από τους μισούς από τους ιστότοπους του δείγματος προσέφεραν έναν απλό μηχανισμό ανάκλησης (Santos et al., 2022).

Η απόδειξη της συγκατάθεσης είναι μια άλλη κρίσιμη πτυχή. Ο GDPR επιβάλλει στους ιστότοπους να διατηρούν αρχεία με τις συγκαταθέσεις των χρηστών για να αποδεικνύουν τη συμμόρφωση σε περίπτωση ελέγχων ή διαφωνιών (“Ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του,” Άρθρο 7(1)). Στην πράξη, αυτό συχνά μεταφράζεται σε συστήματα backend που καταγράφουν χρονοσφραγίδες, αναγνωριστικά χρηστών και προτιμήσεις συγκατάθεσης (Toth & Wiesche, 2022).

Βασικά ευρήματα:

• Η έγκυρη συγκατάθεση βάσει του GDPR απαιτεί σαφή, ενεργή συμμετοχή του χρήστη.
• Η ανάκληση της συγκατάθεσης και τα αποδείξιμα αρχεία είναι απαραίτητα για την πλήρη συμμόρφωση.
• Οι περισσότεροι ιστότοποι υστερούν στην παροχή τόσο αναλυτικών πληροφοριών όσο και εύκολων επιλογών ανάκλησης.
• Η ρυθμιστική εστίαση μετατοπίζεται όλο και περισσότερο προς την επιβολή και τη λογοδοσία μέσω ελέγχων και προστίμων.

Αυτά τα αποτελέσματα υποδεικνύουν ένα επίμονο χάσμα μεταξύ των απαιτήσεων του GDPR και των ευρέως διαδεδομένων πρακτικών των ιστότοπων, υπογραμμίζοντας την ανάγκη για αυστηρή τεχνική υλοποίηση παράλληλα με τη νομική ενημέρωση.