Α. Σχετική νομοθεσία:
Α.1. Εθνική νομοθεσία: αρ. 4 παρ. 5 Ν. 3471/2006:
«5. Η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνο αν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεση του μετά από σαφή και εκτενή ενημέρωση κατά την παρ. 1 του άρθρου 11 του ν. 2472/1997. όπως ισχύει. Η συγκατάθεση του συνδρομητή ή χρήστη μπορεί να δίδεται μέσω κατάλληλων ρυθμίσεων στο φυλλομετρητή ιστού ή μέσω άλλης εφαρμογής. Τα παραπάνω δεν εμποδίζουν την οποιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μίας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή η οποία είναι αναγκαία για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής. Με πράξη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) ορίζονται ειδικότερα οι τρόποι παροχής πληροφοριών και δήλωσης της συγκατάθεσης» .
Α.2. Οδηγία ePrivacy: αρ. 5 παρ. 3 (Ο∆ΗΓΙΑ 2002/58/ΕΚ):
«3. Τα κράτη µέλη µεριµνούν ώστε η χρήση των δικτύων ηλεκτρονικών επικοινωνιών για την αποθήκευση πληροφοριών ή την απόκτηση προσβάσεως σε πληροφορίες αποθηκευµένες στον τερµατικό εξοπλισµό συνδροµητή ή χρήστη να επιτρέπεται µόνον εάν παρέχονται στον συγκεκριµένο συνδροµητή ή χρήστη σαφείς και εκτεταµένες πληροφορίες σύµφωνα µε την οδηγία 95/46/ΕΚ, µεταξύ άλλων για το σκοπό της επεξεργασίας, και ο υπεύθυνος ελέγχου των δεδοµένων τού παρέχει το δικαίωµα να αρνείται την επεξεργασία αυτή. Τούτο δεν εµποδίζει οιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια ή η διευκόλυνση της διαβίβασης µιας επικοινωνίας µέσω δικτύου ηλεκτρονικών επικοινωνιών που είναι αναγκαία µόνο για την παροχή υπηρεσίας στην κοινωνία των πληροφοριών την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδροµητής».
Β. Αναφορικά με την χρήση cookies, ποια cookies εξαιρούνται από την υποχρέωση εξασφάλισης συγκατάθεσης του υποκειμένου/χρήστη σύμφωνα με τη νομοθεσία;
Εξαιρούνται τα cookies εκείνα που θεωρούνται τεχνικά απαραίτητα για την πραγματοποίηση της σύνδεσης στην ιστοσελίδα ή για την παροχή της υπηρεσίας διαδικτύου.
Γ. Διευκρινιστικά, τα cookies που εμπίπτουν στην παραπάνω εξαίρεση, ήτοι τις κατηγορίες των cookies για τη χρήση των οποίων δεν απαιτείται η εξασφάλιση της συγκατάθεσης του υποκειμένου των δεδομένων υπό την προϋπόθεση πάντα ότι δεν χρησιμοποιούνται για άλλους σκοπούς επεξεργασίας:
- Cookies που είναι απαραίτητα για την αναγνώριση ή/και διατήρηση περιεχομένου που εισάγει ο συνδρομητής ή χρήστης κατά τη διάρκεια μίας σύνδεσης (session) σε ιστοσελίδα καθ’ όλη τη διάρκεια της συγκεκριμένης σύνδεσης. Για παράδειγμα τέτοια cookies είναι απαραίτητα κατά τη συμπλήρωση μίας ηλεκτρονικής φόρμας από τον χρήστη. Στην ίδια κατηγορία εντάσσονται και τα «επίμονα» (persistent) cookies που εγκαθίστανται για τον ίδιο σκοπό και διαρκούν για διάστημα μερικών ωρών.
- Cookies που είναι απαραίτητα για την αυθεντικοποίηση του συνδρομητή ή χρήστη σε υπηρεσίες που απαιτούν αυθεντικοποίηση (π.χ. κατά την πραγματοποίηση μίας τραπεζικής συναλλαγής μέσω του διαδικτύου).
- Cookies που εγκαθίστανται με σκοπό την ασφάλεια του συνδρομητή ή χρήστη, όπως για παράδειγμα cookies που εντοπίζουν επαναλαμβανόμενες αποτυχημένες προσπάθειες εισόδου στον λογαριασμό ενός χρήστη σε μία συγκεκριμένη ιστοσελίδα.
- Cookies με πολυμεσικό περιεχόμενο, όπως flash player cookies, κατά τη διάρκεια μίας σύνδεσης (session) σε ιστοσελίδα. Τέτοια είναι για παράδειγμα τα cookies που εγκαθίστανται με την προβολή ενός βίντεο στην ιστοσελίδα που έχει επισκεφτεί ο χρήστης.
- Cookies που είναι απαραίτητα για την πραγματοποίηση της τεχνικής της κατανομής φορτίου (load balancing) σε μία σύνδεση σε ιστοσελίδα του διαδικτύου.
- Cookies που «θυμούνται» τις επιλογές του συνδρομητή ή χρήστη σχετικά με την παρουσίαση της ιστοσελίδας (π.χ. «cookies» που αφορούν την επιλογή της γλώσσας ή της παρουσίασης αποτελεσμάτων αναζήτησης σε μία ιστοσελίδα). Προσοχή, εξαιρούνται μόνο αν θυμούνται τις επιλογές του χρήστη βραχυπρόθεσμα (π.χ. για διάστημα ελάχιστης ώρας).
- Cookies που εγκαθίστανται μέσω πρόσθετων προγραμμάτων (plug ins) σε ιστοσελίδες κοινωνικών δικτύων και αφορούν στο διαμοιρασμό περιεχομένου μεταξύ των πιστοποιημένων μελών που έχουν ήδη πραγματοποιήσει σύνδεση (logged in).
Δ. Κατηγορίες Cookies που εξαιρούνται από την υποχρέωση εξασφάλισης συγκατάθεσης του υποκειμένου των δεδομένων σύμφωνα με τις συστάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ):
Οι εξαιρέσεις αναγράφονται και στο από 25.02.2020 δελτίο τύπου της ΑΠΔΠΧ και αυτολεξεί αναφέρονται ως cookies που χρησιμοποιούνται:
- για την αναγνώριση ή/και διατήρηση περιεχομένου που εισάγει ο συνδρομητής ή
- χρήστης κατά τη διάρκεια μιας σύνδεσης (session) σε ιστοσελίδα καθ’ όλη τη διάρκεια της συγκεκριμένης σύνδεσης,
- για τη σύνδεση του συνδρομητή ή χρήστη σε υπηρεσίες που απαιτούν αυθεντικοποίηση,
- για την ασφάλεια του χρήστη,
- για την πραγματοποίηση της τεχνικής της κατανομής φορτίου (load balancing) σε μία σύνδεση σε ιστοσελίδα του διαδικτύου,
- για τη διατήρηση των επιλογών του χρήστη σχετικά με την παρουσίαση της ιστοσελίδας, π.χ. επιλογή γλώσσας, αποθήκευση ιστορικού αναζητήσεων.
Δ.1. Για ποια cookies χρειάζεται τελικά η συγκατάθεση του υποκειμένου των δεδομένων (χρήστη);
- Για την τοποθέτηση ενός ιχνηλάτη σε τερματική συσκευή απαιτείται κατ’ αρχήν η συγκατάθεση του χρήστη, ανεξάρτητα αν μέσω αυτού πραγματοποιείται τελικά επεξεργασία προσωπικών δεδομένων (Γενικός Κανόνας).
- Οι ιχνηλάτες που εξαιρούνται από την υποχρέωση λήψης συγκατάθεσης είναι εκείνοι που θεωρούνται τεχνικά απαραίτητοι κατά τα παραπάνω παραδείγματα- κατηγορίες.
- Οι ιχνηλάτες που εγκαθίστανται με σκοπό τη διαδικτυακή διαφήμιση (online advertizing) δεν εμπίπτουν στην εξαίρεση περί μη λήψης της συγκατάθεσης του χρήστη της ιστοσελίδας, επομένως επιτρέπονται μόνο εφόσον έχει ληφθεί προηγουμένως η συγκατάθεση του χρήστη κατόπιν κατάλληλης ενημέρωσης.
- Η χρήση ιχνηλατών τρίτων, όπως η υπηρεσία Google Analytics με σκοπό την στατιστική ανάλυση (web analytics), μπορεί να γίνει μόνο κατόπιν συγκατάθεσης του χρήστη της ιστοσελίδας.
Δ.2. Τρόπος ενημέρωσης για την χρήση cookies βάσει των συστάσεων της ΑΠΔΠΧ:
- Η ενημέρωση και η συγκατάθεση μπορεί να δίδονται μέσω της ιστοσελίδας του παρόχου υπηρεσίας του διαδικτύου με χρήση κατάλληλων μηχανισμών (π.χ. με αναδυόμενα παράθυρα (pop up) ή με ένα ενημερωτικό πλαίσιο (banner).
- Είναι θεμιτή η παροχή της ενημέρωσης μέσω πολλών επιπέδων, αρκεί να εξασφαλιστεί ότι η συγκατάθεση του χρήστη ζητείται αφού έχει ενημερωθεί ειδικά ο χρήστης, τουλάχιστον για τις κατηγορίες ιχνηλατών που χρησιμοποιούνται.
- Μέσω του ενημερωτικού μηνύματος (είτε πρόκειται για αναδυόμενο παράθυρο είτε για άλλο μέσο) πρέπει να παρέχεται ειδική ενημέρωση για το σκοπό του κάθε ιχνηλάτη που χρησιμοποιείται, και όχι γενική ενημέρωση για την χρήση ιχνηλατών.
- Για κάθε ιχνηλάτη ή κατηγορία ιχνηλατών ιδίου σκοπού θα πρέπει να αναφέρονται η διάρκεια λειτουργίας, η ταυτότητα του υπευθύνου της επεξεργασίας, οι αποδέκτες ή οι κατηγορίες αποδεκτών των δεδομένων.
- Το περιεχόμενο της ενημέρωσης θα πρέπει να είναι ευανάγνωστο ανεξαρτήτως της τερματικής συσκευής από όπου γίνεται η πρόσβαση (φορητή ή σταθερή συσκευή).