Οδηγίες σχετικά με τα cookies
Οι παρακάτω οδηγίες εφαρμόζονται σε HTTP/S cookies, σε flash cookies, στον “τοπικό αποθηκευτικό χώρο” (local storage) που εφαρμόζεται στην HTML 5, σε αναγνώριση με τον υπολογισμό του ψηφιακού αποτυπώματος της τερματικής συσκευής, σε αναγνωριστικά που δημιουργούνται από τα λειτουργικά συστήματα (είτε προορίζονται για σκοπό διαφήμισης είτε όχι: IDFA, IDFV, Android ID κ.λπ.), σε αναγνωριστικά υλικού (διεύθυνση MAC, σειριακό αριθμό ή άλλο αναγνωριστικό συσκευής) κ.λπ.
Στο κείμενο που ακολουθεί χρησιμοποιείται ο όρος ιχνηλάτης (“tracker”) ως ο πιο κατάλληλος να αποτυπώσει τις τεχνικές αυτές.
- Υποχρέωση λήψης συγκατάθεσης και εξαιρέσεις
Για την τοποθέτηση ενός ιχνηλάτη σε τερματική συσκευή απαιτείται κατ’ αρχήν η συγκατάθεση του χρήστη, ανεξάρτητα αν μέσω αυτού πραγματοποιείται τελικά επεξεργασία προσωπικών δεδομένων.
Οι ιχνηλάτες που εξαιρούνται από την υποχρέωση λήψης συγκατάθεσης είναι εκείνοι που θεωρούνται τεχνικά απαραίτητοι για την πραγματοποίηση της σύνδεσης στην ιστοσελίδα ή για την παροχή της υπηρεσίας διαδικτύου την οποία έχει ζητήσει ο ίδιος ο χρήστης.
Ενδεικτικές κατηγορίες ιχνηλατών (cookies και συναφών τεχνολογιών) που εμπίπτουν στην παραπάνω εξαίρεση είναι όσοι είναι απαραίτητοι:
- για την αναγνώριση ή/και διατήρηση περιεχομένου που εισάγει ο συνδρομητής ή χρήστης κατά τη διάρκεια μιας σύνδεσης (session) σε ιστοσελίδα καθ’ όλη τη διάρκεια της συγκεκριμένης σύνδεσης,
- για τη σύνδεση του συνδρομητή ή χρήστη σε υπηρεσίες που απαιτούν αυθεντικοποίηση
- για την ασφάλεια του χρήστη
- για την πραγματοποίηση της τεχνικής της κατανομής φορτίου (load balancing) σε μία σύνδεση σε ιστοσελίδα του διαδικτύου
- για τη διατήρηση των επιλογών του χρήστη σχετικά με την παρουσίαση της ιστοσελίδας, π.χ. επιλογή γλώσσας, αποθήκευση ιστορικού αναζητήσεων.
Οι ιχνηλάτες που εγκαθίστανται με σκοπό τη διαδικτυακή διαφήμιση (online advertizing) δεν εμπίπτουν στην εξαίρεση, επομένως επιτρέπονται μόνο εφόσον έχει ληφθεί προηγουμένως η συγκατάθεση του χρήστη κατόπιν κατάλληλης ενημέρωσης.
Η χρήση ιχνηλατών τρίτων, όπως η υπηρεσία Google Analytics με σκοπό την στατιστική ανάλυση (web analytics), μπορεί να γίνει μόνο κατόπιν συγκατάθεσης του χρήστη της ιστοσελίδας.
Κακές πρακτικές
Γίνεται χρήση ιχνηλατών απαραίτητων για τη λειτουργία της ιστοσελίδας, αλλά δεν παρέχεται καμία ενημέρωση στο χρήστη.
Η χρήση Google Analytics με σκοπό τη στατιστική ανάλυση (web analytics) γίνεται μόνο με ενημέρωση στο χρήστη χωρίς να δίνεται η δυνατότητα απόρριψης ή χωρίς καν ενημέρωση.
Β. Τρόπος και περιεχόμενο ενημέρωσης
Η ενημέρωση και η συγκατάθεση μπορεί να δίδονται μέσω της ιστοσελίδας του παρόχου υπηρεσίας του διαδικτύου με χρήση κατάλληλων μηχανισμών (π.χ. με αναδυόμενα παράθυρα (pop up) ή με ένα ενημερωτικό πλαίσιο (banner).
Είναι θεμιτή η παροχή της ενημέρωσης μέσω πολλών επιπέδων, αρκεί να εξασφαλιστεί ότι η συγκατάθεση του χρήστη ζητείται αφού έχει ενημερωθεί ειδικά ο χρήστης, τουλάχιστον για τις κατηγορίες ιχνηλατών που χρησιμοποιούνται.
Μέσω του ενημερωτικού μηνύματος (είτε πρόκειται για αναδυόμενο παράθυρο είτε για άλλο τρόπο) πρέπει να παρέχεται ειδική ενημέρωση για το σκοπό του κάθε ιχνηλάτη που χρησιμοποιείται, και όχι γενική ενημέρωση για την χρήση ιχνηλατών.
Για κάθε ιχνηλάτη ή κατηγορία ιχνηλατών ιδίου σκοπού θα πρέπει να αναφέρονται η διάρκεια λειτουργίας, η ταυτότητα του υπευθύνου της επεξεργασίας, οι αποδέκτες ή οι κατηγορίες αποδεκτών των δεδομένων.
Το περιεχόμενο της ενημέρωσης θα πρέπει να είναι ευανάγνωστο ανεξαρτήτως της τερματικής συσκευής από όπου γίνεται η πρόσβαση (φορητή ή σταθερή συσκευή).
Κακές πρακτικές
Παρέχεται μόνο μια γενική ενημέρωση για τη χρήση ιχνηλατών μέσα σε ένα γενικό κείμενο πολιτικής προστασίας δεδομένων.
Η ενημέρωση για τη χρήση ιχνηλατών στο πρώτο επίπεδο του αναδυόμενου παραθύρου περιορίζεται μόνο σε γενικό κείμενο το οποίο αναφέρει ότι χρησιμοποιούνται τέτοιες τεχνικές, π.χ. cookies για την καλύτερη εμπειρία, καλύτερη παρουσίαση, κτλ.
Το κείμενο της ενημέρωσης δεν είναι ευανάγνωστο λόγω της μη προσαρμογής στο είδος της τερματικής συσκευής από όπου γίνεται η πρόσβαση (φορητή ή σταθερή συσκευή).
Γ. Τρόπος λήψης συγκατάθεσης
H συγκατάθεση απαιτεί σαφή θετική ενέργεια. Προσυμπληρωμένα τετραγωνίδια, απλή συνέχιση πλοήγησης ή κύλιση οθόνης (scrolling) δεν είναι αποδεκτοί τρόποι παροχής συγκατάθεσης.
Δεν θεωρείται ότι υπάρχει συγκατάθεση του χρήστη στην περίπτωση κατά την οποία το πρόγραμμα πλοήγησης έχει ως επιλογή την αποδοχή των cookies.
Ελλείψει οποιασδήποτε εκδήλωσης επιλογής (ούτε αποδοχής ούτε απόρριψης), δεν πρέπει να γίνεται χρήση κανενός μη απαραίτητου ιχνηλάτη.
Θα πρέπει ο χρήστης να μπορεί, με τον ίδιο αριθμό ενεργειών («κλικ») και από το ίδιο επίπεδο, είτε να αποδέχεται τη χρήση των ιχνηλατών (εκείνων για τους οποίους απαιτείται συγκατάθεση) είτε να την απορρίπτει, είτε όλους είτε κάθε κατηγορία ξεχωριστά.
Ο χρήστης πρέπει να έχει τη δυνατότητα να ανακαλέσει τη συγκατάθεσή του με τον ίδιο τρόπο και με την ίδια ευκολία με τον οποίο τη δήλωσε.
Η μη παροχή συγκατάθεσης για τη χρήση ιχνηλατών δεν πρέπει να οδηγεί σε αποκλεισμό από την πρόσβαση στο περιεχόμενο της ιστοσελίδας (αποφυγή “cookie wall”).
Για να διασφαλιστεί ότι ο χρήστης δεν έχει επηρεαστεί από επιλογές σχεδιασμού υπέρ της επιλογής αποδοχής έναντι της επιλογής απόρριψης, συνιστάται η χρήση κουμπιών και γραμματοσειράς ίδιου μεγέθους, τονισμού και χρώματος, που να προσφέρει την ίδια ευκολία ανάγνωσης.
Ανεξαρτήτως αποδοχής ή απόρριψης των ιχνηλατών, η επανεμφάνιση του αναδυόμενου παραθύρου, ώστε να ερωτηθεί ξανά ο χρήστης, πρέπει να γίνεται μετά από τον ίδιο χρόνο. Δηλαδή, η διάρκεια «τήρησης» της επιλογής του χρήστη είναι η ίδια είτε ο χρήστης απορρίψει είτε αποδεχτεί τους ιχνηλάτες. Εξυπακούεται ότι η χρήση ιχνηλάτη για την αποθήκευση αυτής της επιλογής ενός χρήστη εντάσσεται στα τεχνικά απαραίτητα.
Κακές πρακτικές
Για τη λήψη συγκατάθεσης υπάρχει απλά μια επιλογή της μορφής «Εντάξει, ενημερώθηκα» ή «Εντάξει, συμφωνώ», χωρίς δυνατότητα να συνεχιστεί απρόσκοπτα η πλοήγηση (με απομάκρυνση του εν λόγω μηνύματος) αν ο χρήστης δεν επιλέξει το ανωτέρω.
Δεν υπάρχει η δυνατότητα απόρριψης της χρήσης ιχνηλατών στο αναδυόμενο παράθυρο, παρά μόνο αποδοχής όλων.
Η δυνατότητα απόρριψης της χρήσης ιχνηλατών δίνεται μόνο σε δεύτερο επίπεδο πληροφοριών, δηλαδή μετά το «κλικ» σε υπερσύνδεσμο με «περισσότερες πληροφορίες», «ρυθμίσεις».
Το κλείσιμο του αναδυόμενου παραθύρου/ενημερωτικού πλαισίου οδηγεί σε χρήση των μη απαραίτητων ιχνηλατών.
Η συνέχιση πλοήγησης ή το κύλισμα (scrolling) μετά την εμφάνιση του αναδυόμενου παραθύρου οδηγεί σε εγκατάσταση των μη απαραίτητων ιχνηλατών.
Το μέγεθος και το χρώμα του κουμπιού «αποδοχή» ή «συγκατάθεση» προδιαθέτει έντονα το χρήστη στην επιλογή του, π.χ. είναι πολύ μεγάλο και με έντονο χρώμα ή/και είναι προεπιλεγμένο.
Το αναδυόμενο παράθυρο δίνει μόνο τη δυνατότητα αποδοχής των μη απαραίτητων ιχνηλατών παραπέμποντας σε μια γενική πολιτική προστασίας δεδομένων ή απορρήτου.
Μετά την αποδοχή ή την απόρριψη από το χρήστη, δεν υπάρχει τρόπος αλλαγής των προτιμήσεών του.
Μετά την αποδοχή ή την απόρριψη από τον χρήστη, μπορεί να πραγματοποιηθεί αλλαγή των προτιμήσεών του μόνο μέσω αλλαγής ρυθμίσεων του φυλλομετρητή ιστού.
Στην περίπτωση απόρριψης των ιχνηλατών, ο χρήστης καλείται συνεχώς μέσω του αναδυόμενου παραθύρου να κάνει νέα επιλογή. Δεν ισχύει το ίδιο όταν αποδεχτεί, αφού η επιλογή του αυτή διατηρείται για μεγαλύτερο χρονικό διάστημα.
Δ. Πρακτικό υπόδειγμα
Κατά την επίσκεψη του χρήστη στην ιστοσελίδα και αφού γίνει σχετικό cookies scan report, για τον εντοπισμό των cookies της ιστοσελίδας, να προβάλλεται ενημερωτικό μήνυμα, με το εξής περιεχόμενο (ή άλλο παρεμφερές, παρεχόμενο από σχετικό λογισμικό, τύπου Quantcast) :
«Ο ιστότοπός μας χρησιμοποιεί cookies δικά μας και τρίτων για να σας εξασφαλίζει μια τεχνικά βέλτιστη εμπειρία κατά την περιήγησή σας.»
Με επιλογές «Συμφωνώ» και «Ρυθμίσεις».
Η πρώτη επιλογή (Συμφωνώ) θα κλείνει την ενημερωτική μπάρα και θα συλλέγονται μόνο τα τεχνικά απαραίτητα cookies.
Η δεύτερη επιλογή (Ρυθμίσεις) θα ανοίγει ένα νέο παράθυρο, όπου θα δίνεται η δυνατότητα επιλογής των cookies, ως εξής:
Αποδέχομαι την χρήση cookies από την ιστοσελίδα και συγκεκριμένα αποδέχομαι την χρήση των ακολούθων cookies:
1) Αναγκαία cookies
Τα cookies αυτά είναι απαραίτητα για τη λειτουργία του ιστοτόπου και δεν είναι δυνατή η μη επιλογή τους από τον χρήστη.
2) Cookies Προτιμήσεων
Τα cookies αυτά αποθηκεύουν ανώνυμες πληροφορίες συμπεριφοράς του χρήστη, όπως προτιμήσεις, στατιστικά χρήσης, απόδοσης κλπ. Σκοπός τους είναι η βελτίωση της εμπειρίας περιήγησης του χρήστη.