Ιστοσελίδες, ηλεκτρονικά καταστήματα (e-shops) και GDPR – skondra.gr – Δικηγορικό Γραφείο Μαγδαληνής Σκόνδρα

Οι απαιτήσεις για τη συμμόρφωση των ιστοσελίδων και των e-shops με τη νομοθεσία για την προστασία προσωπικών δεδομένων

Ο Ευρωπαϊκός Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (ΕΕ 2016/679), γνωστός με το ακρωνύμιο GDPR, διανύει πλέον τον τρίτο χρόνο της ζωής του.

Παράλληλα, η πανδημία COVID-19, που ενέσκηψε στο σύνολο του πλανήτη από τις αρχές του 2020, οδήγησε σε αναστολή κάθε εμπορικής δραστηριότητας για μακρά χρονικά διαστήματα σε όλες σχεδόν τις χώρες του κόσμου.

Τα ηλεκτρονικά καταστήματα (e-shops) και γενικότερα το ηλεκτρονικό εμπόριο, υπήρξαν η προφανής μοναδική διέξοδος διατήρησης της εμπορικής επιχειρηματικής δραστηριότητας- και όχι μόνο. Ήταν δε αναμενόμενο να παρατηρηθεί μία έκρηξη των συμβάσεων εξ αποστάσεως πωλήσεων, η δημιουργία νέων ιστοσελίδων εμπορικών επιχειρήσεων ή ο εκσυγχρονισμός των παλαιότερων, καθώς και των ηλεκτρονικών καταστημάτων. Η έκρηξη αυτή συνεχίζεται αμείωτη μέχρι και σήμερα.

Παράλληλα, η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε μία όχι ιδιαίτερα ευτυχή συγκυρία, τον περασμένο Φεβρουάριο, και λίγες ημέρες πριν το πρώτο γενικό lockdown, δημοσίευσε τις επικαιροποιημένες οδηγίες και συστάσεις της για τη σύννομη λειτουργία των ιστοσελίδων, σε σχέση με ένα άλλο νομοθέτημα, αυτό του Νόμου 3471/2006. Πρόκειται για τον εθνικό μας νόμο, που ενσωμάτωσε την ευρωπαϊκή οδηγία 2002/58 περί προστασίας των προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες, όπως τροποποιήθηκε με την οδηγία 2009/136 και η οποία περιλαμβάνει τις ρυθμίσεις για τη νόμιμη εγκατάσταση «ιχνηλατών» στο τερματικό του χρήστη, ή αλλιώς τα γνωστά σε όλους μας “cookies”. Μάλιστα, στις συστάσεις της η ελληνική αρχή, διευκρίνιζε ότι σκόπευε να παράσχει προθεσμία 2 μηνών στις ιστοσελίδες, για τη συμμόρφωσή τους. Όμως η λήξη της προθεσμίας συνέπεσε με το παρατεταμένο «πάγωμα» του εμπορίου, της οικονομικής δραστηριότητας, αλλά και κάθε γνωστής έως τότε καθημερινότητας, που σε συνδυασμό με την δυσμενή ψυχολογία της αγοράς από την καθόλου ευοίωνη παγκόσμια εξέλιξη της πανδημίας, κατέστησαν την συμμόρφωση των ιστοσελίδων μάλλον δευτερεύουσα (αν όχι καθόλου) προτεραιότητα.

Παρ’ όλ’ αυτά, κάθε επιχείρηση που σέβεται το καταναλωτικό κοινό, τους πελάτες της, αλλά και γενικότερα, την εικόνα και την αξιοπιστία της, οφείλει να συμμορφωθεί προς κάθε πτυχή της νομοθεσίας που τυγχάνει εφαρμογής στις ιστοσελίδες και τα ηλεκτρονικά καταστήματα. Είναι δε πλέον γεγονός, ότι η επιτυχία μιας εταιρίας που δραστηριοποιείται στο ηλεκτρονικό εμπόριο, εν πολλοίς εξαρτάται από την λεγόμενη «ποιότητα εμπειρίας» (quality of experience-QoE), η οποία εκτός από τις καθαρά τεχνικές της πτυχές (όσον αφορά λ.χ. στην γρήγορη φόρτωση, στην ευκολία χρήσης του ηλεκτρονικού καταστήματος, στην αισθητική απεικόνιση, το συνολικό “layout” του ιστότοπου, την «ανταποκρισιμότητά» της σχεδίασής του σε κάθε είδος συσκευής -responsive design κλπ), σε μεγάλο βαθμό αφορά και την εμπιστοσύνη του αγοραστικού κοινού στον τρόπο με τον οποίο η επιχείρηση χρησιμοποιεί τα προσωπικά του δεδομένα.

Νομικές υποχρεώσεις μιας ιστοσελίδας ή ενός ηλεκτρονικού καταστήματος

Οι καλούμενες σε εφαρμογή νομικές διατάξεις στο πεδίο του ηλεκτρονικού εξ αποστάσεως επιχειρείν είναι ετερόκλιτες και ποικίλες. Ήδη αναφέραμε δύο εκ των βασικών νομοθετημάτων που είναι εφαρμοστέα εν προκειμένω, τον GDPR και το Ν. 3471/2006. Πέραν αυτών όμως, η εξ αποστάσεως πώληση αγαθών υπόκειται επιπλέον στο Ν. 2251/1994 περί προστασίας του καταναλωτή, καθώς και σε ένα πλέγμα προστατευτικών ενωσιακών διατάξεων του ίδιου δικαιικού πεδίου. Στο παρόν άρθρο, για λόγους έκτασης, θα περιοριστούμε στην σύντομη παράθεση των υποχρεώσεων εκ των δύο πρώτων νομοθετημάτων, που άπτονται της προστασίας δεδομένων προσωπικού χαρακτήρα. Επίσης, θα περιοριστούμε στις κλασικές ιστοσελίδες του παγκόσμιου ιστού, χωρίς επέκταση στα ηλεκτρονικά καταστήματα που φιλοξενούνται από πλατφόρμες κοινωνικής δικτύωσης, όπου ισχύουν πρόσθετες και διαφορετικές απαιτήσεις που χρήζουν εκτενούς και αυτοτελούς ανάλυσης.

1. Ο GDPR & οι ιστότοποι ηλεκτρονικού εμπορίου

Έχει πολλάκις γραφεί και άλλες τόσες ειπωθεί, ότι η συμμόρφωση με τον GDPR είναι μια συνεχής και δυναμική διαδικασία, που αφορά κάθε πτυχή της δραστηριότητας μιας επιχείρησης ή ενός φορέα, που επεξεργάζεται προσωπικά δεδομένα. Αυτό σημαίνει ότι μία επιχείρηση που δεν δραστηριοποιείται μόνο ηλεκτρονικά, οφείλει ήδη να έχει προβεί σε συμμόρφωση με αυτόν ήδη από τις 25.5.2018. Σε κάθε περίπτωση, με επίκεντρο τη θεματική του παρόντος άρθρου, θα εξετάσουμε καθ’ εαυτά τα ζητήματα εφαρμογής του Κανονισμού αυτού μόνο σε ότι αφορά τα ηλεκτρονικά καταστήματα.

Εκκινώντας από την παραδοχή ότι κάθε ηλεκτρονικό κατάστημα φιλοξενείται σε μία ιστοσελίδα, αυτονόητα, τα όσα θα αναλυθούν αφορούν εν μέρει και τις απλές ιστοσελίδες.

Όπως κάθε διαδικασία συμμόρφωσης με τον GDPR, το πρώτο βήμα που θα πρέπει να γίνει, είναι να «χαρτογραφηθούν» οι λειτουργίες της ιστοσελίδας, ώστε να εντοπιστούν αυτές που περιλαμβάνουν σε οποιοδήποτε στάδιό τους επεξεργασία προσωπικών δεδομένων. Αυτό περιλαμβάνει για παράδειγμα από την (περίπου αυτονόητη) συλλογή της διεύθυνσης ΙΡ, τη δημιουργία λογαριασμού χρήστη και την αυτοματοποιημένη -ή μη – αποστολή επιβεβαίωσης παραλαβής της παραγγελίας, έως την πιθανή συλλογή της τοποθεσίας του χρήστη και τον τόπο αποθήκευσης των δεδομένων σε διακομιστή που βρίσκεται σε χώρα εντός ή εκτός ΕΟΧ. Εδώ εντάσσεται ενδεικτικά, μεταξύ άλλων:

– Ο έλεγχος τήρησης των αρχών επεξεργασίας του άρθρου 5 του GDPR, και ιδίως της

αρχής της ελαχιστοποίησης των δεδομένων, που επιβάλλει την συλλογή μόνο των δεδομένων που είναι απολύτως απαραίτητα για το σκοπό που ζητούνται κάθε φορά
αρχής της διαφανούς και δίκαιης επεξεργασίας, που επιβάλλει την σύνταξη ειδοποιήσεων ενημέρωσης για την επεξεργασία των δεδομένων1. Αυτή η υποχρέωση περιλαμβάνει τόσο την λεγόμενη «πολιτική απορρήτου» η οποία θα πρέπει να παρουσιάζει σε απλή και κατανοητή γλώσσα όλα τα στοιχεία που απαριθμούνται στο άρθρο 13 και 14 του GDPR, όσο και τις just in time ενημερωτικές ειδοποιήσεις, οι οποίες θα πρέπει να εμφανίζονται έγκαιρα στον χρήστη, αμέσως πριν αυτός κληθεί να χορηγήσει δεδομένα του προσωπικού χαρακτήρα σε οποιαδήποτε διακριτή διαδικασία εντός της ιστοσελίδας (πχ για τη δήλωση συμμετοχής του σε μία κλήρωση ή ένα διαγωνισμό).
αρχής του περιορισμού της περιόδου αποθήκευσης των δεδομένων, που επιβάλλει την εισαγωγή αυτοματοποιημένων διαδικασιών διαγραφής δεδομένων που δεν είναι πια απαραίτητα για το σκοπό που συλλέχθηκαν
αρχής της ασφάλειας και της εμπιστευτικότητας της επεξεργασίας, που επιβάλλει για παράδειγμα την ενσωμάτωση πρωτοκόλλων κρυπτογραφημένης επικοινωνίας, ασφαλών διακομιστών και διαδικασιών ελέγχου της πρόσβασης.

– Ο έλεγχος και επιλογή της κατάλληλης νομικής βάσης του άρθρου 6 και της εξαίρεσης του άρθρου 9§2 του GDPR, εφόσον παρίσταται ανάγκη επεξεργασίας δεδομένων ειδικών κατηγοριών. Στη συνέχεια, η επιλεγείσα νομική βάση, θα πρέπει να αποτυπωθεί στα κείμενα της ενημέρωσης επεξεργασίας δεδομένων, στο αρχείο δραστηριοτήτων επεξεργασίας, όπου υπάρχει, και στην πολιτική προστασίας προσωπικών δεδομένων της επιχείρησης. Η κύρια δραστηριότητα της πώλησης μέσω του ηλεκτρονικού καταστήματος, θα καλεί σε εφαρμογή τη νομική βάση του άρθρου 6 παρ. 1β’ του GDPR (σύμβαση). Συναφώς, εκτενής ανάλυση της χρήσης της νομικής αυτής βάσης σε περιβάλλον διαδικτύου και των σημείων που χρήζουν προσοχής, απαντάται στις κατευθυντήριες γραμμές 2/2019 του ΕΣΠΔ. Ιδιαίτερη προσοχή απαιτείται επίσης, εάν ο έλεγχος αυτός οδηγήσει σε επιλογή των ακόλουθων νομικών βάσεων:

Έννομο συμφέρον: σε περίπτωση που ως καταλληλότερη νομική βάση επιλεγεί το έννομο συμφέρον, ίσως απαιτηθεί η εκπόνηση μελέτης στάθμισης του εννόμου συμφέροντος έναντι των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων2.
Συγκατάθεση3: σε περίπτωση που η επιλεγείσα νομική βάση είναι η συγκατάθεση, θα πρέπει να συνταχθεί ξεχωριστό κείμενο ενημέρωσης του χρήστη περί της σκοπούμενης επεξεργασίας για την οποία αυτή ζητείται και να σχεδιαστεί με ορθό τρόπο η τεχνική διαδικασία λήψης και αποθήκευσής της. Η συγκατάθεση για να θεωρηθεί έγκυρη, θα πρέπει να είναι ρητή και συγκεκριμένη, να δίνεται ελεύθερα, εν πλήρει επιγνώσει και με σαφή θετική ενέργεια του χρήστη. Αυτό -μεταξύ άλλων- περιλαμβάνει τον ορθό σχεδιασμό των επιλογών του χρήστη (ισότιμη παρουσίαση των επιλογών αποδοχής και άρνησης), επεξήγηση των συνεπειών της άρνησης παροχής της, διασφάλιση της εύκολης τεχνικά ανάκλησης της συγκατάθεσης με τον ίδιο τρόπο που αυτή δόθηκε και διατήρηση του αρχείου λήψης της (log file), για σκοπούς απόδειξης και συμμόρφωσης με την αρχή της λογοδοσίας.

– Ο έλεγχος των εκτελούντων την επεξεργασία, στους οποίους συγκαταλέγονται μεταξύ άλλων οι πάροχοι φιλοξενίας και οι εξωτερικοί συνεργάτες που διαχειρίζονται την ιστοσελίδα και ο οποίος περιλαμβάνει μεταξύ άλλων:

τον έλεγχο της συμμόρφωσης (due diligence) του εκτελούντος την επεξεργασία.
τη διασφάλιση μέσω σύμβασης επεξεργασίας των δεδομένων της τήρησης των υποχρεώσεών του εκ του GDPR.

– Ο έλεγχος της ύπαρξης διεθνών διαβιβάσεων δεδομένων, ο οποίος αναλόγως των ευρημάτων του και εφόσον τα δεδομένα διαβιβάζονται σε χώρα εκτός ΕΟΧ, θα οδηγήσει:

σε εφαρμογή του άρθρου 45 του GDPR, εφόσον πρόκειται για χώρα υποδοχής των δεδομένων, που χαίρει απόφασης επάρκειας της Ευρωπαϊκής Επιτροπής,
σε επιλογή του κατάλληλου μηχανισμού διαβιβάσεων εκ του άρθρου 46 ή 47 του GDPR, εφόσον πρόκειται για χώρα υποδοχής των δεδομένων που δεν χαίρει απόφασης επάρκειας, πλην όμως, παρέχει ένα ισοδύναμο καθεστώς προστασίας των προσωπικών δεδομένων με αυτό που θα απολάμβαναν εντός Ε.Ε., σύμφωνα με τις απαιτήσεις που έθεσε το Δικαστήριο της ΕΕ (ΔΕΕ) στην από 16.7.2020 απόφασή του C‑311/18 «Data Protection Commissioner of Ireland v. Facebook & Max Schrems» του και όπως αυτές ερμηνεύτηκαν από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) στις πρόσφατες συστάσεις του.
Σε περίπτωση αδυναμίας εφαρμογής των δύο παραπάνω περιπτώσεων, μόνη επιλογή απομένει η αλλαγή του παρόχου φιλοξενίας των δεδομένων, με άλλον που είναι εγκατεστημένος σε χώρα που πληροί τις ανωτέρω προϋποθέσεις.
Εφόσον η επιχείρηση είναι υποχρεωμένη να τηρεί αρχείο δραστηριοτήτων επεξεργασίας (αρθ. 30 GDPR), η νομική βάση της διαβίβασης θα πρέπει να τεκμηριώνεται και σε αυτό.

– Ο έλεγχος των διαδικασιών που περιλαμβάνουν τη συγκατάθεση ως νομική βάση της επεξεργασίας. Οι συγκεκριμένες διαδικασίες (πχ εγγραφή σε newsletter), θα πρέπει να σχεδιαστούν αυτοτελώς, σύμφωνα με όσα παραπάνω ειπώθηκαν για τη νομική βάση της συγκατάθεσης.

– Ο έλεγχος των προβλεπόμενων τρόπων πληρωμής και της συμμόρφωσης με το Νόμο 4537/2018 (Υπηρεσίες πληρωμών και άλλες διατάξεις) που ενσωμάτωσε την Οδηγία ΕΕ/2015/2366. Συναφώς, πρέπει να δοθεί ιδιαίτερη προσοχή στην σχετική καθοδήγηση του ΕΣΠΔ κατά την επεξεργασία προσωπικών δεδομένων που εντάσσονται στις διαδικασίες πληρωμής.

– Ο έλεγχος της ύπαρξης διαδικασίας λήψης αυτοματοποιημένων αποφάσεων. Ο έλεγχος αυτός είναι απαραίτητος για την ορθή σχεδίαση του δικαιώματος εναντίωσης που παρέχει ο GDPR4 ειδικά για τη διαδικασία αυτή.

Στη συνέχεια, κι εφόσον πρόκειται για εν λειτουργία ιστοσελίδα, θα πρέπει να αποτυπωθούν οι αποκλίσεις των ευρημάτων του ελέγχου αυτού σε σχέση με τις νομοθετικές απαιτήσεις που ισχύουν και να δοθούν οι απαραίτητες συστάσεις διορθωτικών ενεργειών. Σε περίπτωση που η ιστοσελίδα είναι σε στάδιο κατασκευής ή σχεδιασμού, οι απαιτήσεις αυτές θα πρέπει να καταστούν εξαρχής σαφείς στον κατασκευαστή της, με βάση τις σχεδιαζόμενες διαδικασίες που σκοπεύει να ενσωματώσει.

Ακολουθεί ως τρίτο βήμα, η σύνταξη των νομικών κειμένων ενημερώσεων επεξεργασίας προσωπικών δεδομένων5 και λήψης συγκατάθεσης, καθώς και η ενημέρωση του αρχείου δραστηριοτήτων, όπου υπάρχει, όσον αφορά την καταγραφή των νέων επεξεργασιών που εισάγονται με τη λειτουργία της ιστοσελίδας. Τέλος, θα πρέπει να σχεδιαστεί ο τρόπος παροχής της δυνατότητας άσκησης των δικαιωμάτων των άρθρων 15-22 του GDPR στους χρήστες-υποκείμενα των δεδομένων, όπως αυτά θα έχουν ήδη αναλυθεί στα οικεία σημεία της πολιτικής απορρήτου.

2. Cookies & ιστότοποι ηλεκτρονικού εμπορίου6

Κάθε χρήστης του διαδικτύου έχει αντιληφθεί προ πολλού, ότι κατά την περιήγησή του συλλέγονται διάφορα δεδομένα του, τα οποία στη συνέχεια έχουν ως συνέπεια την εμφάνιση σε αυτόν διαφημίσεων συναφών με το περιεχόμενο που επισκέφθηκε. Λιγότεροι αντιλαμβάνονται ότι η διαδικασία αυτή προϋποθέτει επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τον πλέον επεμβατικό τρόπο, αυτόν της κατάρτισης (από καταναλωτικού έως και ψυχογραφικού) προφίλ του χρήστη και της κατάταξής του σε κατηγορίες και υποκατηγορίες χρηστών, με σκοπό (συνήθως-αλλά όχι μόνο), την παρουσίαση σε αυτόν στοχευμένων διαφημίσεων. Ενίοτε μάλιστα, αυτό συμβαίνει «περιέργως», κατά τις πλέον κατάλληλες -για το διαφημιζόμενο- στιγμές, κατά τις οποίες ο χρήστης εμφανίζει «χαλαρότερη» αντίσταση σε καταναλωτικούς πειρασμούς, ή κατά τις οποίες βρίσκεται πολύ κοντά στο διαφημιζόμενο κατάστημα. Εκ των παραπάνω παρατηρήσεων, γίνεται αντιληπτό ότι η λειτουργία αυτών των «μικρών αρχείων κειμένων», όπως βλέπουμε συχνά να αποκαλούνται τα cookies, κάθε άλλο παρά αμελητέα είναι, για την προστασία των προσωπικών δεδομένων.

Αν και η ισχύουσα νομοθεσία που επιβάλλει την προστασία προσωπικών δεδομένων στις ηλεκτρονικές επικοινωνίες και ιδιαίτερα όσον αφορά στην εγκατάσταση cookies στις συσκευές των χρηστών είναι αρκετά παλιά (2009), η έλευση του GDPR έδωσε νέα ώθηση στην έως πρότινος (μη) συμμόρφωση των ιστοσελίδων με αυτήν. Στη διάρκεια του 2019 και του 2020, πολλές ευρωπαϊκές εποπτικές αρχές εξέδωσαν κατευθυντήριες οδηγίες για τη συμμόρφωση των ιστοσελίδων με τις απαιτήσεις της νομοθεσίας.

Η ελληνική Αρχή, επίσης, εξέδωσε τις από 25/2/2020 συστάσεις της, οι οποίες λίγο-πολύ συνέπλεαν με τις οδηγίες άλλων εποπτικών αρχών, αλλά και τις ερμηνευτικές κατευθύνσεις της Ομάδας Εργασίας του άρθρου 29 και τη νομολογία του ΔΕΕ, όπως έχουμε ήδη αναλύσει και σε παλιότερο άρθρο.

Παρελκούσης της ανάγκης απαρίθμησης μιας προς μια των συστάσεων αυτών, θα παραθέσουμε εν συντομία τις βασικότερες απαιτήσεις που αφορούν στην εγκατάσταση κάθε είδους ιχνηλατών (cookies και παρόμοιων τεχνολογιών).

Λήψη συγκατάθεσης πριν την εγκατάσταση οποιουδήποτε ιχνηλάτη δεν ανήκει στις κατηγορίες των ιχνηλατών που θεωρούνται τεχνικά απαραίτητοι για την πραγματοποίηση της σύνδεσης στην ιστοσελίδα ή για την παροχή της υπηρεσίας διαδικτύου την οποία έχει ζητήσει ο ίδιος ο χρήστης7
Ιχνηλάτες που υπηρετούν σκοπούς διαδικτυακής διαφήμισης ή στατιστικής ανάλυσης (πχ Google analytics) δεν ανήκουν στις παραπάνω εξαιρέσεις και για την εγκατάστασή τους απαιτείται συγκατάθεση
Πριν από την εγκατάσταση ιχνηλατών θα πρέπει να παρέχεται ενημέρωση του χρήστη με τις κατηγορίες των ιχνηλατών που θέλει να εγκαταστήσει η σελίδα, τον υπεύθυνο επεξεργασίας, τους σκοπούς των ιχνηλατών και τους αποδέκτες των δεδομένων που συλλέγουν
Η ενημέρωση θα πρέπει να δίνεται είτε με αναδυόμενο παράθυρο ή μπάνερ, είτε και με ενημέρωση περισσότερων επιπέδων
Η ενημέρωση θα πρέπει να είναι σαφής και κατανοητή και όχι γενική και αόριστη ή δυσανάγνωστη από συσκευές με μικρότερες οθόνες
Η συγκατάθεση θα πρέπει να δίνεται με σαφή θετική ενέργεια του χρήστη. Τα τετραγωνίδια επιλογών δεν θα πρέπει να είναι προσυμπληρωμένα
Δεν θεωρείται έγκυρη η λήψη της συγκατάθεσης μέσω των ρυθμίσεων του προγράμματος περιήγησης.
Ομοίως, για την ανάκληση της συγκατάθεσης ή την άρνηση παροχής της δεν θα πρέπει ο χρήστης να καλείται να προβεί σε ανάλογες ρυθμίσεις του προγράμματος περιήγησής του (πχ αποκλεισμού των cookies).
Ελλείψει οποιασδήποτε εκδήλωσης επιλογής (ούτε αποδοχής ούτε απόρριψης), δεν πρέπει να γίνεται χρήση κανενός μη απαραίτητου ιχνηλάτη.
Θα πρέπει ο χρήστης να μπορεί, με τον ίδιο αριθμό ενεργειών («κλικ») και από το ίδιο επίπεδο, είτε να αποδέχεται τη χρήση των ιχνηλατών (εκείνων για τους οποίους απαιτείται συγκατάθεση) είτε να την απορρίπτει, είτε όλους είτε κάθε κατηγορία ξεχωριστά.
Ο χρήστης πρέπει να έχει τη δυνατότητα να ανακαλέσει τη συγκατάθεσή του με τον ίδιο τρόπο και με την ίδια ευκολία με τον οποίο τη δήλωσε.
Η μη παροχή συγκατάθεσης για τη χρήση ιχνηλατών δεν πρέπει να οδηγεί σε αποκλεισμό από την πρόσβαση στο περιεχόμενο της ιστοσελίδας (αποφυγή “cookie wall”).
Για να διασφαλιστεί ότι ο χρήστης δεν έχει επηρεαστεί από επιλογές σχεδιασμού υπέρ της επιλογής αποδοχής έναντι της επιλογής απόρριψης, θα πρέπει να χρησιμοποιούνται κουμπιά και γραμματοσειρά ίδιου μεγέθους, τονισμού και χρώματος, που να προσφέρει την ίδια ευκολία ανάγνωσης.

Άξιο λόγου είναι το γεγονός ότι τους τελευταίους μήνες έχει παρατηρηθεί στην Ελλάδα αλλά και διεθνώς, η -ομολογουμένως- ευφάνταστη πρακτική ορισμένων ιστοσελίδων να προχωρούν (μη νόμιμα) στην εγκατάσταση ιχνηλατών, στους οποίους δεν συγκατατέθηκε ο χρήστης, επικαλούμενες ως νομική βάση της επεξεργασίας το έννομο συμφέρον τους. Προφανώς, έρεισμα της πρακτικής αυτής, υπήρξε η (εσφαλμένη) χρήση των νομικών βάσεων του άρθρου 6 του GDPR. Πλην όμως, τόσο η Οδηγία 2002/588, όσο και ο εθνικός νόμος 3471/20069, δεν προβλέπουν καμία άλλη νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα μέσω της εγκατάστασης cookies, πλην της συγκατάθεσης. Μάλιστα, ενόψει της ρητής παραπομπής αμφότερων των διατάξεων, στις διατάξεις περί συγκατάθεσης της (κατηργημένης) οδηγίας 95/46 και του επίσης κατηργημένου Ν. 2472/97 αντίστοιχα, οι οποίες πλέον διαβάζονται ως παραπομπή στις οικείες διατάξεις περί συγκατάθεσης του GDPR10, η λήψη συγκατάθεσης για την εγκατάσταση των cookies, θα πρέπει να πληροί τις αυξημένες απαιτήσεις του GDPR για τη συγκατάθεση, όπως αυτές έχουν διεξοδικά αναλυθεί στις οικείες κατευθυντήριες γραμμές του ΕΣΠΔ. Επομένως, ρυθμίσεις αποδοχής ή απόρριψης μέσω του προγράμματος περιήγησης, προσυμπληρωμένα τετραγωνίδια αποδοχής και άλλες παρόμοιες πρακτικές του παρελθόντος θα πρέπει να θεωρούνται ως μη ανεκτές.

Συνοψίζοντας

Η νόμιμη λειτουργία ενός ηλεκτρονικού καταστήματος προϋποθέτει τη διεξοδική νομική διαδικασία που εκτέθηκε εν συντομία στο παρόν, σε συνδυασμό και με τη λοιπή εφαρμοστέα νομοθεσία για τις εξ αποστάσεως συμβάσεις και το δίκαιο προστασίας καταναλωτή. Η σύγκλιση της νομικής επιστήμης με τις σύγχρονες τεχνολογίες, απαιτεί την έγκαιρη εμπλοκή και συνεργασία των εξειδικευμένων επιστημόνων και των δύο κλάδων, ήδη από τη φάση της σχεδίασης του ηλεκτρονικού καταστήματος, ώστε το αποτέλεσμα να προσδίδει το αναμενόμενο και επιθυμητό ανταγωνιστικό πλεονέκτημα στον ιδιοκτήτη του.