Új adatvédelmi elvek a „sütikkel” kapcsolatban
Olvasási idő: 6 perc
Ez a tartalom 1619 napja jelent meg, lehetséges, hogy az itt szereplő információk már nem aktuálisak.
Legfrissebb tartalmainkat itt érheti el.
Az angol adatvédelmi hatóság nyáron közzétett iránymutatása új alapokra helyezi a „sütikkel” (cookies) kapcsolatos adatkezelést. Az önmagában is nagy jelentőségű adatvédelmi rendelet, a GDPR itt is alaposan érezteti hatását. Mi változott pontosan?
2019. július 3-án az Egyesült Királyság Adatvédelmi Hatósága (Information Commissioner’s Office, továbbiakban: ICO) új iránymutatást tett közzé a sütik (cookies) használatáról egy blogbejegyzésben. Az új iránymutatás megállapításai rávilágítanak a sütikkel kapcsolatos kihívásokra.
Hallgatás nem beleegyezés: a hallgatólagos hozzájárulás többé nem elég
Az általános adatvédelmi rendelet (GDPR) szerinti hozzájárulás követelményei az elektronikus hírközlés viszonylatában, így a sütikkel kapcsolatban is alkalmazandók.
A blogbejegyzés kifejti, hogy a GDPR szerinti hozzájárulás megfelelő alkalmazása azzal a következménnyel jár, hogy a hallgatólagos hozzájárulás nem keletkeztet érvényes hozzájárulást „akár sütikről, akár személyes adatok kezeléséről van szó”. Az új süti iránymutatás nem részletezi különösebben a hallgatólagos hozzájárulás jelentését, helyette a GDPR definícióját citálja a hozzájárulásról, és kifejti, hogy „a felhasználónak egyértelmű és „kifejezetten igenlő” (a blogbejegyzés megfogalmazásában pozitív) cselekményt kell tanúsítania a hozzájárulása megadásához a nem lényeges sütikkel kapcsolatban”.
A hivatkozott állítás a blog posztban nincs egészen összhangban azokkal a kijelentésekkel, melyeket az ICO tett az iránymutatásban:
„Egy „kifejezett igenlő” (pozitív) cselekmény még mindig teret enged a hallgatólagos hozzájárulásnak bizonyos körülmények között, különösen informálisabb offline szituációkban. A fő körülmény, hogy lennie kell egy „kifejezetten igenlő” cselekménynek, mely egyértelművé teszi az információk használatához való hozzájárulást egy meghatározott és nyilvánvaló célra.
Az általános adatvédelmi rendelet (GDPR) szerinti hozzájárulás követelményei az elektronikus hírközlés viszonylatában, így a sütikkel kapcsolatban is alkalmazandók.
A blogbejegyzés kifejti, hogy a GDPR szerinti hozzájárulás megfelelő alkalmazása azzal a következménnyel jár, hogy a hallgatólagos hozzájárulás nem keletkeztet érvényes hozzájárulást „akár sütikről, akár személyes adatok kezeléséről van szó”. Az új süti iránymutatás nem részletezi különösebben a hallgatólagos hozzájárulás jelentését, helyette a GDPR definícióját citálja a hozzájárulásról, és kifejti, hogy „a felhasználónak egyértelmű és „kifejezetten igenlő” (a blogbejegyzés megfogalmazásában pozitív) cselekményt kell tanúsítania a hozzájárulása megadásához a nem lényeges sütikkel kapcsolatban”.
A hivatkozott állítás a blog posztban nincs egészen összhangban azokkal a kijelentésekkel, melyeket az ICO tett az iránymutatásban:
„Egy „kifejezett igenlő” (pozitív) cselekmény még mindig teret enged a hallgatólagos hozzájárulásnak bizonyos körülmények között, különösen informálisabb offline szituációkban. A fő körülmény, hogy lennie kell egy „kifejezetten igenlő” cselekménynek, mely egyértelművé teszi az információk használatához való hozzájárulást egy meghatározott és nyilvánvaló célra.
Sütikhez való hozzájárulás – a gyakorlatban
Az új iránymutatás rávilágít arra, hogy a szolgáltató weboldalának további használata nem keletkeztet érvényes hozzájárulást – ez az ICO álláspontja szerint különösen akkor igaz, amikor a felhasználó inkább „közvetlenül átmegy a weblap másik részére”, mint, hogy megnyitja a felugró süti ablakot, így ez nem jelent érvényes hozzájárulást: nem állítható a süti dobozra rá nem kattintó felhasználókról, hogy megismerik a sütikben foglaltakat;
Nem tekinthető megfelelőnek az a gyakorlat, amely kiemelni az „egyetért” vagy „engedélyez” süti lehetőségeket az „elutasít” vagy „blokkol” süti lehetőségek helyett, mert ezzel az online szolgáltató befolyásolja a felhasználót az „egyetért” lehetőség kiválasztására.
Szintén nem megfelelő gyakorlat az a hozzájárulási módszer, mely nem hagy választási lehetőséget a felhasználónak, akkor sem, ha ezek a gombok a „további információ” pontban megtalálhatók.
Amennyiben egy szolgáltató harmadik fél sütijét használja, egyértelműen meg kell jelölni ezt a harmadik felet, és le kell írni, hogy mit fognak csinálni az információkkal (ez megegyezik az ICO hozzájárulásról szóló iránymutatásával, amely megállapítja, hogy a szolgáltatónak meg kell nevezni minden harmadik felet, aki a hozzájárulásra hivatkozik).
Az új iránymutatás rávilágít arra, hogy a szolgáltató weboldalának további használata nem keletkeztet érvényes hozzájárulást – ez az ICO álláspontja szerint különösen akkor igaz, amikor a felhasználó inkább „közvetlenül átmegy a weblap másik részére”, mint, hogy megnyitja a felugró süti ablakot, így ez nem jelent érvényes hozzájárulást: nem állítható a süti dobozra rá nem kattintó felhasználókról, hogy megismerik a sütikben foglaltakat;
Nem tekinthető megfelelőnek az a gyakorlat, amely kiemelni az „egyetért” vagy „engedélyez” süti lehetőségeket az „elutasít” vagy „blokkol” süti lehetőségek helyett, mert ezzel az online szolgáltató befolyásolja a felhasználót az „egyetért” lehetőség kiválasztására.
Szintén nem megfelelő gyakorlat az a hozzájárulási módszer, mely nem hagy választási lehetőséget a felhasználónak, akkor sem, ha ezek a gombok a „további információ” pontban megtalálhatók.
Amennyiben egy szolgáltató harmadik fél sütijét használja, egyértelműen meg kell jelölni ezt a harmadik felet, és le kell írni, hogy mit fognak csinálni az információkkal (ez megegyezik az ICO hozzájárulásról szóló iránymutatásával, amely megállapítja, hogy a szolgáltatónak meg kell nevezni minden harmadik felet, aki a hozzájárulásra hivatkozik).
A szolgáltatók nem használhatnak előre bepipált mezőket nem lényeges sütiknél; és a szolgáltatóknak biztosítani kell, hogy a nem lényeges sütik ne kerüljenek a weboldal nyitó oldalára, amíg a felhasználó nem adta hozzájárulását.
Kitekintés az elektronikus hírközlési jogszabályokra
Az új iránymutatás szerint a szolgáltatóknak első körben az elektronikus hírközlési szabályokban szereplő követelményeknek kell eleget tenniük a sütik használatához való hozzájárulás kapcsán, mielőtt a GDPR általános szabályait alkalmazzák.
Az új iránymutatás szerint, ha megszerezték a hozzájárulást az elektronikus hírközlési szabályoknak megfelelően, akkor ez gyakorlatilag a hozzájárulás legmegfelelőbb jogalapja a GDPR szerint is. Az ICO érvelése szerint „a jogos érdekhez hasonló más jogalap alkalmazása – akkor, amikor a szolgáltató már rendelkezik GDPR-nak megfelelő felhasználói hozzájárulással – teljesen fölösleges gyakorlat lenne és zavart okozna a felhasználókban”.
Az új iránymutatás a GDPR-nak megfelelő hozzájárulás alkalmazására ösztönöz a sütik tekintetében, ugyanakkor nem teljesen zárja ki annak lehetőségét, hogy a szolgáltatók ettől eltérő jogalapra hagyatkozzanak.
A szolgáltatóknak jó okai lehetnek más jogalapok használatára a GDPR szerinti adatkezeléskor – különösen, amikor sütiket helyeznek el olyan oldalon vagy applikáción, amelyeket 13 éves kort be nem töltött kiskorúak használnak. Ilyen esetekben, amikor csak lehet, a szolgáltatóknak kerülniük kell a hozzájárulás jogalapként való használatát a GDPR-ban szereplő életkori korlátra tekintettel. A GDPR 8. cikke előírja, hogy amennyiben egy gyermeknek (tagállamonként eltérőek a korhatárok az információs önrendelkezési jog gyakorlása kapcsán, Magyarországon 16 év) nyújtanak online szolgáltatást és a személyes adatok kezelésének jogalapja a hozzájárulás, akkor ezt a hozzájárulást a szülői felügyeleti joggal rendelkező személynek kell megadnia.
Az új iránymutatás szerint a szolgáltatóknak első körben az elektronikus hírközlési szabályokban szereplő követelményeknek kell eleget tenniük a sütik használatához való hozzájárulás kapcsán, mielőtt a GDPR általános szabályait alkalmazzák.
Az új iránymutatás szerint, ha megszerezték a hozzájárulást az elektronikus hírközlési szabályoknak megfelelően, akkor ez gyakorlatilag a hozzájárulás legmegfelelőbb jogalapja a GDPR szerint is. Az ICO érvelése szerint „a jogos érdekhez hasonló más jogalap alkalmazása – akkor, amikor a szolgáltató már rendelkezik GDPR-nak megfelelő felhasználói hozzájárulással – teljesen fölösleges gyakorlat lenne és zavart okozna a felhasználókban”.
Az új iránymutatás a GDPR-nak megfelelő hozzájárulás alkalmazására ösztönöz a sütik tekintetében, ugyanakkor nem teljesen zárja ki annak lehetőségét, hogy a szolgáltatók ettől eltérő jogalapra hagyatkozzanak.
A szolgáltatóknak jó okai lehetnek más jogalapok használatára a GDPR szerinti adatkezeléskor – különösen, amikor sütiket helyeznek el olyan oldalon vagy applikáción, amelyeket 13 éves kort be nem töltött kiskorúak használnak. Ilyen esetekben, amikor csak lehet, a szolgáltatóknak kerülniük kell a hozzájárulás jogalapként való használatát a GDPR-ban szereplő életkori korlátra tekintettel. A GDPR 8. cikke előírja, hogy amennyiben egy gyermeknek (tagállamonként eltérőek a korhatárok az információs önrendelkezési jog gyakorlása kapcsán, Magyarországon 16 év) nyújtanak online szolgáltatást és a személyes adatok kezelésének jogalapja a hozzájárulás, akkor ezt a hozzájárulást a szülői felügyeleti joggal rendelkező személynek kell megadnia.
Lehetséges alternatív jogalapra hivatkozni a GDPR szerinti személyes adat kezelése esetén egy süti elhelyezése után…
Az új iránymutatás elismeri, hogy lehetséges a hozzájáruláson kívüli más jogalapra hivatkozni a süti elhelyezésén kívüli egyéb adatkezelések vonatkozásában.
Az új iránymutatás elismeri, hogy lehetséges a hozzájáruláson kívüli más jogalapra hivatkozni a süti elhelyezésén kívüli egyéb adatkezelések vonatkozásában.
…habár bizonyos későbbi adatkezelések esetén GDPR szerinti hozzájárulás szükséges
-Preferenciák vagy magatartások elemzése és megjósolása: Az ICO azon a véleményen van, hogy egyes felhasználók személyes preferenciáinak, magatartásainak, viselkedéseinek elemzésére és megjóslására a GDPR szerinti hozzájárulással van lehetőség.
-Nyomon követés és profilalkotás közvetlen marketingért és hirdetésért: Az ICO azon a véleményen van, hogy a jogos érdek nem megfelelő jogalap személyes adatok kezelésére a profilalkotással és a célzott reklámozással összefüggésben. A jogos érdek, mint jogalap nélkül csak a hozzájárulás az egyetlen lehetőség.
Az iránymutatás idézi az Európai Adatvédelmi Testület 5/2019. számú állásfoglalását az e-Privacy rendeletről, a 29. cikk szerinti Adatvédelmi Munkacsoport 3/2013. számú, célhoz kötöttségről szóló véleményét, valamint a 6/2014. számú, jogos érdekről szóló véleményét a fentiek alátámasztására.
-Nyomon követés és profilalkotás közvetlen marketingért és hirdetésért: Az ICO azon a véleményen van, hogy a jogos érdek nem megfelelő jogalap személyes adatok kezelésére a profilalkotással és a célzott reklámozással összefüggésben. A jogos érdek, mint jogalap nélkül csak a hozzájárulás az egyetlen lehetőség.
Az iránymutatás idézi az Európai Adatvédelmi Testület 5/2019. számú állásfoglalását az e-Privacy rendeletről, a 29. cikk szerinti Adatvédelmi Munkacsoport 3/2013. számú, célhoz kötöttségről szóló véleményét, valamint a 6/2014. számú, jogos érdekről szóló véleményét a fentiek alátámasztására.
Teljes „süti falak” – valószínűtlen, hogy megengedettek
Az iránymutatás szerint a teljes süti fal – amely kéri a felhasználót a „hozzájárulás” vagy „engedélyezés” süti beállítására mielőtt hozzáférne egy online szolgáltatás tartalmához –, valószínűtlen, hogy érvényes hozzájárulás lenne, mivel a GDPR előírja, hogy a hozzájárulásnak szabad elhatározáson kell alapulnia.
Az ICO elismeri, hogy érvényesek lehetnek azok a süti falak, amelyek korlátozzák bizonyos – sütik használatához kötött – tartalmakhoz való hozzáférést. A blogbejegyzés megjegyzi, hogy „vannak ellentmondó vélemények és praktikus szempontok a részleges süti falak használatáról”, így ezzel a kérdéskörrel kapcsolatban az ICO további véleményeket fog kérni az érdekelt felektől.
Az iránymutatatás idézi a szólásszabadsághoz és vállalkozáshoz való jogot a süti falakról szóló érvelésben. Ez azt sejteti, hogy az ICO tisztában van a süti falak piaci jelentőségével, miszerint ezeknek a betiltása, illetve a marketing sütik opcionálissá tétele sok vállalkozásnak problémát okozhat.
Az iránymutatás szerint a teljes süti fal – amely kéri a felhasználót a „hozzájárulás” vagy „engedélyezés” süti beállítására mielőtt hozzáférne egy online szolgáltatás tartalmához –, valószínűtlen, hogy érvényes hozzájárulás lenne, mivel a GDPR előírja, hogy a hozzájárulásnak szabad elhatározáson kell alapulnia.
Az ICO elismeri, hogy érvényesek lehetnek azok a süti falak, amelyek korlátozzák bizonyos – sütik használatához kötött – tartalmakhoz való hozzáférést. A blogbejegyzés megjegyzi, hogy „vannak ellentmondó vélemények és praktikus szempontok a részleges süti falak használatáról”, így ezzel a kérdéskörrel kapcsolatban az ICO további véleményeket fog kérni az érdekelt felektől.
Az iránymutatatás idézi a szólásszabadsághoz és vállalkozáshoz való jogot a süti falakról szóló érvelésben. Ez azt sejteti, hogy az ICO tisztában van a süti falak piaci jelentőségével, miszerint ezeknek a betiltása, illetve a marketing sütik opcionálissá tétele sok vállalkozásnak problémát okozhat.
Az elemző (analitikai) sütik nem élveznek mentességet
Az új iránymutatás kiemeli, hogy az elemző sütik nem élveznek kivételt a hozzájárulás szükségessége alól. Ezek nem esnek a „feltétlenül szükséges” kategóriájába. Ugyanakkor – az ICO szerint – a hatóságok előreláthatólag nem ezeknek a sütiknek a megfelelőségét fogják ellenőrizni, mivel működésük alacsony kockázattal jár.
Az új iránymutatás kiemeli, hogy az elemző sütik nem élveznek kivételt a hozzájárulás szükségessége alól. Ezek nem esnek a „feltétlenül szükséges” kategóriájába. Ugyanakkor – az ICO szerint – a hatóságok előreláthatólag nem ezeknek a sütiknek a megfelelőségét fogják ellenőrizni, mivel működésük alacsony kockázattal jár.
Szerintünk…
Az ICO által közzétett iránymutatás a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2017-es, webáruházakra vonatkozó adatvédelmi követelményekről szóló tájékoztatójához képest kiemeli, hogy a tagállami elektronikus hírközlési szabályok szerinti hozzájárulás feltételeinek a teljesülését is vizsgálnia kell az adatkezelőknek, illetőleg – a jogszabályi változásokra tekintettel – szűk körben ugyan, de elismeri a hozzájárulás melletti más jogalapok alkalmazásának igazolhatóságát a sütik működtetése körében. Például a jogos érdeken alapuló adatkezelést megfelelőnek találta a sütik kapcsán, de érdemi tagállami gyakorlat és egyértelmű jogszabályi előírások hiányában – érthető módon – inkább a hozzájárulás jogalapjára való hivatkozást szorgalmazza.
Az ICO által közzétett iránymutatás a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2017-es, webáruházakra vonatkozó adatvédelmi követelményekről szóló tájékoztatójához képest kiemeli, hogy a tagállami elektronikus hírközlési szabályok szerinti hozzájárulás feltételeinek a teljesülését is vizsgálnia kell az adatkezelőknek, illetőleg – a jogszabályi változásokra tekintettel – szűk körben ugyan, de elismeri a hozzájárulás melletti más jogalapok alkalmazásának igazolhatóságát a sütik működtetése körében. Például a jogos érdeken alapuló adatkezelést megfelelőnek találta a sütik kapcsán, de érdemi tagállami gyakorlat és egyértelmű jogszabályi előírások hiányában – érthető módon – inkább a hozzájárulás jogalapjára való hivatkozást szorgalmazza.
Összességében elmondható, hogy Magyarországon a nem lényeges sütik (például marketing sütik) jogszerű használatához a szolgáltatóknak/adatkezelőknek jelenleg olyan hozzájárulást kell kérniük a felhasználóktól, amelyek megfelelnek a GDPR, illetve az elektronikus hírközlésről szóló 2003. évi C. törvényben foglalt követelményeknek. Ennek különösen abban az esetben kell érvényesülnie, ha az érintett kiskorú, és nem töltötte be 16. életévét.
Cikkünk szerzői dr. Miklós Péter Ákos jogász, adatvédelmi tisztviselő és Barazutti Bálint jogi munkatárs
