A Sütiszörny bosszúja

E cikk a Bird & Bird és az Arsboni által meghirdetett 2019. évi Cikkíró Pályázat keretében született.
Szerző: Németh Szabolcs

Avagy hogyan NE alkossunk jogot

Tömegével jelennek meg tudományos és ismeretterjesztő cikkek arról, hogy a technológiai fejlődés és innováció milyen kihívásokat jelent a jog számára. Sok szerző felhívja a figyelmet a XXI. századi digitális lét és a web 2.0 olyan területeire, amelyek jogi szabályozást, de legalább új nézőpontú gondolkodást igényelnek. A létrejövő kodifikációs eredmények kimért, eltartott kisujjal történő, „mindazonáltal” és „megfontolást érdemel továbbá” kifejezésekkel tarkított értékelésére is találunk példákat. De olyan cikk, amely kerek perec, pacekba kijelenti, hogy a témájával szemben mérhetetlen csalódottsággal és ellenszenvvel viseltetik, igen ritka. Én most mégis erre az útra lépek, és előre elnézést kérek minden lelkes cookie rajongótól.

Rendben. Megértettem. Elfogadom. I Accept. I Agree. Nem nehéz Bólogató Jánosnak éreznie magát az embernek, miközben manapság az internetet böngészi. Ezt a sok hozzájárulást és egyetértést az egyes weboldalak szolgáltatói a cookie-k (tudjuk le gyorsan a száraz informatikai részt: a webszerver által küldött, változó tartalmú fájlok, amelyek a számítógépünkön rögzülnek és tárolódnak, felismerhetővé téve a böngészéshez használt eszközt és a böngészési előzményeinket) használatához kérik tőlünk. Természetesen teszik mindezt a „felhasználói élményünk” fokozása érdekében, biztosítva a lehetőséget a „felhasználóbarát” módon, „olvasmányosan” megfogalmazott cookie tájékoztatók megismerésére. De álljunk meg egy pillanatra. Van itt valami – ahogy a művelt angol mondja, „elephant in the room” – amiről beszélnünk kell: mi értelme van ennek az egésznek?

A GDPR korában, amikor az európai adatvédelmi szabályozás jelentős egységesítésen és átalakításon ment, illetve megy keresztül (a rettegett négybetűs szövegszörny megítéléséről most jótékonyan nem ejtek szót) és ezzel párhuzamosan, különösen a Facebook működése kapcsán a világsajtóban kellő súllyal reprezentált adatkezelési és adatlopási botrányok terelik tudatosabb online lét felé a felhasználókat. Mégis felmerül a kérdés: mi a bánatért bajlódunk mi a cookie-kkal minden új weboldal megnyitása során?

A jogalkotó hallgatva az új idők szavára, már közel tíz éve felhívta a figyelmet a cookie-k „fenyegető veszélyeire”: Az EU 29-es (adatvédelmi) Munkacsoportja már 2010-es véleményében részletesen értekezett a viselkedésalapú online reklámokról, ezek alapjául szolgáló nyomon követési technológiák közül kiemelve a cookie-kat. Természetesen abban egyetértek a Munkacsoporttal, hogy a cookie-k által tárolt adatok személyes adatnak minősülnek, melyekből sok esetben következtetés vonható le akár egy felhasználó különleges személyes adataira is. E tény olyan evidencia, melynek vitatása a lapos Föld hívek és Balaton tagadók szintjére emelne, akarom mondani süllyesztene.

Kutatás a jogi munkaerőpiacról

A kitöltők között a nyertes választása szerint kisorsolunk 4 db Szigetjegyet, egy 75.000 Ft-os IKEA utalványt vagy egy 75.000 Ft-os Repjegy.hu utalványt!

A fentiekre tekintettel most álljunk meg egy pillanatra, és mindenki gondoljon bele, hogy kivel osztaná meg szívesen böngészője keresési előzményeit. (Igen, az inkognitó módban felkeresett oldalakat is ideértve.) A cookie-k mint személyes adatok, a mindenkori közösségi és nemzeti adatvédelmi jogszabályok hatálya alá tartoznak, és érvényesülnie kell esetükben is védelmi mechanizmusoknak és garanciáknak, ahogy az egyéb személyes adatok esetében is. De mi akkor sem ilyen lovat akartunk…

A 29-es Munkacsoport véleménye nyomán az elektronikus hírközlésről szóló 2003. évi C. törvény (Eht.) is módosításra került, kötelezővé téve a felhasználók tájékoztatását és hozzájárulásának beszerzését – többek között – a cookie-k használatához.  A Munkacsoport készséges volt, hiszen a cookie-k bemutatása, és személyes adatként történő meghatározása mellett megoldási javaslatokkal is előállt, melyeket ugyan „A felugró ablak nem az egyetlen megoldás a hozzájárulás beszerzéséhez” cím alatt helyezett el, mégis az első két ajánlott módszere – melyet a weboldalak többsége alkalmaz – pontosan ugyanazon az elven működik, mint a felugró ablakok: a weboldal alján található, a tartalom jelentős részét kitakaró sávok, illetve az oldal betöltése előtt megnyíló „előszoba” melyből kizárólag a cookie gyűjtés elfogadásával tud továbblépni a felhasználó. Innentől pedig eljött a kifogyhatatlan „elfogadás”, és „egyetértés”, valamint a „bánom is én, csak mutassa már mennyi sütőpor kell a kalácsba/mikor jön a buszom” motivációjú kattintások kora.

cookie-k kapcsán fontos detektálnunk és szétválasztanunk a viselkedés alapú online hirdetési piac szereplőinek három csoportját:

          A hirdetőket, akik valamely termék vagy szolgáltatás értékesítése céljából készítenek vizuális vagy audiovizuális reklámot;

          A közzétevőket, vagyis a weboldal üzemeltetőket, akik a saját online platformjukon reklámfelületeket értékesítenek;

          És a reklámhálózat szolgáltatókat, akik összekapcsolják a hirdetőket a közzétevőkkel, és fejlesztik, valamint üzemeltetik a viselkedésalapú hirdetési rendszert.

Adatvédelmi szempontból tehát az a speciális helyzet áll elő, hogy az adatkezeléssel kapcsolatos előzetes tájékoztatási és hozzájárulás beszerzési kötelezettség a közzétevőt terheli annak ellenére, hogy a felvett adatok kezelője nem ő, hanem a reklámhálózat szolgáltató. A közzétevők adatvédelmi jogi felelőssége kapcsán a Munkacsoport többször (túl sokszor) használja a „valamilyen mértékű” jelzőt.

Szintén érdekes kérdés az, hogy korunkban, amikor a marketing iparág alapbeállítása a falhasználóra szabott hirdetések alkalmazása, mennyi létjogosultsága van a cookie-k démonizálásának, és a felhasználói hozzájárulás kierőszakolásának. Továbbá feltehetjük magunknak a kérdést, hogy inkább szeretnénk a saját érdeklődési körünknek megfelelő hirdetéseket látni a böngészőben (mert hirdetést mindenképp fogunk látni, efelől ne legyen kétség), vagy inkább az Internet random algoritmus-istenségeire bízzuk, hogy egy felnőttpelenka reklámmal vagy egy új-zélandi kutyapanzió hirdetésével férkőznek a figyelmünkbe. Ahogy egyre nagyobb arányban kezdik el olyan generációk használni az internetet, melyek már okoseszközök mindennapi használatával szocializálódtak, úgy lesz teljesen felesleges elmagyarázni mindenkinek, hogyan is működik az online marketing. Zárójeles megjegyzés, hogy az internet értő és mindig bizalmatlan használatát viszont kutya kötelességünk a következő generációknak megtanítani (lásd fake news, cyber-bullying és más ijesztő, kétszavas angol kifejezések).

Nem kell ma már Hercule Poirot-nak lennünk ahhoz, hogy leessen a tantusz: nem Kempelen Farkas humán meghajtású gépét használjuk, amelyben egy gondolatolvasó mentalista ücsörög: egyszerűen a böngészési előzményeink miatt kapjuk az arcunkba annak a parfümnek a hirdetését, amelyet néhány napja a barátnőnk születésnapjára nézegettünk a neten.

Álláspontom szerint tehát a cookie szabályozással kiöntöttek a fürdővízzel a gyereket is. Adott volt egy minden kétséget kizáróan adatvédelmi kérdéskör, amely az emberek mindennapjaiban jelen van, gyakorlatilag elképzelhetetlen az internet használata a cookie-kkal való találkozás nélkül. Remek lehetőség lett volna, hogy tudatosítsuk a személyes adataik védelmében kevésbé tudatos felhasználókban, és az internethasználatban kevésbé gyakorlott legfiatalabb és idősebb generációkban a cookie-k működésével kapcsolatos felhasználói jogosítványokat és lehetséges jogérvényesítési lehetőségeket. Ezek helyett szabad kezet adtunk a szolgáltatóknak, akik természetesen a legrövidebb és legolcsóbb utat választották és egyszerűen az arcunkba tolják a „Megértettem” gombot. Ha szerencsénk van, el tudjuk anélkül is olvasni a minket érdeklő cikket, hogy kifejeznénk egyetértésünket, ha nincs akkor bizony, hiába lángol a fél konyha, csak akkor fogjuk megtudni, hogy mégis hány fokra kellett volna állítani a sütőt, ha hozzájárulunk a cookie-k gyűjtéséhez. (Ha a mi sütinkből ezek szerint már nem lesz semmi.)

A pokolba vezető út is jószándékkal van kikövezve, mégis azt kell megállapítanom, hogy az adatvédelem ezen területén is beleragadt az ódivatúság és papír-ízűség csapdájába a jogalkotó. Tömegével készülnek a jogászi szemmel olvasva is asztalra borulva zokogásra/alvásra késztető cookie tájékoztatók, egy átlagos, 20 perces internetes böngészés alatt legalább 5 különböző módon kell kifejeznünk hozzájárulásunkat adataink kezeléséhez. Szerencsére a „virtuális bólogatás” nem vezet a nyakcsigolyák gyors kopásához.

Kritizálni a legkönnyebb, mondhatja a T. Olvasó, ezért íme néhány – akár a gyakorlatban itt-ott működő – megoldás, amelyekre nagyobb hangsúlyt fektetve helyesebb irányba lehetett volna terelni a cookie kérdést. Például az összes böngészőbe kötelezően beépíteni egy olyan védelmi mechanizmust, amely alapján a telepítéskor könnyen érthető, informatív módon bemutatásra kerülne, hogy mik is azok a cookie-k, mit csinálnak, és mit lehet velük tenni. Azon felhasználók, akik nem kívánnak ezzel foglalkozni (legyünk őszinték, az emberek kb. 98%-a) hozzájárulásukat adhatnák további böngészéseik során a cookie-k generálásához (fenntartva az inkognitó mód által nyújtott elbújási lehetőséget). A Munkacsoport szerint az olyan hozzájárulás, amelyet bármilyen jövőbeli tömeges adatfeldolgozásra adnak anélkül, hogy ismernék a feldolgozás körülményeit, nem tekinthető érvényes hozzájárulásnak. A probléma az, hogy a felhasználók többsége viszont más véleményen van. Ők csak nyugodtan szeretnének internetezni.

Szintén megoldás lett volna meghatározni egy egzakt – relatíve rövid – törlési időt az egyes cookie-kra, amelyet követően a felhasználó konkrét, örökké tartó tároláshoz való hozzájárulás hiányában a szolgáltató köteles lett volna törölni a róla gyűjtött adatokat. Ha már a weboldal szolgáltatók felugró ablakokkal borzolják az idegrendszerünket, tehetnék ezt hasznosan is: az oldal használata során felugró ablak tájékoztathatna például arról, hogy a mátrai vendégház hirdetése nem véletlenül került a levelezőrendszerünk felületébe beépített hirdetőfelületre, hanem mert múlt hét kedden 18 óra 33 perckor mátrai szállások után kutattunk. Ugyanitt feltehetné a kérdést egy plug-in, hogy aktuális-e még a korábbi keresésünk, vagy áttérhetünk az online szőrtelenítés témakörére. A jogon túli megoldások is kínálkoztak volna, online és offline kampányok a tudatos internethasználatról, ezen ismeretek beépítése az iskolai informatikai oktatásba, és a sor még folytatható.

Tanulság tehát, hogy nem elegendő egy társadalmi/technológiai jelenséget vagy problémát észlelni, és azt minimális tartalommal beépíteni a kógens szabályok közé, hanem fogni kell a szolgáltatók kezét annak gyakorlati alkalmazása során is. Ennek hiányában mindig lesznek kiskapuk, szűk keresztmetszetek és legrövidebb utak, amelyeken a szabályozást kikerülve, vagy az eredeti céltól teljesen eltérő eredménnyel végrehajtva fogják eliminálni az amúgy elismerendő jogalkotói szándékot. (Így fordulhat elő, hogy a legtöbb oldal hozzájárulás hiányában is gyűjt cookie-kat, és a Google Chrome-ban is sok kattintás után, 4 felnyíló almenübe kell belépnünk, ha a cookie beállításokat szeretnénk módosítani.) Soft law dokumentumokban pedig lehet fejtegetni a témát, de az abban megfogalmazott, szankció nélküli elmélkedések a kutyát sem fogják sajnos érdekelni. (Bár sütik hallatán lehet, hogy az ő szemük felcsillanna.)

Nem állítom, hogy a bölcsek kövét találtam fel, és a fentiekben említett megoldások elhozták volna a felhasználói tudatosság tejjel-mézzel folyó kánaánját, de az biztos, hogy az arcunkba tolt, levakarhatatlan cookie tájékoztatóknál és hozzájárulást kierőszakoló felugró ablakoknál minden szcenárió jobb lett volna. Én legalábbis a magam részéről inkább egy igazi sütit kérnék az arcomba, a száraz cookie tájékoztatók helyett.

Források:

A 29-es Munkacsoport 2/2010. számú véleménye a viselkedésalapú online reklámról (Elfogadás időpontja: 2010. június 22.)

A 29-es Munkacsoport 16/2011. számú véleménye a viselkedésalapú online reklámok ajánlott jó gyakorlatairól (Elfogadás időpontja: 2011. december 8.)

2003. évi C. törvény az elektronikus hírközlésről (Eht.)

2003. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.)

Az Európai Parlament és a Tanács (EU) 2016/679 RENDELETE (GDPR)

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.

MEGOSZTÁS