,,Az életem egy hete a legfontosabb dologgá vált, amit valaha tettem” – Lou Montulli, a cookie atyja

Írta:

2023. május 9.

Hazánkban a közelmúltban 10 millió forint összegű adatvédelmi bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság a TV2 Média Csoport Zrt.-vel szemben személyes adatok kezelésével kapcsolatos tájékoztatás követelményeinek megsértése miatt. A hatóság arra hivatkozott, hogy a TV2 megszegte az általános adatvédelmi rendelet átlátható és tisztességes adatkezelés elvét.

Nem egyedi eset – az elmúlt években olyan nagyvállalatokat, mint az Amazon, a Google és a WhatsApp dollármilliós nagyságrendű bírság megfizetésére kötelezték a különböző nemzeti adatvédelmi hatóságok. De mire is ez a nagy felhajtás?

2015. október 1. napjától az Információs önrendelkezési jogról és az információszabadságról szóló 2011.évi CXII. törvény alapján Magyarországon is kötelező a weboldalaknak a látogatók – egyértelmű és teljeskörű tájékoztatásukat követően – előzetes hozzájárulását kérni, amennyiben cookie-kat alkalmaznak.

Sütik mindenütt

Manapság a cookie-k szerves részévé váltak a weboldalaknak, többségük valamilyen formában alkalmazza őket, így szinte lehetetlen nem belebotlani egybe.

A cookie (másnéven süti) Lou Montulli, a Netscape Communications programozójának találmánya. Olyan valamely weboldal által előállított kis méretű, általában egy KByte-nál kisebb adat vagy szövegfájl, amely az internethasználó böngészője által elmentett információ gyűjtésére szolgál.

A cookie lehetővé teszi, hogy a weboldal „emlékezzen” az idők során a felhasználó műveleteire vagy preferenciáira, azonosítsa őt. Így a felhasználók anélkül hajthatnak végre feladatokat, hogy ismételten meg kellene adniuk valamely információt, amikor egyik oldalról a másikra áttérve böngésznek vagy később újra meglátogatják az oldalt.

Különböző fajta cookie-k léteznek. Osztályozhatóak élettartamuk alapján, eszerint megkülönböztethetünk például állandó vagy munkamenet cookie-kat. Míg az utóbbiak automatikusan törlődnek a böngészőprogram bezárásával, addig az előbbiek tartósan eltárolódnak a felhasználó eszközén. A cookie-k származhatnak harmadik féltől is, ebben az esetben külső cookie-nak nevezzük őket. Azonban lehetséges, hogy az adott honlap külső szolgáltatásokat nem vesz igénybe, kizárólag a saját maga által elhelyezett cookie-kat alkalmazza és a gyűjtött adatokat csakis saját maga dolgozza fel és hasznosítja. Ez utóbbi esetben belső cookie-ról beszélünk.

Személyes adatok védelme, mint alapvető jog

A weboldalak adatkezelőinek szigorú jogszabályban rögzített kritériumoknak és alapelveknek kell megfelelnie az adatkezelést illetően.

A személyes adataink védelméhez való jog alapvető jog, minden természetes személyt megillet. Éppen ezért az ilyen adatokat csakis kizárólag tisztességesen és jóhiszeműen, az érintett személy hozzájárulása alapján vagy jogszabályban rögzített jogos okból lehetséges kezelni.

Az Európai Adatvédelmi Testület (European Data Protection Board) 2022. januárjában elfogadott egy, a hozzáférési jogról szóló iránymutatást, mely célja, hogy minél szélesebb körben legyen biztosított az egyének számára a saját személyes adataik feletti rendelkezési joguk gyakorlásának lehetősége, így az elsősorban az adatkezelők számára nyújt pontos útmutatást arra vonatkozólag, hogy a természetes személyeket megillető hozzáférési jogot hogyan és milyen formátumban kell biztosítaniuk, különös tekintettel a személyes adataik kezelésének okára és céljára.

Továbbá ezzel egyidejűleg a Testület felállított egy Cookie Banner nevezetű Munkacsoportot, amely feladata az adatvédelmi hatóságokhoz beérkező, sütikezelésekkel kapcsolatos visszásságokra adott válaszok koordinálása és egységes álláspont kialakítása volt. A Munkacsoport 2023. január 18. napján közzétett jelentésében az alkalmazandó jog mellett az Európai Digitális Jogok Központja (NOYB) által előterjesztett jogsérelmek vizsgálatát követően az alábbiakban olvasható kritériumok elengedhetetlen fennállását fogalmazta meg a cookie bannerek, azaz a honlapok által közzétett előzetes hozzájárulási nyilatkozatok kapcsán.

Az ’elutasító gomb’ és az előre bejelölt négyzetek esete

Az érintett személy hozzájárulása önkéntességének definiálása a Munkacsoport esetében és az Európai Unió Bíróságának gyakorlatában is egyaránt kardinális jelentőséggel bír.

De mikor tekinthető önkéntesnek egy hozzájárulás? A hozzájárulás megadása alapvetően nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna, így tehát a hozzájárulás csakis abban az esetben tekinthető érvényesnek, ha az elfogadásra rendelkezésre álló jelölőnégyzetet előzetesen nem jelölték be, ugyanis ellenben lehetetlen megállapítani, hogy a felhasználó önkéntesen és megfelelő tájékoztatás alapján adta- e meg a hozzájárulását. A hallgatás, az előre bejelölt négyzet vagy a nemcselekvés ezért nem minősül hozzájárulásnak.

Az önkéntes hozzájárulás követelményét sérti továbbá az is, ha az ’Összes elfogadása’ és ’További beállítások’ opciók mellett az ’Elutasítás’ lehetőségét, mint opciót nem kínálja fel az adatkezelő a látogató számára.

Ez utóbbi alól kivételt jelent az olyan műszaki tárolás, illetve műszaki hozzáférés esete, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.

Így lehetséges, hogy vannak olyan cookie-k, melyek használatához nem szükséges a felhasználói beleegyezés, azonban többségük engedélyhez kötött.

Megtévesztő színek

Ugyan a jelentés elismeri, hogy a cookie-bannerek színsémája nem szabványosítható minden adatkezelő számára, és azt eseti alapon kell értékelni, az adatkezelésről szóló tájékoztató szöveg és a háttér, valamint a gombok közötti minimális kontrasztkülönbség a Munkacsoport álláspontja szerint nyilvánvalóan félrevezeti a felhasználókat, mivel a szöveg olvashatatlanná válik.

Igen vagy nem? Vagy inkább mégsem?

A jelenleg hatályos szabályozás lehetővé teszi, hogy a felhasználók hozzájárulásukat – tekintettel a kezelt adatok érzékenységére – bármikor visszavonhassák. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

Összegzés

Bár a cookie-k kapcsán mai napig rengetek kérdés merül fel, sokan megkérdőjelezik céljuk valódiságát, saját személyes adataik biztonságát, mindent összevetve elmondható, hogy széleskörű, mindent átfogó, folyamatosan fejlődő és bővülő joganyag, valamint joggyakorlat áll rendelkezésre, amely képes a megfelelő szintű biztonságot és a bizalmas kezelést biztosítani a felhasználók számára és így egyúttal hozzájárulni a felhasználói élményük javításához.

Ez a cikk az Arsboni 2023. tavaszi gyakornoki programjának keretében készült.

Források

Általános adatvédelmi rendelet
Európai Parlament és Tanács 2016/679 rendelete és 2009/136 EK irányelve
évi C. tv. az Elektronikus hírközlésről
C-673/17. sz. ügy
NAIH-3195-11/2022
https://www.cookielawinfo.com/major-gdpr-fines-2020-2021/
https://hiddenheroes.netguru.com/lou-montulli
https://edpb.europa.eu/news/news/2022/edpb-adopts-guidelines-right-access-and-letter-cookie-consent_en
https://www.technologylawdispatch.com/2023/01/cookies-tracking-online-behavioral-advertising/eu-cookie-banner-taskforce-report-what-you-need-to-know/
https://commission.europa.eu/cookies-policy_hu
https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-10/fiche_thematique_-_donnees_personnelles_-_hu.pdf
https://ico.org.uk/for-organisations/guide-to-pecr/key-concepts-and-definitions/

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.