Új adatvédelmi iránymutatás a „cookie” szabályzatok kapcsán

Szerző(k): Dr. Zalavári György LL.M. | 2020.05.14 | Adatvédelem

Az Európai Adatvédelmi Testület (Testület) 2020. májusában adta ki a honlapokon alkalmazott, a „cookie” vagy „süti” programok működéséhez történő hozzájárulás menetének tekintetében frissített iránymutatását. Korábban, 2018. áprilisában már a 29. cikk alapján létrehozott munkacsoport WP259 iránymutatása, illetve a 2016/679/EU európai parlamenti és tanácsi rendelet (GDPR) 70. cikk (1) bekezdésének e) pontja foglakozott a témával.

A Testület most kiemelten két vonatkozásban frissítette a sütik kapcsán a korábbi megállapításait. Egyrészt az érintettnek a cookie-k használathoz úgynevezett „cookie falak” útján történő hozzájárulásának érvényességét vizsgálta. Másrészt a felhasználónak a sütik használatához történő konkrét hozzájárulás helyett a honlapon történő továbbgörgetésnek, a honlap további felületeinek megtekintésének jóváhagyásként történő értelmezését elemezte.

De mi is az a „sütifal”? Egy olyan megoldás az internetes oldalon, amely arra kényszeríti a látogatót, hogy elfogadja a honlap üzemeltetője által felajánlott adatkezeléseket, mert ennek hiányában az oldal szolgáltatásait nem tudja igénybe venni, azaz a sütifal megakadályozza, hogy a hozzájárulásukat megadni nemkívánó felhasználók használják a honlapot vagy a szolgáltatást.

A GDPR 4. cikkének (11) bekezdése alapján a sütik használatához történő hozzájárulás, a jóváhagyás olyan önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Az új iránymutatás számos konkrét példát is elemez, és ezek között szerepel az az eset is, amikor a webhely szolgáltatója olyan szkriptet helyez el, amely blokkolja az oldalon a tartalom láthatóságát, amennyiben a látogató a honlap működtetőjének adatkezelési céljait biztosító sütik alkalmazását nem fogadta el. Ebben a helyzetben a látogatónak nincs érdemi választási lehetősége, kényszerhelyzetben van, ezért a sütik elfogadására vonatkozó hozzájárulása nem minősül érvényes hozzájárulásnak, mivel az nem valódi választási opció önkéntes elfogadásának eredményeként jött létre.

Vizsgálta az iránymutatás azt az esetet is, amikor egy kiskereskedő által üzemeltetett honlapon az ügyfelek adatainak felhasználását a hírlevelek kiküldéséhez és a vállalatcsoportjának más tagjai részére történő továbbításhoz egy engedély megadásával, együtt kérik. Mivel az ilyen típusú hozzájárulás nem kellően részletezett, mert a két külön célhoz nincs külön beleegyezés, az így adott hozzájárulás nem lesz érvényes. Ebben az esetben külön engedélyeket kell beszerezni a hírlevelekhez és a vállalatcsoport további tagjainak történő továbbitás tekintetében.

Érdekes még kiemelni azt is az iránymutatás alapján, hogy az a tény, hogy az adatvédelmi tájékoztató megjelenítését követően a látogató egy, az elfogadást célzó jelölőnégyzet (checkbox) használata, vagyis a jóváhagyás kipipálás nélkül tovább görgeti a weboldalt, vagy egy másik aloldalra kattint, semmiképpen nem felel meg az egyértelmű és hozzájáruló cselekvés követelményének. Ennek oka, hogy az ilyen típusú interakcióknál nehéz megkülönböztetni a felhasználót más tevékenységektől és ezért az egyértelmű hozzájárulás megszerzésének igazolása utóbb sem lesz lehetséges. Továbbá azt a követelményt sem lehet kielégíteni, hogy az adatkezeléshez történt hozzájárulás visszavonására a felhasználó számára ugyanolyan egyszerű módot kell biztosítani, mint ahogy a jóváhagyását beszerezték.

Ha a honlapján keresztül kezelt személyes adatok kapcsán tanácsadásra vagy az adatvédelmi tájékoztató kidolgozására van szüksége, akkor keresse Dr. Zalavári György adatvédelmi szakjogász szakértőnket.

A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.