Számos weboldalt érint a cookie-k elhelyezéséről szóló új uniós útmutatás

Weboldalak böngészése gyakorlatilag elképzelhetetlen anélkül, hogy ún. cookie-k személyes adatokat gyűjtsenek a felhasználó tevékenységéről különböző célokból. A weboldalak üzemeltetői számára nem kevés fejtörést okozott az elmúlt néhány évben, hogy a gyakorlatban milyen lépésekkel tehetnek maradéktalanul eleget a cookie-k használatára vonatkozó jogszabályi előírásoknak.

CodeGreen_web_jpg

A cookie-k használatára vonatkozó jogi feltételeket megállapító módosított 2002/58/EC uniós irányelv rendelkezéseit a magyar jogba az elektronikus hírközlésről szóló 2003. évi C. törvény ültette át. A hírközlési törvény egyértelműen rögzíti, hogy cookie-t elhelyezni, a cookie által gyűjtött személyes adatokat felhasználni csak az érintett felhasználó világos és teljes körű tájékoztatását követő hozzájárulása alapján lehet. A módosított uniós irányelv 2009-es elfogadása óta a különböző weboldalak számos gyakorlati megoldást alakítottak ki a cookie-k elhelyezéséhez, használatához szükséges hozzájárulás beszerzésére vonatkozóan. Kérdésként merül fel, hogy ezen megoldások közül melyek állnak valóban összhangban a vonatkozó jogszabályi előírásokkal? Így többek között tisztázatlan volt, hogy a felhasználó hozzájárulásának kifejezettnek kell lennie vagy a ráutaló magatartással adott hozzájárulás is megfelelő.

Az Európai Unió adatvédelmi munkacsoportja által 2013 végén közzétett munkadokumentum azzal kapcsolatban ad gyakorlati útmutatást, hogy egy az EU több tagállamában működő weboldal esetén milyen gyakorlati módon lehet a cookie-k használatához szükséges hozzájárulást jogszerűen beszerezni. Lényeges megemlíteni, hogy az adatvédelmi munkacsoport munkadokumentuma nem minősül Magyarországon közvetlenül hatályos, kötelező erejű dokumentumnak. A Nemzeti Adatvédelmi és Információszabadság Hatóság azonban gyakran hivatkozik az adatvédelmi munkacsoport különböző véleményeire, illetve munkadokumentumaira amikor a követendő joggyakorlatot igyekszik megállapítani egy-egy adatvédelmi kérdéskör kapcsán.

Az adatvédelmi munkacsoport álláspontja szerint a felhasználó cookie-k használatához adott hozzájárulásának négy lényeges feltételnek kell megfelelnie. A hozzájárulás legyen:

(1)   előzetes,

(2)   megfelelő tájékoztatáson alapuló,

(3)   határozott és

(4)   önkéntes.

A hozzájárulás akkor tekinthető előzetesen megadottnak, ha a cookie elhelyezése, illetve olvasása előtt kerül sor annak beszerzésére.

A hozzájárulás beszerzésére megfelelő tájékoztatás megadása mellett kerülhet csak sor. A cookie-k használatára vonatkozó tájékoztatásnak világosnak és részletesnek kell lennie, illetve azt jól látható helyen, a hozzájárulás bekérésével azonos helyen (pl. weboldal nyitólapja) javasolt elhelyezni. A tájékoztatásnak tartalmaznia kell a cookie használatból következő adatkezeléssel kapcsolatos valamennyi tényt, illetve körülményt, így elsősorban annak ki kell térnie az adatok felhasználásának céljára, harmadik személyeknek az adatokhoz történő esetleges hozzáférésére, az adatkezelés idejére, valamint a hozzájárulás megadásának, módosításának és visszavonásának módjaira. A többszintű tájékoztatásra természetesen lehetőség van: a weboldal nyitólapján közvetlenül csak minimális, jól látható, könnyen érthető tájékoztatás jelenik meg és emellett a további, részletes tájékoztatás egy linkre vagy ikonra kattintással érhető el.

Az adatvédelmi munkacsoport állást foglalt továbbá az egyik legvitatottabb kérdés tekintetében is: elfogadható-e a ráutaló magatartással adott hozzájárulás vagy annak kifejezettnek kell lennie? A munkadokumentum értelmében a hozzájárulásra vonatkoznak a 95/46/EC adatvédelmi irányelv előírásai is. Ezeket az előírásokat a magyar jogrendszerbe az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény ültette át. A hozzájárulás eszerint az érintett akaratának önkéntes és határozott kinyilvánítása, amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez. Mindebből következően a munkacsoport véleménye szerint a felhasználó szándékának (hozzájárulás megadásának) aktív kifejezése szükséges. A hozzájárulás jogszerűen megadható például gombra, képre vagy linkre kattintva, tick-box (jelölőnégyzet) megjelölésével vagy más aktív magatartással. Ezzel szemben nem kerül sor a hozzájárulás megfelelő beszerzésére, így a weboldal üzemeltetője nem jogosult a cookie-k használatára, ha a felhasználó pusztán a „további információ cookie-król” linkre kattint, illetve, ha tájékoztatás jelenik meg a weboldalon a cookie-król, de semmilyen egyéb aktív magatartást nem tanúsít a felhasználó azon túl, hogy a weboldalon marad.

A munkadokumentum végül hangsúlyozza, hogy a hozzájárulás akkor minősül önkéntesen megadottnak, ha valódi választási lehetőséget biztosítanak a felhasználónak, azaz a felhasználó választhat, hogy valamennyi vagy csak egyes cookie-k használatát engedélyezi vagy a cookie-k használatát teljesen kizárja. A munkacsoport szerint egy weboldalhoz való általános hozzáférés nem tehető függővé a cookie-k használatára vonatkozó hozzájárulás megadásától. Például egy webáruház esetében a (nem funkcionális) cookie-k használatának elutasítása nem eredményezheti azt, hogy a felhasználó nem vásárolhat az adott webáruházban.

A munkacsoportnak a fenti véleménye, különösen a hozzájárulás tekintetében az aktív felhasználói magatartás megkövetelése számos weboldal üzemeltető által választott gyakorlati megoldásnak a felülvizsgálatát, újragondolását teheti szükségessé. Különös tekintettel arra, hogy a nemzeti adatvédelmi hatóságok egyre nagyobb figyelmet fordítanak a cookie használat jogszerűségének ellenőrzésére. A napokban a francia adatvédelmi hatóság, a CNIL a legmagasabb összegű 150.000 Eurós bírságot szabott ki a Google-re többek között azért, mert a cookie-k használatához bekért hozzájárulást nem találta megfelelőnek.

dr. Tarján Zoltán
ügyvéd
zoltan.tarjan@twobirds.com
Tel.: +36 1 799 2000
Knight Bird & Bird IrodaCategories: Adatvédelem

Tags: , , , , , , , , , ,