Vissza

Hogyan kezeljük a sütiket a Cookie Banner Munkacsoport jelentése szerint

Az Európai Adatvédelmi Testület 2021-ben létrehozott egy Cookie Banner Munkacsoportot, hogy a számos adatvédelmi hatósághoz érkező, sütik kezelésével kapcsolatos panaszokra adandó válaszokat koordinálja. A Testület 2023. január 18-án közzétette a Munkacsoport jelentését, amely nyolc különböző esetkör elemzésével mutatja be a követendő szabályokat. Az anyag jó kiindulási alapnak szolgálhat az uniós szabályozás mellett, a különböző tagállamok sütikre vonatkozó szabályainak alkalmazása során. Bár a jelentés csak a sütikre fókuszál, de a számos egyéb nyomon követési technika esetében is hasonló szempontoknak kellene érvényesülniük.


A honlapok böngészése során óhatatlanul találkozunk sütikkel (cookie-kkal), s ezek elfogadása vagy tudomásul vétele esetén az adott honlap üzemeltetője elhelyez az eszközünkön egy olyan adatcsomagot, amely többek között figyeli, nyomon követi az adott weboldalon folytatott tevékenységünket. A süti azonosító[1] személyes adatnak minősül, így annak használata során be kell tartani az elektronikus hírközlési adatvédelmi irányelv[2] és a GDPR[3] szabályait. Sajnos a honlap üzemeltetők sok esetben hibás megoldást alkalmaznak, amelyekkel kapcsolatosan számos panaszt nyújtottak be az Európai Adatvédelmi Testülethez (a továbbiakban Testület).

A Testület 2021-ben létrehozott egy Cookie Banner Munkacsoportot, amelynek a 2023. január 18-án közzétett jelentése jó iránymutatás arra, hogy a honlap üzemeltetők hogyan ne kezeljék a sütikkel kapcsolatos tájékoztatást és az egyes funkciókat. Íme néhány példa az anyagból:

Nincs elutasításra szolgáló gomb

A sütisávban jellemzően csak az "összes elfogadása" és a "további beállítások" opciók szerepelnek, de hiányzik az "elutasítás" lehetősége. Az Európai Unió több felügyeleti hatósága szerint, ha nem szerepel az elutasítás lehetősége az elfogadás mellett, az érvényes hozzájárulás feltételei nem teljesülnek és sérülnek az elektronikus hírközlési adatvédelmi irányelvben megfogalmazott követelmények. Csak néhány hatóság képviseli azt az álláspontot, hogy az "elutasítás" gomb hiánya önmagában nem jelent feltételen jogsértést.

Elfogadást alapértelmezettként megjelölő megoldások

Az előre bejelölt négyzetek azt a látszatot keltik, hogy az érintett nem önként adta meg a hozzájárulását, ezért ezek a megoldások nem felelnek meg sem az irányelv, sem a GDPR követelményeinek, s ilyen esetben a hozzájárulás nem tekinthető érvényesnek.

Nem megfelelően kategorizált sütik

A sütik kategorizálásának megfelelő elvégzése adatkezelői felelősség és folyamatos feladat, hiszen a sütik funkciója, azok használata során változhat, így időről-időre újraértékelést igényelhet. A sütik indokolatlanul "feltétlenül szükségesnek" minősítése által a honlap üzemeltetők nem bújhatnak ki a kötelezettségeik teljesítése alól. Az adatkezelőnek képesnek kell lennie annak alátámasztására, hogy miért kategorizált egy bizonyos típusú sütit feltétlenül szükségesnek, vagy esetleg belső marketing sütinek. Ezekben az esetekben ugyanis az adatkezelő jogos érdekeinek érvényesítése jogalapon kezelhető az adat, s nem szükséges az érintett hozzájárulását kikérni.

Nincs a hozzájárulás egyszerű módon történő visszavonására lehetőség

A hozzájárulás egyszerű visszavonásának lehetőségét is biztosítani kell a honlapon egy erre szolgáló ikon vagy gomb megjelenítésével. Az elektronikus hírközlési adatvédelmi irányelv alapján szükséges, hogy a hozzájárulás a GDPR-ban előírt követelményeinek is megfeleljen, így biztosított kell legyen a hozzájárulás visszavonásának lehetősége, bármikor történő gyakorolhatósága, illetve a hozzájárulás visszavonásának módja nem lehet nehezebb a hozzájárulás megadásának módjától.

A Cookie Banner Munkacsoport jelentése bár nem ad teljes képet a sütikezelés terén, de hasznos anyag lehet a megfelelő sütikezelési megoldások kialakítása során.

A teljes anyag angol nyelven érhető el a következő dokumentumban:

 

[1] lásd: GDPR (30) preambulumbekezdése szerint

[2] Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv)

[3] Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)

Legközelebbi események

Kvantum elmélkedés-Számítástechnikai Szakosztály 2024.03.28. 14:00 - 2024.03.28. 15:30
Vezetőségi ülés - Vétel., Kábelt. szo, Médiaklub 2024.04.03. 9:00 - 2024.04.03. 10:00
26. Projektmenedzsment Fórum 2024.04.11. 9:00 - 2024.04.11. 17:00