GDPR

Adatvédelem mindenkinek / Data protection for everyone

Tippek a megfelelő sütikezeléshez

2023. január 20. 10:30 - poklaszlo

Az Európai Adatvédelmi Testület 2021-ben felállított egy "cookie banner taskforce" névre hallgató csoportot, hogy a Noyb nevű civil szervezettől számos adatvédelmi hatósághoz érkező, a sütik kezelésével kapcsolatos panaszokra adandó válaszokat koordinálja. A Testület közzétette a csoport jelentését, amely közös nevezőként szolgálhat - az uniós szabályozás mellett - a különböző tagállamok sütikre vonatkozó szabályainak alkalmazása során.

A sütiket érintő szabályok alkalmazásakor ugyanis nem szabad elfelejteni, hogy az e-Privacy irányelv (elektronikus hírközlési adatvédelmi irányelv; 2002/58/EK, lásd különösen az 5. cikk (3) bekezdését), illetve ennek a különböző tagállami jogokba való átültetését elvégző nemzeti szabályok alkalmazandók. Természetesen ezen felül a személyes adatkezelés vonatkozásában a GDPR rendelkezéseire is figyelemmel kell eljárni.

A jelentés 8 különböző gyakorlatot vesz górcső alá és ezekkel kapcsolatban az alábbi főbb megállapításokat teszi.

A. Nincs elutasításra szolgáló "gomb" a süti sáv első rétegében ("No reject button on the first layer")

Ebben az esetben a cookie banner az első oldalon (első réteg) felkínálja az "összes elfogadása" és a "további beállítások" opciókat, de hiányzik innen az "elutasítás" lehetősége.

Ezzel a megoldással kapcsolatban a felügyeleti hatóságok többségének az volt az álláspontja, hogy ha nem szerepel az elutasítás lehetősége az elfogadás mellett (legyen szó a sütikezelés bármelyik rétegéről), akkor az érvényes hozzájárulás feltételei nem teljesülnek és sérülnek az e-Privacy irányelvben megfogalmazott követelmények. (Néhány hatóság helyezkedett csak arra az álláspontra, hogy az "elutasítás" gomb hiánya nem alapoz meg önmagában jogsértést, mert ennek meglétét nem írja kifejezetten elő az irányelv.) 

B. Előre bepipált négyzetek ("Pre-ticked boxes")

Az előre bepipált négyzetek (illetve nyilván ehhez hasonló más, az elfogadást alapértelmezettként kezelő megoldások) nem felelnek meg sem az irányelv, sem a GDPR követelményeinek, így érvényes hozzájárulás nem alapulhat ezen a megoldáson. 

C. Megtévesztő link elhelyezés ("Deceptive link design")       

Számos esetben a sütik elutasítása opcióhoz nem egy "gomb", hanem egy link tartozik (vagy közvetlenül az elutasításhoz vagy egy második réteghez, ahol az elutasítás elvégezhető). 

A sütisáv (cookie banner) kialakítása során biztosítani kell annak a látszatnak az elkerülését, hogy a sütik telepítésének az elfogadása szükséges az adott honlap használatához, illetve kerülni kell azokat a megoldásokat, amelyek egyértelműen arra ösztönzik a felhasználókat ("nyomást gyakorolnak rájuk") annak érdekében, hogy hozzájárulást adjanak. 

Többek között az alábbi megoldások nem alkalmasak érvényes hozzájárulás megszerzésére: 

  • ha az elfogadás mellett az elutasítás lehetőségét valamilyen szövegben, leírásban szereplő link útján biztosítják (azaz nem hívják fel kellően - megfelelő vizuális eszközökkel is - a figyelmet erre a lehetőségre), 
  • ha az elfogadás mellett az elutasítás lehetőségét nem az "elfogadás" gombot tartalmazó sütisáv felületén, hanem azon kívül biztosítják.

D.&E. Megtévesztő színű, illetve árnyalatú gombok ("Deceptive button colours" &"Deceptive button contrast")

Az elfogadás és elutasítás opciók vizuális megjelenítése kapcsán - a taskforce véleménye alapján - minden esetben vizsgálni kell, hogy a színek és árnyalatok nem megtévesztőek-e és így nem járulnak-e hozzá ahhoz, hogy a felhasználók nem teljesen tudatosan (akaratlanul) adjanak hozzájárulást, amely emiatt érvénytelennek minősül. 

Az mindenképpen félrevezető gyakorlat, ha az "elfogadás" gomb mellett ugyan megjelenik az elutasítás lehetősége is, de ennek a gombnak és a szövegnek a színe olyan kevéssé tér el egymástól, hogy szinte olvashatatlan a szöveg. 

H. Jogos érdekre hivatkozás, célok listázása ("Legitimate interest claimed, list of purposes")

Ebbe a típusba azok a megoldások tartoznak, ahol az első rétegben tipikusan csak az elfogadás lehetősége jelenik meg, míg a második rétegben az elutasítás mellett külön lehetőségként megjelenik a további adatkezeléssel szembeni tiltakozás lehetősége is. 

A további adatkezeléssel kapcsolatos tiltakozási jog ilyen módon történő megjelenítése kapcsán a taskforce megjegyzi, hogy 

  • az ebbe a körbe eső adatkezelési célok tekintetében (pl. személyre szabott tartalomfogyasztási profil létrehozása") az adatkezelői érdek elsődlegessége nem feltétlenül állapítható meg, 
  • félrevezető lehet a felhasználók számára, mert azt a látszatot keltheti, hogy kétszer kell elutasítaniuk az adatkezelést ahhoz, hogy az ő adataik kezelésére ne kerüljön sor. 

A további - jogos érdeken alapuló - adatkezelés jogszerűségéhez szükséges, hogy egyrészt a sütik kezelésével kapcsolatos követelmények teljesüljenek, másrészt az adatkezelésre a GDPR-nak megfelelően kerüljön sor. Ennek megfelelően, ha a sütik elhelyezésére nem megfelelően (nem érvényes hozzájárulás alapján) kerül sor, akkor az ezen alapuló, további adatkezelés sem lehet jogszerű. 

A téma kapcsán további vizsgálatok és elemzések is szükségesek a taskforce szerint. 

I. Nem megfelelően kategorizált elengedhetetlen sütik ("Inaccurately classified >essential< cookies")

A kategorizálás megfelelő elvégzése adatkezelői felelősség és egy "dinamikus" feladat, azaz folyamatos újraértékelést igényelhet. Mindenesetre nem szolgálhat alapul ahhoz, hogy a sütik indokolatlanul "elengedhetetlennek" minősítése révén bújjanak ki az egyéb kötelezettségek teljesítése alól. Az adatkezelőnek képesnek kell lennie annak alátámasztására, hogy miért kategorizált egy bizonyos típusú sütit "elengedhetetlennek" vagy "feltétlenül szükségesnek". 

(A taskforce hivatkozik a téma kapcsán a WP29 2012-es iránymutatására is, amely a kategorizálás kapcsán további eligazítást adhat.)

K. Nincs a visszavonást jelző ikon ("No withdraw icon")

A hozzájárulás egyszerű visszavonhatóságának a lehetőségét is biztosítani kell (pl. egy erre szolgáló ikon megjelenítésével a honlapon). Tekintettel arra, hogy az e-Privacy irányelv alapján szükséges hozzájárulásnak a GDPR érvényes hozzájárulásra meghatározott követelményeinek is meg kell felelnie, így szükséges, hogy biztosított legyen a (i) visszavonás lehetősége, amely (ii) bármikor gyakorolható és (iii) nem lehet nehezebb, mint a hozzájárulás megadásának a módja. A visszavonásra szolgáló megoldások esetében is esetről esetre történő vizsgálat szükséges ahhoz, hogy megállapítható legyen, miszerint a hozzájárulás visszavonására kialakított megoldás megfelel-e a feltételeknek.

A taskforce jelentése nem ad teljes képet a sütikezelés kapcsán, de hasznos segédanyag lehet a megfelelő sütikezelési megoldások kialakítása során. Fontos felhívni a figyelmet arra is, hogy bár a jelentés a sütikre fókuszál, de számos egyéb olyan nyomonkövetési technológia alkalmazására kerülhet sor, amelyek esetében hasonló szempontoknak kell érvényesülniük.   

Szólj hozzá!
Címkék: süti hozzájárulás iránymutatás portfolioblogger HU Európai Adatvédelmi Testület jogos érdek e-Privacy irányelv

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr7218030118

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása