Az adatvédelem nagy kérdései közül a sütik (cookie) alkalmazásával kapcsolatos témák jelentős figyelmet kaptak az utóbbi években. Ahogyan az igazi (értsd: ehető) sütikre, úgy a digitális világban terítékre kerülő sütikre is igaz: ahány ház, annyi szokás, azaz hiába az EU-n belüli közös szabályozási kiindulás (elektronikus hírközlési adatvédelmi irányelv, 2002/58/EK, illetve GDPR), a jogalkalmazás tekintetében számos kisebb-nagyobb eltérést láthatunk az egyes tagállamokban (a Dentos nemzetközi ügyvédi iroda sütiszabályozást összehasonlító információs oldalán jól láthatók ezek a különbségek).
Február végén a dán adatvédelmi hatóság (Datatylsinet) tett közzé útmutatást az ún. sütifalak (cookie walls) alkalmazhatóságával kapcsolatban.
Sütifal (cookie wall) alatt általánosságban azt a megoldást értjük, amikor egy internetes oldalhoz történő hozzáférés megkezdése előtt az adott oldal sütikezelését érintően nyilatkoznia kell a felhasználóknak és a hozzáférés feltétele a sütik - elsősorban marketing célú - alkalmazásához történő hozzájárulás.
A hozzájárulás megadásának elmaradása esetén - alternatív megoldásként - a hozzáférés biztosítása tipikusan ellenérték megfizetése fejében történhet (cookie paywall).
A sütifalak alkalmazhatóságának a kérdése különösen abból a szempontból áll viták kereszttüzében, hogy a honlaphoz történő hozzáférés feltételeként jelenik meg az összes vagy bizonyos sütik alkalmazásához történő hozzájárulás. Ebben az esetben hozzájárulás hiányában a hozzáférés sem történhet meg, az adott felhasználó elől elzárt marad a tartalom. Kérdéses, hogy beszélhetünk-e ilyenkor egyáltalán a hozzájárulás önkéntességéről. A témával az Európai Adatvédelmi Testület is foglalkozott a hozzájárulások érvényessége szempontjából: "[a]hhoz, hogy a hozzájárulás önkéntes legyen, a szolgáltatásokhoz és funkciókhoz való hozzáférés nem tehető függővé a felhasználó hozzájárulásától az adattároláshoz vagy a már tárolt adatokhoz való hozzáféréshez a felhasználó végberendezésében (úgynevezett sütifalak)" (lásd a hozzájárulásokra vonatkozó 2020/05. sz. iránymutatás 39. pontját, 13. o., illetve lásd a 6.a. példát, az iránymutatás 40-41. pontjaiban, 13-14. o.).
A fenti testületi iránymutatást olvasva akár arra a következtetésre is juthatunk, hogy "nincs itt semmi látnivaló", sütifalak nem alkalmazhatók, hiszen a hozzájárulás önkéntessége és így érvényessége megkérdőjelezhető. A téma - mint az adatvédelmi témák általában - azonban nem ilyen egyszerű. Éppen ezért érdemes a dán hatóság friss anyagával foglalkozni. Az alábbiakban röviden a dán adatvédelmi hatóság februárban közzétett iránymutatásában foglaltakat mutatom be. Fontos felhívni a figyelmet arra, hogy - amint azt fent is jeleztem - süti témában az egyes tagállami joggyakorlatban komoly különbségek is lehetnek (részben az elektronikus hírközlési adatvédelmi irányelvi szabályok nemzeti jogba történő átültetésének és az ezen alapuló gyakorlat különbségei miatt), így bármilyen sütikezelést érintő megoldás kialakítása előtt alapos tájékozódásra van szükség az alkalmazandó szabályokat és gyakorlatot illetően!
Mit mond a dán hatósági iránymutatás?
A dán iránymutatás azon esetekre vonatkozik, amikor a tartalomhoz történő hozzáférés a sütik elfogadása esetén válik lehetségessé. A dán hatóság nem mondja azt, hogy a sütifal alkalmazása kategórikusan tilos, hanem az alkalmazhatóság feltételeit vizsgálja. Természetesen a hozzájárulás önkéntessége itt is központi szerepet kap. Az önkéntesség vizsgálata szempontjából annak kiemelt jelentősége lehet, hogy a sütikhez történő hozzájárulás megadása mellett milyen egyéb lehetőségek állnak a felhasználók rendelkezésére a kívánt tartalomhoz való hozzáférésre (pl. fizetés a tartalomhoz történő "sütimentes" hozzáférésért).
A sütifalak értékeléséhez a hatóság összeállított egy kritérimrendszert, amelyek a sütifalak hatósági vizsgálata során a kiindulópontot képezik. A négy kritérium a következő:
- Ésszerű alternatívák rendelkezésre állása: Sütifal alkalmazása esetén szükséges, hogy a szolgáltató a sütikhez történő hozzájárulás mellett biztosítson megfelelő alternatív megoldást a felhasználók számára a tartalomhoz történő hozzáférésre. Ilyen megfelelő alternatíva lehet például a meghatározott, ésszerű díjért cserébe történő hozzáférés biztosítása. Fontos, hogy a tartalomnak, illetve szolgáltatásnak lényegében azonosnak kell lennie mindkét esetben, azaz akkor, ha ahhoz sütikhez történő hozzájárulás vagy pl, díjfizetés ellenében fér hozzá a felhasználó. Ha a különböző hozzáférésekkel elérhető tartalmak között lényegi különbség van, akkor a hozzájárulás nem tekinthető önkéntesnek.
- Ésszerű ár alkalmazása: Abban az esetben, ha a hozzájárulás alternatívája a fizetés ellenében történő hozzájárulás, akkor az árnak ésszerűnek kell lennie. Úgy kell tehát az árat megállapítani, hogy ez ne üresítse ki a hozzájárulások önkéntességét (túl magas ár ellenében ugyanis lényegében arra kényszerülhetnek az érintettek, hogy a fizetés helyett inkább a hozzájárulás megadását válasszák, azaz ebben az esetben is csorbul az önkéntesség). (A megfelelő, illetve ésszerű árazás kapcsán az érintett szolgáltatóknak kell a döntést meghozniuk és ez esetről-esetre értékelhető.)
- Különböző célú adatkezelések esetében a szükségesség vizsgálata: Az esetek nagy részében a marketing célú sütikhez szükséges hozzájárulás képezi az alternatív hozzáférési lehetőség lényegi elemét. Ugyanakkor más célú sütik alkalmazása is felmerülhet (pl. statisztikai, analitikai célú sütik, személyre szabáshoz szükséges sütik, stb.). Ilyen esetekben vizsgálandó, hogy az egyes adatkezelések kiállják-e a szükségesség próbáját. Abban az esetben, ha a szolgáltatáshoz nem feltétlenül szükségesek a különböző célú sütik, akkor célonkénti hozzájárulások beszerzésére lehet szükség.
- Személyes adatok kezelése fizetős felhasználók esetében: Azokban az esetekben, amikor a felhasználó fizet a tartalomhoz való hozzáférésért vagy a szolgáltatásért, a szolgáltatás igénybevételéhez szükség lehet adatkezelésre (pl. felhasználói fiók létrehozásához). Ilyen esetekben az adatkezelés nem haladhatja meg a tartalomhoz való hozzáféréshez vagy a szolgáltatás igénybevételéhez szükséges mértéket (azaz erre vonatkozó külön hozzájárulás hiányában, nem kerülhet sor további, pl. marketing célú adatkezelésre) a fizetős szolgáltatással összefüggésben.
A dán hatóság az iránymutatás mellett két egyedi ügyben is vizsgálta a sütifalak alkalmazását és közzétette az ezekben az ügyekben tett megállapításait is.
Az egyik vizsgált esetben (Gul og Gratis) a hozzájárulás megadása mellett alternatív megoldásként a fizetős hozzáférés lehetőségét is biztosította a társaság, méghozzá ésszerű árazás mellett. Ugyanakkor azt nem tudta az érintett társaság kellőképpen alátámasztani, hogy a statisztikai célú adatkezelés feltétlenül szükséges lett volna a szolgáltatás kapcsán. Ennek megfelelően a hatóság felhívta a társaságot, hogy igazolja a statisztikai célú adatkezelés szükségességét vagy külön hozzájárulást szerezzen be ezen adatkezelés tekintetében.
A másik vizsgált esetben (Jysk Fynske Medier) arra a megállapításra jutott a dán adatvédelmi hatóság, hogy az alkalmazott sütifal, amely alapján korlátozott tartalomhoz férhettek hozzá a felhasználók abban az esetben, ha nem adtak hozzájárulást a sütik alkalmazásához (utóbbi esetben, azaz hozzájárulás megadásával vált elérhetővé a teljes tartalom). A hatóság véleménye szerint ezen megoldás alkalmazásával a kétféle hozzáféréssel kínált tartalom nem volt "lényegében azonosnak tekinthető" (lásd a fenti (i) pontot), így a felhasználók döntési szabadsága korlátozott volt, azaz sérült a hozzájárulás önkéntessége. A statisztikai célú sütik alkalmazásának szükségességt ez esetben sem sikerült megfelelően alátámasztani. A hatóság ebben az esetben is felhívással élt az érintett társaság felé, hogy a hozzájárulás beszerzésére irányuló gyakorlatát igazítsa a GDPR követeményeihez, illetve biztosítsa a hozzájárulások megadásának önkéntességét.
Mi a helyzet a sütifalakkal más tagállamokban?
Nem a dán adatvédelmi hatóság az első, amely a sütifalakat érintően részletesebb iránymutatást is kiadott. Korábban a francia adatvédelmi hatóság (CNIL) több alkalommal foglalkozott a témával. Először a sütifalak alkalmazásának jogellenességét mondták ki, majd bírósági döntés nyomán (a Conseil d’État 2020. június 19-i döntése), az általános tilalom helyett egy esetenkénti mérlegelést előtérbe helyező megközelítés került alkalmazásra, amely a valós választási lehetőség biztosítását és így a hozzájárulás önkéntességét kiemelten vizsgálja. (A CNIL gyakorlatának korábbi alakulásáról lásd Bereczki Tamás 2021. áprilisában írt összefoglalóját.)
Legutóbb pedig 2022. május 16-án tett közzé a francia hatóság iránymutatást, amelyben a sütifalak kérdésével foglalkozik (rövid angol nyelvű összefoglaló elérhető pl. itt). Ebben az iránymutatásban (is) arra hívja fel a CNIL a figyelmet, hogy a hozzájárulás önkéntességével kapcsolatos követelmények ugyan nem teszik a sütifalak alkalmazását eleve jogellenessé, de a megoldások vizsgálata során figyelemmel kell lenni különösen arra, hogy megfelelő alternatív megoldások állnak-e a felhasználók rendelkezésére, ha nem járulnak hozzá a nyomonkövetéshez.
A francia adatvédelmi hatóság az alkalmazásra kerülő megoldások eseti vizsgálata kapcsán - a fentiekben részletesen bemutatott dán hatósági szempontrendszerhez sok tekintetben hasonlóan - az alábbi vizsgálandó elemeket emeli ki:
- rendelkezésre áll-e a tartalomhoz történő hozzáférést biztosító megfelelő alternatíva, ha a felhasználó nem járul hozzá a sütik alkalmazásához (e körben a CNIL elfogadhatónak tartja azt is, ha a szolgáltató azt tudja igazolni, hogy más szolgáltatónál* - a sütikhez történő hozzájárulás kötelezettsége nélkül - elérhető lényegében azonos szolgáltatás),
- ésszerű áron** érhető-e el az alternatív szolgáltatás,
- különböző célú adatkezelések vizsgálata, illetve annak igazolása, hogy kizárólag olyan sütikhez kér hozzájárulást az adatkezelő, amelyek a nyújtott szolgáltatás kapcsán megfelelő kompenzációt jelentenek (pl. ha a célzott hirdetésekhez történő hozzájárulás szükséges a tartalomhoz történő hozzáférés anyagi kompenzációja érdekében, akkor a tartalom személyre szabásához már nem köthető a hozzáférés, hiszen ez egy elkülönülő adatkezelési cél),
- ha a felhasználó a fizetős alternatívát választja, azaz nem ad hozzájárulást az adatkezeléshez, milyen körben alkalmazhatók mégis sütik.
*A más szolgáltatónál elérhető hasonló szolgáltatás figyelembevehetősége kapcsán érdemes felhívni a figyelmet az Európai Adatvédelmi Testület hozzájárulásokra vonatkozó iránymutatására (2020/05. sz. iránymutatás), amely a más szolgáltatók által nyújtott szolgáltatások alternatívaként történő kezelését nem tartja megfelelő megoldásnak: "Az Európai Adatvédelmi Testület úgy véli, hogy a hozzájárulás nem tekinthető önkéntesnek, ha az adatkezelő azzal érvel, hogy van választási lehetőség egyrészt a további célra történő személyesadat felhasználáshoz való hozzájárulást tartalmazó saját szolgáltatása, másrészt egy másik adatkezelő által kínált egyenértékű szolgáltatás között. Ilyen esetben a választás szabadsága attól függne, hogy más piaci szereplők mit tesznek, és hogy az egyes érintettek valóban egyenértékűnek találnák-e a másik adatkezelő szolgáltatásait. Ez ráadásul azzal a kötelezettséggel járna az adatkezelők számára, hogy az adatkezelési tevékenységeiket érintő hozzájárulás folyamatos érvényességének biztosításához figyelemmel kellene kísérniük a piaci fejleményeket, mivel előfordulhat, hogy egy-egy versenytárs később módosítja a szolgáltatását. Ezért ennek az érvnek az alkalmazása azt jelenti, hogy egy harmadik fél által kínált alternatív lehetőségen alapuló hozzájárulás nem felel meg az általános adatvédelmi rendeletnek, vagyis a szolgáltató nem akadályozhatja meg az érintetteket abban, hogy valamely szolgáltatáshoz hozzáférjenek azon az alapon, hogy a hozzájárulásukat nem adják meg." (2020/05. sz. iránymutatás, 38. pont, 13. o.)
** Az ésszerű ár megállapítása kapcsán érdekes adalékul szolgál egy tanulmány, amely számos, a hozzájárulás alternatívájaként fizetős hozzáférés lehetőségét kínáló (cookie paywall) honlapot vizsgált és arra jutott, hogy - éves szinten - 36-74 euró közötti összeggel "lehet megváltani a hozzájárulást" a sütikhez. A tanulmány abból a szempontból is érdekes, hogy a süti-, illetve fizetési falak (cookie/paywall) több kategóriáját is megkülönbözteti és vizsgálja: (i) hard paywall (kizárólag fizetés ellenében enged hozzáférést), (ii) soft paywall (egy részlet látható fizetés nélkül, de a teljes tartalomhoz történő hozzáféréshez fizetnie kell a felhasználónak), (iii) metered paywall (a tartalomhoz történő hozzáférés egy bizonyos mértékig ingyenes, ezt követően fizetéshez kötött), (iv) registration wall (a hozzáférés regisztrációhoz kötött), (v) cookie wall (sütik elfogadásához kötött a hozzáférés), (vi) cookie paywall (a felhasználó választhat a nyomonkövetéshez, azaz a sütik telepítéshez történő hozzájárulás vagy a nyomonkövetés mentes, ugyanakkor fizetős hozzáférés között.)
(Lásd Victor Morel, Cristiana Santos, Yvonne Lintao, and Soheil Human: Your Consent Is Worth 75 Euros A Year – Measurement and Lawfulness of Cookie Paywalls. In Proceedings of the 21st Workshop on Privacy in the Electronic Society (WPES ’22), November 7, 2022, Los Angeles, CA, USA. ACM, New York, NY, USA, 6 pages)
Látható, hogy a francia és a dán hatósági megközelítés hasonló szempontokat vizsgál a sütifalak kapcsán. Mindkét esetben megengedőbb megközelítést láthatunk (esetről-esetre történő vizsgálat, teljes tilalom helyett). Ehhez hasonlóan a 2020. júniusában kiadott olasz hatósági iránymutatás (lásd 6.1. pont) is az esetről-esetre történő vizsgálat szükségességét emeli ki, és a jogszerűség előfeltétele a megfelelő alternatíva rendelkezésre állása, illetve a GDPR elveinek való megfelelés (különösen a "jogszerűség, tisztességesség, átláthatóság" kapcsán).
A dán és a francia megközelítéssel szemben olyat is találhatunk, amely a sütifalak alkalmazhatóságát egyáltalán nem tartja kívánatosnak: a cseh adatvédelmi hatóság sütikkel kapcsolatos útmutatója, bár részletesen nem merül el a témában, utal az Európai Adatvédelmi Testület - fent már hivatkozott - 2020/05. sz. iránymutatásának 39. pontjára, amely a sütifalak alkalmazhatóságt a hozzájárulás önkéntességével nem igazán látja összeegyeztethetőnek. (Sajnos az útmutató cseh nyelven érhető el, de itt egy nagyon rövid áttekintés olvasható a tartalmáról Odia Kagantól.)
