A sütifalak (cookie walls) témája évek óta megosztja az adatvédelemmel foglalkozókat, sőt az adatvédelmi hatóságokat is. Bár többféle sütifal létezik, az egyik leggyakoribb megoldás, hogy a felhasználó választhat: (i) a tartalomhoz való hozzáférésért cserébe hozzájárul a sütik telepítéséhez és így az aktivitása nyomon követéshez vagy (ii) nem fogadja el a sütiket, viszont egy meghatározott összeget (tipikusan valamilyen előfizetéses konstrukció formájában) fizet a tartalomért (ún. cookie paywall).
Egy 2022-ben megjelent tanulmány a süti-, illetve fizetési falak (cookie/paywall) alábbi kategóriáit különbözteti meg: (i) hard paywall (kizárólag fizetés ellenében enged hozzáférést), (ii) soft paywall (egy részlet látható fizetés nélkül, de a teljes tartalomhoz történő hozzáféréshez fizetnie kell a felhasználónak), (iii) metered paywall (a tartalomhoz történő hozzáférés egy bizonyos mértékig ingyenes, ezt követően fizetéshez kötött), (iv) registration wall (a hozzáférés regisztrációhoz kötött), (v) cookie wall (sütik elfogadásához kötött a hozzáférés), (vi) cookie paywall (a felhasználó választhat a nyomonkövetéshez, azaz a sütik telepítéshez történő hozzájárulás vagy a nyomonkövetés mentes, ugyanakkor fizetős hozzáférés között.)
(Lásd Victor Morel, Cristiana Santos, Yvonne Lintao, and Soheil Human: Your Consent Is Worth 75 Euros A Year – Measurement and Lawfulness of Cookie Paywalls. In Proceedings of the 21st Workshop on Privacy in the Electronic Society (WPES ’22), November 7, 2022, Los Angeles, CA, USA. ACM, New York, NY, USA, 6 pages)
Az előfizetés lehetőségének, mint a sütik alkalmazásához való hozzájáruláson alapuló hozzáférés alternatívájának felkínálása kapcsán gyakori érvelés, hogy ez a megoldás a hozzájárulás önkéntességével nem fér össze, így adatvédelmi szempontból nem megfelelő. Ez az érvelés jellemzően az Európai Adatvédelmi Testület iránymutatására alapoz, miszerint "[a]hhoz, hogy a hozzájárulás önkéntes legyen, a szolgáltatásokhoz és funkciókhoz való hozzáférés nem tehető függővé a felhasználó hozzájárulásától az adattároláshoz vagy a már tárolt adatokhoz való hozzáféréshez a felhasználó végberendezésében (úgynevezett sütifalak)" (lásd a hozzájárulásokra vonatkozó 2020/05. sz. iránymutatás 39. pontját, 13. o., illetve lásd a 6.a. példát, az iránymutatás 40-41. pontjaiban, 13-14. o.). Ugyanakkor az utóbbi időszakban több adatvédelmi hatóság is úgy foglalt állást, hogy - bizonyos feltételek teljesülése esetén - a sütifalak azon verziói, amelyek előfizetéses alapon kínálnak sütimentes hozzáférést a tartalomhoz (cookie paywall) elfogadhatóak lehetnek. Így foglalt állást példuál a francia, az olasz és a dán hatóság is. (A dán hatóság döntése kapcsán itt írtam részletesebben a témáról, bemutatva a dán hatóság iránymutatásának főbb pontjait, és a cookie paywall megoldásokkal szemben támasztott alapvető kritériumokat.)
Legújabban, március 22-i döntésében a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) hozott döntést, amelyben kimondta, hogy bizonyos feltételek teljesítése esetén az előfizetéses hozzáférés, mint a sütikhez történő hozzájárulás alternatívája járható út lehet.
Az alábbi követelményeket emeli ki a DSK a véleményében az előfizetéses megoldások megfelelőségének vizsgálata kapcsán:
- Alternatívák megfelelősége: A sütihozzájárulások érvényességéhez szükséges, hogy megfelelő (a hozzájáruláson alapuló hozzáféréssel lényegében egyenértékű) alternatíva álljon rendelkezésre. Továbbá fontos követelmény, hogy a hozzájárulás megfeleljen a vonatkozó jogszabályi feltételeknek (lásd különösen GDPR 4. cikk 11. pont, 7. cikk). A fizetős hozzáférés értékelése kapcsán a lényegében azonos tartalom mellett az előfizetés összegének az ésszerű mértéke is lényeges szempont.
- Süti hozzájárulás hiányában kizárólag elengedhetetlenül szükséges sütik alkalmazhatók: Ha a felhasználó az előfizetéses (azaz sütimentes) megoldást választja, akkor kizárólag olyan sütik alkalmazhatók, amelyek a szolgáltatás igénybevételéhez nélkülözhetetlenek. Bármilyen további adatkezeléshez pedig a GDPR követelményeinek való megfelelés szükséges, így különösen a megfelelő jogalap rendelkezésre állása (vö. GDPR 6. cikk).
- Célonkénti hozzájárulás szükséges: Abban az esetben, ha a felhasználó az ingyenes, sütik telepítéséhez történő hozzájárulással járó hozzáférést választja, akkor a hozzájárulást célonként kell beszerezni, megfelelő mechanizmus (opt-in) alkalmazásával. Általános, több célt lefedő hozzájárulás nem megfelelő. A hozzájárulásnak természetesen a GDPR egyéb követelményeinek is meg kell felelnie (pl. átláthatóság).
A fenti szempontokból látható, hogy a német hatósági iránymutatás sok hasonlóságot mutat a dán (és a francia) megközelítéssel. A sütifalak alkalmazása kapcsán azonban nagyon óvatosan kell eljárniuk az adatkezelőknek, mert - ahogy az Európai Adatvédelmi Testület iránymutatása is jelzi - nagyon vékony lehet a mezsgye a még elfogadható és a jogsértő megoldások között, ráadásul a tagállami gyakorlatok között is mutatkoznak eltérések.