Számos vállalkozás működtet az interneten weboldalt, amelynek a működéséhez különféle célokból sütiket használ, azonban a weboldalak jelentős része esetében a sütik használatára még mindig jogellenes módon kerül sor.

A NAIH egy közelmúltban közzétett határozatában 10 millió forintos adatvédelmi bírságot szabott ki egy médiacégre azért, mert a weboldalon alkalmazott sütikkel összefüggésben a GDPR számos rendelkezését megsértette. Jelen írásunkban a NAIH határozata alapján megvizsgáljuk a sütik alkalmazásának főbb sarokpontjait és bemutatjuk, hogy mi az, amivel mindenképpen célszerű tisztában lennie a honlapot üzemeltetőknek a sütik jogszerű használatával összefüggésben.

A tényállás

A honlap üzemeltetője a weboldalán médiatartalmat tesz közzé, amelyek megjelenítésével kapcsolatban sütiket használ. Ezen kívül statisztikai, hirdetés megjelenítési, továbbá a „személyre szabott hirdetési profil létrehozása”, „személyre szabott hirdetések kiválasztása”, „személyre szabott tartalomprofil létrehozása”, „személyre szabott tartalom kiválasztása” alapján automatizált módon személyes preferenciákhoz igazításhoz a GDPR szerinti profilalkotási célra is használja a sütikben található személyes adatokat. A vizsgált sütik egy része olyan egyedi azonosítókat rendel egy adott személyhez, amelyek legalább álneves adatként mindenképpen személyes adatnak számítanak, hiszen céljuk egy adott aktív felhasználó azonosítása, aki egy természetes személy.

A weboldal hirdetéseket jeleníthet meg a böngészés során, amely lehet a sütik választásától függően személyre szabott vagy általános, továbbá a weboldalon az ajánlott tartalmat is igazíthatja az egyéni böngészési előzményekhez, továbbá a weboldalak használatát mérik sütikben tárolt egyedi azonosító adatok segítségével. Bizonyos sütik online támadások kivédésére munkamenet tokent tartalmaznak, amelyek biztonságosabbá teszik a kommunikációt a felhasználó eszköze és a honlap üzemeltető szerverei között, amely esetén szükségszerűen egyedi azonosító használata történik.

A weboldal által gyűjtött egyes személyes adatokat (pl.: mely tartalmakat, hirdetéseket nézett meg, mely hirdetésekre kattintott a látogató) a tartalom személyre szabására is használják, mind a weboldal tekintetében, mind harmadik személy partnerek tekintetében.

Az adatkezelő

Fontos tisztában lenni azzal, hogy amennyiben a weboldalon lévő sütik kezelésével kapcsolatos célokat és eszközöket maga a weboldal üzemeltetője határozza meg, illetve teszi lehetővé harmadik személyeknek a weboldalon tartalom elhelyezését, adatvédelmi szempontból adatkezelőnek minősül, így őt terheli a felelősség az adatkezelés jogszerűségének biztosításáért.

Ebből következően az adatkezelésekkel kapcsolatos felelősség – a tájékoztatás és hozzájárulás megszerzés az érintettől mint a honlapot látogató személytől – az eset összes körülménye alapján a honlap üzemeltetőjét terheli függetlenül attól, hogy a weboldal egyes moduljait kitől szerzi be vagy ezen adatokat harmadik félnek továbbítják-e. Ezzel összefüggésben az Európai Unió Bírósága is megállapította korábban, hogy a hozzájárulás beszerzése a honlap üzemeltetőjének, nem pedig a közösségi modul szolgáltatójának a feladata, mivel a személyesadat‑kezelési folyamatot az indítja el, hogy a látogató megtekinti a honlapot.

A tájékoztatás és jogalapok

 A GDPR alapján a honlap üzemeltetője mint adatkezelő kötelezettsége megfelelő intézkedéseket hozni annak érdekében, hogy a honlap látogatói mint érintettek részére a személyes adatok kezelésére vonatkozó valamennyi információt és minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. A megfelelő tájékoztatás azt szolgálja, hogy a honlap látogatója tudatában lehessen annak, hogy mely személyes adatait, mely adatkezelő és mely célból, hogyan fogja kezelni. Ez elengedhetetlenül szükséges ahhoz, hogy olyan helyzetbe kerüljön, hogy érintetti jogait érdemben gyakorolni tudja.

A NAIH álláspontja szerint nem átlátható és tisztességes az az elvárás, hogy a honlap látogatója többszáz partner adatkezelési tájékoztatóját elolvassa és ezeknél a harmadik személy partnereknél egyenként vonja vissza a megadott hozzájárulását.

A tájékoztató tartalmával és megjelenítésével összefüggésben a hatóság megállapította, hogy az adatkezeléssel kapcsolatos rendkívül hosszú tájékoztató szöveg a képernyő indokolatlanul kicsi területén, egyszerre néhány soronként olvashatóan volt elérhető, a hosszú szöveg nem nevezhető sem tömörnek, sem világosnak.

Az üzemeltető a weboldallal kapcsolatban a hozzájárulás jogalapot jelölte meg minden böngészéssel kapcsolatos adatkezelésére függetlenül attól, hogy egyes technikai sütik nélkül a weboldal ténylegesen nem is tud működni, és a hozzájárulástól függetlenül mindenképpen használnak egyes sütiket adott egyedi azonosítókkal. Ilyen estben tehát a hozzájárulás jogalap nem megfelelő, mivel a weboldal működése során hozzájárulástól függetlenül történik a sütik használata.

A hozzájárulásra alapított adatkezelés esetén nemcsak az adatkezelés megkezdése, hanem már a hozzájárulás megszerzése előtt köteles az adatkezelő olyan tájékoztatást nyújtani, amely alapján tájékozott hozzájárulás adható. Fontos hangsúlyozni, hogy a hozzájárulás jogalap nem arra szolgál, hogy az adatkezelő egyéb jogszabályi feltételektől függetlenül általános felhatalmazásként alkalmazza azt, hogy bármikor és bármilyen indokkal, bármely személyes adatot korlátlanul kezelhessen. Az adatkezeléshez történő érintetti hozzájárulás csak akkor lehet érvényes, ha azt konkrét célokra – célonként külön megadhatóan – kérik, és előtte megfelelő tájékoztatást nyújtanak, amely olyan helyzetbe hozza az érintettet, hogy megfelelő döntést tudjon hozni a hozzájárulás megadásáról, és a hozzájárulás megfelel a GDPR valamennyi egyéb érvényességi követelményének.

A NAIH rögzítette, hogy hiányzik a hozzájárulás megadásával azonos könnyűségű visszavonhatóság, amelyre a weboldalon alkalmazott keretrendszer nem biztosít könnyen elérhető lehetőséget.

A hatóság kimondta, hogy tisztességtelen és átláthatatlan érdemben azonos adatkezelési célok feltüntetése hozzájárulás, illetve jogos érdek jogalapon, mivel azt a benyomást keltik, hogy a hozzájárulás meg nem adása mellett is lehetségesek ugyanazon adatkezelések újabb tiltakozás hiányában. Ha a „jogos érdek” felületen elhelyezett célok szerinti adatkezelések hozzájárulás hiányában nem történnek meg, akkor emiatt félrevezető a tájékoztatás és a felület, ha pedig megtörténnek, akkor amiatt.

Az adatvédelmi hatóság megállapította, hogy a működéshez szükséges személyes adatok és sütik tételes megjelölése és pontos céljának meghatározása teljesen hiányzik a tájékoztatásból, és ezek jogalapja mint jogos érdek sem került ezekkel kapcsolatban megjelölésre és érdekmérlegelésben nem került alátámasztásra. A honlap üzemeltetője a sütik elfogadásával és elutasításával kapcsolatban differenciált lehetőséget biztosított a honlap látogatói számára, míg a „mindent elfogadás” az első szinten érdeminek nevezhető tájékoztatás nélkül lehetséges volt, a „mindent elutasítás” csak a második szinten volt elérhető.

A NAIH álláspontja szerint a tájékoztatás szükségképpen hiányos és félrevezető, hosszúsága és nehezen olvashatósága ellenére hasznos információban szegény. Nem derül ki belőle, hogy konkrétan mely funkciót ellátó mely adatok sütikben történő kezelése konkrétan miért elengedhetetlen a technikai működéshez, és ezen adatokat más célra felhasználják-e. A fentiekre tekintettel a honlap üzemeltetője a weboldalon a személyes adatok kezeléséről nyújtott tájékoztatással megsértette a tisztességes és átlátható adatkezelés alapelvét, az átláthatóságra és a megfelelő tájékoztatásra vonatozó szabályokat.

Az adatkezelés jogszerűsége

A megfelelő tájékoztatás hiányában főszabály szerint a hozzájárulásra alapított adatkezelés önmagában jogszerűtlen. Ha az adatkezelő nem biztosít hozzáférhető tájékoztatást, az érintettnek az adatok feletti rendelkezése látszólagossá válik, és a hozzájárulás az adatkezelés érvénytelen alapjává válik.

Az elektronikus úton történő tájékoztatás esetén lehetséges többszintű tájékoztatást alkalmazni, azonban annak pontosnak és teljes körűnek, valamint érthetőnek kell lennie. A többszintűségnek segítenie, nem pedig gátolnia kell az alapvető információkhoz hozzájutást.

A joggyakorlat szerint az érvényes hozzájáruláshoz tájékoztatást kell adni legalább az adatkezelő személyéről, az adatkezelési műveletek céljáról, a személyes adatok fajtájáról, a hozzájárulás visszavonásához való jogról, az adatok automatizált döntéshozatal céljából történő felhasználásáról, az adattovábbítások lehetséges kockázatairól.

A jogszerű adatkezeléshez elengedhetetlen a megfelelő jogalap megválasztása és annak a feltételeinek teljesítése. A jelen ügyben az adatvédelmi hatóság kimondta, hogy a tájékoztatási problémák és visszavonhatósági probléma miatt a hozzájárulás egy cél esetében sem volt érvényes, továbbá egyes céloknál – amelyek a weboldal tényleges technikai működéséhez szükségesek – fogalmilag kizárt a hozzájárulás használata. Az adatkör konkrét meghatározása és az érdekmérlegelés hiányában pedig nem dönthető el, hogy adott esetben jogszerű-e a működéshez szükségesnek tartott sütik jogos érdeken vagy szerződés teljesítésén alapuló kezelése.

A következetes joggyakorlat szerint a honlap üzemeltetőjének a feladata és felelőssége az adatkezelés konkrét céljának és jogalapjának azonosítása, körülírása és indokolása, az üzemeltető köteles konkrétan, adatonként és célokként lebontva egyértelműen indokolni, mérlegelni és garanciáit megteremteni annak, hogy milyen célból és milyen jogalappal – jogos érdek esetén mely konkrét jogos érdekből – kíván mely személyes adatokat kezelni a weboldalon keresztül. Ezen garanciáknak kell biztosítani, hogy a honlap látogatója tisztában legyen az adatkezeléssel, és azzal szemben tiltakozni tudjon még az adatkezelést megelőzően, mivel az adatkezelést követően – különösen egy rövid ideig tartó vagy egyszeri adatkezelésnél, többszáz partnernek továbbítást követően – már kiüresedik a tiltakozási joga, így valójában nem biztosított ezen jog a számára.

A fentiekre tekintettel a NAIH megállapította, hogy az üzemeltető a weboldalon végzett adatkezeléssel megsértette a célhoz kötöttség alapelvét, valamint az adatkezelés megfelelő jogalapon történő kezelésére vonatozó szabályokat.

A bírság mértéke

A hatóság a bírság mértékének meghatározása körében súlyosbító körülményként vette figyelembe többek közt, hogy a jogsértés milliós számú honlap látogató adataira vonatkozott éveken keresztül; hogy a jogsértés pontosan nem meghatározott és az érintettek által nehezen átlátható személyes adatokra vonatkozott, többek között profilozás céljából több száz adatkezelő felé történő adattovábbítással, így a jogsértés súlyosnak minősül; hogy a jogsértés szándékos jellegű volt haszonszerzés céljából az adatok megosztásán és reklámokon keresztül.

Összegzés

A jelen bejegyzésben ismertetett határozat mentén a sütikkel kapcsolatos adatkezelési gyakorlat csupán néhány aspektusát vizsgáltuk meg, anélkül, hogy elmélyültünk volna annak szerteágazó gyakorlatában. Látható, hogy egy nem megfelelően alkalmazott jogalap, a megfelelő és átlátható tájékoztatás hiánya, a pontos adatkezelési célok meghatározásának hiánya, vagy akár előre bepipált jelölő négyzetek alkalmazása milliós bírságösszegű elmarasztalást is eredményezhet. Az arra való hivatkozás, hogy a hibás gyakorlatot más adatkezelők is elterjedten alkalmazzák, senki számára nem fogja jogszerűvé tenni az eljárását és enyhítő körülményként sem fogják figyelembe venni a bírság mértékének a meghatározásakor.

Ezt megelőzendő, érdemes megfontolni hozzáértő adatvédelmi szakember közreműködésének igénybevételét, aki az adatkezelés célja és körülményei figyelembevételével tud segítséget nyújtani a jogszerű adatkezelés feltételeinek kialakításához, amely által minimális szintre szorítható az adatkezeléssel járó kockázatok köre és azok súlyossága.

A blogbejegyzésben leírtakkal összefüggő kérdések esetén a kapcsolatok menüpont alatti elérhetőségeken állunk szíves rendelkezésükre. A jelen blogbejegyzés kizárólag a tájékoztatás célját szolgálja, az nem minősül jogi tanácsadásnak; annak egyedi ügyben történő felhasználásáért a Récsényi Ügyvédi Iroda a jogi felelősségét kizárja.