Az elmúlt időszakban hozzánk érkező megkeresések alapján úgy tűnik, hogy jelentősen megszaporodtak az Adatvédelmi Hatóság honlapokat érintő ellenőrzései. Az eddigi tapasztalatok alapján a sütik használata és beállításaik kezelése különösen fókuszban van, ezért a sütikkel kapcsolatos cikksorozatunk mai részében ezzel foglalkozunk.
A hozzánk eljutott hatósági kérdőívek, valamint a Hatóság és az Európai Adatvédelmi Testület által közzétett vélemények (különösen aktuális az Európai Adatvédelmi Testület Cookie Banner munkacsoportjának 2023. január 17-i jelentése), illetve más tagállamok hatóságainak e témában született határozatai alapján összefoglaltuk a sütik alkalmazásával kapcsolatos aktuális – nagyobb részben újdonságot nem jelentő – követelményeket:
Alapvető süti-követelmények
1. A hozzájárulást igénylő sütik esetében gondoskodni kell arról, hogy azok ne töltődjenek be addig, amíg a felhasználó hozzá nem járult.
De mik a hozzájárulást igénylő sütik? Leegyszerűsítve azok, amik nem a honlap alapvető működéséhez (pl. munkamenet támogató), vagy észszerű használhatóságának biztosításához (pl. űrlapkitöltő) szükségesek. Másként: azok a sütik, amelyek a látogatáselemzést, a felhasználók profilozását és a reklám célú adatgyűjtést lehetővé teszik.
Ezek tehát nem települhetnek a böngészőben addig, amíg ehhez nem járult hozzá a felhasználó.
A látogatáselemzéssel kapcsolatban joggal merül fel a kérdés, hogy a leggyakrabban használt Google Analytics által kínált anonimizálási lehetőség bekapcsolása (IP cím „maszkolása” vagy „csonkolása”) esetén miért kell hozzájárulás. Erre hamarosan külön cikkben térünk ki, addig elöljáróban csak annyit, hogy az IP cím csonkolása a legtöbb esetben mégsem zárja ki a felhasználó azonosításának lehetőségét – pl. a Google számára általában nem zárja ki –, illetve az EU-n kívüli adattovábbítás feltételeinek teljesítése is problémás; Google Analytics esetén hozzájárulás birtokában sem jogszerű. Tehát többről van itt szó, mint a hozzájárulás beszerzése
2. Ha több olyan süti működik a honlapon – általában így van –, amely hozzájárulást igényel, akkor lehetővé kell tenni a felhasználó számára, hogy egyenként engedélyezhesse ezeket a sütiket. Javasolt tehát olyan modul alkalmazása, ami lehetővé teszi a sütik egyenként történő ki- bekapcsolását is.
Itt fontos megjegyezni, hogy ha az ilyen modulban lehetőség van egy gombnyomással is egyszerre hozzájárulni az összes süti alkalmazásához, akkor biztosítani kell azt is, hogy a felhasználó egy gombnyomással el is utasíthassa az összes – hozzájárulást igénylő – sütit.
3. A hozzájárulás érvényességéhez mindig aktív magatartás kell a felhasználótól (pl. előre bejelölt checkbox nem megfelelő). Ez vonatkozik a sütinként-egyenként történő hozzájárulás-beszerzésre is.
4. Az olyan megoldások mindig jogszerűtlenek, ahol csak a hozzájárulás megadásának lehetősége adott, de nem biztosított egyúttal a sütik elutasítása ugyanazon a felületen. Ennek ékes példája még ma is gyakran látható, alul megjelenő sáv, amiben a hozzájárulást igénylő adatgyűjtésről szóló tájékoztató szöveg mellett egyetlen „elfogadom” vagy hasonló gomb van, amire kattintással a felhasználó az összes süti működését engedélyezi (ha nincs hozzájárulást igénylő süti az adott oldalon, akkor lehet jogszerű ez a megoldás, ilyen esetben viszont más a szöveg és a gomb felirata sem engedélyezésre, hozzájárulásra utal – feltéve, hogy jól csinálják).
5. Az alkalmazott süti-kezelő modulok (vagy bannerek) minden esetben egyértelműen kell, hogy tartalmazzák a szöveges tájékoztatást (célok), a hozzájárulás és az elutasítás módját. Tehát a felépítésük, „kapcsolóik” is egyértelműek legyenek bárki számára, és egyformán egyértelmű legyen a hozzájárulás megadásának, illetve a sütik elutasításának módja. Pl. nem jogszerű, ha egy „mindent elfogad” gomb mellett csak szövegbe ágyazott link ad lehetőséget a hozzájárulás nélküli böngészésre a banneren, vagy az elutasításra csak egy mögöttes felületen vagy a banneren kívül máshol van lehetőség.
6. A bannerben alkalmazott gombok, feliratok grafikai megjelenítése külön figyelmet érdemel: ugyanannyira feltűnőnek kell lennie a hozzájárulást megadó és elutasító gomboknak. Itt nemcsak a gombok háttérhez viszonyított színe és mérete, elhelyezése a fontos, hanem a rajtuk lévő felirat olvashatósága is, illetve minden olyan szempont, ami az olvashatósággal, felismerhetőséggel és helyes értelmezhetőséggel összefügg. Tehát nem kell egyformára színezni ezeket az elemeket, viszont különböző színkombinációk alkalmazása esetén ezeknek ugyanannyira feltűnőnek kell lenni. Méretüket tekintve azonban ez a követelmény nem engedi meg a jelentős különbséget.
7. A jogos érdek mint jogalap alkalmazása nem jogszerű a hozzájárulást igénylő sütik esetében, tehát azok a bannerek, amelyek a hozzájárulás/megtagadás mellett párhuzamosan a sütik jogos érdek alapján történő alkalmazását is mutatják, a jogos érdek elleni tiltakozási (kikapcsolási) lehetőség ellenére jogszerűtlenek. Már csak azért is, mert a hozzájárulás melletti jogos érdek párhuzamos alkalmazása megtévesztő a felhasználók számára (sőt, a jogalapok halmozása eleve helytelen), de a jogos érdek itt, ahogy előbb írtam, nem alkalmazható.
8. A süti banner soha nem akadályozhatja a felhasználót abban, hogy hozzájárulásról vagy elutasításról szóló döntés nélkül hozzáférjen a weboldalhoz (ún. „süti fal”). Tehát úgy kell elhelyezni és méretezni a bannert, hogy ha valaki semmit nem csinál vele és az ott marad, akkor is kényelmesen hozzáférjen a honlap tartalmaihoz.
9. A sütik besorolása: mindig a weboldal üzemeltetőjének felelőssége, hogy a weboldal alapvető működéséhez szükséges sütik közé csak azokat sorolja be – mentesítve ezeket a hozzájárulás szükségessége alól –, amelyek a legszigorúbb értelemben valóban ehhez szükségesek, tehát ide kizárólag a weboldal normális megjelenítéséhez, alapvető funkcionalitásához szükséges sütik tartozhatnak. Elemző, üzleti tervezést – ezáltal már üzleti érdekek érvényesítését –, illetve reklámozást elősegítő sütik már nem tartozhatnak ide.
10. A megadott hozzájárulás visszavonása, korábban elfogadott süti beállítások módosítása: biztosítani kell, hogy könnyen, bármikor hozzáférjen a felhasználó a süti beállításokhoz, és ugyanolyan egyszerűen tudja módosítani a beállításokat (korábbi hozzájárulását visszavonni), mint ahogyan elfogadta azokat (megadta a hozzájárulását). Pl. egy kis lebegő és állandóan látható ikon, vagy a weboldalon jól látható és szabványosított helyen – rendszerint a láblécben vagy a fejlécben – elhelyezett link segítségével.
Végül persze a mindig lényeges és elengedhetetlen, megfelelő tartalmú adatkezelési tájékoztató is kell, ami részletesen és a felhasználók számára érthetően ismerteti a sütik által megvalósított adatkezeléseket és az érintettek jogosultságait. A tájékoztatót könnyen elérhetővé kell tenni a sütikre figyelmeztető és a beállításokat lehetővé tevő bannerből, valamint a további dokumentumok elérését tartalmazó helyről (jellemzően szintén lábléc vagy fejléc).
A fenti követelmények betartásának ellenőrzése az ügyfelektől hozzánk érkező jelzések alapján most is zajlik. Akinek van még mit tennie az ügyben, hát itt az ideje, hogy megtegye. Mint mindig, kizárólag megfelelően felkészült és a témában gyakorlott szakemberek igénybevételét javaslom, a megfelelő működés beállításához és a jogi követelmények teljesítéséhez is.
Hamarosan folytatjuk a témát a látogatáselemzés, kiemelten a Google Analytics problémáinak összefoglalásával.