Mai cikkem célja egy átlátható, élhető minimum megoldás bemutatása.
A fenti kérdés megválaszolásához nem árt tudni, hogy mit kell értenünk „süti” alatt, de először tisztázzuk a személyes adat fogalmát, mivel ez is „buktató” lehet a témában.
Személyes adat
Tehát a GDPR szerint személyes adat:
„azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”
A kiemelt szavak árulják el nekünk azt, hogy a személyes adat nem csak az, ami egyértelműen konkrét személyre vonatkozik, hanem minden olyan információ is, ami bármi módon összekapcsolható egy konkrét személlyel, és abból a személyre bármilyen következtetést vonhatunk le. Az sem lényeges, hogy az információból mit, mennyit tudunk meg a személyről, mint ahogy az sem, hogy milyen nehézségek árán tudjuk hozzákapcsolni az információt az adott személyhez. Elég csupán az, ha ennek lehetősége fennáll.
Világos most már, hogy miért kell személyes adatként kezelnünk a böngészéshez használt eszközök IP címét és egyéb eszközazonosítókat akkor is, ha nem tudjuk, hogy mi a neve az adott eszközt használó személynek.
Lássuk, mit kell értenünk a „süti” kifejezés alatt.
A „sütik” és sokan mások
Gyakori jelenség, hogy bizonyos fogalmak jogi meghatározása eltér a hétköznapi, vagy szakmai nyelvben használatostól. Így van ez a sütik esetében is.
A süti (cookie) – informatikai értelemben – egy kis információcsomag, melyet a böngészett oldal szervere hoz létre a böngésző segítségével, és a felhasználó eszközén eltárolódik. Segítségével az adott oldal működéséhez szükséges adatok rögzíthetők, vagy akár a böngészési szokások feltárására és célzott reklámok megjelenítésére alkalmas adatok is gyűjthetők.
Több, sütikre jellemző adatkezelést azonban nemcsak sütikkel lehet megvalósítani, hanem különböző kódsorokkal, mely esetben nem kerül mentésre a felhasználó eszközén süti.
Az ilyen jellegű technikai adatkezelés minden formáját kell érteni a jogértelmezést segítő állásfoglalásokban, véleményekben, amikor sütikkel megvalósuló adatkezelésről írnak. Ezt az Európai Unió Adatvédelmi Munkacsoportja (ma már Európai Adatvédelmi Testület) is leszögezte a 2012/4. számú véleményének bevezetésében: „…a süti kifejezés azonban nem értelmezendő úgy, mint amely kizárja a hasonló technológiákat.” A továbbiakban ebben a cikkben is így értelmezendő a „süti” kifejezés.
Tehát, nemcsak az informatikai értelemben vett sütik által megvalósított adatkezelés esetén kell megfelelni a vonatkozó előírásoknak, hanem minden – adatkezelési szempontból – hasonló eredménnyel járó technika alkalmazása esetén.
Teljesen mindegy, hogy technikailag milyen módon valósul meg a sütikre jellemző adatkezelés, ugyanazok a szabályok vonatkoznak rá, mint ha sütiket használnánk.
A jogszabályok az adatkezelési folyamatot szabályozzák elsősorban, függetlenül attól, hogy azt milyen technikai eszközzel valósítják meg. Tehát például ha valakinek feltárjuk a böngészési szokásait személyre szabott, célzott reklámok megjelenítése céljából, akkor teljesen mindegy, hogy ezt az adatkezelési célunkat sütivel vagy más megoldással valósítjuk meg, ugyanazon szabályokat kell betartanunk. De mik ezek a szabályok?
Felugró ablak, checkbox, kategóriák
(A megfelelő szemléltetés érdekében és a leggyakrabban alkalmazott megoldásokat szem előtt tartva a cikkben azt veszem alapul, amikor látogatáselemzési és marketing céllal is használunk sütiket.)
Először is tisztáznunk kell előre, hogy milyen célokból szeretnénk adatokat gyűjteni a felhasználókról. Ha ezt eldöntöttük, és kiválasztottuk hozzá a megfelelő megoldásokat, akkor adatvédelmi jogi szempontok szerint felállított, különböző kategóriákra osztva kell szemlélnünk az alkalmazott sütiket és egyéb adatgyűjtő eszközöket (a továbbiakban együtt: „sütik” :)). A különböző kategóriák a felhasználási célok alapján határolódnak el, egyúttal meghatározzák, hogy milyen sütikhez kell hozzájárulást kérnünk.
Ezek a minimum kategóriák a következők:
- a weboldalunk megfelelő megjelenítéséhez, élvezhető használatához, működéséhez szükséges sütik (szükséges és funkcionális kategória – nem kell hozzájárulás);
- látogatáselemzéshez használt sütik (látogatáselemzés kategória – ha anonim, nem kell hozzájárulás);
- marketing célok eléréséhez használt sütik (marketing kategória – kell hozzájárulás).
A mai cikkben egy élhető minimum megoldást vázolok fel. Írom ezt azért, mert a jelenlegi jogi környezet valójában azt várná el, hogy a hozzájárulást igénylő sütik esetében a kategórián belül külön is értelmezhető célok szerint, de még aszerint is külön hozzájárulásokat kellene kérnünk, hogy hány külső partner eszközét használjuk az adatgyűjtéshez. Ennek eredményeként jelentek meg korábban azok a felugró ablakok, melyekben 30-40 kapcsolóval kínálták meg a felhasználót. Nem kérdés, hogy taszítja a felhasználót az oldalról az ilyesmi. Persze ma már jellemzően az ilyen sok kapcsolós megoldások is lehetővé teszik az egy gombos hozzájárulást – bár ennek jogszerűsége sok esetben a teljesen különböző adatkezelési célok miatt vitatható.
Mivel azonban a kérdést rendezni hivatott ePrivacy rendelet még várat magára (az Európai Tanács és az Európai Parlament a következő hónapokban tárgyalja a végső normaszöveget), és a GDPR rendeletet pedig nem kifejezetten az ilyen adatkezelések szabályozására alkották meg, ezért kissé rendezetlennek mondható a sütik jogi környezete, ami a gyakorlati megvalósítással kapcsolatos kérdéseket illeti.
A “minimum megoldás”
Ebben a helyzetben is tennünk kell azonban a jogszerű működésért, erre lehet viszonylag egyszerű megoldás a következő.
A fenti három kategóriába sorolt sütik működését úgy kell szabályoznunk, hogy a hozzájárulást igénylő kategóriába esők az oldal betöltődésekor ne kezdjenek el automatikusan működni. Sajnos az nem jogszerű megoldás, hogy megelőlegezzük a felhasználó hozzájárulását (pl. előre bejelölt checkbox a marketing kategóriában), és biztosítjuk a visszavonásának (kikapcsolás) lehetőségét. A hozzájárulás ugyanis csak akkor érvényes, ha azt megfelelő tartalmú tájékoztatást követően, előzetesen adják meg.
Kategóriákra lebontva:
- Szükséges és funkcionális kategória: a weboldal megjelenítéséhez, rendeltetésszerű használatához szükséges sütik működhetnek a betöltődéstől kezdve, azokhoz nem kell hozzájárulás.
Itt érdemes megjegyezni, hogy a megfelelő jogalap a legtöbb esetben az adatkezelő (weboldal üzemeltető) jogos érdeke. Ezt érdekmérlegelési teszt elvégzésével és dokumentálásával kell alátámasztani, és eredményét az adatkezelési tájékoztató részévé kell tenni. - Látogatáselemzés kategória: akkor nem kell előzetes hozzájárulást kérnünk, ha azt valóban anonim adatokkal végezzük. Ilyen megoldás az IP címek „maszkolása”.
Amennyiben a látogatáselemzés eredményeként nem anonim adatokat gyűjtünk – tehát azok alapján a felhasználó (eszköze!) azonosítható lehet – akkor hozzájárulást kell kérnünk az ilyen adatgyűjtés elkezdéséhez is.
Ez a téma sem ilyen egyszerű egyébként, korábban – még a GDPR előtt – itt írtam erről: BREAKING: megvan milyen pornót szokott nézni az egyik német bíró. - A marketing célok érdekében működtetett sütikhez minden esetben előzetes hozzájárulást kell kérnünk.
Fontos, hogy a hozzájárulás csak megfelelő tartalmú tájékoztatás megadása esetén érvényes. Tehát az egészhez az is kell, hogy legyen jól megfogalmazott adatkezelési tájékoztatónk, ami kiterjed a sütik és hasonló technikák alkalmazásával végzett adatkezelésre. Akár külön tájékoztatót is készíthetünk erre vonatkozóan, sőt én ezt javaslom, ugyanis az is követelmény, hogy az érintett (felhasználó) minél könnyebben tájékozódhasson. Ezt pedig úgy érhetjük el, ha a sütik felhasználó általi szabályozását lehetővé tevő felugró ablakunkban elhelyezzük a sütikről szóló adatkezelési tájékoztatónk linkjét. A felugró ablakban javasolt még a kategóriák lényegét magyarázó rövid mondatok elhelyezése is.
De akkor hogyan is nézzen ki ez az egész?
A megvalósítás formája szabad. A lényeg, hogy a fent írt módon és tartalommal működjön, és egyértelmű legyen a felhasználók számára a használata. Természetesen a felvázolt kategóriák közül csak azokat kell megjeleníteni, amikbe tartozó sütiket alkalmazunk.
Mit írjunk a felugró ablakba szövegként?
Az attól függ, hogy milyen célból, célokból alkalmazzuk a sütiket. A fenti három kategóriából kiindulva kell röviden és közérthetően összefoglalnunk a lényeget. Itt egy példa arra az esetre, ha a szükséges és funkcionális sütiken felül anonim látogatáselemzést és marketing célú sütiket is alkalmazunk:
„Ez a webhely sütiket használ a megfelelő használhatósága érdekében. A látogatáselemzést anonim adatokkal végezzük. Kérjük engedélyezze az érdeklődésének megfelelő reklámok megjelenítését támogató („marketing”) sütiket is. Amennyiben a későbbiekben mégsem szeretne a weboldalunkról sütiket fogadni, akkor használhatja ezt az eszközt arra, hogy kikapcsolja a választott kategóriákat.”
Sőt, letölthető néhány minta-dokumentum szemléltetésként és magyarázattal, a leggyakoribb alapverziókra itt.
A minták tehát szemléltető magyarázatok, a funkcionalitás a lényeg, nem a megvalósítás formája.
Amit viszont minden esetben meg kell valósítani (a sok kapcsolós megoldások esetében is):
- A sütik szabályozására szolgáló megoldás (pl. felugró ablak) nem akadályozhatja, nehezítheti a felhasználó számára a weboldal használatát akkor sem, ha a felhasználó nem állítja be a sütiket / adja meg hozzájárulását. Tehát biztosítanunk kell, hogy ha nem tünteti el az ablakot, akkor is hozzáférhessen a honlap tartalmaihoz.
A gyakorlatban mindez azt jelenti, hogy az ablak méretét, elhelyezkedését ennek megfelelően kell megválasztanunk, illetve, hogy az ablak eltüntetése nem lehet feltétele a holnaphoz való hozzáférésnek („süti fal” alkalmazása tilos). Nem kényszeríthetjük a felhasználót a beállítások elvégzésére, hozzájárulás megadására, az ablak nem lehet kikerülhetetlen.
- A sütik beállítását folyamatosan és könnyen újra-elérhetővé kell tenni a felhasználó számára (pl. footerben: „sütik beállítása”), hogy az bármikor változtathasson a korábbi beállításokon.
- Megfelelő tartalmú adatkezelési tájékoztató, lehetőleg a felugró ablakból elérhető módon.
- A hozzájárulást igénylő kategóriák nem lehetnek előre bejelölve / bekapcsolva. (A hozzájárulást nem igénylő kategóriákat nem kell kikapcsolhatóvá tenni.)
- A hozzájárulást igénylő kategóriákba tartozó sütik nem kezdhetnek el működni a felhasználó hozzájárulása nélkül.
- Ha a látogatáselemzési céljainkat anonim adatok gyűjtésével (IP cím maszkolással) is elérhetjük, akkor kötelező anonim módon rögzíteni az adatokat.
- A sütiken kívül minden, ugyanilyen célból alkalmazott megoldásra alkalmazni kell a fentieket.
- A különböző kategóriába tartozó hozzájárulást igénylő sütikre vonatkozó „egygombos” hozzájárulás – pl. nem anonim látogatáselemzés és marketing kategória egyszerre „engedélyezése” – a jelenlegi jogi környezetben nem jelent érvényes hozzájárulást.
A fenti álláspontom 2021. áprilisában érvényes, várjuk az ePrivacy rendeletet..