Egyre több adatvédelmi hatóság gyomrát „fekszik meg” a sütik, ennek egyik jele, hogy a közelmúltban nagy horderejű hatósági döntések születtek a legnagyobb internetes szolgáltatók cookie felhasználásával kapcsolatban.
Az elmúlt időszakban a francia (CNIL) és az osztrák (DSB) adatvédelmi hatóság olyan döntéseket hozott, melyek középpontjában az adatkezelők azon, sütik felhasználására vonatkozó gyakorlata áll, amely elterjedt a magyar piacon is. A következőkben ezen döntések uniós adatvédelmi trendekre gyakorolt hatását vizsgáljuk. A hatósági döntések jelentőségét növeli, hogy mindkét tagállam esetében a legnagyobb internetes szolgáltatók voltak a döntés címzettjei.
- A CNIL döntése
A francia adatvédelmi hatóság a Google-t 150 millió, a Facebook-ot pedig 60 millió eurós rekordösszegű bírsággal sújtotta az uniós, illetve a francia jog megsértése miatt. A hatóság megállapította, hogy az internetes óriások nem kínálnak hasonlóan egyszerű lehetőséget a felhasználóiknak – azaz az adatkezeléssel érintetteknek – az adott weboldalon alkalmazott opcionális sütik elutasítására, mint amilyet azok elfogadására egyébként biztosítanak.
A gyakorlatban ez úgy valósult meg, hogy a vállalatok arra lehetőséget biztosítottak, hogy a felhasználó az összes sütit egyetlen klikkeléssel fogadja el, de ezen lehetőség már nem volt adott, amennyiben a felhasználó nem kívánta elfogadni a sütiket, így ezt csak a sütik egyenként történő elutasításával tehette meg. Tehát összességében a nem kívánt sütik elutasítása is csak a „sütik elfogadása” gomb megnyomásával volt eszközölhető, miután az érintett kiválasztotta, hogy melyeket kívánja elfogadni és melyeket nem, majd „rámentett” a választott preferenciákra.
Ezzel tehát jogi értelemben kifogásolható módon próbálták megszerezni a sütik felhasználásához szükséges érintetti hozzájárulást. Hiszen a fenti gyakorlat a felhasználóban akár azt a hatást is keltheti, hogy valójában nem áll módjában elutasítania a sütiket, illetve, ha ezen jogával tisztában is volt az érintett, ennek gyakorlását a fenti megoldás megnehezítette.
- A DSD döntése
Az osztrák adatvédelmi hatóság döntése nem magát a Google-t sújtotta azonban a szolgáltató egyik legnépszerűbb eszközének a – a honlapokba sütiként tömeges mértékben beágyazott –Google Analytics-nek a használatát minősítette GDPR-ba ütközőnek. A hatóság döntésében megállapította, hogy a felhasználók IP címe, illetve a sütik által gyűjtött egyéb azonosítók személyes adatok, hiszen azokból visszafejthető a természetes személy felhasználó kiléte. Személyes adat minőségükből következően azok harmadik országba történő továbbítása csak a GDPR-ban foglaltaknak megfelelően történhet.
Ez eddig az adatvédelemben jártas köröknek nem jelenthetett hatalmas meglepetést, ugyanakkor az osztrák hatóság emellett azt is megállapította, hogy az adattovábbítás kapcsán jelenleg alkalmazott, az adatok védelmét szolgáló garanciák és intézkedések elégtelenek, ezért azok továbbítása az EU-n kívülre lényegében jogellenes módon történik. Látható, hogy amennyiben az osztrák hatóság olvasata más hatóságok által is elfogadottá válik úgy tömegesen kiszabott szankciókra lehet számítani, hiszen az alapján a Google Analytics jelenlegi formában történő használata jogilag legalábbis aggályos. Mivel a Google Analytics számos, az e-kereskedelem terén aktív piaci szereplő gazdasági modelljének egyik fontos eleme, ez a témakör az elkövetkező hónapokban várhatóan napirenden marad, ugyanakkor a minden szempontból megfelelő megoldás egyelőre várat magára, azon túl persze, hogy az adatok egyáltalán ne kerüljenek az EU-n kívül továbbításra, hanem maradjanak az EU területén található szervereken.
A sütik használata már korábban is az adatvédelmi hatóságok látókörében volt, de ahogyan a vizsgált döntésekből is láthatjuk ez a tendencia egyre inkább erősödik. A helyzetet tovább bonyolítja, ha majd az Európai Parlament évek óta tartó előkészítő munka után elfogadja a régóta beharangozott ePrivacy Rendeletet, amely részletesen szabályozza majd a sütik felhasználásának lehetőségeit. Azonban láthatjuk, hogy a sütik felhasználását nem csak az ePrivacy Rendelet jövőbeni megjelenése befolyásolja, hanem a változó hatósági gyakorlatok is, így a vonatkozó adatkezelési dokumentáció és gyakorlat rendszeres felülvizsgálata elengedhetetlen a folyamatos adatvédelmi megfelelőségre törekvő piaci szereplők számára.
dr. Farkas Márton (marton.farkas@pwc.com), ügyvédjelölt
Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr.Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez