Egy Süti mind fölött, Egy Süti kegyetlen…

Published: 21 September 2016

Az 1995/46/EK irányelvet felváltó 2016/679 rendelet, vagy más néven az általános adatvédelmi rendelet jelentősen átrajzolja az internetes magánszféra kereteit. Ezzel együtt új kontextusba helyezi az irányelvre épülő egyéb európai uniós dokumentumokat, így az elektronikus adatvédelmi irányelvet is, mely tekintetében a 29. cikk szerinti munkacsoport már meg is fogalmazta véleményét.

eu_cookie_law.jpg

A kép forrása: https://stosu.com/wp-content/uploads/2015/07/eu-cookie-law-678x190.png

Mint az már megszokott az 1995/46/EK 29. cikke alapján létrehozott munkacsoport minden nagyobb adatvédelmi kérdéssel kapcsolatban fogalmazott már meg iránymutatásokat, részben a jogalkotó, részben a kötelezettek számára. Ezek közül kiemelendő a 2009/136/EK irányelv módosításával és a viselkedésalapú reklám során felmerülő tájékoztatási és hozzájárulási kötelezettség kérdésével foglalkozó 2/2010 sz. véleménye. Ennek érelmében az felhasználó végberendezésén történő adattároláshoz, illetve a már tárolt adatokhoz való hozzáféréshez szigorú feltételek kapcsolódnak. Ilyen többek között az adatkezelés céljáról, időtartamáról, a gyűjtött adatok köréről történő tájékoztatás, illetve az előzetes tájékoztatáson alapuló hozzájárulás megszerzése. Ez utóbbi kérdés azóta is számos vita tárgyát képezi, különösen a reklámhálózat-szolgáltatók és a honlap tulajdonosok részéről, így az adatvédelmi rendelet is külön nevesíti ezt a fajta „süti hozzájárulást”.

A munkacsoport elmúlt években nyomon követhető tevékenysége mindezidáig azt sugallta, hogy két fontos kivételtől eltekintve az előzetes hozzájárulás az adatkezelés egyik elengedhetetlen feltétele, mely segít megteremteni, illetve érvényre juttatja a 95/46/EK irányelvben szereplő garanciákat. E két kivétel szerint, ha „a cookie kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás”, illetve, ha „az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak »a cookie-ra« feltétlenül szüksége vannincs szükség a felhasználó hozzájárulásra az adatkezeléshez. Az elmúlt években azonban, belátva a hozzájárulás kérésével (opt-in) kapcsolatos gyakorlati problémákat a munkacsoport folyamatosan igyekszik alkalmazhatóbbá tenni e szabályokat. Ennek érdekében adta ki a 3/2016 sz. véleményét is, mely egyebek mellett új lehetőségeket ajánl a módosított 2002/58/EK irányelvben meghatározott kivételek kiszélesítésére.

Ehhez hasonló lépésekre már volt példa, így az „Opinion 04/2012 on Cookie Consent Exemption” is tartalmazott olyan engedményeket, mint a honlap-tulajdonos általi statisztikai adatgyűjtés hozzájárulás nélküli lefolytatása abban az esetben, ha az nem érint személyes adatokat, vagy a biztonsági intézkedések részeként alkalmazott adatcsomagok elhelyezése a végberendezésen.

A munkacsoport idei véleménye azonban ennél szélesebben kívánja meghatározni a hozzájárulás követelménye alóli kivételek körét. Az Európai Bizottságnak azt ajánlja ugyanis, hogy azokban az esetekben se legyen szükség a hozzájárulásra, ha az adatfeldolgozásnak nagyon kevés, illetve semmilyen hatása nincs a magánéletükre és a kommunikációjuk titkosságára. Ez alatt két fő körülményt ért a munkacsoport: egyrészt az anonimizációt, mely azonnal és visszafordíthatatlanul titkosítja az eszközről gyűjtött információt, ill. a két végpont között titkosítja azt, így egyik ponton sem azonosítható az adott felhasználó; másrészt azokban az esetekben, amikor a magánélet védelmét csak kis mértékben, vagy egyáltalán nem érinti az adatkezelés. Ez utóbbi esetben a vélemény több megszorítást is megfogalmaz, mely mankót jelent a jogalkotás számára a szabályozás pontosításához. Ilyen többek között a „first party” által gyűjtött statisztikai adat, mely csak akkor érvényes, ha harmadik fél az adatgyűjtés során nem érintett, illetve ha helymeghatározó adatok nem képezik az adatgyűjtés részét. Emellett lehetséges a kivétel, ha korlátozott és egyedi a gyűjtés, tehát nem különböző szolgáltatásokból, vagy domainekről történik. Ilyen kritérium továbbá az opt-out lehetőségének folyamatos biztosítása, vagy az adatgyűjtés konkrét céljának meghatározása, mely során korlátozott idő elteltével anonimizálódik az adat. Ezek, illetve az egyéb kritériumok melyeket nevesít a vélemény, lényegében az adatkezelő számára jelentenek többlet jogosultságokat a korábbi szabályozással szemben.

A 29. cikk szerinti munkacsoport tevékenységét követve látható tehát, hogy a kezdeti megszorító értelmezés már kissé elkezdett fellazulni. Ez azt jelenti, hogy számos esetben elfogadható számára a hozzájárulástól való eltekintés, mely megkönnyíti a szabályok gyakorlati alkalmazhatóságát és teret enged a piaci szereplők működésének. Mindazonáltal a felhasználóbarát tájékoztatás és a visszautasítás lehetősége továbbra is központi eleme maradt szemléletének, hiszen a rugalmasság szükséglete mellett a felhasználói adatok biztonsága, illetve azok lekövethetősége a 2018-ban életbe lépő általános adatvédelmi rendeletben is hasonlóan fontos értékek.

A kérdés továbbra is a hozzájárulás beszerzése, illetve a ráutaló és aktív magatartás közötti választás maradt, mely a sütihasználat egyik alapkérdése. A vélemény – mely nem kötelező erejű – így elsősorban az engedély nélkül gyűjthető adatok körét hivatott szélesíteni, míg a hozzájárulás kérésének gyakorlati elemeiről új támpontokat nem határoz meg.