Az adatvédelmi hatóság legújabb, weboldal sütik helyes használatával kapcsolatos gyakorlata

A sütik – azaz a weboldal üzemeltetése során használt, jellemzően egyedi, anonimizált azonosítót hordozó információcsomagok – az esetek jelentős részében a látogatók személyes adatainak kezelését valósítják meg. Ennek megfelelően a sütiknek meg kell felelniük az Európai Általános Adatvédelmi Rendeletnek (GDPR), valamint a sütikkel és alkalmazásukkal kapcsolatos Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kialakított gyakorlatnak és elvárásoknak.

A megfelelés kiindulópontja, hogy a sütik alkalmazásáról és a kapcsolódó adatkezelésről tájékoztatást kell nyújtani a sütiket alkalmazó weboldalak látogatóinak. Ezt a tájékoztatást jellemzően a weboldal nyitóoldalán elhelyezett, sütibeállításokat is lehetővé tevő bannerben, valamint az azon keresztül elérhető süti tájékoztatóban adják meg a weboldalak üzemeltetői.

Számos adatkezelő követi azt a nem szerencsés gyakorlatot, hogy a weboldalon elérhető adatvédelmi tájékoztatójában egy külön fejezetben nyújt tájékoztatás a sütik alkalmazásáról. Az irányadó hatósági gyakorlatban inkább megfelelően azonban a sütik alkalmazásra és a kapcsolódó adatkezelésre vonatkozó tájékoztatást javasolt egy külön, a látogatók számára jobban áttekinthető süti tájékoztatóban megjeleníteni.

A sütik alkalmazásával kapcsolatos átláthatóság és tájékoztatás biztosítása azonban nem elég a megfelelőséghez, az alkalmazás pontos módjának felülvizsgálata is elengedhetetlen. A személyes adatok kezelésével járó sütik alkalmazása kapcsán fontos az adatkezelés jogalapjának helyes megválasztása is. A weboldal üzemeltetéséhez nélkülözhetetlen sütik (jellemzően ideértve a munkamenet sütiket) alkalmazhatók az adatkezelő jogos érdeke mint jogalap alapján (tehát a látogató hozzájárulása hiányában is), míg a marketing és analitikai sütikhez az érintett hozzájárulása szükséges, amely a gyakorlatban például a weboldal süti bannerjén a megfelelő sütibeállítások elvégzésével adható meg.

Sok weboldalon látható az a hibás gyakorlat, hogy elmarad a süti tájékoztatás azokban az esetekben, amikor nem szükséges a sütikhez külön hozzájárulást szerezni a felhasználóktól (például mindegyik süti kötelező süti vagy jogos érdek mint jogalap alkalmazásával működteti a weboldal üzemeltetője). Fontos kiemelni, hogy az érintettek sütik alkalmazásáról és a kapcsolódó személyes adatok kezeléséről való tájékoztatása természetesen abban az esetben is szükséges, ha a sütik alkalmazására nem az érintettek hozzájárulása alapján kerül sor.

Ugyancsak gyakran előfordul, hogy rosszul kategorizálják az egyes sütiket (például: a hozzájáruláshoz kötött sütiket elengedhetetlennek feltüntetve) vagy épp egyszerre kívánja elfogadtatni valamennyi sütit az érintettekkel a weboldal üzemeltetője.

A sütikkel kapcsolatos hatósági gyakorlat finomításával párhuzamosan a NAIH egyre jelentősebb figyelmet fordít sütik alkalmazásának ellenőrzésére is, így a megfelelő beállítások alkalmazásának, illetve a megfelelő tájékoztatás elmaradása jelentős kockázatot jelenthet. Nemrég például egy jelentős médiatartalom-szolgáltatóval szemben szabott ki a hatóság egy 10.000.000 Ft. összegű adatvédelmi bírságot többek között azért, mert az érintett társaság weboldalain hiányzott a süti tájékoztató.

Mindemellett az EU-n belül a tagországok adatvédelmi hatóságainak sütikkel kapcsolatos adatkezelésre vonatkozó gyakorlata még formálódóban van. Az egyes európai adatvédelmi hatóságok sütikkel kapcsolatos döntései és állásfoglalásai ugyanis nem minden esetben felelnek meg egymásnak, illetve több esetben az adott hatóság egyes részkérdésekkel kapcsolatos álláspontját tükrözik. Erre tekintettel a sütiket alkalmazó weboldalak üzemeltetőinek különösen fontos a témában jártas szakértőkkel egyeztetni a sütik alkalmazását megelőzően, illetve időnként felülvizsgáltatni a weboldalon már alkalmazott sütikkel kapcsolatos gyakorlatot.

 

 

Címkék:  Süti tájékoztató Süti kezelés Adatvédelmi nyilatkozat Adatvédelmi irányelvek Süti szabályozás Süti szabályzat Süti beállítások Süti engedélyezése Süti letiltása Süti blokkolás Süti elfogadása Süti nyomon követése Süti engedély kérelmezése