Borsos árat fizetett a Google és az Amazon a sütikért
A Francia Adatvédelmi Hatóság (CNIL) tavaly decemberben rekordösszegű, összesen 135 millió euró, vagyis mintegy 48 milliárd forint értékű bírsággal sújtotta a Google-t és az Amazont, mert ezek a cégek megfelelő tájékoztatás és a felhasználók hozzájárulása nélkül helyeztek el olyan sütiket az érintett személyek eszközén, amely lehetővé tette a felhasználók online tevékenységének széleskörű megfigyelését. Könnyen kerülhetnek hasonló helyzetbe hazai szolgáltatók és honlapüzemeltetők is, ezért érdemes áttekinteni a fenti ügy főbb tanulságait – figyelmeztet a BDO Legal Jókay Ügyvédi Iroda.
„A bírság kiszabásának alapjául egy olyan uniós irányelv alapján született jogszabályi rendelkezés szolgált, amely megtiltja a sütik elhelyezését azt megelőzően, hogy az érintett előzetes és világos tájékoztatást követően a sütikezeléshez hozzájárult volna – mutat rá dr. Simon Emese Júlia, a BDO Legal partnere. – A francia hatóság elé kerülő esetekben a honlap megnyitásakor a Google azonnal 7, az Amazon nem kevesebb, mint 40 sütit helyezett el az érintettek előzetes engedélye nélkül.”
A sütik (ismert angol nevükön: cookie-k) olyan apró file-ok, amelyek – technikailag – akkor jelennek meg a számítógépeken (illetve mobileszközökön), amikor a felhasználó megnyit egy weboldalt, pontosabban letölti annak tartalmát, a sütikkel együtt. A sütik számos célból kezelhetők: bizonyos fajtáik az adott weboldal informatikai biztonságát szolgálják, a legtöbb azonban a felhasználok webes tevékenységének megfigyelésére szolgál. Ezekre az adatokra a digitális adatkezelőknek egyrészt a szolgáltatásaik fejlesztése érdekében van szükségük, másrészt azonban a sütik általi megfigyelés révén lehetőség nyílik egy felhasználói profil létrehozatalára, amely profilt később a felhasználó preferenciához igazított marketingcélokra használják fel.
A CNIL a Google és az Amazon esetében azt is kifogásolta, hogy a vállalkozások honlapján a sütik kezelésével kapcsolatos felugró ablak nem tájékoztatja az érintetteket a sütik kezelésével kapcsolatos lényeges körülményekről, például a sütik által gyűjtött adatok kezelésének céljáról, valamint arról, hogy az érintettek milyen módon tudják megtiltani a sütik kezelését.
Hogyan kerülhetők el a bírságok hasonló ügyekben?
„Mivel a hazai jog a francia joghoz hasonlóan vette át a bírság alapjául szolgáló uniós irányelvet, Magyarországon sincsen jogszabályi akadálya annak, hogy a hasonló eseteket a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) más adatvédelmi hatóságtól függetlenül vizsgálhassa és szankcionálhassa akár hazai, akár Magyarország területére irányuló elektronikus szolgáltatást végző külföldi vállalatok kapcsán” – hangsúlyozza Teleki Lóránt, a BDO Legal adatvédelmi tanácsadója.
Az elmarasztaló határozat elkerülésének leghatékonyabb módja az alábbi alapelvek betartása lehet:
A sütik kezeléséhez való hozzájárulás lehetősége mellett az elutasítás opciót is könnyen hozzáférhetővé kell tenni a felhasználó számára – Ezek konkrét vizuális kialakítására nézve a magyar hatóságnak még nincs átfogó ajánlása, noha az eltérő technikai megoldások komolyan befolyásolják a felhasználó döntését a hozzájárulás megadásának tekintetében.
A sütik kezelésének céljáról és egyéb körülményekről előzetesen tájékoztatni kell a felhasználót – Erre vonatkozóan létezik az Európai Adatvédelmi Testületnek egy 2013-as iránymutatása, amely tartalmazza az érintett információk körét: az adott süti kezelésének célját (pl. marketing, statisztika), a tárolás idejét, továbbá a sütik által kezelt adatkört. Ezen túl szükséges kitérni arra is, hogy az adott süti harmadik féltől származik-e, vagy harmadik fél hozzáférhet-e a sütikhez.
A sütik elhelyezése kizárólag azt követően jogszerű, hogy az érintett hozzájárult az adatkezeléshez – A NAIH ezzel összefüggésben egy tavalyi állásfoglalásában megerősítette, hogy a honlap üzemeltetőjének biztosítania kell, hogy az érintettek egyesével eldönthessék, hogy az adott típusú süti működéséhez hozzájárulnak-e vagy sem. Emellett hangsúlyozta, hogy a honlapoknak akkor is korlátozás nélkül elérhetőnek kell lennie a felhasználók számára, ha a felhasználó semmilyen süti telepítéséhez nem járul hozzá. Egy korábbi NAIH ajánlás pedig azt rögzíti, hogy egy honlapon nem szerepelhet olyan süti, amelyek harmadik személyek gyűjthetnek adatot a felhasználó hozzájárulása nélkül.
Fontos azonban felhívni a figyelmet arra, hogy bizonyos (ún. „nélkülözhetetlen”) sütik esetében nincs szükség az érintett hozzájárulására. Például ilyen sütinek tekinthető az a süti, amely az érintett sütikezeléssel kapcsolatos elutasító nyilatkozatát tárolja. Ide tartoznak továbbá azok a sütik is, amelyek kezelése információbiztonsági szempontokból kifolyólag szükséges (pl. túlterheléses támadásokkal szemben).
Kapcsolódó cikkeink
Az európai online kereskedelem vezetői között többségben vannak a nem európai cégek
Az ezer legnagyobb európai online kereskedő közül mindössze 49% rendelkezik…
Tovább olvasom >Felelős e-kereskedelmet várnak el a lengyel vásárlók
A lengyel vásárlók egyre inkább elvárják az online boltoktól a…
Tovább olvasom >A Schwarz Csoport és a Google együttműködése új szintre emeli a kiberbiztonságot Európában
A Lidl és Kaufland márkákat birtokló Schwarz Csoport hosszú távú…
Tovább olvasom >További cikkeink
Hogyan fognak az európaiak vásárolni az idei ünnepi szezonban?
A ShopFully és az Offerista Group az „Holiday Shopping Study…
Tovább olvasom >Az irodapiacon túlkínálat, a kiskereskedelmi ingatlanok és szállodák terén visszatérő kereslet várható 2025-ben
A magyar kereskedelmi ingatlanpiacot jelenleg a tranzakciószámok csökkenése és a…
Tovább olvasom >Black Friday: Az egynapos akciótól az egész hónapos vásárlási lázig
A Black Friday, az Egyesült Államokból indult hatalmas leárazási hullám,…
Tovább olvasom >