2022. február 2-án a belga adatvédelmi hatóság[1] (a továbbiakban: Hatóság) egy sor intézkedést hozott döntésében[2] az Interactive Advertising Bureau Europe (a továbbiakban: IAB Europe) vonatkozásában az általa kialakított ún. Transparency and Consent Framework[3] hirdetési és sütikezelő ökoszisztéma egyes működési elemeinek feltételezett általános adatvédelmi rendeletbe[4] (a továbbiakban: GDPR) ütköző volta miatt. A döntés meghozatalában a GDPR 60. cikke szerinti együttműködési eljárásban 21 EU-tagállam adatvédelmi felügyeleti szerve (közöttük a magyar hatóság) működött intenzíven közre és jutott egyetértésre az abban foglaltakat illetően.[5] A kiszabott bírság összege "csekély" - csupán 250 000 euró - a feltételezett jogsértések súlya, megvalósításuk időtartama és az érintettek hatalmas számához képest. Valójában azonban az IAB Europe számára a Hatóság döntésében az ökoszisztémára vonatkozóan hozott megállapítások, illetve az azok nyomán előírt adatkezelői elvárások az igazán fájdalmasak. Az IAB Europe-nak a határozat jogerőre emelkedésétől számítva 2 hónapja lesz egy intézkedési terv (action plan) előterjesztésére, amelyet elfogadása esetén 6 hónapon belül implementálnia kell.
A döntés jogerőre emelkedésére azonban még várni kell, mert az IAB Europe minden lehetséges fórumon megtámadta az abban foglaltakat. E tanulmány kéziratának leadását követően, az illetékes belga bíróság (Marktenhof) az eljárása keretében 2022. szeptember 7-én előzetes döntéshozatali eljárást kezdeményezett,[6] amelynek keretében két kérdéssel fordult az Európai Bírósághoz:
a) a tanulmány 1. pontjában ismertetett egyedi azonosító sor (string) személyes adatnak minősül-e (IP-címmel kombinálva vagy anélkül) a feltételezett adatkezelő, és/vagy az adatokat használó cégek vonatkozásában,
b) az IAB Europe adatkezelőnek minősül-e és ha igen, ez milyen mértékű felelősséggel jár?
Az online hirdetésekről viszonylag gyorsan kiderült, hogy pont ugyanolyan hatékonyak (vagy inkább hatékonytalanok), mint bármely más platform esetén, azonban hamarosan ráébredtek a hirdetők, hogy a digitális technológia által biztosított végtelen mennyiségű "lábnyom" remekül használható lenne célzott hirdetések vagy tartalmak elhelyezésére, amivel sokkal több bevételt generálhatnának. Megindult tehát az adatok gyűjtögetése úton-útfélen és ezzel párhuzamosan valamiféle hozzájárulás beszerzése (vagy annak mímelése) azért, hogy a felhasználó számára megjelenő felületen elhelyezett reklám vagy tartalom illeszkedjék a felhasználó "igényeihez". Nem tudjuk, mi történt volna, ha nincs az Elektronikus hírközlési adatvédelmi irányelv (a továbbiakban: e-Privacy irányelv)[7] és a GDPR, így most már csak azt tudjuk vizsgálni, mi történt a bevezetésük után. A hirdetők megértették, hogy szükség van a felhasználó hozzájárulására a targetált (reklám célú) hirdetésekhez, amit meg kell szerezni, és bizonyítani kell tudni, hogy megszerezték. Hogyan tudják mindezt a legjobban kivitelezni? A tudomány adott állásakor a felhasználó eszközén elhelyezett sütik ("cookies") bizonyultak erre a legalkalmasabbnak, amelyek képesek tárolni és reprodukálni azt az információt (döntést), amelyet a süti elhelyezése előtt a felhasználó a sütitájékoztató és -kezelő felületen (a továbbiakban: cookie banner) megadott.
A felhasználó amikor megnyit egy weboldalt és feljön egy cookie banner, a sütik elhelyezése kapcsán döntést hoz a felületen számára biztosított lehetőségek közül, elfogadva, elutasítva vagy preferenciái szerint beállítva a bannerben foglaltakat.
Sokáig próbálkoztam megérteni a cookie bannerekben foglaltakat, de amikor a sokadik alkalom után is csupán arra jutottam, hogy két kattintással nem érek a végére a feltüntetett céloknak, hirdetőknek vagy más specifikációnak, feladtam. Azóta csak arra koncentrálok, hogy kiiktassam a működéshez feltétlenül szükséges sütiken túli cookie-k elhelyezését - már ha erre egyáltalán van mód.
A következőképpen zajlik a süti-"kattingatás", ha az IAB Europe által kialakított, széles körben elterjedt ökoszisztémában (Transparency and Consent Framework - TCF) kerül arra sor, vagyis olyan weboldalra tévedünk, ahol a kiadó (weboldal vagy applikáció üzemeltetője), a cookie banner működtetője (pl. One Trust) és a hirdető is az ökoszisztéma tagjai.
A felhasználónak a cookie bannerben foglaltakkal kapcsolatos döntése az a mozdulat, amikor a cookie bannerben megjelölt célokhoz rendelt egyes hirdető cégek számára történő adatátadáshoz hozzájárul vagy elutasítja azt, vagy éppen tudomásul veszi, ha az a beállítások mentén jogos érdek jogalapon úgyis megtörténik. (Egyszerűbben: a bannerben található valamelyik színes vagy kevésbé színes "elfogad, beállít, elutasít" vagy bármilyen hasonló gombra kattint.)
A döntés pillanatában egy egyedi azonosító sor ("string") keletkezik, amely tartalmazza a felhasználónak a bannerben foglaltakra vonatkozó döntését. Tehát az egyedi azonosító sor egyrészről annak a tájékoztatásnak a lenyomata, amit a felhasználó kapott (ami a cookie bannerben szerepelt), másrészről a felhasználó elfogadásra, elutasításra vagy tudomásul vételre vonatkozó döntése.
Ahhoz, hogy a felhasználónak ne egyesével kelljen eldöntenie a hirdetőkről a megadott célok mentén, hogy hozzájárul-e a számukra történő adatátadáshoz vagy sem, a cookie banner jellemzően tartalmaz egy egyszerűsített elfogadást ("accept all" - összes elfogadása), és reményeink szerint hasonló elutasítást. Ez a gomb a későbbiekben a "global consent cookie" esetében kap jelentőséget.
A kritikusok szerint az adatgyűjtés jellemzően túlságosan tág célok érdekében történik, és a begyűjtött adatokkal valójában az adott célt nem lehet elérni. Továbbá a felhasználónak sem arról nincs tudomása, hogy egy egyedi azonosító sor ("string") jön létre hozzá kapcsolódóan, sem pedig arról, hogy aztán ez az azonosító sor egy rendkívül szofisztikált módon felépített rendszer részévé válik.
Érdekességképpen az adatkör, amelyet az egyedi azonosító sor tartalmaz - idézet a határozatból (saját fordítás)[8]:
"Egy TC String a következő mezőkből áll:
i. általános metaadatok;
ii. egy bináris érték minden egyes adatkezelési célhoz, amelyhez hozzájárulás megadása szükséges;
iii. egy bináris érték minden egyes adatkezelési célhoz, amely jogos érdeken alapulva kerül engedélyezésre;
iv. egy bináris érték minden egyes reklámértékesítő kapcsán, aki gyűjtheti és kezelheti a felhasználó hozzájárulása alapján az adatait;
- 11/12 -
v. egy bináris érték minden egyes reklámértékesítő kapcsán, aki jogos érdeke alapján gyűjtheti és kezelheti a felhasználó adatait;
vi. esetleges adatkezelési korlátozások;
vii. egyedi opt-in jellemzők az adatkezelési célok kapcsán;
viii. egy mező a kiadó (megjelenítést végző) oldal TCF alá nem tartozó adatkezelési céljai kapcsán;
ix. hozzájárulás olyan adatkezelések kapcsán, amelyekre a TCF nem terjed ki;
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
