https://doi.org/10.26521/profuturo/2020/3/8746
Európában a sütik kezelésére vonatkozó szabályozás már 2011 óta hatályban van, ám az általános adatvédelmi rendelet (GDPR) frissítette az Európai Unió régóta fennálló digitális adatvédelmi keretrendszerét, kulcsfontosságú kiegészítésekkel, ideértve a hozzájárulásra - mint a személyes adatok kezelésének jogalapjára - vonatkozó szabályok szigorítását. Míg az Európai Parlament és Tanács 2002/58/EK irányelve egy speciális szabályozás, amely az elektronikus hírközlési ágazatban történő adatok kezelésére vonatkozik, addig a GDPR a magánszemélyek személyes adataira vonatkozó adatkezelések esetében általánosan alkalmazandó szabályrendszer, amely rendelkezéseit a közelgő elektronikus hírközlési adatvédelmi rendelet hivatott kiegészíteni. Mindaddig marad a kérdés: mely szabályozást szükséges figyelembe venni a websütik használata esetén? Jelen tanulmány tisztázni kívánja, mire kell odafigyelnie egy vállalatnak, annak érdekében, hogy a weboldalain használt sütik kezelése a hatályban lévő jogszabályoknak pontosan megfeleljen.
Kulcsszavak: e-privacy irányelv, e-privacy rendelet, GDPR, süti szabályozás, hozzájárulás
EU cookie laws have been in place since 2011, but before the entry into force of the GDPR, the conditions for consent were interpreted differently across Europe. Since the GDPR came into effect, there has been a great deal of interest in how it applies to cookies and similar technologies. The GDPR updated the EU's longstanding digital privacy framework, with key additions including tightening the rules around consent as a legal basis for processing personal data. The purpose of this study is to clarify for data controllers the rules they need to pay attention to, in order to ensure that the use of cookies on its websites is strictly in accordance with applicable laws.
Keywords: e-privacy directive, e-privacy regulation, GDPR, cookie regulation, consent
Az online követés az utóbbi években egyre nagyobb aggodalomra ad okot. Ma már általánosnak mondható, hogy szinte minden webhely sütiket használ a látogatók online tevékenységének nyomon követésére, statisztikák készítésére és általában a webhely működtetése céljából. A sütik (más néven: cookie-k), mint kis információcsomagok, alapvető részét képezik az internet működésének, mégis a legtöbb esetben a felhasználók figyelmét elkerülve, észrevétlenül gyűjtenek a webszolgáltatók számára hasznos információkat, lehetővé téve, hogy nyomon követhessék a felhasz-
- 43/44 -
nálók preferenciáit, elmenthessék jelszavaikat, megjegyezzék a kosárba tett elemeket. Sok szempontból felelnek azért is, hogy egy weboldal a számukra lehető legkényelmesebben működjön, úgy, ahogy azt a látogatók megszokták, elvárják.
Megjelenésük óta számos adatvédelmi aggályt vet fel a sütik használata. Nem kérdés tehát, hogy egy egységes és egyértelmű szabályozás e területen elengedhetetlen a magánszemélyek alapvető jogainak védelme érdekében.
Az elmúlt évtizedekben az Európai Unió több jogszabályt is elfogadott a személyes adatok védelme érdekében, ezek közül az egyik legfontosabb az 1995-ös adatvédelmi irányelv.[1] A Lisszaboni Szerződés hatályba lépése óta mindemellett a személyes adatok védelme az uniós jog értelmében alapvető jognak minősül, amelyet az Európai Unió működéséről szóló szerződés és az Európa Unió Alapjogi Chartája is elismer, így az Unió konkrét jogalappal rendelkezik arra, hogy jogszabályokat fogadjon el e területen.
Az Európai Unió válasza a gyors technológiai fejlődésre az európai adatvédelmi reform, amelynek három eleme van: a kötelezően alkalmazandó általános adatvédelmi rendelet, a bűnügyi adatvédelmi irányelv, illetve a közelgő e-privacy rendelet.
A 2016 májusában elfogadott adatvédelmi rendelet - mely felváltotta az eddigi adatvédelmi irányelvet - célja, hogy a magánszemélyek személyes adatainak kezelése területén egy egységes jogszabályt vezessen be és felkészítse az EU országait a digitális kor adatvédelmi kihívásaira. Fontos megfigyelni azonban, hogy az elektronikus hírközlési ágazatban a GDPR az e-Privacy területén csak háttérszabályként érvényesül. E területet jelenleg a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv szabályozza,[2] melyet szintén az európai adatvédelmi reform részeként az e-Privacy rendelet vált majd fel. Noha az Európai Parlamentben már 2017 őszén elfogadták a tervezet szövegét, az Európai Tanácsban viták alakultak ki a végleges szövegről, így a rendelet nem léphetett hatályba a GDPR-ral párhuzamosan, bár az első tervek szerint még így lett volna, tekintve, hogy a két jogszabály tartalmilag összefonódik, sőt egyes helyeken egymásra is épül. Jelenleg is viták folynak a tervezetről, így az elektronikus hírközlési ágazatban mérvadó speciális szabályozásnak még mindig az 2002/58/EK irányelvet kell tekinteni.[3] Ezen irányelv GDPR-ral együttes alkalmazása problémákat és jogi bizonytalanságot okoz az európai polgárok, valamint a digitális egységes piac számára.
Jelen tanulmányban összefoglalom a sütik használata esetén, jelenleg alkalmazandó jogszabályokat, majd összehasonlítom egyes tagországok adatvédelmi ha-
- 44/45 -
tóságainak az állásfoglalásait. A tanulmány célja elsősorban az, hogy átfogó képet és segítséget nyújtson a weboldalak működtetői számára, a jelenleg alkalmazandó jogszabályoknak való megfeleléshez, másodsorban a szakemberek, ügyvédek és felhasználók számára kívánja bemutatni az e területen megjelenő értelmezési kérdéseket, a jelenlegi hatályos szabályozás tükrében.
A HTTP-süti Lou Montulli nevéhez fűződik, aki először 1994-ben használta a technológiát, annak érdekében, hogy megfigyeljék, hogy a felhasználó járt-e már a vállalatuk weboldalán, és ha igen, a weboldaluk annak korábbi beállításait automatikusan betölthesse. Ezáltal megteremtette a web úgynevezett "memóriáját." A sütik használata előtt minden weblátogatás pontosan olyan volt, mint a legelső, mivel nem volt automatikus módja annak, hogy rögzítsék a látogatók korábban elvégzett beállításait.[4]
A technológia lényege, hogy az oldal látogatásakor a webszerver egy információcsomagot - egyszerű betűkből és számokból álló, kisméretű szöveges fájlt (sütit) -küld a webböngészőnek, melyet az egy külön könyvtárban tárol a felhasználó eszközén (laptopján, táblagépén, okostelefonján vagy bármilyen webböngészésre használt eszközön). Minden alkalommal, amikor a böngésző egy kérést küld a szervernek, a kéréssel együtt elküldi a (kért weblaphoz kapcsolódó) tárolt sütiket is, így a webszerver a kapott sütik segítségével az adott kérést összeköti az előző (ugyanonnan érkező) kérésekkel. Így a sütik lehetőséget biztosítanak arra, hogy a felhasználó folyamatosan bejelentkezve maradjon az adott weboldalon, és a webhely emlékezzen a webshop-os bevásárlókosár vagy a kitöltött adatlap tartalmára akkor is, ha a felhasználó véletlenül bezárja a böngészőt. Mindemellett a sütik statisztikák készítésére is alkalmasak, mérve a weboldalt használók szokásait. Megjelenése után a webfejlesztők a HTTP sütiket széles körben kezdték használni, noha ez nem volt elterjedt a köztudatban; ezek többnyire anélkül kerültek elhelyezésre a felhasználó számítógépén, hogy az érintett erről bármilyen tájékoztatást kapott volna.[5]
Élettartamukat tekintve a sütiket két kategóriába osztjuk; azok ideiglenes (munkamenet) vagy állandó cookie-k lehetnek. Az ideiglenes cookie-k érvényességi ideje kizárólag a felhasználó aktuális munkamenetére korlátozódik, a böngésző bezárásával automatikusan törlődik a használt eszközről. Az állandó cookie-k lehetővé teszik, hogy a weboldalak megjegyezzék a felhasználó böngészési szokásait és beállításait a legközelebbi látogatáshoz, és meghatározott ideig vagy a manuális törlésükig az érintett eszközén maradnak.[6]
Nemcsak az adott weboldal üzemeltetője helyezhet el sütiket a felhasználói eszközön, hanem gyakran harmadik féltől származó sütik jelenlétére is számíthatunk.
- 45/46 -
Ezek általában szkriptek vagy címkék útján kerülnek a webhelyre. Időnként ezek a szkriptek további funkcionalitást is jelentenek a webhelyen, például lehetővé teszik a tartalom megosztását a közösségi hálózatokon keresztül, vagy egy YouTube-videót tartalmazó webhely meglátogatása esetén a YouTube az általa beállított sütiken keresztül tudja, hogy a felhasználó megnézte a videóját, vagy akár csak meglátogatta azt az oldalt, amelyen a videó található.
Funkcionalitásukat tekintve többféle sütit különböztetünk meg. A sütik legelterjedtebb osztályozása a brit Nemzetközi Kereskedelmi Kamara (ICC) által kiadott útmutatóban[7] található, mely az alkalmazandó jogszabályok szempontjából lényeges. Ezen útmutató szerint az alábbi sütiket különböztetünk meg:
a) Feltétlenül szükséges sütik, amelyek lehetővé teszik a weboldalon történő böngészést. Ezen cookie-k nélkül a weboldalon felkeresett tartalmak kiszolgálása (beleértve a biztonságos protokollok használatát) lehetetlenné válik. E kategóriába tartoznak például az úgynevezett:
- Munkamenet sütik, amelyeket arra használnak, hogy nyomon kövessék a felhasználó adatbevitelét a szolgáltatóval történő üzenetváltások során. Rendszerint a weboldalak olyan saját sütiket alkalmaznak, amelyek munkamenetazonosítóra (egy véletlenszerű ideiglenes azonosítószámra) épülnek, és legkésőbb a munkamenet végén lejárnak.[8]
- Hitelesítési sütik, melyek arra szolgálnak, hogy bejelentkezéskor azonosítsák a felhasználót (például saját fiókba való bejelentkezés). Ezek a sütik lehetővé teszik, hogy a felhasználók azonosíthassák magukat a weboldalon tett sorozatos látogatásaik során, és hozzáférést kaphassanak az engedélyezett tartalomhoz.
- Biztonsági sütik, amelyeket a weboldalra történő, ismételt, sikertelen bejelentkezési kísérletek felderítésére használnak, vagy egyéb bejelentkezési rendszer visszaélésekkel szembeni védelem érdekében alakítottak ki. Ezen sütik lejárati ideje hosszabb, hogy elérhessék biztonsági céljukat.
b) Teljesítményt javító sütik, amelyek információt gyűjtenek arról, hogy a látogatók milyen módon használnak egy weboldalt. Például mely oldalait látogatják a leggyakrabban, hol ütköznek a látogatók hibaüzenetbe.
c) Egyéni beállításokat tároló sütik. Ezek a cookie-k teszik lehetővé a weboldalon használt felhasználónév, kiválasztott nyelvi preferencia tárolását. Például egy weboldal képes lokális hírek kiszolgálására a látogató cookie-ban tárolt földrajzi elhelyezkedése alapján. Ezek a cookie-k szintén alkalmasak a megváltoztatott betűméret, illetve további hasonló beállítások eltárolására.
d) Webanalitikai és hirdetések célzását szolgáló sütik, amelyek használatával lehetővé válik a webhelyek számára, hogy a felhasználókról viselkedési profilokat alkossanak, és közvetlenül a látogató által látott webhelyhez kapcsolódó hirdetéseket jelenítsenek meg, egyéni érdeklődésük alapján. A viselkedés megfigyelése céljából összegyűjtött információk számos online tevékenységet érinthetnek; mint
- 46/47 -
például, hogy mit olvasnak, mit néznek, vagy mit keresnek a felhasználók, vagy akár a felhasználók pontos tartózkodási helyének meghatározását is.[9]
Bár a gyűjtött információkat a látogató nevének ismerete nélkül hasznosítják, hiszen a cookie-ban szereplő anonim, egyedi azonosító többnyire elegendő a cél teljesítése érdekében (kényelmi funkciók megjegyzése és automatikus beállítása, statisztikai adatok gyűjtése vagy akár célzott hirdetések megjelenítése), ez mégsem jelenti azt, hogy a sütik használata ne lenne a személyes nyomon követés hatékony mechanizmusa.
A sütik erre a célra történő használata azonban sérti a magánélethez való jogot, ami a sütikről szóló EU-szabályozás kidolgozásának az egyik mozgatórugója.
A cookie-k használatára vonatkozó első európai szabályozás az Európai Parlament és a Tanács 2002/58/EK irányelve, mely szerint a webhely működtetőjének mindössze egyértelmű és teljes körű tájékoztatást kellett nyújtania az érintett előfizetőnek vagy felhasználónak a sütik használatának céljáról, illetve a visszautasítás lehetőségéről. Ezen irányelv kivételként említi meg ugyanakkor az olyan műszaki tárolást, illetve műszaki hozzáférést, amelynek "kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítása vagy annak megkönnyítése, vagy amely az előfizető vagy felhasználó által kifejezetten kért, információs társadalommal összefüggő szolgáltatás nyújtásához feltétlenül szükséges,"mely esetben az akkori szabályozás értelmében nem csak a hozzájárulás, de a felhasználók tájékoztatása sem volt szükséges.[10]
2009. november 25-én az Európai Parlament és Tanács 2009/136/EK irányelv 5. cikk (3) bekezdését módosította mely szerint ezentúl az
"előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel [...] megengedett, ha az érintett előfizető vagy felhasználó a 95/46/EK irányelvvel összhangban történő - többek között az adatkezelés céljairól szóló - egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta."
A feltétlenül szükséges sütik használatával kapcsolatos kivétel viszont nem változott. Ennek következtében, amennyiben egy weboldal üzemeltetője a honlapján csak és kizárólag a weboldal működtetéséhez szükséges sütiket használt, az irány-
- 47/48 -
elv továbbra is lehetőséget biztosított arra, hogy ezt a felhasználók hozzájárulása vagy előzetes tájékoztatása nélkül tegye. Ezen szükséges sütiknek az 5. cikk (3) bekezdése alapján az alábbi kritériumoknak kell megfelelniük:
a) a sütik használatának kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közlés továbbítás, vagy
b) a sütire az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.
Az értelmezési viták mindegy lezárásaként bocsátotta ki a 29. cikk szerinti adatvédelmi munkacsoport a 2012/4. számú véleményét,[11] melyben kifejti, hogy e kritériumokat mely sütiknél hogyan kell figyelembe venni. E vélemény alapján, bizonyos feltételek között, az alábbi sütik mentesülhetnek a tájékozott hozzájárulás alól, ha nem használják fel azokat további célokra:
• Felhasználói beviteli sütik (munkamenet-azonosító) a munkamenet időtartamára, vagy némely esetben, néhány órára korlátozott tartós sütik;
• Hitelesítési sütik, amelyeket hitelesített szolgáltatások használnak, a munkamenet időtartamára;
• Felhasználó központú biztonsági sütik, amelyeket a hitelesítési felderítésére használnak, korlátozott fennmaradási időtartamra;
• Multimédiatartalom-lejátszó munkamenet-sütik, így például flash-lejátszó sütik, a munkamenet időtartamára;
• Terheléskiegyenlítő munkamenet-sütik, a munkamenet időtartamára;
• A felhasználói felület testre szabását segítő sütik, a munkamenet időtartamára (vagy kissé hosszabb időre).
Fontos azonban megjegyezni, hogy ma már a sütik felhasználási módja oly szerteágazó, hogy nagyon sok esetben lehetetlen ezeknek az egyértelmű kategorizálása. A kategorizált sütik jelenleg létező legnagyobb adatbázisa szerint a sütiknek mintegy 20.063.174 fajtáját különböztetjük meg, ám így sem ritka, hogy egyes weboldalak látogatásakor a felhasználók eszközeire kerülő sütik egyetlen kategóriába sem illeszthetők be egyértelműen, sőt ezek funkciója vagy forrása sem azonosítható.[12]
Az irányelv tehát meghatározta az EU-országok által elérendő célokat az előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáféréssel kapcsolatban, de a megvalósítás módját, eszközeit a tagállamokra bízta. A tagországoknak az irányelvben foglalt célok elérése érdekében gondoskodtak arról, hogy az irányelv rendelkezései a nemzeti jog részét képezzék - vagyis nemzeti jogszabályok révén átültessék az irányelvet saját jogrendjükbe.
Magyarországon az irányelvet az elektronikus hírközlésről szóló 2003. évi C. törvény[13] implementálta. A 155. § (4) bekezdés rendelkezései szerint "egy előfizetőnek
- 48/49 -
vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű - az adatkezelés céljára is kiterjedő -tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni." E törvény nem tér ki a weboldal működtetéséhez feltétlenül szükséges sütik kezelésére.
Franciaországban az adatvédelmi törvény (2011)[14] általános szabálya szerint a sütik használatához a felhasználók hozzájárulása szükséges. Azonban a francia adatvédelmi hatóság (CNIL) útmutatása szerint az elemzési sütik bizonyos feltételek mellett nem igényelnek előzetes hozzájárulást - ideértve a látogatók számára egyértelmű értesítést, és a könnyen elérhető opt-out mechanizmus biztosítását.
Romániában az irányelvet a 2004. évi 506-os törvény ülteti át, amelynek 4. cikk (5) bekezdése szerint egy előfizető vagy felhasználó elektronikus hírközlő végberendezésén csak a következő feltételek betartásával lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni:[15]
a) az előfizető vagy felhasználó a beleegyezését adta, és
b) a beleegyezés megadását megelőzően az érintett a 2001. évi 677. számú törvény szerinti tájékoztatást megkapta, amely:
i) könnyen hozzáférhető, egyértelmű és egyszerű nyelven megfogalmazott, illetve
ii) tartalmazza a felhasználó elektronikus hírközlő végberendezésén történő adattárolás vagy az ott található adatokhoz való hozzáférés célját.
Amennyiben harmadik felek is hozzáférnek a felhasználók végberendezésén lévő adatokhoz, vagy ott adatot tárolnak, a tájékoztatónak tartalmaznia kell a harmadik személyek által történő adatkezelések célját, valamint tájékoztatnia kell arról, hogy az előfizető vagy a felhasználó hogyan használhatja az internetes böngésző alkalmazás vagy más hasonló technológiák beállításait a tárolt információk törlésére, vagy harmadik személyek ezen információkhoz való hozzáférésének megtagadására.
A 2004. évi 506-os törvény 6. cikke kitér az irányelvben is megfogalmazott kivételre, miszerint nem szükséges a hozzájárulás, amennyiben:
a) annak kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közlés továbbítás vagy annak megkönnyítése; vagy
b) az előfizető vagy felhasználó által kifejezetten kért, és az információs társadalommal összefüggő szolgáltatás nyújtásához feltétlenül szükséges.
A 2009/136/EK irányelv kiemeli
"ennek az irányelvnek az alkalmazásában a felhasználó vagy előfizető hozzájárulását, függetlenül attól, hogy ez utóbbi természetes vagy jogi személy-e, az érintett hozzájárulásával - amelyet a 95/46/EK irányelv határoz meg és pontosít - azonosként kell értelmezni. Hozzájárulás bármely olyan megfelelő módon adható, amely lehetővé teszi a felhasználó szándékainak önkéntes, konkrét és a megfelelő infor-
- 49/50 -
mációk birtokában történő kifejezését, ideértve valamely internetes honlap látogatása során egy rovat bejelölését."[16]
Fontos kiemelni, hogy a GDPR hatálybalépése előtt a sütik használatához a 95/46/EK irányelv szerinti hozzájárulás megszerzésére volt szükség, mely az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához.
Az általános adatvédelmi rendelet hatálybalépését követően (2018. május 25.) a magánszemélyek nagyobb betekintést és szélesebb körű jogokat élveznek az adataik kezelésével kapcsolatban, ezzel párhuzamosan a vállalatok és szervezetek ez irányú kötelezettségei gyarapodtak. A kötelező erővel bíró szabályozás komoly hatással volt mind a felhasználók, mind a szolgáltatók, köztük az elektronikus kereskedelemmel foglalkozók mindennapjaira, tovább bonyolítva a weboldalak által széles körben használt sütik alkalmazására vonatkozó szabályokat, különösen a sütik használatához szükséges hozzájárulás tekintetében.
A sütik fajtájának változatossága ellenére is, az általános adatvédelmi rendelet hatályba lépése előtt viszonylag könnyű volt eldönteni, hogy mely sütik használata indokolja az érintettek feltétlen hozzájárulását, illetve mely esetek esnek a törvényben meghatározott kivételek alá. Ám a GDPR hatálybalépésével az adatkezelőnek újabb szabályokat is figyelembe kell vennie. E rendeletet ugyanis alkalmazni kell a személyes adatok részben vagy egészben automatizált módon történő kezelésére, mely vonatkozásban személyes adatnak tekintendő azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ.[17] Az alkalmazandóság vizsgálatakor kulcskérdés tehát, hogy mit jelent az azonosíthatóság. E körben a GDPR egy észszerűségi mércét támaszt: ha a rendelkezésre álló információk birtokában egy adott személy azonosítása különösebb költségek és időráfordítás nélkül, a rendelkezésre álló technológiák által objektíve lehetséges, akkor az ilyen információ személyes adatnak minősül. Ezen információk önmagukban nem képesek azonosítani a személyt, amelyhez tartoznak, viszont egy másik információval összekapcsolva megváltozik a helyzet. Nem is feltétlenül szükséges, hogy a kiegészítő információ az adatkezelő birtokában legyen; elég, ha a hozzáférés objektíve lehetséges, és nem jelent túlzott erőfeszítést. Figyelembe kell venni tehát az azonosításhoz szükséges időt és erőforrásokat, a technológiai lehetőségeket, illetve az adatkezelés célját is.[18]
A GDPR a sütikről egyetlen helyen tesz említést. A rendelet (30) preambulum bekezdése definiálja az online azonosítókat, és egyértelműen kijelenti, hogy a sütik és
- 50/51 -
a kapcsolódó technológiák alkalmazása során létrehozott információk segítségével, a látogató nevének ismerete nélkül is azonosíthatók lehetnek a felhasználók, így az online azonosítók személyes adatnak minősülhetnek.
"A természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel. Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására."
Fontos megemlíteni, hogy valójában nem minden süti (vagy más hasonló technológia) használata során létrehozott információ alkalmas az egyént akár csak közvetett módon is azonosítani. Így nem jelenthető ki általánosan, hogy minden sütire online azonosítóként kell tekinteni, illetve, hogy az ezek felhasználásával gyűjtött információ minden esetben személyes adat.
Figyelembe véve a jelenleg hatályos jogszabályokat e területen, a sütik használata során kezelt adatok az alábbi táblázatban feltüntetett esetek valamelyikébe illeszkednek.
Táblázat. irányadó jogszabályok a kezelt adatok jellege alapján
A süti által létrehozott Információ | Feltétlenül szükséges | Nem feltétlenül szükséges |
Személyes adat | Alkalmazandó jogszabály: GDPR Jogalap: mivel az irányelv alapján nincs szükség hozzájárulásra a GDPR 6. cikk szerinti valamelyik jogalapra kell támaszkodni | Alkalmazandó jogszabály: GDPR Jogalap: az irányelv lex specialis rendelkezését figyelembe véve minden esetben hozzájárulás szükséges |
Nem személyes adat | Alkalmazandó jogszabály: 2009/136/EK irányelv nincs szükség hozzájárulásra | Alkalmazandó jogszabály: 2009/136/EK irányelv hozzájárulás szükséges a GDPR-ban meghatározott követelmények szerint |
Az előfizető vagy felhasználó végberendezésében történő adattárolás minősülhet tehát személyes adatkezelésnek, mely esetben a GDPR-ban előírt szabályokat kell alkalmazni, vagy személyes adatoknak nem tekintendő adattárolásnak, mely esetben a még mindig hatályban lévő irányelvben előírt hozzájárulásra van szükség, kivéve az irányelvben meghatározott, úgynevezett szükséges sütik használatát. Ezen szabályok országonként eltérhetnek, hiszen az irányelv átültetése minden országban nemzeti jogszabállyal történik. Így a következő eseteket szükséges tárgyalni.
- 51/52 -
Amennyiben tehát a kezelt adatok köre nem minősül személyes adatkezelésnek, és a süti feltétlenül szükséges, a sütik használatának kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közlés továbbítás, vagy a sütire az előfizető vagy felhasználó által kifejezetten kért, és az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van, a weboldal üzemeltetőjét nem terheli sem tájékoztatási kötelezettség a sütik jelenlétéről, sem a felhasználók kifejezett hozzájárulásának megszerzése, amennyiben erről a tagállami szabályozás másképp nem rendelkezik.
Ez esetben az alkalmazandó jogszabály a 2009/136/EK irányelv, amely egyértelműen kimondja, hogy a felhasználó egyértelmű és teljes körű tájékoztatás alapján megadott, előzetes hozzájárulásának a megszerzése szükséges.
Fontos kiemelni, hogy a GDPR hatályba lépése óta a hozzájárulás követelményei szigorúbbak lettek. Eszerint a hozzájárulás az érintett akaratának az önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása kell, hogy legyen, amellyel az érintett nyilatkozattal vagy más kifejezett módon jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.[19]
A 29. cikk szerinti munkacsoport véleménye szerint önkéntes hozzájárulásról akkor beszélhetünk "ha az érintettnek valódi választási lehetősége van, és nem áll fenn a megtévesztés, megfélemlítés, kényszerítés vagy jelentős negatív következmények kockázata, ha az érintett nem adja hozzájárulását."[20]
Továbbá, a rendelet 6. cikk (1) bekezdésének a) pontja megerősíti, hogy az érintett hozzájárulását egy vagy több konkrét céllal összefüggésben kell megadni, és hogy az érintettnek mindegyik céllal összefüggésben választási lehetőséget kell biztosítani.
A konkrét elem teljesítése érdekében figyelembe kell venni a cél konkretizálását a funkciók terjeszkedése elleni garanciaként, a hozzájárulás iránti kérelmek részletességét, valamint az adatkezelési tevékenységekhez kapcsolódó hozzájárulás megszerzésével összefüggő információk egyértelmű elkülönítését más kérdésekre vonatkozó információktól.
A tájékoztatáson alapuló hozzájáruláshoz az érintettnek ismernie kell az adatkezelés körülményeit, az adatkezelő személyét, valamint a személyes adatok kezelésének célját is. A tájékoztatást érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel kell megfogalmazni. Az átláthatóság és az elszámoltathatóság elvére tekintettel az adatkezelő köteles bizonyítani az érintett hozzájárulását személyes adatainak kezeléséhez.[21]
- 52/53 -
Egyértelmű megerősítésnek tekinthető például az írásbeli vagy szóbeli nyilatkozattétel, valamint bármely egyéb olyan cselekedet (pl. négyzet megjelölése, technikai beállítások), amely egyértelműen jelzi az érintett hozzájárulását személyes adatainak tervezett kezeléséhez. A hallgatás beleegyezés típusú eljárások, opt-out megoldások sértik e követelményt.
A GDPR nem tesz különbséget a feltétlenül szükséges és más sütik alkalmazása között. Azon sütihasználatok során, amelyek személyes adat kezelésének számítanak, az adatkezelőnek megfelelő jogalappal kell rendelkeznie, mely a rendelet szerint, nem kizáró módon csak hozzájárulás lehet. Ez alapján néhány szakember véleménye szerint[22] a sütik használatakor támaszkodni lehet akár az adatkezelő jogos érdekeire, vagy a szerződés megkötéséhez szükséges adatkezelésre is, az viszont nem teljesen egyértelmű, hogy mely sütik esetén szükséges feltétlenül a hozzájárulás, és mikor támaszkodhatunk esetleg más jogalapra a jogszerű adatkezelés elérése érdekében.
Az Európai Adatvédelmi Testület véleménye alapján,[23] amennyiben léteznek különös rendelkezések valamely konkrét adatkezelési műveletre vonatkozóan, akkor a különös rendelkezéseket kell alkalmazni (lex specialis), minden egyéb esetben (vagyis amikor nem vonatkoznak különös rendelkezések az adott adatkezelési műveletre) pedig az általános szabály alkalmazandó (lex generalis). E tekintetben az elektronikus hírközlési adatvédelmi irányelvet lex specialis-nak kell tekinteni a GDPR szabályaihoz képest.
A rendelet (173) preambulumbekezdése megerősíti, hogy amikor a személyes adatok kezelésére nem vonatkoznak az elektronikus hírközlési adatvédelmi irányelvben meghatározott különös kötelezettségek, akkor az általános adatvédelmi rendelet alkalmazandó.
"E rendeletet kell alkalmazni a természetes személyeknek a személyes adatok kezelése tekintetében történő védelme vonatkozásában az alapvető jogok és szabadságok védelmét érintő minden olyan esetben, amelyekre nem vonatkoznak azonos célú, a 2002/58/EK európai parlamenti és tanácsi irányelvben meghatározott különös kötelezettségek, ideértve az adatkezelő kötelezettségeit és a természetes személyek jogait is."[24]
- 53/54 -
Ez esetben tehát az alkalmazandó jogszabály a GDPR lesz, viszont a sütik által gyűjtött információk, mint személyes adatok kezelésének jogalapja egyedül a hozzájárulás lehet, figyelembe véve az e-Privacy irányelv lex specialis jellegét.
Gyakorlati szempontból a legtöbb kérdést és bizonytalanságot ez a kategória jelenti. Egyértelmű, hogy az alkalmazandó jogszabály ez esetben a GDPR, mely szerint az adatkezelőnek megfelelő jogalappal kell rendelkeznie. Mivel ez az eset az e-Privacy irányelv kivétele alá esik, az irányelv szerinti hozzájárulás nem szükséges, a GDPR pedig összesen hat jogalapot említ, melyek közül az adatkezelő szabadon választhat. Természetesen a hozzájárulás ez esetben is megfelelő jogalap lehet, de semmi sem akadályozza az adatkezelőt abban, hogy akár jogos érdekeire hivatkozzon. A 29. cikk szerinti adatvédelmi munkacsoport a véleményében megemlíti, hogy
"az adatkezelőnek lehet jogszerű érdeke az ügyfelei igényeinek megismerése, így lehetővé téve az adatkezelő számára, hogy még jobban személyre szabja az ajánlatait, és végső soron olyan termékeket és szolgáltatásokat kínáljon, amelyek jobban igazodnak az ügyfelek igényeihez és kívánságaihoz. Ennek értelmében a 7. cikk f) pontja megfelelő jogalapot biztosíthat az - online vagy offline - üzletszerzési tevékenységek egyes fajtáira vonatkozóan, feltéve, hogy a megfelelő biztosítékok érvényben vannak."[25]
Néhány nemzeti adatvédelmi hatóság igyekezett állást foglalni e témában, és véleményében útmutatást nyújtani a web-szolgáltatók számára. Az adatvédelmi hatóságok körében sokat vitatott kérdés, hogy amennyiben a sütik tárolása személyes adatkezelésnek tekinthető, az adatkezelő támaszkodhat-e a hozzájáruláson kívül más jogalapra is; illetve van-e különbség a weboldal működtetéséhez feltétlenül szükséges, és a csupán statisztikai vagy profilalkotás céljából felhasznált sütik között. A legszembetűnőbb különbséget a hatóságok véleményei között a statisztikai (analitikus sütik) esetében figyelhetjük meg.
A magyar Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) állásfoglalásában a honlapok működéséhez szükséges sütik tekintetében megerősíti, hogy amennyiben egy adott süti kizárólag a honlap üzemeltetése, működőképessége, alapvető funkciói, illetve a számítógépes rendszer biztonsága érdekében történik, úgy lehetőség van ezen sütiket a GDPR 6. cikk (1) bekezdés f) pontjában meghatározott jogos érdek alapján kezelni. Olyan sütik esetén, melyek ezen kategóriába
- 54/55 -
esnek ugyan, de elhelyezésük hiányában is használható a honlap, elfogadható a GDPR 6. cikk (1) bekezdés a) pontjában meghatározott, érintetti hozzájáruláson alapuló adatkezelés is.[26]
A brit adatvédelmi hatóság (ICO) iránymutatása szerint,[27] amennyiben süti technológiákat használunk, először minden esetben az e-Privacy irányelv szabályait kell figyelembe venni. Amennyiben az adatkezelés az irányelvben meghatározott kivétel alá esik, és ez alapján nincs szükség hozzájárulásra, vizsgálni kell, hogy személyes adat kezelése történik-e, és ha igen, a GDPR szabályait kell alkalmazni. A GDPR hat különböző jogalapot határoz meg, amelyek egyforma jelentőséggel bírnak. Annak eldöntése érdekében, hogy az adatkezelő melyik jogalapot használja, figyelembe kell venni az adatkezelés célját. Az ICO véleményében kifejti, hogy a sütik kezelésével kapcsolatban a legtöbb esetben a jogos érdek nem a megfelelő jogalap. Mivel az e-Privacy szabályok értelmében hozzájárulás szükséges, a GDPR alapján is a hozzájárulást kell tekinteni a megfelelő jogalapnak. Profilozáshoz szükséges sütik használata során pedig semmiképp sem lehet jogos érdekre támaszkodni.
Az ICO iránymutatásokkal ellentétben, a francia adatvédelmi hatóság (CNIL) a látogatáselemző sütik használatát kivételként kezeli, és bizonyos feltételek mellett mentesíti a hozzájárulás követelménye alól. Így, amennyiben a süti elhelyezése a webhely tulajdonosa vagy annak megbízottja által történik, az érintett előzetes tájékoztatást kapott, és az érintettnek lehetősége van bármely eszközről egyszerűen tiltakozni az adatkezelés ellen, az adatkezelés jogalapja akár az adatkezelő jogos érdeke is lehet. Ennek érdekében az adatkezelés célját a következőkre kell korlátozni: a webhely teljesítményének mérése, a webhely legnépszerűbb részeinek azonosítása a látogatók interakciójának követése révén, de anélkül, hogy ezáltal egy meghatározott személy célzottan követve lenne, illetve a webhely globális dinamikus fejlesztése.
Ezen adatok nem köthetők össze más információkkal, és nem továbbíthatók harmadik félnek, és az adatkezelés szigorúan anonim statisztikák előállítására korlátozódik az adott webhellyel kapcsolatban. Az IP-cím alapján történő földrajzi behatárolás nem lehet pontosabb, mint városszintű, és az így gyűjtött IP-címet a földrajzi helymeghatározás elvégzése után törölni vagy álnevesíteni kell. Ezen azonosítók legfeljebb 13 hónapig tárolhatóak, illetve az érintettől gyűjtött információkat legfeljebb 25 hónapig lehet megőrizni.[28]
A német adatvédelmi hatóság álláspontja szerint az elemző (analitikus) sütik használatakor bizonyos esetekben az adatkezelő jogos érdeke megfelelő jogalap-ként[29] szolgálhat, és nincs szükség hozzájárulásra, kivéve, ha a személyes adatokat harmadik fél részére továbbítják, illetve ebben az esetben is csak akkor, ha az
- 55/56 -
adatkezelő nem tudja biztosítani a felhasználó számára az egyértelmű tiltakozást az adattovábbítás ellen.[30]
Az adatvédelmi reformot követően az első, sütikkel kapcsolatos európai uniós bírósági döntés a Planet49 társaság ügyében született, ahol az adatkezelő egy online nyereményjáték keretében előre bejelölt négyzetet használt, amellyel a játékban részt venni kívánó internethasználók megadták hozzájárulásukat a cookie-k telepítéséhez. E sütik a Planet49 partnereinek termékeivel kapcsolatos, reklámcélú információgyűjtésére irányultak. A Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) az EU Bíróságától az elektronikus hírközlési ágazatban a magánélet védelmével kapcsolatos uniós jog értelmezését kérte. A Bíróság határozata alapján az internetes honlap felhasználója által a sütiknek a végberendezésén történő telepítéshez adandó hozzájárulása nem tekinthető érvényesen megadottnak egy előre bejelölt négyzet használatával, függetlenül attól, hogy a felhasználó végberendezésében tárolt vagy onnan lehívott információk személyes adatoknak minősülnek-e, vagy sem. Az uniós jog célja ugyanis az, hogy a felhasználót megvédje a magánéletébe való bármilyen beavatkozástól, és különösen annak veszélyével szemben, hogy rejtett azonosítók vagy egyéb hasonló eszközök a tudtán kívül az eszközére kerüljenek. A Bíróság kiemeli, hogy a hozzájárulásnak kifejezettnek kell lennie, mely ez esetben a nyereményjátékban való részvétel gombra kattintással nem teljesül.[31]
A hozzájárult kifejezés szó szerinti értelmezése alapján a felhasználó cselekménye szükséges a hozzájárulása kifejezéséhez. E tekintetben a 2002/58 irányelv (17) preambulumbekezdéséből az következik, hogy a felhasználó ezen irányelv szerinti hozzájárulása bármely olyan megfelelő módon megadható, amely lehetővé teszi a szándékainak önkéntes, konkrét, és a megfelelő információk birtokában történő kifejezését, többek között "valamely internetes honlap látogatása során egy rovat bejelölésével." Az egyértelmű és teljes körű tájékoztatásnak a felhasználót olyan helyzetbe kell hoznia, hogy könnyedén el tudja dönteni, milyen következményekkel jár az általa esetleg megadott hozzájárulás, és biztosítania kell, hogy ezt a hozzájárulást a helyzet teljes ismeretében adja meg. A tájékoztatásnak egyértelműen érthetőnek és kellően részletesnek kell lennie ahhoz, hogy a felhasználó az alkalmazott sütik működését meg tudja érteni. Az érintett akaratának kinyilvánítására vonatkozó követelmény egyértelműen aktív, és nem passzív magatartásra utal. Márpedig egy előre bejelölt négyzet útján adott hozzájárulás nem tekinthető aktív cselekedetnek. Gyakorlatilag lehetetlennek tűnik objektív módon meghatározni azt, hogy valamely
- 56/57 -
internetes oldal felhasználója ténylegesen hozzájárult-e személyes adatai kezeléséhez, ha nem törölte valamely, előre bejelölt négyzet jelölését; azt pedig egyáltalán nem lehet tudni, hogy e hozzájárulást megfelelő információk birtokában adta-e meg. Nem zárható ki ugyanis, hogy az említett felhasználó nem olvasta az előre bejelölt négyzetet kísérő információt, sőt, lehet, hogy észre se vette ezt a négyzetet, és úgy folytatta a böngészést az általa látogatott internetes oldalon.[32]
Láthatjuk tehát, hogy a GDPR hatálybalépésével a hozzájárulás követelményei megváltoztak, amit az adatkezelők nem hagyhatnak figyelmen kívül. Nem kérdés tehát, hogy a kifejezett, önkéntes és konkrét hozzájárulás megszerzése kihívást jelent az adatkezelők számára, éppen ezért fontos tisztázni, mely süti-kategóriák esetén lehet más jogalapra támaszkodni. Bár az ezzel kapcsolatos kérdéseket a döntés nem tárgyalja, a közelgő e-Privacy rendelet hivatott lezárni az ezzel kapcsolatos értelmezési vitákat is.
Addig, ahogy azt a gyakorlat mutatja, nagyon sok nemzeti adatvédelmi hatóság igyekszik e területen állást foglalni. Bár a belga adatvédelmi hatóság nem adott ki véleményt a sütik adatkezelésével kapcsolatban, az ezzel kapcsolatos első európai adatvédelmi bírságot ők szabták ki. 2019 decemberében 15 000 euró pénzbírsággal büntették meg azt a jogi híreket közlő weboldalt üzemeltető vállalatot, melynek adatkezelési, illetve sütikezelési nyilatkozata nem volt átlátható, valamint nem biztosította az érintettek teljes körű tájékoztatását. A hatóság megállapította, hogy a webhely nem teljesítette kötelezettségeit a sütik kezeléséhez szükséges hozzájárulás megadásával és visszavonásával kapcsolatban, nem biztosította az opt in elv betartásához szükséges feltételeket.[33]
A jelenlegi európai sütiszabályozást összefoglalva jól látszik, hogy a GDPR hatálybalépése változást hozott e területen, bár addig, míg az e-Privacy rendelet nem kerül elfogadásra, a megfelelő jogalap kiválasztása és a jelenlegi jogszabályoknak való megfelelés komplex kihívás elé állítja a sütiket alkalmazni kívánó adatkezelőket. A jogi bizonytalanság jelentősen megnehezíti egyrészről, hogy a felhasználók felismerjék az adataik jogtalan kezelését, másrészről, hogy az adatkezelők egyértelműen felismerjék, mely jogszabálynak kell eleget tenniük. A követelmények megvalósítása nem kizárólag jogi, hanem IT szakértelmet és fejlesztést is igényel.
Ugyanakkor a közelgő rendelet körül is nagyon sok a bizonytalanság. A jelenlegi legfrissebb javaslatát 2020. február 21-én tette közzé az Európai Unió Tanácsának elnöksége, amelyben az egyik legfontosabb megállapítás az, hogy bevezeti a jogos érdekre való hivatkozás lehetőségét az elektronikus hírközlés metaadatainak
- 57/58 -
feldolgozása és a sütik vagy hasonló technológiák használata esetén, és ehhez a következő feltételeket szabja:
• adatvédelmi hatásvizsgálat elvégzése és adott esetben konzultáció az illetékes felügyeleti hatósággal;
• megfelelő biztonsági intézkedések végrehajtása;
• információ nyújtása a végfelhasználók adatfeldolgozási tevékenységeiről;
• az adatfeldolgozás elleni tiltakozás biztosítása a felhasználók számára; és
• tartózkodás a cookie-k vagy hasonló technológiák révén gyűjtött metaadatok vagy információk harmadik felekkel való megosztásától, kivéve, ha azokat korábban anonimizálták.[34]
Úgy tűnik, e javaslat még az Európai Adatvédelmi Testület tanácsaival is szembe megy, mely testület 2018. május 25-i nyilatkozatában kifejezetten kijelenti, hogy
"az elektronikus hírközlési adatvédelmi rendelet értelmében nem szabad lehetőséget nyújtani az elektronikus hírközlési tartalmak és metaadatok megkönnyített, mint például a jogos érdek alapján történő feldolgozására, olyan esetekben, amelyek meghaladják az elektronikus hírközlési szolgáltatás nyújtását."[35]
Mindaddig, amíg az e-Privacy rendelet nem ölt végleges formát, az első és legfontosabb lépés a weboldalon használt és az üzleti érdekek érvényesítése céljából feltétlenül szükséges sütik helyes kategorizálása. Fontos megbizonyosodni minden adatkezelőnek afelől, hogy nem használ olyan sütiket, melyek fölösleges adatkezelést eredményeznek. Érdemes továbbá figyelemmel követni az illetékes felügyeleti hatóság által kibocsátott iránymutatásokat e területen, hiszen ahogy azt láthattunk, ezen vélemények akár tagállamról tagállamra eltérők lehetnek. ■
JEGYZETEK
[1] Az Európai Parlament és a Tanács 95/46/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról. HL L 281, 23.11.1995, p. 31-50.
[2] E jogszabályt a 2009/136/EK irányelv módosította. Az Európai Parlament és a Tanács 2009/136/EK irányelve (2009. november 25.) az egyetemes szolgáltatásról, valamint az elektronikus hírközlő hálózatokhoz és elektronikus hírközlési szolgáltatásokhoz kapcsolódó felhasználói jogokról szóló 2002/22/EK irányelv, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv és a fogyasztóvédelmi jogszabályok alkalmazásáért felelős nemzeti hatóságok közötti együttműködésről szóló 2006/2004/EK rendelet módosításáról. HL L 337, 18.12.2009, p. 11-36
[3] Nagy Beatrix Havaska: E-Privacy, azaz az elektronikus hírközlési adatvédelmi irányelv, Jegyző és Közigazgatás, 2019/6.
[4] Schwartz, John: Giving Web a Memory Cost Its Users Privacy. New York Times, 2001. 09. 4. www.nytimes.com/2001/09/04/business/giving-web-a-memory-cost-its-users-privacy.html (2020. 03. 28).
[5] Jeremy Norman: Louis Montulli II Invents the HTTP Cookie. Jeremy Norman's History of Information, é. n. www.historyofinformation.com/detail.php?id=2102 (2020. 03. 29).
[6] Cookiepedia by One Trust: Types of Cookies. www.cookiepedia.co.uk/types-of-cookies (2020. 04. 10)
[7] ICC UK Cookie Guide, International Chamber of Commerce, 2012. www.huntingact.org/wp-content/uploads/icc-uk-cookie-guide.pdf, (2020. 04. 12).
[8] A 29. cikk szerinti adatvédelmi munkacsoport 2012/4. számú véleménye a sütikhez való hozzájárulás alóli mentességről
[9] Zuiderveen Borgesius, Frederik J.: Singling out people without knowing their names - Behavioural targeting, pseudonymous data, and the new Data Protection Regulation. Computer Law & Security Review, 2016. (https://doi.org/10.1016/j.clsr.2015.12.013)
[10] Európai Parlament és a Tanács 2002/58/EK irányelve az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről, 5. cikk (3) bekezdés.
[11] A 29. cikk szerinti adatvédelmi munkacsoport 2012/4. számú véleménye a sütikhez való hozzájárulás alóli mentességről.
[12] Largest Database of Pre-Categorized Cookies. www.cookiepedia.co.uk (2020. 04. 12).
[13] 2003. évi C. törvény az elektronikus hírközlésről.
[14] Loi Informatique et Libertés, article 32-II de la loi du 6 janvier 1978 modifiée par l'ordonnance du 24 août 2011.
[15] Legea nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
[16] 2009/136/EK irányelv (17) preambulumbekezdés.
[17] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) 4. cikk (1) bekezdés.
[18] A 29. cikk alapján létrehozott adatvédelmi munkacsoport 4/2007 véleménye a személyes adat fogalmáról.
[19] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (32) preambulumbekezdés.
[20] A 29. cikk szerinti munkacsoport iránymutatása az (EU) 2016/679 rendelet szerinti hozzájárulásról.
[21] A 29. cikk szerinti adatvédelmi munkacsoport 15/2011. számú véleménye a hozzájárulás fogalmáról.
[22] Steinberg, Mario: Cookie Banner - Done Properly! 7 Things You Should Pay Attention to. wp unboxed, 12. 08. 2019. https://raidboxes.io/en/blog/it-law/cookie-banner-tipps/, (2020. 12. 15)
[23] Az Európai Adatvédelmi Testület 5/2019. számú véleménye az elektronikus hírközlési adatvédelmi irányelv és az általános adatvédelmi rendelet közötti kölcsönhatásról, különösen az adatvédelmi hatóságok illetékessége, feladatai és hatásköre tekintetében.
[24] A (173) preambulumbekezdés azt is kimondja, hogy "Az e rendelet és a 2002/58/EK irányelv közötti kapcsolat egyértelművé tétele érdekében ez utóbbi irányelvet ennek megfelelően módosítani kell. E rendelet elfogadását követően a 2002/58/EK irányelvet elsősorban az e rendelettel való összhang biztosítása érdekében felül kell vizsgálni."
[25] A 29. cikk szerinti munkacsoport 06/2014. számú véleménye az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról.
[26] NAIH/2018/3567/2/V. Magánszemély által üzemeltetett honlap adatvédelmi kérdései. Budapest, 2018. július.
[27] Guidance on the use of cookies and similar technologies. Information Commissioner's Office, 2019. www.ico.org.uk/media/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies-1-0.pdf, (2020. 04. 15).
[28] Cookie Briefing: Updated CNIL Guidelines and What They Mean for You. Blogbejegyzés, august 2. 2019. https://www.onetrust.com/blog/cnil-guidance-and-what-it-means-for-you/ (2020. 04. 16).
[29] Kagan, Odia: About those cookies - German DPA's weigh in. Linked in, August 9, 2019. www.linkedin.com/pulse/those-cookies-german-dpas-weigh-odia (2020. 02. 25).
[30] Többek között Voisin, Gabriel-Boardman, Ruth-Assion, Simon-CIPP/E-Clark Nevola, Clara-Sampedro, Lupe & Vidal, Ester: ICO, CNIL, German and Spanish: DPA revised cookies guidelines: Convergence and divergence. International Association of Privacy Professsionals, é. n. https://iapp.org/media/pdf/resource_center/CNIL_ICO_chart.pdf (2020.02.25).
[31] Az Európai Unió Bírósága C-673/17. számú, Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband eV v. Planet49 GmbH ügyben hozott, 2019. október 1-i ítélete (ECLI:EU:C:2019:801).
[32] Planet49 CJEU Judgment brings some 'Cookie Consent' Certainty to Planet Online Tracking. pdpEcho, oktober 3. 2019. www.pdpecho.com/2019/10/03/planet49-cjeu-judgment-brings-some-cookie-consent-certainty-to-planet-online-tracking/ (2020. 04. 15).
[33] The Belgian DPA has imposed a fine of €15000 on a website specialized in legal news. European Data Protection Board, 2019. www.edpb.europa.eu/news/national-news/2019/belgian-dpa-has-imposed-fine-eu15000-website-specialized-legal-news_en (2020. 04. 25).
[34] Council of the European Union 2020, Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications).
[35] Statement of the EDPB on the revision of the ePrivacy Regulation and its impact on the protection of individuals with regard to the privacy and confidentiality of their communications. European Data, Protection Board, www.edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_en.pdf, (2020. 04. 25).
Lábjegyzetek:
[1] A szerző PhD-hallgató, ELTE Állam- és Jogtudományi Doktori Iskola, Budapest, e-mail: anita.a.boros@gmail.com.
Visszaugrás