4/2012. számú állásfoglalás a sütik alkalmazásával kapcsolatos hozzájárulás alóli kivételekről (cookie consent exemption)

A 2009/136/EK irányelv által módosított 2002/58/EK irányelv 5. cikk (3) bekezdése az előfizető, illetve felhasználó végberendezésében történő adattárolást, illetve az ott tárolt adatokhoz való hozzáférést (cookie) – az adatalany megfelelő tájékoztatása mellett – előzetes hozzájáruláshoz kötötte. Az irányelv értelmében ez a rendelkezés nem akadályozza az olyan műszaki tárolást, illetve műszaki hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.

A 29. számú adatvédelmi munkacsoport állásfoglalást bocsájtott ki a fenti követelmények értelmezésével kapcsolatosan, tehát annak egyértelművé tétele érdekében, hogy mely sütik esetében nincsen szükség a felhasználótól előzetes hozzájárulás beszerzésére. A munkacsoport szerint ez két süti típust érint, így

1. az olyan sütik alkalmazását, melyek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás;

2. olyan sütiket, amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van;

Az első számú süti típus vonatkozásában a munkacsoport rögzíti, hogy az ott rögzített követelményeket szűken kell értelmezni és csak olyan sütikre vonatkozik a felmentés, amelyek a közlés-továbbításhoz nélkülözhetetlenek. Ennél fogva a közléstovábbítást csupán „elősegítő” sütikre ez a felmentés nem vonatkozik.

A második számú süti típus olyan adattárolásra vonatkozik, melyet az előfizető / felhasználó kifejezett magatartásával igényelt, és amely nélkül a szolgáltatás sem működne. Ezzel összefüggésben irányelv (66) preambulumbekezdése mondja ki, hogy a kivételszabályt arra az esetre kell korlátozni, amikor adott, az előfizető vagy felhasználó által kifejezetten kért szolgáltatás jogszerű igénybevételéhez feltétlenül szükséges a technikai tárolás vagy hozzáférés.

A munkacsoport elismerte, hogy egy információs társadalommal kapcsolatos szolgáltatás – a felhasználó tevékenységétől függően – számos működési módot egyesíthet (pl. online újság, ami szabadon hozzáférhető, míg a kommentelés csak regisztrált felhasználók részére engedélyezett). A munkacsoport szerint tehát egy specifikus működési módot, illetve funkcionalitást kell érteni a „szolgáltatás nyújtása” alatt és értelemszerűen nem a szolgáltatások összességét.

A sütik osztályozása alapján a munkacsoport szerint léteznek ún. munkamenet sütik (session cookie-k), melyek a böngésző bezárásával törlődnek, illetve léteznek állandó cookie-k, melyek lejárati idejükkel törlődnek a felhasználó merevlemezéről. Harmadrészről a munkacsoport megkülönbözteti a weboldal saját cookie-jait és ezzel szembe állítja az ún. külső cookie-kat. Ez utóbbiak olyan személyek (adatkezelők) sütijei, akik nem a felhasználó által látogatott weboldal üzemeltetői. A munkacsoport szerint az állandó külső cookie-k feltehetően nem teljesítik a kivételszabályt.

A munkacsoport az állásfoglalásában szintén a kivétel szabály alkalmazása szempontjából elemzi bizonyos süti típusok alkalmazását, – így „user input cookie”-t (melyek a felhasználó adatbevitelét rögzítik), a hitelesítő cookie-t, melyek a felhasználót bejelentkezés követően azonosítják, biztonsági cookie-t, a multimédia lejátszó cookie-t, terhelés-elosztó sütit, felhasználói felület sütik, etc.

A munkacsoport szerint olyan sütik esetében, amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van, a szükségesség követelményét mindig a felhasználó szempontjából kell figyelembe venni. Amennyiben egy cookie-t több cél érdekében is használnak (multi-purpose cookie), valamennyi ilyen célnak külön is teljesítenie szükséges a kivételszabályt annak érdekében, hogy ne legyen szükséges hozzájárulást beszerezni azok alkalmazásához. Az oldal saját munkamenetéhez kapcsolódó cookie-jai inkább teljesítik a kivételszabályt, mint a külső állandó cookie-k. A kivétel alkalmazása szempontjából a cookie célja a döntő és nem annak technikai paraméterei.

A munkacsoport szerint amennyiben a weboldal üzemeltető számára kétséges a kivételszabály alkalmazása, úgy a jogbiztonság érdekében javasolt annak megvizsgálása, hogy a felhasználó hozzájárulásának beszerzésére van-e lehetőség.

A munkacsoport állásfoglalása elérhető itt: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf

És hogyan érvényesülnek itthon a fenti szabályok?

A 2009/136/EK irányelv hazai átültetésével kapcsolatosan megállapítható, hogy a jogalkotó komoly hibát követett el, ugyanis az irányelv 5. cikk (3) bekezdése és az ott rögzített előzetes hozzájárulás követelménye kizárólag az elektronikus hírközlésről szóló törvénybe került átültetésre (vö Eht. 155. § (4)), ennél fogva ez a követelmény csak elektronikus hírközlés területén alkalmazandó. Ezzel szemben információs társadalommal kapcsolatos szolgáltatásokra (ami fogalmilag sem rendelhető az elektronikus hírközlési szolgáltatás meghatározása alá) továbbra is a 2001. évi CVIII. törvény (Ekertv.) 13/A § adatvédelmi szabályai irányadóak, amelyek az új irányelvvel ellentétben jóval tágabb körben teszik lehetővé a hozzájárulás alóli kivételek alkalmazását. A jogharmonizáció megteremtése érdekében tehát az Ekertv. nyilvánvalóan módosításra szorul.