Újra a sütikre vonatkozó kivételekről – Hibás az ePrivacy irányelv hazai átültetése?

A süti (cookie) kezelés jogszerűségének feltételeiről immár európai uniós irányelv rendelkezik, melynek hazai átültetésére 2011-ben sor került, mindazonáltal továbbra is sok a bizonytalanság a cookie szabály alkalmazásával kapcsolatosan, illetőleg az eltelt négy év alatt hazai adatvédelmi hatósági gyakorlat sem alakult ki e kérdésben.

A 2009/136/EK irányelv által módosított elektronikus hírközlési adatvédelmi irányelv (2002/58/EK irányelv, ePrivacy irányelv) 5. cikk (3) bekezdése az előfizető, illetve felhasználó végberendezésében történő adattárolást, illetve az ott tárolt adatokhoz való hozzáférést (cookie) a felhasználó előzetes hozzájárulásához kötötte. A 29. cikk szerinti adatvédelmi munkacsoport a fent hivatkozott irányelvi szakasz értelmezéséről 2012/4. szám alatt véleményt bocsátott ki, melynek követelményeit részletesen elemezte.

Az ePrivacy irányelv hivatkozott rendelkezését itthon az elektronikus hírközlésről szóló 2003. évi C. törvény 155. § (4) bekezdése, 2011-ben ültetette át a magyar jogba. Eszerint „egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni.

Miért is problémás a hazai átültetés?

1. Az ePrivacy irányelv 5. cikk (3) bekezdése kizárólag az elektronikus hírközlési törvénybe került átültetésre.

2. A magyar átültetés teljességgel hallgat arról, hogy milyen esetekben nem szükséges hozzájárulást kérni a sütik alkalmazásához.

Ad 1. – A magyar cookie szabály csak hírközlési területen érvényesülhet, ezzel szemben az európai jogalkotó többek között információs társadalommal kapcsolatos szolgáltatások nyújtóinak (pl. weboldal üzemeltetőknek) címezte az abban foglaltakat, akikre nem vonatkozik a hírközlési törvény. Az elektronikus hírközlési törvény hatályának (vö. 1. §) figyelembe vételével kétségtelen, hogy a törvény rendelkezései főszabály szerint csak az elektronikus hírközlés területén irányadóak, tekintettel arra, hogy az elektronikus hírközlési törvény hatálya kizárólag 1. § (1) bekezdés (e) pontja vonatkozásában terjed ki tartalomszolgáltatásra, illetőleg információs társadalommal kapcsolatos szolgáltatásokra. Mindazonáltal az elektronikus hírközlési szolgáltatások fogalmilag sem rendelhetőek az információs társadalommal kapcsolatos szolgáltatások, illetőleg a tartalomszolgáltatás fogalma alá, melyet a 2002/21/EK irányelv (“Keretirányelv”) 2. cikk c) pontjában foglalt fogalom-meghatározás erősít meg. Eszerint ugyanis “elektronikus hírközlési szolgáltatás” olyan, általában díjazás ellenében nyújtott szolgáltatás, amely teljes egészében vagy nagyrészt elektronikus hírközlő hálózaton történő jelátvitelből áll, beleértve a műsorterjesztő hálózatokon nyújtott távközlési szolgáltatásokat és átviteli szolgáltatásokat, de nem foglalja magában az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások segítségével történő tartalomszolgáltatást, illetve az ilyen tartalom felett szerkesztői ellenőrzést biztosító szolgáltatásokat; nem foglalja magában a 98/34/EK irányelv 1. cikkében meghatározott olyan, információs társadalommal összefüggő szolgáltatásokat, amelyek teljes egészében vagy nagyrészt nem elektronikus hírközlő hálózaton történő jelátvitelből állnak.

A fentiekből következően a magyar cookie szabály csak elektronikus hírközlés területén érvényesülhet. Ennél fogva a cookie szabályt legalább az információs társadalommal kapcsolatos szolgáltatásokat szabályozó 2001. évi CVIII. törvénybe (Elkertv.) is át kellett volna ültetni.

Ad 2. – Az Elkertv.13/A cikkének adatvédelemre vonatkozó rendelkezései valóban meghatározzák, hogy a szolgáltató az információs társadalommal összefüggő szolgáltatás nyújtása során milyen adatokat (személyes adatokat és szolgáltatás igénybe vételével kapcsolatos adatokat), illetőleg milyen célból kezelhet. Mindazonáltal a cookie szabály magyar átültetése teljességgel hallgat a sütikre vonatkozó kivételekről és azok alkalmazásának feltételeiről. Véleményünk szerint a hazai átültetés emiatt hibás, mivel nem áll fenn összhang egyrészről az ePrivacy irányelv 5. cikk (3) bekezdése, másrészről az Elkertv.13/A cikke között:

Az irányelv értelmében nincs szükség hozzájárulásra olyan sütik alkalmazásához, melyek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás. Ezt a szabályt mindazonáltal a magyar jogalkotó nem ültette át sem az hírközlési törvénybe, sem pedig az Elkertv-be. A hírközlési törvénybe foglalt cookie szabály szó szerinti értelmezéséből pedig az következne, hogy az ilyen, közléstovábbító sütik alkalmazásához is hozzájárulás szükséges, ami ezáltal az irányelvvel ellentétes eredményre vezet.

A második cookie kivétel az előfizető vagy felhasználó által kifejezetten kért információs társadalommal összefüggő szolgáltatással kapcsolatos adattárolásra vonatkozik. Sajnálatos módon az Elkertv-ből teljességgel hiányoznak a vonatkozó irányelvi kritériumok, ideértve a szolgáltatás kifejezett igényeltségére vonatkozó feltételt. Másrészről az ePrivacy irányelv általánosan, végberendezésben történő adattárolásra utal, amely akár harmadik személyek részéről (third party cookie) is megvalósulhat, míg az Elkertv. szolgáltatás igénybevételével kapcsolatos adatok szolgáltató által történő kezelését szabályozza, ami ezáltal részben tágabb, részben pedig szűkebb az irányelvben foglaltaknál.

A fentiek azt eredményezik, hogy az elektronikus hírközlési adatvédelmi irányelv módosításával bevezetett süti-kezelési szabályok a hazai gyakorlatban továbbra is ún. opt-out rendszerben érvényesülnek, melyet a hírközlési törvény 155. § (4) bekezdésének indokolása is alátámaszt, ami nyíltan ellentétes a 29. cikk szerinti munkacsoport tárgyban született állásfoglalásával is.

A fentiek alapján tehát kézenfekvő annak a megállapítása, hogy Magyarország nem teljesítette az irányelvi célt, tehát azt, hogy a weboldalak hazai üzemeltetői a szolgáltatás nyújtásához egyébként nem elengedhetetlen sütik alkalmazását hozzájárulási mechanizmus alkalmazásához kössék, melyet csak további törvénymódosítással lehetne elérni.