A francia adatvédelmi hatóság („CNIL”) az elmúlt években igen aktív gyakorlatot folytatott a sütik, különöskép a nyomkövetést lehetővé tevő sütik és más technológiák alkalmazásának felügyeletével és szabályozásával kapcsolatban (például a 2020. decemberi Google és Amazon döntéseiben közzétettek szerint). A CNIL 2020. október 1. napjával publikálta a sütikezeléssel kapcsolatos iránymutatását („Iránymutatás”), amely azért lehet izgalmas, mert lényegese befolyást gyakorolhat a kapcsolódó európai gyakorlatra is. Az Iránymutatásban meghatározott szabályok alkalmazásával kapcsolatos türelmi időszak 2021. március 31. napjával járt le a Franciaországba irányuló szolgáltatást nyújtó szolgáltatók számára, és a CNIL ennek megfelelően 2021. április 2. napjával közzétette a követelmények mellett az érintett szolgáltatók számára nyújtott praktikus tanácsait és a további, tervezett hatósági tevékenységekkel kapcsolatos Összefoglalóját („Összefoglaló”).
Süti tájékoztatási követelmények
Az Összefoglaló egyértelműen rögzíti a tájékoztatási követelményeket, külön kiemelve a süti tájékoztatás első, összefoglaló, valamint a második részletes szintjét. Ezt a tájékoztatást még a sütikkel kapcsolatos felhasználói döntés előtt kell megjeleníteni.
Hozzájárulás a sütik kezeléséhez
A sütik kezeléséhez kapcsolódó hozzájárulásokra vonatkozó követelményeket is egyértelműen határozta meg a CNIL és lényegében az Európai Adatvédelmi Testület 2020. május 4-én elfogadott 5/2020-as iránymutatásában foglaltakat ülteti át: az egyes sütik végfelhasználói eszközön történő tárolásához való hozzájárulást egyértelmű és aktív, tevőleges magatartással lehet kifejezni és a felhasználó „hallgatását” (például, ha nem a süti bannerben kattint a felhasználó vagy „elkattint”, bezárja a banner-t stb.), vagy magának az adott weboldalnak a tovább-használatát, tovább görgetését a sütik végfelhasználói eszközre történő telepítésének visszautasításaként kell értékelni, és ennek megfelelően a szolgáltató kizárólag az adott weboldal működéséhez nélkülözhetetlen sütiket kezelheti ezt követően a végfelhasználói eszközön. Itt érdemes megjegyezni, hogy a CNIL kockázatalapú megközelítése szerint a látogatottság mérésére szolgáló sütik meghatározott feltételek mellett a működéshez nélkülözhetetlen sütiknek minősülhetnek, ezzel is puhítva a hozzájárulás kéréssel kapcsolatos követelményeket. Ezek a feltételek, hogy (i) a süti kizárólag a szolgáltató számára és csak a látogatottság mérésére szolgáljon; (ii) anonim statisztikai adatként használja fel a szolgáltató; (iii) ne tegye lehetővé a felhasználó nyomon követését a különböző alkalmazások és weboldalak látogatása során; (iv) az így gyűjtött adatokat más célból ne kezeljék és ne továbbítsák harmadik felek részére. Természetesen azonban igazolni kell tudnia a szolgáltató adatkezelőnek a saját, jogszabályoknak való megfelelőségét, ha ilyen megoldásokat alkalmaz.
Szintén a hozzájárulások kezelésével összefüggő követelmény a süti banner-en az „Összes süti elfogadása” mellett az „Összes süti elutasítása” lehetőség (praktikusan gomb vagy jelölő négyzet) megjelenítése, amit a hozzájárulások visszavonhatóságára vonatkozó követelményekkel indokol a CNIL. Megjegyzi az Összefoglaló, hogy önmagában a süti banner-en az „Összes süti elfogadása” lehetőség mellett a sütikkel kapcsolatos konfigurációs beállítások felkínálása önmagában nem teljesíti az alkalmazandó adatvédelmi [és ePrivacy] követelményeket.
A cookie wall-ok alkalmazhatósága
A „cookie wall” („sütifal”) olyan technikai megoldás, amely a felhasználót bizonyos weboldal vagy alkalmazás funkciókhoz, szolgáltatásokhoz, tartalmakhoz való hozzáférés érdekében a kapcsolódó sütik, vagy egyéb technológiák alkalmazásának elfogadására kényszerítik. Azaz a felhasználó, ha megtagadja a sütikkel kapcsolatos hozzájárulását, akkor az adott weboldal vagy alkalmazás technikai eszközökkel korlátozza vagy zárja ki a hozzáférését. Jellemző példa, hogy az adott szolgáltató a „cookie wall” alkalmazásának útján kényszeríti ki a felhasználó hozzájárulását a nyomkövető sütik és technológiák alkalmazásához, illetve részletes felhasználói profil készítéséhez.
A már hivatkozott 5/2020-as iránymutatás szerint a hozzájárulás egyik kötelező elemének, az önkéntességnek feltétele, hogy valamely szolgáltatás vagy funkció elérése nem tehető a végfelhasználói eszközön történő adattárolás (pl. süti tárolása) vagy ott tárolt adathoz való hozzáférés (pl. végfelhasználói eszközön tárolt süti értékének kiolvasása), és így pl. profilozáshoz vagy marketing célú sütik kezeléséhez való hozzájárulás megadásának feltételévé. Ily módon az Európai Adatvédelmi Testület hivatkozott iránymutatása értelmezhető a „cookie wall”-ok alkalmazásának generális tiltásaként is. Ezzel szemben, a CNIL a korábbi álláspontjától eltérően, a francia közigazgatási bírósági fórum (az Államtanács, Conseil d’État) 2020. június 19. napján kelt döntésére figyelemmel a CNIL újabb, 2020. október 1. napján közzétett iránymutatása már nem generálisan tiltja a „cookie wall”-ok alkalmazhatóságát, hanem esetről esetre írja elő annak vizsgálatát, hogy az adott hozzájárulás önkéntesnek tekinthető, az adott [technikai] megoldás „cookie wall”-nak minősül-e, és így jogszerűen alkalmazható vagy sem. A CNIL javaslata szerint a jogszerűen alkalmazott „cookie wall” alkalmazása esetén egyértelmű tájékoztatást kell adni a felhasználó részére a választásának következményeivel kapcsolatban.
A CNIL ezzel kapcsolatban hivatkozza az Összefoglalójában az Európai adatvédelmi testület 2021. március 9. napján kelt, az ePrivacy Rendelettel kapcsolatos 3/2021-es nyilatkozatát. Eszerint a nyilatkozat szerint az ePrivacy Rendeletnek érvényesítenie kell a sütik és a hasonló technológiák alkalmazásához kapcsolódó hozzájárulási követelményeket. Ezen belül, a „cookie wall”-okhoz kapcsolódóan a ténylegesen önkéntesnek minősülő hozzájárulási követelményeknek gátat kell szabniuk azon megoldásoknak, amelyek lényegében semmilyen valós választási lehetőséget nem hagynak a felhasználóknak („take it or leave it” megoldások). Erre tekintettel az Európai adatvédelmi testület kifejezett rendelkezések beiktatását tartja szükségesnek a [„cookie wall”-ok alkalmazásából fakadó] felhasználók profilozáshoz való döntési jogukra vonatkozóan. A nyilatkozat és a CNIL Összefoglaló szerint az egyes szolgáltatóknak ilyen esetekben a „cookie wall”-ok alkalmazása helyett valós választási lehetőséget és tényleges, fair alternatívákat lenne szükséges felajánlani, amely minden felhasználóra egységesen vonatkozna iparágtól vagy az üzleti modelljüktől függetlenül.
A CNIL várható felügyeleti gyakorlata
Az Összefoglaló amellett, hogy kiemeli, milyen praktikus megoldásokkal támogatja a CNIL a szolgáltatókat jelzi, hogy az ezer leglátogatottabb franciaországi weboldal sütikezeléssel kapcsolatos gyakorlatát rendszeresen ellenőrzi és a jövőben is fenn fogja ezt tartani.
© dr. Bereczki Tamás
