Sütikkel kapcsolatos helytelen adatkezelési gyakorlat miatt bírságolt a NAIH

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) egy újabb döntésében lényeges megállapításokat tett a cookie-kkal (vagy sütikkel) kapcsolatos adatkezelésekre vonatkozóan, amelyeket jelen bejegyzésünkben mutatunk be.

Az ügyben a NAIH két, nagy látogatottságú weboldal sütikkel kapcsolatos adatkezelését vizsgálta. Megállapította, hogy az adatkezelő statisztikai, hirdetés-megjelenítési, valamint automatizált módon személyes preferenciákhoz igazításhoz profilalkotási célra is használja a sütiket. Ezek olyan egyedi azonosítókat rendelnek egy adott személyhez, amelyek legalább álnevesített adatként mindenképpen személyes adatnak számítanak.

Az adatkezelés jogalapjával összefüggésben megállapította, hogy az adatkezelési tájékoztatójában az adatkezelő kizárólag a hozzájárulást jelölte meg minden, böngészéssel kapcsolatos adatkezelése jogalapjaként, függetlenül attól, hogy egyes alkalmazott technikai sütik nélkül a weboldalak ténylegesen nem tudnak működni, így ezek tekintetében a hozzájárulás nem lehet megfelelő jogalap, mert megadásának nincsen valós alternatívája.

A vizsgálatnak az is tárgyát képezte, hogy az adatkezelő a „partnerek” fül alatt harmadik személy címzetteket sorolt fel az adatok vonatkozásában, ugyanakkor ezen címzettekkel nem volt írásbeli adatfeldolgozói megállapodása. Az adatkezelő arra hivatkozott, hogy weboldalon található hirdetési felülettel -mely felületet egy tőle független, másik cég üzemeltet – kapcsolatos sütiket csak az adott felületet üzemeltető cég tudja megjelölni, ezekről az adatkezelő listát nem tud küldeni. A hirdetési felületet üzemeltető cég az IAB (Interactive Advertising Bureau) Europe keretrendszerét használja, annak 754 partnerét részletező listáját linkelte be a NAIH részére. Ez a lista tulajdonképpen azokat a harmadik fél hirdetőket tartalmazza, amelyekkel a hirdetési felületet üzemeltető cégek partneri kapcsolatot választanak. A listán szereplő partnerek azok, akik marketing célú sütiket helyeznek el a végfelhasználó böngészőjében, hogy hirdetéseket jelenítsenek meg a potenciális ügyfeleknek.

Az adatkezelő a fentiek szerint csak az érintett hozzájárulását rögzítette, mint jogalapot – így, mint adatkezelési művelethez, az érintett adatainak harmadik személyek részére történő továbbításhoz is szükséges a hozzájárulása. Ahhoz azonban, hogy a hozzájárulást az érintett informáltan tudja megadni, megfelelő tájékoztatással kell ellátni. A NAIH szerint viszont az elvárás, hogy az érintett ezen 754 partner adatkezelési tájékoztatóját elolvassa és ezeknél a harmadik személy partnereknél egyenként vonja vissza hozzájárulását, nem átlátható és tisztességes feltétel.

A weboldalakon megjelenő adatkezelési tájékoztatóval kapcsolatban a NAIH rögzítette, hogy a rendkívül hosszú tájékoztató szöveg a képernyő indokolatlanul kicsi területén, egyszerre néhány soronként volt olvasható, ezen túl pedig a szöveg se nem tömör, se nem világos, így sérül az érthetőség és átláthatóság követelménye.

A weboldalra látogatáskor felugró ablak jelenik meg, ebben lehetett a beállításokat (látatlanul) elfogadni, illetve, ha a látogató az „adatkezelési tájékoztató” gombra kattint, újabb felugró ablak jelent meg.  A felugró ablakok sorozata közül az egyikben megjelent egy „jogos érdek” fül is, ugyanakkor az adatkezelő ennek kapcsán arra hivatkozott, hogy a „jogos érdek” nem a GDPR szerinti „adatkezelő jogos érdeke” jogalapra utal, így tehát a weboldalak nem kezelnek jogos érdek jogalapon sütiket. A „jogos érdek” fül alatt érdemben ugyanazok az adatkezelési célok szerepeltek, mint amelyek a hozzájárulás jogalap kapcsán is megjelölésre kerültek. A NAIH megállapította, hogy a „jogos érdek” kifejezés egyértelműen megfeleltethető a GDPR vonatkozó fogalmának, így ezt vagy tévesen használta az adatkezelő, vagy helyesen, de megfelelő tájékoztatás és érdekmérlegelés nélkül. Megállapította: mindkét esetben tisztességtelen és átláthatatlan érdemben azonos célok feltüntetése a hozzájárulás és a jogos érdek felületen is, mivel azt a benyomást kelti az érintettekben, hogy a hozzájárulás meg nem adása mellett is lehetségesek ugyanazon adatkezelések, amennyiben azok ellen nem tiltakozik.

A weboldalak működéséhez szükséges személyes adatok és sütik tételes megjelölése, a célok meghatározása a NAIH szerint teljesen hiányzott a tájékoztatásból, és ezek jogalapja (jogos érdek) sem került megjelölésre. Ennek hiányában a tájékoztatás szükségképpen hiányos és félrevezető volt.

Hiányzott továbbá a hozzájárulás visszavonásának egyszerű lehetősége. Erre a weboldalak keretrendszere nem biztosított technikai lehetőséget sem az adatkezelő által közvetlenül kezelt adatok tekintetében (mivel az elutasítás lehetősége csak több felugró fül bezárása után, vagy egyáltalán nem jelent meg), sem a harmadik feleknek továbbított személyes adatok kapcsán.

A fentiekből több fontos tanulság is levonható az adatkezelők oldaláról és ajánlott lehet a sütikkel kapcsolatban használt adatkezelési tájékoztatók felülvizsgálata is, különös tekintettel az egyes sütik esetében megjelölt jogalapokra, valamint a harmadik személy címzettekre.

Lebocz Noémi ügyvédjelölt (noemi.lebocz@pwc.com)

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez

Megosztás