A Francia Adatvédelmi Hatóság (CNIL) tavaly decemberben rekordösszegű, összesen 135 millió euró, vagyis mintegy 48 000 millió forint értékű bírsággal sújtotta a Google-t és az Amazont, mert kellő tájékoztatás és a használók hozzájárulása nélkül helyeztek el olyan sütiket az érintettek eszközein, amelyekkel figyelhették online tevékenységüket. (A nyitó illusztráció forrása: http://barlokovanikola.blogspot.com)
Hazai szolgáltatók és honlap-üzemeltetők is könnyen járhatnak így, ezért érdemes áttekinteni az ügy tanulságait.
A bírság kiszabásának alapjául egy olyan uniós irányelven alapuló jogszabályi rendelkezés szolgált, amelyik megtiltja a sütik elhelyezését azt megelőzően, hogy az érintett előzetes és világos tájékoztatást követően hozzájárult volna a sütikezeléshez. A francia hatóság megállapította, hogy a honlap megnyitásakor a Google azonnal 7, az Amazon 40 sütit helyezett el az érintettek engedélye nélkül.
A sütik (ismert angol nevükön: cookie-k) olyan apró fájlok, amelyek akkor jelennek meg a számítógépeken (illetve mobileszközökön), amikor a használó megnyit egy weboldalt, letölti a tartalmát, a sütikkel együtt. A sütik számos célból kezelhetők: bizonyos fajtáik az adott weboldal informatikai biztonságát szolgálják, a legtöbb azonban a használok webes tevékenységének megfigyelésére szolgál. Ezekre az adatokra a digitális adatkezelőknek egyrészt a szolgáltatásaik fejlesztése végett van szükségük, másrészt azonban a sütik általi megfigyelés révén lehetőség nyílik egy használói profil létrehozatalára, amelyt később marketingcélokat szolgál.
A CNIL a Google és az Amazon esetében azt is kifogásolta, hogy a vállalkozások honlapján a sütik kezelésével kapcsolatos felugró ablak nem tájékoztatja az érintetteket a sütik kezelésével kapcsolatos lényeges körülményekről, például a sütik által gyűjtött adatok kezelésének céljáról, valamint arról, hogy az érintettek milyen módon tudják megtiltani a sütik kezelését.
Mivel a hazai jog a franciához hasonlóan vette át a bírság alapjául szolgáló uniós irányelvet, hazánkban sincs jogszabályi akadálya annak, hogy a hasonló eseteket a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) más adatvédelmi hatóságtól függetlenül vizsgálhassa és szankcionálhassa akár hazai, akár Magyarország területére irányuló elektronikus szolgáltatást végző külföldi vállalatok kapcsán.
Az elmarasztaló határozat elkerülésének leghatékonyabb módjai lehetnek:
A sütik kezeléséhez való hozzájárulás lehetősége mellett az elutasítás opciót is könnyen hozzáférhetővé kell tenni a használók számára.
A sütik kezelésének céljáról és egyéb körülményekről előzetesen tájékoztatni kell a használót.
A sütik elhelyezése kizárólag azt követően jogszerű, hogy az érintett hozzájárult az adatkezeléshez. A NAIH egy tavalyi állásfoglalásában megerősítette, hogy a honlap üzemeltetőjének gondoskodnia kell arról, hogy az érintettek egyesével eldönthessék, hozzájárulnak-e vagy sem az adott típusú süti működéséhez. Továbbá: a honlapoknak akkor is korlátozás nélkül elérhetőnek kell lennie a használók számára, ha semmilyen süti telepítéséhez sem járulnak hozzá.
Fontos azonban felhívni a figyelmet arra, hogy bizonyos (ún. „nélkülözhetetlen”) sütik esetében nincs szükség az érintett hozzájárulására. Ilyennek tekinthető az a süti, amely az érintett sütikezeléssel kapcsolatos elutasító nyilatkozatát tárolja.