Jelentős bírság sütik (cookie) használatáért: sok dolguk lesz a honlapok üzemeltetőinek

Megosztás Tetszik

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nemrégiben nyilvánosságra hozott döntésében 10 millió forintos adatvédelmi bírságot szabott ki a TV2 Média Csoport Zrt.-re, mivel a szolgáltató által üzemeltetett weboldalakon elhelyezett sütik (cookie) használata esetén sem az adatkezelés jogalapja, sem az ügyfelek tájékoztatása nem volt megfelelő. Az adatvédelmi hatóság korábban nem kérte számon az adatkezelőkön a döntésében megfogalmazott hiányosságokat, miközben a megbírságolt társaság gyakorlata nem egyedi, a honlapok üzemeltetőinek azonnal ellenőrizniük kell a saját gyakorlatukat.

A hatóság a NAIH-2905/2021. számú előzmény vizsgálati eljárás (előzményügy) során közérdekű bejelentés alapján azt ellenőrizte, hogy az ügyfél által üzemeltetett weboldalak sütikkel kapcsolatos adatkezelése megfelel-e a 2016/679. számú általános adatvédelmi rendelet (GDPR) rendelkezéseinek. Az ügyfél válaszai az előzményügyben nem igazolták hitelt érdemlően a weboldalak sütikkel összefüggő adatkezelési gyakorlatának jogi megfelelőségét, vagyis, hogy az szükséges-e, megvan-e a jogalapja,  és az érintettek megfelelő tájékoztatást kapnak róla. Így a hatóság 2022. február 21-én hivatalból adatvédelmi hatósági eljárást indított, hogy megvizsgálja az ügyfél által üzemeltetett weboldalak adatkezelését.

A honlapon számos szükséges, statisztikai, szociális és marketing kategóriába sorolt süti futott, melyek esetén az adatkezelés jogalapja az érintett hozzájárulása volt. A kapcsolódó honlapok többféle keretrendszert működtettek a hozzájárulásokhoz, mivel eltérő szolgáltató működtette azokat. Ezen szolgáltatókkal nem kötöttek írásbeli adatfeldolgozási szerződést. Bizonyos, nagy számú sütikről a vizsgálat során csak a hirdetési partner tudott beszámolni, mivel azokat ő helyezte el az adott honlapon. Az adatkezelő a Facebook, Youtube és egyéb, harmadik országbeli szolgáltatók számos marketingszolgáltatását is igénybe vette.

NAIH: sem a jogalap, sem a tájékoztatás nem volt megfelelő

A hatóság a NAIH-3195-11/2022. számú döntésében számos megállapítást tett, ezek közül a legfontosabbakat részletezzük az alábbiakban.

– Először is leszögezte, hogy az adatkezelőnek célonként, külön-külön kell hozzájárulást kérnie úgy, hogy biztosítani kell a hozzájárulás visszavonásának lehetőségét.

– A honlap használatához szükséges sütire vonatkozóan más jogalapot kell megjelölni és dokumentálni, hiszen azok alkalmazása nem az érintett honlapot látogató szabad belátásától függ. Ha ez a jogalap a jogos érdek, akkor azt alátámasztó tesztnek is rendelkezésre kell állnia. Ebben az adatkezelés szükségességét és arányosságát is be kell mutatni.

– A sütik adatkezelést valósítanak meg. Nem mellőzhető ezek bemutatása arra hivatkozva, hogy azok nagy száma miatt ez a gyakorlatban nehezen valósítható meg. A beépített adatvédelem elve alapján az adatkezelést úgy kell megtervezni, hogy a GDPR-ból fakadó kötelezettségek teljesíthetők legyenek.

– Az adatkezelési tájékoztatásnak áttekinthetőnek kell lennie. Nem delegálhatja a tájékoztatási kötelezettséget az adatkezelő a partnereire, és nem alkalmazhat egyidejűleg többféle (így nehezen áttekinthető és értelmezhető) hozzájárulási sablont. Önmagában az, hogy a hozzájárulások rendszerére az adatkezelő egy, a szektorban elfogadott módszert alkalmaz nem jelenti azt, hogy az a GDPR tükrében is megfelelő.

– A bevont partnerekkel adatfeldolgozási szerződést kell kötni, ebben az adatmozgásokat, a felek jogait és kötelezettségeit – a GDPR 28. cikkében nevesített módon – konkrétan kell szabályozni.

– Ha az adatkezelő harmadik országbeli szolgáltatókat is bevon, az azzal együtt járó kockázatokról az érintetteket megfelelően tájékoztatni kell.

Tapasztalatok szerint kevés adatkezelő felel meg a NAIH döntésében megfogalmazott feltételeknek. Fontos ezért, hogy az egyes honlapok üzemeltetői szakemberrel ellenőriztessék a honlapok megfelelőségét, és megtegyék a szükséges változtatásokat, pótolják a hiányzó dokumentációt.