Sütihasználat: az adatkezelő kérhet-e díjazást annak érdekében, hogy ne telepítsen sütiket az olvasó eszközére?

Megosztás Tetszik

Elhasalt a Der Standard nevű lap az osztrák adatvédelmi hatóság előtt. Az Európai Unióban a személyes adatok kezelését, védelmét, illetve az érintettek jogait az (EU) 2016/679 Rendelet (általános adatvédelmi rendelet, GDPR) szabályozza. A GDPR szigorú előírásokat tartalmaz arra nézve, hogy az érintettek, jelen esetben a Der Standard olvasóinak személyes adatai miképpen kezelhetők. Az alább ismertetett ügy azt vizsgálja, hogy az adatkezelő kérhet-e díjazást az olvasótól annak érdekében, hogy ne telepítsen nyomkövető, profilalkotó stb. sütiket az olvasó eszközére. Az ügy érdekességeit mutatjuk be.

A süti ugyanolyan adatkezelés, mint egy hírlevélküldés

Az anonim látogatóazonosítók (sütik) olyan fájlok vagy információk, amelyek – a honlap meglátogatásakor – az érintett felhasználó számítógépén, internetes készülékén, okostelefonján, tabletjén kerülnek tárolásra. A sütik funkciója a honlap működésének, illetve egyes funkcióinak segítése, illetve a honlapot látogató személlyel kapcsolatos statisztikai és egyéb információk gyűjtése (lásd például: IP-cím, a honlap elérésének időpontja, a honlapon történő mozgások, előzményhonlap megnevezése) annak érdekében, hogy a használhatóságot az adatkezelő javítsa.

A sütik alapcéljai alapján megkülönböztetünk

• szükséges,
• analitikai (statisztikai), illetve
• marketing

sütiket.

Míg a szükséges sütik nélkül a honlap nem tud működni, mivel információbiztonsági célokat vagy olyan működési lépéseket biztosítanak, mint az előző oldalra visszalépés, a többi süti alkalmazása nem elengedhetetlen. A statisztikai sütik visszajelzést nyújtanak a weboldal tulajdonosának, hogy a látogatók milyen tartalmat kedvelnek a weboldalon. Az adatok nem kapcsolódnak konkrét személyhez. A marketing sütik alkalmazásának célja pedig a személyre szabott hirdetések megjelenítése.

Fontos tehát, hogy a nem szükséges sütik használatához kategóriánként külön hozzájárulás szükséges. Az sem mellékes körülmény, hogy minden egyes alkalmazott sütit részletesen be kell mutatni az érintettek számára (kinek a sütije, mely adatokat kezel, meddig, miért, kinek továbbít adatokat stb.).

Sokan érvelnek azzal, hogy a süti lényegében nem valósít meg adatkezelést, mert nem konkrét személyhez kapcsolódik az adatkezelés, hanem például az általa használt eszközhöz. Emellett az érintett neve sem feltétlenül ismert, hiszen a süti csupán egyedi azonosítót telepít a felhasználó gépére, így azt az adatkezelő nem feltétlenül tudja konkrét személyhez kötni – a GDPR alapján azonban ez nincsen így.

Személyes adatnak minősül ugyanis minden, azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható pedig az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

„Pay or Okay” – a sütimentes böngészésért havi 9,90 eurót kért az újság

A Der Standard – sok más szolgáltatóhoz hasonlóan – úgy döntött, hogy amennyiben a felhasználó a sütimentes opciót választja, azaz amikor a személyes adatait más célra nem bocsátja az újság rendelkezésére, akkor havi 9,90 euró összeget kell fizetnie. Ellenkező esetben a honlap egyszerűen nem olvasható.

Az újság szerint az olvasónak szabad választása van. Amennyiben nem szeretne fizetni, hozzá kell járulnia az adatkezeléshez, azaz személyes adatai felhasználásához. Ebben az esetben pedig a tartalom továbbra is ingyen fogyasztható.

Egy aktivista (Max Schrems) azonban úgy vélte, hogy ez a szabályozás nem áll összhangban a GDPR szabályaival, mivel a hozzájárulás nem önkéntes –a hozzájárulás önkéntességét ugyanakkor mind a GDPR, mind pedig az Európai Adatvédelmi Testület iránymutatásai megkövetelik.

Erre tekintettel az aktivista az osztrák adatvédelmi hatósághoz fordult.

OLVASSA TOVÁBB CIKKÜNKET, amelyben a következőről lesz még szó:

• Mit állapított meg az osztrák adatvédelmi hatóság: jogsértően működött-e a fizetési kötelezettség?