Új EU-s GDPR-iránymutatás: A cookie-fal szabálytalan!
A GDPR alkalmazása óta gyakran találkozhatunk azzal a jelenséggel, hogy egy weboldalt megnyitva a tartalmat nem lehet azonnal elolvasni, mert ehhez először egy felugró ablakban el kell fogadni a sütik és egyéb követőeszközök használatát. Ha a látogató ezt nem teszi meg, nem tudja megtekinteni a weboldal tartalmát. Az Európai Adatvédelmi Testület május 4-én megjelent iránymutatása segít tisztázni a sütik és követőkódok alkalmazása körül kialakult félreértéseket. Cikkünkben bemutatjuk, hogy miről is szól az új állásfoglalás, és megmutatjuk, hogyan felelhet meg a sütikezelés az adatvédelmi rendelet elvárásainak.
Miért volt szükség erre az iránymutatásra?
A frissen megjelent 2020/5. számú iránymutatás kifejezetten a hozzájárulás jogalapon végzett adatkezeléssel kapcsolatban ad direkt és félreérthetetlen állásfoglalást. A GDPR szövege eddig is tartalmazott a sütik és követőkódok alkalmazásával kapcsolatos elvárásokat, azonban ahogy a University College London, az MIT és az Aarhusi Egyetem kutatói által publikált, 10 000 weboldalt vizsgáló tanulmány is visszaigazolta, az adatkezelők jelentős többsége nem felelt meg a rendeletnek.
Ilyen például, amikor a hozzájárulást már akkor is automatikusan megadottnak tekintik, ha a látogató lejjebb görgeti az oldalt, vagy amikor a címben is említett süti-falakat alkalmazzák.
Mi a baj a cookie-falakkal?
A testület állásfoglalása egyértelművé teszi, hogy nem tekinthető valós, szabadon adott hozzájárulásnak a weboldal továbbgörgetése és a süti-falak használata sem.
Azzal, hogy a látogatók csak úgy férhetnek hozzá a honlapok tartalmához, hogy először elfogadják a sütiket és a követőkódok alkalmazását, az adatkezelő nem ad tényleges választási lehetőséget, hiszen ha nem fogadja el a fentieket, nem fér hozzá a tartalomhoz sem, de arról sem kap információt, hogy az adatait pontosan mire és hogyan használná fel az adatkezelő. Az így "kikényszerített" hozzájárulás nem felel meg a szabadon megadott hozzájárulás követelményének, így egyértelműen sérti a GDPR elvárásait.
Sőt, sok esetben találkozhatunk olyan megoldásokkal is, amelyek már előre bepipálják azokat a marketing- és egyéb, nem az oldal működéséhez szükséges sütik és kódok használatára engedélyt adó rubrikát is, amelyek segítségével a látogató hozzájárulást adhatna. Ez továbbra is egyértelműen tilos, és kifejezetten megsérti az adatvédelmi rendeletet. Az új állásfoglalás többek között ezeket a kérdéseket tisztázza félreérthetetlen módon.
Változott valami?
Fontos leszögezni, hogy az Európai Adatvédelmi Testület most megjelent iránymutatása nem fogalmaz meg új elvárásokat, pusztán tisztázza, hogy milyen megoldásokat lehet jogszerűen használni, és miket tilos.
A továbbgörgetés hozzájárulásnak tekintése és a sütifalak alkalmazása eddig sem volt szabályos, hiszen a rendelet szövege egyértelműen fogalmaz a szabadon megadott hozzájárulásról, ahogy arra tavaly márciusban a holland adatvédelmi hatóság már egyszer külön felhívta az adatkezelők figyelmét.
A Crosssec Solutions csapata már 2016 áprilisában, a GDPR végleges szövegének elfogadásakor is ennek megfelelően értelmezte a rendelet vonatkozó szövegét, és ennek tudatában kezdtük meg a saját felkészülésünket.
A Crosssec Solutions segít: Díjmentesen letölthető segédlet a sütik GDPR-megfelelő alkalmazásához
Ahogy korábban már egy 2018-as cikkünkben is írtuk, a GDPR alkalmazása során az egyik leggyakrabban felmerülő terület nem más, mint a süti-hozzájárulás és a sütik kezelése.
Éppen ezért készítettük el a GDPR és a cookie megoldások című ingyenes segédanyagunkat, amelyben a Crosssec frontend fejlesztője részletesen bemutatja azt a – Crosssec Solutions által is alkalmazott – módszert, amelynek segítségével ingyenesen, és a rendeletnek maximálisan megfelelő módon biztosítható a weboldalak jogszerű működése sütikezelési és követőkód-kezelési szempontból.
Az útmutató továbbra is díjmentesen letölthető a weboldalunkról:
