1. Mi az a cookie?
A sütik leegyszerűsítve olyan rövid szöveges (vagy számsorból álló) fájl, amit egy-egy webhely meglátogatásakor a webszerver küld a felhasználó számítógépére, okostelefonjára, pontosabban a böngészőprogramnak, és amely az adott gépen (böngészőben) tárolódik a cookie típusától függő ideig.
A cookiek funkciója nagyon változatos lehet:
a) egyes cookiek az adott webhely működéséhez szükségesek (pl. az oldalon végrehajtott műveletek megjegyzéséhez, egymástól való elkülönítéséhez szükségesek), és ezek nélkül a webhely funkcionalitása sérülne, nem lenne megfelelően használható
b) bizonyos cookiek a webhelyen futó folyamatokkal, teljesítménnyel összefüggő mérési funkciót töltenek be (pl látogatók száma, a látogatás időtartama, az adott oldalon belüli hibaüzenetek száma,)
c) más sütik pedig a targetált (célzott) hirdetések elhelyezését könnyítik meg, például azáltal, hogy rögzítik az előző/következő megnyitott oldalt, az oldalon belüli kattintásokat (azaz a megtekintéseket).
Önmagában egyetlen cookie sem alkalmas arra, hogy egy-egy személyt (vagyis a felhasználót) azonosítsa, ugyanis alapvetően nem személyhez kötődő, hanem az adott böngészőprogramhoz kapcsolt információkat gyűjtenek. Látható azonban, hogy megfelelő mennyiségű információ összegyűjtésével és elemzésével már igen könnyen személyre konkretizált eredményre lehet jutni (éppen erről szól a célzott hirdetési üzletág, amely valljuk meg őszintén néha „félelmetes pontossággal tud szembe jönni”). Mindezek miatt az európai adatvédelmi szabályozás elvárja, hogy azoknak a weboldalaknak az üzemeltető, akik cookiekat alkalmaznak megfelelő tájékoztatással is éljenek a weboldalaikat felkeresők irányába, adott esetben pedig szerezzék be az érintett hozzájárulását a cookiek alkalmazásához.
2. Hogyan kell egy cookie tájékoztatónak kinéznie?
Természetesen ez mindig az adott weboldalon alkalmazott cookiek jellegétől függ, ugyanakkor bizonyos alapvető elvárások megjelölhetőek, amelyeket rendszerint teljesíteni kell a tájékoztatás keretében.
2.1. Először is a weboldal (első) megnyitásakor közölni kell, hogy az adott weboldal használ-e cookiekat. Ezt célszerű az oldal betöltődésekor egy kiemelt szövegsávban, vagy egy felugró ablakban megjeleníteni, annak érdekében, hogy könnyen elérhető legyen, ne a felhasználónak kelljen keresgélnie (pl. nem célszerű a hosszú adatvédelmi politikában, nyilatkozatban elhelyezni).
2.2. Közölni kell, hogy milyen típusú cookiek alkalmazására kerül sor, és azoknak mi a funkciója, azaz mit csinálnak és miért.
2.3. Amennyiben csak olyan cookiek alkalmazására kerül sor, amelyek feltétlenül szükségesek az oldal működéséhez, akkor további teendőnk nincs.
2.4. Ha a weboldal olyan cookiekat is „futtat”, amelyek nem feltétlenül szükségesek, ezek az un. kényelmi, vagy hasznos cookiek (pl. mérési, vagy targetált hirdetésekhez szükséges adatgyűjtési/elemzési funkciókat töltenek be, mint a Google Analytics/Adwords cookiek) ez esetben további kötelezettség, hogy megfelelő formában be kell szerezi a weboldalt meglátogató hozzájárulását ez utóbbi típusú cookiek alkalmazásához, és ennek megtörténtéig nem is aktiválódhatnak ezek. Fontos, hogy a weboldal első felkeresésekor kell a tájékoztatásnak megtörténnie, és a hozzájárulás elmentése esetén az adott felhasználó (vagyis ugyanazon böngésző program) következő látogatásnál nem szükséges ismételten ezt megtenni.
3. Mikor nem kell hozzájárulás a cookiek alkalmazásához?
Nem szükséges a hozzájárulás beszerzése, abban az estben, ha:
a) az adott cookie kizárólag az elektronikus hírközlő hálózaton keresztüli kommunikáció (információ átvitel) céljait szolgálja, vagy
b) a cookie feltétlenül szükséges az információs társadalommal összefüggő szolgáltatás nyújtásához, (pl. egy olyan szolgáltatás internet keresztül történő biztosításához, amelyet az előfizető vagy felhasználó kért) Ebben az esetben követelmény, hogy az adott cookie létfontosságú legyen a szolgáltatás nyújtásához (azaz a felhasználói kérés teljesítéséhez), amennyiben a cookie-k hasznos, vagy kényelmes ugyan, de nem feltétlenül szükséges, abban az esetben továbbra is hozzájárulás szükséges.
A weboldal látogatójának hozzájárulása tehát csak abban az esetben nem szükséges, ha kizárólag olyan cookiekat alkalmaz a weboldal, amelyek a megfelelő működéshez feltétlenül szükségesek, amelyek nélkül nem is funkcionálna a weboldal (ez tulajdonképpen logikus is, hiszen ezek jellemzően az oldal betöltődéséhez is már szükségesek, azaz működnek, tehát az előzetes, vagy egyidejű hozzájárulás fogalmilag sem lenne értelmezhető).
4. Hogyan kell a hozzájárulást beszerezni?
A hozzájárulás szabályos beszerzéséhez – ahogyan az a fentiekből is látszik – egy előzetesen adott megfelelő tájékoztatás szükséges. Vagyis olyan helyzetbe kell hozni a weboldal látogatóját, hogy mielőtt engedélyezi az adott cookiek működését, átláthassa azok alkalmazásának lényeges körülményeit.
További feltétel, hogy szabad akaratából kell adnia a hozzájárulást az érintettnek, vagyis a hozzájárulás megtagadása (tehát pl. az oldal működéséhez nem feltétlenül szükséges cookiek letiltása) nem eredményezheti az érintett hátrányosabb helyzetbe kerülését azokhoz képest, akik hozzájárulásukat adták. Tehát a hozzájárulás megtagadásának nem lehet például az a következménye, hogy az érintett nem tudja megnyitni az adott oldalt. Ezzel összefüggésben ki kell emelni, hogy természetesen nem minősül hátrányosabb helyzetnek, ha a hozzájárulás megtagadása – azaz bizonyos cookiek működésének letiltása miatt – az oldal nem ugyanolyan funkcionalitással fog működni, erre célszerű is a figyelmet felhívni előzetesen.
A hozzájárulásnak nem feltétlenül kell kifejezettnek lennie, tehát nem követelmény, hogy az ilyen tartalmú, írásos nyilatkozat rögzítse, elegendő, ha egy párbeszédpanel „leokézása”, vagy egy üres „check box” kipipálása formájában adja hozzájárulását az érintett.
Fontos követelmény, hogy a hozzájárulásnak egy pozitív cselekvő ténykedésnek kell lennie. Önmagában a „nem tevés”, vagyis a figyelmeztetés ellenére az oldal hozzájárulás megadása nélküli további használata nem minősül hozzájárulásnak. Mindez azt jelenti, hogy ebben az esetben az oldalon addig nem léphetnek működésbe „nem nélkülözhetetlen” cookiek, amíg a hozzájárulás „cselekvő” megadására nem kerül sor (azaz ekkor a kényelmi/hasznos cookiek nélkül használja az érintett az oldalt).
5. Mi helyzet az applikációkkal?
Elvben a helyzet hasonló a különféle applikációk esetén is: amennyiben egy adott applikáció személyes adatok kezelésével jár pl. a cookiekhoz hasonló programozási megoldásokat alkalmaz, vagy hozzáférést kér a helyadatokhoz, a névjegyekhez (ismerős ugye?), akkor személyes adat kezelése valósul meg. Ilyen esetekben még a telepítést, de minimálisan a tényleges működés megkezdését megelőzően szükséges az érintett felhasználó tájékoztatása minimálisan arról hogy az applikáció működése:
- milyen személyes adatokat,
- milyen célból (mi fog történni az adatokkal),
- mennyi ideig érint, továbbá
- ezek az adatok továbbításra kerülnek e más részére (ha igen kinek, milyen célból)
- valamint hogyan tudja a folyamatot letiltani az érintett, és ennek milyen következménye lehet.
Természetesen egyes applikációk esetén azok jellegéből kifolyóan a működés is ellehetetlenülhet a szükséges személyes adatok kezelése nélkül. Ilyen esetekben az erről szóló előzetese tájékoztatás mellett, a helyes eljárás, ha a letöltés és telepítés lehetséges, akkor is, ha egyébként nem fog megfelelően működni az alkalmazás (ellenkező esetben a hozzájárulás kvázi a „feltétele” az applikációhoz való hozzáférésnek, ami miatt nem beszélhetnénk a szabályos hozzájárulás feltételének tekintett önkéntességről).