Jelen cikkünkben összefoglaljuk, hogy egy weboldal/webshop tulajdonosnak milyen teendői vannak a cookie-k használatával kapcsolatban.  A feladatok ismertetésénél elsősorban a NAIH a webáruházakra vonatkozó adatvédelmi követelményekről szóló tájékoztatását, illetve a NAIH korábbi állásfoglalásaira alapozunk.

Feltérképezés, szkennelés

A weboldal  üzemeltetőknek üzemeltetőinek fel kell térképezniük (szkennelés), milyen sütiket is alkalmaznak, hogy melyek esetében szükséges a felhasználó hozzájárulása, és mely sütiket alkalmazhatják a felhasználó hozzájárulása nélkül. Amennyiben a webáruház nincs pontosan tisztában valamely süti alkalmazásával együtt járó adatgyűjtéssel, akkor nem alkalmazhatja az adott sütit a honlapján.

cookie szabályzat

Tájékoztatás – Cookie szabályzat

A sütik alkalmazásáról előzetesen tájékoztatni kell felhasználókat.

A webáruház üzemeltetőjének az általa alkalmazott sütikkel kapcsolatban a tájékoztatóban:

– meg kell jelölni a süti nevét,

– minden egyes süti esetében külön-külön ki kell fejteni, hogy milyen adatokhoz is férnek hozzá, illetve meg kell jelölni azt is, hogy mi a süti élettartama,

– a honlap üzemeltetőjének rövid, közérthető tájékoztatást kell nyújtania a süti funkciójáról, hogy az adott süti miért szükséges a webáruház számára vagy milyen funkciót nyújt a felhasználó részére.

A sütikre vonatkozó tájékoztatóban a Hatóság azt javasolja, hogy a webáruházak tüntessék fel azt a linket, amelyen keresztül a felhasználók megismerhetik, hogy a leggyakrabban használt böngészők esetében (Mozilla Firefox, Google Chrome, Internet Explorer) hogyan találják meg a sütik kezelésére vonatkozó menüpontot, funkciót.

cookie szabályzat

A tájékoztatás időszerűsége

– A felhasználó hozzájárulását nem igénylő sütik esetében a honlap első látogatása során kell tájékoztatást nyújtani. Nem szükséges, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő, ha a honlap üzemeltetői röviden összefoglalják a tájékoztatás lényegét, és egy linken keresztül utalnak a teljes körű tájékoztató elérhetőségére.

A Hatóság szerint elegendő, ha egy felhasználó esetében egy alkalommal jelenik meg a tájékoztatás, és amíg a sütik alkalmazásának körülményei nem változnak, a honlapon nem jelenik meg újabb tájékoztatás az adott felhasználó számára.

A webáruházak üzemeltetőinek gondoskodniuk kell továbbá arról is, hogy tájékoztatás később is könnyen elérhető legyen a weboldalon a felhasználók számára. A Hatóság kiemeli, hogy habár ezen sütik alkalmazásához nem szükséges a felhasználók hozzájárulása, azonban a webáruházaknak gondoskodniuk kell arról, hogy a tájékoztatás kikapcsolásához valamilyen aktív cselekvést kell kifejteniük. Például egy popup ablak vagy egy layer kikapcsolása, illetve más módszerek is szóba jöhetnek.

gdpr tanácsadás

– A hozzájárulást igénylő sütik esetében a tájékoztatás kapcsolódhat a honlap első látogatásához is abban az esetben, ha a sütik alkalmazásával együtt járó adatkezelés már az oldal felkeresésével megkezdődik. Amennyiben a süti alkalmazására a felhasználó által kifejezetten kért funkció igénybevételéhez kapcsolódik, akkor a tájékoztatás is megjelenhet e funkció igénybevételéhez kapcsolódóan. Ebben az esetben sem szükséges az, hogy a sütikre vonatkozó tájékoztató teljes szövege megjelenjen a honlapon, elegendő, ha a webáruház üzemeltetője röviden összefoglalja a tájékoztatás lényegét, és egy linken keresztül utal a teljes körű tájékoztató elérhetőségére. Azonban ekkor a webáruházaknak kiemelt figyelmet kell fordítaniuk arra, hogy olyan információkat közöljenek a felhasználókkal, amelynek alapján a felhasználók megalapozottan tudnak döntést hozni arról, hogy a hozzájárulnak-e a sütin keresztül az adatkezeléshez.

A hozzájárulás megszerzése és visszavonása

A Hatóság mindenekelőtt kiemeli, hogy a felhasználók hozzájárulásán alapúló sütik nem települhetnek addig, amíg a webáruház üzemeltetője nem szerezte meg a hozzájárulást. Ez természetesen a felhasználók oldaláról nézve magában foglalja azt is, hogy a felhasználók addig nem férhetnek hozzá a honlaphoz vagy valamely tartalmához, funkciójához, amíg nem nyilatkoztak a hozzájárulásukon alapuló sütik elfogadásáról vagy tiltásáról. A hozzájárulás esetében biztosítani az önkéntességet. Az önkéntességet többek között kizárja a hozzájárulások olyan összekapcsolása, amely több, lényegében különböző adatkezeléshez csak együtt teszi lehetővé a hozzájárulást (pl. nem lehet egyszerre az alapvető session cookie-koz és a statisztikai cookie-khoz is hozzájárulást kérni). A hozzájárulást a webáruház üzemeltetőjének tehát sütinként külön-külön kell beszereznie. Nem fogadható el az a megoldás, ha a webáruház üzemeltetője valamennyi, a felhasználó hozzájárulását igénylő sütihez egyszerre kér egyetlen hozzájárulást.

A Hatóság ezzel hangsúlyozza, hogy a webáruházaknak kiemelt figyelmet kell fordítaniuk arra, hogy olyan információkat közöljenek a felhasználókkal, amelynek alapján a felhasználók megalapozottan tudnak döntést hozni arról, hogy hozzájárulnak-e a sütin keresztül az adatkezeléshez.

Fontos, hogy a hozzájárulást ugyanolyan egyszerű módon kell tudnia visszavonnia az érintettnek, mint ahogyan megtette, tehát lehetővé kell tenni, hogy legyen a cookie-khoz elutasítás gomb, lásd Vueling-ügy!

süti szabályzat

Megfelelő jogalap

A honlap működéséhez, bejelentkezéshez stb. szükséges sütik Amennyiben a személyes adatok kezelése (például sütik elhelyezése, esetleges szerver oldali IP cím naplózás) kizárólag a honlap üzemeltetése céljából, a honlap működőképessége, alapvető funkcióinak biztosítása, és a számítógépes rendszer biztonsága érdekében történik, akkor az ilyen sütik kezelésének jogalapja a GDPR 6. cikk (1) (f) pontja szerinti jogos érdek lehet, de nem kizárt a GDPR 6. cikk (1) a) pontja szerinti hozzájárulásos jogalap sem, feltéve, hogy a süti használata nélkül is használható a honlap.

Miért fontos ez?

Mert nagy a bírság lehetősége. Az egyik leghíresebb cookie-témát érintő ügy a Vueling ügy, melynek lényege, hogy a spanyol adatvédelmi hatóság 30 000 eurós bírságot szabott ki a Vueling társaságra a weboldalán alkalmazott sütik miatt. A hatóság szerint elvárt volt, hogy legyen lehetőség arra, hogy a felhasználók elutasítsák annak lehetőségét, hogy a gépükre sütit telepítsen az adatkezelő. A spanyol hatóság szerint megoldást jelenthet a „süti panel” alkalmazása, amelyen keresztül az érintettek rendelkezhetnek arról, hogy mely sütihez kívánnak hozzájárulni.

Összefoglalás

A fentieket összefoglalva tehát – az az e-Privacy Rendelet elfogadásáig – a webshop, weboldal üzemeltetőknek kategorizálni kell az coookie-kat, ezeknek megfelelő jogalapot választani, megfelelő tájékoztatást adni (cookie szabályzat), illetve külön-kölön lehetvé tenni az egyes cookie-khoz a hozzájárulást megadását.

A fenti követelményeknek megfelel a VirtualJog legújabb szolgáltatása a Cookie panel csomagja, melynek segítségével fel lehet térképezni, hogy a weboldal pontosan mely cookie-kat használja, azokat automatikusan kategorizálja, majd ez alapján automatikusan létrehozza az egyedi cookie szabályzatot és cookie panelt, a hozzá tartozó widget-tel.

Feleljen meg Ön is a cookie-kra vonatkozó szabályoknak!

Előfizetek a cookie panel csomagra

forrás: https://naih.hu/files/NAIH_2018_3567_V_20180713.pdf

https://www.naih.hu/files/2017-02-17-webaruhaz-tajekoztato-NAIH-2017-1060-V.pdf