Cookie kezelés a honlapon – csak előzetes hozzájárulással

Cookie kezelése a honlapon – már nem elegendő a letiltás joga

Az európai adatvédelmi biztosok ún. 29-es munkacsoportja publikálta álláspontját arról, hogy a viselkedés alapú reklámok elősegítésére használt cookie-k igénybe vétele során nem lesz már elegendő a cookie-val kapcsolatos tájékoztatás és a böngészőkben lévő letiltás lehetősége, hanem a cookie használatához is a felhasználó előzetes hozzájárulására lesz szükség.  

A cookie (süti), mint személyes adat

Az internethasználat során az egyes meglátogatott weboldalak rögzítik a felhasználó IP címét, esetleg cookie-t (a webszerver által küldött, változó tartalmú információ csomag, mely a felhasználó számítógépén tárolásra kerül, és lehetőséget biztosít egyes adatainak lekérdezésére, a felhasználó internethasználatának nyomon követésére) telepítenek számítógépére. A cookie-k adatokat tartalmazhatnak a felhasználó operációs rendszeréről, böngészőjéről, sőt dinamikus, változó IP cím alkalmazása esetén is az alkalmazott egyedi azonosító segítségével böngészése során követhető az érintett. A fentiek alapján az internetes cookie – összhangban a munkacsoport 2008. április 4-én elfogadott, a keresőmotorokkal kapcsolatos adatvédelmi kérdésekről szóló, 1/2008 számú véleményével – személyes adatnak tekintendő, mivel a felhasználó pontosabb azonosítására ad lehetőséget, mint az IP cím.

Opt-out

Az eddigi szabályozás szerint a cookie-k kezeléséről elegendő volt az adatkezelési tájékoztatókban informálni a honlapot felkereső személyeket.

A portálok felhasználói pedig eldönthették, a böngésző vagy a szolgáltatás beállításainak lehetőségével élve korlátozzák illetve megtiltják-e a cookie-k kezelését, törlik-e a cookie-kat, vagy sem.

Tekintettel arra, hogy a felhasználók döntő része nincs tisztában sem a cookie-k kezelésével és felhasználási lehetőségeivel, sem pedig a letiltás módjával kapcsolatosan, a cookie-k kezelésére vonatkozó szabályok jelentősen szigorodnak.

Opt-in

A módosított 2002/58/EK irányelv 5. cikkének (3) bekezdése előírja, hogy a felhasználó számítógépében történő adattárolás, és az ott tárolt adatokhoz való hozzáférés (mint amilyen a cookie-t kezelő technológia) csak akkor lesz megengedett, ha a felhasználó teljes körű tájékoztatás alapján ehhez egyértelmű, előzetes hozzájárulását adta.

A munkacsoport véleménye alapján a reklám szolgáltatóknak nem kellene minden egyes alkalommal beszerezni az érintett hozzájárulását, azonban az eredeti hozzájárulást időben korlátoznia szükséges, lehetőséget kell biztosítania a bármikori egyszerű visszavonásra, valamint szükséges egy ikon, szimbólum létrehozása, mely minden olyan honlapon jól láthatóan elhelyezésre kerül, ahol cookie-k telepítése, és így a felhasználók nyomon követése történik. Ez az ikon nemcsak a cookie-k telepítésére és a nyomon követésre figyelmeztetne, hanem visszajelzést is adna az érintettnek beleegyezése érvényességéről.

Az adatkezelőknek biztosítaniuk kell az érintettek hozzáférési, helyesbítési, törlési jogainak érvényesítését, melyhez már rendelkezésre állnak azok a cookie azonosítószámán alapuló technikai megoldások, melyek segítségével lehetővé válik azok személyenkénti módosítása, törlése.

A szolgáltatóknak biztosítaniuk kell, hogy az összegyűjtött adatok az adatkezelés céljának megvalósulásához szükséges idő után automatikusan törlésre kerüljenek.

A megfelelő tájékoztatás előfeltétele, hogy a viselkedés alapú reklámmal kapcsolatos információk nem a honlap általános feltételek vagy adatvédelemmel foglalkozó részében kerülnek elhelyezésre. A munkacsoport véleménye szerint e tájékoztatást mindenki számára könnyen hozzáférhetően, a honlap jól látható területén kell elhelyezni. A reklám hálózati szolgáltatóknak és a laptulajdonosoknak biztosítani kell az érintettek tájékoztatását a cookie-k telepítéséért és az adatok gyűjtéséért felelős kilétéről, valamint arról, hogy milyen információk kerülnek rögzítésre, és hogy az adatok gyűjtésének célja egy felhasználói profil létrehozása. A tájékoztatásnak ki kell térnie arra a tényre, hogy a profilokat célzott reklámüzenetek továbbítására fogják használni, és arra, hogy a cookie alkalmas a felhasználó több weboldalon keresztüli követésére.

További részletek

A cookie-k kezelésével kapcsolatos bővebb írásunkat IDE kattintva érheti el.

Fontosnak tartom hangsúlyozni, hogy sem a hírközlési irányelv, sem pedig a 29-es munkacsoport véleménye nem kötelező az adatkezelők részére, de az e dokumentumok alapján hamarosan az Országgyűlés elé kerülő törvénymódosításban leírt rendelkezéseket köteles lesz minden szolgáltató, hirdető alkalmazni.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Név:*
E-mail:*

Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.

Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.

11 hozzászólás »

 
  • Tisztelt Olvasóim!

    A nemzetközi szakmai szervezetek máris tiltakoznak a 29-es munkacsoport fenti állásfoglalása miatt.
    A cookie-k kezelésének előzetes hozzájáruláshoz kötése jelentősen sérti a hirdetők érdekeit, és indokolatlan.
    Az én álláspontom az, hogy igenis fontos, hogy a hirdető, a szolgáltó a cookie-k kezelésérl tájékoztatást kapjon, és ki tudja kapcsolni, de hogy a felhasználóknak a honlap látogatásakor ehhez előzetesen bele kellene egyeznie, túlzó elvárás.

    A következő címen elolvasható a szakmai szervezetek álláspontja:
    http://www.adassoc.org.uk/aa/index.cfm?LinkServID=6F126A3E-F828-81B5-8D4685F1F34AFF68&showMeta=0

  • Janika szerint:

    Mi a helyzet a Google Analytics és hasonló megoldásokkal? Ott a cookiet nem is a honlap tulajdonosa, hanem a Google helyezi el a klienseknél. Erre ikont még ha akarna sem tudna a honlap készítője tenni.

  • Kedves Janika!

    Hogy mi lesz az ikon javaslatból, azt még nem tudom.
    De a honlap tulajdonosa tudja, hogy Analytics kódot épített a honlapjába, és a Google leírások tartalmazzák, hogy e kód cookie-t kezel.
    A honlap üzemeltetőjének tájékoztatnia kell a felhasználóit, hogy itt a Google is kezel adatot és cookie-t. A cookie-t kikapcsoló lehetőségekről is tájékoztatást tud adni, és mi még bele szoktuk tenni az adatkezelési tájékoztatókba ezeken felül a Google Analytics elérhetőségét, ahol elérheti a külső szolgáltató adatvédelmi tájékoztatóját.

  • Janika szerint:

    Kedves Adavédelmi Szakértő!

    Köszönöm a válaszát. A jelenlegi gyakorlat szerint valóban elegendő a harmadik féltől származó cookie és adatkezelést beírni az adatkezelési tájékoztatóba.
    A kérdésen igazából arra irányult hogy a hivatkozott ajánlás esetleges jövőbeni bevezetésekor melyik fél dolga beszerezni az opt-in hozzájárulást? A honalpot üzemeltetőnek vagy a Google-nek? Ha mindkét fél kezel cookiet, akkor két hozzájárulásra is szükésg lehet? És ebből következik az a kérdés, hogyha a felhasználó esetleg ehhez nem járul hozzá, akkor az Analitics scriptet sem lehet betölteni az oldalba?

    Ill. még az nem derült ki számomra egyértelműen, hogy már a cookie kibocsátáshoz kell az opt-in engedély, vagy csak annak reklámcélú (profilépítés) felhasználáshoz?

    köszönettel:
    Janika

  • Kedves Janika!

    Várjuk meg a magyar törvényhozás gyümölcsét. Nem tudjuk, miként fogja értelmezni a jogalkotó az irányelvet, a 29-es munkacsoport vagy a reklámszakma érvrendszere fog-e érvényesülni a törvényben.

    Szerintem utána térjünk vissza az egyébként nagyon fontos kérdéseire!
    A blogon mindenképp gyorsan be fogok számolni minden releváns információról.

  • E.G. szerint:

    Tisztelt Szakértő!

    Nekem az a problémám, hogy egyszer egy magyar jogi oldalon egy ingatlannal kapcsolatos kérdést tettem fel. Most látom, hogy a teljes nevem és e-mail címem évek óta ország-világ számára ott van az oldalon. Mivel nagyon egyedi és különleges nevem van, meglehetősen problémás a dolog. Az oldalon már nem üzemel, de ott van a neten. Az üzemeltető nincs sehol feltüntetve. Hosszas keresés után meg lehet ugyan találni egy info@ nevű e-mail címet, de az arra írt mail visszajön. Mit tehetek? Hol és hogyan található meg egy weblap üzemeltetője ebben az országban? Sajnálom, de a valós nevemet már soha többé nem fogom közzétenni.

  • Tisztelt E.G!

    Ha megírja nekem privát levélben a kérdéses honlap címét, segítek felderíteni a szolgáltatót, és levetetni a tartalmat.

  • gg szerint:

    meg szeretnem kerdezni harolam fel tesznek egy kepet az en hozajarulasom nelkul hol kell erdeklodjek hogy le tisak a blogot vagyis le vegyek a fotot

  • Tisztelt gg!

    A honlapot üzemeltető szolgáltatónál. Ha ez nem jár eredménnyel, a tárhelyszolgáltatójánál.

  • OMagus szerint:

    Tisztelt Szakértő Úr!

    Ez a cikk pont azzal foglalkozik, hogy ELŐZETESEN engedélyt kell kérni a cookie-k használatára… DE az Ön weboldala sem kér engedélyt, és bőszen pakolászik sütiket a gépemre.

    Egyre több weboldalon látom ezt a szöveget, hogy az oldal sütit használ: “elfogadom”, de már bőven előtte letette a sütit a program a gépre.

    Mi ezzel most a helyzet?
    Kell ilyen infó az oldalakra, vagy sem?
    Előzetes kell vagy utólagos is jó?
    Mi történik, ha nem írok infót és nem kérek engedélyt?

    Köszönöm!

  • Tisztelt OMagus!

    Amennyiben technikai jellegű cookie-kat kezel a weboldal (pl. jelszó megjegyzés, webáruház kosár végigvitel, nyelv kiválasztása stb.), akkor elegendő az adatkezelési tájékoztatóban írni róla.
    Ha viselkedésalapú reklámozásra, felhasználói profilalkotásra is, akkor csak az érintett kifejezett, előzetes hozzájárulásával lehetséges cookie-t kezelni.

    A legrosszabb megoldás, amikor az önkéntes választás lehetőségét kínálja fel az oldal, de ennek ellenére mindenki megkapja a cookie-t.

    Tudtommal ezen a blog oldalon csak a külső pl. Google Analytics szolgáltatók kezelnek olyan cookie-t, amelyhez előzetes hozzájárulásra lenne szükség. Mindenki várja a Google-től a megoldást, miként tudja a felhasználók hozzájárulását beszerezni…

    Nem ismerek olyan NAIH-ügyet, ahol ez lett volna az eljárás tárgya.

 

Vélemény, hozzászólás?

 
Read previous post:
Adatfeldolgozás, adatfeldolgozói szerződés

Adatkezelés vagy adatfeldolgozás Mivel személyes adatot kezelni csak az érintett hozzájárulásával lehet - a törvényben elrendelt adatkezeléseket kivéve -, és...

Close