Menu

Sütik használatával kapcsolatos jogi útmutató

1. Bevezetés

A webhelyeken használt süti és más hasonló technológiák jogszabályi követelményeinek alapja a Személyes Adatok Védelme és az Elektronikus Kommunikáció (EK direktíva) Szabályozása 2003, illetve a 2018. május 25-én érvénybe lépett Európai Általános Adatvédelmi Szabályozás (a „GDPR”) jogi szabályozások.

Az interneten használt személyes adatok védelme rendkívül fontos. A GDPR pedig egy különösen jelentős előrelépés a személyiségi adatvédelmi jogszabályok terén, hiszen ezt eddig csupán az 1998. évi Adatvédelmi Törvény előzte meg, a mai, főleg online, hétköznapinak tekinthető adatgyűjtés megjelentése (vagy legalábbis elterjedése) előtt.

Általánosságban az internetfelhasználókat is egyre többet foglalkoztatja az adatvédelem kérdése, mivel rég elkezdődött az adataik a hozzájárulásuk vagy tudomásuk nélküli árusítása. E helyzet nem csak jogi szempontból fontos, de üzletileg is. A törvényi irányelvek követésével a vállalkozás nem csak – a GDPR-ba foglalt súlyos – büntetésektől óvja meg magát, de a szabályozás betartásával mélyebb bizalmi viszonyt is kialakíthat vásárlóival.

A sütihasználatot és más hasonló technológiákat szabályozó jogszabályok középpontjában a beleegyezés áll. A törvény nem mondja ki, hogy nem használhatók sütik, webes követők, webjelzők vagy ezekhez hasonlók. Amit kimond az az, hogy a legtöbb esetben, e technológiák használata a felhasználók hozzájárulásához kötött. A jelenleg megszokott módszer az, hogy a webhely értesíti a felhasználót a sütik használatáról, és arról, hogy az oldal további használata beleegyezésnek minősül. Ahogy az alább olvasható, ez mostantól nem elegendő. A felhasználóknak megfelelő tájékoztatást kell kapniuk, és valódi lehetőséget kell biztosítani neki arra, hogy egyértelműen jelezzék beleegyezésüket.

1.1. Sütik és hasonló technológiák

Míg a legtöbb útmutató a sütikre helyezi a hangsúlyt (hiszen a legtöbb, ilyen technológiákkal foglalkozó törvényt gyűjtőnéven „sütitörvényekként” tartják számon), fontos kiemelni, hogy a jogszabályok nem csak a sütikre vonatkoznak. Számos technológia, például a webjelzők, átlátszó GIF-fájlok, webhelycímkék és web-poloskák működnek úgy, mint a megosztott helyi objektumok (azaz „flash sütik”). Amennyiben a jelen útmutatóban „sütikről” lesz szó, akkor az alatt a hasonló technológiákat is érteni kell. A technológia rohamos fejlődése miatt a törvényhozás nem korlátozhatja magát egy adott kifejezésre.

1.2. A törvény célja

Röviden: a törvény célja, hogy az internetfelhasználók biztonságát szavatolja. A GDPR nagyobb biztonságot nyújt, mert a benne foglalt „személyes adatok” fogalom jelentéstartománya sokkal kiterjedtebb. Elsőre talán nem nyilvánvaló, hogy a süti vagy a benne található adat, személyes adatnak számít, mégis, ha egy süti a használt eszköz alapján be tud valakit azonosítani, akkor az már felhasznált személyes adatnak számít. Így van ez még akkor is, ha az azonosítás csupán a szóban forgó adat más adatokkal való összevetésével lehetséges. Ökölszabályként az követendő, hogy a biztonságos ösvényt választva, a sütiket és a hozzá hasonló technológiákat egy kalap alá célszerű venni.

Az EU-ban üzemelő webhelyeket (még azokat is, amelyek üzemeltetőinek/tulajdonosainak székhelye nem az EU-ban található), a törvény a következőkre kötelezi:

  • Tájékoztassa a felhasználókat a webhelyek által a számítógépükre és az eszközeikre mentett és tárolt sütik funkciójáról; és
  • Kérje a felhasználók beleegyezését a sütik mentéséhez és tárolásához.

1.3. Miért szükséges ez a törvény?

A szomorú igazság, hogy a sütik és a hasonló technológiák használatát korlátozó törvényi rendeletek egyre szigorúbbá válásával, egyre inkább akadályozzák az üzletet. A részletesebb hozzájárulás megkövetelése valóban megnehezíti egyes tevékenységeket, például a viselkedésalapú reklámozást és az emberek tevékenységének webhelyen való követését.

Jogos kérdés, hogy miért nem elegendő az internetböngészőkbe épített sütiellenőrzők beleegyezése. Hiszen a felhasználók szabadon választhatnak sütiblokkoló böngészőbeállításokat, a technika útvesztőjében jobban tájékozódók pedig ilyen böngészőkiegészítőket. E beállításokkal főként az a probléma, hogy sok felhasználó nem tud róluk. Továbbá, nem minden böngésző egyforma, és a süti, illetve az adatbiztonsági beállítások kifinomultsága jelentősen eltérő, sokakban nem szabályozható elég funkció. Lehet például, hogy egy felhasználó nem akarja, hogy a honlapunkon végzett tevékenységét követni lehessen, de a bejelentkezési adatainak és a bevásárló kosara tartalmának elmentését engedélyezni szeretné. Van böngésző, amelyben be lehet állítani a harmadik féltől származó sütik vagy épp az összes süti blokkolását. Ám ebben az esetben ez sem lenne megfelelően szabályozható, hiszen a követést belső sütik végezhetik.

A benyújtott javaslatokkal igyekeznek e helyzetet orvosolni, és bár úgy tervezték, hogy ezek a GDPR-ral együtt, 2018. május 25-én lépnek érvénybe, a szóban forgó törvény megalkotásakor a javaslat még mindig csak törvénytervezet, és lassan halad végig az Európai Unió törvényalkotás folyamatán. Különösen érdekesek az internetes böngészők felé támasztott, jobb irányíthatóságra vonatkozó elvárások – amely irányíthatósággal elvileg megszűnhet a továbbiakban leírt beleegyezési mechanizmus – mégis, míg a törvény megszületéséig a böngészőgyártóknak elég idejük lesz a jobb irányíthatóság implementálására, addig a honlapok üzemeltetői tarthatják nyilván a felhasználóktól pro-aktív módon megszerzett „elfogadó nyilatkozatokat”.

2. Mit kell tennem?

Az e kérdésre adható választ nagyban befolyásolja, hogy milyen sütiket használunk a webhelyünkön, illetve, hogy ezeket milyen célra, célokra használjuk. A sütik (na meg persze más hasonló technikák) funkcióit, és valódi fontosságát a legjobban egy alapos sütiaudittal (ellenőrzéssel) lehet azonosítani. Ez jó lehetőség lehet arra is, hogy újraértékeljük a sütihasználatunkat, illetve ezek valódi értékét a cégünk szempontjából.

2.1. Ismerjük meg a sütijeinket!

Mielőtt felvázoljuk a sütiaudit lépéseit, fontos, hogy ismertessük a sütik fajtáit.

2.1.1 Feltétlen szükséges sütik

Ebbe a kategóriába olyan sütik tartoznak, amelyek a honlapja működése szempontjából alapvetők. Feltétlen szükséges sütik lehetnek például azok, amelyek olyan funkciókhoz kapcsolódnak, mint a bejelentkezés, a bevásárlókosár tartalmának mentése, vagy a fizetési tranzakció lehetővé tétele.

2.1.2 Elemző sütik

Rendkívül értékes lehet megtudni, hogyan használják a felhasználók a webhelyünket. Az elemző sütik betekintést nyújtanak olyan tényezőkbe, mint a felhasználók honlapon való navigálása és az általuk használt funkciók típusa. Az efféle, elemző sütik gyakran, harmadik féltől származnak. A helyzetet bonyolítja, ha az adott, elemző sütiket mi magunk tesszük ki, és a begyűjtött adatokat egy harmadik fél dolgozza fel, hiszen ez adatbiztonsági szempontból már teljesen más eset.

2.1.3 Funkcionális sütik

Sok honlapon lehet személyes beállításokat használni, ez esetben a funkcionális sütik játszanak kulcs szerepet. Audit szempontból fontos, hogy ezeket ne tévesszük össze a feltétlen szükséges sütikkel. Ha egy honlap egy adott süti nélkül is megfelelően működik, az a süti nem feltétlen szükséges.

2.1.4 Reklámsüti

Lényeges, ki hányszor látogatja meg a webhelyünket, és milyen részeit használja (melyik oldalakat látogatja meg, és melyik linkekre kattint). Az elemző sütihez hasonlóan a reklámsütik segítenek a felhasználók jobb megértésében, és segítenek, hogy honlapunkat, vagy pontosabban a reklámokat úgy alakítsuk, hogy az egyes felhasználók igényeinek jobban megfeleljenek. Ezek a sütik gyakran harmadik féltől származnak.

2.1.5 Belső sütik

Ahogy a neve is sejteti, ezeket a sütiket a saját webhelyünk helyezi el (ellentétben a később taglalt, harmadik felek által elhelyezettekkel). Ha nem is az összes, de a legtöbb feltétlenül szükséges és funkcionális süti, belső süti.

2.1.6 Harmadik féltől származó sütik

Ezek a sütik harmadik felektől származnak, és reklámozó, illetve elemző szolgáltatásokat nyújtanak. Az elemző és reklámozó sütik általában harmadik felektől származnak, hisz ezek olyan tevékenységek, amelyeket rendszerint nem házon belül végzünk.

2.1.7 Maradandó süti

A korábban taglalt összes süti lehet maradandó süti. A maradandó sütik azok, amelyek a felhasználók számítógépén vagy eszközein adott ideig aktívak maradnak, és aktiválódnak, ha a felhasználó a webhelyünkre látogat.

2.1.8 Munkamenetsüti

A korábban taglalt összes süti lehet munkamenetsüti. A munkamenetsütik ideiglenesek. Akkor kerülnek a felhasználó számítógépére vagy eszközre, mikor az illető meglátogatja a webhelyünket, és mikor bezárja a böngészőt, a sütik törlődnek.

2.2. A sütiaudit

Egy sütiaudit segít a webhelyünk által használt sütik azonosításában, a tevékenységük és a típusuk meghatározásában. Segít továbbá megtudnunk, hogy a honlapunk sütijei meddig maradnak a felhasználó számítógépén vagy eszközén, hogy milyen személyes adatokat gyűjtenek, illetve, hogy a sütik ezeket az adatokat a törvényi előírásainak megfelelően használják-e.

2.2.1 Milyen sütiket használok?

Kezdjük a jelenleg használt sütijeink (és persze hasonló technológiáink) kilistázásával! Ha nem tudjuk, milyen sütiket használunk, a webfejlesztőnktől kérhetünk róluk listát. Egyéb esetben, számos - ingyenes és fizetős - eszköz elérhető online.

2.2.2 Mit csinálnak a sütijeim?

Jegyezzük fel a listában szereplő sütijeink funkcióit. Fontos, hogy biztosan tudjuk, hogy egyes sütik mit csinálnak, hiszen ez adja a következő lépés alapját.

2.2.3 Milyen típusú sütiket használok?

A listát újra végig nézve azonosítsuk be a webhelyünkön használt sütik típusait. A korábban említett típusok felsorolása nyújthat ebben segítséget. Határozzuk meg minden egyes sütinél, hogy az belső vagy harmadik féltől származik; hogy maradandó vagy munkamenetsüti; és azt, hogy feltétlen szükséges, illetve, hogy elemző, funkcionális vagy reklámsüti.

2.2.4 Meddig aktívak a maradandó sütijeim?

Amennyiben maradandó sütiket használunk, fontos tudni, meddig aktívak. Adatbiztonsági szempontból károsabbnak tartják a maradandó sütiket, mint a munkamenetsütiket, ezért érdemes mérlegelni, hogy az élettartamuk hossza céljuk szempontjából indokolt-e, és amennyiben ez funkciójukból fakadóan túlzott, érdemes lerövidíteni.

2.2.5 Milyen adatokat gyűjtenek a sütijeim?

Néhány kivételével, viszonylag kevés süti használ személyes adatokat, mégis a GDPR fényében valószínű, hogy minden, sütik által használt adat a „személyes adat” kategóriába fog tartozni. Az olyan nyilvánvalók, mint a név, az e-mail-cím és hasonlók mellett, a GDPR definíciója alapján az IP-címek és más, látszólag anonim azonosítók is annak számítanak. Ahogy korábban jeleztük, még a beazonosításra önmagukban alkalmatlan, név nélküli azonosítók is személyes adatnak számítanak. Ez annak ellenére is így van, hogy ezekkel egyes személyeket csak úgy lehet beazonosítani, hogy más adatokkal kombináljuk őket. Amennyiben a sütijeink személyes adatokat használnak, akkor személyes adatokat dolgozunk fel, így tehát eleget kell tennünk a GDPR-ban foglalt előírásoknak.

2.2.6 Törvényesek a sütijeim?

Fontos a belső sütijeink ellenőrzése, hiszem amellett, hogy megfelelő beleegyezés kell a használatukhoz (lásd később), ha bármilyen személyes adatot használnak, alapvető, hogy eleget tegyenek a GDPR előírásainak. Ezen kívül, ha harmadik féltől származó sütiket használunk, és a felügyeletük (legalább részben) a harmadik fél hatásköre, a felhasználásuk helye akkor is a mi webhelyünk. Ezért is elengedhetetlen, hogy a harmadik fél vagy felek szintén eleget tegyenek a törvényi elvárásoknak.

2.3. Tájékoztatás és beleegyezés

2.3.1 A felhasználók tájékoztatása

A GDPR legfontosabb alapelvei az átláthatóságra fektetik a hangsúlyt. Ha személyes adatokról van szó (és ne feledjük, hogy ez a sütikre is vonatkozik), elengedhetetlen, hogy a személyek tudjanak arról, milyen adataink vannak róluk, és hogy mire használjuk őket. Csak azt követően tudnak a felhasználók megalapozott beleegyezést adni, hogy ezekben a kérdésekben informálva lettek.

Jó a témát a sütik meghatározásával és ténylegesen ellátott funkcióik bemutatásával bevezetni. Tény, hogy sok felhasználó tudhat a sütik létezéséről, azonban a velük kapcsolatos ismereteik igen csekélyek lehetnek. Megfontolandó lehet egy, a korábbiakban összefoglalt, útmutatóhoz hasonló, sütitípusokról szóló leírás használata.

Abban az esetben is fontos, hogy a felhasználók tisztában legyenek azzal, mit is teszünk, ha csupán feltétlen szükséges sütiket használunk. Meglehet, hogy a feltétlen szükséges sütik használata nem beleegyezéshez kötött, ennek ellenére ezekről is tájékoztatni kell a felhasználókat. Ha okunk van arra, hogy elhallgassuk a használatukat, érdemes újra megvizsgálni, hogy valóban feltétlen szükségesek-e. Az első szabály az, hogy minél lényegre törőbb egy tájékoztatás, annál jobb. A második szabály, hogy maradjunk érthetők. Mivel az átlag internetfelhasználónak nincsenek mélyreható technikai ismeretei, javasolt felhasználóbarát, egyértelmű nyelvezetet használni a sütikről adott tájékoztatásban. Néhány webhely elveti a sulykot a kedveskedő, viccelődő és homályos fogalmazásmódjával, de ennek talán megvan az az előnye, hogy így csökkentik azt a közvélekedést, hogy a süti alig több, mint holmi kémprogram. Hisz’ így hangsúlyozzák, hogy a sütik hasznos, de ártalmatlan fájlocskák, ami (többnyire) igaz is.

A sütikről adott tájékoztatásunk célja, hogy bemutassa a felhasználóknak a webhelyünkön használt, különféle sütik funkcióit, ezeknek a rájuk, felhasználókra gyakorolt hatását, illetve főként azt, hogy e sütik mely személyes adataikat használják. Az olyan helyzetekben, ahol a sütik számunkra hasznos információkkal szolgálnak, mint például az elemző sütik, hasznos lehet arra is rávilágítani, hogy a felhasználók számára milyen előnyei vannak ezek használatának. A magyarázat legyen állító semmint tagadó. Ezáltal jobb valami hasonlót írni:

„Az, hogy a honlapunkon használt elemző sütik megmutatják, hogyan használja a honlapunkat, segít jobban megérteni a vásárlóinkat és hozzájárul a szolgáltatásaink folyamatos fejlesztéséhez.”

Nem pedig ezt:

„Ha nem fogadja el az elemző sütijeinket, nem tudjuk a honlapunkon való navigálását és tevékenységét követni, ezért nem leszünk képesek a szolgáltatásainkat fejleszteni.”

Röviden: mondjuk el a felhasználóknak, nekik miért jó a sütik elfogadása, ahelyett, hogy azt mondanánk, miért rossz nekünk, ha nem fogadják el.

A tájékoztatásban foglalható másik hasznos dolog egy táblázat lenne az általunk használt sütikről, arról, melyik mit csinál, és melyik milyen adatokat gyűjt. A legfontosabb, hogy a terminológiahasználat legyen annyira felhasználóbarát, amennyire csak lehet.

2.3.2 Hol tegyem közzé a tájékoztatást?

Itt a kulcsszó a „feltűnő”. Ha az adatbiztonsági szabályzatunkban csupán egy rövid bekezdés erejéig említjük a sütiket, az nem elég figyelemfelkeltő. Ezt lefektetve ki kell emelni, hogy a GDPR által előírt átláthatóságra és beleegyezésre fektetett hangsúly miatt fontos, hogy az adatbiztonsági szabályzat is szintúgy feltűnő legyen.

Jó megoldás lehet a webhelyünkre először látogató felhasználók figyelmét felhívni a sütikre, valamint a beleegyezésüket kérni a sütik használatához (ha kell). Ezt később részletesen taglaljuk. Mivel a tájékoztatási és a beleegyezési módszereknek (további információ szintén később található) kéz a kézben kell járniuk, fontos, hogy ezek mindig elérhetők legyenek. Ezért a legjobb út a webhelyünk minden oldalán elérhető, állandó link kitétele.

Bár valamilyen szinten ízlés dolga, fontos az adatbiztonsági szabályzat és a sütikről szóló tájékoztatás szétválasztása is. Ismét hangsúlyozandó, hogy a beleegyezés és beleszólási lehetőség növekvő fontossága itt is szerepet játszik. Javasolt az adatbiztonsági szabályzat és a sütikről szóló tájékoztatás részleges különválasztása (vagy legalább a linkjeik különválasztása úgy, hogy a sütikről szóló, adatbiztonsági szabályzat részt közvetlen linkkel látjuk el). Ezzel nem csak feltűnővé tesszük az információkat, de segítünk is a technikához kevésbé konyító felhasználóknak megtalálni, amit keresnek.

2.3.3 Beleegyezés

A GDPR egyik legfontosabb eleme a beleegyezés, amely területen szigorúbb szabályokat vezettek be. A hallgatólagos hozzájárulás egy ideje már népszerű módszer a felhasználók sütik használatába való beleegyezésének megszerzésére. A GDPR-t megelőző általános módszer a felhasználók sütikről való tájékoztatására az volt, hogy jelezték, ha tovább használják a webhelyet, az úgy tekintendő, hogy beleegyeztek a sütik használatába. A szabályozhatóság direkt inkonzisztens volt.

Ez nem jelenti azt, hogy lehetőséget kell adni, hogy minden egyes általunk használni kívánt sütivel kapcsolatban döntsenek. A feltétlen szükséges sütik még mindig elfogadhatók. Valójában a GDPR igen kevéssé tér ki a sütikre és a kapcsolódó technológiákra. A 2003-as elektronikus hírközlési adatvédelmi EU irányelvek sokkal inkább e témákra összpontosítanak, épp úgy, ahogy az ezt követő elektronikus hírközlési adatvédelmi irányelv (amelyet gyakran „ePrivacy rendeletként” említenek). Fontos kiemelni, hogy e szöveg megírásakor, az ePrivacy rendelet csak törvénytervezet, és az EU különféle törvényalkotási szervei még megvitatják és módosításokat eszközölnek rajta. A tervek szerint a GDPR-ral egy időben (2018. május 25.) lépne jogerőre, ám erre sokan kicsi esélyt látnak, minthogy egyes jogászok szerint a törvény 2019-ig biztosan nem lát napvilágot. A jelen útmutató tartalma a későbbi információk fényében aktualizálva lesz. Mindazonáltal jó tisztában lenni a tervezet fázisban lévő rendelettel, hiszen így betekintést nyerhetünk abba, hogy a jövőben mi lesz elfogadott és mi nem. A tervezet legújabb elérhető verziója szerint a sütik (és a kapcsolódó technológiák) a „végfelhasználó által igényelt, információs társadalommal összefüggő szolgáltatás nyújtásához szükséges[ek]” (például a webhelyünk vagy az általa nyújtott szolgáltatás), akkor elfogadhatók.

Hagyatkozhatok a hallgatólagos hozzájárulásra?

A hallgatólagos hozzájárulás a GDPR világában már nem járható út. Mostantól a felhasználóknak meg kell erősíteniük, hogy hozzájárulásukat adják. Továbbá az is fontos, hogy még a sütik használata előtt beleegyezésüket adják.

Hagyatkozhatok a böngészőbeállításokra?

Jelenleg ez egy igen nehéz kérdés. Jó ideje az az általános vélemény, hogy nem jó kizárólag a felhasználók böngészőbeállításaira hagyatkozni. Ahogy korábban jeleztük, a legtöbb felhasználó nem rendelkezik a megfelelő technikai tudással és tudatossággal e téren. Tehát a valódi beleegyezésének tekinteni a böngészőbeállításokat, rendkívül rossz megoldás volna.

Persze semmi sem akadályoz abban, hogy további információkkal szolgáljunk a felhasználóknak arról, hogyan módosítsák a böngészőbeállításaikat, mégis csak ezekre hagyatkozni nem ajánlott.

Ez a helyzet a már említett ePrivacy rendelet megszületése után változhat, amely tervezetében szerepel a webböngészők fejlesztőinek arra való kötelezése, hogy idővel, a böngészőbeállításaik valódi beleegyezéssel legyenek egyenértékűek. Mégis szerfelett lényeges, hogy jelenleg nem ez a törvény, és a megfelelő böngészőbeállítások nem elegendők. Ne hagyatkozzunk rájuk!

Na és a megerősítő beleegyezés?

Ha még nem lenne kristálytiszta, ez a legjobb megoldás. Ez a minden kétséget kizáró út mind nekünk, mind a felhasználóknak, mind pedig az információs biztosnak. Tehát mindenkinek ez a legbiztonságosabb.

Fontos, hogy a felhasználók valóban választási lehetőséget kapjanak. Már kiemeltük, hogy már nem elfogadható, ha jelezzük a felhasználók felé, hogy a webhely további használatával úgy vesszük, beleegyeztek a sütijeink használatába. A GDPR fontos fogalma a „részletes beleegyezés”. Ez azt jelenti, hogy a felhasználóké a végső szó abban, mire használják az adataikat. Nem várják el tőlünk, hogy ellehetetlenítsük a felhasználók számára a bejelentkezést vagy az online bevásárló kosarukban rakott tételek elmentését és hasonlókat, de azt elvárják, hogy lehetőséget adjunk a választásra. Ha például a webhelyünknek vannak a személyre szabható tulajdonságai, amelyek a működéséhez nem elengedhetetlenek, ám a felhasználói élményhez hozzájárulnak, sem nekünk, sem a felhasználóknak nem érdeke, hogy az elemző sütikkel együtt az e tulajdonságokhoz tartozó sütiket is kikapcsolják. Ezért érdemes a sütijeinket kategóriákba sorolni, és minden kategóriához külön ki-bekapcsoló funkciókat rendelni. Szintén lényeges, hogy a felhasználók valamilyen módon képesek legyenek a webhelyünket akkor is használni, ha nem járulnak hozzá a sütikhez.

Egyszerű lehetőséget is biztosítani kell nekik arra, hogy ezeket a beállításokat megváltoztathassák. A felugró ablak, amely az először a webhelyre látogató felhasználó böngészőjében megjelenik, nem a legmegfelelőbb erre. Bár a felugró ablakok jók a figyelemfelkeltésre, fontos, hogy ezek a beállítások a későbbi látogatásoknál is könnyen megtalálhatóak legyenek.

Szintén elengedhetetlen, hogy a felhasználók tisztában legyenek a saját adatbiztonsági beállításaikkal. Marketing szempontból jó megoldás lehet ezt nem csak a sütik esetében alkalmazni, hanem a felhasználói adatokéban is, például a webhelyünk felhasználói profiljaiban tárolt személyes adatok esetében. Megfontolandó minden egyes felhasználóknak éves vagy egyéb üzenetek küldése (ha lehetséges), amely emlékezteti őket a beállításaik ellenőrzésére beleértve a sütikkel kapcsolatos beállításokat.

Kétségtelen, hogy a beleegyezésre vonatkozó szigorúbb előírások nem csak ránk, mint cégekre, hanem a felhasználókra is nagyobb terhet fog róni. Az informáló, beállítások igazítását kérő felugró ablakok idegesíthetik a legtöbb felhasználót, mégis fontos a törvény által előírt kötelességünknek eleget tenni, és biztosítani a felhasználók jogait még akkor is, ha ők maguk nincsenek velük tisztában. A kulcs tehát a diszkrét, hatékony kivitelezésmód, amely egyben kiugró is, hogy ne lehessen elmenni mellette.

2.4. Hogyan csináljam?

Attól függően, milyen sütiket és milyen célra használjuk őket, számos megoldás segíthet a törvénynek való megfelelésben. Egyes opciók testhezállóbbak lesznek másoknál, és mindig a legfontosabb észben tartani, hogy ha a legszükségesebb sütiken túl másokat is használunk, valódi választást kell adni a felhasználóknak. Mi több, lehetőséget kell adni nekik, hogy típusok szerint dönthessenek a használatukról, és ezt ne csak azelőtt tehessék meg, hogy webhelyünk sütiket tesz a gépükre vagy eszközükre, hanem utána is bármikor.

1. Opció: Információs banner

image1.png#asset:1068

Mostanáig ez volt a legnépszerűbb módja a felhasználók sütikről való tájékoztatásának. Egy egyszerű banner a (látható) weboldalunk tetején vagy alján, amely tájékoztatást ad az általunk használt sütikről, és hasonló technológiákról, és linkkel elérhető, részletes információkat ajánl. Ne felejtsünk egy „sütikről” szóló linket a navigációs sávba is betenni.

Ennek az opciónak az előnye az egyszerűség, de az információ mellett semmilyen ellenőrzési lehetőséget nem ajánl. Így ez csak olyan webhelyeknek való, amelyek csak feltétlen szükséges sütiket használnak – amelyek nélkül a felhasználók nem tudnák megfelelően használni a webhely funkcióit.

image2.png#asset:1069


Az értesítősáv (banner) e verziója csak a fel- és leiratkozási lehetőséget biztosítja. Ez akkor lehet megfelelő, ha csak néhány sütit használnak, különösen, ha azok azonos kategóriába tartoznak. Mindamellett vigyázni kell az egyszerű kezelőelemekkel, mert ezek arra kényszeríthetik a felhasználót, hogy a számukra esetleg hasznos funkciókat is kapcsolják ki azért, hogy kikapcsolhassák azokat, amelyeket nem szeretnének használni és emiatt le kell mondanunk olyan hasznos funkciókról, mint az analitika. Mint már említettük, a cél, hogy a felhasználó vegye észre “a sütikről” link jelenlétét, amely segíti a sütik egyszerű kezelését, miközben a felhasználó folytatja weboldalunk használatát.

image3.png#asset:1070

A figyelmeztetősáv e harmadik változatánál használt megközelítés magában foglalja a már említett granuláris megközelítést. A felhasználók alapvető tájékoztatást kapnak a sütik további részleteiről link segítségével, hasonlóan az egyes sütikategóriák szabályozási lehetőségével. A feltétlenül szükséges sütiket megemlítjük, de ezeknek nincs beállítási lehetősége; a funkcionális sütiket be vagy ki lehet kapcsolni; és a teljesítménysütiket (ami a legtöbb esetben az analitikák barátságosabb elnevezése) szintén be vagy ki lehet kapcsolni. Hacsak a weboldal nem kizárólag feltétlenül szükséges sütiket használ, a három értesítősáv-opció közül ez a törvényes megfelelőség teljesítéséhez az ajánlott opció.

2.Opció: Tájékoztató felugró ablak

image4.png#asset:1071

Ebben a változatban egy felugró ablak jelenik meg a képernyőn és ugyanazokat az információkat jeleníti meg, mint az értesítősáv. A felugró ablakok gyakran hatékonyabbak a felhasználó figyelmének felkeltése szempontjából, mint a banner-ek, mivel ezek legalább minimális válaszreakciót igényelnek a felhasználótól ahhoz, hogy tovább tudjon lépni és visszatérhessen a weboldal fő részére, még ha ez csupán egy egérkattintást igényel is a képernyőn egy gombra vagy a felugró ablak területén kívül. Szélsőséges esetben akár a felugró ablak mögötti teljes weboldalt blokkolni lehet, amíg a felhasználó nem reagál a felugró ablakra.

Ugyanakkor – akárcsak az információs banner esetében – vegyük figyelembe, hogy ez az opció csak a feltétlenül szükséges sütikre alkalmazható, amelyeknél nem kell szabályozási lehetőséget biztosítani.

image5.png#asset:1072


Megismételjük, hogy a felugró ablak előnye az, hogy magára vonzza a felhasználók figyelmét. Ezenkívül – hasonlóan a szabályozható információs banner-hez – egyszerű fel- és leiratkozási lehetőséget is biztosít. Ennek ellenére, a banner-koncepcióhoz hasonlóan az ilyen alapvető bináris szabályozás felajánlása gyakran nem kívánatos.

image6.png#asset:1073

A többféle szabályozási lehetőséget biztosító banner-hez hasonlóan ez az opció is kínálja a granularitás előnyét. A felhasználók több információt kapnak és több szabályozási lehetőségük van a sütik és ezáltal adataik használata kapcsán. A felugró ablak a banner-rel összehasonlítva ezenkívül azért is előnyösebb, mert nagyobb helyen lehet információkat közölni. Hacsak a weboldal nem kizárólag feltétlenül szükséges sütiket használ, a felugró ablakok opciói közül ez a törvényes megfelelőség teljesítéséhez ajánlott opció.

3.Opció: Beállítások vagy funkció-vezérelt hozzájárulás

image7.png#asset:1074

Ez a megközelítés akkor lehet vonzó, ha a weboldal annak indításakor, kezdetben nem használ sütiket, csak akkor, ha a felhasználó valamilyen funkciót kíván használni – ebben az esetben például a személyre szabást. A tájékoztatást akkor lehet megadni és a hozzájárulást beszerezni, amikor a felhasználó használni kívánja az adott funkciókat. Annak ellenére, hogy a funkciók esetleg nem működnek sütik nélkül, a feltétlenül szükséges sütik kivételével a felhasználóknak továbbra is biztosítani kell, hogy azokat elutasítsák, még ha emiatt bizonyos funkciókat nem is tudnak igénybe venni.

Melyik opció jó nekem?

Nincs feltétlenül jó vagy rossz válasz erre a kérdésre, de továbbra is fontos hangsúlyozni, hogy hacsak nem kizárólag olyan alapvető, feltétlenül szükséges sütiket használunk, amelyek a weboldal létfontosságú funkcióit biztosítják, kötelező beszerezni a felhasználók kifejezett hozzájárulását a sütikhez, mielőtt azokat elhelyeznénk a meglátogatott oldalon. Amint már említettük, a GDPR, az Infotv.-ben meghatározottakon túl, jelentősen kiterjeszti a “személyes adatok” fogalmát. A sütikben és hasonló technológiákban tárolt adatokat, amelyek az Infotv. szerint, de akár a hagyományos felfogás szerint sem minősülnek személyes adatoknak, lehetséges, hogy a GDPR akként kezeli. Ahelyett, hogy megkísérelnénk bonyolult döntéshozatal útján meghatározni, hogy egy adott süti a GDPR hatálya alá tartozik vagy sem, szerintünk inkább minden sütit egyformán kell kezelni, és meg kell szerezni azok használatához a felhasználó előzetes kifejezett hozzájárulását. Még ha a törvény betűjének szigorú betartása nem is tűnik szükségesnek, a törvény szellemének és a fokozott átláthatóság, valamint a felhasználói hozzájárulás követelményének való megfelelés mindenképpen jó színben tünteti fel a vállalkozást.

3. Néhány szó a reklámozásról és az analitikáról

Számos analitikai és reklámszolgáltatást harmadik felek nyújtanak, akik közül sokan használnak sütiket és hasonló technológiákat a működésükhöz. Számos esetben magát a reklámot is saját adatvédelmi szabályozási lehetőségekkel és leiratkozási lehetőséggel biztosítják. Például az AdChoices olyan önszabályozó program, amelynek több száz résztvevője van, köztük jelentős reklámozók. Az AdChoices által szolgáltatott reklámok lehetővé teszik a felhasználóknak, hogy szabályozzák a kapcsolódó sütiket.

Az online reklámozó és követő világ folyamatos változásban van, és sokan azt várják, hogy a GDPR és ahhoz kapcsolódóan a hozzájárulás és átláthatóság előtérbe helyezése jelentősen megváltoztatja majd az ilyen technológiák működését, nem utolsósorban azért, mert, ha valakitől arra kérnek engedélyt, hogy az illetőt “nyomon kövessék” és részére reklámokat küldözgessenek, ez nem kecsegtet túl sok sikerrel.

Ahol lehetséges, mindig emlékeztetni kell az előzetes hozzájárulás fontosságára. Amennyiben a sütiket feltelepítjük, amikor a felhasználó először érkezik az oldalunkra és csak utána kérjük a hozzájárulását, ez egyáltalán nem valódi hozzájárulás. Az a legkevesebb, hogy részletes, felhasználóbarát tájékoztatást kell adni. Amennyiben az oldalon teljesítmény-ellenőrzés céljából követik a felhasználók tevékenységét például a Google Analytics eszközzel, ismertetni kell, hogy ez miért előnyös az oldal tulajdonosának és a felhasználónak egyaránt. Ha az oldal reklámokat küld, itt is ismertetni kell, hogy miért előnyös a felhasználói viselkedés lekövetése — vagyis azt például, hogy a reklámok jobban illeszkednek a felhasználó igényeihez és ezért kevésbé idegesítők és tolakodók.

Amint a GDPR új világa valósággá válik (nem beszélve a már említett ePrivacy szabályozás várható új világáról), valószínű, hogy a harmadik fél szolgáltatók pl. analitika- és reklámszolgáltatók át fogják alakítani szolgáltatásaik működését. Jelenleg a weboldal tulajdonosai és/vagy üzemeltetői kötelesek biztosítani, hogy minden lehetséges dolgot megtegyenek a törvény betartásáért és – akár a felesleges ismételgetés kockázatával is – a lehető legszélesebb körben tájékoztassák a felhasználókat és szerezzék meg azok hozzájárulását a sütik és hasonló technológiák használatához, amennyiben azok túlmutatnak a feltétlenül szükséges kategórián.

4. Összefoglalás

A „Sütitörvény” névvel jelölt követelménycsomag a weboldalak üzemeltetői számára olyan, mint a tüske a köröm alatt. Valóban, amikor az úgynevezett “EU Sütitörvény” először lépett hatályba 2011-ben, sok weboldal-üzemeltető elégedetlenkedett, mondván, hogy senki sem panaszkodott addig különösebben a sütikre. Az viszont nyilvánvaló, hogy a panaszok hiánya sokkal inkább a felhasználók hiányos ismereteinek volt betudható, mintsem annak, hogy a felhasználók elégedettek voltak. Nagyon is lehetséges, hogy még mindig sokan nem értenek a technológiához — egyszerűen rákattintanak a „bezár” vagy az “elfogadom” gombra és folytatják az adott weboldal használatát. Ugyanakkor a skála másik végén az olyan böngésző-bővítmények, mint pl. az AdBlock és a Ghostery megjelenésével a jobban hozzáértő felhasználó egyértelműen nem hajlandó beengedni a szolgáltatót és sütijeit a rendszerébe, illetve hozzáférni személyes adataihoz egy fokkal sem jobban annál, mint ami feltétlenül szükséges ahhoz, hogy használni tudja a weboldalt. Néhányan megpróbálnak küzdeni az ilyen felhasználó-centrikus kontrollok ellen, de az a kialakult vélemény, hogy ezek létezését tudomásul kell venni és a létrejöttük okát kell megvizsgálni, ahelyett, hogy a hatásukat próbálnák kiküszöbölni (amely próbálkozás hosszú távon nem valószínű, hogy sikeres lesz, mert az ilyen bővítmények fejlesztői gyakran frissítik azokat, hogy kezeljék a megkerülő megoldásokat).

Hozzá kell tenni, hogy a jelenlegi helyzet messze nem tökéletes. Valójában a hozzájárulás egyoldalú hangsúlyozása mind a weboldal-üzemeltetők, mind a felhasználók számára megnehezíti a dolgokat. A még több megszakítás rontja a felhasználói élményt, és a felhasználóknak még többet kell elolvasniuk, mielőtt a weboldal tényleges használatát megkezdhetnék. A dolgok a jövőben ismét változhatnak, de jelenleg ezt a megközelítést kell alkalmaznunk. A fenti bosszúságok ellenére a szabályok használatának eredendő okai méltányolhatók: a cél növelni és védeni az egyének személyes adataikhoz jogát és végső soron remélhetően több hozadéka lesz a törvény betartásának, mint az azzal szembeni ellenállásnak.