Hírek

weboldal sütik

2023. február 13.

Megszületett az első magyar süti (cookie) bírság

Szerző:

Az adatvédelmi hatóság (NAIH) 10 millió forintos bírságot szabott ki a TV2 Média Csoport Zrt.-vel szemben, mivel az nem megfelelően tájékoztatta a honlapra látogatókat a weboldalon elhelyezett sütikről, valamint a sütikhez kért hozzájárulás sem felelt meg a GDPR elvárásainak.

A határozat megerősíti, hogy a süti használat személyes adatkezeléssel jár, és azért a honlap üzemeltetője tartozik felelősséggel. Az üzemeltető felelősségét nem befolyásolja az, hogy esetleg a weboldal egyes moduljait mástól szerzi be, vagy harmadik feleknek továbbít adatot. Az üzemeltető felel tehát azért, hogy a süti használat helyes jogalapját kiválassza, célját meghatározza, a sütikről a weboldalra látogatóknak a szükséges tájékoztatást megadja, illetve megfelelő süti bannert, hozzájárulás kezelő rendszert alkalmazzon.

A NAIH a határozatban több elvárást is megfogalmaz a tájékoztatási kötelezettség kapcsán, így például:

  • a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani az érintettek számára;
  • a tájékoztatási kötelezettség nem puszta „lepapírozási” kötelezettséget jelent, azaz azzal érdemben, a helyzetre szabva kell foglalkozni, és azt a GDPR elvárásai szerint kell kialakítani;
  • a rendkívül hosszú tájékoztató szöveg a képernyő indokolatlanul kicsi területén, mely egyszerre néhány soronként olvasható, nem megfelelő;
  • a személyes adatokat és a sütiket tételesen meg kel jelölni, a sütik célját pontosan meg kell határozni;
  • helytelen, ha a hozzájárulás és jogos érdek jogalapú sütik esetén érdemben azonos célok kerülnek feltüntetésre;
  • konkrétan meg kell jelölni, hogy ki minősül az adatkezelőnek a süti használat kapcsán, a „mi és partnereink” megjelölés nem elég konkrét;
  • adattovábbítás esetén nem megfelelő az a gyakorlat, ha a weboldalra látogató több mint 700 partner adatkezelési tájékoztatóját elolvashatja, majd egyenként vonhatja vissza a hozzájárulását, az IAB Europe keretrendszer használata – a vendor partnerlisták kapcsán – jogsértő. Az iparágban elterjedt megoldás használata önmagában nem jelenti azt, hogy a GDPR-nak megfelel a weboldal süti gyakorlata.

A süti használat jogszerűségéhez szükséges az, hogy a weboldal üzemeltető (adatkezelő) a sütikkel kapcsolatos adatkezeléshez megfelelő jogalappal rendelkezzen. A határozat e kapcsán is több szempontot ad, így például:

  • a weboldal tényleges technikai működéséhez szükséges sütik esetén a hozzájárulás nem megfelelő jogalap, azaz az ilyen sütikhez nem kell adatvédelmi hozzájárulást kérni, más jogalapot kell keresni;
  • megfelelő tájékoztatás hiányában főszabály szerint a hozzájárulásra alapított süti használat jogszerűtlen lesz, azaz ahhoz, hogy a sütikhez adott hozzájárulás érvényes legyen, gondoskodni kell a megfelelő adatkezelési tájékoztatásról;
  • az érintett hozzájárulása csak akkor lehet érvényes, ha azt konkrét célokra kérik;
  • párhuzamos hozzájárulás kezelő rendszerek alkalmazása nem indokolt;
  • a süti hozzájárulás megadásával azonos könnyűséggel kell lehetővé tenni a hozzájárulás visszavonását;
  • jogos érdek jogalapra alapított sütik esetén érdekmérlegelési tesztet kell készíteni.

Érdemes minden weboldal üzemeltetőnek meggyőződnie róla, hogy a sütiket a hatóság elvárásainak megfelelően alkalmazza-e, mivel láthatóan ez a témakör is bekerült a NAIH „célkeresztjébe”.

Összes hír