Ismét asztalon az internetes cookiek kérdése
A Német Szövetségi Bíróság 2020. május 28-i döntését követően némileg elcsendesültek a német hatóságok az internetes cookiek használatával kapcsolatban. A Baden-Württembergi Hatóság (LfDI) azonban újra elővette a témát, mivel nem volt elégedett az adatkezelők jogkövetésével. A Hatóság egy korábbi ügyével, melyben hatalmas bírságot szabott ki, itt foglalkoztunk, ez alapján nem kizárt, hogy most is rendesen oda fognak csapni.
Az LfDI közleményében kifejti, hogy a Planet49 döntés után már minden rendszeres internetfelhasználó találkozott süti kezelőkkel és a hozzájuk kapcsolódó kezelőkkel és bannerekkel – ezek az olyan, sokszor a teljes weboldalt eltakaró figyelmeztetések, melyek tipikusan akkor jelennek meg, amikor egy felhasználó elsőként látogat meg egy weboldalt. Ezen a felületen tudják a látogatók beállítani, hogy a böngészésük során milyen cookiek alkalmazásához járulnak hozzá.
Az internetes cookiek egy részéhez nem szükséges a felhasználó hozzájárulása: pl. olyan esetben, amikor ez valamilyen funkció, vagy általánosságban a weboldal működéséhez elengedhetetlenül szükséges. Egyes, kifejezetten marketing célból létrehozott sütik alkalmasak lehetnek arra is, hogy segítségével „felismerjék” a felhasználót, és a vele kapcsolatban összegyűjtött adatokat egységként kezeljék. Az internetezés során keletkező adatok és a “viselkedése” alapján így minden internetezőről létrehozható egy profil, melyről az érintett sok esetben nem is tud. Az adatkezelők ezeket az profilokat megoszthatják harmadik felekkel, de inkább az a jellemző, hogy ehelyett maguk kínálnak targetált hirdetési lehetőségeket (pl. Google, Facebook, Twitter, stb.). Ha mégis előfordul, hogy kiadnak felhasználói adatokat, az érintett számára lekövethetetlen, hogy ezen harmadik felek milyen célra használhatják, illetve használják tovább az így megszerzett adatokat.
Az sem világos a „halandó” ember számára, hogy mekkora és milyen részletes egy ilyen, a felhasználói profil. Amikor valamely cég különböző fogyasztással kapcsolatos adatokhoz jut, valójában semmi nem akadályozza meg, hogy egyesítse a különböző forrásokból megszerzett adatokat és ezek alapján még részletesebb profilt készítsen. A Hatóság szerint nem ritka, hogy ezek tartalmazzák a felhasználó személyes preferenciáit termékekkel kapcsolatban, pénzügyi helyzetét, ebből fakadóan vásárlási erejét, továbbá akár politikai és felekezeti hovatartozását, szexuális oreintáltságát.
A fentiekben ismertetett jellegű és mértékű adatkezeléshez viszont elengedhetetlen lenne az érintettek hozzájárulása. Ennek megszerzése lenne a cookie kezelők fő funkciója, azonban ezeknek a működése sokszor nem felel meg a GDPR előírásainak, ugyanis az általuk szerzett hozzájárulás nem teljesíti a vele szembeni elvárásokat, így például nem tekinthető önkéntesnek és megfelelő tájékoztatáson alapulónak.
Az LfDI ezért úgy döntött, hogy akcióba lép, és a többi német hatósággal egyidőben fog tömegesen tesztelni weboldalakat, hogy azok megfelelnek-e az előírásoknak. A vizsgálatot a Hatóság már az elejétől kezdve úgy tervezte, hogy az határokon átévelő legyen, ehhez előzetesen kérte a helyi hatóságok együttműködését is.
Elsőként a médiacégek weboldalait fogják megvizsgálni, mivel azok általában különösen nagy mértékben használják ezeket a nyomkövető technológiákat. Azt fogják vizsgálni, hogy az ezekkel kapcsolatban megszerzett hozzájárulások a GDPR értelmében jogszerűnek tekinthetők-e. A Hatóság szóvivője elmondta, hogy a médiacégek egy része élvezi a lakosság bizalmát, mivel hozzájárul saját véleményeik kialakításához, ez a bizalom azonban igen törékeny. Ennek a bizalomnak tükröződnie kell a cégek felhasználók adataival kapcsolatos hozzáállásában is.
A közleményben az LfDI egy infantilisnak ható analógiával próbálta illusztrálni a helyzetet:
Képzeljük el, hogy egy üzlet egy dossziét vezet rólunk, amely csak arról szól, hogy egyes termékeket mennyire szeretünk. Az üzlet ezt követően átadja az információt a „partnereknek”, akik kiegészítik olyan részletekkel, hogy pl. mennyi ideig állunk sorba, vagy konkrétan mit vásárlunk, hova járunk templomba, vagy éppen mikor vagyunk hűtlenek a kedvesünkhöz. Ezeket az információt már olyanoktól kapják, akik folyamatosan követnek minket minden üzletbe, haza és még a munkahelyre is, ahol figyelik minden mozdulatunkat.
A Hatóság szerint ez természetesen hatalmas felháborodást keltene. Bár pontosan ilyen módszerekkel történik a megfigyelésük az online térben is, a felhasználók azonban mégsem lépnek fel ellene, mivel nincsenek megfelelően tájékoztatva, és az átlagembernek fogalma sincs az egészről.
Az LfDI a sütikkel kapcsolatban egyébként már korábban is adott ki egy GYIK-ot, látható, hogy az átlagfelhasználók védelme továbbra is a prioritásaik között szerepel.