skip to Main Content

Spanyolország: Bírságok a cookie szabályok megszegéséért

A Spanyol Adatvédelmi hatóság (AEPD) még 2018-ban bejelentést kapott egy magánszemélytől, miszerint a Twitter nevű közösségi oldal nem megfelelően szerzett hozzájárulást az érintettektől adataik kezelésére. Az érintett konkrétabban, az oldal elérésekor megjelenő cookie (’süti’) opciókat kifogásolta.

Az online weboldalak mindegyike sütiket használ működése során. Ezek kisméretű szöveges fájlok, melyeket a weboldal az azt elérő eszközre generál, és többféle felhasználási módjuk van. Néhány közülük elengedhetetlen az oldal megfelelő működéséhez, más típusaik segítenek az oldalnak ’emlékezni’ a felhasználóra, korábbi kereséseire és választásaira, ezeknek a célja általában a jobb szolgáltatás nyújtása. Megint más típusok, amelyeket marketing célra használnak az oldalak; ezeknek az a feladatuk, hogy a korábbi választások és megadott adatok alapján személyre szabott hirdetéseket juttassanak el a felhasználóhoz. Míg az alapvetően szükséges sütiket nem sok támadás éri, más a helyzet a marketing célú sütikkel, ugyanis ezek bizonyos esetben olyan adatokat is gyűjthetnek, amelyekhez egy kereskedőnek egyébként semmi köze nem lenne.

A különböző hatóságok döntései alapján egyértelműen látható, hogy a marketing célú cookiek elsődlegesen akkor alkalmazhatók egy weboldalon, ha ehhez az adatkezelő az érintett előzetes hozzájárulását megszerezte. A panasz megtétele óta született a Planet49 ügyben ítélet az Európai Unió Bíróságán, mely tisztázta, hogy a cookiek tekintetében mi tekinthető érvényes hozzájárulásnak.

Az AEPD kifogásolta, hogy a Twitter nem adott módot az általa használt sütik személyre szabásához. Az alkalmazás használatakor mindössze egy ’Elfogadás és folytatás’ gomb volt található, mely nem felel meg a GDPR elvárásainak. Az érintetteknek biztosítani kell egy felületet, ahol egyenként hozzájárulhatnak, vagy elutasíthatják egyes sütik futását. A Hatóság nehezményezte azt is, hogy a hozzájárulás visszavonása nehezebb, mint annak megadása. Ugyancsak ezen okból nem fogadható el az az érv sem, hogy valamely cookie elfogadásának beállítását az érintett a böngésző beállításainak módosításával kezelje.

Adatvédelmi szakértők rámutatnak, hogy a Twitter a bejelentés megtétele óta sem változtatott a gyakorlatán, a honlapon továbbra sincs a felhasználóknak lehetőségük tételesen hozzájárulni valamely cookie használatához. Camino García adatvédelmi jogász szerint az oldalon profilalkotás történik, mivel a felhasználók böngészési szokásai nyomon követik.

Az AEPD 30.000 EUR bírságot szabott ki a Twitterre. Ez az összeg egy ilyen méretű cég esetében kevésnek tűnhet, ennek oka, hogy az eredeti panasz nem a GDPR, hanem a spanyol Információs Társadalmi Szolgáltatásokról szóló Törvény (LSSI) megszegéséért érkezett, mely kapcsán a kiszabható bírság 1 és 30.000 EUR mozoghat. A kiszabott bírság azért is a lehető legnagyobb összeg lett, mivel a Twitter nem változtatott a gyakorlatán, holott a forrásai adottak voltak hozzá.

Az AEPD 2019. novemberében szintén a sütik szabálytalan használatáért bírságolt meg egy légitársaságot. A bírság ugyanúgy a kiszabható maximum, tehát 30.000 EUR volt, azonban ezt később 18.000 EUR-ra csökkentették, mivel a légitársaság beismerte a szabálysértést, és befizette a bírságot még az eljárás megkezdése előtt. A bírság kiszabásának oka kísértetiesen hasonlít a Twitter esetére: a hozzájárulás visszavonásának aránytalanul bonyolult módja, illetve a sütik konfigurálásához szükséges panel hiánya.

Az AEPD ezen két döntésé alapján látható, hogy a hatóságok egyre nagyobb hangsúlyt fektetnek a sütikkel kapcsolatos szabályok betartatására. Bár elsősorban a nagyforgalmú cégeknek kell sürgősen lépniük, a kisebb vállalkozásoknak is érdemes a weboldalaikat átalakítani, hogy azok megfeleljenek az elvásároknak.

Magyarországon a sütiket az elektronikus hírközlésről szóló 2003. évi C. törvény tartalmazza az alábbiak szerint:

155. § (4) Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni.

Érdekes megfigyelni, hogy a szabályozás nem tesz különbséget „elengedhetetlen”, „szükséges” és egyéb típusú cookiek között, mindegyikkel kapcsolatban elvárja a hozzájárulást.

Kíváncsian várjuk, hogy az európai hatóságok mikor fogják észrevenni, hogy a nagy tech multiknak eszük ágában sincs betartani a szabályozást, és ez nem is fog változni addig, amíg a rájuk kiszabott bírságok legfeljebb néhány heti bevételüket jelenti. Amíg a jogellenes cookie kezelésből származó haszon nagyobb, mint a bírság összege, addig biztosan nem is fognak ezen változtatni.

Back To Top