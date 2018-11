Fontos megjegyezni, hogy a személyes adatok körébe beletartozik többek között például a nem titkosított IP cím is, amennyiben ez alapján akár közvetett módon is, de a felhasználó beazonosítható lehet.

Egyéb sütik

A fentieket összefoglalva tehát a honlapokat és egyéb webes felületeket üzemeltető személyes adatokat kezelő sütiket alkalmazó adatkezelőknek a jogszerű működésük érdekében szükséges a sütiket a fenti szempontokra figyelemmel kategorizálni, a kategóriának megfelelő jogalapot kiválasztani, szükség esetén érdekmérlegelési tesztet végezni és annak eredményét dokumentálni, majd ezek alapján megfelelő tájékoztatást és adott esetben utólag is igazolható módon lehetővé tenni az érintettek számára, hogy hozzájárulásukat megadják vagy adott esetben megtagadják.

A sütik rövid szöveges fájlok, amelyek a felhasználó eszközére kerülnek elküldésre (legyen szó bármilyen számítógépről mobiltelefontról vagy tabletről) majd onnan visszaolvasásra. Mindannyian nap, mint nap találkozunk a jelenséggel, mikor felmegyünk szinte bármely weboldalra, és azonnal felugrik az üzenet, mely szerint az oldal sütiket használ, ha tovább akarjuk olvasni az oldal tartalmát, akkor kénytelenek vagyunk ezt tudomásul venni. A GDPR hatálybalépésével kialakult új jogi környezetre figyelemmel 2018. május 25-től elsődlegesen szükséges volna a sütiket annak megfelelően megkülönböztetni, hogy az adott süti kezel-e személyes adatokat vagy sem; illetve amennyiben kezel személyes adatot, úgy az adott süti funkcionalitás, illetve biztonság szempontjából elengedhetetlenül szükséges-e vagy sem az adott honlap illetve webes felület használatához.A személyes adatokat nem kezelő sütik kapcsán először is fokozott óvatosságra és körültekintésre szükséges a figyelmet felhívni, mert kizárólag akkor javasolt ennek a kategóriának az elfogadása, ha minden kétséget kizáróan megállapítható, hogy semmilyen személyes adatkezelésre nem kerül sor az adott süti kapcsán, azaz az adott felhasználó akár közvetett módon történő beazonosítására sem lehetnek az adott süti által kezelt adatok alkalmasak. Ennek kapcsán megjegyzendő az is, hogy adott esetben megfelelő megoldás lehet, ha például a felhasználó IP címe titkosítottan kerül csak kezelésre, ezzel megszüntetve a személyes adatkezelési minőséget az adott süti kapcsán. Amennyiben kétséget kizáróan megállapítható, hogy az adott süti alkalmazása nem jár személyes adatok kezelésével, úgy elméletileg azok az érintett hozzájárulása nélkül alkalmazhatóak, de ezen sütikről is javasolt az alábbi sütik mellett alapvetően tájékoztatni a felhasználókat. Annak a kérdésnek az eldöntése, hogy egy adott süti használata jár-e személyes adatkezeléssel, sok esetben csak IT szakember bevonásával megállapítható.A funkcionalitás szempontjából, azok a sütik, amelyek egy adott szolgáltatás nyújtásához nélkülözhetetlenek és személyes adatot kifejezetten és kizárólag ennek céljából kezelnek, azok a GDPR. 6. cikk f) pontja alapján, az adatkezelő jogos érdekére, mint jogalapra tekintettel a felhasználó hozzájárulása nélkül, de a GDPR 13. cikkének megfelelő tájékoztatás mellett használhatók. Fontos azonban megjegyezni, hogy a jogos érdeken alapuló adatkezelés jogszerűsége minden esetben megköveteli annak megvizsgálását és dokumentálását is, hogy az adatkezelő jogos érdekének érvényesítése előnyt élvez-e az érintettek személyes adataival kapcsolatos rendelkezési jogával szemben, továbbá az adatkezelés megkezdése előtt az érdekmérlegelési teszt eredményéről is szükséges az érintetteket tájékoztatni.A funkcionalitás szempontjából nem elengedhetetlenül szükséges sütik, melyek személyes adatot kezelnek, ugyanakkor a megfelelő tájékoztatás és felhasználói hozzájárulás mellett lesznek csak használhatók, akkor is, ha a hozzájárulás hiánya esetlegesen korlátozott funkcionalitást eredményez az adott webes felület tekintetében, azzal, hogy erre a körülményre javasolt természetesen a hozzájárulás kérésekor felhívni a felhasználó figyelmét.A nem funkcionalitás, hanem egyéb, így különösen statisztikai, analitikai vagy a felhasználói élmény javításának céljából használt és személyes adatokat kezelő sütik esetén szintén szükséges az érintett tájékoztatása mellett az érintett hozzájárulását beszerezni.A GDPR-nak történő megfelelést az adatkezelő kötelezettsége adott esetben igazolni, fontos, hogy mind a tájékoztatás megtörténtének, mind a hozzájárulás megadásának igazolására alkalmas módon szükséges kialakítani az adatkezelőknek a GDPR-ral már összhangban álló süti kezelési tájékoztatójukat, hozzájárulás kérésüket, mely sok esetben IT fejlesztést igényel.A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) folyamatosan bocsát ki és tesz közzé állásfoglalásokat, melyek a GDPR gyakorlatban történő alkalmazása tekintetében nyújtanak segítséget és iránymutatást.A NAIH állásfoglalás alapvetően két fő kategóriát különböztet meg, a honlapok működéséhez szükséges sütik és az egyéb, ehhez nem szükséges sütik kategóriáját.Honlapok (illetve egyéb webes felületek) működéséhez szükséges sütikA honlapok működéséhez szükséges sütik tekintetében a NAIH a fentieknek megfelelően megerősíti, hogy amennyiben egy adott süti kizárólag a honlap üzemeltetése, illetve működőképessége, alapvető funkcióinak illetve a számítógépes rendszer biztonsága érdekében történik, úgy lehetőség van ezen sütiket a GDPR 6. cikk (1) (f) pontjában meghatározott jogos érdek alapján kezelni, azzal, hogy olyan sütik esetén, melyek ezen kategóriába esnek ugyan, de elhelyezésük hiányában is használható a honlap, elfogadható a GDPR 6. cikk (1) (a) pontjában meghatározott, érintetti hozzájáruláson alapuló adatkezelés is. Fontos megjegyezni, hogy mindkét jogalap alapján történő adatkezelés jogszerűségéhez szükséges a GDPR-ban előírt tájékoztatási kötelezettségnek is megfelelően eleget tenni.Jogos érdeken alapuló adatkezelés esetén a NAIH külön hangsúlyozza, hogy a személyes adatok kezelése a cél eléréséhez szükséges és arányos mértékben, továbbá kizárólag a minimálisan szükséges ideig jogszerű. A NAIH továbbá hangsúlyozza azt is, hogy fontos dokumentálni, hogy az adatkezelő jogos érdeke előnyt élvez-e az érintett személyes adatokhoz fűződő rendelkezési jogához képest, tekintettel arra, hogy az adott süti nélkül nem megvalósítható az adott honlap működése és biztonsága, továbbá ebben az esetben ezen céllal és jogalap alapján kezelt személyes adatok egyéb célból nem felhasználhatóak és kizárólag az említett célhoz szükséges körben (így például üzemeltetőnek, rendőrségnek) adhatók át harmadik személy részére.Számos egyéb, nem a honlapok fő funkciójához szükséges sütik kerülnek alkalmazásra a honlapok üzemeltetői által, melyeknek alapvetően két fő csoportját különbözteti meg a NAIH kérdéses állásfoglalása. Ezek a statisztikai célú (a NAIH ide sorolja a honlap működéséhez nem szükséges technikai adatokat gyűjtő, a szolgáltatás fejlesztéséhez, vagy például a látogatószám méréséhez használt sütiket), továbbá a marketing célú (a NAIH ide sorolja a követő, hirdetésekhez kapcsolódó sütiket) cookie-k.Ezen sütik kapcsán (a fenti kategorizálástól függetlenül) a NAIH akként foglal állást, hogy azok csak kivételes esetben kerülhetnek jogos érdek jogalap alapján használatra a GDPR (47) preambulumbekezdésére figyelemmel és bár a hivatkozott bekezdés említi a közvetlen üzletszerzést, mint adott esetben lehetséges jogos érdeket, mégis a NAIH álláspontja szerint "erősen kétséges" ezen jogalapra történő hivatkozás különösen akkor, amikor a kérdéses sütik harmadik féltől származnak vagy harmadik fél részére lenne szükséges azokat továbbítani (mint ahogy a statisztikai célú sütik jellemzően ilyenek a piaci gyakorlatot figyelembe véve).A NAIH ezen egyéb sütikre emiatt általánosságban a hozzájárulás jogalapján történő adatkezelést javasolja, felhívva egyúttal a figyelmet arra is, hogy a hozzájárulás beszerzése utólag is igazolható módon kell hogy történjen. Figyelemmel arra, hogy a marketing célú jogos érdeken alapuló adatkezelés jogszerűsége a fentiek szerint a gyakorlatban egyelőre erősen kétséges lehet, mindenképpen javasolt rendkívül körültekintően eljárni a megfelelő jogalap meghatározásakor.A NAIH célszerűnek tartja a saját és a marketing célú sütik megkülönböztetését is, figyelemmel arra, hogy adott esetben az érintett az egyik alkamazásához igen, míg a másikhoz nem kívánna hozzájárulni.Végezetül a fentiek kapcsán a NAIH állásfoglalását figyelembe véve fontos felhívni a figyelmet arra is, hogy a WP259 számú iránymutatás alapján a hozzájárulás önkéntesség hiányában nem érvényes, az önkéntességet pedig kizárja a hozzájárulások olyan módon történő összekapcsolása, amely több, de lényegében különböző adatkezeléshez csak együttesen teszi lehetővé az érintett részére hozzájárulásának megadását.Addig míg az E-Privacy rendelet nem kerül elfogadásra tehát, addig bizonyosan megállapítható, hogy a GDPR hatálybalépése jelentős változást hoz és komplex kihívás elé állítja a sütiket változatlanul alkalmazni kívánó adatkezelőket, hiszen a fentiek megvalósítása a legtöbb esetben nem kizárólag jogi, hanem IT szakértelmet és fejlesztést is igényel a korábbi jogszabályi keretek által megkövetelt feltételekhez képest.