Primantis Consulting
Valóban GDPR kompatibilis a weboldalam?
A „cookie-mentes” weboldal manapság ritka, mint a fehér holló. Szinte valamennyi internetes felület használ sütiket látogatóinak nyomon követése céljából; ennek egyik leggyakoribb apropója a célzott marketing tevékenységhez szükséges információszerzés; vagyis, hogy a weboldal üzemeltetője például a Google Analytics által használt sütikkel adatokat szerezzen a website látogatóiról, helyzetükről, weboldalon végzett tevékenységükről. Ha azonban marketing elemzéseket nem is folytatunk weboldalunkon keresztül akkor is szinte bizonyos, hogy internetes felületünk használ ún. „necessary” típusú sütiket, melyek a weboldal szolgáltatásainak használatához feltétlenül szükségesek.
Mivel a cookie személyes adatnak minősül – hiszen használatukkal a weboldal látogatójáról a szolgáltató azonosításra alkalmas adatokat szerez – a GDPR elvárja tőlünk, hogy megvizsgáljuk és rögzítsük milyen jogalapon kezeljük ezeket a személyes adatokat. Az Európai Unió Adatvédelmi Munkacsoportja már 2013-ban leszögezte, hogy az ilyen adatkezelés jogalapja elsődlegesen az érintett hozzájárulása, vagyis a sütik akkor használhatóak, ha ahhoz a weboldalt használó érintett – előzetesen – hozzájárult. Ebből fakadóan láthatunk szinte minden hazai weboldalon felugró „cookie elfogadó” sávot.
https://edpb.europa.eu/our-work-tools/our-documents/guideline/consent_hu
Felmerül azonban a kérdés, hogy hogyan tud a felhasználó előzetesen hozzájárulni az olyan „necessary” típusú sütik alkalmazásához (pl: session sütik), melyek már akkor települnek számítógépén mikor a weboldal betölt, vagyis az adatkezelés ténylegesen jóval azelőtt megkezdődik, hogy a látogató a cookie elfogadó gombra rákattintana. Szintén problematikus, hogy ha a weboldal necessary típusú sütiket használ és a látogató a cookie kezeléshez egyébként később sem járul hozzá (nem kattint a cookie elfogadó linkre), az ilyen típusú sütik ennek ellenére is megjelennek majd számítógépén.
A hozzájárulás, mint adatkezelési jogalap a necessary típusú sütik esetében tehát vélhetően nem állja meg a helyét, hiszen az adatkezelés már azelőtt megkezdődik, hogy a látogató az adatkezeléshez hozzájárult volna. Szükséges tehát egy ettől eltérő jogalapot választani az ilyen típusú adatkezelésre, mely vélhetőleg az adatkezelő „jogos érdeke” lesz.
Ennek megfelelően cookie-elfogadó felületünket olyan módon kell kialakítani, hogy a látogató hozzájárulását ténylegesen csak azon sütik tekintetében tudja megadni, melyeket a weboldal valóban hozzájárulása alapján kezel. Álláspontom szerint ennek a feltételnek a hazai weboldalak 99 %-a nem felel meg.
Szintén nem elfogadható az a gyakorlat amikor a szolgáltató a „marketing”, „targeting” típusú cookie-k kezeléséhez szükséges hozzájárulásnál a hozzájárulás négyzetét előre bepipálja, vagy automatikusan bekapcsolt állapotba állítja, hiszen az adatvédelmi jogban ráutaló magatartással nem lehet megadni a hozzájárulást, ahhoz mindenképpen aktív cselekmény szükséges.
Érdemes tehát weboldalunkon – akár szakértő segítségével – cookie elemzést végezni és megvizsgálni milyen sütiket kezel az oldal, majd azonosítani az egyes cookie-kezelések valóságnak megfelelő adatkezelési jogalapját és ezekről a weboldal használóit adatkezelési tájékoztatónkban tájékoztatni.
Amennyiben nem biztos benne, hogy weboldala jogszerűen használ sütiket, vagy induló weboldalát, webshopját szeretné 100 %-os biztonsággal kialakítani forduljon hozzánk bizalommal!