A webes tartalomszolgáltatók többsége jogsértő módon tárolja és használja a látogatók adatait, sokan szabálytalanul építik fel kampányaikat a közösségi oldalakon is. Ugyan már egyre több weboldalon találkozhatunk felugró ablakkal, amely a cookie-k használatára figyelmezteti a felhasználót, ez azonban még kevés. A 2018 májusában hatályba lépő uniós adatvédelmi rendelet bevezetése után tisztább feltételekre és szigorúbb büntetésekre számíthatnak az érintettek.

Kép:Flickr/Perspecsys

A technológia kínálta új lehetőségeket és a hozzájuk kapcsolódó szabályozási kérdéseket érdemes összefüggésükben vizsgálni, mert csak így használhatók jogszerűen az online marketing eszközei, és csak így kapnak a fogyasztók megfelelő védelmet. Új lehetőség például az úgynevezett programmatic buying – magyar megfelelője a célzott hirdetés, személyre szabott ajánlat –, melynek fogalmával a hirdetők többsége még csak most ismerkedik. Technológiája a cookie-kra épül, ezért alkalmazása adatvédelmi kérdéseket vet fel.

A személyre szabott ajánlat lényege, hogy a felhasználók viselkedéséről (arról, hogy éppen milyen weboldalt néznek, valamint arról, hogy eddigi viselkedésük alapján „kik” ők) a hirdetők azonnal információt kapnak. Így valós időben, automatákon keresztül licitálhatnak arra, hogy mennyit ér meg nekik, ha a hirdetésüket az adott felhasználó számára osztja ki a szerver (adserver). A felhasználóról szóló információt a felhasználó számítógépére telepített cookie-k – adatcsomagok, adatfile-ok – tartalmazzák. „Ahhoz azonban, hogy ez az adatkezelés jogszerű legyen, az érintetteknek kifejezetten bele kell egyezniük ebbe” – emelte ki dr. Dudás Gábor János, a KLART Legal partnere.

A cookie figyelmeztetés önmagában kevés

A szakértő szerint azonban ma még az a jellemző, hogy részletes tájékoztatás nélkül egy egyszerű felugró ablakban kérik a tartalomszolgáltatók az internetezők beleegyezését a cookie-k alkalmazásához, ez azonban így nem jogszerű. A beleegyezésnek ugyanis határozottnak, tájékozottnak, egyértelműnek, kifejezettnek és önkéntesnek kell lennie. Jogszerűtlen a beleegyezés, ha az érintett nem tudja, hogy mihez ad hozzájárulást, ha csak kipipálja vagy lekattintja a „tudomásul veszem” rubrikát, vagy ha a pipa már eleve bent van a kockában. Csak akkor megfelelő a tájékoztatás, ha ismerteti az adatgyűjtés tényét és célját, az érintettek körét, az adatkezelés időtartamát, az adatok megismerésére jogosultak körét és az adatvédelmi nyilvántartási számot.

Manapság az emberek még nincsenek igazán tisztában döntésük jelentőségével, szeretnének gyorsan túlesni a hozzájáruláson, nem tudatosan döntenek. Erre lehet megoldás, ha az első betöltéskor csak korlátozott funkcionalitású oldal jelenik meg, amelyhez nem szükségesek a cookie-k. A teljesen jogszerű működés feltétele a beépített adatvédelem elvének alkalmazása volna.

A weboldalaknak felépítésükben minden ponton meg kellene felelniük az adatvédelmi követelményeknek, lehetővé kellene tenni, hogy a beállításokban adhassák meg az internetezők, hogy milyen cookie-k használatába egyeznek bele. Ugyanilyen fontos szempont, hogy a hozzájárulás nem szólhat örökre, azt a hosszabb ideig használt cookie-k esetében is szükséges időszakonként megújítani. „A szabályozás lemaradt a technológiai újítások mögött, késve igyekszik kezelni az új jogi problémákat, és mire 2018-ban hatályba lép az új uniós adatvédelmi rendelet, ma még nem is létező kérdésekre kell majd választ adnia” – emelte ki Dudás Gábor.

Szigorúbb büntetések jönnek

Dr. Szabó Endre Győző, a Nemzeti Adatvédelmi Információszabadság Hatóság elnökhelyettese az uniós adatvédelmi reformmal kapcsolatban elmondta, hogy a 2018. május 25-én hatályba lépő általános adatvédelmi rendelet tisztázza a felvetett problémákat, továbbá szigorítani fogja az adatvédelmi követelményeket, és megerősíti a hatóságokat is. A kérdéskör komolyságát támasztja alá, hogy 2018-tól jelentősen megnőnek az adatvédelmi jogsértések esetén kiszabható bírságtételek. Eddig ugyanis a maximális bírság a jogsértés súlyosságától függően maximum 20 millió forint lehetett, 2018-tól 10 vagy 20 millió eurós bírságra számíthatnak a jogsértők. „Jelentős előrelépés lesz az új rendeletben, hogy tisztázza a területi hatállyal kapcsolatos jogértelmezési nehézségeket. A rendelet világossá teszi, hogy attól függetlenül, hogy az adatkezelés hol folyik, ha az unióban élőket érinti, akkor az uniós szabályokat kell alkalmazni” – emelte ki dr. Szabó Endre Győző.