Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Nem jogszerű a cookie figyelmeztetés a legtöbb oldalon

2017. május 09. - ITsec

FOrrás: 2016. május 18. szerda / piacesprofit.hu

http://www.piacesprofit.hu/kkv_cegblog/szigoru-vilag-jon-a-szabalytalankodokra/

A webes tartalomszolgáltatók többsége jogsértő módon tárolja és használja a látogatók adatait, sokan szabálytalanul építik fel kampányaikat a közösségi oldalakon is. Ugyan már egyre több weboldalon találkozhatunk felugró ablakkal, amely a cookie-k használatára figyelmezteti a felhasználót, ez azonban még kevés. A 2018 májusában hatályba lépő uniós adatvédelmi rendelet bevezetése után tisztább feltételekre és szigorúbb büntetésekre számíthatnak az érintettek.

grafika - egy monitoron lévő képből szivárog a víz

Kép:Flickr/Perspecsys

A technológia kínálta új lehetőségeket és a hozzájuk kapcsolódó szabályozási kérdéseket érdemes összefüggésükben vizsgálni, mert csak így használhatók jogszerűen az online marketing eszközei, és csak így kapnak a fogyasztók megfelelő védelmet. Új lehetőség például az úgynevezett programmatic buying – magyar megfelelője a célzott hirdetés, személyre szabott ajánlat –, melynek fogalmával a hirdetők többsége még csak most ismerkedik. Technológiája a cookie-kra épül, ezért alkalmazása adatvédelmi kérdéseket vet fel.

A személyre szabott ajánlat lényege, hogy a felhasználók viselkedéséről (arról, hogy éppen milyen weboldalt néznek, valamint arról, hogy eddigi viselkedésük alapján „kik” ők) a hirdetők azonnal információt kapnak. Így valós időben, automatákon keresztül licitálhatnak arra, hogy mennyit ér meg nekik, ha a hirdetésüket az adott felhasználó számára osztja ki a szerver (adserver). A felhasználóról szóló információt a felhasználó számítógépére telepített cookie-k – adatcsomagok, adatfile-ok – tartalmazzák. „Ahhoz azonban, hogy ez az adatkezelés jogszerű legyen, az érintetteknek kifejezetten bele kell egyezniük ebbe” – emelte ki dr. Dudás Gábor János, a KLART Legal partnere.

A cookie figyelmeztetés önmagában kevés

A szakértő szerint azonban ma még az a jellemző, hogy részletes tájékoztatás nélkül egy egyszerű felugró ablakban kérik a tartalomszolgáltatók az internetezők beleegyezését a cookie-k alkalmazásához, ez azonban így nem jogszerű. A beleegyezésnek ugyanis határozottnak, tájékozottnak, egyértelműnek, kifejezettnek és önkéntesnek kell lennie. Jogszerűtlen a beleegyezés, ha az érintett nem tudja, hogy mihez ad hozzájárulást, ha csak kipipálja vagy lekattintja a „tudomásul veszem” rubrikát, vagy ha a pipa már eleve bent van a kockában. Csak akkor megfelelő a tájékoztatás, ha ismerteti az adatgyűjtés tényét és célját, az érintettek körét, az adatkezelés időtartamát, az adatok megismerésére jogosultak körét és az adatvédelmi nyilvántartási számot.

Bizalmas iratok a kukában: jobban kell ügyelnünk
Még mindig egyáltalán nem figyelünk oda a megfelelő papíralapú adatkezelésre és iratmegsemmisítésre. A kb. 200 kg átnézett hulladékból 37 kg tartalmazott visszaélésre alkalmas adatokat, köztük olyan érdekes iratok kerültek elő, mint például magyarországi tartózkodási engedélykérelem vagy egy külföldi nagyhatalom hazánkhoz írt diplomáciai levele.

Manapság az emberek még nincsenek igazán tisztában döntésük jelentőségével, szeretnének gyorsan túlesni a hozzájáruláson, nem tudatosan döntenek. Erre lehet megoldás, ha az első betöltéskor csak korlátozott funkcionalitású oldal jelenik meg, amelyhez nem szükségesek a cookie-k. A teljesen jogszerű működés feltétele a beépített adatvédelem elvének alkalmazása volna.

A weboldalaknak felépítésükben minden ponton meg kellene felelniük az adatvédelmi követelményeknek, lehetővé kellene tenni, hogy a beállításokban adhassák meg az internetezők, hogy milyen cookie-k használatába egyeznek bele. Ugyanilyen fontos szempont, hogy a hozzájárulás nem szólhat örökre, azt a hosszabb ideig használt cookie-k esetében is szükséges időszakonként megújítani. „A szabályozás lemaradt a technológiai újítások mögött, késve igyekszik kezelni az új jogi problémákat, és mire 2018-ban hatályba lép az új uniós adatvédelmi rendelet, ma még nem is létező kérdésekre kell majd választ adnia” – emelte ki Dudás Gábor.

Szigorúbb büntetések jönnek

Dr. Szabó Endre Győző, a Nemzeti Adatvédelmi Információszabadság Hatóság elnökhelyettese az uniós adatvédelmi reformmal kapcsolatban elmondta, hogy a 2018. május 25-én hatályba lépő általános adatvédelmi rendelet tisztázza a felvetett problémákat, továbbá szigorítani fogja az adatvédelmi követelményeket, és megerősíti a hatóságokat is. A kérdéskör komolyságát támasztja alá, hogy 2018-tól jelentősen megnőnek az adatvédelmi jogsértések esetén kiszabható bírságtételek. Eddig ugyanis a maximális bírság a jogsértés súlyosságától függően maximum 20 millió forint lehetett, 2018-tól 10 vagy 20 millió eurós bírságra számíthatnak a jogsértők. „Jelentős előrelépés lesz az új rendeletben, hogy tisztázza a területi hatállyal kapcsolatos jogértelmezési nehézségeket. A rendelet világossá teszi, hogy attól függetlenül, hogy az adatkezelés hol folyik, ha az unióban élőket érinti, akkor az uniós szabályokat kell alkalmazni” – emelte ki dr. Szabó Endre Győző.

Kockázatkerülési kisokos webshopoknak
A webáruházaknak amellett, hogy állandóan optimalizálni kell a működésüket, hogy elérjék és aktivizálják a potenciális vásárlókat, azért nem szabad elfeledkezniük arról sem, hogy számos jogszabálynak kell megfelelniük. Dr. Ormos Zoltán, az OrmosNet ügyvezetője az E-Commerce Expón tartott előadásában olyan rangsort állított fel, melynek alapján könnyebben eldönthető, hogy melyik szabály mekkora büntetési kockázatot jelent a cégeknek.