2011. VIII. 3-ától egy régi-új jogszabály, a tavaly ismét módosított 2003. évi törvény az elektronikus hírközlésről szabályozza a sütik, vagy más néven cookiek használatának szabályait a Magyarország területén végzett, vagy területére irányuló elektronikus hírközlési tevékenységek eseteire. A szabályozás alapja – mint manapság majdnem minden hasonló szabálynak – az Unió vonatkozó irányelve, esetünkben a 2002/58/EK Irányelv, az Elektronikus hírközlési adatvédelmi irányelv(2002. 06. 12.)
A magyar szabályozás kicsit keményre és szűkszavúra sikeredett, a pontos definíció a fenn említett törvény 155. § negyedik bekezdésében található és a következőképpen hangzik:
155 § (4) Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni.
A megfogalmazás viszonylag egyértelmű: a felhasználót teljes körűen és részletesen tájékoztatni kellene, hogy mit akarunk, milyen adatot akarunk a hírközlő berendezésére, számítógépére, okostelefonjára felmásolni, majd miután ezt a felhasználó megértette, dokumentálható hozzájárulását megadta mehet az adat az eszközre. Természetesen a bizonyítási teher a süti elhelyezőjénél van, neki kell bizonyítani tudni, hogy a felhasználó a hozzájárulását megadta.
De nézzük mit mond az Unió irányelve(2002/58/EK) ugyanebben a témakörben:
(24) Az elektronikus hírközlő hálózatok felhasználóinak végberendezései és az azokon tárolt minden adat a felhasználók magánszférájának részét képezi, amelynek az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény alapján védelmet kell élveznie. Az úgynevezett kémszoftverek, web-poloskák, rejtett azonosítók és egyéb hasonló eszközök a felhasználó tudta nélkül bejuthatnak a felhasználó végberendezésébe adatszerzés, rejtett adatok tárolása vagy a felhasználó tevékenységeinek nyomon követése céljából, és súlyosan sérthetik e felhasználóknak a magánélet tiszteletben tartásához való jogát. Az ilyen eszközök alkalmazását kizárólag törvényes célból, az érintett felhasználók tudtával lehet engedélyezni.
Tehát az irányelv itt definiálja, hogy a felhasználó adatai védelmet élveznek és a rejtett azonosítók(sütik) csak a felhasználók tudtával alkalmazhatóak. De ez a részlet arra is rávilágít, hogy ez a Direktíva alapvetően a rossz szándékú, nem törvényes kódok ellen irányul, amelyek általában sunyin települnek az eszközre. De tény, hogy a fogalmazás itt is hagy némi értelmezési játékteret.
A Direktíva a következő pontban részleteiben is kifejti mire gondoltak megalkotói e témakörben:
(25) Azonban az ilyen eszközök, például az azonosításra szolgáló kódsorozatok – az úgynevezett “cookie”-k – törvényes és hasznos eszközök lehetnek például a honlaptervezés és a hirdetések hatékonyságának elemzése terén, valamint az on-line ügyletekben résztvevő felhasználók azonosítása terén. Amennyiben az ilyen eszközöket, például “cookie”-kat törvényes célra – például az információs társadalommal összefüggő szolgáltatások nyújtásának megkönnyítésére – szánják, használatuk azzal a feltétellel engedélyezhető, hogy a felhasználók a 95/46/EK irányelvnek megfelelően a cookie-k, illetve hasonló eszközök céljáról egyértelmű és pontos tájékoztatást kapnak, annak érdekében, hogy tudomásuk legyen az általuk használt végberendezésen elhelyezett adatokról. A felhasználók számára lehetőséget kell biztosítani arra, hogy megtagadják cookie-k vagy hasonló eszközök végberendezésükön történő tárolását. Ez különösen fontos, ha az eredeti felhasználón kívül más felhasználók is hozzáférhetnek a végberendezéshez, és ezáltal bármely, a berendezésen tárolt magánjellegű adathoz is. A felhasználó végberendezésére telepítendő különféle eszközök használatára vonatkozó tájékoztatás és a megtagadás joga egy csatlakozás alkalmával egyszer ajánlható fel, és ez kiterjedhet az ilyen eszközök későbbi csatlakozások során történő használatára is. A tájékoztatás során, valamint a megtagadási jog felajánlása és a hozzájárulás kérése során alkalmazott módszereket a lehető leginkább felhasználóbaráttá kell tenni. Ennek ellenére, bizonyos honlaptartalmakhoz való hozzáférést valamely “cookie”-nak vagy hasonló eszköznek a helyzet teljes ismeretében kinyilvánított elfogadásához lehet kötni, amennyiben az ilyen eszközt törvényes célból használják.
Az irányelv természetesen számos más vonatkozó bekezdéssel rendelkezik, itt van például a 5. cikk (3) bekezdése, amely a felmentéseket tartalmazza, nevezetesen azokat az eseteket, ahol a cookie mentesíthető a tájékoztatáson alapuló hozzájárulás követelménye alól. A harmadik bekezdésből három ilyen eset is levezethető: jelszóval védett munkamenetek azonosítása szolgáló, a bevásárló kosarakhoz használt, illetve a biztonsági célú sütik alkalmazásához nem kell előzetes hozzájárulás. A vonatkozó elv azon alapul, hogy a felhasználó kifejezetten kér egy szolgáltatást és ezt a szolgáltatást és ezt a szolgáltatást másképp a szolgáltató nem tudná nyújtani. (Részletesebb magyarázat: 16/2011. sz. vélemény a viselkedésalapú online reklám bevált gyakorlatára vonatkozó EASA/IAB-ajánlásról)
Nos van egy hazai kicsit szűkszavú, de konkrét szabályozásunk, sőt törvényünk és van egy bőbeszédű és több fordulóban tárgyalt Uniós Direktívánk, amelyek ugyan nem mondanak ellent egymásnak, de semmiképpen nem mondhatni, hogy egyértelmű és egyszerűen értelmezhető helyzetet teremtettek.
(Ht)
Kapcsolódó jogszabályok:
2003. évi törvény
az elektronikus hírközlésről