Az európai adatvédelmi biztosok 29-es Adatvédelmi Munkacsoportja júniusban publikálta álláspontját a cookie-k használatáról. A munkacsoport véleménye szerint az Európai Parlament és a Tanács által elfogadott 2002/58/EK hírközlési irányelv tavaly novemberi módosításának alapján felhasználói hozzájáruláshoz kötött lesz a viselkedés alapú reklámok elősegítésére használt cookie-k (sütik) igénybevétele.

Eszerint a jövőben nem lesz elegendő a tájékoztatás és a böngészőkben lévő letiltás lehetősége, hanem a cookie-k használatához a felhasználó előzetes hozzájárulására lesz szükség. Kulcsár Zoltán adatvédelmi szakértő blogján külön elemezte a kérdést.

A sütik lényege
A cookie a webszerver által küldött információcsomag, melyet a felhasználó számítógépe tárol, és lehetőséget biztosít egyes adatainak lekérdezésére, a felhasználó internethasználatának nyomon követésére. Netezés során a meglátogatott weboldalak rögzítik a felhasználó ip-címét, esetleg cookie-t telepítenek számítógépére, melynek segítségével böngészése során követhető az érintett. Ebből kifolyólag a munkacsoport szerint a cookie személyes adatnak tekintendő, mivel a felhasználó pontosabb azonosítására ad lehetőséget, mint az ip-cím.

Az eddigi szabályozás szerint a cookie-k kezeléséről elegendő volt az adatkezelési tájékoztatókban informálni a honlapot felkereső személyeket, a felhasználók pedig eldönthették, a böngésző vagy a szolgáltatás beállításainak lehetőségével élve korlátozzák illetve megtiltják-e a cookie-k kezelését, törlik-e a cookie-kat, vagy sem.

Tekintettel arra, hogy vélhetően a felhasználók döntő része nincs tisztában sem a cookie-k kezelésével és felhasználási lehetőségeivel, sem pedig a letiltás módjával kapcsolatosan, a cookie-k kezelésére vonatkozó szabályok jelentősen szigorodnak.

Nem elég az opt-out
A módosított irányelv előírja, hogy a felhasználó számítógépében történő adattárolás, és az ott tárolt adatokhoz való hozzáférés – amilyen a cookie-t kezelő technológia – csak akkor lesz megengedett, ha a felhasználó teljes körű tájékoztatás alapján ehhez egyértelmű, előzetes hozzájárulását adta.

A munkacsoport véleménye szerint a szolgáltatóknak nem kellene minden egyes alkalommal beszerezni az érintett hozzájárulását, azonban az eredeti hozzájárulást időben korlátozni kellene és lehetőséget kell biztosítania a bármikori, egyszerű visszavonásra. Továbbá szükséges lenne egy ikon, szimbólum létrehozása, mely minden olyan honlapon jól láthatóan elhelyeznek, ahol cookie-t telepítenek, és így a nyomon követik a felhasználókat. Ez az ikon nemcsak a cookie-k telepítésére és a nyomon követésre figyelmeztetne, hanem visszajelzést is adna az érintettnek beleegyezése érvényességéről.

Jövőre jöhet a java
Az adatkezelőknek biztosítaniuk kell az érintettek hozzáférési, helyesbítési, törlési jogainak érvényesítését, melyhez már rendelkezésre állnak azok a cookie azonosítószámán alapuló technikai megoldások, melyek segítségével lehetővé válik azok személyenkénti módosítása, törlése. Azt is biztosítani kell, hogy az összegyűjtött adatokat az adatkezelés céljának megvalósulásához szükséges idő után automatikusan töröljék.

A megfelelő tájékoztatás előfeltétele az is, hogy a viselkedés alapú reklámmal kapcsolatos információkat nem a honlap általános feltételei között vagy adatvédelemmel foglalkozó részében helyezzék el. A munkacsoport véleménye szerint ezt a tájékoztatást mindenki számára könnyen hozzáférhetően, a honlap jól látható területén kell elhelyezni.

A szolgáltatóknak biztosítaniuk kell az érintettek tájékoztatását a cookie-k telepítéséért és az adatok gyűjtéséért felelős személy kilétéről, valamint arról, hogy milyen információkat rögzítenek és hogy az adatok gyűjtésének célja egy felhasználói profil létrehozása. A tájékoztatásnak ki kell térnie arra is, hogy a profilokat célzott reklámüzenetek továbbítására fogják használni, és hogy a cookie alkalmas a felhasználó több weboldalon keresztüli követésére.

Persze sem a hírközlési irányelv, sem pedig a 29-es munkacsoport véleménye nem kötelező az adatkezelők részére. Az irányelv viszont tartalmazza azt is, hogy a tagországok kötelesek implementálni azt a helyi jogszabályi rendszerbe. Ennek 2011 májusáig meg kell történnie, ezek a törvénymódosítások pedig minden szolgáltató számára kötelező érvényűek lesznek.

A téma Kulcsár Zoltán által készített bővebb elemzése itt, az elektronikus hírközlési adatvédelmi irányelv módosítása itt, a 29-es munkacsoport ajánlása pedig itt olvasható.