Webshopom van, like gombbal, Google térképpel, Analytics-el. Mit kezdjek a sütikkel?!
A legtöbb közösségi média használatát megkönnyítő (pl. megosztás, like) gomb, illetve a Google Maps© és Google Analytics© használata együtt jár olyan sütik működésével, melyeket alapesetben csak a felhasználó hozzájárulásával lehet alkalmazni... (Olvasási idő: 7 perc.)
Legutóbbi cikkünkben tisztáztuk a sütik jogi fogalmát.
Mai írásunkban segítséget nyújtunk ahhoz, hogy a sütik erdejében könnyen tájékozódhassunk, és szolgáltatóként, e-kereskedőként szabályszerűen tudjuk használni a honlapunk sütijeit. Ehhez 3 lépésben foglaltuk össze a lényeget.
1. lépés: besorolás
Először is egy pillanatra felidézzük korábbi cikkünkből a sütik csoportosítását:
1. csoport: Ún. valóban szükséges sütik, melyek a honlap működéséhez technikailag szükséges adatokon túl nem gyűjtenek további adatokat.
2. csoport: Látogatáselemző és célzott reklámozás érdekében adatot gyűjtő sütik, melyekkel a felhasználó érdeklődési köre, böngészési szokásai feltárhatók.
Tehát először meg kell határoznunk, hogy milyen sütiket használ a honlapunk, majd be kell sorolnunk azokat a fenti két csoportba. Ezután jellemzően a 2. csoportba tartozó sütiknek további felosztása lesz szükséges, a következő szempontok szerint.
2. lépés: elhatárolás
Fontos kérdés, hogy hol a határ a két süti-csoport között?
Jó példa erre az, amikor – jellemzően a Google Analytics szolgáltatását igénybe véve – ún. látogatáselemző eszközöket alkalmazunk honlapunkon. Ezek rendkívül hasznosak nekünk weboldal üzemeltetőknek, mivel ilyen adatelemzés segítségével tudjuk eredményesebbé tenni internetes tevékenységünket. Ugyanakkor beláthatjuk, hogy ezek a felhasználó szempontjából nem szükségesek a szolgáltatásunk igénybevételéhez, és ez az, amiért alapvetően már hozzájárulás kell az ilyen adatkezelést végző sütik alkalmazásához.
Ugyanakkor jó hír, hogy bizonyos kritériumok teljesítése esetén a saját látogatáselemzők használata az Európai Unió Adatvédelmi Munkacsoportjának javaslata szerint nem jelent adatvédelmi kockázati tényezőt, így elegendő lehet a felhasználó tájékoztatása. Ennek feltételei:
- kizárólag saját oldal forgalmára vonatkozó, anonim adatgyűjtés
- az adatok nem kerülnek továbbításra
- világos, részletes tájékoztatás
- felhasználó általi tiltás lehetősége.
Megjegyzendő, hogy a fentiek teljesülését minden esetben egyedi, gondos mérlegelésnek kell megelőznie.
Jogosan merül fel a kérdés, hogy ha – mint szinte mindenkié – az Ön honlapja is a Google Analytics elemző rendszerét használja, akkor megfelelhet-e a fenti feltételeknek, különösen az adattovábbítási tilalomnak?
Frissítés (2018): Alapesetben nem, ugyanis az adattovábbítás tilalma és az anonimitás nem teljesülnek a fenti feltételek közül. Ugyanakkor a Google - a GDPR-ra reagálva - már biztosítja az anonim látogatáselemzés lehetőségét, ami azt jelenti, hogy a felhasználó eszközének azonosításához szükséges IP címnek csak egy része kerül be a gyűjtött adatok közé ("IP maszkolás"). Ezzel a felhasználó eszköze utólag beazonosíthatatlanná válik, mely már jogi értelemben is anonim adatgyűjtést jelent.
Tehát a felhasználó hozzájárulása nélkül külső szolgáltatás igénybevétele esetén csak a fentiek szerinti anonim látogatáselemzés, vagy a fentebbi feltételeknek megfelelő saját látogatáselemző eszközök alkalmazása jogszerű. Az előzetes tájékoztatás ilyen esetekben is kötelező.
Ha IP címeket is tartalmazó látogatáselemző adatgyűjtést folytatunk, és az adatokat továbbítjuk (külső látogatáselemzés-szolgáltató esetében szükségszerűen ez történik), illetve további adatokat gyűjtő, ún. „követő” sütiket is alkalmazunk honlapunkon, akkor mindenképpen a felhasználó előzetes hozzájárulására van szükségünk. FONTOS, hogy amennyiben külső szolgáltató (pl. Google, Facebook) sütiket engedünk „dolgozni” a honlapunkon, és azok hozzájárulást igénylő adatgyűjtést végeznek, akkor is a MI FELEŐSSÉGÜNK a kellő tájékoztatás megadása és az előzetes hozzájárulás beszerzése, ha egyébként nem használjuk fel az adatokat (mert pl. nekünk csak a megosztás gomb alapszolgáltatása érdekes, a vele együtt megvalósuló követés nincs szándékunkban).
Fentiek tükrében már láthatjuk, hogy a legtöbb esetben legalább 3, de akár 4 kategóriába fogjuk sorolni a sütiket és az egyéb adatgyűjtő eszközöket. Ezek lehetnek:
1. A honlapunk technikai értelemben vett alapvető működtetéséhez szükséges sütik ( „elengedhetetlen”) – ezekről csak tájékoztatni kell a felhasználót.
2. A honlap alapvető funkcióinak praktikus használhatóságát biztosító sütik („funkcionális”) – szintén csak tájékoztatni kell a felhasználót.
3. "Látogatáselemzés" – ha nem anonim, akkor hozzájárulás kell.
4. "Marketing" (a látogatáselemzés adatainak felhasználása remarketinghez, illetve a felhasználó követését megvalósító technikákat is ide kell sorolnunk) – mindenképpen hozzájárulás kell.
3. lépés: a felhasználó hozzájárulásának kérése
Az első csoportba tartozó sütik alkalmazásához – ahogy korábban írtuk – nincs szükség hozzájárulásra, elég figyelmeztetni és tájékoztatni a felhasználót a honlap első betöltődésekor. Ugyanakkor ez esetben is elengedhetetlen a részletes tájékoztató, melynek mindenre kiterjedőnek kell lennie, akár csak a hozzájárulást igénylő sütik esetében.
Amennyiben olyan sütiket is használunk, melyekhez hozzájárulás kell, akkor – a jelenlegi hatósági elvárásnak megfelelően – az ilyen sütik működését megelőzően, sütinként külön-külön kell felhívni a figyelmet és elkérni a hozzájárulást. E nélkül nem kezdhetik meg az adatgyűjtést az ilyen eszközök.
Az Európai Unió Adatvédelmi Munkacsoportja 2012/4. számú Véleményében még elfogadhatónak tartotta, hogy a hozzájárulást igénylő sütik tekintetében egy figyelemfelhívás és mindenre kiterjedő tájékoztatást követően, egy alkalommal megadott hozzájárulással települhessenek a sütik. Ugyanakkor a magyar Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2017. januárjában kiadott tájékoztatójában kifejtett álláspontja szerint minden hozzájárulást igénylő süti használatához egyenként, külön-külön kell elkérni a hozzájárulást, amit kellően világos és egyértelmű tájékoztatás kell megelőzzön.
Mindez a gyakorlatban azt jelenti, hogy amint aktiválódna egy ilyen süti, előtte felugró ablakban kell röviden, de az adott süti által végzett konkrét adatkezelés lényegét ismertetve tájékoztatni a felhasználót, és a figyelmeztető ablakból elérhetővé kell tenni a mindenre kiterjedő részletes tájékoztatót. Ebben a figyelmeztető ablakban hozzájárulásról, elfogadásról nyilatkozik a felhasználó, de amennyiben ezt megtagadja, meg kell akadályozni az adott süti települését.
A részletes tájékoztató tartalmát komplex szempontrendszer határozza meg, amit mindig a konkrét webáruház, weboldal egyedi adatkezelési folyamatait figyelembe véve kell elkészíteni.
A fentieknek való megfelelés sok esetben elég bonyolult és a böngészési élményt meglehetősen lerontó megoldást eredményezne. Ugyanakkor a fentebb felvázolt 4 kategóriába sorolt sütik esetén, a hozzájárulást igénylő kategóriákba tartozó sütik működésének alaphelyzetként történő blokkolása, illetve a felhasználó kategóriánként beszerzett előzetes hozzájárulását követően történő alkalmazása jogszerű megoldás lehet. Ehhez gondosan kell megállapítani, hogy az adott honlap esetében milyen sütik működnek, azokat a fenti szempontok szerint hány kategóriába kell sorolni, és melyeket kell blokkolni a felhasználó hozzájárulásáig. Nem kizárt azonban, hogy egyes esetekben a fenti 4-nél több kategóriára osztott sütikre vonatkozóan akár 3-4 külön hozzájárulást kell kérnünk a jogszerű működés érdekében.
Elsőre bonyolultnak látszik a megvalósítás – és sok esetben az is –, de többnyire elérhető olyan végeredmény, mellyel minden szabály betartása mellett a felhasználó számára mégis élhető marad a honlap, webshop használata.
Tehát, a weboldala által alkalmazott sütik típusaitól függően, de amire mindenképpen szüksége van Önnek a jogszerű szolgáltatáshoz:
- a sütik tudatos alkalmazása (az Önnek felesleges funkciók tiltása)
- rövid, figyelemfelhívó tájékoztatás (pl. "felugró ablak")
- megfelelő tartalmú adatkezelési tájékoztató.
Amennyiben működnek a honlapon a felhasználó hozzájárulását igénylő sütik:
- hozzájárulások beszerzése adatkezelési céltól függően a megfelelő módon és időben (ezt megelőzően illetve a hozzájárulás megtagadása esetén az adott sütik blokkolása)
- a sütik felhasználó általi ki- bekapcsolását lehetővé tevő alkalmazás.
Amennyiben segítségre van szüksége a fentiek megvalósítása során, forduljon a Webshopjogászhoz.
Ha van olyan ismerőse, akinek Ön szerint írásunk hasznos lehet, ossza meg vele! (Ha nem látja itt a Facebook "Megosztás" gombját, akkor Ön még nem engedélyezte a "marketing" kategóriába tartozó sütiket.)
Az Európai Unió Adatvédelmi Munkacsoportjának 2012/4. számú Véleménye itt érhető el:
Az Európai Unió Adatvédelmi Munkacsoportjának 2012/4. számú Véleménye
A NAIH tájékoztatója a webáruházakra vonatkozó adatvédelmi követelményekről itt érhető el:
Tájékoztató a webáruházakra vonatkozó adatvédelmi követelményekről
Mai írásunkban segítséget nyújtunk ahhoz, hogy a sütik erdejében könnyen tájékozódhassunk, és szolgáltatóként, e-kereskedőként szabályszerűen tudjuk használni a honlapunk sütijeit. Ehhez 3 lépésben foglaltuk össze a lényeget.
1. lépés: besorolás
Először is egy pillanatra felidézzük korábbi cikkünkből a sütik csoportosítását:
1. csoport: Ún. valóban szükséges sütik, melyek a honlap működéséhez technikailag szükséges adatokon túl nem gyűjtenek további adatokat.
2. csoport: Látogatáselemző és célzott reklámozás érdekében adatot gyűjtő sütik, melyekkel a felhasználó érdeklődési köre, böngészési szokásai feltárhatók.
Tehát először meg kell határoznunk, hogy milyen sütiket használ a honlapunk, majd be kell sorolnunk azokat a fenti két csoportba. Ezután jellemzően a 2. csoportba tartozó sütiknek további felosztása lesz szükséges, a következő szempontok szerint.
2. lépés: elhatárolás
Fontos kérdés, hogy hol a határ a két süti-csoport között?
Jó példa erre az, amikor – jellemzően a Google Analytics szolgáltatását igénybe véve – ún. látogatáselemző eszközöket alkalmazunk honlapunkon. Ezek rendkívül hasznosak nekünk weboldal üzemeltetőknek, mivel ilyen adatelemzés segítségével tudjuk eredményesebbé tenni internetes tevékenységünket. Ugyanakkor beláthatjuk, hogy ezek a felhasználó szempontjából nem szükségesek a szolgáltatásunk igénybevételéhez, és ez az, amiért alapvetően már hozzájárulás kell az ilyen adatkezelést végző sütik alkalmazásához.
Ugyanakkor jó hír, hogy bizonyos kritériumok teljesítése esetén a saját látogatáselemzők használata az Európai Unió Adatvédelmi Munkacsoportjának javaslata szerint nem jelent adatvédelmi kockázati tényezőt, így elegendő lehet a felhasználó tájékoztatása. Ennek feltételei:
- kizárólag saját oldal forgalmára vonatkozó, anonim adatgyűjtés
- az adatok nem kerülnek továbbításra
- világos, részletes tájékoztatás
- felhasználó általi tiltás lehetősége.
Megjegyzendő, hogy a fentiek teljesülését minden esetben egyedi, gondos mérlegelésnek kell megelőznie.
Jogosan merül fel a kérdés, hogy ha – mint szinte mindenkié – az Ön honlapja is a Google Analytics elemző rendszerét használja, akkor megfelelhet-e a fenti feltételeknek, különösen az adattovábbítási tilalomnak?
Frissítés (2018): Alapesetben nem, ugyanis az adattovábbítás tilalma és az anonimitás nem teljesülnek a fenti feltételek közül. Ugyanakkor a Google - a GDPR-ra reagálva - már biztosítja az anonim látogatáselemzés lehetőségét, ami azt jelenti, hogy a felhasználó eszközének azonosításához szükséges IP címnek csak egy része kerül be a gyűjtött adatok közé ("IP maszkolás"). Ezzel a felhasználó eszköze utólag beazonosíthatatlanná válik, mely már jogi értelemben is anonim adatgyűjtést jelent.
Tehát a felhasználó hozzájárulása nélkül külső szolgáltatás igénybevétele esetén csak a fentiek szerinti anonim látogatáselemzés, vagy a fentebbi feltételeknek megfelelő saját látogatáselemző eszközök alkalmazása jogszerű. Az előzetes tájékoztatás ilyen esetekben is kötelező.
Ha IP címeket is tartalmazó látogatáselemző adatgyűjtést folytatunk, és az adatokat továbbítjuk (külső látogatáselemzés-szolgáltató esetében szükségszerűen ez történik), illetve további adatokat gyűjtő, ún. „követő” sütiket is alkalmazunk honlapunkon, akkor mindenképpen a felhasználó előzetes hozzájárulására van szükségünk. FONTOS, hogy amennyiben külső szolgáltató (pl. Google, Facebook) sütiket engedünk „dolgozni” a honlapunkon, és azok hozzájárulást igénylő adatgyűjtést végeznek, akkor is a MI FELEŐSSÉGÜNK a kellő tájékoztatás megadása és az előzetes hozzájárulás beszerzése, ha egyébként nem használjuk fel az adatokat (mert pl. nekünk csak a megosztás gomb alapszolgáltatása érdekes, a vele együtt megvalósuló követés nincs szándékunkban).
Fentiek tükrében már láthatjuk, hogy a legtöbb esetben legalább 3, de akár 4 kategóriába fogjuk sorolni a sütiket és az egyéb adatgyűjtő eszközöket. Ezek lehetnek:
1. A honlapunk technikai értelemben vett alapvető működtetéséhez szükséges sütik ( „elengedhetetlen”) – ezekről csak tájékoztatni kell a felhasználót.
2. A honlap alapvető funkcióinak praktikus használhatóságát biztosító sütik („funkcionális”) – szintén csak tájékoztatni kell a felhasználót.
3. "Látogatáselemzés" – ha nem anonim, akkor hozzájárulás kell.
4. "Marketing" (a látogatáselemzés adatainak felhasználása remarketinghez, illetve a felhasználó követését megvalósító technikákat is ide kell sorolnunk) – mindenképpen hozzájárulás kell.
3. lépés: a felhasználó hozzájárulásának kérése
Az első csoportba tartozó sütik alkalmazásához – ahogy korábban írtuk – nincs szükség hozzájárulásra, elég figyelmeztetni és tájékoztatni a felhasználót a honlap első betöltődésekor. Ugyanakkor ez esetben is elengedhetetlen a részletes tájékoztató, melynek mindenre kiterjedőnek kell lennie, akár csak a hozzájárulást igénylő sütik esetében.
Amennyiben olyan sütiket is használunk, melyekhez hozzájárulás kell, akkor – a jelenlegi hatósági elvárásnak megfelelően – az ilyen sütik működését megelőzően, sütinként külön-külön kell felhívni a figyelmet és elkérni a hozzájárulást. E nélkül nem kezdhetik meg az adatgyűjtést az ilyen eszközök.
Az Európai Unió Adatvédelmi Munkacsoportja 2012/4. számú Véleményében még elfogadhatónak tartotta, hogy a hozzájárulást igénylő sütik tekintetében egy figyelemfelhívás és mindenre kiterjedő tájékoztatást követően, egy alkalommal megadott hozzájárulással települhessenek a sütik. Ugyanakkor a magyar Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2017. januárjában kiadott tájékoztatójában kifejtett álláspontja szerint minden hozzájárulást igénylő süti használatához egyenként, külön-külön kell elkérni a hozzájárulást, amit kellően világos és egyértelmű tájékoztatás kell megelőzzön.
Mindez a gyakorlatban azt jelenti, hogy amint aktiválódna egy ilyen süti, előtte felugró ablakban kell röviden, de az adott süti által végzett konkrét adatkezelés lényegét ismertetve tájékoztatni a felhasználót, és a figyelmeztető ablakból elérhetővé kell tenni a mindenre kiterjedő részletes tájékoztatót. Ebben a figyelmeztető ablakban hozzájárulásról, elfogadásról nyilatkozik a felhasználó, de amennyiben ezt megtagadja, meg kell akadályozni az adott süti települését.
A részletes tájékoztató tartalmát komplex szempontrendszer határozza meg, amit mindig a konkrét webáruház, weboldal egyedi adatkezelési folyamatait figyelembe véve kell elkészíteni.
A fentieknek való megfelelés sok esetben elég bonyolult és a böngészési élményt meglehetősen lerontó megoldást eredményezne. Ugyanakkor a fentebb felvázolt 4 kategóriába sorolt sütik esetén, a hozzájárulást igénylő kategóriákba tartozó sütik működésének alaphelyzetként történő blokkolása, illetve a felhasználó kategóriánként beszerzett előzetes hozzájárulását követően történő alkalmazása jogszerű megoldás lehet. Ehhez gondosan kell megállapítani, hogy az adott honlap esetében milyen sütik működnek, azokat a fenti szempontok szerint hány kategóriába kell sorolni, és melyeket kell blokkolni a felhasználó hozzájárulásáig. Nem kizárt azonban, hogy egyes esetekben a fenti 4-nél több kategóriára osztott sütikre vonatkozóan akár 3-4 külön hozzájárulást kell kérnünk a jogszerű működés érdekében.
Elsőre bonyolultnak látszik a megvalósítás – és sok esetben az is –, de többnyire elérhető olyan végeredmény, mellyel minden szabály betartása mellett a felhasználó számára mégis élhető marad a honlap, webshop használata.
Tehát, a weboldala által alkalmazott sütik típusaitól függően, de amire mindenképpen szüksége van Önnek a jogszerű szolgáltatáshoz:
- a sütik tudatos alkalmazása (az Önnek felesleges funkciók tiltása)
- rövid, figyelemfelhívó tájékoztatás (pl. "felugró ablak")
- megfelelő tartalmú adatkezelési tájékoztató.
Amennyiben működnek a honlapon a felhasználó hozzájárulását igénylő sütik:
- hozzájárulások beszerzése adatkezelési céltól függően a megfelelő módon és időben (ezt megelőzően illetve a hozzájárulás megtagadása esetén az adott sütik blokkolása)
- a sütik felhasználó általi ki- bekapcsolását lehetővé tevő alkalmazás.
Amennyiben segítségre van szüksége a fentiek megvalósítása során, forduljon a Webshopjogászhoz.
Ha van olyan ismerőse, akinek Ön szerint írásunk hasznos lehet, ossza meg vele! (Ha nem látja itt a Facebook "Megosztás" gombját, akkor Ön még nem engedélyezte a "marketing" kategóriába tartozó sütiket.)
Az Európai Unió Adatvédelmi Munkacsoportjának 2012/4. számú Véleménye itt érhető el:
Az Európai Unió Adatvédelmi Munkacsoportjának 2012/4. számú Véleménye
A NAIH tájékoztatója a webáruházakra vonatkozó adatvédelmi követelményekről itt érhető el:
Tájékoztató a webáruházakra vonatkozó adatvédelmi követelményekről