Melyik sütit szereti a NAIH?

szerző: dr. bodori kamilla

Az elmúlt évek nyilvánosságra hozott hatósági döntések közül összefoglaltuk azokat, amelyek a mindennapi adatkezelési folyamatok során leggyakrabban felmerültek, és adott esetben bírságot eredményeztek. 

A weboldalon elhelyezett sütik

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) egy vizsgálata során 2022. évben egy eljárás alá vonttal szembeni, az egyes weboldalakkal kapcsolatos adatkezelések vizsgálatára vonatkozó adatvédelmi hatósági eljárásában megállapította, hogy a weboldalakon szereplő tájékoztatás nem volt megfelelő, az oldalak működéséhez szükséges és nem szükséges adatok kezelése nem különült el egymástól világosan, valamint a sütikhez kért hozzájárulás nem felelt meg az általános adatvédelmi rendelet („GDPR”) rendelkezéseinek. Az összefoglaltakra tekintettel a NAIH 10.000.000,- Ft összegű bírságot szabott ki az adatkezelővel szemben. 

A NAIH határozatában több elvárást is megfogalmazott mind a tájékoztatási kötelezettség, mind pedig a sütihasználat jogszerűsége kapcsán. E körben a NAIH kifejtette, hogy az adatkezelő a hozzájárulás megszerzése előtt köteles olyan tájékoztatást nyújtani az érintett részére, amely alapján tájékozott hozzájárulás adható. Az adatkezeléshez történő érintetti hozzájárulás csak akkor lehet érvényes, ha azt konkrét célokra – célonként külön megadhatóan – kérik, és előtte megfelelő tájékoztatást nyújtanak, amely olyan helyzetbe hozza az érintettet, hogy megfelelő döntést tudjon hozni a hozzájárulás megadásáról, és megfelel az általános adatvédelmi rendeletben előírt valamennyi egyéb érvényességi követelménynek. A GDPR rendelet szerint az adatkezelőnek az érintett számára olyan segítséget kell nyújtania, hogy az minden érintetti jogát tájékozottan tudja gyakorolni. A tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani az érintettek számára. A rendkívül hosszú tájékoztató szöveg a képernyő indokolatlanul kicsi területén, mely egyszerre néhány soronként olvasható, nem megfelelő. A személyes adatokat és a sütiket tételesen meg kel jelölni, a sütik célját pontosan meg kell határozni, valamint helytelen az, ha a hozzájárulás és jogos érdek jogalapú sütik esetén érdemben azonos célok kerülnek feltüntetésre.

A sütik segítségével történő adatkezelés jogszerűsége kapcsán a NAIH kijelentette, hogy a megfelelő tájékoztatás hiányában főszabály szerint a hozzájárulásra alapított adatkezelés önmagában jogszerűtlen. Az érvényes hozzájáruláshoz minimum követelményként szükség van a tájékoztatóban az adatkezelő kilétének, az adatkezelés céljának, a gyűjtött adatok típusának meghatározására, valamint fel kell hívni az érintett figyelmét a hozzájárulás visszavonásához való jogára, adott esetben fel kell tüntetni az adatok automatizált döntéshozatal céljából történő felhasználására vonatkozó tájékoztatást, illetve az adattovábbításoknak a megfelelőségi határozat és a GDPR 46. cikkben ismertetett megfelelő garanciák hiányából fakadó lehetséges kockázatait. Ezen minimum követelményeken felül szükség van továbbá minden olyan információ megadására is, amely fontos lehet egy tipikus érintett döntésénél. 

Kiemelendő továbbá, hogy a hozzájárulás visszavonásának ugyanolyan egyszerűnek kell lennie, mint a hozzájárulás megadásának, valamint, amennyiben az adatkezelés jogalapjaként jogos érdek kerül megjelölésre, úgy minden esetben érdekmérlegelési tesztet kell készíteni. 

Az adatkezelési tájékoztató

Egy 2020. augusztusi határozatában a NAIH figyelmeztetésben részesített egy adatkezelőt az adatkezelési tájékoztató valósággal nem egyezőségére, illetve az abban fellelhető hiányokra tekintettel.

A határozatból egyértelműen kiderül, hogy az adatkezelési tájékoztatónak meg kell felelnie a valóságnak, azaz abban kizárólag az adatkezelő gyakorlatban ténylegesen megvalósuló adatkezelését kell leképezni, a valóságban nem folytatott adatkezelésekre vonatkozó részek törlendőek az adatkezelési tájékoztatójából. Az adatkezelési tájékoztatóban foglaltakat tömören, átláthatóan, érthetően és könnyen hozzáférhető formában kell rögzíteni. 

Az adatkezelés jogalapját egyértelműen, az egyes kezelt adattípusokhoz és célokhoz rendelten kell meghatározni. A GDPR rendeletben taxatívan felsorolt jogalapok egyikén kell, hogy alapuljon minden egyes személyes adat minden egyes célból történő kezelése, amelynek egyértelműen ki kell tűnnie az adatkezelési tájékoztatóból. Az érintetti jogok gyakorlásáról – különös tekintettel a hozzáférési és törlési jogra –, valamint az érintett jogorvoslati jogairól (a NAIH-hoz vagy bírósághoz fordulás lehetősége és módja) az adatkezelési tájékoztatónak minden esetben tömör, de informatív tájékoztatást kell nyújtania.

A NAIH egy korábbi, 2018. évi ügyben arról adott tájékoztatást, hogy az érintett hozzájárulása csak abban az esetben kerülhet megjelölésre az adatkezelés jogalapjaként, ha az megfelelő előzetes tájékoztatáson alapul, azaz ha a tájékoztatás alapján az érintett képes felismerni, hogy az adott adatkezelés milyen hatással van az információs önrendelkezési jogára és a magánszférájára. Ezen megfelelő tájékoztatás lényeges feltétele, hogy az igazodjon az érintettek köréhez és közérthető legyen. 

Az Adatvédelmi Munkacsoport iránymutatása alapján, amennyiben megállapítható, hogy egy alkalmazásnak/webhelynek adott országban, pl. Magyarországon élő/tartózkodó címzettjei van – például azért, mert az alkalmazás/webhely ezen a nyelven (magyarul) is hozzáférhető –, elvárható, hogy az adatvédelmi tájékoztató az adott ország nyelvén (magyarul) is elérhető legyen. Ennek hiánya a világos és közérhető megfogalmazás követelményének sérelmét jelentheti és a megfelelő tájékoztatás hiánya miatt a GDPR rendelkezéseit sértheti.  

 

Kérdése van?
Írjon nekünk

adatvédelmi szabályzatot

1117 Budapest, Alíz u. 1.
Office Garden A épület 5. emelet