Süti kezelés (cookie)
A süti néven ismert apró ártalmatlan vagy éppen problémás adathalmazok körül meglehetősen sok bizonytalanság volt jelen már a GDPR előtt is, majd a rendelet megjelenése után végképpen nem tudták sokan eldönteni, hogy mi a helyes megközelítés.
Rendelkezik-e a GDPR a sütikről?
A GDPR gyakorlatilag nem ír semmit közvetlenül a sütikről, egy helyen említi, mint olyan egyedi adat, ami alapján valaki esetleg azonosítható. GDPR hatóköre alá akkor tartozhatnának a sütik, ha azonosítható magánszemélyhez kapcsolódó adatokról van szó, de ez az esetek elenyésző hányadától tekintve nem egyértelműen kijelenthető.
Mi rendelkezik a sütikről?
Jelen pillanatban a 2009/136/EC irányelv alapján készült egyes nemzeti törvények szabályozzák a sütikezelés mikéntjét. Az Unióban az irányelv, a rendelettel ellentétben, nem törvényi erejű, hanem olyan szabályrendszer, amit az egyes tagállamok saját belátásuk szerint kell implementálnak törvénykezésükben.
Ennél fogva elég kacifántos a helyzet, ugyanis ez azt jelenti, hogy Európa szerte, a különféle országok, helyenként eltérő süti törvénye adja ennek a hátterét. Legalábbis ez van jelenleg, ugyanis amint elfogadásra kerül az E-Privacy Regulation nevezetű rendelet, onnantól fogva ez ismét megváltozik. (Ennek pontos dátuma nem ismert.)
Bemutatjuk a mostani szabályokat is és a jövőbiztos süti megoldást is ismertetjük.
Itt és most
A jelenlegi hazai törvény nemes egyszerűséggel azt mondja, hogy a süti elhelyezéséhez a felhasználó hozzájárulására van szükség [1]. A GDPR-ban jártas olvasót óvva kell intenem, mert a hozzájárulás alatt nem a GDPR definíciót kell értenünk, hovatovább, a nemzeti törvénykezésben az itt említett hozzájárulásnak tulajdonképpen nincs is pontos meghatározása.
Ennek megfelelően, egészen sokféle megoldás született a piacon. Láthatunk olyan cookie hozzájárulást, amely nem több egy „rendben” gombnál vagy hovatovább, arról értesít minket a honlap, hogy a böngészés folytatásával elfogadjuk a sütiket (miközben egyébként már le is rakta azokat.) Még ha a hozzájárulás jogilag nem is kellően definiált, a fenti gyakorlat akkor sem elfogadható.
Elsőként, bár a hazai szövegezésből kihúzták, de a legtöbb külföldi törvényben ott van, hogy hozzájárulás előzetes. Tehát, amikor valaki a honlapra téved, akkor nem helyes megoldás, hogy az érkezés pillanatában már elhelyezésre kerül a süti.
Valódi választást kell adnunk, ami azt jelenti, hogy az „elfogadom” gomb mellett kell hogy szerepeljen az „elutasítom” is. Ha több süti van, akkor ez lehet „mindet elfogadom / mindet elutasítom”.
További információ és beállítások Mindet elutasítom Mindet elfogadom
Ezek a jelenleg minimálisan elvárt megoldások a sütik kapcsán, de mindenkinek azt javasoljuk, hogy a következő fejezetben tárgyalt süti kezelést valósítsa meg. Különösen akkor, ha nemzetközi honlapot üzemeltet, mivel az egyes uniós országokban már kezdenek megjelenni azok az iránymutatások amik a következő fejezetben tárgyalt gyakorlatot követelik meg [2].
A nem túl távoli jövőben
Ha az E-Privacy rendeletet elfogadják, az a GDPR-hoz hasonlóan az összes uniós tagországra teljes terjedelmében azonnal érvényes lesz. A legfontosabb változás, hogy a rendelet kimondja, hogy a hozzájárulást a GDPR által definiált módon kell értelmezni [3]. Azaz a fent vázolt „könnyű” hozzájárulást felváltja egy jóval komplikáltabb változat.
A rendelet továbbá azt írja elő, hogy csak akkor lehet sütit elhelyezni, ha az [4]
- az adatátvitelhez szükséges; vagy
- a szolgáltatáshoz elengedhetetlenül szükséges; vagy
- a felhasználó hozzájárult; vagy
- a szolgáltató által végzett honlaplátogatási statisztikát szolgálja.
Nézzük át, mit jelentenek ezek az esetek! A honlaplátogatási statisztika kapcsán, az analitikai eszközökről való tudnivalót, egy ennek szentelt fejezetben bőségesen kitárgyaltuk.
Az adatátvitelhez vagy szolgáltatáshoz elengedhetetlenül szükséges sütik közé tartozhat a session sütik vagy más alapvető beállításokat tartalmazó adat, amihez a fentiek értelmében nem kell hozzájárulás. Ezt szokás „alapvető” vagy „feltétlenül szükséges” sütinek hívni.
Minden máshoz a felhasználó hozzájárulására van szükség.
Hogy néz ki ez a hozzájárulás, mitől más mint az eddigi? A GDPR szabályainak kizárólag úgy fog ez megfelelni, ha:
- a hozzájárulás előzetes,
- az egyes célokhoz külön hozzájárulás történik,
- hozzájárulásnál nincs előzetesen megjelölve az elfogadás,
- a hozzájárulás informált döntésen alapul,
- a hozzájárulás legalább olyan egyszerűen visszavonható, mint ahogy azt megadtuk.
Ezeket a tételeket mutatjuk be az alábbi példán keresztül. Ehhez hasonlóval elvétve már lehet találkozni az interneten. Ez a megoldás az úgynevezett „cookiewall”, amikor a felugró ablak nem engedi tovább a felhasználót, amíg nem nyilatkozik a süti választásairól, de más, kevésbé agresszív megvalósítás is elfogadható.
Tisztelt honlap látogató! Amennyiben hozzájárulását adja, weblapunk kényelmi, viselkedés elemzési és marketing célokkal sütiket helyez el gépén. Kérjük nyilatkozzon, mely sütikhez járul hozzá!
| Süti típusa | ||
|---|---|---|
|
Kényelmi sütik A kényelmi sütik megjegyzik a honlappal kapcsolatos beállításait, mint például a nyelv, pénznem, stb. További információk |
||
|
Analitikai sütik Az analitikai sütik a látogatók viselkedését segítik számunkra megérteni, mint például, hogy milyen gyakran látogatják meg honlapunkat. További információk |
||
|
Marketing sütik A marketing sütik a célzott reklámok elhelyezését szolgálják honlapunkon, illetve más olyan weblapokon, amelyek része a Google AdSense hálózatnak. További információk |
A példában látható, hogy az egyes célokhoz külön választókapcsolót ajánl fel a rendszer, így az érintett kellő részletességgel tud nyilatkozni. Nincs sem az hozzájárulás, sem az elutasítás előre kiválasztva, nincs az egyik jobban hangsúlyozva a másiknál. Az egyes kategóriák alatt a „tovább” gombra bővebb információt adhatunk az érintettnek, így megvalósul az informáltság is.
Szükséges ugyancsak, hogy a felhasználó utólag meg tudja ezeket a beállításokat változtani. Ehhez ugyanezt a választómezőt elhelyezhetjük az adatkezelési tájékoztatóban vagy más témához kapcsolódó menüpont alatt, ahol bárki újrakonfigurálhatja a sütibeállításait.
Ha a sütiből élünk
A fentiek kapcsán többször kaptuk azt a visszajelzést, hogy ilyen feltételek mellett a felhasználók nem fognak feliratkozni a remarketing sütikre, ami komoly bevétel kiesés azoknak a honlapoknak, amik ebből fedezik költségeiket vagy erre hagyatkozva kötnek jelentős mennyiségű üzletet.
Tanácsadóként csak azt tudjuk mondani, hogy a szabályok ezek, a szolgáltató dönt arról, hogy mennyire igazodik hozzájuk. Vannak olyan honlapok, amik mindezen nehezítések ellenére meg tudták oldani azt, hogy a felhasználók nagy számba hagyják jóvá a sütiket. Például azzal, hogy felhívták a látogató figyelmét arra, hogy a honlapot a reklámbevételekből tartják fent és kérik, hogy járuljon hozzá a sütik elhelyezéséhez.