Valós jogok egy virtuális világban

Következetesebb fellépés és szigorúbb büntetések várnak az adatvédelmi szabályokat megsértő adatkezelőkre az online marketing területén is

2016. június 18. - KLART

klart-image-1244x410-4.jpg

A webes tartalomszolgáltatók többsége jogsértő módon tárolja és használja a látogatók adatait, sokan szabálytalanul építik fel kampányaikat a közösségi oldalakon is. Az adatvédelmi szabályozás megpróbálja követni a technológiai újítások teremtette kihívásokat, ezért a 2018 májusában hatályba lépő uniós adatvédelmi rendelet bevezetése után tisztább feltételekre és szigorúbb büntetésekre számíthatnak az érintettek.

A technológia kínálta új lehetőségeket és a hozzájuk kapcsolódó szabályozási kérdéseket érdemes összefüggésükben vizsgálni, mert csak így használhatók jogszerűen az online marketing eszközök, és csak így kapnak a fogyasztók megfelelő védelmet. Például az úgy nevezett „programmatic buying” – melynek fogalmával a hirdetők és az ügynökségek többsége még csak most ismerkedik hazánkban – technológiája a cookie-kra épül, ezért alkalmazása adatvédelmi kérdéseket vet fel.

A programmatic buying lényege, hogy a felhasználók viselkedéséről (arról, hogy éppen milyen weboldalt néznek, valamint arról, hogy eddigi viselkedésük alapján „kik” ők) a hirdetők azonnal információt kapnak. Így valós időben automatákon keresztül licitálhatnak arra, hogy mennyit ér meg nekik, ha a hirdetésüket az adott felhasználó számára osztja ki a szerver (adserver). Aki a legtöbbet kínálja a reklámhelyért, az helyezheti el az adott felületen a hirdetését. A felhasználóról szóló információt a cookie-k – adatcsomagok, adatfile-ok – tartalmazzák. A website-ok cookie-kat telepítenek a felhasználó gépére, amelyben róla szóló információkat gyűjtenek, majd továbbítják ezeket az adatcsomagokat a szolgáltatónak vagy harmadik személynek. Ahhoz azonban, hogy ez az adatkezelés jogszerű legyen, az érintetteknek kifejezetten bele kell egyeznie ebbe.

Ma azonban még az a jellemző, hogy részletes tájékoztatás nélkül egy egyszerű felugró ablakban kérik a tartalomszolgáltatók az internetezők beleegyezését a cookie-k alkalmazásához. Ez így nem jogszerű, hiszen a látogató nincs tisztában azzal, hogy pontosan melyik cookie-típus használatára adott engedélyt.

A cookie-k három fő típusát különböztetjük meg. Az első típusba az oldal használatához műszaki okból feltétlenül szükséges cookie-k tartoznak. Ezek telepítéséhez ugyan nem szükséges az érintettek hozzájárulása, de ezekkel kapcsolatban is feltétel a teljes körű tájékoztatás. A második típus egy bizonyos alkalmazás

A harmadik típus a legérzékenyebb adatvédelmi szempontból. Ezekkel kapcsolatban abba egyezik bele az internetező, hogy a gépére az ő viselkedésével kapcsolatos adatokat tartalmazó file-okat telepítsenek, tároljanak és adjanak át. Ezek a cookie-k teszik lehetővé a célzott hirdetéseket, de ide tartozik a statisztikai célú adattárolás (például a látogatottság-mérés) is.

A jelenleg hatályos szabályozás szerint (az Európai Parlament és a Tanács 2009/136/EK irányelve (2002/58/EK irányelv módosítása), az elektronikus hírközlésről szóló 2003. évi C. törvény (Eht.), valamint az információs önrendelkezésről és az információszabadságról szóló 2011. évi CXII. tv. (Infotv.)) a beleegyezésnek határozottnak, tájékozottnak, egyértelműnek, kifejezettnek és önkéntesnek kell lennie. Jogszerűtlen a beleegyezés, ha az érintett nem tudja, hogy mihez ad hozzájárulást, vagy ha sérül az önkéntesség elve. Ez akkor történik meg, ha az internetező nem érheti el a kívánt tartalmat, csak ha elfogadja a cookie-k használatát. Nem számít kifejezett beleegyezésnek, ha csak kipipálja, vagy lekattintja a „tudomásul veszem” rubrikát, vagy ha a pipa már eleve bent van a kockában. Csak akkor megfelelő a tájékoztatás, ha ismerteti az adatgyűjtés tényét és célját, az érintettek körét, az adatkezelés időtartamát, az adatok megismerésére jogosultak körét és az adatvédelmi nyilvántartási számot.

Manapság az emberek még nincsenek igazán tisztában döntésük jelentőségével, szeretnének gyorsan túlesni a hozzájáruláson, nem tudatosan döntenek. Erre lehet megoldás, ha az első betöltéskor csak korlátozott oldal jelenik meg, amelyhez nem szükségesek a cookie-k, a website összes funkcióját pedig csak a valóban tudatos beleegyezés után érné el a felhasználó. A teljesen jogszerű működés feltétele a beépített adatvédelem elvének alkalmazása volna. A website-oknak felépítésükben minden ponton meg kellene felelniük az adatvédelmi követelményeknek, lehetővé kellene tenni, hogy a beállításokban adhassák meg az internetezők, hogy milyen cookie-k használatába egyeznek bele. Ugyanilyen fontos szempont, hogy a hozzájárulás nem szólhat örökre, azt a hosszabb ideig használt cookie-k esetében is szükséges időszakonként megújítani. Jellemző, hogy kötelező szabályozás hiányában az etikus szolgáltatók önkéntesen, félévente megújíttatják a beleegyezést.

A szabályozás lemaradt a technológiai újítások mögött, késve igyekszik kezelni az új jogi problémákat, és mire 2018-ban hatályba lép az új uniós Adatvédelmi Rendelet, ma még nem is létező kérdésekre kell majd választ adnia. A hatályos szabályozás legnagyobb hiányossága, hogy nem tisztázza, hogy ki a felelős a jogszerűtlen adatkezelésért. Csak elméletileg egyszerű a helyzet: az adatkezelő a tartalomszolgáltató, tehát ő a felelős. Ugyanakkor a keresőmotorok (például a Google) csak akkor teszi megtalálhatóvá az oldalt, ha az engedélyt ad arra, hogy a motor cookie-kat helyezzen el a tartalomszolgáltató látogatóinak gépén. Vagyis a tartalomszolgáltató nem is tudja, hogy a keresőmotorok milyen cookiekat telepítenek rajta keresztül a felhasználók gépére, vagyis egy olyan dologgal kapcsolatban kötelezik tájékoztatásra és jogok megszerzésére, amelyről neki magának sincs teljes körű információja.

A most folyó uniós adatvédelmi reform keretében a 2018. május 25-én hatályba lépő általános adatvédelmi rendelet számos ponton tisztázza a felvetett problémákat, továbbá szigorítani fogja az adatvédelmi követelményeket, és megerősíti a hatóságokat is. A rendelet alkalmazza többek között például a beépített adatvédelem elvét vagy a felejtéshez való jogot. Világossá teszi, hogy az egyének védelmét – mely minden olyan esetre kiterjed, amikor a személy az eszközök alapján azonosítható, vagy például amikor róla profil készíthető a különböző szerverek által gyűjtött összes információ alapján – minden technológia esetén alkalmazni kell. A kérdéskör komolyságát támasztja alá, hogy 2018-tól jelentősen megnőnek az adatvédelmi jogsértések esetén kiszabható bírságtételek. Eddig ugyanis a maximális bírság a jogsértés súlyosságától függően maximum 20 millió Ft lehetett, 2018-tól 10 vagy 20 millió eurós bírságra számíthatnak a jogsértők.

Jelentős előrelépés lesz az új rendeletben, hogy tisztázza a területi hatállyal kapcsolatos jogértelmezési nehézségeket. A rendelet világossá teszi, hogy attól függetlenül, hogy az adatkezelés hol folyik, ha az unióban élőket érinti, akkor az uniós szabályokat kell alkalmazni.

A cikk dr. Dudás Gábor János, a KLART Legal partnere, adatvédelmi szakértő, dr. Szabó Endre Győző, a Nemzeti Adatvédelmi Információszabadság Hatóság elnökhelyettese előadásai alapján készült.

A bejegyzés trackback címe:

https://valosjogok.blog.hu/api/trackback/id/tr238874920

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása