Szerzők: dr. Domokos Márton és dr. Horváth Katalin
A NAIH állásfoglalást bocsátott ki a weboldalakon alkalmazott közösségi modulok alkalmazásával és jogi megítélésével, a hozzájárulás jogszerű beszerzésének módjával, valamint a honlap-üzemeltető kötelezettségeinek tartalmával kapcsolatban.
A NAIH alapvetően két kérdést vizsgált:
1. Ki az adatkezelő a közösségi modulok beágyazása során?
A honlap-üzemeltető minden olyan személyes adat tekintetében adatkezelő, amelynek a gyűjtésére és továbbítására a honlapjának a használata során kerül sor – ide tartozik minden általa alkalmazott közösségi modul által kezelt adat is.
Egy honlap-üzemeltető például adatkezelő, ha egy úgynevezett „tracking-pixel”-t beágyaz a saját honlapjába, ami által a látogató böngészője személyes adatot továbbít a látogatóról a közösségi média-szolgáltató számára. A honlap látogatók személyes adatainak gyűjtése és továbbítása a szolgáltató felé ugyanis nem valósult volna meg a pixel beágyazása nélkül. A szolgáltató ugyanakkor kifejlesztette és biztosította a pixel mint szoftveres kód hozzáférhetőségét, amely a személyes adatok automatizált gyűjtését, továbbítását és kiértékelését teszi lehetővé a szolgáltató számára. Ennek eredményeképpen a személyes adatok pixelek révén történő gyűjtése és továbbítása kapcsán a honlap-üzemeltető és a közösségi média-szolgáltató közös adatkezelők.
A honlap-üzemeltető adatkezelői minősége ugyanakkor azokra a műveletekre korlátozódik, amelyekben ténylegesen meghatározza a célokat és eszközöket. A honlap-üzemeltető a továbbítást követően nem tekinthető adatkezelőnek a közösségi média-szolgáltató által a személyes adatokon végzett további adatkezelési műveletek tekintetében. A NAIH állásfoglalása megegyezik e tekintetben az Európai Adatvédelmi Testület (EDPB) közösségi média felhasználók célzásával kapcsolatos 8/2020 számú iránymutatás-tervezetében foglaltakkal
2. Mik az érintettek hozzájárulásával kapcsolatos követelmények?
A közösségi modul alkalmazásához be kell szerezni az érintettek hozzájárulását. Az érintettek egyesével kell eldönthessék, hogy az adott típusú süti működéséhez hozzájárulnak-e vagy sem – az érintett el kell tudja dönteni, hogy kívánja-e az adott adatkezelést (az adott süti működtetését). Ez az olyan sütik esetén lehetséges, ahol a felhasználó az oldalt akkor is bármilyen korlátozás nélkül tudja böngészni, ha az adott süti telepítéséhez nem járul hozzá. A hozzájárulás önkéntessége akkor állapítható meg, ha a szolgáltatásokhoz és funkcionalitásokhoz történő hozzáférésnek nem képezi feltételét a felhasználó végberendezésén az információ tárolásához, vagy a már ott tárolt információhoz való hozzáféréshez adott hozzájárulás.
Ha egy honlap üzemeltetője például olyan scriptet alkalmaz, amely meggátolja – a sütik elfogadására, valamint azokról szóló tájékoztatás nyújtására szolgáló felület kivételével – a honlap tartalmainak a láthatóságát, úgy, hogy a tartalomhoz történő hozzáférésre csak a „Sütik elfogadása” gombra kattintva van mód, akkor ezáltal a honlap használójának nincs valódi választási lehetősége. A hozzájárulása ezért érvénytelen, mert nem biztosít valódi választási lehetőséget az oldal felhasználói számára.
Gyakorlati teendők
A NAIH állásfoglalása alapján a honlap-üzemeltetőknek:
- meg kell vizsgálniuk, hogy pontosan milyen adatok rögzítésével és továbbításával jár együtt egy-egy közösségi modul alkalmazása,
- megfelelő adatkezelési tájékoztatót kell készíteniük a közösségi modul alkalmazásával kapcsolatban,
- érvényes hozzájárulási lehetőséget kell biztosítani az érintett felhasználók számára a közösségi modul használatával kapcsolatban, és
Mindezeken túl a honlap-üzemeltetőknek a közös adatkezelői minőségre tekintettel ellenőrizniük kell a közösségi média szolgáltató adatvédelmi feltételeit, és figyelemmel kell lenniük az EDPB közösségi média felhasználók célzásával kapcsolatos 8/2020 számú iránymutatás-tervezetének rendelkezéseire is.