CLVPartners

adatvédelmi bírság

A sütikkel kapcsolatos adatkezelés gyakorlati problémái

Bevezető

Mai digitális világunkban rendkívüli módon elterjedtek a személyes adatok gyűjtésére és kezelésére irányuló módszerek és technológiák (pl.: cookie-k, magyarul: sütik), hiszen ezek révén az adatkezelők igen fontos információkat tudhatnak meg rólunk. Elegendő, ha például arra gondolunk, hogy egy cipő interneten történő egyetlen felkeresését követően szinte borítékolhatóan szembe találkozunk a megtekintett, illetve ahhoz hasonló cipők reklámjaival más platformokon.

Az adatkezelő cégek és a magánszemélyek viszonya alapvetően egyenlőtlen, hiszen az átlag felhasználók tipikusan nincsenek tisztában a személyes adataik sokrétű kezelésével kapcsolatban. Ennek kiegyensúlyozásaként, a magánélet tiszteletben tartása és a személyes adatok védelme érdekében került megalkotásra – többek között – az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv („Elektronikus hírközlési adatvédelmi irányelv”), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet („GDPR”). Ezek az uniós jogszabályok olyan minimum követelményeket fogalmaznak meg az adatkezelőkkel szemben, amelyek az aszimmetrikus jogviszonyok kiegyenlítését hivatottak szolgálni.

A jogok tényleges érvényesülését segítik elő az olyan civil szervezetek, mint például a None of Your Business („NOYB”). A NOYB tevékenységének eredményeképpen idén megjelent a sütikkel kapcsolatos legújabb, az Európai Adatvédelmi Testület sütikre szakosodott munkacsoportjának összefoglaló jelentése. A munkacsoport jelentésében 7 főbb süti kezelési gyakorlatot mutatott be, amely álláspontja szerint nem megfelelő az irányadó jogszabályok fényében. Ezeket az alábbiakban röviden és összefoglalóan ismertetjük annak érdekében, hogy a honlapot működtető cégek megfelelően alakítsák gyakorlatukat és a felhasználók is legyenek tudatosabbak:

Visszautasítási gomb hiánya: A hozzájárulással szemben támasztott követelményeknek nem felel meg, ha a hozzájáruláshoz kötött sütikkel kapcsolatos tájékoztató ablakban elsőre kizárólag az “elfogadás”, illetve a “további tudnivalók” lehetősége ugrik fel, de az elutasításra vonatkozó gomb nem.

Előre bejelölt opciók: Csakugyan nem megfelelő az az eljárás, ha a cookie-k beállítása során a lehetséges opciók közül előre be vannak pipálva az adatkezelő által preferált választási lehetőségek.

Link használata: A sütikkel kapcsolatos adatkezelésre vonatkozó elfogadó gomb tipikusan minden oldalon automatikusan felugrik, ugyanakkor vannak olyan adatkezelők, akik az elutasításra vonatkozó lehetőséget csupán egy külön linken keresztül biztosítják, ezzel megnehezítve a felhasználók önkéntes választását és nyomást helyezve rájuk.

Megtévesztő gomb színek, kontrasztok: Az érvényes hozzájáruláshoz az sem elhanyagolható körülmény, hogy a lehetséges opciók vizuálisan miként kerülnek megjelenítésre. Ugyanis, ha a megjelenített gombok színe vagy kontrasztja megtévesztő az érintettek számára (pl.: ha az elfogadás gomb egyértelmű megjelenítése mellett az elutasítás, valamint a további lehetőségek gomb színeinek kontrasztja olyan minimális, hogy az szinte láthatatlan), az így adott hozzájárulás nagy valószínűséggel érvénytelennek fog minősülni. Természetesen ezt mindig esetről-esetre szükséges vizsgálni.

Jogalappal kapcsolatos félrevezetés: Nem jogszerű az a gyakorlat, amikor az oldal kezelője először a látogató hozzájárulására, annak hiányában pedig jogos érdekére alapozza az adatkezelést. E tekintetben különösen jogszerűtlen az, amikor a hozzájárulás kapcsán tiltakozási lehetősége nincsen a felhasználónak arra tekintettel, hogy hozzájárulás hiányában az adatkezelő a jogos érdekére alapozva fogja kezelni azokat, hiszen, ez azt a benyomást keltheti az érintettben, hogy az adatkezeléshez csak hozzájárulni tud, más lehetősége nincs.

Alaptalanul nélkülözhetetlennek feltüntetett sütik: A munkacsoport jelentésében kitért arra az esetre is, miszerint sok adatkezelő alapvető szükségletű, nélkülözhetetlen sütiként tüntet fel olyan cookie-kat, amelyek valójában nem minősülnek annak.

Visszavonási lehetőség hiánya: A hozzájárulással szemben támasztott további követelmény, hogy az bármikor, ugyanolyan egyszerű módon visszavonható legyen, mint annak megadása volt az érintett számára. Így ennek lehetőségét biztosítania kell az adatkezelőknek a sütikkel kapcsolatban is (pl.: egy visszavonásra utaló lebegő gomb, link elhelyezésével).

Összefoglaló

A fentiek alapján látható, hogy az adatkezelőknek úgy kell eljárniuk, hogy a felhasználók részére biztosítsák a megfelelő információkhoz való hozzáférés lehetőségét és azok így kerüljenek döntési helyzetbe. Természetesen az már az érintettek felelőssége, hogy ténylegesen tájékozódjanak, és így, mint jogtudatos felhasználók járjanak el, illetve hozzanak döntést saját adataik vonatkozásában (pl.: adatkezelési beállítások testreszabásával, felkeresett oldalak használat utáni elhagyásával, NAIH tájékoztatók, adatkezelő adatkezelési tájékoztatójának megismerésével).

Hatalmas adatvédelmi bírságot szabott ki a NAIH

100 000 000 forintos adatvédelmi bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH” vagy „Hatóság”) 2020 május 18-án a DIGI Távközlési és Szolgáltató Korlátolt Felelősségű Társasággal („Digi” vagy „Társaság”) szemben.
A határozatot a hatóság a mai napon hozta nyilvánosságra, amely a GDPR hatálybalépése és a Hatóság fennállása óta messze a legmagasabb kiszabott összeg. A bírsághoz vezető tényállást, illetve azt követően a Hatóság döntését az alábbiak szerint foglaltuk össze:

Előzmény

1. A Digi egy korábbi adatvesztés miatt hibaelhárítási célra hozott létre egy tesztadatbázist, amelyet azonban valós személyes adatokkal töltött meg a Társaság. A tesztadatbázis eredetileg megfelelő hozzáférési jogosultsággal volt megtekinthető a Társaság weboldalán.

2. A Társaság által használt tartalomkezelő rendszerben (content management system, ’CMS’) több mint 9 éve észlelték a megfelelő eszközökkel, applikációkkal automatikusan is detektálható, illetve javítható sérülékenységet, amely révén hozzáférési jogosultság nélkül is bárki megtekinthette a tesztadatbázist.

3. Ezt a sérülékenységet kihasználva egy etikus hacker betekintést nyert a tesztadatbázisba, ahol bármiféle titkosítás nélkül, szabadon olvasható módon (’plain text’) tárolták az előfizetők jelentős részének személyes adatait, ez alatt értve az összes személyazonosító adatot, személyi igazolvány számot, esetenként személyi szám, e-mail cím, telefonszám és bankszámlaszám is szerepelt az előfizetőknél.

4. A fentieken túlmenően a hírlevélre feliratkozók és a teljes jogú rendszergazdák adataihoz is hozzá lehetett férni a sérülékenység révén, ezzel akár azt is lehetővé téve, hogy egy támadó a weboldal feletti teljes irányítást átvegye és az azon keresztül elérhető bármilyen személyes adathoz vagy üzleti titokhoz hozzáférjen.

A NAIH megállapításai

· Az érintett személyes adatok kategóriái alkalmasak arra, hogy azokkal egy támadó visszaéljen, az érintettek személyazonosságát ellopja.

· Súlyosító körülmény továbbá, hogy az adatvédelmi incidens érintetteinek száma Magyarország teljes lakosságára vetítve is számottevő, a Társaság piaci pozíciója önmagában indokolta volna komolyabb adatbiztonsági intézkedések alkalmazását.

· A nyílt forráskódú tartalomkezelő hibája régóta ismert, a sérülékenység kiküszöbölésére ingyenesen is elérhető javítás.

· A titkosítás mellőzése növelte az incidens kockázatát, pedig a titkosításra szintén csekély ráfordítás mellett lehetősége lett volna a Társaságnak.

· A teljes jogú rendszergazda felhasználók belépési adatainak kiszivárgása súlyosan növeli a biztonsági kockázatot.

· A tesztadatbázis fenntartása sértette a GDPR alapelveit, ugyanis a tesztadatbázist a cél teljesülését követően véglegesen törölni kellett volna.

· A Társaság a saját belső szabályzatának rendelkezéseit is megsértette.

Mindezek alapján a Hatóság mérlegelése szerint a figyelmeztetésnek nem lett volna kellő visszatartó ereje, ezért a bírság kiszabása volt indokolt, amelynek kiugróan magas összegét a számos súlyosító körülmény magyarázza.

További kérdéseikre készséggel válaszolnak a CLVPartners ügyvédei keressen minket bátran.