A kép forrása: https://stosu.com/wp-content/uploads/2015/07/eu-cookie-law-678x190.png

Mint az már megszokott az 1995/46/EK 29. cikke alapján létrehozott munkacsoport minden nagyobb adatvédelmi kérdéssel kapcsolatban fogalmazott már meg iránymutatásokat, részben a jogalkotó, részben a kötelezettek számára. Ezek közül kiemelendő a 2009/136/EK irányelv módosításával és a viselkedésalapú reklám során felmerülő tájékoztatási és hozzájárulási kötelezettség kérdésével foglalkozó 2/2010 sz. véleménye. Ennek érelmében az felhasználó végberendezésén történő adattároláshoz, illetve a már tárolt adatokhoz való hozzáféréshez szigorú feltételek kapcsolódnak. Ilyen többek között az adatkezelés céljáról, időtartamáról, a gyűjtött adatok köréről történő tájékoztatás, illetve az előzetes tájékoztatáson alapuló hozzájárulás megszerzése. Ez utóbbi kérdés azóta is számos vita tárgyát képezi, különösen a reklámhálózat-szolgáltatók és a honlap tulajdonosok részéről, így az adatvédelmi rendelet is külön nevesíti ezt a fajta „süti hozzájárulást”.

A munkacsoport elmúlt években nyomon követhető tevékenysége mindezidáig azt sugallta, hogy két fontos kivételtől eltekintve az előzetes hozzájárulás az adatkezelés egyik elengedhetetlen feltétele, mely segít megteremteni, illetve érvényre juttatja a 95/46/EK irányelvben szereplő garanciákat. E két kivétel szerint, ha „a cookie kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás”, illetve, ha „az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak »a cookie-ra« feltétlenül szüksége van” nincs szükség a felhasználó hozzájárulásra az adatkezeléshez. Az elmúlt években azonban, belátva a hozzájárulás kérésével (opt-in) kapcsolatos gyakorlati problémákat a munkacsoport folyamatosan igyekszik alkalmazhatóbbá tenni e szabályokat. Ennek érdekében adta ki a 3/2016 sz. véleményét is, mely egyebek mellett új lehetőségeket ajánl a módosított 2002/58/EK irányelvben meghatározott kivételek kiszélesítésére.

Ehhez hasonló lépésekre már volt példa, így az „Opinion 04/2012 on Cookie Consent Exemption” is tartalmazott olyan engedményeket, mint a honlap-tulajdonos általi statisztikai adatgyűjtés hozzájárulás nélküli lefolytatása abban az esetben, ha az nem érint személyes adatokat, vagy a biztonsági intézkedések részeként alkalmazott adatcsomagok elhelyezése a végberendezésen.

A munkacsoport idei véleménye azonban ennél szélesebben kívánja meghatározni a hozzájárulás követelménye alóli kivételek körét. Az Európai Bizottságnak azt ajánlja ugyanis, hogy azokban az esetekben se legyen szükség a hozzájárulásra, ha az adatfeldolgozásnak nagyon kevés, illetve semmilyen hatása nincs a magánéletükre és a kommunikációjuk titkosságára. Ez alatt két fő körülményt ért a munkacsoport: egyrészt az anonimizációt, mely azonnal és visszafordíthatatlanul titkosítja az eszközről gyűjtött információt, ill. a két végpont között titkosítja azt, így egyik ponton sem azonosítható az adott felhasználó; másrészt azokban az esetekben, amikor a magánélet védelmét csak kis mértékben, vagy egyáltalán nem érinti az adatkezelés. Ez utóbbi esetben a vélemény több megszorítást is megfogalmaz, mely mankót jelent a jogalkotás számára a szabályozás pontosításához. Ilyen többek között a „first party” által gyűjtött statisztikai adat, mely csak akkor érvényes, ha harmadik fél az adatgyűjtés során nem érintett, illetve ha helymeghatározó adatok nem képezik az adatgyűjtés részét. Emellett lehetséges a kivétel, ha korlátozott és egyedi a gyűjtés, tehát nem különböző szolgáltatásokból, vagy domainekről történik. Ilyen kritérium továbbá az opt-out lehetőségének folyamatos biztosítása, vagy az adatgyűjtés konkrét céljának meghatározása, mely során korlátozott idő elteltével anonimizálódik az adat. Ezek, illetve az egyéb kritériumok melyeket nevesít a vélemény, lényegében az adatkezelő számára jelentenek többlet jogosultságokat a korábbi szabályozással szemben.

A 29. cikk szerinti munkacsoport tevékenységét követve látható tehát, hogy a kezdeti megszorító értelmezés már kissé elkezdett fellazulni. Ez azt jelenti, hogy számos esetben elfogadható számára a hozzájárulástól való eltekintés, mely megkönnyíti a szabályok gyakorlati alkalmazhatóságát és teret enged a piaci szereplők működésének. Mindazonáltal a felhasználóbarát tájékoztatás és a visszautasítás lehetősége továbbra is központi eleme maradt szemléletének, hiszen a rugalmasság szükséglete mellett a felhasználói adatok biztonsága, illetve azok lekövethetősége a 2018-ban életbe lépő általános adatvédelmi rendeletben is hasonlóan fontos értékek.

A kérdés továbbra is a hozzájárulás beszerzése, illetve a ráutaló és aktív magatartás közötti választás maradt, mely a sütihasználat egyik alapkérdése. A vélemény – mely nem kötelező erejű – így elsősorban az engedély nélkül gyűjthető adatok körét hivatott szélesíteni, míg a hozzájárulás kérésének gyakorlati elemeiről új támpontokat nem határoz meg.