Ez is süti

Cookie figyelmeztetés: hiszti, vagy tényleg kötelező?

Október közepe óta szinte minden weblapon feltűnik egy figyelmeztetés arról, hogy az oldal a felhasználók követésére cookikat használ, s a felhasználónak ezt el kell fogadnia. Facebookon és különböző honlapokon rengeteg figyelmeztetést olvashatunk ennek a kötelező elemnek a használatával kapcsolatban. Egy a baj: rengeteg sületlenség terjed a témával kapcsolatban, a weboldal-tulajdonosok pedig bepánikolva osztják tovább a butaságokat.  De akkor mi is az igazság: kell figyelmeztetés a cookie használatáról, vagy nem kell?

Cookie-plugin: terjed, mint a vírus

A WordPress tartalomkezelő rendszer nagyon gyorsan tud reagálni a különböző változásokra – akár jogi, akár technikai, vagy felhasználói igényben jelentkező változásról van szó. Nem csoda, hogy pillanatok alatt megjelent a cookie-nyilatkozatot elkészítő plugin. Beilleszteni bárki tudja, így aki WordPresst használ, tényleg pár mozdulattal telepítheti ezt a kiegészítőt. És telepíti is. Mivel a dolog jogi része elég átláthatatlan, úgy látom, hogy a weboldal-tulajdonosok többsége az „inkább ne legyen belőle baj” elve alapján beilleszti a plugint. Ami ettől kezdve tényleg úgy terjed, mint egy vírusvideó. Egyik látja a másiknál, s bár nem pontosan tudja, miről van szó, de ő is felteszi, nehogy megbüntessék. De miért is?

Cookie jogszabály

Először is, a cookie-jogszabály nem új. Nem idén októbertől kell, hanem már 2011-től. Ekkor lépett hatályba az erről szóló európai uniós irányelv.

Jó, de mi az irányelv?

Az uniós törvényeknek két szintjük van. A rendelet azonnal kötelező minden tagállamra. A tagállam nem hozhat olyan törvényt, ami ellentétes vele. Nem is kell külön hazai jogszabállyal megerősíteni, azonnal kötelező mindenki számára.

A másik az irányelv. Ez már nem közvetlenül hatályos. Az irányelv egy ajánlás a kormányok számára. A kormányoknak kötelező elfogadniuk, s olyan törvényeket kell hozniuk, ami ennek az irányelvnek megfelel.

A cookie-jogszabály egy irányelvbe került bele 2011-ben. Mivel irányelvről van szó, nekünk teljesen mindegy, hogy az mit tartalmaz. A magyar jogban nem az uniós irányelv szövege számít, hanem az az alapján meghozott magyar törvény.

Mit mond az adatkezelési törvény a cookie használatáról?

Egy jóhiszeműen tájékoztató, egyébként elég komoly butaságot állító weblapon olvastam: az adatkezelési törvény változása miatt van szükség a cookie-nyilatkozatra. Hát ez nem igaz. Az adatkezelési törvény nem mond semmit erről a témáról, mert nem ide tartozik.

Sőt, egyelőre az adatkezelési hatóság sem mond semmit. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) éppen a cookie-hiszti kirobbanása előtt, október 9-én adott ki egy ajánlást az előzetes tájékoztatás adatvédelmi követelményeiről címmel (egyébként igen jó anyag). Csak egy érdekesség, hogy a „cookie” szó nem fordul elő ebben az ajánlásban.

Annyiban persze ide tartozik a kérdés, hogy az adatkezelésről szóló tájékoztatóban a cookie-k használatáról is megfelelően tájékoztatnod kell a felhasználóidat. De ez nem új szabály, évek óta így van.

Mit mond az elektromos hírközlésről szóló törvény?

A cooki-k használatának szabályait egy másik törvényben, az elektronikus hírközlésről szóló 2003. évi 100. törvényben  találjuk meg, pontosan annak a 2011-ben született módosításában. Ez tekinthető a cookie-irányelv magyar honosításának.

Ennek a törvénynek a 155. paragrafusa (4. bekezdés) írja elő a következőket:  „Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni.

Erre a bekezdésre alapozva írják sokan, hogy kötelező minden honlapra az elfogadó nyilatkozat felrakása. Igazán vicces, amikor késhegyre menő vitákat folytatnak arról, hogy a nyilatkozatot vajon akkor kell-e elfogadni, amikor a gép még az első cookie-t sem helyezte el a gépen, vagy csak tudomásul kell-e vetetni a felhasználóval ezt a működést? Miközben az egész kérdésfeltevés hibás, hiszen többnyire semmilyen nyilatkozatra nincs szükség.

De nézzük a törvény szövegét. A fő kérdés: kire vonatkoznak ezek az előírások?

Kire vonatkozik a cookie-előírás?

Egy törvénynek muszáj elolvasni az első paragrafusait is, nem csupán egyes kiragadott részeket a közepéről. Az elején tisztázzák ugyanis, hogy a jogszabály hatálya kire terjed ki. Ebben azt esetben az 1. § szerint „e törvény hatálya kiterjed (…)

  1. a) Magyarország területén végzett vagy területére irányuló elektronikus hírközlési tevékenységre, valamint minden olyan tevékenységre, amelynek gyakorlása során rádiófrekvenciás jel keletkezik,
  2. b) az a) pontban foglalt, vagy azzal összefüggő tevékenységet végző vagy szolgáltatást nyújtó természetes, illetőleg jogi személyre vagy jogi személyiséggel nem rendelkező más szervezetre és ezek vezető tisztségviselőire,(…)”.

Fontos még ugyanennek a paragrafusnak az e) pontja:

  1. e)  az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvényben meghatározott kereső- és gyorsítótárolás-szolgáltatást végző közvetítő szolgáltatókra (a továbbiakban együtt: kereső- és gyorsítótár-szolgáltatók).

Bármilyen előírást is kell tehát teljesíteni, az biztos, hogy csak azokra vonatkozik, akik elektronikus hírközlési tevékenységet végeznek, vagy a tevékenységüknek ehhez valamilyen köze van. Ide tartozik még néhány tevékenység az elektronikus kereskedelmi szolgáltatások köréből is (és ugye egy webshop is az), de csak a kereső- és gyorsítótár-szolgáltatók munkája.

Magyarul és egyszerűsítve: a cookie-kra vonatkozó szabályok azokat érintik, akik elektronikus hírközlési tevékenységet végeznek, vagy keresőket működtetnek. Ez utóbbi például maga a Google, melynek adathalmozási tevékenységéből az egész mizéria elindult.

Elektronikus hírközlési tevékenység

Van még egy dolgunk: megnézni, hogy mi is az elektronikus hírközlési tevékenység? Beletartozik-e egy weblap működtetése, feliratkozók gyűjtése?

A válasz a törvény végén, a fogalmak magyarázat között található. Ez a 188.§ 13. pont. „Elektronikus hírközlési szolgáltatás: olyan, más részére általában ellenszolgáltatásért végzett szolgáltatás, amely teljesen vagy nagyrészt jeleknek elektronikus hírközlő hálózatokon történő átviteléből, és ahol ez értelmezhető, irányításából áll, de nem foglalja magában az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások felhasználásával továbbított tartalmat szolgáltató vagy ilyen tartalom felett szerkesztői ellenőrzést gyakorló szolgáltatásokat, valamint nem foglalja magában az információs társadalommal összefüggő, más jogszabályokban meghatározott szolgáltatásokat, amelyek nem elsősorban az elektronikus hírközlő hálózatokon történő jeltovábbításból állnak”.

Hát, ott van feketén-fehéren: a tartalomszolgáltatás nem tartozik a hírközlési szolgáltatások körébe.

Mit jelent ez összefoglalva? Ha csak weblapot, blogot, webáruházat üzemeltetsz, nem kell beijedni, semmi szükséged nincs a cookie-k engedélyeztetésére. Nem kell bedőlni a hisztinek, s telerakni az oldaladat elfogadásra váró nyilatkozatokkal csak azért, mert mások is ezt csinálják.

Upgrade: találtam egy ügyvédblogot, ahol pontosan ugyanezt írják.