A CNIL cookie-k elhelyezésével kapcsolatos hozzájárulásokra vonatkozó iránymutatását hatályon kívül helyezte 2020. június 29-én a Conseil d’État (közigazgatási legfelsőbb bíróság) Franciaországban, így most a CNIL köteles lesz meglátásait felülvizsgálni különös tekintettel az ún. „cookie falak” megengedhetősége körében. Uniós szinten az Európai Adatvédelmi Testület (EDPB) 05/2020-as iránymutatásában a cookie falak ellen foglalt állást, ez azonban nem jelentette azt, hogy a Conseil d’État jogszerűnek találta volna a CNIL hasonló meglátásait. Jelen bejegyzésünkben ennek okaira keresünk választ és kitekintünk az európai gyakorlatra és sorra veszünk néhány felügyeleti hatóság iránymutatását.

Az ügy háttere a Conseil d’État előtt

A CNIL – többek között – a cookie falak teljes tilalmát kimondó iránymutatása 2019 szeptembere óta éles kritikákat kapott és adtech, média és e-commerce szereplőktől, akik meg is támadták azt a Conseil d’État előtt.

A fenti szervek és vállalatok fő érve az volt, hogy

  1. a cookie wall tilalma nem vezethető le közvetlen a GDPR-ból,
  2. az EDPB statement az e-Privacy rendeletről nem lehet hivatkozási alap egy ilyen iránymutatás esetén,
  3. a CNIL nem jogosult soft law-ban ilyen horderejű kérdést rendezni (túllépi hatáskörét).

A Conseil d’État meglátásai

A Conseil d’État egyetértett a CNIL alábbi meglátásaival:

  • Az érintetteknek ugyanolyan könnyen kell tudniuk visszavonniuk a hozzájárulásukat az adatkezeléshez, mint ahogyan azt megadták;
  • Az érintetteknek ugyanolyan könnyen kell tudniuk nem hozzájárulni egy adatkezelési célhoz, mint hozzájárulni;
  • Célonként külön hozzájárulást kell kérni;
  • Az érintetteket tájékoztatni kell a cookie szolgáltatójának kilétéről, az összes ilyen szolgáltató listájának rendelkezésre kell állnia a hozzájárulás megadásakor is (amelyet folyamatosan frissíteni kell);
  • Az adatkezelőknek bizonyítaniuk kell a CNIL-nek, hogy érvényesen szerezték be a hozzájárulásokat.

Viszont nem értett azzal egyet a Conseil d’État, hogy a cookie falak tilalma levezethető a GDPR-ból, így annak a tilalma csak akkor mondható ki, ha vagy nemzeti vagy EU-s jogszabály azt explicit kimondja (pl. az e-Privacy rendelet).

Tanulságok, illetve mi jön ezután?

A CNIL túlságosan szélesen akart szabályozni egy területet, amelyre jogalkotási hatásköre nincsen (a soft-law-ban történő kötelező szabályok lefektetése pedig nem feleltethető meg a jogállamiság követelményének).

A CNIL most felül fogja vizsgálni az iránymutatását, a cookie falakra vonatkozó rész finomításával. A legvalószínűbb forgatókönyv, hogy a GDPR szerinti szabad elhatározáson alapuló hozzájárulás oldaláról fogja megfogni a cookie falak kérdését anélkül, hogy annak teljes tilalmát mondaná ki.

Érdekesség, hogy mindeközben Ausztriában a cookie falak engedélyezettek lettek, ha a felhasználók át tudnak egy olyan oldalra ugrani, ahol fizetés ellenében visszautasíthatják a cookie-k elhelyezését (mindazonáltal ez sem teljesen felel meg a GDPR szerinti hozzájárulás kritériumainak, de a határozat emellett tör pálcát). Fontos továbbá kiemelni, hogy az EDPB és a Bizottság digitális korszakért felelős ügyvezető alelnöke, Margrethe Vestager is inkább azon az állásponton van, hogy az érintettek magánszférájának és így személyes adataink a védelme érdekében nem feltétlenül rossz gyakorlat, ha az adatok helyett a felhasználó valóban pénzzel fizet egy szolgáltatásért.

Spanyolországban az AEPD 2020 júliusában frissítette iránymutatását a cookie-k elhelyezésével kapcsolatban, amelyben jelentős újdonságokat vezetett be. Többek között nem jogszerű a hozzájárulás, ha a felhasználó nem kifejezetten egy gombra kattintva teszi azt meg, hanem pusztán tovább böngészik az oldalon. Továbbá általánosan a cookie falak sem jogszerűek – ellentétben az AEPD korábbi gyakorlatával. Jóllehet ez alól is létezik kivétel: amennyiben mégis korlátozza a honlap szolgáltatója a hozzáférést a cookie elhelyezéséhez való hozzájárulás hiányában, akkor hasonló szolgáltatást nyújtó weblapra köteles a felhasználót átirányítania.

Hasonlóan a holland hatóság honlapján olvasható gyakran ismételt kérdések között kifejezetten a cookie falak tiltása jelenik meg, csakúgy mint a NAIH egy GDPR hatályba lépése előtti iránymutatásában, amely az online áruházak adatkezelési gyakorlatára kíván szabályozást adni.