Skip to main content

Opt-in vs. opt-out: a két hozzájárulási modell megértése

A cookie-hozzájáruláshoz alapvetően kétféleképpen lehet közelíteni. Az Európai Unió az opt-in modellt írja elő: nem helyezhető el cookie, amíg a felhasználó nem mond igent. Az Egyesült Államok (a legtöbb tagállamban) az opt-out modellt engedélyezi: a cookie-k alapértelmezetten elhelyezésre kerülnek, és a felhasználó nemet mondhat. E két modell megértése — jogi alapjuk, következményeik, és az, hogy hol alkalmazandók — elengedhetetlen minden olyan weboldal számára, amelynek globális közönsége van.

Az opt-in modell

Az opt-in modell szerint a nem alapvető cookie-k nem helyezhetők el mindaddig, amíg a felhasználó kifejezett, tevőleges hozzájárulását nem adta. Ha a felhasználó nem tesz semmit, cookie sem kerül elhelyezésre. Ezt a modellt írja elő az EU ePrivacy-irányelve (5. cikk (3) bekezdés), a GDPR hozzájárulás-fogalmán keresztül értelmezve (4. cikk (11) bekezdés).

Hogyan működik az opt-in a gyakorlatban

  1. A felhasználó először látogatja meg a weboldalt.
  2. Csak a feltétlenül szükséges cookie-k aktívak. Az analitikai, marketing és preferencia cookie-k blokkolva vannak.
  3. Megjelenik egy hozzájárulási mechanizmus, amely bemutatja a cookie-kategóriákat, és felkéri a felhasználót, hogy válasszon.
  4. A felhasználó tevőlegesen kiválasztja, mely kategóriákat fogadja el (vagy az „Összes elfogadása”, illetve „Összes elutasítása” gombra kattint).
  5. Csak az elfogadott kategóriáknak megfelelő szkriptek töltődnek be.
  6. Ha a felhasználó nem tesz semmit, nem kerül beállításra nem alapvető cookie. A hozzájárulási mechanizmus látható (vagy elérhető) marad, amíg a felhasználó nem választ.

Jogi alap

Az opt-in követelmény két forrásból ered:

  • ePrivacy-irányelv 5. cikk (3) bekezdés: „hozzájárulást” ír elő, mielőtt információt tárolnának a felhasználó eszközén.
  • GDPR 4. cikk (11) bekezdés: A hozzájárulást „egyértelmű, megerősítő cselekedetként” határozza meg — ami kizárja a tétlenséget, az előre bejelölt jelölőnégyzeteket és a hallgatólagos beleegyezést.
  • Az EUB Planet49-ítélete (C-673/17): Megerősítette, hogy tevőleges hozzájárulás szükséges, és az előre bejelölt jelölőnégyzetek nem minősülnek érvényes hozzájárulásnak.

Hol alkalmazandó az opt-in

Az összes EU/EGT tagállamban (27 EU-ország, valamint Norvégia, Izland és Liechtenstein), továbbá az Egyesült Királyságban (amely a Brexit után megtartotta az ePrivacy-szabályokat a Privacy and Electronic Communications Regulations, azaz a PECR révén).

Következmények a weboldal-üzemeltetők számára

  • Számítson jelentős elutasítási arányra. Az iparági adatok szerint az európai látogatók 30-50%-a elutasítja a nem alapvető cookie-kat, ha valódi választási lehetőséget kap.
  • Az analitikai adatok hiányosak lesznek. Csak azoktól a felhasználóktól lesz adata, akik hozzájárultak. Ez nem hiba — ez a szabályozás szándékolt eredménye.
  • A szkriptek betöltésének feltételesnek kell lennie. Szükség van egy technikai mechanizmusra, amely blokkolja a szkripteket, amíg a hozzájárulást nem rögzítik. Ezt önmagában egy bannerrel nem lehet megoldani — valódi szkriptkezelést igényel.

Az opt-out modell

Az opt-out modell szerint a cookie-k alapértelmezetten elhelyezhetők. A felhasználónak joga van elutasítani vagy leiratkozni, de amíg nem tesz lépéseket, a nyomon követés engedélyezett. Ezt a modellt alkalmazza az Egyesült Államok és számos más joghatóság.

Hogyan működik az opt-out a gyakorlatban

  1. A felhasználó meglátogatja a weboldalt.
  2. Minden cookie — beleértve az analitikai és marketing cookie-kat is — azonnal elhelyezésre kerül.
  3. Egy tájékoztatás értesíti a felhasználót a cookie-k használatáról, és lehetőséget kínál a leiratkozásra.
  4. Ha a felhasználó nem tesz semmit, a cookie-k aktívak maradnak.
  5. Ha a felhasználó leiratkozik, a preferenciáit a továbbiakban tiszteletben tartják (és egyes joghatóságokban a korábban gyűjtött adatokat esetleg törölni kell).

Jogi alap

Az opt-out modell a következőkben található meg:

  • CCPA/CPRA (Kalifornia): A kaliforniai fogyasztóknak joguk van leiratkozni a személyes adatok „értékesítéséről” vagy „megosztásáról”. A kontextusok közötti viselkedésalapú hirdetéshez használt cookie-k a CPRA szerint „megosztásnak” minősülnek. A kötelezettség egy leiratkozási mechanizmus biztosítása (gyakran egy „Ne értékesítse vagy ossza meg személyes adataimat” hivatkozás révén), nem pedig az előzetes hozzájárulás megszerzése.
  • CAN-SPAM Act és FTC-iránymutatás: Az online nyomon követés amerikai szövetségi megközelítése hagyományosan a tájékoztatás-és-választás elvén alapult, nem pedig a tevőleges hozzájáruláson.
  • Különböző amerikai tagállami törvények: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) és mások az opt-out modell változatait követik a célzott hirdetés és az adatértékesítés terén.

Hol alkalmazandó az opt-out

Az Egyesült Államokban (tagállamonként eltérően), Kanadában (PIPEDA — bár ez a javasolt reformokkal változhat), Ausztráliában (a Privacy Act keretében — szintén felülvizsgálat alatt), valamint számos más, az EU/EGT területén kívüli joghatóságban.

Következmények a weboldal-üzemeltetők számára

  • Alapértelmezetten több adatgyűjtés. Mivel a cookie-k elhelyezésre kerülnek, hacsak a felhasználó nem tiltakozik, az analitikai és hirdetési adatok teljesebbek.
  • Egyértelmű leiratkozási mechanizmust kell biztosítani. A CCPA/CPRA szerint ez egy könnyen megtalálható és használható „Ne értékesítse vagy ossza meg személyes adataimat” hivatkozást jelent.
  • Tiszteletben kell tartani a Global Privacy Controlt (GPC). A kaliforniai törvény előírja, hogy a vállalkozásoknak a GPC böngészőjelet érvényes leiratkozási kérésként kell kezelniük.

Részletes összehasonlítás

Szempont Opt-in (EU/GDPR) Opt-out (US/CCPA)
Alapértelmezett állapot A cookie-k blokkolva a hozzájárulásig A cookie-k alapértelmezetten aktívak
Szükséges felhasználói cselekvés Cselekedni kell a cookie-k engedélyezéséhez Cselekedni kell a cookie-k leállításához
Hallgatás / tétlenség Nincs hozzájárulás (nincs cookie) Feltételezett hozzájárulás (a cookie-k aktívak)
Hozzájárulási mechanizmus Kategóriánkénti, részletes választás Leiratkozási hivatkozás vagy kapcsoló
Előre bejelölt jelölőnégyzetek Nem megengedett (Planet49-ítélet) Megengedett (opt-out modell)
Analitikai hatás 30-50% adatveszteség a hozzá nem járulás miatt Minimális adatveszteség (kevesen iratkoznak le)
Visszavonás Olyan egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bek.) Biztosítani kell, de nincs egyenlő könnyűségi követelmény
Gyermekek Szülői hozzájárulás 13-16 év alatt (változó) A COPPA a 13 év alattiakra vonatkozik
Kulcsfontosságú szabályozás ePrivacy-irányelv + GDPR CCPA/CPRA + tagállami törvények
Maximális bírságok 20 millió EUR vagy a globális árbevétel 4%-a 7 500 USD szándékos jogsértésenként (CCPA)

Használhat különböző modelleket különböző régiókban?

Igen, és számos globális weboldal így is tesz. Ezt a megközelítést földrajzilag célzott hozzájárulás-kezelésnek nevezik. A weboldal érzékeli a látogató helyét (jellemzően IP-geolokáció révén), és a megfelelő hozzájárulási modellt jeleníti meg:

  • EU/EGT/UK látogatók: Opt-in modell részletes hozzájárulással.
  • Kaliforniai látogatók: Opt-out modell „Ne értékesítse vagy ossza meg” hivatkozással.
  • Egyéb amerikai látogatók: Csak tájékoztatás (a tagállami törvény alkalmazhatóságától függően).
  • Egyéb joghatóságok: A vonatkozó helyi jog alapján.

A földrajzi célzás kihívásai

  • Az IP-geolokáció nem tökéletes. A VPN-t használók helye tévesen azonosítható. A mobilfelhasználók joghatóságok között mozoghatnak.
  • Karbantartási teher. Nyomon kell követnie a szabályozási fejleményeket minden joghatóságban, ahol szolgáltat, és ennek megfelelően frissítenie kell a hozzájárulási folyamatait.
  • Tesztelési komplexitás. Ellenőriznie kell, hogy minden regionális változat megfelelően működik — eltérő bannerek, eltérő alapértelmezett állapotok, eltérő szkriptblokkolási viselkedés.
  • A GDPR területen kívül is alkalmazandó. Ha EU-s felhasználókat céloz meg (3. cikk (2) bekezdés), a GDPR attól függetlenül alkalmazandó, hogy hol található a vállalkozása. A „célzás” magában foglalja az EU-s lakosoknak kínált árukat vagy szolgáltatásokat, illetve viselkedésük megfigyelését.

Bevált gyakorlat: alapértelmezetten opt-in

Ha több hozzájárulási modell kezelése túl bonyolultnak tűnik, van egy egyszerűbb út: globálisan alapértelmezze az opt-in modellt.

Íme, miért működik ez:

  1. Megfelelés mindenhol. Az opt-in modell kielégíti a legszigorúbb követelményeket. Ha megfelel a GDPR hozzájárulási követelményeinek, automatikusan túlteljesíti a CCPA, az LGPD és a legtöbb más keretrendszer követelményeit.
  2. Egyszerűség. Egy hozzájárulási mechanizmus, egy megvalósítás, egy tesztkészlet. Nincs földrajzi azonosítás, nincsenek regionális változatok, nincsenek szélsőséges esetek.
  3. Jövőbiztosság. A globális trend a szigorúbb hozzájárulási követelmények felé mutat. Az Egyesült Államokban, Kanadában, Ausztráliában és Indiában javasolt reformok mind a kifejezettebb hozzájárulás irányába mozdulnak. Ha most az opt-inre építkezik, később nem kell utólag átalakítania.
  4. Felhasználói bizalom. A felhasználók világszerte pozitívan reagálnak az átlátható, tiszteletteljes hozzájárulási gyakorlatokra. A valódi választás felkínálása — még ott is, ahol a jog szigorúan nem írja elő — bizalmat és márkahitelességet épít.
  5. Adatminőség. A hozzájárulással gyűjtött adatok tisztábbak, jobban védhetők és értékesebbek, mint a jogi bizonytalanságon keresztül gyűjtött adatok.

A kompromisszum valós: globálisan kevesebb adatot fog gyűjteni. De az adat, amelyet gyűjt, jogilag megalapozott, etikailag tiszta, és egyre értékesebb lesz, ahogy a harmadik féltől származó adatok egyre kevésbé elérhetők.

Kialakulóban lévő fejlemények

A hozzájárulási környezet nem statikus. Több fejlemény is figyelemre méltó:

  • ePrivacy-rendelet. Az EU 2017 óta dolgozik az ePrivacy-irányelv utódján. Amikor elfogadják, közvetlenül alkalmazandó rendeletté válik (mint a GDPR), nem pedig nemzeti átültetést igénylő irányelvvé. A cookie-kra vonatkozó hozzájárulási szabályok várhatóan a jelenlegi kerethez hasonlóak vagy annál szigorúbbak lesznek.
  • Global Privacy Control (GPC). Ez a böngészőszintű jel automatikusan közvetíti a felhasználó adatvédelmi preferenciáit. A kaliforniai törvény már most előírja a GPC tiszteletben tartását. Colorado és Connecticut szintén. Ez az opt-out preferenciák közlésének szabványos mechanizmusává válhat.
  • „Consent or pay” modellek. Az EDPB 2024-es véleménye a „consent or pay” modellről (különösen a Meta megközelítésének kontextusában) alakítja azt, ahogy a szabályozók a hozzájárulás és a szolgáltatásokhoz való hozzáférés közötti viszonyt látják.
  • Böngészőszintű hozzájárulás. Egyes javaslatok a hozzájárulás-kezelést az egyes weboldalakról magára a böngészőre helyeznék át, ahol a felhasználók egyszer állítanák be a preferenciáikat, nem pedig minden oldalon. Ez alapvetően megváltoztatná a hozzájárulás gyakorlati működését.

A Passiro segít a közönségének megfelelő hozzájárulási modell megvalósításában, az oldalán található összes cookie automatikus felismerésével és kategorizálásával — akár az opt-in, akár az opt-out, akár egy földrajzilag célzott megközelítést választja.

Utolsó szakaszunkban nézzük meg a hozzájárulás bevált gyakorlatait — a gyakorlati, kézzelfogható útmutatást a megfelelő és egyben felhasználóbarát hozzájárulás megvalósításához.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen