Opt-in vs. opt-out: a két hozzájárulási modell megértése
A cookie-hozzájáruláshoz alapvetően kétféleképpen lehet közelíteni. Az Európai Unió az opt-in modellt írja elő: nem helyezhető el cookie, amíg a felhasználó nem mond igent. Az Egyesült Államok (a legtöbb tagállamban) az opt-out modellt engedélyezi: a cookie-k alapértelmezetten elhelyezésre kerülnek, és a felhasználó nemet mondhat. E két modell megértése — jogi alapjuk, következményeik, és az, hogy hol alkalmazandók — elengedhetetlen minden olyan weboldal számára, amelynek globális közönsége van.
Az opt-in modell
Az opt-in modell szerint a nem alapvető cookie-k nem helyezhetők el mindaddig, amíg a felhasználó kifejezett, tevőleges hozzájárulását nem adta. Ha a felhasználó nem tesz semmit, cookie sem kerül elhelyezésre. Ezt a modellt írja elő az EU ePrivacy-irányelve (5. cikk (3) bekezdés), a GDPR hozzájárulás-fogalmán keresztül értelmezve (4. cikk (11) bekezdés).
Hogyan működik az opt-in a gyakorlatban
- A felhasználó először látogatja meg a weboldalt.
- Csak a feltétlenül szükséges cookie-k aktívak. Az analitikai, marketing és preferencia cookie-k blokkolva vannak.
- Megjelenik egy hozzájárulási mechanizmus, amely bemutatja a cookie-kategóriákat, és felkéri a felhasználót, hogy válasszon.
- A felhasználó tevőlegesen kiválasztja, mely kategóriákat fogadja el (vagy az „Összes elfogadása”, illetve „Összes elutasítása” gombra kattint).
- Csak az elfogadott kategóriáknak megfelelő szkriptek töltődnek be.
- Ha a felhasználó nem tesz semmit, nem kerül beállításra nem alapvető cookie. A hozzájárulási mechanizmus látható (vagy elérhető) marad, amíg a felhasználó nem választ.
Jogi alap
Az opt-in követelmény két forrásból ered:
- ePrivacy-irányelv 5. cikk (3) bekezdés: „hozzájárulást” ír elő, mielőtt információt tárolnának a felhasználó eszközén.
- GDPR 4. cikk (11) bekezdés: A hozzájárulást „egyértelmű, megerősítő cselekedetként” határozza meg — ami kizárja a tétlenséget, az előre bejelölt jelölőnégyzeteket és a hallgatólagos beleegyezést.
- Az EUB Planet49-ítélete (C-673/17): Megerősítette, hogy tevőleges hozzájárulás szükséges, és az előre bejelölt jelölőnégyzetek nem minősülnek érvényes hozzájárulásnak.
Hol alkalmazandó az opt-in
Az összes EU/EGT tagállamban (27 EU-ország, valamint Norvégia, Izland és Liechtenstein), továbbá az Egyesült Királyságban (amely a Brexit után megtartotta az ePrivacy-szabályokat a Privacy and Electronic Communications Regulations, azaz a PECR révén).
Következmények a weboldal-üzemeltetők számára
- Számítson jelentős elutasítási arányra. Az iparági adatok szerint az európai látogatók 30-50%-a elutasítja a nem alapvető cookie-kat, ha valódi választási lehetőséget kap.
- Az analitikai adatok hiányosak lesznek. Csak azoktól a felhasználóktól lesz adata, akik hozzájárultak. Ez nem hiba — ez a szabályozás szándékolt eredménye.
- A szkriptek betöltésének feltételesnek kell lennie. Szükség van egy technikai mechanizmusra, amely blokkolja a szkripteket, amíg a hozzájárulást nem rögzítik. Ezt önmagában egy bannerrel nem lehet megoldani — valódi szkriptkezelést igényel.
Az opt-out modell
Az opt-out modell szerint a cookie-k alapértelmezetten elhelyezhetők. A felhasználónak joga van elutasítani vagy leiratkozni, de amíg nem tesz lépéseket, a nyomon követés engedélyezett. Ezt a modellt alkalmazza az Egyesült Államok és számos más joghatóság.
Hogyan működik az opt-out a gyakorlatban
- A felhasználó meglátogatja a weboldalt.
- Minden cookie — beleértve az analitikai és marketing cookie-kat is — azonnal elhelyezésre kerül.
- Egy tájékoztatás értesíti a felhasználót a cookie-k használatáról, és lehetőséget kínál a leiratkozásra.
- Ha a felhasználó nem tesz semmit, a cookie-k aktívak maradnak.
- Ha a felhasználó leiratkozik, a preferenciáit a továbbiakban tiszteletben tartják (és egyes joghatóságokban a korábban gyűjtött adatokat esetleg törölni kell).
Jogi alap
Az opt-out modell a következőkben található meg:
- CCPA/CPRA (Kalifornia): A kaliforniai fogyasztóknak joguk van leiratkozni a személyes adatok „értékesítéséről” vagy „megosztásáról”. A kontextusok közötti viselkedésalapú hirdetéshez használt cookie-k a CPRA szerint „megosztásnak” minősülnek. A kötelezettség egy leiratkozási mechanizmus biztosítása (gyakran egy „Ne értékesítse vagy ossza meg személyes adataimat” hivatkozás révén), nem pedig az előzetes hozzájárulás megszerzése.
- CAN-SPAM Act és FTC-iránymutatás: Az online nyomon követés amerikai szövetségi megközelítése hagyományosan a tájékoztatás-és-választás elvén alapult, nem pedig a tevőleges hozzájáruláson.
- Különböző amerikai tagállami törvények: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) és mások az opt-out modell változatait követik a célzott hirdetés és az adatértékesítés terén.
Hol alkalmazandó az opt-out
Az Egyesült Államokban (tagállamonként eltérően), Kanadában (PIPEDA — bár ez a javasolt reformokkal változhat), Ausztráliában (a Privacy Act keretében — szintén felülvizsgálat alatt), valamint számos más, az EU/EGT területén kívüli joghatóságban.
Következmények a weboldal-üzemeltetők számára
- Alapértelmezetten több adatgyűjtés. Mivel a cookie-k elhelyezésre kerülnek, hacsak a felhasználó nem tiltakozik, az analitikai és hirdetési adatok teljesebbek.
- Egyértelmű leiratkozási mechanizmust kell biztosítani. A CCPA/CPRA szerint ez egy könnyen megtalálható és használható „Ne értékesítse vagy ossza meg személyes adataimat” hivatkozást jelent.
- Tiszteletben kell tartani a Global Privacy Controlt (GPC). A kaliforniai törvény előírja, hogy a vállalkozásoknak a GPC böngészőjelet érvényes leiratkozási kérésként kell kezelniük.
Részletes összehasonlítás
| Szempont | Opt-in (EU/GDPR) | Opt-out (US/CCPA) |
|---|---|---|
| Alapértelmezett állapot | A cookie-k blokkolva a hozzájárulásig | A cookie-k alapértelmezetten aktívak |
| Szükséges felhasználói cselekvés | Cselekedni kell a cookie-k engedélyezéséhez | Cselekedni kell a cookie-k leállításához |
| Hallgatás / tétlenség | Nincs hozzájárulás (nincs cookie) | Feltételezett hozzájárulás (a cookie-k aktívak) |
| Hozzájárulási mechanizmus | Kategóriánkénti, részletes választás | Leiratkozási hivatkozás vagy kapcsoló |
| Előre bejelölt jelölőnégyzetek | Nem megengedett (Planet49-ítélet) | Megengedett (opt-out modell) |
| Analitikai hatás | 30-50% adatveszteség a hozzá nem járulás miatt | Minimális adatveszteség (kevesen iratkoznak le) |
| Visszavonás | Olyan egyszerű, mint a hozzájárulás megadása (GDPR 7. cikk (3) bek.) | Biztosítani kell, de nincs egyenlő könnyűségi követelmény |
| Gyermekek | Szülői hozzájárulás 13-16 év alatt (változó) | A COPPA a 13 év alattiakra vonatkozik |
| Kulcsfontosságú szabályozás | ePrivacy-irányelv + GDPR | CCPA/CPRA + tagállami törvények |
| Maximális bírságok | 20 millió EUR vagy a globális árbevétel 4%-a | 7 500 USD szándékos jogsértésenként (CCPA) |
Használhat különböző modelleket különböző régiókban?
Igen, és számos globális weboldal így is tesz. Ezt a megközelítést földrajzilag célzott hozzájárulás-kezelésnek nevezik. A weboldal érzékeli a látogató helyét (jellemzően IP-geolokáció révén), és a megfelelő hozzájárulási modellt jeleníti meg:
- EU/EGT/UK látogatók: Opt-in modell részletes hozzájárulással.
- Kaliforniai látogatók: Opt-out modell „Ne értékesítse vagy ossza meg” hivatkozással.
- Egyéb amerikai látogatók: Csak tájékoztatás (a tagállami törvény alkalmazhatóságától függően).
- Egyéb joghatóságok: A vonatkozó helyi jog alapján.
A földrajzi célzás kihívásai
- Az IP-geolokáció nem tökéletes. A VPN-t használók helye tévesen azonosítható. A mobilfelhasználók joghatóságok között mozoghatnak.
- Karbantartási teher. Nyomon kell követnie a szabályozási fejleményeket minden joghatóságban, ahol szolgáltat, és ennek megfelelően frissítenie kell a hozzájárulási folyamatait.
- Tesztelési komplexitás. Ellenőriznie kell, hogy minden regionális változat megfelelően működik — eltérő bannerek, eltérő alapértelmezett állapotok, eltérő szkriptblokkolási viselkedés.
- A GDPR területen kívül is alkalmazandó. Ha EU-s felhasználókat céloz meg (3. cikk (2) bekezdés), a GDPR attól függetlenül alkalmazandó, hogy hol található a vállalkozása. A „célzás” magában foglalja az EU-s lakosoknak kínált árukat vagy szolgáltatásokat, illetve viselkedésük megfigyelését.
Bevált gyakorlat: alapértelmezetten opt-in
Ha több hozzájárulási modell kezelése túl bonyolultnak tűnik, van egy egyszerűbb út: globálisan alapértelmezze az opt-in modellt.
Íme, miért működik ez:
- Megfelelés mindenhol. Az opt-in modell kielégíti a legszigorúbb követelményeket. Ha megfelel a GDPR hozzájárulási követelményeinek, automatikusan túlteljesíti a CCPA, az LGPD és a legtöbb más keretrendszer követelményeit.
- Egyszerűség. Egy hozzájárulási mechanizmus, egy megvalósítás, egy tesztkészlet. Nincs földrajzi azonosítás, nincsenek regionális változatok, nincsenek szélsőséges esetek.
- Jövőbiztosság. A globális trend a szigorúbb hozzájárulási követelmények felé mutat. Az Egyesült Államokban, Kanadában, Ausztráliában és Indiában javasolt reformok mind a kifejezettebb hozzájárulás irányába mozdulnak. Ha most az opt-inre építkezik, később nem kell utólag átalakítania.
- Felhasználói bizalom. A felhasználók világszerte pozitívan reagálnak az átlátható, tiszteletteljes hozzájárulási gyakorlatokra. A valódi választás felkínálása — még ott is, ahol a jog szigorúan nem írja elő — bizalmat és márkahitelességet épít.
- Adatminőség. A hozzájárulással gyűjtött adatok tisztábbak, jobban védhetők és értékesebbek, mint a jogi bizonytalanságon keresztül gyűjtött adatok.
A kompromisszum valós: globálisan kevesebb adatot fog gyűjteni. De az adat, amelyet gyűjt, jogilag megalapozott, etikailag tiszta, és egyre értékesebb lesz, ahogy a harmadik féltől származó adatok egyre kevésbé elérhetők.
Kialakulóban lévő fejlemények
A hozzájárulási környezet nem statikus. Több fejlemény is figyelemre méltó:
- ePrivacy-rendelet. Az EU 2017 óta dolgozik az ePrivacy-irányelv utódján. Amikor elfogadják, közvetlenül alkalmazandó rendeletté válik (mint a GDPR), nem pedig nemzeti átültetést igénylő irányelvvé. A cookie-kra vonatkozó hozzájárulási szabályok várhatóan a jelenlegi kerethez hasonlóak vagy annál szigorúbbak lesznek.
- Global Privacy Control (GPC). Ez a böngészőszintű jel automatikusan közvetíti a felhasználó adatvédelmi preferenciáit. A kaliforniai törvény már most előírja a GPC tiszteletben tartását. Colorado és Connecticut szintén. Ez az opt-out preferenciák közlésének szabványos mechanizmusává válhat.
- „Consent or pay” modellek. Az EDPB 2024-es véleménye a „consent or pay” modellről (különösen a Meta megközelítésének kontextusában) alakítja azt, ahogy a szabályozók a hozzájárulás és a szolgáltatásokhoz való hozzáférés közötti viszonyt látják.
- Böngészőszintű hozzájárulás. Egyes javaslatok a hozzájárulás-kezelést az egyes weboldalakról magára a böngészőre helyeznék át, ahol a felhasználók egyszer állítanák be a preferenciáikat, nem pedig minden oldalon. Ez alapvetően megváltoztatná a hozzájárulás gyakorlati működését.
A Passiro segít a közönségének megfelelő hozzájárulási modell megvalósításában, az oldalán található összes cookie automatikus felismerésével és kategorizálásával — akár az opt-in, akár az opt-out, akár egy földrajzilag célzott megközelítést választja.
Utolsó szakaszunkban nézzük meg a hozzájárulás bevált gyakorlatait — a gyakorlati, kézzelfogható útmutatást a megfelelő és egyben felhasználóbarát hozzájárulás megvalósításához.
Megfelel a weboldala a cookie-szabályoknak?
Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.
Vizsgálja meg cookie-jait ingyen