Skip to main content

Mikor kötelező a sütikhez való hozzájárulás?

Az általános szabály egyszerű: minden sütihez szükséges hozzájárulás, kivéve azokat, amelyek feltétlenül szükségesek. A részletek azonban számítanak. Ha pontosan tudja, mikor kötelező és mikor nem kötelező a hozzájárulás, elkerülheti mind a túlbuzgó megfelelést (a felhasználók bosszantását felesleges hozzájárulási kérésekkel), mind a hiányos megfelelést (sütik jogalap nélküli elhelyezését).

Az általános szabály

Az ePrivacy irányelv 5. cikkének (3) bekezdése rögzíti az alapelvet:

A tagállamok gondoskodnak arról, hogy az előfizető vagy felhasználó végberendezésében történő adattárolás, vagy a már ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó egyértelmű és teljes körű tájékoztatást kapott többek között az adatkezelés céljairól, és ehhez hozzájárulását adta.

Ez minden sütire, minden helyi tárolóra, minden eszközszintű tárolásra vagy hozzáférésre vonatkozik. Ha a webhelye bármit ír a felhasználó eszközére, a hozzájárulás az alapértelmezett követelmény.

A feltétlenül szükséges sütik alóli kivétel

Ugyanez a cikk határozza meg az egyetlen kivételt:

Ez a rendelkezés nem akadályozza az olyan műszaki tárolást vagy hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amely az előfizető vagy felhasználó által kifejezetten kért, információs társadalommal összefüggő szolgáltatás nyújtásához feltétlenül szükséges.

Ennek a kivételnek két ága van:

  1. Műszaki közléstovábbítás: Olyan sütik, amelyek a kommunikáció létrejöttéhez műszakilag szükségesek. Ez szűk kör — lényegében a terheléselosztási sütikre és hasonló hálózati szintű szükségszerűségekre korlátozódik.
  2. A szolgáltatáshoz feltétlenül szükséges: Olyan sütik, amelyek elengedhetetlenek egy, a felhasználó által kifejezetten kért szolgáltatáshoz. A kulcskifejezés a „felhasználó által kifejezetten kért". A szolgáltatásnak olyannak kell lennie, amelyet a felhasználó kért, a sütinek pedig nélkülözhetetlennek kell lennie a nyújtásához.

Feltétlenül szükséges sütik (nem kell hozzájárulás)

  • Munkamenet-hitelesítési sütik. Amikor egy felhasználó bejelentkezik, a hitelesített állapotát fenntartó munkamenetsüti feltétlenül szükséges az általa kért szolgáltatáshoz (a fiókjához való hozzáféréshez).
  • Bevásárlókosár-sütik. Egy webáruházban a kosárban lévő tételeket nyilvántartó süti feltétlenül szükséges a felhasználó által igénybe vett vásárlási szolgáltatáshoz.
  • CSRF-védelmi tokenek. Ezek feltétlenül szükségesek az űrlapbeküldések biztonságos működéséhez.
  • Sütibeállítási preferenciákat tároló sütik. A felhasználó hozzájárulási döntéseit tároló süti feltétlenül szükséges — enélkül nem tudná tiszteletben tartani az adatvédelmi preferenciáit.
  • Bevitellel kapcsolatos sütik. Olyan sütik, amelyek több lépésből álló folyamatban (például egy pénztárűrlapon) megjegyzik az űrlapon megadott adatokat, amennyiben a felhasználó kezdeményezte a folyamatot.
  • Terheléselosztási sütik. Olyan műszaki sütik, amelyek a kéréseket a megfelelő szerverre irányítják. Ezek a kivétel „közléstovábbítási" ága alá esnek.
  • Felhasználói felület testreszabását szolgáló sütik. Amikor egy felhasználó az oldalon lévő vezérlőelemmel kifejezetten kiválaszt egy nyelvet vagy témát, az e választást tároló süti feltétlenül szükséges az általa kért szolgáltatáshoz. Ez azonban a körülményektől függ — lásd alább.

NEM feltétlenül szükséges sütik (hozzájárulás szükséges)

  • Analitikai sütik. A webhelyforgalom mérése a webhely üzemeltetőjének, nem a felhasználónak az érdekét szolgálja. A felhasználó nem kért forgalomelemzési szolgáltatást.
  • Hirdetési és remarketing sütik. Ezek a hirdetők és a webhely üzemeltetőjének érdekeit szolgálják, soha nem a felhasználóét.
  • Közösségimédia-megosztási sütik. Ezeket harmadik fél közösségi hálózatok helyezik el, nem a felhasználó által kért szolgáltatáshoz.
  • A/B-tesztelési sütik. Ezek az üzemeltető optimalizálási céljait szolgálják.
  • Affiliate-nyomkövetési sütik. Ezek nyomon követik, melyik partner ajánlotta a felhasználót, az üzemeltető üzleti érdekeit szolgálva.
  • Tartós bejelentkezési („emlékezz rám") sütik. Az EDPB megjegyezte, hogy míg egy aktuális bejelentkezéshez tartozó munkamenetsüti szükséges, addig egy tartós süti, amely munkameneteken átívelően bejelentkezve tartja a felhasználót, túlmegy a feltétlenül szükséges körön. A felhasználó ismét bejelentkezhetne.
  • Teljesítményfigyelő sütik. Az oldalbetöltési idők, hibaarányok és hasonló műszaki mutatók figyelésére használt sütik az üzemeltetőt szolgálják, nem a felhasználót.

A saját tulajdonú analitika vitája

A sütimegfelelés egyik legvitatottabb területe, hogy a saját tulajdonú (first-party) analitikai sütik használhatók-e hozzájárulás nélkül. A válasz joghatóságonként eltér, és folyamatosan alakul.

A CNIL álláspontja (Franciaország)

A francia CNIL külön iránymutatást adott ki, amely szerint bizonyos közönségmérési sütik mentesülhetnek a hozzájárulás alól, feltéve, hogy:

  1. A cél szigorúan a közönség mérésére korlátozódik (nincs webhelyek közötti nyomkövetés)
  2. Az adatokat nem osztják meg harmadik felekkel
  3. A sütik kizárólag saját tulajdonúak
  4. Az adatokat kizárólag anonim statisztikák előállítására használják
  5. A sütik élettartama korlátozott (legfeljebb 13 hónap)
  6. A felhasználókat tájékoztatják a használatukról
  7. A felhasználók letilthatják őket

E feltételek mellett a CNIL bizonyos eszközöket (például az adatvédelmet tiszteletben tartó módban konfigurált Matomót) alkalmasnak tekinti a kivételre. A Google Analytics nem felel meg, elsősorban azért, mert a Google saját infrastruktúráján kezeli az adatokat, és felhasználhatja azokat saját céljaira.

A holland AP álláspontja (Hollandia)

A holland Autoriteit Persoonsgegevens hasonlóképpen jelezte, hogy a minimális adatvédelmi hatással járó analitikai sütik használhatók hozzájárulás nélkül, de a CNIL-éhez hasonló feltételeket szabott.

Egyéb joghatóságok

A legtöbb más európai adatvédelmi hatóság nem fogadott el kifejezett analitikai kivételt. Az ICO (Egyesült Királyság) kijelentette, hogy az analitikai sütikhez hozzájárulás szükséges. A német adatvédelmi hatóságok általában minden nem alapvető sütihez hozzájárulást követelnek meg. A spanyol AEPD álláspontja is a hozzájárulás megkövetelése mellett áll.

Gyakorlati ajánlás

Hacsak nem kizárólag Franciaországban vagy Hollandiában működik, és nem tud minden CNIL/AP-feltételnek megfelelni, a legbiztonságosabb megközelítés az, ha az analitikai sütiket hozzájáruláshoz kötöttként kezeli. Ha mégis az analitikai kivételre támaszkodik, dokumentálja az érvelését, gondoskodjon minden feltétel teljesítéséről, és kövesse nyomon a szabályozási fejleményeket — ez a terület még mindig alakul.

Hozzájárulás alóli kivételek a süti célja szerint: döntési folyamatábra

A webhelyén lévő minden sütinél haladjon végig ezeken a kérdéseken:

  1. Műszakilag szükséges-e a süti a közlés továbbításához? (pl. terheléselosztás) Ha igen: nem szükséges hozzájárulás. Ha nem: folytassa.
  2. Kifejezetten kért-e a felhasználó egy olyan szolgáltatást, amelyhez ez a süti szükséges? (pl. bejelentkezés, tételek kosárba helyezése) Ha igen: folytassa. Ha nem: hozzájárulás szükséges.
  3. Nem működne-e a kért szolgáltatás e konkrét süti nélkül? Ha igen: nem szükséges hozzájárulás (feltétlenül szükséges). Ha a szolgáltatás működne, csak kevésbé lenne kényelmes: hozzájárulás szükséges.
  4. Saját tulajdonú-e a süti, összesített analitikára korlátozódik-e, az adatokat nem osztják-e meg harmadik felekkel, és olyan joghatóságban van-e, ahol létezik analitikai kivétel? Ha mindre igen: potenciálisan mentes, de dokumentálja az érvelését. Ha bármelyikre nem: hozzájárulás szükséges.
  5. Minden más esetben: hozzájárulás szükséges.

Különleges helyzetek

Sütifalak

A sütifal mindaddig megakadályozza a webhelyhez való hozzáférést, amíg a felhasználó el nem fogadja a sütiket. Az EDPB álláspontja szerint a sütifalak általában megakadályozzák, hogy a hozzájárulás „önkéntes" legyen, ezért nem megfelelőek. Egyes adatvédelmi hatóságok (nevezetesen a holland AP egy bírósági ítéletet követően) azonban jelezték, hogy a sütifalak elfogadhatók lehetnek, ha valódi, egyenértékű alternatívát kínálnak — például a szolgáltatás fizetős, sütimentes változatát. Ez továbbra is vitatott terület.

Fizetőfal vs. sütifal

Egyes kiadók „hozzájárulás vagy fizetés" modellt kínálnak: fogadja el a nyomkövető sütiket az ingyenes hozzáférésért, vagy fizessen a sütimentes élményért. Az EDPB 2024-ben véleményt adott ki e gyakorlatról, elismerve, hogy bizonyos feltételek mellett megengedhető lehet, de aggodalmát fejezte ki amiatt, hogy a „fizetős" alternatívának valóban észszerűnek kell lennie, és nem a hozzájárulás kikényszerítésére tervezett áron kell megállapítani.

Gyermekek

A GDPR 8. cikke szerint a gyermekeknek szánt információs társadalommal összefüggő szolgáltatásokhoz való hozzájárulás ellenőrzést, és egy bizonyos kor (tagállamonként 13–16 évig eltérő) alatti gyermekek esetében szülői hozzájárulást igényel. Ha a webhelye gyermekeket céloz meg, a sütikhez való hozzájárulás követelményei szigorúbbak.

Munkavállalói és B2B környezet

Az ePrivacy irányelv az „előfizetőre vagy felhasználóra" vonatkozik — nem csak a fogyasztókra. Ha a B2B SaaS-platformja nem alapvető sütiket használ, akkor is szükséges az egyéni felhasználó hozzájárulása, még üzleti környezetben is.

Mi történik érvényes hozzájárulás nélkül

Ha érvényes hozzájárulás nélkül helyez el nem alapvető sütiket:

  • Az összegyűjtött adatok jogszerűtlenek lehetnek mind az ePrivacy irányelv, mind a GDPR alapján.
  • A GDPR szerint akár 20 millió eurós vagy a globális éves árbevétel 4%-át kitevő bírsággal is számolnia kell, attól függően, hogy melyik a magasabb (83. cikk (5) bekezdés).
  • Elrendelhetik a jogszerűtlenül gyűjtött adatok törlését.
  • Az analitikai és hirdetési adatai veszélybe kerülhetnek — ha a gyűjtés jogalapja érvénytelen, az adatok nem használhatók jogszerűen.
  • Az adatok további címzettjei (hirdetési hálózatok, analitikai szolgáltatók) szintén felelősségre vonhatók.

Ezek nem elméleti kockázatok. A CNIL kifejezetten a sütikhez való hozzájárulás megsértéséért 150 millió euróra bírságolta a Google-t és 60 millió euróra a Facebookot. Kisebb vállalkozásokat hasonló mulasztásokért több tízezer eurós bírsággal sújtottak.

A Passiro azonosítja a webhelyén lévő összes sütit, és megjelöli azokat, amelyekhez hozzájárulás szükséges, így biztos lehet benne, hogy a hozzájárulási mechanizmusa a megfelelő sütikre terjed ki — se többre, se kevesebbre.

Ezután hasonlítsuk össze a két alapvető hozzájárulási modellt: az opt-int és az opt-outot, valamint azt, hogy melyik hol alkalmazandó.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen