Skip to main content

Cookie-szabályzat: mi az, és mit kell tartalmaznia

A cookie-szabályzat egy olyan dokumentum, amely elmagyarázza a weboldal látogatóinak, hogy az oldal milyen cookie-kat és hasonló nyomkövetési technológiákat használ, miért használja ezeket, és hogyan tudják a felhasználók kezelni azokat. Az ePrivacy irányelv és a GDPR egyaránt kötelezővé teszi, és az átlátható adatkezelés egyik alappillére.

Ez az útmutató bemutatja, mi is a cookie-szabályzat, miben különbözik az adatvédelmi szabályzattól, mit kell tartalmaznia a hatályos jogszabályok szerint, és hogyan tartható naprakészen az idő múlásával.

Mi az a cookie-szabályzat?

A cookie-szabályzat egy erre a célra szánt dokumentum — vagy önálló oldal, vagy az adatvédelmi szabályzaton belüli, jól azonosítható rész —, amely átfogó tájékoztatást nyújt arról, hogy a weboldal hogyan használja a cookie-kat és a hasonló technológiákat (helyi tároló, munkamenet-tároló, pixelcímkék, webjelzők, ujjlenyomatképzés és hasonlók).

A cookie-szabályzat előírásának jogalapja két, egymást metsző jogszabályból ered:

  • ePrivacy irányelv (2002/58/EK), 5. cikk (3) bekezdés — előírja, hogy a felhasználók a hozzájárulás megszerzése előtt „egyértelmű és teljes körű tájékoztatást” kapjanak a cookie-k céljairól.
  • GDPR, 12–14. cikk — átláthatóságot ír elő az adatkezeléssel kapcsolatban, beleértve azt, hogy milyen adatokat gyűjtenek, milyen célból, kikkel osztják meg azokat, és mennyi ideig őrzik meg.

Ezek a jogszabályok együttesen kötelezik Önt arra, hogy pontosan tájékoztassa a felhasználókat az alkalmazott nyomkövetési technológiákról, és érdemi ellenőrzést biztosítson számukra ezek felett.

Cookie-szabályzat kontra adatvédelmi szabályzat

A cookie-szabályzat és az adatvédelmi szabályzat egymást kiegészítő, de eltérő dokumentumok. Fontos megérteni a köztük lévő különbséget:

Szempont Cookie-szabályzat Adatvédelmi szabályzat
Hatókör Kifejezetten a cookie-k és nyomkövetési technológiák Minden személyesadat-kezelés (űrlapok, fiókok, vásárlások stb.)
Jogalap ePrivacy irányelv + GDPR átláthatósági követelmények GDPR 12–14. cikk
Tartalmi fókusz Cookie-nevek, célok, időtartamok, típusok, kategóriák, kezelési mechanizmusok Adatkategóriák, jogalapok, jogok, adattovábbítások, adatvédelmi tisztviselő, megőrzés
Formátum Önálló oldal vagy az adatvédelmi szabályzaton belüli rész Önálló oldal (kötelező)
Frissítés gyakorisága Amikor a cookie-k változnak (eszközök, szolgáltatók hozzáadása/eltávolítása) Amikor az adatkezelési gyakorlat változik

A cookie-szabályzatát az adatvédelmi szabályzat egyik szakaszaként is elhelyezheti, de annak jól azonosíthatónak és könnyen megtalálhatónak kell lennie. Számos szervezet külön cookie-szabályzat oldalt tart fenn az áttekinthetőség érdekében, és azért, mert a cookie-kra vonatkozó információk igen részletesek lehetnek.

A cookie-bannernek a cookie-szabályzatra kell mutatnia. Ha a cookie-információk az adatvédelmi szabályzat egy szakaszát képezik, a hivatkozásnak közvetlenül arra a szakaszra kell mutatnia — ne kényszerítse a felhasználókat arra, hogy oldalakon át kelljen görgetniük az irreleváns adatvédelmi információk között, mire megtalálják a cookie-kra vonatkozó részleteket.

A cookie-szabályzat jogi kötelezettsége

Az ePrivacy irányelv az érvényes hozzájárulás előfeltételeként „egyértelmű és teljes körű tájékoztatást” ír elő. A GDPR átláthatóság elve (5. cikk (1) bekezdés a) pont) és tájékoztatási követelményei (13–14. cikk) továbbá azt is előírják, hogy ez a tájékoztatás:

  • tömör, átlátható és érthető legyen (12. cikk (1) bekezdés)
  • világos és közérthető nyelven történjen (12. cikk (1) bekezdés)
  • könnyen hozzáférhető legyen (12. cikk (1) bekezdés)
  • díjmentesen elérhető legyen (12. cikk (5) bekezdés)

A gyakorlatban: a cookie-szabályzatnak olyan nyelven kell íródnia, amelyet a nem szakértő is megért, hivatkozni kell rá a cookie-bannerről és a weboldal láblécéből, és tartalmaznia kell az oldal által használt minden egyes cookie-ra vonatkozó konkrét információt.

Mit kell tartalmaznia egy cookie-szabályzatnak

Az ePrivacy irányelv, a GDPR, valamint az olyan adatvédelmi hatóságok — köztük az ICO (Egyesült Királyság), a CNIL (Franciaország) és a 29-es munkacsoport — iránymutatásainak együttes követelményei alapján a cookie-szabályzatnak az alábbi információkat kell tartalmaznia:

1. Milyen cookie-kat használ

Adjon meg egy teljes listát a weboldalon aktív összes cookie-ról és hasonló technológiáról. Ez magában foglalja a saját kódja által beállított cookie-kat (első fél), valamint az Ön által használt harmadik féltől származó szolgáltatások (analitikai platformok, hirdetési hálózatok, közösségimédia-widgetek, beágyazott tartalmak, chatbotok stb.) által beállított cookie-kat is.

Minden cookie-t név szerint azonosítani kell. „Analitikai cookie-kat használunk” nem elegendő — fel kell sorolnia a konkrét cookie-kat: például a Google Analytics esetében _ga, _gid, _gat.

2. Az egyes cookie-k célja

Minden cookie-ra vagy egymáshoz kapcsolódó cookie-csoportra vonatkozóan közérthető nyelven magyarázza el, mit csinál. Kerülje a szakzsargont. Hatékony célleírások:

  • „Tárolja a cookie-hozzájárulási beállításait, hogy ne kelljen minden látogatáskor újra rákérdeznünk.”
  • „Segít megszámolni, hányan látogatják meg a weboldalunkat, és mely oldalak a legnépszerűbbek.”
  • „Lehetővé teszi, hogy más weboldalakon az Ön érdeklődéséhez igazodó hirdetéseket jelenítsünk meg.”

3. Első fél kontra harmadik fél

Jelezze, hogy az egyes cookie-kat közvetlenül a weboldala állítja-e be (első fél), vagy egy külső szolgáltatás (harmadik fél). A harmadik féltől származó cookie-k esetében azonosítsa a szolgáltatót, és hivatkozzon annak adatvédelmi szabályzatára. A felhasználóknak joguk van tudni nemcsak azt, hogy adataikat gyűjtik, hanem azt is, hogy ki gyűjti azokat.

4. Időtartam / lejárat

Adja meg, hogy az egyes cookie-k mennyi ideig maradnak fenn. Két típus létezik:

  • Munkamenet-cookie-k — a böngésző bezárásakor törlődnek. Ezt egyértelműen jelezze: „Munkamenet (a böngésző bezárásakor törlődik).”
  • Tartós cookie-k — meghatározott ideig a felhasználó eszközén maradnak. Adja meg a konkrét időtartamot: „2 év”, „30 nap”, „13 hónap”. Ne használjon homályos kifejezéseket, mint például „hosszú távú”.

Az adatvédelmi hatóságok fokozottan vizsgálják a cookie-k időtartamát. A CNIL például azt javasolja, hogy a hozzájárulási cookie-k (a felhasználó hozzájárulási döntését tároló cookie-k) ne haladják meg a 13 hónapot.

5. Hogyan kezelhetők és törölhetők a cookie-k

Magyarázza el, hogy a felhasználók két mechanizmuson keresztül tudják kezelni a cookie-kat:

  • A hozzájárulási banneren keresztül. Magyarázza el, hogy a felhasználók bármikor módosíthatják cookie-beállításaikat a cookie-beállításokon keresztül (adja meg a beállítási hivatkozás/ikon helyét).
  • Böngészőbeállítások. Adjon általános útmutatást a cookie-k kezeléséhez a gyakori böngészőkben (Chrome, Firefox, Safari, Edge). Nem kell lépésről lépésre haladó útmutatót adnia, de el kell magyaráznia, hogy léteznek böngészőbeállítások, és hivatkoznia kell az egyes böngészők megfelelő súgóoldalaira.

6. Hogyan vonható vissza a hozzájárulás

A GDPR 7. cikk (3) bekezdése előírja, hogy a hozzájárulás visszavonásának ugyanolyan egyszerűnek kell lennie, mint a megadásának, és hogy a felhasználókat a hozzájárulás megadása előtt tájékoztatni kell erről a jogról. A cookie-szabályzatnak el kell magyaráznia:

  • hogy a felhasználónak joga van bármikor visszavonni a hozzájárulását;
  • hogyan teheti ezt meg (jellemzően: kattintson a minden oldalon látható cookie-beállítási ikonra/hivatkozásra, vagy törölje a cookie-kat a böngészőbeállításokon keresztül);
  • hogy a hozzájárulás visszavonása nem érinti a visszavonás előtti, hozzájáruláson alapuló adatkezelés jogszerűségét.

7. Cookie-kategóriák

Rendezze a cookie-kat a hozzájárulási banner által használt szabványos kategóriákba. A legszélesebb körben elterjedt kategorizálás a következő:

  • Feltétlenül szükséges — a weboldal működéséhez elengedhetetlen cookie-k (bejelentkezési munkamenetek, kosarak, biztonsági tokenek). Ezek az ePrivacy irányelv szerint nem igényelnek hozzájárulást.
  • Preferenciák / funkcionális — a felhasználói döntéseket megjegyző cookie-k (nyelv, régió, megjelenítési beállítások). Ezek javítják az élményt, de nem elengedhetetlenek.
  • Analitikai / statisztikai — anonim használati adatok (oldalmegtekintések, forgalmi források, felhasználói viselkedési minták) gyűjtésére szolgáló cookie-k.
  • Marketing / hirdetés — célzott hirdetésre, remarketingre és hirdetésmérésre használt cookie-k.

A cookie-szabályzat kategóriáinak meg kell egyezniük a hozzájárulási banner kategóriáival. A két dokumentum közötti következetlenség aláássa az átláthatóságot.

8. Kapcsolattartási adatok

Adjon meg elérhetőségeket a cookie-gyakorlatával kapcsolatos kérdésekhez. Ez jellemzően a következőket tartalmazza:

  • Az adatkezelő megnevezése (cégneve és bejegyzett címe)
  • Adatvédelmi kérdésekre szolgáló e-mail-cím
  • Az adatvédelmi tisztviselő (DPO) elérhetőségei, ha kinevezett ilyet
  • Az Ön felügyeleti hatósága (az illetékes adatvédelmi hatóság)

Hol jelenítse meg a cookie-szabályzatát

A cookie-szabályzatnak több helyről is könnyen elérhetőnek kell lennie:

  • Weboldal lábléc. Egy „Cookie-szabályzat” hivatkozás a láblécben, amely minden oldalon látható. Ez a szabványos hely, amelyet a felhasználók elvárnak.
  • Cookie-banner. Közvetlen hivatkozás a cookie-bannerről a teljes cookie-szabályzatra. Ez jogi követelmény — a felhasználóknak a hozzájárulási felületről el kell tudniuk érni a részletes információkat.
  • Cookie-beállítások / preferenciák panel. A hozzájárulási felület második rétegének a cookie-szabályzatra kell mutatnia azon felhasználók számára, akik több információt szeretnének.
  • Adatvédelmi szabályzat. Ha a cookie-szabályzat külön dokumentum, hivatkozzon rá az adatvédelmi szabályzatból, és fordítva.

A cookie-információk bemutatása

Az egyes cookie-k bemutatásának leghatékonyabb és legátláthatóbb formátuma a táblázat. Az adatvédelmi hatóságok, köztük az ICO is, ezt a formátumot javasolják:

Cookie neve Szolgáltató Cél Típus Időtartam
_ga Google Analytics Egyedi látogatókat különböztet meg egy véletlenszerűen generált szám hozzárendelésével Harmadik fél, analitikai 2 év
_gid Google Analytics Egyedi látogatókat különböztet meg az adott napra Harmadik fél, analitikai 24 óra
cookie_consent Ez a weboldal Tárolja a cookie-hozzájárulási beállításait Első fél, szükséges 12 hónap

Ez a formátum áttekinthető, könnyen átfutható, és egy pillantással minden szükséges információt megad.

Milyen gyakran frissítse

A cookie-szabályzatának mindenkor pontosnak kell lennie. Frissítse a következő esetekben:

  • Új, cookie-t beállító harmadik féltől származó szolgáltatást ad hozzá (új analitikai eszköz, új marketingplatform, új chatbot).
  • Eltávolít egy szolgáltatást, amely korábban cookie-t állított be.
  • Egy harmadik féltől származó szolgáltatás megváltoztatja a cookie-jait (új nevek, új időtartamok, új célok).
  • Megváltoztatja a hozzájárulási banner kategóriáit.
  • Megváltoznak a szabályozói iránymutatások (új követelmények, új bevált gyakorlatok).

Tüntessen fel egy „Utolsó frissítés” dátumot a cookie-szabályzat tetején vagy alján. Ez azt mutatja, hogy a szabályzatot aktívan karbantartják, és segít a felhasználóknak felmérni annak naprakészségét.

A kihívást természetesen az jelenti, hogy tudja, mikor változnak a cookie-jai. A harmadik féltől származó szolgáltatások gyakran frissítik nyomkövetésüket, és egy három hónappal ezelőtt még létező cookie-t azóta lecserélhettek vagy átnevezhettek. A kézi auditok megbízhatatlanok, mert azon múlnak, hogy valaki emlékszik-e az ellenőrzésre.

Tartsa naprakészen szabályzatát automatizált szkenneléssel

A cookie-szabályzatok leggyakoribb megfelelőségi hibája nem az információ hiánya — hanem a pontatlan információ. Egy olyan szabályzat, amely már nem használt cookie-kat sorol fel, vagy amely nem említi meg egy nemrégiben integrált marketingeszköz által hozzáadott cookie-kat, nem felel meg az előírásoknak.

Az automatizált cookie-szkennelés megoldja ezt a problémát. A szkenner rendszeres időközönként meglátogatja a weboldalát, azonosítja az összes beállított cookie-t, összehasonlítja azokat a bejelentett cookie-kkal, és riasztja Önt az eltérésekről.

A Passiro automatikusan átvizsgálja a weboldalát cookie-k után, kategorizálja őket, és kiemeli azokat a be nem jelentett cookie-kat, amelyek még nem szerepelnek a szabályzatában. Ez azt jelenti, hogy a cookie-szabályzata kézi auditok nélkül is pontos marad. Tudjon meg többet a Passiro automatizált cookie-szkenneléséről.

Ebben a szekcióban

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen