Cookie-kategóriák: hogyan osztályozzuk a sütiket a hozzájáruláshoz
A sütikre vonatkozó hozzájárulás nem egy „mindent vagy semmit” döntés. Az adatvédelmi szabályozás megköveteli, hogy a felhasználók részletes választást tudjanak tenni arról, mely sütitípusokat fogadják el. Ennek érdekében a sütiket kategóriákba szervezzük — céljuk alapján csoportosítjuk őket, ahol minden csoportnak saját hozzájárulási követelménye van.
A helyes kategorizálás kritikus fontosságú. Ha egy marketingsütit „feltétlenül szükségesként” osztályoz be, az nemcsak technikai hiba — hanem megfelelőségi jogsértés, amelyet a hatóságok aktívan keresnek és büntetnek.
Miért fontos a kategorizálás
A GDPR megköveteli, hogy a hozzájárulás „konkrét” legyen (4. cikk 11. pont). A 29. cikk szerinti adatvédelmi munkacsoport (ma EDPB) tisztázta, hogy ez azt jelenti: a hozzájárulást minden egyes külön célra külön kell megadni. Ha az összes sütit egyetlen „összes elfogadása” gombba csomagolja anélkül, hogy kategóriánkénti választást kínálna, az nem felel meg ennek a követelménynek.
A gyakorlatban ez azt jelenti, hogy a sütikre vonatkozó hozzájárulási mechanizmusnak cél szerint csoportosítva kell megjelenítenie a sütiket, és lehetővé kell tennie a felhasználók számára, hogy egyenként fogadják el vagy utasítsák el az egyes kategóriákat. Az iparágban kialakult — és a hatóságok által elvárt — szabvány négy kategóriát használ.
A négy standard cookie-kategória
1. Feltétlenül szükséges sütik
Ezek a sütik elengedhetetlenek a weboldal alapvető működéséhez. Nélkülük nem nyújtható a felhasználó által kifejezetten kért szolgáltatás.
Hozzájárulás szükséges: Nem. A feltétlenül szükséges sütik mentesülnek a hozzájárulási követelmény alól az ePrivacy irányelv 5. cikk (3) bekezdése alapján, amely kimondja, hogy nincs szükség hozzájárulásra azoknál a sütiknél, amelyek „feltétlenül szükségesek ahhoz, hogy az előfizető vagy felhasználó által kifejezetten kért információs társadalommal összefüggő szolgáltatás nyújtója a szolgáltatást nyújthassa”.
Példák feltétlenül szükséges sütikre:
- A bejelentkezési állapotot fenntartó munkamenet-sütik
- Kosársütik egy e-kereskedelmi oldalon
- CSRF (cross-site request forgery) elleni védelmi tokenek
- Terheléselosztó sütik, amelyek elosztják a forgalmat a szerverek között
- A hozzájárulási beállítás sütije (amely megjegyzi a hozzájárulási döntését)
- Biztonsági sütik, amelyek észlelik a hitelesítéssel való visszaéléseket
Ami NEM feltétlenül szükséges:
- Analitikai sütik — még a saját (first-party) sütik sem. A forgalom mérése hasznos a weboldal üzemeltetője számára, de nem szükséges a felhasználó által kért szolgáltatás nyújtásához.
- Közösségimédia-bővítmények — a megosztógombok és a beágyazott hírfolyamok az oldal tulajdonosának érdekeit szolgálják, nem pedig egy, a felhasználó által kifejezetten kért funkciót.
- Hirdetési sütik — definíció szerint ezek a felhasználó által elért szolgáltatáson túlmutató célt szolgálnak.
- A/B tesztelési sütik — ezek az oldal üzemeltetőjének optimalizálási céljait szolgálják, nem a felhasználó kifejezett kérését.
A kulcskérdés a nézőpont: kinek szükséges? Ha a süti inkább a weboldal üzemeltetőjének érdekeit szolgálja, mintsem a felhasználó által kifejezetten kért funkciót, akkor nem feltétlenül szükséges — függetlenül attól, mennyire fontos lehet a vállalkozás számára.
2. Analitikai / statisztikai sütik
Ezek a sütik információt gyűjtenek arról, hogyan használják a látogatók a weboldalt: mely oldalakat látogatják, mennyi ideig maradnak, honnan érkeznek, és hol lépnek ki. Az adatokat jellemzően összesítve, a weboldal fejlesztésére használják fel.
Hozzájárulás szükséges: Igen, a legtöbb joghatóságban. Egyes adatvédelmi hatóságok (nevezetesen a francia CNIL és a holland AP) azonban jelezték, hogy bizonyos saját analitikai eszközök korlátozott mentesülésre jogosultak lehetnek, feltéve, hogy meghatározott feltételek teljesülnek (lásd a mikor szükséges hozzájárulás szakaszunkat).
Gyakori analitikai sütik:
| Süti | Szolgáltatás | Cél | Alapértelmezett élettartam |
|---|---|---|---|
_ga |
Google Analytics | Megkülönbözteti az egyedi felhasználókat | 2 év |
_ga_* |
Google Analytics 4 | Fenntartja a munkamenet állapotát | 2 év |
_gid |
Google Analytics | Megkülönbözteti a felhasználókat (24 óra) | 24 óra |
_pk_id.* |
Matomo | Látogatóazonosító | 13 hónap |
_pk_ses.* |
Matomo | Munkamenet-követés | 30 perc |
_hjSessionUser_* |
Hotjar | Felhasználóazonosító | 1 év |
Megjegyzendő, hogy a Google Analytics sütik természetüknél fogva harmadik feles sütik, még ha saját sütikként is jelennek meg — mivel a Google saját szerverein dolgozza fel az adatokat, és felhasználhatja őket saját céljaira. Ez a megkülönböztetés több európai jogérvényesítési eljárásban is jelentős szerepet játszott.
3. Marketing- / hirdetési sütik
Ezek a sütik weboldalakon átívelően követik a látogatókat, hogy profilt építsenek böngészési viselkedésükről. Ezt a profilt célzott hirdetések megjelenítésére, a hirdetési kampányok hatékonyságának mérésére, valamint annak korlátozására használják, hogy egy felhasználó hányszor lát egy adott hirdetést.
Hozzájárulás szükséges: Mindig. A hirdetési sütikre nincs kivétel az ePrivacy irányelv vagy a GDPR egyetlen értelmezése szerint sem.
Gyakori marketingsütik:
| Süti | Szolgáltatás | Cél | Alapértelmezett élettartam |
|---|---|---|---|
_fbp |
Meta (Facebook) | Látogatások követése hirdetéscélzáshoz | 3 hónap |
_gcl_au |
Google Ads | Konverziókövetés | 3 hónap |
IDE |
Google DoubleClick | Retargeting és hirdetésmegjelenítés | 13 hónap |
_uetsid |
Microsoft Advertising | Konverziókövetés | 1 nap |
li_fat_id |
Tag közvetett azonosítója | 30 nap |
A marketingsütik szinte mindig harmadik felektől származnak. Ezek jelentik a legnagyobb adatvédelmi kockázatot, és ez a legszigorúbban szabályozott kategória. Minden olyan hozzájárulási mechanizmus, amely megkönnyíti a marketingsütik elfogadását azok elutasításához képest, hatósági eljárást kockáztat.
4. Beállítási / funkcionalitási sütik
Ezek a sütik olyan bővített funkciókat és személyre szabást tesznek lehetővé, amelyek túlmutatnak a feltétlenül szükségesen. Megjegyzik a felhasználó által hozott döntéseket, de nem elengedhetetlenek az alapszolgáltatás működéséhez.
Hozzájárulás szükséges: Igen, bár a kockázati szint alacsonyabb, mint az analitikai vagy marketingsütiké. Egyes hatóságok elnézőbben kezelik a beállítási sütiket, de jogilag továbbra is szükséges a hozzájárulás.
Példák:
- Nyelvi beállítás (amikor az oldal enélkül is működik, csak egy másik nyelvre alapértelmez)
- Régió vagy pénznem kiválasztása
- Felhasználónév előkitöltése a bejelentkezési űrlapokon
- Videólejátszó beállításai (hangerő, minőség)
- Csevegőablak állapota (nyitva/zárva, beszélgetési előzmények)
- Betűméret vagy akadálymentesítési beállítások
A „feltétlenül szükséges” és a „beállítási” sütik közötti különbség finom lehet. Egy nyelvi süti egy egynyelvű oldalon értelmetlen. Egy nyelvi süti egy többnyelvű oldalon, amely enélkül egy működő nyelvre alapértelmez, beállítási süti. Egy nyelvi süti olyan oldalon, amely enélkül egyáltalán nem működik — mert a tartalom nyelvválasztás nélkül nem töltődik be —, akár feltétlenül szükségesnek is tekinthető. A kontextus számít.
Hogyan kategorizálja helyesen a sütijeit
Kövesse ezt a folyamatot a weboldalán található minden süti esetében:
- Azonosítsa a sütit. Mi a neve, ki állítja be (saját vagy harmadik fél), és mennyi az élettartama?
- Határozza meg a célját. Miért létezik ez a süti? Mi történik, ha eltávolítja?
- Alkalmazza a feltétlenül szükséges tesztet. Elengedhetetlen-e ez a süti egy, a felhasználó által kifejezetten kért funkcióhoz? Ha a felhasználó be kívánt jelentkezni, egy munkamenet-süti szükséges. Ha Ön a viselkedését szeretné követni, az az Ön igénye, nem az övé.
- Rendelje hozzá a kategóriát. Ha nem feltétlenül szükséges, sorolja be elsődleges célja alapján: analitikai, marketing vagy beállítási.
- Dokumentálja az indoklását. Minden süti esetében rögzítse, miért kategorizálta úgy, ahogy tette. Ez a dokumentáció értékes lehet, ha egy hatóság valaha rákérdez.
Gyakori kategorizálási hibák
A hatósági jogérvényesítési eljárások és auditmegállapítások alapján ezek a leggyakoribb hibák:
- A Google Analytics feltétlenül szükségesként való osztályozása. Ez a legelterjedtebb hiba. A GA egy analitikai eszköz. Soha nem feltétlenül szükséges a felhasználó számára nyújtott szolgáltatáshoz. Több adatvédelmi hatóság kifejezetten kiemelte ezt.
- Minden harmadik feles süti a „funkcionalitás” alá sorolása. A beágyazott YouTube-videók, a közösségi megosztógombok és a csevegőablakok nem feltétlenül szükségesek, és sütijeik jellemzően a látható funkción túlmutató analitikai vagy marketingcélokat szolgálnak.
- A bővítmények és integrációk által beállított sütik figyelmen kívül hagyása. Egy 20 bővítménnyel rendelkező WordPress-oldal több tucat sütit állíthat be, amelyekről az oldal üzemeltetője nem is tud. Ennek ellenére mindegyikért Ön felel.
- A marketingsütik analitikaiként kezelése. A Facebook Pixel és a Google Ads konverziókövetése marketingsütik, nem analitikaiak — elsődleges céljuk a hirdetés, még ha az adatokat analitikai módon is használja.
- Az A/B tesztelési sütik hibás besorolása. Az olyan eszközök, mint az Optimizely és a VWO, sütiket állítanak be a felhasználók tesztcsoportokba sorolására. Ezek nem feltétlenül szükségesek, és analitikai vagy beállítási sütiként kell besorolni őket.
Automatizálja a folyamatot
A kézi cookie-auditok időigényesek és hibalehetőségekkel terheltek. A weboldalak folyamatosan változnak — egy új bővítmény, egy frissített szkript, egy marketingcsapat által hozzáadott követőpixel —, és minden egyes változás új sütiket vezethet be, amelyeket kategorizálni kell.
A Passiro automatikusan átvizsgálja és kategorizálja weboldalának összes sütijét, észleli az új sütiket, amikor megjelennek, és jelzi a lehetséges hibás kategorizálásokat. Ez biztosítja, hogy a hozzájárulási mechanizmus mindig a webhelye által ténylegesen használt sütiket tükrözze — nem csak azokat, amelyekről tudott, amikor legutóbb ellenőrizte.
Most, hogy megértettük a kategóriákat, nézzük meg, mit is jelent valójában jogilag a sütikre vonatkozó hozzájárulás — a követelmények konkrétabbak, mint azt a legtöbben gondolnák.
Megfelel a weboldala a cookie-szabályoknak?
Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.
Vizsgálja meg cookie-jait ingyen