Skip to main content

A cookie-hozzájárulás legjobb gyakorlatai

A jogszabály ismerete elengedhetetlen. A megfelelő megvalósítás azonban ott kezdődik, ahol az igazi munka. Ez a rész a cookie-hozzájárulás gyakorlati legjobb gyakorlatait mutatja be — hogyan alakítson ki olyan hozzájárulási élményt, amely jogilag megfelelő, technikailag megbízható, és tiszteletben tartja a felhasználókat.

1. Tegye a hozzájárulást valóban önkéntessé

A GDPR 7. cikk (4) bekezdése kimondja, hogy annak megállapítása során, hogy a hozzájárulás önkéntes-e, „a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének — beleértve a szolgáltatásnyújtást is — feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez."

A gyakorlatban ez a következőt jelenti:

  • Ne használjon cookie-falakat, amelyek addig blokkolják a tartalmat, amíg a felhasználó el nem fogad minden cookie-t. Az EDPB kimondta, hogy a cookie-falak általában megakadályozzák a hozzájárulás önkéntes megadását. Ha a felhasználó nem férhet hozzá a weboldalához anélkül, hogy elfogadná a nyomon követést, akkor a „hozzájárulása" kényszerített, nem pedig önkéntes.
  • Ne rontsa az élményt azoknak, akik elutasítanak. Egy állandóan látható átfedő réteg megjelenítése, az oldal működésének csökkentése vagy passzív-agresszív üzenetek megjelenítése („Észrevettük, hogy nem fogadta el a cookie-kat — az élménye romolhat") aláássa a hozzájárulás önkéntes jellegét.
  • Kínáljon valódi alternatívákat. Ha „hozzájárulás vagy fizetés" modellt használ, a fizetős alternatívának valóban ésszerűnek kell lennie — nem szabad úgy árazni, hogy büntesse az elutasítást.

2. Számolja fel a megtévesztő mintázatokat

A cookie-hozzájárulásban alkalmazott megtévesztő mintázatok (dark patterns) kifejezetten a szabályozók célkeresztjében állnak. Az EDPB útmutatót adott ki a megtévesztő tervezési mintázatokról, a CNIL, a Garante és más adatvédelmi hatóságok pedig kifejezetten manipulatív hozzájárulási felületek miatt szabtak ki bírságot szervezetekre.

Kerülje ezeket a mintázatokat:

  • Aszimmetrikus gombok. Az „Összes elfogadása" nagy, színes gombként, a „Beállítások kezelése" pedig apró szöveges hivatkozásként. Mindkét lehetőségnek egyformán hangsúlyosnak kell lennie. Több adatvédelmi hatóság is kifejezetten megkövetelte, hogy az „Összes elutasítása" az első rétegen, az „Összes elfogadása" gombbal azonos vizuális súllyal legyen elérhető.
  • Zavaró megfogalmazás. „Folytatás elfogadás nélkül" vs. „Elfogadás és folytatás" — amikor mindkét gomb hasonlóan néz ki, a felhasználók nem tudják gyorsan megkülönböztetni őket. Használjon világos, egyértelmű címkéket: „Összes elfogadása", „Összes elutasítása", „Testreszabás".
  • Elrejtett elutasítási lehetőségek. Ha a cookie-k elutasításához a felhasználónak egy második vagy harmadik rétegre kell átkattintania, miközben az „Összes elfogadása" egyetlen kattintásra van. A CNIL részben ezért a gyakorlatért szabott ki 150 millió eurós bírságot a Google-re.
  • Előre bejelölt kapcsolók. Az analitikai és marketingkategóriák kapcsolói, amelyek alapból „bekapcsolt" állapotban vannak. A CJEU Planet49-ítélete ezt kifejezetten tiltja.
  • Félrevezető színek. Zöld az „Elfogadás" és piros vagy szürke az „Elutasítás" számára azt sugallja, hogy az elfogadás a helyes választás, az elutasítás pedig hiba. Használjon semleges, egységes stílust.
  • Bűntudatkeltés (confirm-shaming). Az olyan megfogalmazás, mint a „Nem, köszönöm, nem érdekel az élményem" az elutasítás gombjaként manipulatív, és aláássa a hozzájárulás önkéntes jellegét.
  • Ismételt kérdezgetés. A hozzájárulási sáv újbóli megjelenítése minden oldalletöltésnél, miután a felhasználó elutasított, abban a reményben, hogy megtörik. Ha a felhasználó egyszer döntött, tartsa tiszteletben.

3. Legyen átlátható

A tájékozott hozzájárulás megköveteli, hogy a felhasználók megértsék, mihez járulnak hozzá. Az átláthatóság nem az információ mennyiségéről szól — hanem az érthetőségéről.

  • Használjon közérthető nyelvet. A „Cookie-kat használunk arra, hogy hirdetési célból nyomon kövessük böngészési szokásait a weben" világos. A „Fejlett adatelemzési technológiákat alkalmazunk személyre szabott digitális élményének fokozására" nem az.
  • Sorolja fel az összes cookie-t. A cookie-szabályzatának teljes leltárt kell tartalmaznia: cookie neve, szolgáltatója, célja, típusa (munkamenet/tartós, első/harmadik féltől származó) és lejárati ideje. Ezt a leltárt naprakészen kell tartani.
  • Nevezze meg a harmadik feleket. Ha megoszt adatokat hirdetési hálózatokkal, nevezze meg őket. A „Megosztjuk az adatokat hirdetési partnereinkkel" nem elegendő. A „Megosztjuk az adatokat a Google Ads, a Meta (Facebook) és a LinkedIn szolgáltatásaival" átlátható.
  • Magyarázza el a következményeket. Mi történik, ha a felhasználó elfogadja az analitikai cookie-kat? Mi történik, ha elutasítja? A felhasználóknak érteniük kell választásuk gyakorlati hatását.

4. Kínáljon részletes szabályozási lehetőséget

A GDPR megköveteli, hogy a hozzájárulás „konkrét" legyen — külön adják meg minden egyes célra. A hozzájárulási mechanizmusának a következőket kell kínálnia:

  • Kategóriánkénti kapcsolók. A felhasználóknak képesnek kell lenniük elfogadni az analitikai cookie-kat, miközben elutasítják a marketingcookie-kat. A négy szabványos kategória (szükséges, analitikai, marketing, preferenciák) a minimum.
  • „Összes elfogadása" és „Összes elutasítása" gyorsgombok. Bár a részletes szabályozás kötelező, a tömeges lehetőségek gyorsgombként való felkínálása egyszerre jogszerű és felhasználóbarát — feltéve, hogy a részletes lehetőség ugyanolyan könnyen elérhető.
  • Szolgáltatónkénti szabályozás (ajánlott, de nem mindig kötelező). A maximális átláthatóság érdekében fontolja meg, hogy a felhasználók szolgáltatónként lássák és szabályozhassák a cookie-kat — például elfogadhassák a Google Analyticset, miközben elutasítják a Hotjart, vagy elfogadhassák a LinkedIn nyomon követését, miközben elutasítják a Facebookot. Egyes hozzájáruláskezelő platformok ezt „IAB TCF 2. szintű" részletességnek nevezik.

5. Tegye a visszavonást ugyanolyan egyszerűvé, mint a hozzájárulás megadását

A GDPR 7. cikk (3) bekezdése egyértelmű: „Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. [...] A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását."

Ezt a követelményt gyakran megsértik. A jellemző hibák közé tartozik:

  • Nincs látható mód a cookie-preferenciák módosítására, miután a sávot bezárták.
  • A „Cookie-beállítások" hivatkozás az adatvédelmi szabályzatba van elrejtve, amely maga is a láblécbe van elrejtve.
  • A preferenciák visszaállításához a felhasználónak törölnie kell a böngésző cookie-jait (ez nem visszavonási mechanizmus — hanem egy kerülőmegoldás).

A legjobb gyakorlat szerinti megvalósítások közé tartozik:

  • Egy állandó „Cookie-beállítások" hivatkozás a weboldal láblécében.
  • Egy kis lebegő ikon (gyakran cookie- vagy pajzsikon), amely újra megnyitja a hozzáruláskezelőt.
  • Egy szakasz a felhasználó fiókbeállításai között (bejelentkezett felhasználók esetén), ahol a cookie-preferenciák kezelhetők.

Amikor egy felhasználó visszavonja a hozzájárulását, azonnal abba kell hagynia az érintett cookie-k használatát. Törölje a cookie-kat a böngészőből, és állítsa le a hozzájuk kapcsolódó szkripteket. A visszavonásnak ténylegesen érvényesülnie kell, nem csupán rögzítettnek lennie.

6. Vezessen nyilvántartást a hozzájárulásokról

A GDPR 7. cikk (1) bekezdése: „Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult."

A hozzájárulási nyilvántartásának a következőket kell tartalmaznia:

  • Időbélyeg arról, hogy a hozzájárulást mikor adták meg vagy utasították el.
  • Kategóriák, amelyeket elfogadtak vagy elutasítottak.
  • A megjelenített hozzájárulási mechanizmus verziója (hogyan nézett ki a sáv, milyen szöveg jelent meg). Ha megváltoztatja a hozzájárulási sávot, tudnia kell, hogy melyik verzióval lépett kapcsolatba az egyes felhasználók.
  • A hozzájárulás módja (melyik gombra kattintottak, mely lehetőségeket választották ki).
  • Anonimizált azonosító, amely a nyilvántartást az eszközhöz vagy munkamenethez köti (nem a felhasználó nevéhez vagy e-mail-címéhez — maga a hozzájárulási nyilvántartás ne váljon adatvédelmi problémává).

Tárolja ezeket a nyilvántartásokat a szerveroldalon. Egy kizárólag kliensoldali cookie önmagában nem elegendő bizonyíték — a felhasználó törölheti, és Önnek nem marad független feljegyzése. A legjobb gyakorlat, ha a hozzájárulási eseményeket a szerverre naplózza, és megőrzi őket annyi ideig, amennyit az adatvédelmi hatósága ajánl (jellemzően ugyanannyi ideig, mint a cookie lejárati ideje, plusz egy ésszerű ráhagyás).

7. Kérdezzen rá újra a változtatások után

A hozzájárulás konkrétan azokra a célokra és cookie-kra vonatkozik, amelyekre megadták. Ha új cookie-kat, új kategóriákat, új harmadik féltől származó szolgáltatókat ad hozzá, vagy jelentősen megváltoztatja a meglévő cookie-k használatának módját, a korábban begyűjtött hozzájárulás már nem feltétlenül fedi le az új adatkezelést.

Kérdezzen rá újra a felhasználóknál, amikor:

  • Egy új cookie-kategóriát ad hozzá, amelyet korábban nem fedett le.
  • Egy új, harmadik féltől származó nyomonkövetési szolgáltatást vezet be.
  • Megváltoztatja a meglévő cookie-k célját (pl. az analitikai adatok hirdetési célú felhasználása).
  • Jelentős idő telt el a legutóbbi hozzájárulás óta (a CNIL legfeljebb 13 hónapot ajánl).
  • A szabályozási követelmények olyan módon változnak, amely érinti a meglévő hozzájárulás érvényességét.

Vezessen be egy hozzájárulási verziórendszert. Rendeljen verziószámot a hozzájárulási konfigurációjához. Amikor a verzió megváltozik (mert cookie-kat adott hozzá vagy módosított), kérdezzen rá újra azoknál a felhasználóknál, akik egy korábbi verzió szerint járultak hozzá.

8. A/B-tesztelje a hozzájárulási arányokat etikusan

Legitim dolog optimalizálni a hozzájárulási élményt — különböző elrendezések, megfogalmazások és designok tesztelése annak érdekében, hogy megtalálja a legjobban működőt. De a „legjobban működő" azt kell jelentse, hogy „ésszerű arányban valóban tájékozott hozzájárulást eredményez", nem pedig azt, hogy „manipulációval maximalizálja az összes elfogadására leadott kattintásokat".

Etikus A/B-tesztelési irányelvek:

  • Minden változatnak megfelelőnek kell lennie. Minden tesztelt verziónak teljesítenie kell az érvényes hozzájárulás jogi követelményeit. Nem tesztelhet egy megfelelő verziót egy nem megfelelő ellenében, hogy lássa, melyik kap több elfogadást.
  • Az érthetőséget tesztelje, ne a manipulációt. Növeli-e a megértést, és ezáltal a hozzájárulást a magyarázat átfogalmazása? Javítja-e az elköteleződést a sáv áthelyezése? Ezek legitim tesztek.
  • Ne az „Összes elfogadása" arányra optimalizáljon. A zavaró design révén elért magas elfogadási arány nem siker — hanem megfelelőségi kockázat. Azoknak a felhasználóknak az arányára optimalizáljon, akik bármilyen aktív, tájékozott döntést hoznak.
  • Figyelje az elutasítási arányokat. Ha egy designváltoztatás drámaian csökkenti az elutasításokat, kérdezze meg, hogy ezt az érthetőség révén vagy akadályok révén érte-e el.

9. A technikai megvalósítás legjobb gyakorlatai

A hozzájárulási mechanizmus nem csupán egy felhasználói felület elem — a tényleges működéshez megfelelő technikai megvalósítás szükséges.

Blokkolja a szkripteket a hozzájárulásig

A legfontosabb technikai követelmény: a nem elengedhetetlen szkriptek nem futhatnak le, amíg a felhasználó nem járult hozzá a vonatkozó kategóriához. Több megközelítés is létezik:

  • Szkripttípus-manipuláció. Változtassa meg a type="text/javascript" értéket type="text/plain" értékre, és adjon hozzá egy adatattribútumot, amely megjelöli a kategóriát. Amikor a hozzájárulás megtörténik, egy hozzájáruláskezelő szkript visszaállítja a típust, és elindítja a végrehajtást.
  • Címkekezelő-integráció. Használjon olyan címkekezelőt (Google Tag Manager, Tealium stb.), amely támogatja a hozzájárulási módokat. A címkék úgy vannak beállítva, hogy csak akkor süljenek el, ha a kategóriájukra vonatkozó hozzájárulás megvan.
  • Szerveroldali renderelés. Csak akkor illesszen szkriptcímkéket az oldal HTML-jébe, ha a hozzájárulás már rögzített (a hozzájárulási cookie szerveroldali ellenőrzésén keresztül). Ez a legmegbízhatóbb megközelítés, de szerveroldali logikát igényel.

Kezelje helyesen a hozzájárulási állapotot

  • Első látogatás (nincs rögzített hozzájárulás): Csak a feltétlenül szükséges szkripteket töltse be. Jelenítse meg a hozzájárulási mechanizmust.
  • Visszatérő látogatás (rögzített hozzájárulás): Olvassa be a hozzájárulási cookie-t. Töltse be az elfogadott kategóriáknak megfelelő szkripteket. Ne jelenítse meg újra a hozzájárulási mechanizmust, hacsak nem esedékes a megújítás.
  • Visszavont hozzájárulás: Állítson le minden szkriptet a visszavont kategóriában. Törölje a vonatkozó cookie-kat. Frissítse a hozzájárulási nyilvántartást.
  • Megújított hozzájárulás: Kezelje első látogatásként bármely új kategória esetében. A korábban elfogadott kategóriákat azonnal töltse be.

Teszteljen alaposan

  • Ellenőrizze, hogy a hozzájárulás megadása előtt nem állítanak be nem elengedhetetlen cookie-kat. Használja a böngésző fejlesztői eszközeit (Application fül > Cookies) az ellenőrzéshez.
  • Ellenőrizze, hogy a szkriptek valóban leállnak-e a hozzájárulás visszavonásakor — nemcsak azt, hogy a cookie törlődik, hanem azt is, hogy a szkriptek már nem futnak.
  • Teszteljen letiltott JavaScript mellett. A hozzájárulási mechanizmusnak elegánsan kell működnie ebben az esetben is, és semmilyen nyomonkövetési szkript nem tölthet be.
  • Teszteljen mobileszközökön. A hozzájárulási mechanizmusnak teljesen működőképesnek és használhatónak kell lennie kis képernyőkön is.

10. Használjon hozzáruláskezelő platformot (CMP)

Egy teljesen megfelelő hozzájárulási mechanizmus a nulláról való felépítése lehetséges, de jelentős folyamatos karbantartással jár. Egy hozzáruláskezelő platform kezeli Ön helyett a bonyolultságot: a hozzájárulás begyűjtését, a nyilvántartást, a szkriptblokkolást, a földrajzi célzást és a szabályozási frissítéseket.

Egy CMP értékelésekor vegye figyelembe:

  • Automatikus cookie-vizsgálat. Észleli-e a CMP az összes cookie-t az oldalán, vagy manuálisan kell felsorolnia őket?
  • Szkriptblokkolás. Valóban blokkolja-e a CMP a szkripteket a hozzájárulás előtt, vagy csak egy sávot jelenít meg?
  • Hozzájárulási nyilvántartások. Tárolja-e a CMP a hozzájárulás bizonyítékát a szerveroldalon?
  • IAB TCF-támogatás. Ha programozott hirdetést használ, szükség lehet a TCF 2.2 támogatására.
  • Teljesítményre gyakorolt hatás. A CMP szkriptje minden oldalon betöltődik. Mekkora? Blokkolja-e a renderelést?
  • Testreszabhatóság. Igazíthatja-e a hozzájárulási sávot a márkája designjához?
  • Akadálymentesség. Maga a hozzájárulási mechanizmus akadálymentes-e? Navigálható-e billentyűzettel? Működik-e képernyőolvasókkal? Egy akadálymentesen nem elérhető hozzájárulási sáv egy olyan weboldalon, amely azt állítja, hogy törődik az akadálymentességgel, rossz fényt vet a cégre.

A Passiro átvizsgálja a weboldalát, hogy azonosítsa az összes cookie-t és nyomonkövetési technológiát, automatikusan kategorizálja őket, és gyakorlati ajánlásokat ad a hozzájárulás megvalósításához — akár saját maga építi fel, akár CMP-t használ.

Összefoglalás: a hozzájárulási ellenőrzőlista

Gyors útmutató a jelenlegi hozzájárulási megvalósítása értékeléséhez:

  1. A hozzájárulás megadása előtt nem állítanak be nem elengedhetetlen cookie-kat.
  2. A hozzájárulási mechanizmus egyenlő hangsúllyal kínálja az „Összes elfogadása" és az „Összes elutasítása" lehetőséget.
  3. A felhasználók kategóriánkénti döntéseket hozhatnak (legalább: szükséges, analitikai, marketing, preferenciák).
  4. A bemutatott információ világos, konkrét és közérthető nyelven íródott.
  5. Nem használnak előre bejelölt jelölőnégyzeteket és kapcsolókat a nem elengedhetetlen kategóriákhoz.
  6. Létezik egy állandó, könnyen elérhető mód a hozzájárulás visszavonására vagy módosítására.
  7. A hozzájárulási nyilvántartások a szerveroldalon tárolódnak időbélyegekkel és kategóriaadatokkal.
  8. A hozzájárulást legalább 13 havonta megújítják (vagy hamarabb, ha a cookie-használat változik).
  9. A hozzájárulási mechanizmus akadálymentes (billentyűzettel navigálható, képernyőolvasóval kompatibilis).
  10. A megvalósítást rendszeresen tesztelik a megfelelőség szempontjából (új cookie-k, módosított szkriptek).

A jól megvalósított cookie-hozzájárulás nem akadálya az üzletnek. A bizalom alapja Ön és a felhasználói között — és egyre inkább ez választja el a megfelelő vállalkozásokat azoktól, amelyekkel szemben szabályozói fellépés indul.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen