Hogyan írjunk cookie-szabályzatot: lépésről lépésre útmutató
Egy cookie-szabályzat pontosan annyit ér, amennyire pontos és érthető. Ez az útmutató végigvezeti Önt egy olyan cookie-szabályzat elkészítésének folyamatán, amely megfelel a jogi követelményeknek, szolgálja a felhasználóit, és idővel is pontos marad. Kövesse ezt a kilenc lépést, hogy átfogó, átlátható és karbantartható szabályzatot hozzon létre.
1. lépés: Auditálja a cookie-jait
Mielőtt írni tudna a cookie-jairól, pontosan tudnia kell, hogy webhelye mely cookie-kat állít be. Ez a teljes szabályzat alapja — és az a lépés, amelyet a legtöbb szervezet elront.
Egy alapos cookie-audit a következőket foglalja magában:
- Minden oldal átvizsgálása. A cookie-k oldalanként eltérhetnek. A kezdőoldala más cookie-kat állíthat be, mint a fizetési oldala, a blogja vagy a fiókoldalai. Egy teljes körű auditnak minden oldaltípusra ki kell terjednie.
- Első és harmadik féltől származó cookie-k rögzítése. Az első féltől származó cookie-kat a saját domainje állítja be. A harmadik féltől származó cookie-kat külső szolgáltatások állítják be — analitikai platformok, hirdetési hálózatok, közösségi média widgetek, beágyazott videók, csevegő widgetek, fizetési szolgáltatók és mások.
- Nem cookie-alapú tárolás azonosítása. A modern webhelyek localStorage-ot, sessionStorage-ot, IndexedDB-t és pixelcímkéket is használnak. Egy átfogó szabályzat minden kliensoldali tárolási mechanizmusra kiterjed, nem csak a HTTP-cookie-kra.
- Tesztelés hozzájárulással és anélkül. Egyes cookie-kat a hozzájárulástól függetlenül beállítanak (feltétlenül szükséges cookie-k). Másoknak csak a hozzájárulás megadása után szabad megjelenniük. Az auditnak ellenőriznie kell, hogy a nem elengedhetetlen cookie-k valóban blokkolva vannak-e a hozzájárulás megadásáig.
A manuális auditok megbízhatatlanok. Ha manuálisan megnyitja a böngésző fejlesztői eszközeit néhány oldalon, akkor lemarad az aszinkron módon betöltődő, harmadik féltől származó szkriptek által beállított cookie-król, a csak bizonyos felhasználói műveletekre beállított cookie-król, valamint a csak későbbi látogatások alkalmával megjelenő cookie-król. A teljes kép érdekében használjon automatizált átvizsgáló eszközöket.
A Passiro automatizált cookie-szkennere feltérképezi a teljes webhelyét, azonosítja az összes cookie-t és tárolási mechanizmust, valamint kategorizált jelentést készít — ez a szabályzata ideális kiindulópontja.
2. lépés: Kategorizálja az egyes cookie-kat
Miután összeállította a cookie-k teljes listáját, rendezze őket szabványos kategóriákba. A legszélesebb körben elfogadott kategorizálás, amelyet az IAB Transparency and Consent Framework használ, és amelyet a legtöbb adatvédelmi hatóság ajánl, a következő:
Feltétlenül szükséges
Olyan cookie-k, amelyek nélkül a webhely nem működik. Példák: munkamenet-cookie-k a bejelentkezési állapothoz, bevásárlókocsi-cookie-k, CSRF-védelmi tokenek, terheléselosztó cookie-k, cookie-hozzájárulási beállítási cookie-k. Ezek mentesülnek a hozzájárulási követelmény alól az ePrivacy Directive 5. cikk (3) bekezdése értelmében, de a szabályzatában mindenképpen fel kell tüntetnie őket.
Preferenciák / Funkcionális
Olyan cookie-k, amelyek továbbfejlesztett funkcionalitást és személyre szabást tesznek lehetővé. Példák: nyelvválasztás, régió/pénznem beállítása, betűméret-beállítások, legutóbb megtekintett elemek. Ezek nem feltétlenül szükségesek — a webhely nélkülük is működne —, de javítják a felhasználói élményt. Hozzájárulást igényelnek.
Analitika / Statisztika
Olyan cookie-k, amelyek arról gyűjtenek adatokat, hogy a látogatók hogyan lépnek kapcsolatba a webhellyel. Példák: Google Analytics cookie-k (_ga, _gid), Hotjar munkamenet-cookie-k, Plausible Analytics. Ezek a legtöbb EU-tagállamban hozzájárulást igényelnek, bár egyes adatvédelmi hatóságok (nevezetesen a francia CNIL) korlátozott mentességeket alakítottak ki a szigorú feltételeknek megfelelő közönségmérési eszközök számára.
Marketing / Hirdetés
Célzott hirdetéshez, remarketinghez és hirdetési teljesítménymérésre használt cookie-k. Példák: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, hirdetési hálózati cookie-k. Ezek mindig hozzájárulást igényelnek, és ez a legalaposabban vizsgált kategória.
Minden cookie-hoz rendeljen kategóriát, és ellenőrizze, hogy a besorolás pontos-e. Gyakori hiba az analitikai vagy marketing cookie-k „funkcionálisként” való besorolása a hozzájárulási követelmény elkerülése érdekében — ez nem megfelelő, és a szabályozók könnyen felfedezik.
3. lépés: Írja meg a bevezetőt
A cookie-szabályzatnak egy rövid bevezetővel kell kezdődnie, amely a következőket tartalmazza:
- Kik Önök. A webhelyet üzemeltető jogi személy (cégnév, bejegyzett cím).
- Mire terjed ki ez a dokumentum. „Ez a cookie-szabályzat elmagyarázza, hogyan használ a [Cégnév] cookie-kat és hasonló technológiákat a [webhely URL] oldalon.”
- Mikor frissítették utoljára. Tüntessen fel egy jól látható dátumot.
- Hogyan léphet kapcsolatba Önökkel. Adjon meg egy kapcsolattartási e-mail címet, és ha van, az adatvédelmi tisztviselő adatait.
Tartsa a bevezetőt két-három mondatban. A felhasználók konkrét információért vannak itt, nem egy vállalati előszóért.
4. lépés: Magyarázza el, mik azok a cookie-k
Adjon meg egy rövid, nem technikai magyarázatot arról, hogy mik a cookie-k. Sok látogatója nem fogja tudni. Egy jó magyarázat így hangzik:
A cookie-k kis szöveges fájlok, amelyeket a webhely látogatásakor tárol az eszközén (számítógépen, táblagépen vagy telefonon). Széles körben használják őket a webhelyek működtetésére, a hatékonyság javítására és a webhelytulajdonosok tájékoztatására. Az Ön által látogatott webhely által beállított cookie-kat „első féltől származó cookie-knak” nevezzük. A más cégek (például analitikai vagy hirdetési szolgáltatások) által beállított cookie-kat „harmadik féltől származó cookie-knak” nevezzük.
Ha a webhelye a HTTP-cookie-kon túli technológiákat is használ — például localStorage-ot, pixelcímkéket vagy ujjlenyomat-vételt —, említse meg azokat is. „Ebben a szabályzatban a »cookie-k« kifejezést a cookie-kra és hasonló technológiákra használjuk, hacsak másképp nem jelezzük.”
5. lépés: Sorolja fel a cookie-kat táblázatos formában
Mutassa be a cookie-jait strukturált táblázatban, kategóriák szerint rendezve. Minden cookie-hoz tüntesse fel a következőket:
| Mező | Leírás | Példa |
|---|---|---|
| Név | A cookie technikai neve | _ga |
| Szolgáltató | Ki állítja be ezt a cookie-t | Google Analytics (google.com) |
| Cél | Mit csinál a cookie, közérthető nyelven | Egyedi azonosítót generál, amely statisztikai adatokat rögzít arról, hogyan használja a webhelyet |
| Típus | Első vagy harmadik féltől származó; HTTP-cookie, localStorage stb. | Harmadik féltől származó HTTP-cookie |
| Időtartam | Meddig marad meg a cookie | 2 év |
Íme egy példa egy jól strukturált cookie-táblázatra az analitikai kategóriában:
| Cookie neve | Szolgáltató | Cél | Típus | Időtartam |
|---|---|---|---|---|
_ga |
Google Analytics | Egyedi azonosítót rendel hozzá a látogatók megkülönböztetésére és statisztikai jelentések összeállítására | Harmadik féltől származó | 2 év |
_gid |
Google Analytics | Egyedi azonosítót rendel minden böngészési munkamenethez statisztikai jelentések összeállításához | Harmadik féltől származó | 24 óra |
_gat_UA-* |
Google Analytics | Korlátozza az adatgyűjtés sebességét a nagy forgalmú webhelyeken | Harmadik féltől származó | 1 perc |
Ismételje meg ezt a táblázatot minden kategóriához: Feltétlenül szükséges, Preferenciák, Analitika és Marketing.
6. lépés: Írja le az egyes kategóriákat
Minden cookie-táblázat előtt adjon egy rövid leírást a kategóriáról:
- Mit csinálnak az ebbe a kategóriába tartozó cookie-k — általánosságban.
- Szükséges-e hozzájárulás — a feltétlenül szükséges cookie-k nem igényelnek hozzájárulást; az összes többi igen.
- Mi történik, ha a felhasználó elutasítja — „Ha elutasítja az analitikai cookie-kat, nem gyűjtünk adatokat a látogatásairól. A webhely normálisan fog működni.”
Ez a kontextuális információ segít a felhasználóknak megalapozott döntéseket hozni, és megfelel a GDPR átláthatósági követelményeinek.
7. lépés: Magyarázza el, hogyan szabályozhatják a felhasználók a cookie-kat
Ennek a szakasznak két szabályozási mechanizmusra kell kiterjednie:
A hozzájárulási bannerén keresztül
Magyarázza el, hogy a felhasználók bármikor kezelhetik cookie-beállításaikat a cookie-beállítási hivatkozásra vagy ikonra kattintva. Írja le, hol találják meg (pl. „Kattintson a cookie-ikonra bármely oldal bal alsó sarkában” vagy „Kattintson a »Cookie-beállítások« gombra a láblécben”). Legyen konkrét — ne csak annyit írjon, hogy „a cookie-bannerünkön keresztül”.
A böngésző beállításain keresztül
Adjon meg hivatkozásokat a főbb böngészők cookie-kezelési utasításaihoz:
Jegyezze meg a következményt: „Kérjük, vegye figyelembe, hogy a cookie-k böngészőbeállításokon keresztüli letiltása befolyásolhatja ennek és más, Ön által látogatott webhelyeknek a működését.”
8. lépés: Adja hozzá a kapcsolattartási információkat és az adatvédelmi tisztviselő adatait
Adjon meg egyértelmű kapcsolattartási információkat az adatvédelemmel kapcsolatos megkeresésekhez:
- Az adatkezelő megnevezése: cégnév, bejegyzett cím, cégjegyzékszám.
- Adatvédelmi kapcsolattartási e-mail: egy figyelt e-mail cím (pl. [email protected]).
- Adatvédelmi tisztviselő: ha kijelölt adatvédelmi tisztviselőt (bizonyos szervezetek számára a GDPR 37. cikke szerint kötelező), adja meg a nevét és elérhetőségeit.
- Felügyeleti hatóság: nevezze meg az illetékes adatvédelmi hatóságot, és adjon meg egy hivatkozást a panasztételi mechanizmusukhoz. Például: „Önnek joga van panaszt tenni a [Hatóság neve] hatóságnál a [URL] címen.”
9. lépés: Dátumozza a szabályzatot és tervezze meg a frissítéseket
Tüntessen fel egy egyértelmű „Utolsó frissítés” dátumot. Vállalja, hogy rendszeres időközönként, valamint minden alkalommal felülvizsgálja és frissíti a szabályzatot, amikor a cookie-használata megváltozik.
Fontolja meg egy olyan nyilatkozat hozzáadását, mint: „Ezt a cookie-szabályzatot rendszeresen felülvizsgáljuk, és szükség esetén frissítjük. Bármely jelentős változásról a webhelyünkön elhelyezett értesítés útján tájékoztatjuk Önt.”
Gyakorlati szempontból tervezzen legalább negyedéves felülvizsgálatot. A harmadik féltől származó szolgáltatások gyakran módosítják cookie-jaikat, és még egy kisebb integrációs frissítés is bevezethet olyan új cookie-kat, amelyeket be kell jelenteni.
Gyakori hibák, amelyeket érdemes elkerülni
Még a gondosan megírt cookie-szabályzatok is gyakran tartalmazzák a következő hibákat:
- Homályos célleírások. A „Ez a cookie javítja az élményét” semmit sem mond a felhasználónak. Legyen konkrét: milyen adatokat gyűjt a cookie, és mire használja?
- Elavult cookie-listák. Ha a szabályzata egy hat hónapja eltávolított eszköz cookie-jait sorolja fel, vagy nem tünteti fel egy múlt héten hozzáadott eszköz cookie-jait, akkor pontatlan. A pontatlan közzététel aláássa az átláthatóságot.
- Hiányzó, harmadik féltől származó cookie-k. Sok szervezet felsorolja a saját cookie-jait, de elfelejti dokumentálni a beágyazott tartalmak (YouTube-videók, közösségimédia-gombok, csevegő widgetek stb.) által beállított, harmadik féltől származó cookie-kat. Ezek gyakran a legjobban a magánéletbe avatkozó cookie-k a webhelyen.
- Besorolási hibák. A marketing vagy analitikai cookie-k „funkcionálisként” vagy „szükségesként” való besorolása a hozzájárulási követelmény elkerülése érdekében. Az adatvédelmi hatóságok kifejezetten ezt keresik.
- Nincs mechanizmus a beállítások módosítására. Ha kijelentik, hogy a felhasználók kezelhetik a beállításaikat, de nem biztosítanak egy egyértelműen leírt, mindig elérhető mechanizmust erre.
- Sablon másolása testreszabás nélkül. Általános cookie-szabályzati sablonok, amelyek nem tükrözik a tényleges cookie-jait, tényleges szolgáltatásait vagy tényleges adatkezelését. A sablon kiindulópont, nem kész dokumentum.
- Nehezen érthető nyelvezet. Jogi zsargon, technikai terminológia és feleslegesen bonyolult mondatszerkezetek. A GDPR világos és közérthető nyelvet ír elő. Írjon a nem szakértő közönség számára.
Tartsa szinkronban a szabályzatát a tényleges cookie-kkal
A cookie-szabályzat karbantartásának legnehezebb része nem a megírása — hanem az, hogy pontosan tartsa. A webhelyek dinamikusak. A marketingcsapatok új eszközöket adnak hozzá, a fejlesztők új szolgáltatásokat integrálnak, a tartalomkezelő rendszerek nyomkövetési képességekkel rendelkező bővítményeket telepítenek. Minden változás olyan cookie-kat vezethet be, amelyeket a szabályzata nem említ.
A megoldás az automatizált, folyamatos felügyelet. Ahelyett, hogy manuális auditokra hagyatkozna (amelyek ritkák, hiányosak és hibalehetőségekkel terheltek), használjon olyan átvizsgáló eszközt, amely rendszeresen feltérképezi a webhelyét, azonosítja az összes aktív cookie-t, és összehasonlítja őket a bejelentett cookie-listájával.
A Passiro automatikusan átvizsgálja a webhelyét, észleli a be nem jelentett cookie-kat, és figyelmezteti Önt, ha a szabályzatát frissíteni kell. Ez biztosítja, hogy a cookie-szabályzata mindig a valóságot tükrözze — nem egy pillanatképet abból az időből, amikor valaki utoljára eszébe jutott ellenőrizni. Tudjon meg többet a Passiro automatizált cookie-megfelelőségéről.
Megfelel a weboldala a cookie-szabályoknak?
Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.
Vizsgálja meg cookie-jait ingyen