Skip to main content

Hogyan írjunk cookie-szabályzatot: lépésről lépésre útmutató

Egy cookie-szabályzat pontosan annyit ér, amennyire pontos és érthető. Ez az útmutató végigvezeti Önt egy olyan cookie-szabályzat elkészítésének folyamatán, amely megfelel a jogi követelményeknek, szolgálja a felhasználóit, és idővel is pontos marad. Kövesse ezt a kilenc lépést, hogy átfogó, átlátható és karbantartható szabályzatot hozzon létre.

1. lépés: Auditálja a cookie-jait

Mielőtt írni tudna a cookie-jairól, pontosan tudnia kell, hogy webhelye mely cookie-kat állít be. Ez a teljes szabályzat alapja — és az a lépés, amelyet a legtöbb szervezet elront.

Egy alapos cookie-audit a következőket foglalja magában:

  1. Minden oldal átvizsgálása. A cookie-k oldalanként eltérhetnek. A kezdőoldala más cookie-kat állíthat be, mint a fizetési oldala, a blogja vagy a fiókoldalai. Egy teljes körű auditnak minden oldaltípusra ki kell terjednie.
  2. Első és harmadik féltől származó cookie-k rögzítése. Az első féltől származó cookie-kat a saját domainje állítja be. A harmadik féltől származó cookie-kat külső szolgáltatások állítják be — analitikai platformok, hirdetési hálózatok, közösségi média widgetek, beágyazott videók, csevegő widgetek, fizetési szolgáltatók és mások.
  3. Nem cookie-alapú tárolás azonosítása. A modern webhelyek localStorage-ot, sessionStorage-ot, IndexedDB-t és pixelcímkéket is használnak. Egy átfogó szabályzat minden kliensoldali tárolási mechanizmusra kiterjed, nem csak a HTTP-cookie-kra.
  4. Tesztelés hozzájárulással és anélkül. Egyes cookie-kat a hozzájárulástól függetlenül beállítanak (feltétlenül szükséges cookie-k). Másoknak csak a hozzájárulás megadása után szabad megjelenniük. Az auditnak ellenőriznie kell, hogy a nem elengedhetetlen cookie-k valóban blokkolva vannak-e a hozzájárulás megadásáig.

A manuális auditok megbízhatatlanok. Ha manuálisan megnyitja a böngésző fejlesztői eszközeit néhány oldalon, akkor lemarad az aszinkron módon betöltődő, harmadik féltől származó szkriptek által beállított cookie-król, a csak bizonyos felhasználói műveletekre beállított cookie-król, valamint a csak későbbi látogatások alkalmával megjelenő cookie-król. A teljes kép érdekében használjon automatizált átvizsgáló eszközöket.

A Passiro automatizált cookie-szkennere feltérképezi a teljes webhelyét, azonosítja az összes cookie-t és tárolási mechanizmust, valamint kategorizált jelentést készít — ez a szabályzata ideális kiindulópontja.

2. lépés: Kategorizálja az egyes cookie-kat

Miután összeállította a cookie-k teljes listáját, rendezze őket szabványos kategóriákba. A legszélesebb körben elfogadott kategorizálás, amelyet az IAB Transparency and Consent Framework használ, és amelyet a legtöbb adatvédelmi hatóság ajánl, a következő:

Feltétlenül szükséges

Olyan cookie-k, amelyek nélkül a webhely nem működik. Példák: munkamenet-cookie-k a bejelentkezési állapothoz, bevásárlókocsi-cookie-k, CSRF-védelmi tokenek, terheléselosztó cookie-k, cookie-hozzájárulási beállítási cookie-k. Ezek mentesülnek a hozzájárulási követelmény alól az ePrivacy Directive 5. cikk (3) bekezdése értelmében, de a szabályzatában mindenképpen fel kell tüntetnie őket.

Preferenciák / Funkcionális

Olyan cookie-k, amelyek továbbfejlesztett funkcionalitást és személyre szabást tesznek lehetővé. Példák: nyelvválasztás, régió/pénznem beállítása, betűméret-beállítások, legutóbb megtekintett elemek. Ezek nem feltétlenül szükségesek — a webhely nélkülük is működne —, de javítják a felhasználói élményt. Hozzájárulást igényelnek.

Analitika / Statisztika

Olyan cookie-k, amelyek arról gyűjtenek adatokat, hogy a látogatók hogyan lépnek kapcsolatba a webhellyel. Példák: Google Analytics cookie-k (_ga, _gid), Hotjar munkamenet-cookie-k, Plausible Analytics. Ezek a legtöbb EU-tagállamban hozzájárulást igényelnek, bár egyes adatvédelmi hatóságok (nevezetesen a francia CNIL) korlátozott mentességeket alakítottak ki a szigorú feltételeknek megfelelő közönségmérési eszközök számára.

Marketing / Hirdetés

Célzott hirdetéshez, remarketinghez és hirdetési teljesítménymérésre használt cookie-k. Példák: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, hirdetési hálózati cookie-k. Ezek mindig hozzájárulást igényelnek, és ez a legalaposabban vizsgált kategória.

Minden cookie-hoz rendeljen kategóriát, és ellenőrizze, hogy a besorolás pontos-e. Gyakori hiba az analitikai vagy marketing cookie-k „funkcionálisként” való besorolása a hozzájárulási követelmény elkerülése érdekében — ez nem megfelelő, és a szabályozók könnyen felfedezik.

3. lépés: Írja meg a bevezetőt

A cookie-szabályzatnak egy rövid bevezetővel kell kezdődnie, amely a következőket tartalmazza:

  • Kik Önök. A webhelyet üzemeltető jogi személy (cégnév, bejegyzett cím).
  • Mire terjed ki ez a dokumentum. „Ez a cookie-szabályzat elmagyarázza, hogyan használ a [Cégnév] cookie-kat és hasonló technológiákat a [webhely URL] oldalon.”
  • Mikor frissítették utoljára. Tüntessen fel egy jól látható dátumot.
  • Hogyan léphet kapcsolatba Önökkel. Adjon meg egy kapcsolattartási e-mail címet, és ha van, az adatvédelmi tisztviselő adatait.

Tartsa a bevezetőt két-három mondatban. A felhasználók konkrét információért vannak itt, nem egy vállalati előszóért.

4. lépés: Magyarázza el, mik azok a cookie-k

Adjon meg egy rövid, nem technikai magyarázatot arról, hogy mik a cookie-k. Sok látogatója nem fogja tudni. Egy jó magyarázat így hangzik:

A cookie-k kis szöveges fájlok, amelyeket a webhely látogatásakor tárol az eszközén (számítógépen, táblagépen vagy telefonon). Széles körben használják őket a webhelyek működtetésére, a hatékonyság javítására és a webhelytulajdonosok tájékoztatására. Az Ön által látogatott webhely által beállított cookie-kat „első féltől származó cookie-knak” nevezzük. A más cégek (például analitikai vagy hirdetési szolgáltatások) által beállított cookie-kat „harmadik féltől származó cookie-knak” nevezzük.

Ha a webhelye a HTTP-cookie-kon túli technológiákat is használ — például localStorage-ot, pixelcímkéket vagy ujjlenyomat-vételt —, említse meg azokat is. „Ebben a szabályzatban a »cookie-k« kifejezést a cookie-kra és hasonló technológiákra használjuk, hacsak másképp nem jelezzük.”

5. lépés: Sorolja fel a cookie-kat táblázatos formában

Mutassa be a cookie-jait strukturált táblázatban, kategóriák szerint rendezve. Minden cookie-hoz tüntesse fel a következőket:

Mező Leírás Példa
Név A cookie technikai neve _ga
Szolgáltató Ki állítja be ezt a cookie-t Google Analytics (google.com)
Cél Mit csinál a cookie, közérthető nyelven Egyedi azonosítót generál, amely statisztikai adatokat rögzít arról, hogyan használja a webhelyet
Típus Első vagy harmadik féltől származó; HTTP-cookie, localStorage stb. Harmadik féltől származó HTTP-cookie
Időtartam Meddig marad meg a cookie 2 év

Íme egy példa egy jól strukturált cookie-táblázatra az analitikai kategóriában:

Cookie neve Szolgáltató Cél Típus Időtartam
_ga Google Analytics Egyedi azonosítót rendel hozzá a látogatók megkülönböztetésére és statisztikai jelentések összeállítására Harmadik féltől származó 2 év
_gid Google Analytics Egyedi azonosítót rendel minden böngészési munkamenethez statisztikai jelentések összeállításához Harmadik féltől származó 24 óra
_gat_UA-* Google Analytics Korlátozza az adatgyűjtés sebességét a nagy forgalmú webhelyeken Harmadik féltől származó 1 perc

Ismételje meg ezt a táblázatot minden kategóriához: Feltétlenül szükséges, Preferenciák, Analitika és Marketing.

6. lépés: Írja le az egyes kategóriákat

Minden cookie-táblázat előtt adjon egy rövid leírást a kategóriáról:

  • Mit csinálnak az ebbe a kategóriába tartozó cookie-k — általánosságban.
  • Szükséges-e hozzájárulás — a feltétlenül szükséges cookie-k nem igényelnek hozzájárulást; az összes többi igen.
  • Mi történik, ha a felhasználó elutasítja — „Ha elutasítja az analitikai cookie-kat, nem gyűjtünk adatokat a látogatásairól. A webhely normálisan fog működni.”

Ez a kontextuális információ segít a felhasználóknak megalapozott döntéseket hozni, és megfelel a GDPR átláthatósági követelményeinek.

7. lépés: Magyarázza el, hogyan szabályozhatják a felhasználók a cookie-kat

Ennek a szakasznak két szabályozási mechanizmusra kell kiterjednie:

A hozzájárulási bannerén keresztül

Magyarázza el, hogy a felhasználók bármikor kezelhetik cookie-beállításaikat a cookie-beállítási hivatkozásra vagy ikonra kattintva. Írja le, hol találják meg (pl. „Kattintson a cookie-ikonra bármely oldal bal alsó sarkában” vagy „Kattintson a »Cookie-beállítások« gombra a láblécben”). Legyen konkrét — ne csak annyit írjon, hogy „a cookie-bannerünkön keresztül”.

A böngésző beállításain keresztül

Adjon meg hivatkozásokat a főbb böngészők cookie-kezelési utasításaihoz:

Jegyezze meg a következményt: „Kérjük, vegye figyelembe, hogy a cookie-k böngészőbeállításokon keresztüli letiltása befolyásolhatja ennek és más, Ön által látogatott webhelyeknek a működését.”

8. lépés: Adja hozzá a kapcsolattartási információkat és az adatvédelmi tisztviselő adatait

Adjon meg egyértelmű kapcsolattartási információkat az adatvédelemmel kapcsolatos megkeresésekhez:

  • Az adatkezelő megnevezése: cégnév, bejegyzett cím, cégjegyzékszám.
  • Adatvédelmi kapcsolattartási e-mail: egy figyelt e-mail cím (pl. [email protected]).
  • Adatvédelmi tisztviselő: ha kijelölt adatvédelmi tisztviselőt (bizonyos szervezetek számára a GDPR 37. cikke szerint kötelező), adja meg a nevét és elérhetőségeit.
  • Felügyeleti hatóság: nevezze meg az illetékes adatvédelmi hatóságot, és adjon meg egy hivatkozást a panasztételi mechanizmusukhoz. Például: „Önnek joga van panaszt tenni a [Hatóság neve] hatóságnál a [URL] címen.”

9. lépés: Dátumozza a szabályzatot és tervezze meg a frissítéseket

Tüntessen fel egy egyértelmű „Utolsó frissítés” dátumot. Vállalja, hogy rendszeres időközönként, valamint minden alkalommal felülvizsgálja és frissíti a szabályzatot, amikor a cookie-használata megváltozik.

Fontolja meg egy olyan nyilatkozat hozzáadását, mint: „Ezt a cookie-szabályzatot rendszeresen felülvizsgáljuk, és szükség esetén frissítjük. Bármely jelentős változásról a webhelyünkön elhelyezett értesítés útján tájékoztatjuk Önt.”

Gyakorlati szempontból tervezzen legalább negyedéves felülvizsgálatot. A harmadik féltől származó szolgáltatások gyakran módosítják cookie-jaikat, és még egy kisebb integrációs frissítés is bevezethet olyan új cookie-kat, amelyeket be kell jelenteni.

Gyakori hibák, amelyeket érdemes elkerülni

Még a gondosan megírt cookie-szabályzatok is gyakran tartalmazzák a következő hibákat:

  • Homályos célleírások. A „Ez a cookie javítja az élményét” semmit sem mond a felhasználónak. Legyen konkrét: milyen adatokat gyűjt a cookie, és mire használja?
  • Elavult cookie-listák. Ha a szabályzata egy hat hónapja eltávolított eszköz cookie-jait sorolja fel, vagy nem tünteti fel egy múlt héten hozzáadott eszköz cookie-jait, akkor pontatlan. A pontatlan közzététel aláássa az átláthatóságot.
  • Hiányzó, harmadik féltől származó cookie-k. Sok szervezet felsorolja a saját cookie-jait, de elfelejti dokumentálni a beágyazott tartalmak (YouTube-videók, közösségimédia-gombok, csevegő widgetek stb.) által beállított, harmadik féltől származó cookie-kat. Ezek gyakran a legjobban a magánéletbe avatkozó cookie-k a webhelyen.
  • Besorolási hibák. A marketing vagy analitikai cookie-k „funkcionálisként” vagy „szükségesként” való besorolása a hozzájárulási követelmény elkerülése érdekében. Az adatvédelmi hatóságok kifejezetten ezt keresik.
  • Nincs mechanizmus a beállítások módosítására. Ha kijelentik, hogy a felhasználók kezelhetik a beállításaikat, de nem biztosítanak egy egyértelműen leírt, mindig elérhető mechanizmust erre.
  • Sablon másolása testreszabás nélkül. Általános cookie-szabályzati sablonok, amelyek nem tükrözik a tényleges cookie-jait, tényleges szolgáltatásait vagy tényleges adatkezelését. A sablon kiindulópont, nem kész dokumentum.
  • Nehezen érthető nyelvezet. Jogi zsargon, technikai terminológia és feleslegesen bonyolult mondatszerkezetek. A GDPR világos és közérthető nyelvet ír elő. Írjon a nem szakértő közönség számára.

Tartsa szinkronban a szabályzatát a tényleges cookie-kkal

A cookie-szabályzat karbantartásának legnehezebb része nem a megírása — hanem az, hogy pontosan tartsa. A webhelyek dinamikusak. A marketingcsapatok új eszközöket adnak hozzá, a fejlesztők új szolgáltatásokat integrálnak, a tartalomkezelő rendszerek nyomkövetési képességekkel rendelkező bővítményeket telepítenek. Minden változás olyan cookie-kat vezethet be, amelyeket a szabályzata nem említ.

A megoldás az automatizált, folyamatos felügyelet. Ahelyett, hogy manuális auditokra hagyatkozna (amelyek ritkák, hiányosak és hibalehetőségekkel terheltek), használjon olyan átvizsgáló eszközt, amely rendszeresen feltérképezi a webhelyét, azonosítja az összes aktív cookie-t, és összehasonlítja őket a bejelentett cookie-listájával.

A Passiro automatikusan átvizsgálja a webhelyét, észleli a be nem jelentett cookie-kat, és figyelmezteti Önt, ha a szabályzatát frissíteni kell. Ez biztosítja, hogy a cookie-szabályzata mindig a valóságot tükrözze — nem egy pillanatképet abból az időből, amikor valaki utoljára eszébe jutott ellenőrizni. Tudjon meg többet a Passiro automatizált cookie-megfelelőségéről.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen