Skip to main content

GDPR és sütik: átfogó útmutató a megfeleléshez

Az általános adatvédelmi rendelet (GDPR) 2018. május 25-i hatálybalépésével gyökeresen átalakította, hogyan kezelik a weboldalak a sütiket. Bár a sütikre vonatkozó elsődleges uniós jogszabály az ePrivacy irányelv, a GDPR minden olyan esetben alkalmazandó, amikor a sütik személyes adatokat kezelnek — ami a gyakorlatban szinte mindig igaz. Alapvető fontosságú, hogy tisztában legyen a GDPR sütikre vonatkozó előírásaival minden olyan weboldal, amely az Európai Gazdasági Térségben működik, vagy az ottani felhasználókat célozza meg.

Hogyan alkalmazandó a GDPR a sütikre?

A GDPR név szerint nem említi a sütiket. Ehelyett a személyes adatok kezelését szabályozza, amelyet a 4. cikk (1) bekezdése olyan információként határoz meg, amely azonosított vagy azonosítható természetes személyre vonatkozik. A GDPR (30) preambulumbekezdése kifejezetten kimondja, hogy az online azonosítók — beleértve a süti-azonosítókat is — felhasználhatók természetes személyek profiljainak létrehozására és azonosítására. Ez azt jelenti, hogy minden olyan süti, amely egyedi azonosítót tartalmaz vagy ahhoz kapcsolódik, a GDPR értelmében személyes adatnak minősül.

A gyakorlatban ez szinte az összes sütire vonatkozik, a legalapvetőbb funkcionális sütiket leszámítva. Az egyedi látogatói azonosítót hozzárendelő analitikai sütik, a böngészési szokásokat követő hirdetési sütik, sőt még a felhasználói fiókhoz kötött munkamenet-sütik is személyes adatokat kezelnek, ezért a GDPR követelményei alá tartoznak.

6. cikk: az adatkezelés jogalapja

A GDPR 6. cikke szerint a személyes adatok minden kezeléséhez jogalapra van szükség. A sütikhez kapcsolódó adatkezelés esetén leggyakrabban két jogalapra hivatkoznak:

  • Hozzájárulás (6. cikk (1) bekezdés a) pont): Az érintett hozzájárult adatainak egy vagy több konkrét célból történő kezeléséhez. Ez a legtöbb süti-adatkezelés elsődleges jogalapja, különösen az analitikai, marketing- és hirdetési sütik esetében.
  • Jogos érdek (6. cikk (1) bekezdés f) pont): Az adatkezelés az adatkezelő jogos érdekének érvényesítéséhez szükséges, feltéve, hogy ezt az érdeket nem írják felül az érintett jogai és szabadságai.

A jogos érdek mint jogalap a sütik kontextusában jelentős vita tárgya. Egyes weboldal-üzemeltetők azzal érveltek, hogy az analitikai nyomon követés jogos érdeket szolgál. Több adatvédelmi hatóság azonban elutasította ezt az érvelést a nem feltétlenül szükséges sütik esetében. A francia CNIL, az osztrák DSB és az Európai Adatvédelmi Testület (EDPB) egyaránt azt az álláspontot képviseli, hogy az analitikai sütikhez hozzájárulás szükséges, és a jogos érdek nem szolgálhat jogalapként a nem alapvető sütik felhasználó eszközére történő elhelyezéséhez.

Az EDPB hozzájárulásról szóló 05/2020. sz. iránymutatása egyértelműen kimondja: „A weboldal görgetése vagy a böngészés folytatása nem minősül érvényes hozzájárulásnak.” A sütikhez adott vélelmezett hozzájárulás korszaka lejárt.

7. cikk: az érvényes hozzájárulás feltételei

A 7. cikk meghatározza azokat a feltételeket, amelyeknek a hozzájárulásnak meg kell felelnie. Ahhoz, hogy a sütikhez adott hozzájárulás a GDPR szerint érvényes legyen, a következőnek kell lennie:

  1. Önkéntes: A felhasználónak valós választási lehetőséggel kell rendelkeznie. A hozzájárulás nem önkéntes, ha a felhasználó nem tudja hátrány nélkül megtagadni vagy visszavonni azt. A weboldalhoz való hozzáférést az összes süti elfogadásától függővé tevő úgynevezett süti-falakat több adatvédelmi hatóság is nem megfelelőnek találta, bár a jogi helyzet joghatóságonként eltér.
  2. Konkrét: A hozzájárulást minden egyes külön célra meg kell adni. Egyetlen „Összes elfogadása” gomb, amely nem teszi lehetővé az egyes kategóriákhoz való hozzájárulást, nem felel meg ennek a követelménynek.
  3. Tájékozott: A felhasználót egyértelműen tájékoztatni kell arról, hogy mihez járul hozzá. Ez azt jelenti, hogy meg kell nevezni a sütiket, azok céljait, az összegyűjtött adatokat és az esetleges harmadik feleket.
  4. Egyértelmű: A hozzájárulást egyértelmű, megerősítő cselekedettel kell megadni. Az előre bejelölt jelölőnégyzetek, a hallgatás vagy a tétlenség nem minősül érvényes hozzájárulásnak.

A 7. cikk (3) bekezdése egy kulcsfontosságú követelménnyel egészíti ki mindezt: a hozzájárulás visszavonásának ugyanolyan egyszerűnek kell lennie, mint a megadásának. Ha a felhasználó egyetlen kattintással el tudja fogadni a sütiket, akkor ugyanolyan egyszerűen vissza is kell tudnia vonni ezt a hozzájárulást. Az a süti-banner, amely feltűnővé teszi az „Elfogadás” gombot, de a leiratkozási lehetőséget egy több kattintással elérhető beállítási oldalon rejti el, nem felel meg az előírásoknak.

4. cikk (11) bekezdés: a hozzájárulás fogalma

A 4. cikk (11) bekezdése a hozzájárulást így határozza meg: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.”

Ezt a fogalommeghatározást megerősíti a (32) preambulumbekezdés, amely kimondja:

„A hozzájárulást az érintett egyértelmű megerősítő cselekedetének kell kifejeznie, amely tanúsítja az érintett arra vonatkozó önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű beleegyezését. Ilyennek tekinthető egy jelölőnégyzet kipipálása egy internetes weboldalon. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.”

Az Európai Unió Bírósága (EUB) által 2019 októberében hozott mérföldkőnek számító Planet49-ítélet (C-673/17. sz. ügy) megerősítette ezt az értelmezést, kimondva, hogy az előre bejelölt jelölőnégyzetek nem minősülnek a sütikhez adott érvényes hozzájárulásnak.

Átláthatósági kötelezettségek: 12–14. cikk

A 12–14. cikk előírja az adatkezelők számára, hogy tömör, átlátható, érthető és könnyen hozzáférhető formában, világos és közérthető nyelven nyújtsanak tájékoztatást az adatkezelésről. A sütik esetében ez a következőket jelenti:

  • A süti-szabályzatot olyan nyelven kell megírni, amelyet az átlagos felhasználók is megértenek — nem jogi szakzsargonban.
  • A tájékoztatást az adatgyűjtés időpontjában (azaz a sütik elhelyezése előtt) kell megadni.
  • A felhasználókat tájékoztatni kell az adatkezelő kilétéről, az adatkezelés céljairól, az adatok kategóriáiról, az esetleges címzettekről, a megőrzési időszakokról és a jogaikról.
  • Ha a sütiket harmadik felekkel osztják meg (például a Google Analytics, a Facebook Pixel vagy hirdetési hálózatok), akkor ezeket a harmadik feleket is meg kell nevezni.

17. cikk: a törléshez való jog

A 17. cikk feljogosítja az érintetteket arra, hogy személyes adataikat töröljék. A sütik kontextusában ez azt jelenti, hogy ha egy felhasználó kéri adatai törlését, akkor a sütiken keresztül gyűjtött minden személyes adatot törölni kell. Ez magában foglalja az analitikai profilokat, a hirdetési azonosítókat és minden egyéb, süti-azonosítókhoz kapcsolódó adatot.

A harmadik féltől származó analitikai vagy hirdetési szolgáltatásokat használó weboldal-üzemeltetők számára ez különösen nehéz lehet, mivel az adatok a harmadik félnél is lehetnek. A harmadik fél süti-szolgáltatóival kötött adatfeldolgozási szerződéseknek rendelkezéseket kell tartalmazniuk a törlési kérelmek kezelésére.

GDPR kontra ePrivacy: melyik mikor alkalmazandó?

A GDPR és az ePrivacy irányelv közötti kapcsolat zavaros lehet. Így működnek együtt:

  • Az ePrivacy irányelv (5. cikk (3) bekezdés) a felhasználó eszközén tárolt vagy az onnan lekérdezett információk kezelésére vonatkozik. Minden süti esetében hozzájárulást ír elő, kivéve azokat, amelyek feltétlenül szükségesek. Ez a sütikre vonatkozó lex specialis (különös jogszabály).
  • A GDPR a sütiken keresztül gyűjtött személyes adatok utólagos kezelését szabályozza. Keretet ad ahhoz, hogy mi minősül érvényes hozzájárulásnak, mik az érintettek jogai, és mik az adatkezelők kötelezettségei.

A gyakorlatban: az ePrivacy irányelv megmondja, hogy hozzájárulásra van szükség egy süti elhelyezéséhez. A GDPR pedig megmondja, hogyan néz ki az érvényes hozzájárulás, mit tehet az adatokkal, és milyen jogaik vannak a felhasználóknak az adatokkal kapcsolatban. Mindkettő egyszerre alkalmazandó.

Adatvédelmi hatóságok és jogérvényesítés

Minden uniós tagállamnak van adatvédelmi hatósága (DPA), amely felelős mind a GDPR, mind az ePrivacy irányelv nemzeti végrehajtásának érvényesítéséért. Ezek a hatóságok jogosultak panaszok kivizsgálására, auditok lefolytatására, valamint a globális éves árbevétel 4%-áig vagy 20 millió euróig — attól függően, melyik a magasabb — terjedő bírságok kiszabására.

A sütikkel kapcsolatos jogérvényesítés 2020 óta drámai módon felgyorsult. Az európai adatvédelmi hatóságok az iránymutatásoktól és figyelmeztetésektől a jelentős bírságok felé mozdultak el, ami a süti-megfelelést valós üzleti kockázattá tette, nem pusztán elméleti aggállyá.

Jelentős, sütikkel kapcsolatos GDPR-bírságok

Az alábbi jogérvényesítési intézkedések jól mutatják a süti-megfelelés hiányának valós pénzügyi következményeit:

Vállalat Bírság Hatóság Év Fő probléma
Amazon Europe 746 millió euró CNPD (Luxemburg) 2021 Nem megfelelő hirdetési nyomon követés és hozzájárulási mechanizmusok
Google LLC 150 millió euró CNIL (Franciaország) 2022 A sütik elutasítása nem volt olyan egyszerű, mint az elfogadásuk
Facebook (Meta) 60 millió euró CNIL (Franciaország) 2022 Nem volt egyszerű mechanizmus a sütik elutasítására
Microsoft (Bing) 60 millió euró CNIL (Franciaország) 2022 Sütik elhelyezése hozzájárulás nélkül, egyszerű elutasítási mechanizmus hiánya
TikTok 5 millió euró CNIL (Franciaország) 2023 A sütik elutasítása több kattintást igényelt, mint az elfogadásuk
Criteo 40 millió euró CNIL (Franciaország) 2023 A nyomkövető sütikhez való érvényes hozzájárulás megszerzésének elmulasztása
Vueling Airlines 30 000 euró AEPD (Spanyolország) 2020 Nem volt lehetőség a sütik elutasítására, csak az „elfogadás”

Ezek a bírságok nem korlátozódnak a nagyvállalatokra. Kis- és középvállalkozások is szembesültek jogérvényesítési intézkedésekkel, különösen Franciaországban, Olaszországban és Németországban. Csak a CNIL több mint 100 hivatalos felszólítást adott ki a legkülönfélébb méretű weboldalaknak a süti-megfeleléssel kapcsolatban 2021-ben.

Gyakorlati ellenőrzőlista a GDPR süti-megfeleléshez

Használja ezt az ellenőrzőlistát annak ellenőrzésére, hogy weboldala megfelel-e a GDPR sütikre vonatkozó követelményeinek:

  1. Azonosítsa az összes sütit, amelyet weboldala elhelyez, beleértve a harmadik féltől származó szkriptek — például az analitikai, hirdetési és közösségimédia-widgetek — által elhelyezett sütiket is.
  2. Sorolja be az egyes sütiket mint feltétlenül szükséges, funkcionális, analitikai vagy marketing-/hirdetési süti.
  3. Valósítson meg előzetes hozzájárulást minden nem alapvető süti esetében. Egyetlen analitikai vagy marketing süti sem aktiválódhat, mielőtt a felhasználó hozzájárulását adta volna.
  4. Tisztességesen jelenítse meg a hozzájárulási lehetőségeket. A sütik elutasításának lehetőségének ugyanolyan feltűnőnek és hozzáférhetőnek kell lennie, mint az elfogadásukénak.
  5. Kínáljon részletes hozzájárulást. A felhasználóknak lehetőséget kell adni arra, hogy a sütik konkrét kategóriáihoz járuljanak hozzá, ahelyett, hogy egy mindent-vagy-semmit választásra kényszerítenék őket.
  6. Ne használjon előre bejelölt négyzeteket. Minden opcionális süti-kategóriának alapértelmezetten bejelöletlennek kell lennie.
  7. Adjon világos tájékoztatást az egyes sütik céljáról, az általuk gyűjtött adatokról, arról, hogy ki fér hozzá az adatokhoz, és arról, hogy a süti meddig marad érvényben.
  8. Nevezze meg a harmadik feleket. Sorolja fel azokat a harmadik féltől származó szolgáltatásokat, amelyek sütiket helyeznek el oldalán (Google Analytics, Facebook Pixel, HubSpot stb.).
  9. Tegye egyszerűvé a visszavonást. Biztosítson egy tartós, könnyen elérhető módot arra, hogy a felhasználók az eredeti hozzájárulás után módosíthassák süti-beállításaikat. Egy lábléc-hivatkozás vagy egy lebegő ikon gyakori megoldás.
  10. Tárolja a hozzájárulási nyilvántartásokat. Vezessen naplót arról, hogy az egyes felhasználók mikor adták meg hozzájárulásukat, mihez járultak hozzá, és mely süti-szabályzat volt hatályban abban az időpontban.
  11. Technikailag is tartsa tiszteletben a hozzájárulási döntéseket. Gondoskodjon arról, hogy a hozzájárulás elutasítása ténylegesen megakadályozza a megfelelő sütik elhelyezését. Ehhez a szkripteket a hozzájárulás előtt kell blokkolni, nem csupán utólag törölni a sütiket.
  12. Tartson fenn egy süti-szabályzatot, amely naprakész, pontos és közérthető nyelven íródott. Frissítse minden alkalommal, amikor új sütiket vagy harmadik féltől származó szolgáltatásokat ad hozzá.
  13. Kezelje az érintetti kérelmeket. Rendelkezzen egy folyamattal a törlési kérelmek megválaszolására, amely kiterjed a sütiken keresztül gyűjtött adatokra is.
  14. Végezzen rendszeres vizsgálatokat. Futtasson automatizált süti-vizsgálatokat legalább havonta, valamint minden telepítés után, hogy felderítse a frissített szkriptek vagy bővítmények által bevezetett új sütiket.

A GDPR szerinti süti-megfelelés nem egyszeri feladat. Folyamatos figyelmet igényel, ahogy weboldala fejlődik, új szkriptek kerülnek hozzáadásra, és a szabályozói iránymutatások frissülnek. Azok a szervezetek, amelyek folyamatos folyamatként kezelik ezt, nem pedig egy kipipálandó feladatként, elkerülik a jogérvényesítési intézkedéseket — és eközben bizalmat építenek felhasználóikkal.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen