Cookie-megfelelőségi erőforrások és fogalomtár
A cookie-megfelelőség egy speciális szókészletet igényel, amely az uniós szabályozásból, az adatvédelmi jogból és a webes technológiából ered. Ez a fogalomtár meghatározza azokat a kulcsfogalmakat, amelyekkel találkozni fog, majd hivatalos erőforrások és mérvadó hivatkozások gondosan összeállított gyűjteményét kínálja a további tanulmányozáshoz.
Kulcsfogalmak jegyzéke
A–C
CMP (hozzájárulás-kezelő platform): Olyan szoftvereszköz vagy szolgáltatás, amely kezeli a cookie-khoz és egyéb nyomkövetési technológiákhoz adott felhasználói hozzájárulás gyűjtését, tárolását és érvényesítését. A CMP jellemzően biztosítja a cookie-bannerfelületet, tárolja a hozzájárulási nyilvántartásokat, és a felhasználó választásai alapján szabályozza, mely szkriptek futhatnak. Példák: Cookiebot, OneTrust, Usercentrics és nyílt forráskódú megoldások, mint a Klaro.
CNIL (Commission Nationale de l'Informatique et des Libertés): A francia adatvédelmi hatóság. A CNIL volt a legaktívabb európai szabályozó a cookie-k terén, ő szabta ki a legnagyobb cookie-hoz kapcsolódó bírságokat, és a legrészletesebb cookie-megfelelőségi iránymutatásokat tette közzé. Értelmezései és jogérvényesítési intézkedései gyakran mércét állítanak, amelyet más adatvédelmi hatóságok követnek.
Hozzájárulás: A GDPR kontextusában az érintett akaratának önkéntes, konkrét, tájékozott és egyértelmű kinyilvánítása, amelyet egyértelmű megerősítő cselekedet fejez ki. A cookie-k esetében ez azt jelenti, hogy a felhasználónak aktívan kell választania a nem alapvető cookie-k engedélyezését egy szándékos cselekedettel, például egy „Elfogadom” gombra kattintással. A hallgatás, az előre bepipált jelölőnégyzetek, a tétlenség és a böngészés folytatása nem minősül érvényes hozzájárulásnak.
Cookie: Egy kis szövegfájl, amelyet egy webhely helyez el a felhasználó eszközén. A cookie-kat számos célra használják, a bejelentkezési munkamenetek fenntartásától (feltétlenül szükséges) a böngészési viselkedés webhelyeken átívelő nyomon követéséig (hirdetés). Technikailag a cookie egy név-érték pár, amelyhez társított metaadatok tartoznak, beleértve a tartományt, útvonalat, lejáratot és biztonsági jelzőket.
Cookie-banner: A felhasználói felület eleme (jellemzően sáv, modális ablak vagy felugró ablak), amely akkor jelenik meg, amikor a felhasználó először látogat meg egy webhelyet, tájékoztatva őt a webhely cookie-használatáról és kérve hozzájárulását. A megfelelő cookie-banner egyértelmű tájékoztatást nyújt, valós választási lehetőségeket kínál (elfogadás, elutasítás, testreszabás), és nem helyez el nem alapvető cookie-kat, amíg a felhasználó nem válaszol.
Cookie-szabályzat: Egy dokumentum (jellemzően egy erre szánt weboldal vagy az adatvédelmi szabályzat egy szakasza), amely részletes tájékoztatást nyújt a webhelyen használt összes cookie-ról, beleértve azok nevét, célját, típusát, időtartamát, valamint azokat a harmadik fél szolgáltatókat, amelyek beállítják őket. A cookie-szabályzat teljesíti a GDPR átláthatósági kötelezettségeit és az ePrivacy irányelv „egyértelmű és átfogó tájékoztatásra” vonatkozó követelményét.
Cookie-fal: Olyan mechanizmus, amely megakadályozza a webhelytartalomhoz való hozzáférést, hacsak a felhasználó nem járul hozzá az összes cookie-hoz. A cookie-falak vitatottak, és jogszerűségük joghatóságonként eltér. Az EDPB kijelentette, hogy a cookie-falak aláássák az érvényes hozzájárulás „önkéntesen adott” követelményét, mivel a felhasználó „vagy elfogadja, vagy hagyja” választás elé kerül. Egyes nemzeti adatvédelmi hatóságok (nevezetesen a francia Conseil d'État) korlátozott feltételek mellett engedélyezték a cookie-falakat, ahol a felhasználónak valós alternatív módja van a tartalomhoz való hozzáférésre.
D–E
Sötét minta (dark pattern): Olyan felhasználói felület tervezési döntés, amely manipulálja a felhasználókat abba, hogy olyan döntéseket hozzanak, amelyeket egyébként nem hoznának meg. A cookie-k kontextusában a sötét minták közé tartozik: az „Elfogadom” gomb vizuálisan dominánssá tétele az „Elutasítom” opció elrejtése mellett, zavaros nyelvezet használata, több kattintás megkövetelése az elutasításhoz, mint az elfogadáshoz, valamint megszégyenítő taktikák alkalmazása. Az EDPB 2023 februárjában konkrét iránymutatásokat tett közzé az adatvédelmi felületeken alkalmazott sötét mintákról.
Adatkezelő: Az a szervezet, amely meghatározza a személyes adatok kezelésének céljait és eszközeit. A webhely által beállított cookie-k esetében a webhely üzemeltetője jellemzően az adatkezelő. Harmadik féltől származó cookie-k esetében közös adatkezelés állhat fenn a webhely üzemeltetője és a harmadik fél között, attól függően, hogy az egyes felek milyen mértékben befolyásolják az adatgyűjtés céljait és eszközeit.
Adatfeldolgozó: Olyan szervezet, amely az adatkezelő nevében, annak utasításait követve kezel személyes adatokat. Egy tárhelyszolgáltató vagy egy CMP-szállító, amely kizárólag a webhely üzemeltetőjének utasításai szerint jár el, adatfeldolgozónak minősül. A megkülönböztetés azért fontos, mert az adatkezelők viselik az elsődleges felelősséget a megfelelésért, míg az adatfeldolgozóknak be kell tartaniuk az adatkezelő utasításait és egy adatfeldolgozási megállapodás feltételeit.
Érintett: Olyan természetes személy, akinek a személyes adatait kezelik. A cookie-k kontextusában az érintettek azok a webhelylátogatók, akiknek adatait cookie-k útján gyűjtik. Az érintettek a GDPR alapján jogokkal rendelkeznek, beleértve a hozzáférés, helyesbítés, törlés, adatkezelés korlátozása, adathordozhatóság jogát és a tiltakozáshoz való jogot.
Adatvédelmi hatóság (DPA): Az egyes uniós tagállamokban az adatvédelmi jog felügyeletéért és érvényesítéséért felelős független közigazgatási hatóság. Az adatvédelmi hatóságok jogosultak panaszokat kivizsgálni, ellenőrzéseket végezni, iránymutatásokat kiadni és bírságokat kiszabni. Minden tagállamnak legalább egy adatvédelmi hatósága van (Németországban több is van, tartományonként egy, plusz a szövetségi BfDI). Példák: CNIL (Franciaország), Garante (Olaszország), ICO (Egyesült Királyság), Datatilsynet (Dánia/Norvégia).
Adatvédelmi tisztviselő (DPO): Olyan személy, akit egy adatkezelő vagy adatfeldolgozó jelöl ki a GDPR-megfelelés felügyeletére. A GDPR bizonyos szervezetek számára előírja adatvédelmi tisztviselő kijelölését, beleértve a közhatalmi szerveket és azokat a szervezeteket, amelyek alaptevékenysége az érintettek nagymértékű megfigyelését foglalja magában. Bár nem közvetlenül kapcsolódik a cookie-khoz, az adatvédelmi tisztviselő jellemzően felügyeli a szervezet cookie-megfelelőségi programját.
EDPB (Európai Adatvédelmi Testület): Az a független uniós szerv, amely biztosítja a GDPR egységes alkalmazását és előmozdítja a nemzeti adatvédelmi hatóságok közötti együttműködést. Az EDPB (amely a 29. cikk szerinti munkacsoport helyébe lépett) iránymutatásokat, ajánlásokat és kötelező erejű döntéseket ad ki. A hozzájárulásról szóló iránymutatásai (05/2020. sz. iránymutatás) és a sötét mintákról szóló iránymutatásai kulcsfontosságú hivatkozások a cookie-megfelelőség terén.
ePrivacy irányelv (2002/58/EK irányelv): Az elektronikus hírközlésben az adatvédelmet szabályozó uniós irányelv, beleértve a cookie-k használatát. Az 5. cikk (3) bekezdése a cookie-hozzájárulási követelmény elsődleges jogalapja. Irányelvként minden tagállamnak át kell ültetnie a nemzeti jogába, ami eltéréseket eredményez a végrehajtásban. Az ePrivacy rendelet fogja felváltani, amely még tárgyalás alatt áll.
F–G
Első féltől származó cookie: Egy olyan cookie, amelyet az a tartomány állít be, amelyet a felhasználó éppen meglátogat. Például ha egy felhasználó meglátogatja az example.com oldalt, és az example.com beállít egy cookie-t, az első féltől származó cookie. Az első féltől származó cookie-kat jellemzően alapvető funkciókra (munkamenetek, beállítások) és első féltől származó analitikára használják. Általában kevésbé tolakodónak tekintik őket, mint a harmadik féltől származó cookie-kat, mivel nem tudják nyomon követni a felhasználókat különböző webhelyeken keresztül.
GDPR (általános adatvédelmi rendelet): Az (EU) 2016/679 rendelet, az EU átfogó adatvédelmi jogszabálya, amely 2018. május 25. óta hatályos. A GDPR biztosítja a jogi keretet ahhoz, hogy mi minősül érvényes hozzájárulásnak (a cookie-kra az ePrivacy irányelv hivatkozásán keresztül alkalmazva), az érintettek jogaihoz, az adatkezelők és adatfeldolgozók kötelezettségeihez, valamint a jogérvényesítési rendszerhez, beleértve a globális éves árbevétel 4%-áig vagy 20 millió euróig terjedő bírságokat.
GPC (Global Privacy Control): Egy böngészőszintű jelzés, amely közli a felhasználó preferenciáját, hogy leiratkozzon személyes adatainak értékesítéséről vagy megosztásáról. A régebbi Do Not Track (DNT) jelzéssel ellentétben a GPC jogi hátterrel rendelkezik a CCPA/CPRA és számos más amerikai állami adatvédelmi törvény alapján. Amikor egy felhasználó engedélyezi a GPC-t a böngészőjében, az e törvények hatálya alá tartozó webhelyeknek érvényes leiratkozási kérelemként kell kezelniük. A GPC-t Európában is egyre inkább elismerik, bár az uniós jog alapján még nem kötelező jogilag.
Google Consent Mode: A Google címkeinfrastruktúrájának egy funkciója, amely a webhely CMP-je által közölt hozzájárulási állapot alapján igazítja a Google-címkék (Analytics, Ads stb.) viselkedését. A Consent Mode v2, amely 2024 márciusa óta kötelező az EGT-beli hirdetésszemélyre szabáshoz, bevezeti az ad_user_data és ad_personalization paramétereket a meglévő ad_storage és analytics_storage mellett. Amikor a hozzájárulást megtagadják, a Google-címkék úgy igazítják viselkedésüket, hogy elkerüljék a cookie-k beállítását, bár a konfigurációtól függően még mindig küldhetnek korlátozott, cookie-mentes jelzéseket.
I–L
IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Egy iparág által kidolgozott keretrendszer a hozzájárulás kezelésére a digitális hirdetési ökoszisztémában. A TCF egységes módot biztosít a CMP-k, hirdetők és kiadók számára a hozzájárulási jelzések közlésére a hirdetéstechnológiai ellátási láncon keresztül. A 2.2-es verzió a jelenlegi szabvány. A TCF jogi kihívásokkal szembesült, nevezetesen a belga adatvédelmi hatóság 2022-es döntésével, amely szerint az IAB Europe TC-string-kezelése személyesadat-kezelésnek minősült. A keretrendszert továbbra is széles körben használják, de jogi státusza folyamatosan fejlődik.
Jogos érdek: A személyes adatok kezelésének a GDPR 6. cikk (1) bekezdés f) pontja szerinti hat jogalapjának egyike. A jogos érdek mérlegelési tesztet igényel az adatkezelő érdekei és az érintett jogai és szabadságai között. A cookie-k esetében a jogos érdek jogalapként való használata erősen vitatott. Az uralkodó európai szabályozói álláspont szerint a hozzájárulás (nem a jogos érdek) a megfelelő jogalap a nem alapvető cookie-khoz, mivel az ePrivacy irányelv kifejezetten hozzájárulást ír elő a felhasználó eszközén történő tároláshoz.
O–P
Opt-in: Olyan hozzájárulási modell, amelyben a személyes adatok kezelése (vagy a cookie-k beállítása) nem történik meg, hacsak a felhasználó megerősítő cselekedettel nem engedélyezi. Az uniós cookie-modell opt-in alapú: nincsenek nem alapvető cookie-k, amíg a felhasználó nem járul hozzá. Az opt-in erősebb adatvédelmet nyújt, de hozzájárulási mechanizmust igényel, mielőtt bármilyen nyomon követés elkezdődne.
Opt-out: Olyan hozzájárulási modell, amelyben a személyes adatok kezelése (vagy a cookie-k beállítása) alapértelmezés szerint megtörténik, és a felhasználónak cselekednie kell annak leállításához. Az amerikai cookie-modell (a CCPA és hasonló állami törvények szerint) általában opt-out alapú: a nyomon követés megtörténik, hacsak a felhasználó nem tiltakozik. Az opt-out a cselekvés terhét a felhasználóra hárítja, nem a webhely üzemeltetőjére.
Állandó cookie: Egy olyan cookie, amely a böngésző bezárása után meghatározott ideig a felhasználó eszközén marad. Az állandó cookie-kat a beállítások megjegyzésére, a bejelentkezési munkamenetek látogatások közötti fenntartására és a viselkedés időbeli nyomon követésére használják. Meghatározott lejárati dátumuk van, és addig maradnak, amíg az a dátum el nem múlik, vagy a felhasználó törli őket. Az állandó cookie-k időtartamának arányosnak kell lennie a céljukkal.
Személyes adat: A GDPR szerint bármely azonosított vagy azonosítható természetes személyre vonatkozó információ. Ez magában foglalja a nyilvánvaló azonosítókat (név, e-mail) és a kevésbé nyilvánvalókat (IP-címek, cookie-azonosítók, eszközujjlenyomatok). A GDPR (30) preambulumbekezdése kifejezetten kimondja, hogy az online azonosítók, például a cookie-azonosítók személyes adatnak minősülhetnek. A gyakorlatban szinte minden olyan cookie, amely egyedileg azonosít egy böngészőt vagy felhasználót, személyes adatnak minősül.
Előzetes hozzájárulás: Az az általa engedélyezett cselekedet megtörténte előtt megszerzett hozzájárulás. A cookie-k esetében az előzetes hozzájárulás azt jelenti, hogy a felhasználó beleegyezését azelőtt kell megszerezni, hogy bármilyen nem alapvető cookie kerülne az eszközére. Ez az ePrivacy irányelv 5. cikk (3) bekezdésének alapvető követelménye. A cookie-k előbb történő beállítása és a hozzájárulás utólagos kérése, vagy a cookie-k visszamenőleges törlése a hozzájárulás megtagadása esetén nem elégíti ki az előzetes hozzájárulás követelményét.
S–T
Munkamenet-cookie: Egy olyan cookie, amely csak a felhasználó böngészőmunkamenetének idejére létezik, és a böngésző bezárásakor törlődik. A munkamenet-cookie-kat gyakran használják a bejelentkezési állapot, a bevásárlókosár tartalmának és egyéb ideiglenes adatok fenntartására. Sok munkamenet-cookie feltétlenül szükségesnek minősül, ezért mentesül a hozzájárulási követelmény alól, bár ez a konkrét céljuktól függ.
Feltétlenül szükséges cookie: Egy olyan cookie, amely elengedhetetlen a webhely működéséhez és a felhasználó által kifejezetten kért szolgáltatás nyújtásához. A feltétlenül szükséges cookie-k mentesülnek a hozzájárulási követelmény alól az ePrivacy irányelv 5. cikk (3) bekezdése szerint. Példák: hitelesítési cookie-k, biztonsági cookie-k (CSRF-tokenek), terheléselosztási cookie-k és a szolgáltatáshoz elengedhetetlen felhasználóifelület-beállítási cookie-k. Az analitikai cookie-k, hirdetési cookie-k és közösségimédia-cookie-k nem feltétlenül szükségesek, függetlenül attól, hogy a webhely üzemeltetője mennyire hasznosnak tartja őket.
Harmadik féltől származó cookie: Egy olyan cookie, amelyet nem az a tartomány állít be, amelyet a felhasználó éppen meglátogat. Például ha egy felhasználó meglátogatja az example.com oldalt, és egy cookie-t a facebook.com állít be (az example.com oldalba beágyazott Facebook Pixel útján), a Facebook-cookie harmadik féltől származó cookie. A harmadik féltől származó cookie-kat elsősorban webhelyek közötti nyomon követésre és célzott hirdetésre használják. A jelentős böngészők korlátozzák vagy megszüntetik a harmadik féltől származó cookie-kat: a Safari és a Firefox már alapértelmezés szerint blokkolja őket, a Chrome pedig bejelentette, hogy tervezi megszüntetni őket (bár az ütemezés többször is változott).
Nyomkövető pixel: Egy apró, láthatatlan kép (jellemzően 1x1 pixel), amely egy weboldalba vagy e-mailbe van beágyazva, és betöltéskor jelentést küld vissza egy szervernek. Bár technikailag nem cookie, a nyomkövető pixelek egy kapcsolódó nyomkövetési technológia, amely gyakran cookie-kkal együttműködve követi nyomon a felhasználói viselkedést. Az ePrivacy irányelv szerint ugyanazok a hozzájárulási követelmények vonatkoznak rájuk, mint a cookie-kra, mivel a felhasználó eszközén tárolt információhoz való hozzáférést foglalják magukban (a HTTP-kérés továbbítja a felhasználó IP-címét, böngészőinformációit és bármely kapcsolódó cookie-t).
Hivatalos erőforrások
Uniós jogszabályok és iránymutatás
- GDPR teljes szöveg — Az (EU) 2016/679 rendelet az EUR-Lexen
- ePrivacy irányelv teljes szöveg — A 2002/58/EK irányelv az EUR-Lexen
- ePrivacy irányelv módosítása (2009) — A 2009/136/EK irányelv
- EDPB iránymutatások — Az összes iránymutatás, beleértve a hozzájárulásról szóló 05/2020. sz. iránymutatást
- EDPB nyilvános konzultációk — Beleértve a sötét mintákról szóló iránymutatásokat
Nemzeti adatvédelmi hatóságok cookie-iránymutatásai
- CNIL cookie-iránymutatások (Franciaország) — A legrészletesebb nemzeti cookie-iránymutatás, beleértve a közönségmérési mentesség kritériumait
- Garante cookie-iránymutatások (Olaszország) — Átfogó 2021-es iránymutatások konkrét bannerkövetelményekkel
- ICO cookie-iránymutatás (Egyesült Királyság) — Részletes gyakorlati iránymutatás, amely a Brexit ellenére is rendkívül releváns az uniós megfeleléshez
- Datatilsynet (Dánia) — A dán adatvédelmi hatóság iránymutatásai és döntései
- BfDI (Németország) — Szövetségi adatvédelmi biztos
Google Consent Mode
- Google Consent Mode dokumentáció — Hivatalos bevezetési útmutató
- Google Consent Mode v2 követelmények — EGT-követelmények a Google Ads számára
- Speciális Consent Mode beállítás — Technikai bevezetési részletek
IAB Transparency and Consent Framework
- IAB Europe TCF áttekintés — Keretrendszer-dokumentáció és szállítói lista
- TCF 2.2 specifikációk — Technikai specifikáció CMP-fejlesztőknek
Amerikai adatvédelmi törvények
- Kaliforniai főügyész CCPA-oldala — Hivatalos CCPA/CPRA erőforrások
- California Privacy Protection Agency — CPRA-szabályozás és jogérvényesítés
- Global Privacy Control (GPC) — Specifikáció és böngészőtámogatás
Az EU Bíróságának ítélkezési gyakorlata
- Planet49 (C-673/17. sz. ügy) — Az előre bepipált jelölőnégyzetek nem minősülnek érvényes hozzájárulásnak
- IAB Europe TCF (C-604/22. sz. ügy) — A TC-string személyes adatnak minősül
További olvasnivaló
- W3C Tracking Preference Expression (DNT) — Háttér a Do Not Track technológiáról és utódtechnológiáiról
- RFC 6265: HTTP State Management Mechanism — A cookie-k technikai specifikációja
- MDN: HTTP-cookie-k használata — Átfogó fejlesztői referencia
- A SameSite cookie-k magyarázata — A SameSite attribútum és a harmadik féltől származó cookie-kra gyakorolt hatásának megértése
- Google Privacy Sandbox — A Google kezdeményezése a harmadik féltől származó cookie-k adatvédelmet megőrző alternatívákkal való felváltására
Cookie-megfelelőségi eszközök
A cookie-megfelelőség fenntartása a megfelelő eszközöket igényli. A Passiro automatikus cookie-szkennelést kínál, amely valós böngészőmotor segítségével feltérképezi a teljes webhelyét, azonosít minden cookie-t és nyomkövetési technológiát, egy folyamatosan frissülő adatbázis segítségével kategorizálja őket, valamint ütemezett szkennelésekkel és riasztásokkal figyeli a változásokat. A Passiro hozzájárulás-kezelő platformjával kombinálva ez teljes, mindig naprakész képet ad a webhelye cookie-megfelelőségi állapotáról.
Tudjon meg többet a Passiro szkennelési képességeiről, vagy futtasson egy ingyenes szkennelést a webhelyén, hogy megtudja, milyen cookie-kat állít be ma a webhelye.
Megfelel a weboldala a cookie-szabályoknak?
Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.
Vizsgálja meg cookie-jait ingyen