Skip to main content

Cookie-szkennelés és -auditálás: tudja meg, mit állít be a webhelye

Nem tud megfelelni a cookie-szabályozásoknak, ha nem tudja, milyen cookie-kat állít be a webhelye. Ez nyilvánvalónak tűnik, mégis ez a cookie-megfelelés legelterjedtebb hibaforrása. A webhelyek folyamatosan fejlődnek — új bővítmények kerülnek telepítésre, marketingcímkék jönnek hozzá, harmadik féltől származó szkriptek frissülnek — és minden változás új cookie-kat hozhat magával. A cookie-audit nem egyszeri tevékenység. Ez egy folyamatos folyamat, amelynek lépést kell tartania a webhelye fejlődésével.

Miért fontos a cookie-szkennelés

Minden cookie-megfelelési kötelezettség azon múlik, hogy rendelkezik-e pontos, teljes cookie-leltárral. Enélkül:

  • A cookie-bannere hiányos. Ha a bannere négy cookie-kategóriát sorol fel, de a webhelye valójában egy ötödik kategóriában is állít be cookie-kat, a felhasználók nem tudnak tájékozott hozzájárulást adni. A hozzájárulásuk a GDPR értelmében érvénytelen.
  • A cookie-szabályzata pontatlan. Az adatvédelmi hatóságok elvárják, hogy a cookie-szabályzata minden cookie-t felsoroljon név, cél, típus és időtartam szerint. A hiányos vagy elavult szabályzat megfelelési hiba, amelyet az adatvédelmi hatóságok aktívan keresnek az auditok során.
  • A hozzájárulási mechanizmusa nem biztos, hogy minden cookie-t blokkol. Ha egy újonnan hozzáadott szkript olyan cookie-kat állít be, amelyek nem szerepelnek a hozzájáruláskezelési konfigurációjában, ezek a cookie-k hozzájárulás nélkül aktiválódnak — ami az ePrivacy Directive 5. cikk (3) bekezdésének közvetlen megsértése.
  • Nem tud válaszolni a felhasználói kérésekre. A GDPR értelmében a felhasználóknak joguk van tudni, milyen adatokat gyűjt róluk. Ha nem tudja, milyen cookie-kat állít be a webhelye, nem tud pontos válaszokat adni az érintetti hozzáférési kérelmekre.

Mit tár fel egy cookie-szkennelés

Egy alapos cookie-szkennelés azonosítja:

  • Cookie-nevek: Az egyes cookie-k pontos azonosítóját (pl. _ga, _fbp, JSESSIONID).
  • Eredet: Hogy a cookie első féltől származik-e (a saját domainje állítja be) vagy harmadik féltől (külső domain állítja be).
  • Típus: Munkamenet-cookie (a böngésző bezárásakor törlődik) vagy állandó cookie (megadott ideig megmarad).
  • Időtartam: Mennyi ideig marad meg a cookie a lejáratig (pl. 30 perc, 1 év, 2 év).
  • Cél: Mit csinál a cookie — munkamenet-kezelés, analitika, hirdetés, személyre szabás vagy funkcionális célok.
  • Kategória: A megfelelési kategória, amelybe a cookie tartozik — szigorúan szükséges, funkcionális, analitikai/teljesítmény, vagy marketing/hirdetés.
  • Harmadik fél szolgáltató: Ha a cookie-t harmadik fél állítja be, melyik szolgáltatáshoz tartozik (Google Analytics, Facebook, HubSpot, Hotjar stb.).
  • Gyűjtött adatok: Milyen információt tárol a cookie, vagy milyen adatok gyűjtését teszi lehetővé.

Manuális cookie-szkennelés a böngésző fejlesztői eszközeivel

A cookie-szkennelés legalapvetőbb módszere a minden modern böngészőbe beépített fejlesztői eszközöket használja. Bár a manuális szkennelésnek jelentős korlátai vannak, hasznos a szúrópróbaszerű ellenőrzéshez és annak megértéséhez, hogyan működnek a cookie-k a webhelyén.

Lépésről lépésre: manuális cookie-audit a Chrome-ban

  1. Nyisson meg egy inkognitó/privát ablakot. Ez biztosítja, hogy tiszta lappal induljon — nincsenek korábbi látogatásokból származó cookie-k.
  2. Nyissa meg a fejlesztői eszközöket (DevTools) (nyomja meg az F12-t, vagy kattintson jobb gombbal, és válassza a „Vizsgálat" lehetőséget).
  3. Navigáljon az Application (Alkalmazás) fülre (Chrome-ban) vagy a Storage (Tárolás) fülre (Firefoxban).
  4. Nyissa ki a „Cookies" szekciót a bal oldali oldalsávon. Megjelenik a domainek listája.
  5. Látogassa meg a webhelyét anélkül, hogy interakcióba lépne a cookie-bannerrel. Jegyezze fel, mely cookie-k állítódnak be azonnal — ezek a hozzájárulás előtt beállított cookie-k, amelyek csak szigorúan szükséges cookie-k lehetnek.
  6. Fogadja el az összes cookie-t a cookie-banneren. Frissítse az Application/Storage fület, és jegyezze fel a megjelenő új cookie-kat.
  7. Navigáljon végig a webhely kulcsfontosságú oldalain (kezdőlap, termékoldalak, pénztár, kapcsolatfelvételi űrlap, blog). Egyes cookie-k csak bizonyos oldalakon vagy bizonyos interakciók után állítódnak be.
  8. Dokumentáljon minden cookie-t: Minden megtalált cookie esetében rögzítse a nevét, domainjét, útvonalát, lejárati dátumát, méretét, valamint azt, hogy HTTP-only vagy secure-e.
  9. Ellenőrizze a Network (Hálózat) fület a további nyomkövetéshez. Egyes nyomkövetési technológiák pixeleket, jelzőelemeket vagy API-hívásokat használnak a hagyományos cookie-k helyett. A Network fül feltárja az összes harmadik fél domainre irányuló kimenő kérést.

A manuális szkennelés korlátai

A manuális szkennelés értékes a tanuláshoz és a szúrópróbaszerű ellenőrzéshez, de komoly korlátai vannak megfelelési szempontból:

  • Hiányos lefedettség. Csak azokat az oldalakat ellenőrizheti, amelyeket manuálisan meglátogat. Egy nagy, több száz oldalas webhely különböző cookie-kat állíthat be különböző oldalakon. A manuális szkennelés gyakorlatilag nem tudja mindet lefedni.
  • Nincs kategorizálás. A DevTools megmutatja a nyers cookie-adatokat, de nem kategorizálja a cookie-kat cél vagy megfelelési kategória szerint. Minden cookie-t egyenként kell utánajárnia.
  • Csak pillanatnyi állapot. A manuális szkennelés pillanatképet ad. Nem érzékeli az audit után hozzáadott új cookie-kat.
  • Nincs szkriptblokkolás-ellenőrzés. A manuális szkennelés nem tudja könnyen ellenőrizni, hogy a hozzájáruláskezelési platformja helyesen blokkolja-e a szkripteket a hozzájárulás előtt.
  • Időigényes. Már egy 20 oldalas webhely esetében is órákig tart az egyes oldalak manuális ellenőrzése és az egyes cookie-k dokumentálása.

Automatizált cookie-szkennelés

Az automatizált cookie-szkennelő eszközök úgy kezelik a manuális szkennelés korlátait, hogy bejárják a teljes webhelyét, azonosítják az összes cookie-t, és szisztematikusan kategorizálják őket. Egy jó automatizált szkennelő eszköz a következőket nyújtja:

  • Átfogó bejárás: A szkenner meglátogatja a webhely minden oldalát (vagy egy meghatározott részhalmazát), beleértve az olyan oldalakat is, amelyek csak navigáción vagy kereséssel érhetők el.
  • Hozzájárulás előtt és után: A szkenner ellenőrzi, mely cookie-k állítódnak be a hozzájárulás megadása előtt, melyek jelennek meg utána, és hogy az elutasított kategóriák megfelelően blokkolva vannak-e.
  • Automatikus kategorizálás: Az ismert cookie-k (például a Google Analytics _ga vagy a Facebook _fbp cookie-ja) automatikusan kategorizálódnak a cookie-célok karbantartott adatbázisai alapján.
  • Harmadik felek azonosítása: Minden cookie-t beállító harmadik fél domain azonosításra és dokumentálásra kerül.
  • Ütemezett szkennelés: A szkennelések automatikusan futnak ütemezés szerint (heti rendszerességgel, telepítések után), hogy elkapják az új cookie-kat, ahogy megjelennek.
  • Változásészlelés: A szkenner figyelmezteti Önt, ha új cookie-k jelennek meg vagy meglévő cookie-k változnak, így frissítheti a hozzájárulási mechanizmusát és a cookie-szabályzatát.
  • Megfelelési jelentések: Az eredmények olyan formátumban kerülnek megjelenítésre, amely támogatja a megfelelési dokumentációját.

Mire figyeljen egy cookie-szkennelő eszköznél

Az automatizált cookie-szkennelési megoldások értékelésekor vegye figyelembe a következőket:

  1. JavaScript-renderelés: Számos cookie-t az oldal betöltése után futó JavaScript állít be. A szkennernek végre kell hajtania a JavaScriptet (valódi böngészőmotort használva) ezeknek a cookie-knak az észleléséhez. Az egyszerű HTTP-bejárók, amelyek nem renderelik a JavaScriptet, a legtöbb harmadik fél cookie-ját nem veszik észre.
  2. A bejárás mélysége: A szkennernek követnie kell a belső hivatkozásokat, és be kell járnia a teljes webhelyet, nem csak a kezdőlapot. A beágyazott videók, űrlapok, chat-widgetek vagy fizetési szolgáltatók által bizonyos oldalakon beállított cookie-k elkerülik a figyelmet, ha csak a kezdőlapot szkenneli.
  3. Első látogatás szimulálása: A szkennernek szimulálnia kell egy első alkalommal érkező látogatót (nincs meglévő cookie, nincs megadott hozzájárulás), hogy ellenőrizze, nem állítódnak-e be nem elengedhetetlen cookie-k a hozzájárulás előtt.
  4. Cookie-adatbázis: Az ismert cookie-k karbantartott adatbázisa a céljaikkal és kategóriáikkal drasztikusan csökkenti a besorolás manuális munkáját.
  5. Jelentéskészítés: Áttekinthető, exportálható jelentések, amelyek megoszthatók a jogi, marketing- és fejlesztőcsapatokkal.
  6. Ütemezés és figyelmeztetések: Automatikus szkennelés konfigurálható ütemezéssel, értesítésekkel, amikor új cookie-kat észlel.

A cookie-szkennelés folyamata

Egy alapos cookie-szkennelés öt lépést követ, akár manuálisan, akár automatizált eszközökkel végzik:

1. lépés: Az összes oldal bejárása

Kezdje azzal, hogy teljes térképet készít a webhelyéről. Ez magában foglalja az összes nyilvános oldalt, a hitelesített oldalakat (ha vannak ilyenek), a landing oldalakat, a köszönő oldalakat, a hibaoldalakat és minden olyan oldalt, amelyhez egy látogató hozzáférhet. Ne korlátozza a szkennelést a kezdőlapra — a cookie-kat gyakran olyan harmadik fél szkriptek állítják be, amelyek csak bizonyos oldalakon töltődnek be (pl. egy YouTube-beágyazás egy blogbejegyzésben, egy fizetési szolgáltató a pénztár oldalon, vagy egy chat-widget, amely csak a támogatási oldalakon jelenik meg).

2. lépés: Az összes cookie azonosítása

Minden oldalnál rögzítsen minden beállított cookie-t. Ez magában foglalja mind a HTTP-cookie-kat (amelyek láthatók a Set-Cookie fejlécben és a böngésző cookie-tárolójában), mind a kliensoldali tárolási mechanizmusokat (localStorage, sessionStorage, IndexedDB), amelyek nyomkövetési technológiaként funkcionálhatnak, még ha technikailag nem is cookie-k.

3. lépés: A cookie eredetének meghatározása

Minden cookie esetében azonosítsa, hogy első féltől származik-e (a saját domainje állítja be) vagy harmadik féltől (külső domain állítja be). A harmadik fél cookie-k különösen fontosak a megfelelés szempontjából, mert jellemzően külső szervezetekkel való adatmegosztással járnak, ami közzétételt igényel a cookie-szabályzatában, és sok esetben adatfeldolgozási megállapodást is.

4. lépés: A cookie-k kategória szerinti besorolása

Rendeljen hozzá minden cookie-t egy megfelelési kategóriához:

  • Szigorúan szükséges: A webhely működéséhez elengedhetetlen. A felhasználó nem tilthatja le. Példák: munkamenet-cookie-k, CSRF-tokenek, terheléselosztási cookie-k, cookie-hozzájárulási beállításokat tároló cookie-k.
  • Funkcionális: Kibővített funkcionalitást és személyre szabást tesznek lehetővé. Példák: nyelvi beállítások, régióválasztás, nemrég megtekintett elemek (ha nem hirdetési célra használják).
  • Analitikai/teljesítmény: Információt gyűjtenek arról, hogyan használják a látogatók a webhelyet. Példák: Google Analytics, Hotjar, Matomo cookie-k.
  • Marketing/hirdetés: Nyomon követik a látogatókat a webhelyek között hirdetési célból. Példák: Facebook Pixel, Google Ads cookie-k, remarketing cookie-k, affiliate nyomkövetési cookie-k.

5. lépés: A cél, az időtartam és a típus dokumentálása

Minden cookie esetében dokumentálja a célját közérthető nyelven, amelyet egy nem műszaki személy is megért, az időtartamát (munkamenet vagy állandó, és ha állandó, mennyi ideig), valamint a típusát (HTTP-cookie, localStorage stb.). Ez a dokumentáció képezi a cookie-szabályzata és a cookie-bannerében nyújtott információ alapját.

Folyamatos monitorozás

Egy cookie-szkennelés csak az elvégzésének pillanatában érvényes. A webhelye nem statikus — minden telepítéssel, bővítményfrissítéssel és marketingkampánnyal fejlődik. A folyamatos monitorozás elengedhetetlen, mert:

  • Az új szkriptek új cookie-kat hoznak. Amikor egy fejlesztő új analitikai eszközt ad hozzá, egy marketingcsapat új nyomkövetési pixelt telepít, vagy egy bővítmény frissül, új cookie-k jelenhetnek meg a webhelyén anélkül, hogy bárki kifejezetten úgy döntött volna, hogy hozzáadja őket.
  • A harmadik fél szkriptek változnak. Még ha nem is változtatja meg a webhelyét, az Ön által használt harmadik fél szolgáltatások frissíthetik a szkriptjeiket, és új cookie-kat vezethetnek be. Egy Google Analytics-frissítés, egy közösségimédia-widget változása vagy egy CDN-konfiguráció frissítése egyaránt hatással lehet a webhelyén lévő cookie-kra.
  • A megfelelés folyamatos. Az adatvédelmi hatóságok elvárják, hogy a cookie-szabályzata és a hozzájárulási mechanizmusa a webhelye aktuális állapotát tükrözze. Egy szabályzat, amely hat hónappal ezelőtt pontos volt, de nem tartalmazza az azóta hozzáadott cookie-kat, ma nem megfelelő.

A legjobb gyakorlat az, ha automatizált szkenneléseket futtat minden telepítés után, és legalább havonta. Állítson be figyelmeztetéseket az új cookie-khoz, hogy a csapata értékelhesse, kategorizálhassa, és hozzáadhassa őket a hozzájárulási mechanizmusához, mielőtt megfelelési problémává válnának.

A cookie-szkennelés és a cookie-szabályzata

A cookie-szabályzatának és a cookie-szkennelés eredményeinek szinkronban kell maradniuk. Minden szkennelés során azonosított cookie-t dokumentálni kell a szabályzatában, és minden, a szabályzatában felsorolt cookie-nak ténylegesen jelen kell lennie a webhelyén. A bármely irányú eltérés problémát jelent:

  • Cookie-k a webhelyen, de nem a szabályzatban: Ez azt jelenti, hogy a felhasználók nincsenek tájékoztatva a webhely összes nyomkövetéséről. A hozzájárulásuk, még ha meg is adják, esetleg nem terjed ki a fel nem tárt cookie-kra.
  • Cookie-k a szabályzatban, de nem a webhelyen: Bár kevésbé súlyos, a nem létező cookie-k felsorolása zavart okoz, és aláássa a dokumentációja pontosságába vetett bizalmat.

A leghatékonyabb megközelítés az, ha integrálja a szkennelő eszközét a cookie-szabályzatával, így a szabályzat automatikusan frissül, amikor új cookie-kat észlel. Ez kiküszöböli a szabályzat manuális frissítésének lépését minden szkennelés után, és csökkenti annak kockázatát, hogy a kettő kiessen a szinkronból.

Hogyan kezeli a Passiro a cookie-szkennelést

A Passiro szkennere headless böngészőmotort használ a webhely minden oldalának meglátogatásához, a JavaScriptet pontosan úgy hajtva végre, ahogyan egy valódi látogató böngészője tenné. Ez biztosítja, hogy a dinamikusan betöltött szkriptek, a beágyazott tartalom és az egyoldalas alkalmazás (single-page application) keretrendszerek által beállított cookie-k mind észlelésre kerüljenek. A szkenner szimulált hozzájárulás előtt és után is fut, hogy ellenőrizze, a hozzájáruláskezelése megfelelően működik-e — hogy a nem elengedhetetlen cookie-k valóban blokkolva vannak-e a hozzájárulás megadásáig.

A szkennelés eredményei automatikusan kategorizálódnak az ismert cookie-k folyamatosan frissülő adatbázisával, azzal a lehetőséggel, hogy bármely cookie-t manuálisan besorolhat vagy átsorolhat. Az ütemezett szkennelések konfigurálható alapon futnak, és figyelmeztetéseket kap, amikor új cookie-k jelennek meg a webhelyén, így cselekedhet, mielőtt megfelelési kockázattá válnának.

Milyen gyakran érdemes szkennelni?

A megfelelő szkennelési gyakoriság attól függ, milyen gyakran változik a webhelye:

  • Minden telepítés után: Bármely kódmódosítás új cookie-kat vezethet be. Integrálja a cookie-szkennelést a CI/CD-folyamatába, vagy futtasson egy szkennelést minden kiadás után.
  • Harmadik fél szolgáltatások hozzáadása után: Amikor új analitikai eszközt, marketingplatformot, chat-widgetet, fizetési szolgáltatót vagy bármilyen harmadik fél szkriptet ad hozzá, azonnal szkenneljen.
  • Legalább havonta: Még ha nem is hajt végre változtatásokat, a webhelyén lévő harmadik fél szkriptek frissülhetnek, és új cookie-kat vezethetnek be. Egy havi szkennelés elkapja ezeket a változásokat.
  • CMP-frissítések után: Ha frissíti a hozzájáruláskezelési platformját, vagy megváltoztatja a cookie-kategóriáit, szkenneljen annak ellenőrzésére, hogy a változtatások az elvárásoknak megfelelően működnek.
  • Negyedéves felülvizsgálat: Az automatizált szkennelésen túl végezzen negyedéves manuális felülvizsgálatot a cookie-leltáráról annak ellenőrzésére, hogy a kategorizálások még mindig pontosak-e, a harmadik fél szolgáltatók még mindig szükségesek-e, és a cookie-szabályzata tükrözi-e a valóságot.

Azok a szervezetek, amelyek a cookie-szkennelést rutinszerű karbantartásként, nem pedig időszakos auditként kezelik, tartják fenn a folyamatos megfelelést — és kerülik el azt a kellemetlen meglepetést, hogy egy adatvédelmi hatósági vizsgálat során dokumentálatlan nyomkövetési cookie-kat fedeznek fel.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen