Skip to main content

Az ePrivacy irányelv: az EU cookie-törvényének magyarázata

Amikor az emberek „az EU cookie-törvényére” hivatkoznak, általában az ePrivacy irányelvre gondolnak — pontosabban annak 5. cikk (3) bekezdésére. Bár a legtöbb figyelmet a GDPR kapja, valójában az ePrivacy irányelv az a szabályozás, amely közvetlenül rendelkezik a cookie-k és hasonló nyomkövető technológiák használatáról. Ennek az irányelvnek, a GDPR-hoz való viszonyának, valamint a készülő ePrivacy rendeletnek a megértése elengedhetetlen mindenki számára, aki egy európai weboldal cookie-megfelelőségéért felel.

Mi az ePrivacy irányelv?

Az ePrivacy irányelvet (hivatalos nevén a 2002/58/EK irányelvet) 2002. július 12-én fogadták el az EU elektronikus hírközlési adatvédelmi keretrendszerének részeként. Eredetileg az elektronikus hírközlés adatvédelmére összpontosított — olyan témákra terjedt ki, mint a kommunikáció bizalmas jellege, a forgalmi adatok, a kéretlen levelek (spam) és a hívóazonosítás.

2009-ben az irányelvet jelentős mértékben módosította a 2009/136/EK irányelv (amelyet gyakran „polgári jogi irányelvnek” neveznek). Ez a módosítás vezette be a cookie-kra vonatkozó, ma ismert hozzájárulási követelményt, felváltva a korábbi opt-out (leiratkozásos) rendszert egy opt-in (kifejezett hozzájáruláson alapuló) modellel. 2009 előtt a weboldalaknak csak tájékoztatniuk kellett a felhasználókat a cookie-król, és lehetőséget kellett biztosítaniuk azok elutasítására. 2009 után az előzetes hozzájárulás minden nem feltétlenül szükséges cookie esetében kötelezővé vált.

A GDPR-tól eltérően, amely rendelet (minden tagállamban közvetlenül alkalmazandó), az ePrivacy irányelv egy irányelv (amelyet minden tagállamnak át kell ültetnie a nemzeti jogába). Ez azt jelenti, hogy a konkrét cookie-szabályok országonként eltérnek, még akkor is, ha az alapvető követelmények azonosak.

Az 5. cikk (3) bekezdése: a cookie-hozzájárulási szabály

Az ePrivacy irányelv 5. cikk (3) bekezdése az a rendelkezés, amely közvetlenül rendelkezik a cookie-król. Módosított formájában a következőket írja elő:

„A tagállamok biztosítják, hogy egy előfizető vagy felhasználó végberendezésében történő információtárolás, vagy a már ott tárolt információhoz való hozzáférés kizárólag azzal a feltétellel legyen megengedett, hogy az érintett előfizető vagy felhasználó – [az adatvédelmi irányelvvel, jelenleg a GDPR-ral] összhangban – egyértelmű és teljes körű, többek között az adatkezelés céljaira vonatkozó tájékoztatást kapott, és ehhez hozzájárulását adta.”

Ez a rendelkezés több kulcsfontosságú követelményt állapít meg:

  1. Hatály: kiterjed a felhasználó eszközén történő bármilyen információtárolásra, illetve a felhasználó eszközén tárolt információhoz való hozzáférésre. Ez magában foglalja a cookie-kat, de a local storage-t, az IndexedDB-t, az eszközujjlenyomatot, a nyomkövető képpontokat, valamint bármely más technológiát is, amely a felhasználó eszközéről olvas vagy oda ír.
  2. Előzetes hozzájárulás: a hozzájárulást azelőtt kell megszerezni, hogy az információt tárolnák vagy hozzáférnének hozzá — nem utólag.
  3. Tájékozott hozzájárulás: a felhasználónak egyértelmű és teljes körű tájékoztatást kell kapnia a tárolás vagy hozzáférés céljairól.
  4. A hozzájárulás követelményszintje: a GDPR-ra (eredetileg az adatvédelmi irányelvre) való hivatkozás azt jelenti, hogy a GDPR hozzájárulásra vonatkozó fogalommeghatározása és feltételei alkalmazandók. A hozzájárulásnak önkéntesnek, konkrétnak, tájékozottnak és egyértelműnek kell lennie.

A „feltétlenül szükséges” kivétel

Az 5. cikk (3) bekezdése egy fontos kivételt tartalmaz a második mondatában:

„Ez nem akadályozza az olyan technikai tárolást vagy hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közlés továbbítása, vagy amely az előfizető vagy felhasználó által kifejezetten kért, információs társadalommal összefüggő szolgáltatás nyújtásához feltétlenül szükséges.”

Ez a kivétel a cookie-k két kategóriájára terjed ki, amelyek nem igényelnek hozzájárulást:

  1. A közlés továbbításához szükséges cookie-k (pl. terheléselosztó cookie-k).
  2. A felhasználó által kifejezetten kért szolgáltatás nyújtásához feltétlenül szükséges cookie-k (pl. bevásárlókosár-cookie-k, hitelesítési munkamenet-cookie-k, a felhasználó által aktívan használt szolgáltatáshoz kapcsolódó felhasználói beállítás-cookie-k).

Az Európai Adatvédelmi Testület elődje, a 29. cikk szerinti munkacsoport a 04/2012. számú véleményében részletes iránymutatást adott arról, hogy mely cookie-k minősülnek feltétlenül szükségesnek. Ilyen példák:

  • Kivétel alá esik (nem szükséges hozzájárulás): felhasználói bevitelhez kapcsolódó munkamenet-cookie-k (többlépcsős űrlapok), hitelesítési cookie-k, bevásárlókosár-cookie-k, biztonsági cookie-k (CSRF-tokenek), multimédia-lejátszó munkamenet-cookie-k, terheléselosztó cookie-k, a felhasználói felület testreszabását szolgáló cookie-k (nyelvi beállítás) az aktuális munkamenetre vonatkozóan.
  • Nem esik kivétel alá (hozzájárulás szükséges): analitikai cookie-k (beleértve a Google Analyticset), hirdetési cookie-k, közösségimédia-megosztási/nyomkövető cookie-k, a munkameneten túlmutató, tartós beállítás-cookie-k, bármilyen harmadik féltől származó nyomkövető cookie.

A döntő különbség a felhasználó kifejezett kérését szolgáló cookie-k és a weboldal üzemeltetőjének érdekeit szolgáló cookie-k között húzódik. Egy nyelvi beállítást tároló cookie, amelyet azért hoztak létre, mert a felhasználó rákattintott a nyelvválasztóra, feltétlenül szükséges. Egy analitikai cookie, amelyet azért hoztak létre, hogy a weboldal üzemeltetőjének segítsen megérteni a forgalmat, nem az — még akkor sem, ha az üzemeltető fontosnak tartja.

Hogyan működik együtt az ePrivacy és a GDPR?

Az ePrivacy irányelv és a GDPR viszonya a lex specialis (különös szabály) és a lex generalis (általános szabály) viszonya. Az ePrivacy irányelv az elektronikus hírközlés adatvédelmét szabályozó különös jogszabály, míg a GDPR az általános adatvédelmi keretrendszer.

A gyakorlatban ez a következőt jelenti:

  • Az ePrivacy irányelv szabályozza, hogy elhelyezhet-e cookie-t a felhasználó eszközén. Hozzájárulást ír elő a nem feltétlenül szükséges cookie-k esetében, függetlenül attól, hogy a cookie tartalmaz-e személyes adatot.
  • A GDPR szabályozza, hogy mi minősül érvényes hozzájárulásnak, és hogyan kezelheti a cookie-kon keresztül gyűjtött személyes adatokat. Ez biztosítja továbbá a végrehajtási keretrendszert is, beleértve a felügyeleti hatóságokhoz benyújtható panasz jogát és a jelentős bírságolási rendszert.

Ez azt jelenti, hogy még egy olyan cookie is, amely nem tartalmaz személyes adatot (például egy véletlenszerűen generált analitikai azonosító, amely nem kapcsolódik semmilyen más adathoz), hozzájárulást igényel az ePrivacy irányelv szerint, mivel az 5. cikk (3) bekezdése a felhasználó eszközén történő bármilyen tárolásra vonatkozik — nem csak a személyes adatok tárolására.

Fordítva, ha cookie-kon keresztül személyes adatokat kezel, be kell tartania a teljes GDPR-keretrendszert: a jogalapot, az átláthatóságot, az érintetti jogokat, az adatvédelmi hatásvizsgálatokat és minden egyéb kötelezettséget.

Nemzeti végrehajtások

Mivel az ePrivacy irányelv nem rendelet, hanem irányelv, minden EU-tagállam bizonyos eltérésekkel ültette át a nemzeti jogába. Bár az alapvető követelmény — a hozzájárulás megszerzése a nem feltétlenül szükséges cookie-k előtt — minden tagállamban azonos, jelentős különbségek vannak a következő területeken:

  • A végrehajtás intenzitása: Franciaország (CNIL) és Olaszország (Garante) volt a legaktívabb a cookie-k terén történő jogérvényesítésben, míg más országok másra összpontosították erőforrásaikat.
  • Konkrét kivételek: egyes országok kissé tágabban vagy szűkebben értelmezték a „feltétlenül szükséges” kivételt.
  • Analitikai cookie-k: egyes felügyeleti hatóságok megvizsgálták, hogy a megfelelően konfigurált, adatvédelmet szem előtt tartó analitikai eszközök (pl. anonimizált analitika, amely nem végez oldalak közötti nyomkövetést) jogos érdek jogalapja alá tartozhatnak-e. A leginkább említésre méltó példa a francia CNIL kivétele a közönségmérési eszközökre bizonyos feltételek mellett, bár ez továbbra is vitatott.
  • Cookie-falak: a cookie-falak (amelyek hozzájárulást követelnek meg a weboldal eléréséhez) jogszerűsége joghatóságonként eltér. A holland felügyeleti hatóság és az EDPB szigorúan ellenzi őket, míg a francia Conseil d'Etat bizonyos feltételek mellett megengedhetőnek találta őket.

A javasolt ePrivacy rendelet

Az Európai Bizottság 2017 januárjában tette közzé az ePrivacy rendeletre vonatkozó javaslatát, amelynek célja az ePrivacy irányelv felváltása és a cookie-szabályok GDPR-hoz igazítása volt. Több mint kilenc évvel később a rendeletről még mindig tárgyalások folynak, ami az EU történetének egyik leghosszabb ideig tartó jogalkotási folyamatává teszi.

A javasolt rendelet legfontosabb változásai

Bár a végleges szöveg még nem került elfogadásra, a javaslat és a Tanács ezt követő álláspontjai több jelentős változást vetettek fel:

  • Közvetlen alkalmazhatóság: rendeletként – nem pedig irányelvként – az ePrivacy rendelet egységesen alkalmazandó lenne minden tagállamban, megszüntetve a jelenlegi széttagoltságot.
  • Böngészőalapú hozzájárulás: a korai javaslatok olyan rendelkezéseket tartalmaztak, amelyek lehetővé tennék a felhasználóknak, hogy böngésző szintjén állítsák be cookie-preferenciáikat, ahelyett, hogy minden egyes weboldalon külön cookie-bannereken kellene reagálniuk. Ez drámaian egyszerűsítené a felhasználói élményt, bár a technikai és politikai kihívások jelentősek.
  • Kibővített hatály: a rendelet kiterjedne az olyan, over-the-top (OTT) kommunikációs szolgáltatásokra is, mint a WhatsApp és a Skype, amelyekre a jelenlegi irányelv nem terjed ki.
  • Egyértelműbb kivételek: a rendelet célja annak tisztázása, hogy mely típusú cookie-k mentesülnek a hozzájárulás alól, esetlegesen kiterjesztve a kivételt bizonyos típusú közönségmérésre.
  • Metaadatokra vonatkozó szabályok: a kommunikációs metaadatok (helyadatok, csatlakozási idők) kezelésére vonatkozó új rendelkezések, amelyek túlmutatnak a jelenlegi irányelv hatályán.
  • Harmonizált jogérvényesítés: a rendelet egységes végrehajtási mechanizmust hozna létre, valószínűleg a GDPR egyablakos ügyintézési elve mintájára.

Jelenlegi állapot és ütemterv

2026 elejétől az ePrivacy rendelet még mindig háromoldalú (trilógus) tárgyalások alatt áll az Európai Parlament, az EU Tanácsa és az Európai Bizottság között. A haladás lassú volt a több ponton fennálló alapvető nézeteltérések miatt, beleértve a böngészőalapú hozzájárulási mechanizmust, a „feltétlenül szükséges” kivétel hatályát és a metaadatok kezelésére vonatkozó szabályokat.

A legreálisabb forgatókönyv szerint a rendelet legkorábban 2027 előtt nem véglegesül, majd további 12–24 hónapos átmeneti időszak következik, mielőtt hatályba lépne. A weboldal-üzemeltetőknek továbbra is be kell tartaniuk a jelenlegi ePrivacy irányelvet a nemzeti jogukba átültetett formájában, kiegészítve a GDPR hozzájárulási keretrendszerével.

Gyakorlati következmények a weboldal-tulajdonosok számára

A készülő ePrivacy rendelet körüli szabályozási bizonytalanság ellenére a jelenlegi szabályok egyértelműek és aktívan érvényesülnek. A weboldal-tulajdonosoknak a következőket kell tenniük:

  1. Tekintsék a jelenlegi rendszert kiindulási alapnak. A nem feltétlenül szükséges cookie-kra vonatkozó hozzájárulási követelmény bevett jog az egész EU-ban. Ne várjanak az ePrivacy rendeletre a megfelelőség megvalósításához.
  2. Blokkolják a nem feltétlenül szükséges cookie-kat a hozzájárulás előtt. Ez a megfelelőség technikailag legnagyobb kihívást jelentő aspektusa, de nem alku tárgya. A cookie-hozzájárulási mechanizmusnak meg kell akadályoznia, hogy a szkriptek cookie-kat állítsanak be, amíg a felhasználó aktívan hozzá nem járul.
  3. Alkalmazzák a GDPR hozzájárulási követelményszintjét. Amikor az ePrivacy irányelv „hozzájárulást” említ, GDPR szerinti hozzájárulásra gondol: önkéntes, konkrét, tájékozott, egyértelmű, és egy világos, megerősítő cselekedettel kifejezett hozzájárulásra.
  4. Dokumentálják a feltétlenül szükséges cookie-kat. Vezessenek egyértelmű nyilvántartást arról, hogy mely cookie-kat tekintik feltétlenül szükségesnek, és miért. Legyenek felkészülve arra, hogy indokolják ezt a besorolást, ha egy felügyeleti hatóság megkérdőjelezi.
  5. Kövessék a nemzeti fejleményeket. Mivel az ePrivacy irányelvet minden országban másképp hajtják végre, tájékozódjanak azon országok felügyeleti hatóságainak iránymutatásáról és jogérvényesítési tevékenységéről, ahol a felhasználóik találhatók.
  6. Készüljenek fel az ePrivacy rendeletre. Bár az ütemterv bizonytalan, az irány egyértelmű: harmonizáltabb szabályok, potenciálisan tágabb hozzájárulási mechanizmusok, valamint a felhasználói adatvédelem folyamatos hangsúlyozása. Egy robusztus hozzájárulás-kezelő rendszer már most történő kiépítése gördülékenyebbé teszi majd az átmenetet, amikor elérkezik.

Az ePrivacy irányelv talán már több mint két évtizedes, mégis továbbra is az európai cookie-jog sarokköve marad. A GDPR hozzájárulási keretrendszerével és a nemzeti felügyeleti hatóságok aktív jogérvényesítési programjaival együtt olyan szabályozási környezetet teremt, ahol a cookie-megfelelőség nem választható lehetőség — hanem jogi kötelezettség, amelynek megszegése valós pénzügyi következményekkel jár.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen