Mi az a cookie? Sütik és követőkódok kezelése – adatvédelmi szempontból jogszerű használata.

Olvasási idő: 5 perc
mi_az_a_cookie_sutik_es_kovetokodok_kezelese

Belépünk egy weboldalra és mi történik, mielőtt meglátnánk, amiért jöttünk? Idegesítő banner ugrik a szemünk elé egy jogi szöveggel. Első látásra semmi haszna. Pedig a weboldal látogatója és üzemeltetője számára is egyaránt fontos.

Ennek segítségével látogatóként eldönthetjük, milyen adatunkhoz férhet hozzá a weboldal üzemeltetője, üzemeltetőként pedig megszerezhetjük azokat a hozzájárulásokat, melyek elengedhetetlenek marketing tevékenységünk fejlesztéséhez.

Ezekről szólnak az ún. cookie-bannerek. De mielőtt belemennénk a működésükbe, lépjünk egyet hátra, és nézzük meg, mik azok a cookie-k és miért fontosak nekünk.

Mi az a cookie?

A cookie-k, avagy sütik, leegyszerűsítve apró kódsorok, amiket a weboldal lement a böngészőnkbe előre meghatározott, korlátozott ideig. Ezeket a kódsorokat és a bennük tárolt információkat aztán ki lehet olvasni, ezzel pedig sokkal kényelmesebbé lehet tenni az internetezést. 

Milyen információkat tárolhatnak a különböző weboldalak sütikben?

Gyakorlatilag nincsenek korlátok. Például tárolhatja, hogy be vagyunk-e jelentkezve, milyen beállításokat használtunk ezt megelőzően, milyen nyelven használtuk korábban a webáruházat, mit raktunk a kosárba. Szinte bármit, ami később üzleti szempontból hasznos lehet a weboldal üzemeltetőinek, és ami gördülékenyebbé, kényelmesebbé teheti a böngészést a felhasználónak. 

Nem csak a weboldal-üzemeltetők raknak le azonban cookie-kat a böngészőbe, hanem azok a külső szolgáltatók is, amelyek megoldásait a weboldal-üzemeltetők használják. Általában itt kezdődik a gond.

Azokat a cookie-kat, amiket a mi saját weboldalunk rak le, azokat elsődleges cookie-knak (belső cookie-k, 1st party cookie-k) nevezzük, azok pedig, amiket valamilyen külső rendszer telepít, a harmadik féltől származó (3rd party vagy külső) cookie-k. Legalábbis ez volt korábban.

milyen_informaciot_tarolhatnak

Mi a cookie szerepe?

A cookie-k fontosak a weboldalunk szempontjából, ezért a marketingesek olyan megoldások használatára törekednek, amelyek segítségével elérik, hogy települni tudjanak a látogatók böngészőjében. Adatvédelmi szakjogászként ezzel kapcsolatban a felém érkező legáltalánosabb kérdés: kell-e hozzájárulást kérnünk a felhasználóktól, mielőtt elhelyezzük a böngészőjükben a különböző cookie-kat?

Mielőtt válaszolok, kicsit ki kell terjesztenünk a kérdést. A GDPR szemszögéből ugyanis nem csak a cookie-k vannak a fókuszban. 

A lényeg, hogy a cookie-k segítségével személyes adatokat tudunk gyűjteni és használni a marketing-tevékenységünk során. De ehhez nem csak cookie-kat használhatunk, illetve használhatnak a hirdetési rendszerek. Számos olyan megoldás van, aminél szintén kérdés az, hogy kell-e hozzájárulást kérnünk hozzá, és ha igen, akkor ennek mikor kell megtörténnie.

Ilyen például amikor a Facebook-pixel egyik speciális funkciójával, az “Automatikus speciális megfeleltetés” nevű funkcióval személyes adatokat adunk át a Facebook-nak. 

Éppen ezért, amikor a hozzájárulás megadásával vagy engedélykérésekkel kapcsolatban, cookie-król, „cookie-bannerekről” beszélünk, ne csak a konkrét, szűk értelemben vett cookie-kra gondoljunk, hanem azoknak a beállításoknak az összességére, melyek a weboldalunkról indított mérésekhez és követésekhez kapcsolódnak. A gyakorlatban ugyanis a cookie-banner már nem csak a sütiket képes kezelni, hanem ezeket a különböző mérési és követési megoldásokat is.

Hogy kell működnie egy cookie-bannernek?

A legtöbb esetben azt látjuk amikor egy weboldalra felmegyünk, hogy megjelenik egy banner vagy egy popup-ablak. Azonban a szöveg és a működés jelentősen eltér. Néhány helyen csak egyszerűen tájékoztatnak egy alig észrevehető sávban, hogy:  „cookie-kat használunk a jobb felhasználói élmény érdekében” és nincs lehetőség semmilyen beállításon módosítani, sőt, engedélyt sem kérnek, hiszen a tájékoztatással egy időben a weboldal betöltésekor lefut az összes cookie. 

Ezekben az esetekben minden információt tud a látogatóról a rendszer, ha akarja azt, ha nem. Más weboldalakon a teljes tartalmat eltakaró ablak ugrik fel, és addig nem tűnik el, amíg rá nem kattintunk valamilyen jóváhagyó gombra, jobb esetben választási lehetőséget biztosítva a weboldal látogatójának a sütikkel kapcsolatban.

Hogy ez mekkora probléma, az kiderült egy tavalyi kutatásunkból. 250 weboldalon futtattunk le egy gyorstesztet, és azt találtuk, hogy mindössze 4,8%-nak működött úgy a cookie-bannere, hogy az első látásra a marketing és az adatvédelmi szempontokat funkcionálisan is jól látta el. 

Milyen a jó cookie-banner?

A megfelelő banner felépítése és beállítása egyértelműen az adatkezelési célok meghatározásával, majd értelemszerűen a jogalap megfelelő kiválasztásával kezdődik, de az oldalon használt sütik, illetve adatgyűjtő és adatkezelő megoldásoktól is függ. 

Másrészt a használt szolgáltatások saját szabályzatai is befolyásolhatják, hogy milyen sütibannert kell alkalmazni. Amíg nem tudjuk, milyen cookie-kat és kódokat kell egy bannernek kezelni, vagy egyáltalán kell-e engedélyt kérni a felhasználótól, vagy csak a figyelmét kell felhívni a sütikre, addig nem is tudjuk megmondani, hogy vajon az oldalon megjelenő banner megfelelő-e. 

Olyan esetekkel is találkozni, hogy szövegszerűen tökéletes a cookie-banner, éppen csak annyi a baj vele, hogy technikailag nem követi a felhasználó választásait, mert hiába „nyilatkozik” az oldallátogató, hogy nem adja a hozzájárulását bizonyos marketinges követőkódokhoz, ha azok mondjuk még a választása előtt betöltődtek.

Amikor a felhasználó beérkezik a weboldalunkra, akkor bekerülhetnek a böngészőjébe a rendszerhasználathoz, karbantartáshoz, biztonsághoz szükséges cookie-k, de kizárólag azok. A marketinget támogató megoldások nem, ezekhez az oldallátogatók, mint érintettek hozzájárulását kell kérni. 

Külön fel kell sorolnunk, milyen célokra, milyen cookie-kat, illetve adatgyűjtési módszereket szeretnénk használni, ő pedig ezeket külön-külön jóvá tudja hagyni, vagy éppen elutasítani. Miután ez a bizonyos jóváhagyás, vagyis hozzájárulás megtörtént, a marketinget támogató megoldások is elindulhatnak. De csak ezt követően.

adatvedelmi_szempontbol_jogszeruen

Foglaljuk össze röviden a Facebook-Pixel példáján keresztül, mikor járunk el adatvédelmi szempontból jogszerűen?

  1. Beérkezik a látogató a weboldalunkra. Ő lesz adatvédelmi szakszóval majd az “érintett”, akinek az adatait kezelni fogjuk. Ekkor azonban a Facebook-pixel még nem futhat.
  2. Megjelenik egy hozzájárulás-kérő felület (cookie-banner).
  3. Ebben el tudja fogadni az összes sütit és követőmegoldást, de akár el is utasíthatja az összeset egy-egy megfelelően kialakított gomb vagy csúszka segítségével,  vagy éppen egyenként eldöntheti, mihez járul hozzá és mihez nem.
  4. Ha hozzájárult a Facebook-pixel futtatásához, a cookie-banner lefuttatja a megfelelő kódot.
  5. A pixel elkezdi továbbítani az adatokat a Facebooknak. 
  6. Mindenki boldog: mi tudunk remarketingezni, a Facebook kap új adatokat, a felhasználó pedig végre megkapja a tartalmat amiért jött (plusz a későbbi hirdetéseinket a látogatása alapján).

Legalábbis 2023-ig, amikor a süti alapú Facebook-pixel már alig fog működni a Google Chrome változásainak köszönhetően. Persze jön helyette a Facebook Conversions API, de ehhez hozzá kell majd igazítani a rendszereinket. Technológiai és adatvédelmi szempontból egyaránt.

A jó hír: akár a Facebook-pixelről, akár a Konverziók API-ról beszélünk, tulajdonképpen egyszerű technikai beállításokkal megoldható, hogy az adatvédelmi szempontból megfelelően működjenek a rendszereink. 

Ahogy ez a legtöbb webáruházban használt marketing megoldásra is igaz, például a TikTok pixelre, a Google Maps-re, a YouTube beágyazásokra, vagy éppen a külső szolgáltatótól igénybe vett exit popup-ra.

Ehhez azonban a korábban említett módon, minden megoldás esetén végig kell gondolni, milyen adatokat gyűjtünk be mi magunk, miket adunk át egy külső szolgáltatónak, és milyen módon kell ezekhez engedélyt kérni a látogatóinktól.

Akit pedig érdekelnek a technikai részletek, azok a liftupakademia.hu oldalon tudnak körülnézni, onnan elérhető a témában Lévai Richárddal  közösen írt könyvünk, a GDPR Iránytű Online marketingeseknek címmel, vagy a technikai beállításokat bemutató videót is elérik a Social Media Hub előfizetőink, ahol folyamatosan megosztjuk az online marketinggel kapcsolatos híreket és az adatvédelmi kérdésekről sem feledkezünk meg.

Vendégszerzőink külsős szakértők, nem a Webshippy munkatársai. A Webshippy Kft. kizár minden felelősséget a fenti cikkben található információk felhasználásából fakadó következményekért.

dr. Teker Orsolya

dr. Teker Orsolya

Dr. Teker Orsolya LL.M adatbiztonsági és adatvédelmi szakjogász Jogi szakértő, aki az online marketinggel kapcsolatos kihívásokkal is napi gyakorlati szinten képben van. Cég- és projektmenedzsmenttel kapcsolatos évtizedes tapasztalatai nagyban segítik, hogy nem csak jogi oldalról, de folyamatok és az eredményesség oldaláról is tudja vizsgálni és mérlegelni a lehetőségeket.Több konferencián és képzésen adott már elő a GDPR rejtelmeiről. A GDPR IRÁNYTŰ Online marketinghez című könyv társszerzője.

Kapcsolódó cikkek