Cookie-k és GDPR a foglalási oldalon: mihez kell hozzájárulás?
Szinte minden weboldalon felugrik a cookie-sáv, mégis kevés vállalkozó tudja pontosan, mihez kell ténylegesen hozzájárulást kérni, és mi működhet anélkül is. A foglalási oldal különösen érzékeny terület, mert itt a sütik mellett személyes adatok — név, email, telefonszám, foglalási előzmények — kezelése is zajlik. A rosszul megvalósított cookie-banner nemcsak bosszantó, hanem jogsértő is lehet, a jól megcsinált viszont észrevétlenül teszi a dolgát. Ebben a cikkben rendet teszünk: mi számít szükséges sütinek, mihez kell valódi hozzájárulás, és hogyan néz ki egy szabályos megoldás.
Milyen szabályok vonatkoznak a sütikre?
A sütikre két szabályrendszer vonatkozik egyszerre. Az ePrivacy-szabályok (Magyarországon az elektronikus hírközlési törvényen keresztül) főszabály szerint hozzájárulást kívánnak meg minden olyan adat eszközön való tárolásához vagy kiolvasásához, amely nem feltétlenül szükséges a felhasználó által kért szolgáltatáshoz. A GDPR pedig akkor lép be, amikor a sütikkel személyes adatot — például egyedi azonosítót — kezelünk, ami a gyakorlatban a legtöbb sütire igaz.
A kettő együtt a következő alapképletet adja: a szolgáltatás működéséhez elengedhetetlen sütik hozzájárulás nélkül használhatók, minden más — statisztikai, marketing, közösségi média — süti csak előzetes, tájékozott, önkéntes hozzájárulással. A hozzájárulásnak a GDPR mércéje szerint kell megfelelnie: az előre bepipált négyzet vagy a puszta továbbgörgetés nem érvényes hozzájárulás.
24/7 online foglalás
Foglalások éjjel-nappal, telefon nélkül.
–40% lemondás
Email és SMS emlékeztetők automatikusan.
Saját foglalási link
Percek alatt kész, mobilra optimalizálva.
Szükséges sütik: ami hozzájárulás nélkül is mehet
Egy foglalási oldalon tipikusan szükséges sütinek minősül a munkamenet-azonosító (amely a foglalási folyamat lépései között megjegyzi a kiválasztott szolgáltatást és időpontot), a bejelentkezést kezelő süti, a biztonsági célú — például a visszaélések elleni védelmet szolgáló — süti, valamint a cookie-beállításokat magát megjegyző süti. Ezek nélkül az ügyfél által kifejezetten kért funkció, maga a foglalás nem működne.
Fontos, hogy a »szükséges« kategóriába nem sorolhatunk be tetszőlegesen sütiket csak azért, hogy megkerüljük a hozzájárulást. Az általános szabály szerint az számít szükségesnek, ami a felhasználó által igényelt szolgáltatás nyújtásához technikailag elengedhetetlen — a statisztika és a marketing kényelmes, de nem elengedhetetlen. A szükséges sütikről is tájékoztatni kell a látogatót, csak épp hozzájárulást nem kell kérni hozzájuk.
Statisztikai és marketing sütik: itt kell a valódi hozzájárulás
A látogatottságmérő eszközök (például webanalitika), a remarketinget kiszolgáló pixelek és a hirdetési platformok sütijei hozzájáruláshoz kötöttek, mert nem a foglalás lebonyolításához kellenek, hanem a vállalkozás üzleti céljait szolgálják. Ezeket a sütiket csak azután szabad elhelyezni a látogató eszközén, hogy a hozzájárulását ténylegesen megadta — a banner megjelenése önmagában nem elég.
A hozzájárulásnak granulárisnak is kell lennie: a látogató kategóriánként (statisztika, marketing) dönthessen, és az elutasítás legyen ugyanolyan egyszerű, mint az elfogadás. Az a banner, amelyen csak »Elfogadom« gomb van, vagy ahol az elutasítás többlépcsős kattintgatást igényel, a felügyeleti hatóságok gyakorlata szerint nem felel meg a szabályoknak. A megadott hozzájárulás bármikor visszavonható kell legyen, jellemzően egy állandóan elérhető cookie-beállítások linken keresztül.
A foglalási adatok nem cookie-kérdés: külön jogalapon állnak
Gyakori félreértés, hogy a cookie-hozzájárulás »letudja« a GDPR-t. Valójában a foglaláskor megadott név, elérhetőség és időpontadatok kezelése a sütiktől független adatkezelés, amelynek saját jogalapja van: jellemzően a szerződés teljesítése (maga a foglalás és a szolgáltatásnyújtás), az emlékeztetők esetében szintén a szerződéshez kapcsolódó jogalap, a marketing célú megkereséshez viszont külön hozzájárulás kell.
Ezért a foglalási oldalhoz két, jól elkülönülő dokumentum tartozik: a cookie-tájékoztató (amely a sütikről szól) és az adatkezelési tájékoztató (amely a foglalási adatok kezelését írja le: célok, jogalapok, megőrzési idők, adatfeldolgozók, érintetti jogok). Az idopontok.hu mint a foglalási rendszer szolgáltatója adatfeldolgozóként jelenik meg a vállalkozás tájékoztatójában — az adatkezelő maga a szolgáltató vállalkozás marad.
Így nézzen ki a szabályos megvalósítás a gyakorlatban
A szabályos cookie-banner az első betöltéskor jelenik meg, röviden elmagyarázza a sütik célját, és három egyenrangú lehetőséget kínál: mindent elfogad, mindent elutasít (a szükségeseken kívül), illetve részletes beállítás kategóriánként. A hozzájárulás megadásáig a nem szükséges sütik nem töltődnek be, a döntést pedig a rendszer naplózza, hogy utólag igazolható legyen.
Érdemes évente felülvizsgálni, milyen sütik futnak ténylegesen az oldalon — a marketingeszközök cserélődésével a cookie-tájékoztató könnyen elavul. Ha a foglalási oldalon harmadik féltől származó eszközt (analitikát, remarketing kódot) használunk, azt mindig vegyük fel a tájékoztatóba. Összetettebb esetben — például több platformon futó kampányoknál — érdemes adatvédelmi szakemberrel egyeztetni a beállításokat.
Kipróbálná az idopontok.hu-t?
Regisztráljon ingyen, és az első foglalást már ma fogadhatja.
Regisztrálok ingyenGyakori kérdések
Kell cookie-banner, ha csak szükséges sütiket használ az oldalam?
Hozzájárulást kérő banner nem kell, de tájékoztatási kötelezettség ilyenkor is van: egy elérhető cookie-tájékoztatóban írjuk le, milyen szükséges sütik működnek és mi a céljuk. A gyakorlatban ez egy egyszerű, kattintható link a láblécben.
Az »Elfogadom« gombos, elutasítási lehetőség nélküli banner szabályos?
Nem. A hozzájárulás csak akkor érvényes, ha önkéntes — ehhez az elutasításnak ugyanolyan könnyen elérhetőnek kell lennie, mint az elfogadásnak. A csak elfogadást kínáló vagy az elutasítást elrejtő megoldásokat a hatósági gyakorlat rendszeresen kifogásolja.
A foglaláskor megadott adatokhoz is kell hozzájárulás?
Jellemzően nem hozzájárulás a megfelelő jogalap: a foglalás teljesítéséhez szükséges adatok kezelése a szerződés teljesítésén alapul. Külön hozzájárulás akkor kell, ha az adatokat ezen túl, például hírlevélküldésre vagy marketingre is használni szeretnénk.
Mi a kockázata a szabálytalan cookie-kezelésnek?
A felügyeleti hatóság figyelmeztetést, kötelezést vagy bírságot alkalmazhat, és az ügyfelek bizalma is sérülhet. A megfelelés a fentiek szerint viszonylag egyszerűen kialakítható; összetett esetben érdemes szakemberrel egyeztetni. Ez a cikk tájékoztató jellegű, és nem minősül jogi tanácsadásnak.