Hozzájárulás előtti követés: mi az, és miért tekintik a hatóságok jogsértésnek

A hozzájárulás előtti követés szkennerünk egyik megállapítási kategóriája. Akkor jelez, ha egy friss oldalbetöltés kezdete és azon pillanat között, amikor a felhasználó bármilyen műveletet végez a hozzájárulási sávon, a böngésző egy vagy több olyan hálózati kérést küld, amely azonosítókat hordoz, nem létfontosságú analitikai adatokat tartalmaz, vagy nem létfontosságú sütiket állít be.

Ez a leggyakoribb hiba, amelyet észlelünk. A 97 000 EU-s weboldal vizsgálatában a magas kockázatú besorolások többségét a hozzájárulás előtti követés okozta, nem pedig a hiányzó sávok vagy a hibás elutasító gombok.

Mit keres a szkenner

A detektor attól a pillanattól figyeli a hálózatot, amikor a böngésző kiadja a dokumentum-kérést, három esemény egyikéig:

1. A felhasználó rákattint egy gombra a hozzájárulási sávon (elfogadás, elutasítás, beállítások).
2. Egy mérhető hozzájárulási állapot süti vagy localStorage bejegyzés íródik.
3. Lejár egy időtúllépés (alapértelmezetten 8 másodperc) bármilyen hozzájárulási jelzés nélkül.

Az ebben az ablakban induló minden kérést három jel szempontjából vizsgálunk:

• Ismert követő ujjlenyomat. A céldomain, a kérési útvonal vagy az adatcsomag mintája megegyezik a követői adatbázisunk egy bejegyzésével. Ez magában foglalja a Google Analyticset, a Meta Pixelt, a Hotjart, a LinkedIn Insightot, a TikTok Pixelt, az X konverziós pixeleit és sok mást.
• Azonosítót hordozó adatcsomag. A kérés egy stabil ügyfél-azonosítót (sütit, ujjlenyomat-hasht vagy oldalakon át megmaradó query paramétert) hordoz.
• Nem létfontosságú süti írása. A válasz olyan sütit állít be, amely besorolás szerint nem feltétlenül szükséges a webhely funkcionalitásához.

Ezek bármelyike elég a megállapítás kiváltásához. Mindhárom együtt a tipikus mintázat egy olyan Google Tag Manager konténerre, amely a hozzájárulási kapu előtt indul.

A jogi keret röviden

Nem vagyunk az ön ügyvédje. A puszta tények:

• GDPR Art. 6(1)(a) érvényes jogalapot követel meg a személyes adatok kezeléséhez. Nem létfontosságú követők esetén ez a hozzájárulás.
• GDPR Art. 7 meghatározza, hogyan néz ki az érvényes hozzájárulás: önkéntesen adott, konkrét, tájékozott, egyértelmű és visszavonható.
• ePrivacy Directive Art. 5(3) kifejezetten megköveteli a hozzájárulást azelőtt, hogy bármilyen információt tárolnánk vagy hozzáférnénk a felhasználó terminálberendezésén lévő információhoz — vagyis sütik és hasonló azonosítók olvasása vagy írása előtt. Hogy egy adott hozzájárulás előtti hálózati kérés átlépi-e a jogsértés határát, attól függ, hogy olvas vagy ír-e információt az eszközön, hogy hordoz-e azonosítókat, és hogy „feltétlenül szükségesként" indokolható-e — ezeket a kérdéseket mérlegelik a hatóságok.

A nemzeti átültetések részleteikben különböznek. Németország TTDSG-je (most TDDDG) és Franciaország Loi Informatique et Libertés általi átültetése a CNIL végrehajtásával produkálta a leglátványosabb jogalkalmazást. Az EU-s DPAs figyelmeztettek a hozzájárulás előtti követési mintákra; a konkrét végrehajtási küszöbök joghatóságonként eltérnek. Az alapelv mindenhol ugyanaz: előbb a hozzájárulás, aztán a követő.

Mit tettek ténylegesen a hatóságok

Egy rövid, részleges idővonal olyan döntésekről, ahol a hozzájárulás előtti követés volt a központi megállapítás:

• CNIL kontra Google (2020. december): 100 millió EUR a google.fr-en előzetes hozzájárulás nélkül elhelyezett reklámsütik miatt.
• CNIL kontra Amazon Europe Core (2020. december): 35 millió EUR ugyanezen mintáért az amazon.fr-en.

Ezek nem az egyetlen esetek — ezek a teherviselők. A bennük lévő minta következetes: a hatóság megmérte a hálózati viselkedést, és a technikai valóságot tekintette döntőnek, függetlenül a szabályzat szövegétől.

A leggyakrabban ezt okozó szkriptek

Nagyjából abban a sorrendben, ahogy magas kockázatú szkenneléseken a fő okként látjuk őket:

• Google Tag Manager konténerek hozzájárulási mód kapuk nélkül konfigurálva, vagy a hozzájárulási mód úgy beállítva, hogy az alapértelmezett állapot „megadott".
• Meta Pixel közvetlenül <script src>-en keresztül betöltve, ahelyett hogy egy hozzájárulási visszahívás mögé lenne kapuzva.
• Hotjar munkamenet-rögzítés a sáv elutasítása előtt elindulva.
• LinkedIn Insight B2B retargetinghez, különösen ügynökségi és SaaS oldalakon.
• TikTok Pixel fogyasztói e-kereskedelemben.
• Olyan saját analitikai megvalósítások, amelyek navigator tulajdonságokat olvasnak vagy ujjlenyomat sütiket állítanak be bármilyen felhasználói művelet előtt.

A közös tényező szinte soha nem maga a szkript — hanem a telepítés. Mindezen szállítók közzétesznek egy dokumentált módot a hozzájárulási jelzésre kapuzáshoz; az alapértelmezett telepítési útmutatók azonban gyakran nem említik ezt.

Hogy néz ki egy tiszta szkennelés

Egy webhely, amely átmegy a hozzájárulás előtti ellenőrzésünkön, az alábbiak egyikét teszi:

1. Egyáltalán nem tölt be harmadik féltől származó követést, amíg meg nem adják a hozzájárulást. A funkcionális sütik (munkamenet, nyelvi preferencia, CSRF) rendben vannak.
2. Tag manager-t „elutasított" állapotban tölt be, minden nem létfontosságú címkével explicit hozzájárulási jelzések mögé kapuzva, és az állapotot a Google Consent Mode v2-n vagy egy egyenértékű mechanizmuson keresztül frissíti, miután a felhasználó cselekedett.
3. Olyan követő csonkokat tölt be, amelyek nem továbbítanak azonosítókat, amíg a hozzájárulási jelző be nem áll.

A 2026 Q1-es 97 000 EU-s webhelyből álló korpuszunkban 68% rendelkezett aktív követési szolgáltatással bármilyen hozzájárulási döntés előtt. A hozzájárulás előtti ellenőrzésen átmenő webhelyek kisebbsége hasonló profilú: a hozzájárulás előtti ablakban a hálózatot maga a dokumentum, CSS és betűtípus fájlok, valamint egy favicon uralja — semmi, ami azonosítót vinne le az eszközről.

Hogyan javítsuk

A őszinte változat: nincs rövidítés. Minden címkét ellenőrizni kell arra nézve, hogy a hozzájárulási jelzés beállítása előtt indul-e. A gyakorlatban működő lépések:

1. Nyissa meg a webhelyet egy tiszta böngészőprofilban, nyitott fejlesztői eszközökkel.
2. Szűrje a hálózatot „harmadik fél"-re, és töltse újra.
3. Bármi, ami azelőtt indul, hogy egy sávgombot kattintana, jelölt.
4. Minden jelölthöz keresse meg a betöltőt (általában egy script tag, egy tag manager trigger vagy egy beágyazott részlet), és kapuzza a hozzájárulási jelzésre.
5. Tesztelje újra. Ismételje, amíg a hozzájárulás előtti ablak üres lesz a követőktől.

Ha hozzájárulás-kezelő platformot használ, a platform „hozzájárulásig blokkol" módja szükséges, de nem elégséges — sok CMP csak a süti írást blokkolja, nem a kérést. Az ePrivacy Directive Article 5(3)-a hozzájárulást követel meg azelőtt, hogy információt tárolnánk vagy hozzáférnénk a felhasználó eszközén lévő információhoz (sütik, helyi tárolás, hasonló azonosítók). Hogy egy adott hozzájárulás előtti hálózati kérés kiváltja-e ezt a kötelezettséget, attól függ, mit olvas vagy ír a kérés az eszközre — ez ténykérdés.

A saját domainjén kidolgozott példáért futtasson egy szkennelést, és nézze meg a jelentés „hozzájárulás előtti hálózat" panelját. Minden vétkes kérés szerepel a kezdeményező veremmel, így visszavezetheti a forrásfájlra a kódbázisában.