GDPR-megfelelés egy KKV-weboldalon — 2026-os minimum

A 2018-as GDPR-rel sok KKV csinált „valamit" — másoltak egy adatkezelési tájékoztatót egy weboldalról, betettek egy cookie sávot, és „kész". 2026-ban már nem ez a helyzet — egyrészt a NAIH aktívabb, másrészt az ügyfelek is figyelmesebbek.

Miért érdemes most rendezni?

A GDPR-büntetés elméletileg az éves árbevétel 4%-áig terjedhet, de a magyar valóságban a NAIH általában 100.000 – 5.000.000 Ft tartományban dolgozik KKV-knál. Mégis sokkal rosszabb a következmény: egy ügyfél bejelenti a céget, és három évig elhúzódik az eljárás.

A jó hír: a teljes rendrakás egy KKV-weboldalon 1-2 nap munkát igényel.

1. Adatkezelési tájékoztató — frissítve

A sablon-letöltött tájékoztató mára elavult. 2025-ben több ítélet is kimondta, hogy a „túl általános" tájékoztató nem felel meg a GDPR átláthatósági elvének. Ami minimum kell:

• Az adatkezelő pontos neve, címe, elérhetősége
• Mit gyűjtesz konkrétan (technikai adatok, cookie-k, GA4, kontakt-form adatok)
• Miért gyűjtöd (jogalap: hozzájárulás, jogos érdek, szerződés, jogi kötelezettség)
• Meddig tartod meg
• Kinek adod át (tárhely, GA, Google Ads, esetleg CRM)
• Hova fordulhat a látogató (NAIH + bíróság)

2. Cookie banner — működő, nem dekoráció

A legtöbb hibásan beállított cookie banner úgy működik, hogy a Google Analytics már a banner megjelenése előtt elindul. Ez explicit GDPR-sértés.

Helyesen: a banner megjelenik a látogatáskor, és az analitikai/marketing scriptek csak az elfogadás után aktiválódnak. Ha „csak szükségeseket" választ, csak a működéshez kellő cookie-k aktívak.

3. Hozzájárulás-naplózás

Ha bejelentés érkezik a NAIH-hoz, igazolnod kell hogy az adott látogató elfogadta a cookie-kat. Ehhez naplót kell vezetni: timestamp, milyen verziójú tájékoztatót fogadott el, IP-anonimizált formában. A jobb cookie banner-megoldások ezt automatikusan csinálják.

4. Kontakt-űrlap GDPR-megfelelés

• Checkbox „elfogadom az adatkezelést" (alapból NEM bekattintva)
• Link az adatkezelési tájékoztatóra
• Csak a szükséges mezőket kérd (név + email + üzenet általában elég)
• Honeypot vagy CAPTCHA bot ellen
• A formról jövő adatokat ne tárold tovább mint szükséges (jellemzően 6-12 hónap)

5. IP-anonimizáció a GA-ban

A Google Analytics 4-ben az IP-anonimizáció alapból be van kapcsolva, de érdemes verifikálni. Az IP a GDPR szerint személyes adat — anélkül a teljes GA-használat jogalapja megkérdőjelezhető.

6. Tárhelyszolgáltató — EU-n belül

Az adataid hol tárolódnak fizikailag? Ha EU-n kívül (pl. amerikai szerveren), külön „adattovábbítási garanciák" kellenek a tájékoztatóba. A legegyszerűbb megoldás: válassz EU-s (lehetőleg magyar) tárhelyet — pl. Rackforest.

7. Joggyakorlás — honnan kéri az érintett

A látogató jogosult tájékoztatást kérni hogy mit tárolsz róla, kérheti a törlést, helyesbítést. Az adatkezelési tájékoztatóban legyen pontos email-cím vagy űrlap, ahol ezt megteheti. A jogos kérelemre 30 napon belül válaszolni kell.

NAIH leggyakoribb kifogásai 2024-2025-ben

1. „Cookie-k a banner előtt is futnak" — automatikus elindítás GA-ra
2. „Az érintett jogai nincsenek konkrétan leírva" — csak „GDPR-t betartjuk" szöveg
3. „A tájékoztató olvashatatlan" — túl jogi, túl hosszú, nem világos
4. „A tárhely-szolgáltató nincs megnevezve" — kötelező feltüntetni
5. „Kontakt-formról jövő adatok nincsenek korlátozva időben" — vagy örökké tárolja a cég, vagy nincs meghatározva

Mit ne csinálj

• Ne másold át a tájékoztatót másik cégtől szóról szóra — azonosíthatóan más cég adataival
• Ne használd a „minket nem érint" mentalitást — minden weboldal, ami EU-s látogatókat fogad, GDPR alá esik
• Ne ígérj 100%-os anonimitást — ez hamis, és csapdát rejt

Webpole megközelítés

Minden webpole-os weboldalon alapból megvan: GDPR-tájékoztató, cookie banner consent-naplózással, IP-anonim GA4, magyar tárhely (Rackforest). Ha az aktuális oldaladat akarod ellenőriztetni — 1-2 órás átnézés, írásos jelentéssel mit kell javítani. Írj és megbeszéljük.