Szeptember elején egy precedens értékű határozatot hozott meg a francia adatvédelmi hatóság: a Shein írországi leányvállalatát büntette meg a sütikre és a felhasználói hozzájárulásra vonatkozó szabályok súlyos megsértése miatt. A határozat messze túlmutat az egyedi bírságon és figyelmeztet: a sütikre vonatkozó adatvédelmi rendelkezéseket komolyan kell venni. A Jalsovszky Ügyvédi Iroda szakértője vonja le a tanulságokat.

A francia eset

A francia adatvédelmi hatóság 2023 augusztusában végzett ellenőrzést a kínai internetes kereskedő, a Shein sütikezelési gyakorlatával kapcsolatosan. Ennek eredményeként, 2025. szeptember 1-jén a vállalkozásra egy jelentős, 150 millió eurós bírságot szabott ki. A vizsgálat több jogsértést is feltárt a Shein sütihasználatával és a felhasználók hozzájárulásának megszerzésével (vagy inkább meg nem szerzésével) összefüggésben:

  • Egyes sütik – köztük hirdetési és nyomkövető sütik – már a weboldal megnyitásának pillanatában a felhasználók eszközeire kerültek, még mielőtt bárki interakcióba léphetett volna a sütikre vonatkozó hozzájárulás rögzítésére szolgáló ún. süti-panellel.
  • Bizonyos sütik akkor is beolvasásra kerültek, ha a látogatók kifejezetten elutasították a sütiket az „Összes elutasítása” opcióval, vagy később visszavonták hozzájárulásukat, sőt, egyes esetekben új sütik is települtek.
  • Maga a süti-panel sem adott elegendő tájékoztatást a sütik céljairól, különösen a hirdetési célúakról, és nem azonosította világosan az érintett harmadik feleket sem.

A bírság megállapításakor a hatóság hangsúlyozta, hogy a Shein rendelkezett a megfelelés biztosításához szükséges technikai és emberi erőforrásokkal, mégis gondatlanul járt el. A jogsértés mértéke is nagy súllyal esett latba: a Shein webhelye havonta körülbelül 12 millió független látogatót vonzott Franciaországban.

A 150 millió eurós büntetés a cégcsoport 2023-as európai bevételeinek körülbelül 2%-át teszi ki, ami világosan jelzi, hogy a hasonló méretű és hasonló mennyiségű fogyasztót elérő vállalatok számára a nem megfelelés komoly pénzügyi kockázattal jár.

Itthon is számíthatunk rá?

A döntéssel a francia hatóság egyértelmű üzenetet küldött:

a sütiszabályok betartása nem mellékes kérdés, hanem alapfeltétele a digitális térben való működésnek.

A döntés rávilágít arra, hogy

nem elegendő egyszerűen csak egy „Összes elutasítása” gombot vagy beállítási panelt biztosítani – ezeknek a lehetőségeknek a gyakorlatban is működniük kell.

Egyúttal azt is jelzi, hogy a hatóság túlmegy a látszólag rendben lévő sütibeállítások kipipálásán, és benéz a felszín alá: a beállítások mögöttes működését is vizsgálja.

„A döntés már csak azért is releváns az itthoni piacra, mert a sütik tárolására és felhasználására vonatkozó magyar szabályok teljes mértékig megfelelnek azon EU-s szabályoknak (ePrivacy Irányelv, GDPR), amely alapján a francia hatóság is eljárt. Azaz a Shein által alkalmazott gyakorlat szinte bizonyosan nem felelt volna meg a magyar szabályozásnak sem. Ez pedig azt vetíti előre, hogy hasonló ellenőrzések a magyar hatóságok gyakorlatában is előkerülhetnek és nem elképzelhetetlen a Shein-re kiszabott bírsággal összemérhető mértékű szankció alkalmazása sem” – mondja Sill Abigél, a Jalsovszky csoportvezető ügyvédje.

Merre tovább sütiszabályok?

Az utóbbi években számos kritika és támadás érte a sütikre vonatkozó európai uniós szabályrendszert. A Bizottság ezért jelezte, hogy fontolóra veszi a vállalatok sütihasználattal kapcsolatos terheinek csökkentését, és hogy a jövőben a vonatkozó uniós jogszabályok az egyszerűbb, azonnali megoldások felé fordulhatnak – például a hozzájárulás megjelenítésének javítása és a webhelyenkénti panelek helyett a böngészőszintű süti-hozzájárulási beállításokra való áttérés útján. Ez a jövőben olyan letisztultabb mechanizmusokhoz vezethet, amelyek lehetővé teszik, hogy a felhasználók egyszer adják meg preferenciáikat, ahelyett, hogy minden látogatott oldalon újra és újra felugró panelekkel találkozzanak.

Noha ezek a reformok idővel átformálhatják a megfelelési környezetet és csökkenthetik a vállalatok adminisztratív terheit, jelenleg továbbra is az ePrivacy Irányelv és a GDPR alkotják az irányadó jogi keretet, és a nemzeti hatóságok teljes hatáskörrel rendelkeznek a szabályok betartatására. Amíg tehát új jogalkotási megoldások nem születnek, addig a Shein-ügy figyelmeztetésül szolgál minden digitális szolgáltatónak:

az érvényes hozzájárulás, az érdemi átláthatóság és a felhasználói választás tiszteletben tartása nem opcionális extrák, hanem az uniós jog által előírt alapvető kötelezettségek.

„Aki ezeket nem tartja tiszteletben, olyan hatósági fellépésre számíthat, amely a cég bevételéből komoly darabot haraphat ki” – figyelmeztet a Jalsovszky szakértője.

Sill Abigél, a Jalsovszky csoportvezető ügyvédje: