GDPR Webshop: 7 Hiba, Amit a NAIH Megnézi

← Blog E-kereskedelem Biztonság
10 perc olvasás
Frissítve: 2026. május 8.
WebLegal Team

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) évente több tucat határozatot hoz magyar webáruházakkal szemben, és az átlagos bírság összege az elmúlt két évben közel megduplázódott. Ennek strukturális oka van: a webshopok hatalmas mennyiségű személyes adatot gyűjtenek (fizetési adatok, címek, vásárlási előzmények), miközben jogi szempontból gyakran kevésbé felkészültek, mint a nagy platformok. Ennek eredményeként az e-commerce minden évben a NAIH éves ellenőrzési programjának élén szerepel — a Telekom, az eMag, a Wizz Air vagy a Kifli korábbi adatvédelmi incidensei jól illusztrálják, milyen gyorsan eszkalálódhat egy probléma.

Ha online áruházat üzemeltetsz, az alábbi hét hiba az, ami leggyakrabban kerül a NAIH prioritási listájára. Ez a cikk minden hibát részletez a pontos jogszabályi hivatkozásokkal és konkrét javítási lépésekkel együtt. Kezdd azzal, hogy ingyenes megfelelőségi szkennerrel auditálod a webshopodat, hogy azonosítsd a hiányosságokat, majd kövesd a GDPR megfelelőség 10 lépéses tervét a javításhoz.

Miért célozza a NAIH kifejezetten az e-commerce szektort

A NAIH és más európai adatvédelmi hatóságok minden évben tematikus ellenőrzési programot tesznek közzé. 2022 óta az e-commerce minden évben szerepel a listán, az egészségügyi technológia és a direkt marketing mellett. Az okok strukturálisak.

Adatmennyiség: egy átlagos webáruház ügyfelenként 30+ adatkategóriát gyűjt (személyazonosság, fizetés, böngészési viselkedés, preferenciák, geolokáció). Tízezres ügyfélkörrel megszorozva ez jelentős kitettséget jelent.

Felhasználói út nyomonkövethetősége: harmadik féltől származó sütik, hirdetési pixelek, retargeting, marketing automatizáció — minden további eszköz gyengíti a hozzájárulási keretet.

Adatfeldolgozói lánc bonyolultsága: a tárhelyszolgáltató, a platform (Shopify, WooCommerce, PrestaShop), a fizetési szolgáltató, az e-mail marketing eszköz és bármely scoring vagy analitikai megoldás között egy átlagos webshop 8-15 olyan alfeldolgozóra támaszkodik, amelyek személyes adatokhoz férnek hozzá. A nyilvántartás ritkán naprakész.

Nemzetközi adattovábbítások: Google Analytics, Mailchimp, Stripe, AWS — sok USA-ban tárolt szolgáltatás specifikus szerződéses biztosítékokat igényel (általános szerződési feltételek, Schrems II utáni kiegészítő intézkedések).

1. hiba: Sütik érvényes, kifejezett hozzájárulás nélkül

Ez a leggyakoribb hiba — és kívülről is a legkönnyebben észlelhető. NAIH audit-trigger: a hatóság rendszeresen indít hivatalból eljárást olyan webshopok ellen, ahol egyszerű látogatás során automatikus reklámsütik települnek. Egy süti banner csak akkor felel meg az Európai Adatvédelmi Testület iránymutatásainak, ha kumulatívan teljesíti a következő három feltételt:

  • Szabad hozzájárulás: a visszautasításnak ugyanolyan egyszerűnek kell lennie, mint az elfogadásnak. Egy “Mindent elfogad” gomb egyenértékű “Mindent elutasít” gomb nélkül szabálysértés.
  • Konkrét hozzájárulás: célonként (hirdetés, közönségmérés, személyre szabás), nem globálisan.
  • Előzetes hozzájárulás: semmilyen harmadik féltől származó süti nem helyezhető el a felhasználó kattintása előtt.

A NAIH 2022-2024 között több magyar webshopot is figyelmeztetett vagy bírságolt ilyen okból, jellemzően 500 000 Ft és 30 millió forint közötti összegekkel — a kkv-szektorban a NAIH gyakran először formális figyelmeztetést ad ki határidővel.

A megoldás: telepíts megfelelő süti bannert, amely automatikusan blokkolja a trackereket a hozzájárulás előtt. Az ingyenes WebLegal süti banner automatikusan blokkol több mint 37 trackert, és tiszteletben tartja az EU-s süti iránymutatásokat, valamint a Google Consent Mode v2-t. Részletesebben lásd a Cookie szabályzat: szabályok és szankciók cikket.

2. hiba: Általános vagy hiányzó adatvédelmi szabályzat

A NAIH által elmúlt években ellenőrzött magyar webshopok jelentős részénél hiányzott a megfelelő adatvédelmi tájékoztató. A leggyakoribb hiányosságok:

  • Más oldalról másolt szövegek a tényleges adatkezelés átvétele nélkül.
  • Megőrzési idők adatkategóriánként nincsenek meghatározva.
  • Az adatfeldolgozói lista hiányzik vagy elavult.
  • Az adatkezelés jogalapjai nincsenek meghatározva (hozzájárulás, szerződés, jogos érdek, jogi kötelezettség).

NAIH audit-trigger: a hatóság gyakran az érintett bejelentése alapján vizsgálja az adatvédelmi tájékoztató tartalmát. A GDPR 13. cikke 12 konkrét tájékoztatási elemet ír elő, amelyeket az érintettnek közvetlenül történő adatgyűjtéskor át kell adni. Bármelyik elhagyása jogsértés — még akkor is, ha az oldal egyébként biztonságos.

A megoldás: készíts olyan adatvédelmi szabályzatot, amely megfelel a tényleges működésednek. Kerüld a generikus sablonokat. A kötelező elemek teljes listájáért lásd a Kötelező adatvédelmi szabályzat: kockázatok és bírságok útmutatónkat.

3. hiba: Hiányos impresszum (jogi tájékoztató)

A magyar e-commerce oldalakon a jogi tájékoztatást az elektronikus kereskedelmi törvény (Ektv. 4. §) és a fogyasztóvédelmi szabályozás határozza meg. A kötelező elemek jellemzően:

  • Az eladó azonossága (név, cégnév, jogi forma)
  • Székhely és professzionális e-mail cím
  • Telefonszám
  • Cégjegyzékszám és törzstőke jogi személy esetén
  • Adószám / közösségi adószám
  • A kiadó azonossága
  • Tárhelyszolgáltató adatai

NAIH audit-trigger: bár a hiányzó impresszum elsődlegesen a fogyasztóvédelem (GVH/Békéltető Testület) és a Nemzeti Média- és Hírközlési Hatóság hatáskörébe tartozik, a NAIH rendszeresen kéri ezeket az adatokat ellenőrzéskor a felelős adatkezelő azonosításához. Magyarországon az Ektv. szerinti hiányosság miatt a fogyasztóvédelem első körben jellemzően 100 000 Ft – 500 000 Ft közötti bírságot szabhat ki, ismétlődő jogsértés esetén ennél lényegesen többet.

4. hiba: EU-n kívüli adattovábbítás biztosítékok nélkül

A Schrems II ítélet (2020. július) óta minden olyan adattovábbítás, amely az Egyesült Államokba (és más megfelelőségi határozat nélküli országokba) irányul, specifikus biztosítékokkal kell, hogy keretezett legyen:

  • Általános szerződési feltételek (SCC), 2021. júniusi változat — a korábbi verziók 2022. december 27-én érvényüket vesztették.
  • Dokumentált adattovábbítási hatásvizsgálat (TIA).
  • Kiegészítő intézkedések, ahol az SCC önmagában nem elegendő (titkosítás, álnevesítés).

Érintett, gyakori e-commerce eszközök:

SzolgáltatásKockázatTeendő
Google Analytics 4Több európai adatvédelmi hatóság (CNIL, Garante, AEPD) szankcionálta 2022-2023-banIP-anonimizálás + Consent Mode v2 bekapcsolása, vagy migráció Matomo / Plausible irányába
MailchimpUSA tárhelySCC + éves audit, vagy EU-s alternatíva (Brevo, Mailjet)
StripeRészleges USA tárhelySCC alapértelmezetten aktív, verzió ellenőrzése
AWS / GCPRégiófüggőElőnyben részesítendő: eu-west-* / europe-west-*

NAIH audit-trigger: a NAIH 2022 óta többször jelezte, hogy ellenőrzi a Google Analytics implementációkat magyar weboldalakon. A megoldás: vedd számba az alfeldolgozóidat, ellenőrizd az SCC-ket, és fontold meg az európai alternatívákat a nem kritikus eszközök esetében.

5. hiba: Adatfeldolgozók adatfeldolgozási megállapodás nélkül

A GDPR 28. cikke írásbeli szerződést — adatfeldolgozási megállapodást (DPA) — ír elő az adatkezelő (te) és minden olyan adatfeldolgozó között, amely hozzáfér az ügyfeleid személyes adataihoz. A szerződésnek 9 kötelező záradékot kell tartalmaznia: tárgy, időtartam, célok, adattípusok, feldolgozói kötelezettségek, adatkezelői jogok, EU-n kívüli továbbítások, alfeldolgozás, megbízás megszűnésére vonatkozó záradékok.

A nagy platformok (Shopify, Stripe, AWS, Mailchimp) szabványos, online aláírható adatfeldolgozási megállapodást biztosítanak. A csapda: ezt ténylegesen alá kell írni és archiválni a másolatot.

NAIH audit-trigger: a NAIH ellenőrzéskor szisztematikusan elkéri ezeket a megállapodásokat. Egyetlen alfeldolgozóhoz tartozó DPA hiánya elegendő lehet a formális figyelmeztetéshez.

A megoldás: tarts fenn alfeldolgozói nyilvántartást, amely minden bejegyzéshez tartalmazza: a kezelt adattípusokat, a tárhely országát, a DPA aláírásának dátumát, és linket az archivált szerződéshez. Frissítsd minden új eszköz hozzáadásakor.

6. hiba: Nincs eljárás az érintetti jogokra

A GDPR hét érvényesíthető jogot biztosít az ügyfeleknek: hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság, tiltakozás, és az automatizált döntéshozatallal kapcsolatos jogok (15-22. cikkek). A vállalatnak egy hónapon belül kell válaszolnia (komplex kérelmek esetén három hónapra hosszabbítható).

A gyakorlatban a NAIH rendszeresen az alábbi hiányosságokat azonosítja:

  • Nincs dedikált e-mail cím a kérelmekhez (egy általános kapcsolati e-mail nem elegendő).
  • Nincs dokumentált belső eljárás — a kérelmek késnek vagy elfelejtődnek.
  • Hiányos válaszok: például egy hozzáférési kérelemre a vállalat ügyfélfiók-exportot küld, de elfelejti a belépési naplókat, az archivált fizetési adatokat vagy a beérkezett marketing e-maileket.
  • Nincs személyazonosság-ellenőrzés a kérelmező számára, vagy fordítva, túlzott követelések (rendszeres személyi igazolvány másolat).

NAIH audit-trigger: az érintetti jogok megsértése a magyar bírságok egyik leggyakoribb oka. A megoldás: hozz létre egy dpo@oldalad.hu vagy adatvedelem@oldalad.hu címet, dokumentáld a belső folyamatot (ki kapja, ki validálja, ki válaszol, milyen határidővel), és ellenőrizd a csapatod képzési ütemezését.

7. hiba: Adatvédelmi incidens nem jelentve 72 órán belül

A GDPR 33. cikke 72 órán belüli bejelentést ír elő a NAIH-hoz az adatvédelmi incidensről, kivéve, ha az nem valószínűsít kockázatot a természetes személyek jogaira és szabadságaira. Ha a kockázat magas, a 34. cikk az érintett ügyfelek egyéni értesítését is előírja.

A leggyakoribb e-commerce incidensek:

  • Ügyféladatbázis-szivárgás export hiba miatt (rossz nyilvános URL).
  • Jogosulatlan hozzáférés admin fiók kompromittálódását követően.
  • Adatlopás SQL injection vagy XSS révén.
  • Tömeges e-mail hiba (e-mail mellékletként ügyféladatbázis).

NAIH audit-trigger: a NAIH rendszeresen megállapítja, hogy webshopok ismeretlenség vagy reputációs kár félelme miatt nem jelentenek határidőn belül. Ez súlyosbító körülmény: a szankciók ekkor lényegesen súlyosabbak, mint egy kezdetben kisebb, de időben jelentett incidens esetén.

A megoldás: készíts elő bejelentési protokollt (NAIH részére sablonlevél, felelős csapat, incidensnyilvántartás). A NAIH saját online bejelentő űrlapot biztosít a naih.hu honlapon.

Megelőzési checklist: hogyan kerüld el a NAIH ellenőrzést

A fenti hét hiba a legtöbb kkv esetében egy hét alatt javítható. Az ajánlott sorrend:

  1. 1. nap: a meglévő beállítás auditálása automatizált megfelelőségi szkennerrel a publikus hibák azonosításához (sütik, jogi tájékoztató, adatvédelmi szabályzat).
  2. 2. nap: jogi dokumentumok generálása vagy frissítése (adatvédelmi szabályzat, jogi tájékoztató, ÁSZF) specializált eszközzel — lásd a 4 kötelező jogi dokumentum minden webshopnak cikkünket.
  3. 3. nap: megfelelő, automatikus blokkolással ellátott süti banner telepítése.
  4. 4. nap: alfeldolgozók számbavétele és DPA-k ellenőrzése.
  5. 5. nap: dedikált jogkérelem-e-mail létrehozása + belső folyamat dokumentálása.
  6. 6-7. nap: incidens-bejelentési protokoll előkészítése és csapat képzése.

GYIK

A NAIH véletlenszerűen ellenőriz, vagy csak panasz alapján?

Mindkettő. Az ellenőrzések többsége panaszt követ (ügyfél, versenytárs, érdekvédelmi szervezet). A többi éves tematikus ellenőrzés (e-commerce, egészségügy, közszektor) vagy követő ellenőrzés egy korábbi formális figyelmeztetés után.

Mennyi az átlagos bírság egy magyar kkv webshopra 2026-ban?

Kkv-knál (árbevétel < 1,5 milliárd Ft) a tipikus tartomány 200 000 Ft – 5 millió Ft. Közepes vállalatoknál 5 millió Ft – 50 millió Ft. A több százmillió forintos szankciók főként nagy platformokra vagy szándékos jogsértésekre vonatkoznak.

Szükségem van adatvédelmi tisztviselőre (DPO) egy webshophoz?

Nem mindig. DPO akkor kötelező, ha nagy léptékben kezelsz adatokat (GDPR 37. cikk). Egy általános webshop évi 50 000 ügyfél alatt jellemzően nem igényel külön DPO-t, de érdemes belső GDPR felelőst kijelölni. Évi 100 000 ügyféltől, vagy ha különleges adatkategóriákat (egészségügyi adat, titkosítatlan banki adat) kezelsz, DPO szükséges.

Honnan tudom, hogy a Google Analytics megfelelő-e?

Három pont: (1) IP-anonimizálás bekapcsolva, (2) Consent Mode v2 csatlakoztatva a süti bannerhez, (3) adatfeldolgozási megállapodás aláírva a Google-lel. Ha bármelyikben bizonytalan vagy, fontold meg a Plausible-t vagy a Matomot, amelyek alapértelmezetten megfelelőek.

Mit tegyek, ha ma adatvédelmi incidenst fedezek fel?

Sorrendben: (1) szigeteld a szivárgást (kompromittált jelszavak rotálása, rendszer izolálása), (2) értékeld az érintettekre vonatkozó kockázatot (ki, hány fő, milyen adatok), (3) jelentsd be a NAIH-nak 72 órán belül online űrlapon keresztül, ha valós kockázat áll fenn, (4) ha a kockázat magas, egyenként értesítsd az érintett ügyfeleket, (5) dokumentálj mindent az incidensnyilvántartásban.

Meddig tart egy NAIH ellenőrzés?

Egy helyszíni ellenőrzés egy-két napig tart. Az utána következő vizsgálati szakasz hat hónaptól két évig is eltarthat a végső döntésig. Ezen időszak alatt együttműködési kötelezettséged van, és reagálnod kell a kiegészítő dokumentumkérésekre.

Mi a teendőm, ha a NAIH formális figyelmeztetést küld?

Vedd komolyan, és reagálj az adott határidőn belül (általában 30-60 nap). A figyelmeztetés még nem bírság — egy határidőre orvosolt hiányosság jellemzően lezárja az eljárást. Ha viszont nem javítod ki, a következő lépés szabálysértési bírság, amely a kkv-k esetében is gyorsan a milliós nagyságrendbe ugorhat.

A webshopod auditálása ma kevesebb mint öt percet vesz igénybe egy automatizált szkennerrel — és heteket spórolhatsz meg a bizonytalanságból egy NAIH ellenőrzés esetén. A teljes javítási folyamatért lásd a GDPR megfelelőség 10 lépéses tervét magyar webshopoknak.