GDPR-megfelelő webshop 2026 · checklist magyar üzlettulajdonosoknak

A NAIH 2024 óta egyre szigorúbban ellenőrzi a magyar webshopokat. 2026-ra a tipikus első bírság már 3-15 millió Ft, és az ismétlődő hibákért az éves árbevétel 4%-áig is mehet. Ez a checklist 12 pontban megmutatja, mit kell rendben tartanod — és melyik 3 hibát szúrja ki a NAIH először.

Az alapok (1-4)

1. Adatkezelési tájékoztató — magyar nyelven, könnyen elérhető, lábléc-linkből egy kattintással. Tartalmazza: ki az adatkezelő (cégnév, cím), milyen adatot gyűjtesz, mire használod, meddig tárolod, kinek továbbítod (Stripe, Mailchimp, GLS), és az érintetti jogokat.
2. Sütibanner — TTDSG-igazítva, tehát a banner nélkül NEM mehet sem analitikai, sem marketing süti. Az „Elfogadom” és „Elutasítom” gomb egyforma méretű és súlyú legyen. „Beállítások” link a részletes opciókhoz.
3. Hozzájárulás-napló — minden hozzájárulást rögzíteni kell (időpont, IP, böngésző-fingerprint, kategóriák). Egy NAIH-ellenőrzéskor ezt kérik először.
4. Lemondási folyamat — minden marketing email-ben egy kattintásra lehessen leiratkozni. A kérést 30 napon belül kell teljesíteni.

Adatfeldolgozók (5-7)

1. Adatfeldolgozó-nyilvántartás (Art. 30) — készítsd el. Lista mindenkiről, akinek a vásárlóid adatát továbbítod: Stripe, Mailchimp, Google Analytics, Facebook Pixel, GLS, MPL, Foxpost, üzemeltető. Mindegyiknél: szerződés (DPA) van-e, EU-n belül van-e az adat.
2. Adatfeldolgozói szerződés (DPA) — minden szállítónál legyen alá. Stripe, Mailchimp, AWS, Google Cloud mind biztosít sablont. Ha hiányzik, NAIH azt mondja, jogalap nélkül továbbítasz adatot.
3. USA-tárolás kockázata — Google Analytics, Mailchimp, sok SaaS USA-ba küld adatot. Ehhez Standard Contractual Clauses (SCC) + Transfer Impact Assessment (TIA) kell. Ha nincs, a NAIH azonnali megszüntetést követelhet.

Érintetti jogok (8-10)

1. Hozzáférési jog — ha valaki kéri, 30 napon belül adj exportot az összes adatáról. Manuálisan időigényes — automata exportőr 1-2 napot megspórol.
2. Törlési jog (right to be forgotten) — ha valaki kéri, töröld minden rendszerből (CRM, hírlevél, könyvelés-rendszer, backup). A törölt vásárló nem fogja látni a saját rendelési előzményét — ezt írásban kell vele közölni.
3. Helyesbítési jog — hibás adatot kérésre javítani kell. Engedd meg a vásárló-fiókban szerkeszteni; ha nem lehet, írásos kérelemre 30 napon belül.

Speciális kategóriák (11-12)

1. Kiskorúak — 16 év alatti vásárlót csak szülői hozzájárulással szolgálj ki. Ha a webshopod célközönsége gyerek (játék, oktatás), kötelező.
2. Adatvédelmi tisztviselő (DPO) — Magyarországon legtöbb webshopnál nem kötelező, de ha rendszeres és nagyszámú adatot kezelsz (50 ezer+ vásárló) vagy különleges adatkategóriát (egészség, vallás, etnikum), igen.

A 3 hiba, amit a NAIH először szúr ki

1. Sütibanner, ami csak „Elfogadom” gombot ad — vagy az „Elutasítom” rejtett. Tipikus 3-5 millió Ft bírság az első ellenőrzéskor.
2. Adatkezelési tájékoztató angolul, vagy túl rövid (1-2 bekezdés). Magyarul, részletesen kell — minimum 8-10 oldal.
3. Google Analytics SCC nélkül. Ez 2024-ben már egyértelmű volt; 2026-ra a NAIH ezt kemény hibának tekinti. Vagy szerver-oldali GA-t használj, vagy EU-régiós alternatívát (Plausible, Fathom, saját megoldás).

Reális költségek a megfelelőséghez

GDPR-átvilágítás meglévő webshopnál: 800 000 – 2 400 000 Ft, 2-4 hét. Ez magában foglalja az adatkezelési tájékoztató megírását, sütibanner beállítását, DPA-aláírások összeszedését, hozzáférési-export automatizálást, törlési-folyamat építését. Évi karbantartás: 200 000 – 500 000 Ft.

Tovább

Ha bizonytalan vagy, GDPR-megfelelő-e a webshopod: foglalj egy 30 perces hívást — átnézzük az aktuális állapotot és kapsz egy írásos kockázat-térképet.