Skip to main content

Закони за бисквитките по държави: Ръководство за ЕС и ЕИП

Макар Директивата за електронна поверителност и GDPR да осигуряват обща рамка в целия Европейски съюз, всяка държава членка е транспонирала Директивата за електронна поверителност в националното си законодателство със собствени нюанси. Интензитетът на прилагане, тълкуването на изключенията и размерът на глобите се различават значително от държава до държава. Това ръководство обхваща основните специфики на законите за бисквитките в дванадесет големи европейски пазара.

Таблица за бърза справка

Държава Орган Национален закон Ниво на прилагане Забележително
Германия Регионални органи за защита на данните + BfDI TTDSG (2021) Високо Децентрализирано прилагане; рамка PIMS
Франция CNIL Loi Informatique et Libertés Много високо Рекордни глоби; подробни насоки за бисквитките
Италия Garante Кодекс за поверителност (D.Lgs. 196/2003) Високо Изчерпателни насоки за бисквитките от 2021 г.
Испания AEPD LSSI-CE + LOPDGDD Умерено История с дебати за изключение за аналитика
Нидерландия AP Telecommunicatiewet Високо Строга забрана за стени за бисквитки
Белгия APD/GBA Закон за електронна поверителност (2012) Умерено Решение за IAB Europe TCF
Австрия DSB TKG 2021 Умерено-високо Ранни решения относно Google Analytics
Дания Datatilsynet Cookiebekendtgørelsen Умерено Засилено прилагане от 2022 г.
Швеция IMY LEK (2003:389) Умерено-високо Големи глоби през 2023–2024 г.
Ирландия DPC SI 336/2011 Умерено Център за големите технологични компании; критикуван за темпото на прилагане
Полша UODO Закон за телекомуникациите Умерено Нарастваща активност по прилагането
Норвегия Datatilsynet Ekomloven Умерено Член на ЕИП; следва отблизо насоките на EDPB

Германия

Орган по прилагането: Федерален комисар за защита на данните (BfDI) на федерално ниво, плюс 16 регионални органа за защита на данните (Landesdatenschutzbehörden).

Национален закон: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), който влезе в сила на 1 декември 2021 г., консолидира правилата на Германия относно бисквитките. Раздел 25 от TTDSG транспонира член 5(3) от Директивата за електронна поверителност, като изисква съгласие за съхраняване или достъп до информация на устройствата на крайните потребители, освен ако съхранението не е строго необходимо.

Основни изисквания: TTDSG изясни, че съгласието за бисквитки трябва да отговаря на стандарта на GDPR. Федералният съд на Германия (BGH) вече беше потвърдил това при прилагането на решението Planet49 (май 2020 г.), като постанови, че предварително отметнатите полета са недостатъчни. TTDSG също въведе разпоредби за признати системи за управление на лична информация (PIMS), които биха позволили на потребителите да управляват предпочитанията си за съгласие централизирано, а не на всеки уебсайт — макар че прилагащите разпоредби за PIMS се появяват бавно.

Прилагане: Децентрализираната структура на прилагане в Германия означава, че прилагането на съответствието относно бисквитките се различава по региони. Органите за защита на данните в Берлин, Хамбург и Баден-Вюртемберг са сред най-активните. Конференцията на органите за защита на данните (DSK) периодично издава съвместни позиции относно изискванията за съгласие за бисквитки.

Забележителни действия: Множество разследвания на банери за бисквитки, използващи тъмни модели, особено „подтикващи“ дизайни, при които бутонът за приемане е визуално открояващ се, докато опцията за отказ е омаловажена. Глобите обикновено са по-ниски отколкото във Франция, но активността по прилагането се увеличава стабилно от влизането в сила на TTDSG.

Франция

Орган по прилагането: Commission Nationale de l'Informatique et des Libertés (CNIL).

Национален закон: Loi Informatique et Libertés (Закон № 78-17), изменен за прилагане на Директивата за електронна поверителност. CNIL издаде изчерпателни насоки за бисквитките през септември 2020 г. с гратисен период за съответствие, приключващ на 31 март 2021 г.

Основни изисквания: Франция е най-строгият голям пазар в ЕС относно съответствието за бисквитки. Насоките на CNIL изискват: съгласие преди задаването на каквато и да е несъществена бисквитка; опция за отказ на първия слой на банера, която е също толкова лесна за използване, колкото и опцията за приемане; никакви стени за бисквитки (с ограничени изключения, потвърдени от Conseil d'État); подробна информация за всяка цел на бисквитките.

Изключение за измерване на аудиторията: CNIL предоставя ограничено изключение за бисквитки за измерване на аудиторията, които отговарят на строги условия: инструментът трябва да е конфигуриран да произвежда само анонимни статистически данни, бисквитките трябва да са ограничени до сайта на издателя, срокът на живот на бисквитките не трябва да надвишава 13 месеца и данните не трябва да се комбинират с друга обработка. Инструменти като Matomo (със специфична конфигурация) и AT Internet са признати по това изключение. Google Analytics не отговаря на условията.

Забележителни глоби: Франция е наложила най-големите глоби, свързани с бисквитки, в Европа. Google LLC беше глобен със 150 милиона евро през декември 2021 г. за това, че направи отказа от бисквитки по-труден от приемането. Facebook беше глобен с 60 милиона евро в същото действие. Microsoft беше глобен с 60 милиона евро през декември 2022 г. TikTok беше глобен с 5 милиона евро през декември 2022 г. Criteo беше глобен с 40 милиона евро през юни 2023 г. Общо CNIL е наложила над 400 милиона евро глоби, специфични за бисквитки.

Италия

Орган по прилагането: Garante per la protezione dei dati personali (Garante).

Национален закон: Кодекс за поверителност (Decreto Legislativo 196/2003), изменен за привеждане в съответствие с GDPR. Garante издаде изчерпателни насоки за бисквитките на 10 юни 2021 г., като съответствието се изискваше до 10 януари 2022 г.

Основни изисквания: Насоките на Garante от 2021 г. са сред най-подробните в Европа. Те изискват: банер на първо ниво с бутон за приемане и открояващ се бутон за отказ (маркиран с „X“ или „Продължи без приемане“); второ ниво, достъпно от първия банер, с гранулиран контрол на категориите бисквитки; скролването изрично не представлява съгласие; съгласието за бисквитки трябва да се изисква отново след максимум 6 месеца.

Забележително: Garante въведе концепцията за изискване на специален бутон „затвори“ на банерите за бисквитки, вместо да позволи продължителното сърфиране да служи като отказ. Насоките също разгледаха въпроса за аналитиката на бисквитките, като изискват съгласие за всяка аналитика от трети страни и позволяват ограничено изключение само за собствени аналитични инструменти с правилно анонимизирани данни.

Испания

Орган по прилагането: Agencia Española de Protección de Datos (AEPD).

Национален закон: Ley de Servicios de la Sociedad de la Información (LSSI-CE) и Ley Orgánica de Protección de Datos (LOPDGDD).

Основни изисквания: Испания първоначално възприе по-снизходителен подход към съответствието за бисквитки, като ръководството за бисквитки на AEPD от 2013 г. предполагаше, че определени аналитични бисквитки могат да бъдат използвани на основание легитимен интерес. Въпреки това AEPD постепенно се приведе в съответствие с по-строгия европейски консенсус, следвайки насоките на EDPB и решението Planet49. Настоящите насоки на AEPD изискват предварително съгласие за аналитични и маркетингови бисквитки.

Забележителни действия: AEPD глоби Vueling Airlines с 30 000 евро през 2020 г. за банер за бисквитки, който предоставяше само опция за приемане без начин за отказ от бисквитки. CaixaBank беше глобена с 6 милиона евро през 2021 г., отчасти свързано с практики за обработка на данни, свързани с проследяване, базирано на бисквитки. По-скоро AEPD се фокусира върху стените за бисквитки и тъмните модели в интерфейсите за съгласие.

Нидерландия

Орган по прилагането: Autoriteit Persoonsgegevens (AP).

Национален закон: Telecommunicatiewet (Закон за телекомуникациите), член 11.7a.

Основни изисквания: Нидерландия зае една от най-строгите позиции относно стените за бисквитки в Европа. AP ясно заяви, че поставянето на достъпа до уебсайт в зависимост от приемането на бисквитки не е валидно съгласие, тъй като съгласието не е „свободно дадено“, ако алтернативата е загуба на достъп до услугата. AP също изисква изрично съгласие преди задаването на каквито и да е проследяващи бисквитки и критикува платформите за управление на съгласието, които използват манипулативен дизайн.

Забележителни действия: AP разследва множество уебсайтове за неспазване на съответствието за бисквитки и издаде насоки, специално насочени към тъмни модели в банерите за бисквитки. Органът също участва в координирани проверки на правителствени уебсайтове за съответствие относно бисквитки. През 2024 г. AP засили дейността си по прилагане срещу по-малки организации, сигнализирайки, че очакванията за съответствие относно бисквитки важат независимо от размера на компанията.

Белгия

Орган по прилагането: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Национален закон: Закон от 13 юни 2005 г. за електронните съобщения, изменен със Закона от 10 юли 2012 г.

Основни изисквания: Белгия следва стандартните изисквания на Директивата за електронна поверителност. Белгийският орган за защита на данните стана глобално значим в регулирането на бисквитките, когато се произнесе относно Transparency and Consent Framework (TCF) на IAB Europe през февруари 2022 г., установявайки, че низът за съгласие на TCF представлява лични данни и че IAB Europe е съвместен администратор. Това решение, частично потвърдено от Съда на ЕС през март 2024 г., има последствия за всеки уебсайт, използващ TCF за управление на съгласието за бисквитки.

Забележително: Решението относно IAB TCF предизвика вълни в индустрията за онлайн реклама, тъй като TCF е най-широко използваната рамка за съгласие за програматична реклама в Европа. Макар IAB Europe да въведе промени за справяне с притесненията на органа за защита на данните, случаят подчерта рисковете от разчитането на рамки за съгласие, разработени от индустрията, които може да не отговарят напълно на изискванията на GDPR.

Австрия

Орган по прилагането: Datenschutzbehörde (DSB).

Национален закон: Telekommunikationsgesetz 2021 (TKG 2021), раздел 165.

Основни изисквания: Правилата на Австрия относно бисквитките следват стандартната рамка на Директивата за електронна поверителност. Австрийският DSB привлече международно внимание през януари 2022 г., когато стана първият европейски орган за защита на данните, който постанови, че използването на Google Analytics нарушава GDPR, специфично по отношение на прехвърлянето на лични данни към Съединените щати след решението Schrems II. Макар това да беше основно въпрос за прехвърляне на данни, то имаше преки последствия за съответствието относно бисквитки, тъй като бисквитките на Google Analytics бяха определени като лични данни, прехвърляни към трета държава без адекватни предпазни мерки.

Забележително: Решението относно Google Analytics предизвика каскада от подобни решения в цяла Европа (Франция, Италия и други последваха примера) и ускори разработването на алтернативи за аналитика, запазващи поверителността. DSB продължи да бъде активен по въпросите на бисквитките и проследяващите технологии.

Дания

Орган по прилагането: Datatilsynet.

Национален закон: Cookiebekendtgørelsen (Изпълнителна заповед относно информацията и съгласието, изисквани за съхраняване на или достъп до информация в крайното потребителско оборудване), прилагаща разпоредбите на Директивата за електронна поверителност.

Основни изисквания: Дания изисква съгласие за всички бисквитки, освен онези, които са строго необходими за услуга, изрично поискана от потребителя. Datatilsynet издаде насоки, потвърждаващи, че аналитичните бисквитки изискват съгласие и че продължителното сърфиране не представлява валидно съгласие. Датските насоки все повече се привеждат в съответствие с по-строгите позиции, заемани от CNIL и EDPB.

Забележителни действия: Datatilsynet засили дейността си по прилагане относно бисквитки от 2022 г., като разследва уебсайтове както от публичния, така и от частния сектор. През 2023 г. органът издаде решения срещу множество датски уебсайтове за неадекватни механизми за съгласие за бисквитки, включително случаи, при които опцията за отказ не беше достатъчно видима. Datatilsynet също разгледа използването на Google Analytics и проследяващите пиксели на Meta на датски уебсайтове, като разпореди на няколко организации да прекратят използването на тези инструменти без правилно съгласие и предпазни мерки за прехвърляне на данни.

Швеция

Орган по прилагането: Integritetsskyddsmyndigheten (IMY).

Национален закон: Lag om elektronisk kommunikation (LEK, 2003:389).

Основни изисквания: Швеция премина от сравнително слабо прилагане относно бисквитки към значителни действия през последните години. IMY издаде първите си големи глоби, свързани с бисквитки, през 2023 г., насочени към четири компании (включително Tele2, CDON, Dagens Industri и Coop) на обща стойност над 100 милиона шведски крони (приблизително 9 милиона евро) за използване на Google Analytics и споделяне на лични данни с Google без валидно съгласие или адекватни предпазни мерки за прехвърляне на данни.

Забележително: Действията по прилагането от 2023 г. сигнализираха за голяма промяна в подхода на Швеция. IMY координира действията си с други скандинавски органи за защита на данните и следваше прецедентите, установени от австрийския DSB и френския CNIL относно Google Analytics. Глобите бяха сред най-големите, наложени от който и да е скандинавски орган за защита на данните, и установиха, че шведското прилагане вече е наравно с най-строгите европейски органи.

Ирландия

Орган по прилагането: Data Protection Commission (DPC).

Национален закон: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Основни изисквания: Ирландия следва стандартната рамка на Директивата за електронна поверителност. Въпреки това ролята на DPC като водещ надзорен орган за много големи технологични компании със седалище в Ирландия (включително Meta, Google, Apple, Microsoft и TikTok) му придаде извънредно значение в европейската защита на данните. DPC издаде насоки относно съответствието за бисквитки и проведе одити на уебсайтове както от публичния, така и от частния сектор.

Забележително: DPC е обект на критики от други европейски органи за защита на данните и от Европейския парламент заради възприеманото темпо на прилагането му срещу големите технологични компании. Въпреки това DPC наложи значителни глоби по GDPR, включително глоба от 1,2 милиарда евро срещу Meta през 2023 г. за прехвърляне на данни. Специфично за бисквитките, DPC проведе проверки на уебсайтове през 2020 и 2021 г., като издаде препоръки за съответствие на множество организации. Преките глоби, специфични за бисквитки, от DPC са сравнително скромни в сравнение с CNIL.

Полша

Орган по прилагането: Urząd Ochrony Danych Osobowych (UODO).

Национален закон: Закон за телекомуникациите (Prawo telekomunikacyjne), член 173.

Основни изисквания: Полша изисква съгласие за бисквитки в съответствие с Директивата за електронна поверителност. UODO издаде насоки, потвърждаващи, че предварително отметнатите полета и продължителното сърфиране не представляват валидно съгласие. Полското законодателство включва специфични разпоредби относно информацията, която трябва да бъде предоставена на потребителите за бисквитките, включително целите, идентичността на администратора и инструкциите за управление на настройките на бисквитките.

Забележително: Дейността по прилагането относно бисквитки в Полша се увеличи, като UODO разследва оплаквания относно несъответстващи банери за бисквитки и работи с регулатора на телекомуникациите. UODO участва в координирани проверки по прилагането в целия ЕС и приведе насоките си в съответствие с препоръките на EDPB.

Норвегия

Орган по прилагането: Datatilsynet (Норвежки орган за защита на данните — различен от датския орган със същото име).

Национален закон: Ekomloven (Закон за електронните съобщения).

Основни изисквания: Макар Норвегия да не е държава членка на ЕС, тя е член на Европейското икономическо пространство (ЕИП) и е включила GDPR и Директивата за електронна поверителност в националното си законодателство чрез Споразумението за ЕИП. Норвежкият Datatilsynet следва отблизо насоките на EDPB и е активен в прилагането относно бисквитки.

Забележителни действия: Норвежкият Datatilsynet наложи глоба от 5 милиона евро на Grindr през декември 2021 г. (по-късно намалена до 6,5 милиона евро при обжалване) за споделяне на потребителски данни с рекламни партньори без валидно съгласие. Макар да е основно случай за съгласие, свързан със споделяне на данни, а не специфично с бисквитки, той установи важни прецеденти за изискванията за съгласие при проследяващите технологии. Органът също разследва използването на Google Analytics и други проследяващи инструменти на норвежки уебсайтове.

Основни изводи

Въпреки различията в националното прилагане и налагане, няколко принципа са последователни във всички държави от ЕС и ЕИП:

  • Изисква се съгласие преди задаването на каквато и да е несъществена бисквитка. Нито една европейска държава не приема чист модел на отказ (opt-out) за бисквитки.
  • Съгласието трябва да отговаря на стандарта на GDPR: свободно дадено, конкретно, информирано, недвусмислено и демонстрирано чрез ясно утвърдително действие.
  • Отказът трябва да е също толкова лесен, колкото приемането. Макар конкретното прилагане да варира (отделен бутон, X за затваряне и т.н.), принципът, че отказът от бисквитки не трябва да е по-труден от приемането им, е универсален.
  • Прилагането се засилва навсякъде. Държавите, които преди бяха снизходителни, сега издават глоби и официални решения. Няма „безопасна“ европейска юрисдикция за неспазване.
  • Координираното прилагане нараства. Органите за защита на данните все повече си сътрудничат чрез EDPB и провеждат координирани проверки, което означава, че неспазването в една държава вероятно ще привлече вниманието в други.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно