Директивата за електронна поверителност: обяснение на европейския закон за бисквитките
Когато хората говорят за „европейския закон за бисквитките", те обикновено имат предвид Директивата за електронна поверителност — и по-конкретно член 5, параграф 3 от нея. Макар че GDPR попада в центъра на вниманието, именно Директивата за електронна поверителност е нормативният акт, който пряко урежда използването на бисквитки и подобни технологии за проследяване. Разбирането на тази директива, връзката ѝ с GDPR и предстоящия Регламент за електронна поверителност е от съществено значение за всеки, който отговаря за съответствието на европейски уебсайт по отношение на бисквитките.
Какво представлява Директивата за електронна поверителност?
Директивата за електронна поверителност (официално Директива 2002/58/ЕО) е приета на 12 юли 2002 г. като част от нормативната рамка на ЕС относно поверителността в областта на далекосъобщенията. Първоначално тя е насочена към поверителността в електронните съобщения — обхваща теми като поверителността на съобщенията, данните за трафика, спама и идентификацията на повикващия.
През 2009 г. директивата е значително изменена с Директива 2009/136/ЕО (често наричана „Директивата за правата на гражданите"). Това изменение въвежда изискването за съгласие за бисквитките, което познаваме днес, като заменя предишния режим на отказ (opt-out) с модел на изрично съгласие (opt-in). Преди 2009 г. уебсайтовете е трябвало само да информират потребителите за бисквитките и да им предоставят правото да откажат. След 2009 г. предварителното съгласие става задължително за всички несъществени бисквитки.
За разлика от GDPR, който е регламент (пряко приложим във всички държави членки), Директивата за електронна поверителност е директива (всяка държава членка трябва да я транспонира в националното си законодателство). Това означава, че конкретните правила за бисквитките се различават в отделните държави, макар че основните изисквания са едни и същи.
Член 5, параграф 3: правилото за съгласие за бисквитки
Член 5, параграф 3 от Директивата за електронна поверителност е разпоредбата, която пряко урежда бисквитките. В изменения си вид тя гласи:
„Държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абонат или потребител, е позволено само при условие че съответният абонат или потребител е дал своето съгласие, след като е получил ясна и изчерпателна информация в съответствие с [Директивата за защита на данните, понастоящем GDPR], наред с другото, относно целите на обработването."
Тази разпоредба установява няколко ключови изисквания:
- Обхват: Тя обхваща всяко съхраняване на информация на устройството на потребителя или достъп до информация, съхранявана на устройството на потребителя. Това включва бисквитките, но също и локалното хранилище (local storage), IndexedDB, снемането на цифров отпечатък на устройството, проследяващите пиксели и всяка друга технология, която чете от или записва в устройството на потребителя.
- Предварително съгласие: Съгласието трябва да бъде получено, преди информацията да бъде съхранена или достъпена — а не след това.
- Информирано съгласие: На потребителя трябва да бъде предоставена ясна и изчерпателна информация относно целите на съхраняването или достъпа.
- Стандарт за съгласие: Позоваването на GDPR (първоначално Директивата за защита на данните) означава, че се прилагат определението и условията за съгласие по GDPR. Съгласието трябва да бъде свободно изразено, конкретно, информирано и недвусмислено.
Изключението за „строго необходими" бисквитки
Член 5, параграф 3 съдържа важно изключение във второто си изречение:
„Това не пречи на техническо съхраняване или достъп с единствената цел осъществяване на предаването на съобщение по електронна съобщителна мрежа или доколкото е строго необходимо, за да може доставчикът на услуга на информационното общество, изрично поискана от абоната или потребителя, да предостави услугата."
Това изключение обхваща две категории бисквитки, за които не се изисква съгласие:
- Бисквитки, необходими за предаването на съобщение (например бисквитки за балансиране на натоварването).
- Бисквитки, строго необходими за предоставяне на изрично поискана от потребителя услуга (например бисквитки за количка за пазаруване, бисквитки за сесия за удостоверяване, бисквитки за потребителски предпочитания за услуга, която потребителят активно използва).
Предшественикът на Европейския комитет по защита на данните — Работната група по член 29 — предостави подробни насоки относно това кои бисквитки се квалифицират като строго необходими в Становище 04/2012. Примерите включват:
- Освободени (не се изисква съгласие): сесийни бисквитки за въвеждане на данни от потребителя (многостъпкови формуляри), бисквитки за удостоверяване, бисквитки за количка за пазаруване, бисквитки за сигурност (CSRF токени), сесийни бисквитки на мултимедиен плейър, бисквитки за балансиране на натоварването, бисквитки за персонализация на интерфейса (езиково предпочитание) за текущата сесия.
- Неосвободени (изисква се съгласие): аналитични бисквитки (включително Google Analytics), рекламни бисквитки, бисквитки за споделяне/проследяване в социалните медии, постоянни бисквитки за предпочитания, които се запазват след сесията, всякакви бисквитки за проследяване от трети страни.
Ключовото разграничение е между бисквитките, които обслужват изричното искане на потребителя, и бисквитките, които обслужват интересите на оператора на уебсайта. Бисквитка за езиково предпочитание, зададена, защото потребителят е кликнал върху селектор на език, е строго необходима. Аналитична бисквитка, зададена, за да помогне на оператора на уебсайта да разбере трафика, не е — дори ако операторът я счита за важна.
Как ePrivacy и GDPR действат заедно
Връзката между Директивата за електронна поверителност и GDPR е връзка на lex specialis (специален закон) и lex generalis (общ закон). Директивата за електронна поверителност е специалният закон, уреждащ поверителността в електронните съобщения, докато GDPR е общата рамка за защита на данните.
На практика:
- Директивата за електронна поверителност урежда дали изобщо може да поставите бисквитка на устройството на потребителя. Тя изисква съгласие за несъществените бисквитки, независимо дали бисквитката съдържа лични данни.
- GDPR урежда какво представлява валидно съгласие и как може да обработвате лични данни, събрани чрез бисквитки. Той предоставя и рамката за прилагане, включително правото на подаване на жалби до надзорните органи по защита на данните и режима на значителни глоби.
Това означава, че дори бисквитка, която не съдържа лични данни (например произволно генериран аналитичен идентификатор без връзка с други данни), все пак изисква съгласие съгласно Директивата за електронна поверителност, тъй като член 5, параграф 3 се прилага за всяко съхраняване на устройството на потребителя — а не само за съхраняване на лични данни.
Обратно, ако обработвате лични данни чрез бисквитки, трябва да спазвате пълната рамка на GDPR: правно основание, прозрачност, права на субектите на данни, оценки на въздействието върху защитата на данните и всички други задължения.
Национални имплементации
Тъй като актът за електронна поверителност е директива, а не регламент, всяка държава членка на ЕС го е транспонирала в националното си законодателство с известни различия. Макар основното изискване — съгласие преди несъществените бисквитки — да е последователно във всички държави членки, съществуват значителни различия по отношение на:
- Интензитет на прилагането: Франция (CNIL) и Италия (Garante) са най-активни в прилагането на правилата за бисквитките, докато други държави са насочили ресурсите си другаде.
- Конкретни изключения: Някои държави са приели малко по-широки или по-тесни тълкувания на изключението за „строго необходими".
- Аналитични бисквитки: Някои надзорни органи са проучвали дали правилно конфигурирани, съхраняващи поверителността аналитични инструменти (например анонимизирана аналитика без проследяване между сайтове) биха могли да се квалифицират за основание „легитимен интерес". Изключението на френския CNIL за инструменти за измерване на аудиторията при определени условия е най-забележителният пример, макар че остава спорно.
- Стени за бисквитки (cookie walls): Законността на стените за бисквитки (изискване на съгласие за достъп до уебсайт) варира в зависимост от юрисдикцията. Нидерландският надзорен орган и Европейският комитет по защита на данните заеха строга позиция срещу тях, докато френският Държавен съвет (Conseil d'Etat) ги счете за допустими при определени условия.
Предложеният Регламент за електронна поверителност
Европейската комисия публикува предложение за Регламент за електронна поверителност през януари 2017 г. с цел да замени Директивата за електронна поверителност и да приведе правилата за бисквитките в съответствие с GDPR. Повече от девет години по-късно регламентът все още е в процес на договаряне, което го прави един от най-дългите законодателни процеси в историята на ЕС.
Основни промени в предложения регламент
Макар окончателният текст все още да не е съгласуван, предложението и последвалите позиции на Съвета предполагат няколко значителни промени:
- Пряка приложимост: Като регламент, а не директива, Регламентът за електронна поверителност ще се прилага еднакво във всички държави членки, като елиминира настоящата фрагментация.
- Съгласие на ниво браузър: Ранните предложения включваха разпоредби, позволяващи на потребителите да задават предпочитанията си за бисквитки на ниво браузър, вместо да отговарят на отделни банери за бисквитки на всеки уебсайт. Това би опростило драматично потребителското изживяване, макар техническите и политическите предизвикателства да са значителни.
- Разширен обхват: Регламентът ще обхване и т.нар. over-the-top (OTT) комуникационни услуги като WhatsApp и Skype, които не са обхванати от настоящата директива.
- По-ясни изключения: Регламентът цели да изясни кои видове бисквитки са освободени от изискването за съгласие, като потенциално разширява изключението, за да включи определени видове измерване на аудиторията.
- Правила за метаданните: Нови разпоредби, уреждащи обработването на метаданни от съобщенията (данни за местоположение, време на връзка), извън обхвата на настоящата директива.
- Хармонизирано прилагане: Регламентът ще установи последователен механизъм за прилагане, вероятно по модела на принципа „обслужване на едно гише" на GDPR.
Текущо състояние и график
Към началото на 2026 г. Регламентът за електронна поверителност все още е в тристранни преговори (трилог) между Европейския парламент, Съвета на ЕС и Европейската комисия. Напредъкът е бавен поради принципни разногласия по няколко въпроса, включително механизма за съгласие на ниво браузър, обхвата на изключението за „строго необходими" и правилата за обработване на метаданни.
Най-реалистичният сценарий е, че регламентът няма да бъде финализиран преди 2027 г. в най-добрия случай, с допълнителен преходен период от 12–24 месеца преди влизането му в сила. Операторите на уебсайтове следва да продължат да спазват настоящата Директива за електронна поверителност, както е транспонирана в националното им законодателство, допълнена от рамката за съгласие на GDPR.
Практически последици за собствениците на уебсайтове
Независимо от регулаторната несигурност около предстоящия Регламент за електронна поверителност, настоящите правила са ясни и активно се прилагат. Собствениците на уебсайтове следва да:
- Приемат настоящия режим за базов стандарт. Изискването за съгласие за несъществените бисквитки е установен закон в целия ЕС. Не изчаквайте Регламента за електронна поверителност, за да въведете съответствие.
- Блокират несъществените бисквитки преди получаване на съгласие. Това е технически най-предизвикателният аспект на съответствието, но е задължителен. Механизмът ви за съгласие за бисквитки трябва да предотвратява задаването на бисквитки от скриптове, докато потребителят не даде активно съгласие.
- Прилагат стандарта за съгласие на GDPR. Когато Директивата за електронна поверителност говори за „съгласие", тя има предвид съгласие по GDPR: свободно изразено, конкретно, информирано, недвусмислено и демонстрирано чрез ясно утвърдително действие.
- Документират своите строго необходими бисквитки. Поддържайте ясен запис на това кои бисквитки считате за строго необходими и защо. Бъдете готови да обосновете тази класификация, ако бъде оспорена от надзорен орган.
- Следят националните развития. Тъй като Директивата за електронна поверителност е имплементирана различно във всяка държава, бъдете информирани за насоките и дейностите по прилагане на надзорните органи в държавите, където се намират вашите потребители.
- Подготвят се за Регламента за електронна поверителност. Макар графикът да е несигурен, посоката на развитие е ясна: по-хармонизирани правила, потенциално по-широки механизми за съгласие и продължаващ акцент върху поверителността на потребителите. Изграждането на надеждна система за управление на съгласието още сега ще направи прехода по-плавен, когато настъпи.
Директивата за електронна поверителност може да е на повече от две десетилетия, но остава крайъгълният камък на закона за бисквитките в Европа. В съчетание с рамката за съгласие на GDPR и активните програми за прилагане на националните надзорни органи, тя създава регулаторна среда, в която съответствието по отношение на бисквитките не е по избор — то е правно задължение с реални финансови последици при несъответствие.
Вашият уебсайт съответства ли на правилата за бисквитки?
Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.
Сканирайте бисквитките си безплатно