Skip to main content

Zákony o cookies podle zemí: Průvodce EU a EHP

Ačkoli směrnice ePrivacy a GDPR poskytují společný rámec napříč Evropskou unií, každý členský stát transponoval směrnici ePrivacy do vnitrostátního práva se svými vlastními nuancemi. Intenzita vymáhání, výklad výjimek a výše pokut se v jednotlivých zemích výrazně liší. Tento průvodce se zabývá klíčovými specifiky zákonů o cookies pro dvanáct hlavních evropských trhů.

Rychlá přehledová tabulka

Země Úřad Vnitrostátní zákon Úroveň vymáhání Pozoruhodnosti
Německo Zemské DPA + BfDI TTDSG (2021) Vysoká Decentralizované vymáhání; rámec PIMS
Francie CNIL Loi Informatique et Libertés Velmi vysoká Rekordní pokuty; podrobné pokyny pro cookies
Itálie Garante Zákon o ochraně soukromí (D.Lgs. 196/2003) Vysoká Komplexní pokyny pro cookies z roku 2021
Španělsko AEPD LSSI-CE + LOPDGDD Střední Historie debaty o výjimce pro analytiku
Nizozemsko AP Telecommunicatiewet Vysoká Přísný zákaz cookie zdí
Belgie APD/GBA ePrivacy Act (2012) Střední Rozhodnutí o IAB Europe TCF
Rakousko DSB TKG 2021 Střední až vysoká Rané rozhodnutí o Google Analytics
Dánsko Datatilsynet Cookiebekendtgørelsen Střední Rostoucí vymáhání od roku 2022
Švédsko IMY LEK (2003:389) Střední až vysoká Významné pokuty v letech 2023–2024
Irsko DPC SI 336/2011 Střední Centrum pro Big Tech; kritizováno za tempo vymáhání
Polsko UODO Telekomunikační zákon Střední Rostoucí aktivita vymáhání
Norsko Datatilsynet Ekomloven Střední Člen EHP; úzce následuje pokyny EDPB

Německo

Úřad pro vymáhání: Spolkový komisař pro ochranu údajů (BfDI) na spolkové úrovni, plus 16 zemských úřadů pro ochranu osobních údajů (Landesdatenschutzbehörden).

Vnitrostátní zákon: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), který vstoupil v platnost 1. prosince 2021, sjednotil německá pravidla pro cookies. Paragraf 25 TTDSG transponuje článek 5 odst. 3 směrnice ePrivacy a vyžaduje souhlas s ukládáním informací na koncová zařízení uživatelů nebo přístupem k nim, ledaže je ukládání nezbytně nutné.

Klíčové požadavky: TTDSG objasnil, že souhlas s cookies musí splňovat standard GDPR. Německý Spolkový soudní dvůr (BGH) to již potvrdil při implementaci rozhodnutí Planet49 (květen 2020), když konstatoval, že předem zaškrtnutá políčka jsou nedostatečná. TTDSG rovněž zavedl ustanovení pro uznávané systémy správy osobních informací (PIMS), které by uživatelům umožnily spravovat preference souhlasu centrálně namísto na každé webové stránce — prováděcí předpisy pro PIMS se však objevují jen pomalu.

Vymáhání: Německá decentralizovaná struktura vymáhání znamená, že vymáhání dodržování pravidel pro cookies se liší podle zemí. Nejaktivnější byly DPA v Berlíně, Hamburku a Bádensku-Württembersku. Konference úřadů pro ochranu osobních údajů (DSK) pravidelně vydává společná stanoviska k požadavkům na souhlas s cookies.

Pozoruhodné případy: Řada vyšetřování cookie bannerů využívajících tzv. dark patterns, zejména „nudging“ designů, kde tlačítko pro přijetí bylo vizuálně výrazné, zatímco možnost odmítnutí byla potlačena. Pokuty byly obecně nižší než ve Francii, ale aktivita vymáhání od vstupu TTDSG v platnost soustavně roste.

Francie

Úřad pro vymáhání: Commission Nationale de l'Informatique et des Libertés (CNIL).

Vnitrostátní zákon: Loi Informatique et Libertés (zákon č. 78-17), novelizovaný za účelem implementace směrnice ePrivacy. CNIL vydal komplexní pokyny pro cookies v září 2020 s obdobím tolerance pro dosažení souladu končícím 31. března 2021.

Klíčové požadavky: Francie je nejpřísnějším velkým trhem EU, pokud jde o dodržování pravidel pro cookies. Pokyny CNIL vyžadují: souhlas před nastavením jakéhokoli nezbytného cookie; možnost odmítnutí na první vrstvě banneru, která je stejně snadno použitelná jako možnost přijetí; žádné cookie zdi (s omezenými výjimkami potvrzenými Conseil d'État); podrobné informace o účelu každého cookie.

Výjimka pro měření návštěvnosti: CNIL poskytuje omezenou výjimku pro cookies měření návštěvnosti, které splňují přísné podmínky: nástroj musí být nakonfigurován tak, aby produkoval pouze anonymní statistická data, cookies musí být omezeny na web vydavatele, životnost cookie nesmí přesáhnout 13 měsíců a data nesmí být kombinována s jiným zpracováním. V rámci této výjimky byly uznány nástroje jako Matomo (s konkrétní konfigurací) a AT Internet. Google Analytics nesplňuje podmínky.

Pozoruhodné pokuty: Francie udělila nejvyšší pokuty související s cookies v Evropě. Google LLC dostal v prosinci 2021 pokutu 150 milionů eur za ztížení odmítnutí cookies oproti jejich přijetí. Facebook dostal ve stejném řízení pokutu 60 milionů eur. Microsoft dostal pokutu 60 milionů eur v prosinci 2022. TikTok dostal pokutu 5 milionů eur v prosinci 2022. Criteo dostalo pokutu 40 milionů eur v červnu 2023. Celkem CNIL uložil více než 400 milionů eur na pokutách specifických pro cookies.

Itálie

Úřad pro vymáhání: Garante per la protezione dei dati personali (Garante).

Vnitrostátní zákon: Zákon o ochraně soukromí (Decreto Legislativo 196/2003), novelizovaný pro sladění s GDPR. Garante vydal komplexní pokyny pro cookies dne 10. června 2021, přičemž soulad byl vyžadován do 10. ledna 2022.

Klíčové požadavky: Pokyny Garante z roku 2021 patří mezi nejpodrobnější v Evropě. Vyžadují: banner první vrstvy s tlačítkem pro přijetí a výrazně zobrazeným tlačítkem pro odmítnutí (označeným „X“ nebo „Pokračovat bez přijetí“); druhou vrstvu přístupnou z prvního banneru s podrobným ovládáním kategorií cookies; scrollování výslovně nepředstavuje souhlas; souhlas s cookies musí být znovu vyžádán nejpozději po 6 měsících.

Pozoruhodnosti: Garante zavedl koncept vyžadující specifické tlačítko „zavřít“ na cookie bannerech namísto toho, aby pokračování v prohlížení sloužilo jako odmítnutí. Pokyny se rovněž zabývaly otázkou cookie analytiky, když vyžadovaly souhlas pro veškerou analytiku třetích stran a povolily omezenou výjimku pouze pro first-party analytické nástroje s řádně anonymizovanými daty.

Španělsko

Úřad pro vymáhání: Agencia Española de Protección de Datos (AEPD).

Vnitrostátní zákon: Ley de Servicios de la Sociedad de la Información (LSSI-CE) a Ley Orgánica de Protección de Datos (LOPDGDD).

Klíčové požadavky: Španělsko zpočátku zaujímalo mírnější přístup k dodržování pravidel pro cookies, přičemž průvodce AEPD z roku 2013 naznačoval, že určité analytické cookies by mohly být používány na základě oprávněného zájmu. AEPD se však postupně sladil s přísnějším evropským konsensem po pokynech EDPB a rozhodnutí Planet49. Aktuální pokyny AEPD vyžadují předchozí souhlas pro analytické a marketingové cookies.

Pozoruhodné případy: AEPD udělil aerolinkám Vueling v roce 2020 pokutu 30 000 eur za cookie banner, který poskytoval pouze možnost přijetí bez možnosti odmítnutí cookies. CaixaBank dostala pokutu 6 milionů eur v roce 2021, částečně související s praktikami zpracování dat spojenými se sledováním pomocí cookies. V poslední době se AEPD zaměřuje na cookie zdi a dark patterns v rozhraních pro souhlas.

Nizozemsko

Úřad pro vymáhání: Autoriteit Persoonsgegevens (AP).

Vnitrostátní zákon: Telecommunicatiewet (Telekomunikační zákon), článek 11.7a.

Klíčové požadavky: Nizozemsko zaujalo jednu z nejpřísnějších pozic k cookie zdím v Evropě. AP jasně uvedl, že podmínění přístupu k webové stránce přijetím cookies není platným souhlasem, protože souhlas není „svobodně udělen“, pokud alternativou je ztráta přístupu ke službě. AP rovněž vyžaduje výslovný souhlas před nastavením jakýchkoli sledovacích cookies a kritizuje platformy pro správu souhlasu využívající manipulativní design.

Pozoruhodné případy: AP vyšetřoval řadu webových stránek kvůli nesouladu s pravidly pro cookies a vydal pokyny specificky zaměřené na dark patterns v cookie bannerech. Úřad se rovněž účastnil koordinovaných kontrol vládních webových stránek z hlediska souladu s cookies. V roce 2024 AP zintenzivnil svou aktivitu vymáhání vůči menším organizacím, čímž signalizoval, že očekávání ohledně dodržování pravidel pro cookies platí bez ohledu na velikost společnosti.

Belgie

Úřad pro vymáhání: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Vnitrostátní zákon: Zákon ze dne 13. června 2005 o elektronických komunikacích, novelizovaný zákonem ze dne 10. července 2012.

Klíčové požadavky: Belgie dodržuje standardní požadavky směrnice ePrivacy. Belgický DPA získal celosvětový význam v regulaci cookies, když v únoru 2022 rozhodl o rámci IAB Europe Transparency and Consent Framework (TCF) a konstatoval, že řetězec souhlasu TCF představuje osobní údaje a že IAB Europe je společným správcem. Toto rozhodnutí, částečně potvrzené SDEU v březnu 2024, má důsledky pro každou webovou stránku využívající TCF pro správu souhlasu s cookies.

Pozoruhodnosti: Rozhodnutí o IAB TCF vyvolalo otřesy v odvětví online reklamy, protože TCF je nejrozšířenějším rámcem souhlasu pro programatickou reklamu v Evropě. Ačkoli IAB Europe zavedlo změny řešící obavy DPA, případ upozornil na rizika spoléhání se na rámce souhlasu navržené odvětvím, které nemusí plně splňovat požadavky GDPR.

Rakousko

Úřad pro vymáhání: Datenschutzbehörde (DSB).

Vnitrostátní zákon: Telekommunikationsgesetz 2021 (TKG 2021), paragraf 165.

Klíčové požadavky: Rakouská pravidla pro cookies se řídí standardním rámcem směrnice ePrivacy. Rakouský DSB získal mezinárodní pozornost v lednu 2022, když se stal prvním evropským DPA, který rozhodl, že používání Google Analytics porušuje GDPR, konkrétně ohledně přenosů osobních údajů do Spojených států po rozhodnutí Schrems II. Ačkoli šlo primárně o problém přenosu dat, mělo to přímé důsledky pro dodržování pravidel pro cookies, protože bylo shledáno, že cookies Google Analytics představují osobní údaje přenášené do třetí země bez odpovídajících záruk.

Pozoruhodnosti: Rozhodnutí o Google Analytics spustilo kaskádu podobných rozhodnutí napříč Evropou (Francie, Itálie a další následovaly) a urychlilo vývoj alternativ analytiky respektujících soukromí. DSB nadále aktivně řeší otázky cookies a sledovacích technologií.

Dánsko

Úřad pro vymáhání: Datatilsynet.

Vnitrostátní zákon: Cookiebekendtgørelsen (Nařízení o informacích a souhlasu vyžadovaných pro ukládání informací do koncového zařízení uživatele nebo přístup k nim), implementující ustanovení směrnice ePrivacy.

Klíčové požadavky: Dánsko vyžaduje souhlas pro všechny cookies s výjimkou těch, které jsou nezbytně nutné pro službu výslovně požadovanou uživatelem. Datatilsynet vydal pokyny potvrzující, že analytické cookies vyžadují souhlas a že pokračování v prohlížení nepředstavuje platný souhlas. Dánské pokyny se stále více sladily s přísnějšími pozicemi CNIL a EDPB.

Pozoruhodné případy: Datatilsynet od roku 2022 zvýšil svou aktivitu vymáhání v oblasti cookies a vyšetřuje webové stránky veřejného i soukromého sektoru. V roce 2023 úřad vydal rozhodnutí proti řadě dánských webových stránek za nedostatečné mechanismy souhlasu s cookies, včetně případů, kdy možnost odmítnutí nebyla dostatečně viditelná. Datatilsynet se rovněž zabýval používáním Google Analytics a sledovacích pixelů Meta na dánských webových stránkách a nařídil několika organizacím přestat používat tyto nástroje bez řádného souhlasu a záruk přenosu dat.

Švédsko

Úřad pro vymáhání: Integritetsskyddsmyndigheten (IMY).

Vnitrostátní zákon: Lag om elektronisk kommunikation (LEK, 2003:389).

Klíčové požadavky: Švédsko se v posledních letech posunulo od relativně nízkého vymáhání pravidel pro cookies k významným krokům. IMY vydal své první významné pokuty související s cookies v roce 2023, zaměřené na čtyři společnosti (včetně Tele2, CDON, Dagens Industri a Coop) v celkové výši přes 100 milionů SEK (přibližně 9 milionů eur) za používání Google Analytics a sdílení osobních údajů se společností Google bez platného souhlasu nebo odpovídajících záruk přenosu dat.

Pozoruhodnosti: Kroky vymáhání z roku 2023 signalizovaly zásadní posun ve švédském přístupu. IMY koordinoval postup s dalšími severskými DPA a následoval precedenty stanovené rakouským DSB a francouzským CNIL v otázce Google Analytics. Pokuty patřily mezi nejvyšší udělené kterýmkoli severským DPA a potvrdily, že švédské vymáhání je nyní na úrovni nejpřísnějších evropských úřadů.

Irsko

Úřad pro vymáhání: Data Protection Commission (DPC).

Vnitrostátní zákon: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Klíčové požadavky: Irsko dodržuje standardní rámec směrnice ePrivacy. Nicméně role DPC jako vedoucího dozorového úřadu pro řadu velkých technologických společností se sídlem v Irsku (včetně Meta, Google, Apple, Microsoft a TikTok) mu propůjčila nadměrný význam v evropské ochraně údajů. DPC vydal pokyny k dodržování pravidel pro cookies a provedl audity webových stránek veřejného i soukromého sektoru.

Pozoruhodnosti: DPC čelil kritice ze strany dalších evropských DPA a Evropského parlamentu za vnímané tempo svého vymáhání vůči Big Tech. DPC nicméně vydal významné pokuty podle GDPR, včetně pokuty 1,2 miliardy eur proti společnosti Meta v roce 2023 za přenosy dat. Konkrétně v oblasti cookies provedl DPC kontroly webových stránek v letech 2020 a 2021 a vydal doporučení k souladu řadě organizací. Přímé pokuty specifické pro cookies od DPC byly ve srovnání s CNIL relativně mírné.

Polsko

Úřad pro vymáhání: Urząd Ochrony Danych Osobowych (UODO).

Vnitrostátní zákon: Telekomunikační zákon (Prawo telekomunikacyjne), článek 173.

Klíčové požadavky: Polsko vyžaduje souhlas s cookies v souladu se směrnicí ePrivacy. UODO vydal pokyny potvrzující, že předem zaškrtnutá políčka a pokračování v prohlížení nepředstavují platný souhlas. Polské právo obsahuje specifická ustanovení o informacích, které musí být uživatelům poskytnuty o cookies, včetně účelů, totožnosti správce a instrukcí pro správu nastavení cookies.

Pozoruhodnosti: Aktivita vymáhání v oblasti cookies v Polsku vzrostla, přičemž UODO vyšetřuje stížnosti na nevyhovující cookie bannery a spolupracuje s telekomunikačním regulátorem. UODO se účastnil celoevropských koordinovaných kontrol vymáhání a sladil své pokyny s doporučeními EDPB.

Norsko

Úřad pro vymáhání: Datatilsynet (norský úřad pro ochranu údajů — odlišný od dánského úřadu se stejným názvem).

Vnitrostátní zákon: Ekomloven (Zákon o elektronických komunikacích).

Klíčové požadavky: Ačkoli Norsko není členským státem EU, je členem Evropského hospodářského prostoru (EHP) a začlenilo GDPR a směrnici ePrivacy do svého vnitrostátního práva prostřednictvím Dohody o EHP. Norský Datatilsynet úzce následuje pokyny EDPB a je aktivní v oblasti vymáhání pravidel pro cookies.

Pozoruhodné případy: Norský Datatilsynet udělil v prosinci 2021 pokutu 5 milionů eur společnosti Grindr (později v odvolání snížena na 6,5 milionu eur) za sdílení uživatelských dat s reklamními partnery bez platného souhlasu. Ačkoli šlo primárně o případ souhlasu související se sdílením dat, nikoli konkrétně s cookies, stanovil důležité precedenty pro požadavky na souhlas u sledovacích technologií. Úřad rovněž vyšetřoval používání Google Analytics a dalších sledovacích nástrojů na norských webových stránkách.

Klíčové poznatky

Navzdory rozdílům ve vnitrostátní implementaci a vymáhání je několik principů konzistentních napříč všemi zeměmi EU a EHP:

  • Souhlas je vyžadován před nastavením jakéhokoli nezbytného cookie. Žádná evropská země nepřijímá čistě opt-out model pro cookies.
  • Souhlas musí splňovat standard GDPR: svobodně udělený, konkrétní, informovaný, jednoznačný a prokázaný jasným aktivním jednáním.
  • Odmítnutí musí být stejně snadné jako přijetí. Ačkoli se konkrétní implementace může lišit (samostatné tlačítko, X pro zavření atd.), princip, že odmítnutí cookies nesmí být těžší než jejich přijetí, je univerzální.
  • Vymáhání se všude zvyšuje. Země, které byly dříve shovívavé, nyní udělují pokuty a vydávají formální rozhodnutí. Neexistuje žádná „bezpečná“ evropská jurisdikce pro nedodržování pravidel.
  • Koordinované vymáhání roste. DPA stále více spolupracují prostřednictvím EDPB a provádějí koordinované kontroly, což znamená, že nedodržování pravidel v jedné zemi pravděpodobně přitáhne pozornost v dalších.

Splňuje váš web pravidla pro cookies?

Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.

Skenovat cookies zdarma