Skip to main content

Prawo dotyczące plików cookie według krajów: przewodnik po UE i EOG

Choć dyrektywa o prywatności i łączności elektronicznej (ePrivacy) oraz RODO zapewniają wspólne ramy prawne w całej Unii Europejskiej, każde państwo członkowskie transponowało dyrektywę ePrivacy do prawa krajowego z własnymi niuansami. Intensywność egzekwowania przepisów, interpretacja wyjątków oraz wysokość kar znacznie różnią się w poszczególnych krajach. Ten przewodnik omawia najważniejsze specyfiki prawa dotyczącego plików cookie dla dwunastu głównych rynków europejskich.

Tabela szybkiego odniesienia

Kraj Organ nadzorczy Prawo krajowe Poziom egzekwowania Warto wiedzieć
Niemcy Krajowe organy ochrony danych + BfDI TTDSG (2021) Wysoki Zdecentralizowane egzekwowanie; ramy PIMS
Francja CNIL Loi Informatique et Libertés Bardzo wysoki Rekordowe kary; szczegółowe wytyczne dotyczące cookie
Włochy Garante Kodeks ochrony danych (D.Lgs. 196/2003) Wysoki Kompleksowe wytyczne cookie z 2021 r.
Hiszpania AEPD LSSI-CE + LOPDGDD Umiarkowany Historia sporu o wyjątek dla analityki
Holandia AP Telecommunicatiewet Wysoki Rygorystyczny zakaz cookie walls
Belgia APD/GBA Ustawa ePrivacy (2012) Umiarkowany Orzeczenie w sprawie IAB Europe TCF
Austria DSB TKG 2021 Umiarkowany-wysoki Wczesne orzeczenia w sprawie Google Analytics
Dania Datatilsynet Cookiebekendtgørelsen Umiarkowany Nasilenie egzekwowania od 2022 r.
Szwecja IMY LEK (2003:389) Umiarkowany-wysoki Znaczące kary w latach 2023-2024
Irlandia DPC SI 336/2011 Umiarkowany Siedziba Big Tech; krytyka tempa egzekwowania
Polska UODO Prawo telekomunikacyjne Umiarkowany Rosnąca aktywność egzekucyjna
Norwegia Datatilsynet Ekomloven Umiarkowany Członek EOG; ściśle podąża za wytycznymi EDPB

Niemcy

Organ egzekwujący: Federalny Pełnomocnik ds. Ochrony Danych (BfDI) na poziomie federalnym oraz 16 krajowych organów ochrony danych (Landesdatenschutzbehörden).

Prawo krajowe: Ustawa Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), która weszła w życie 1 grudnia 2021 r., ujednoliciła niemieckie przepisy dotyczące plików cookie. Paragraf 25 TTDSG transponuje art. 5 ust. 3 dyrektywy ePrivacy, wymagając zgody na przechowywanie informacji na urządzeniach użytkowników końcowych lub uzyskiwanie do nich dostępu, chyba że przechowywanie jest ściśle niezbędne.

Kluczowe wymagania: TTDSG wyjaśniła, że zgoda na pliki cookie musi spełniać standard RODO. Niemiecki Federalny Trybunał Sprawiedliwości (BGH) potwierdził to już we wdrożeniu orzeczenia Planet49 (maj 2020 r.), uznając, że wstępnie zaznaczone pola wyboru są niewystarczające. TTDSG wprowadziła również przepisy dotyczące uznanych systemów zarządzania informacjami osobowymi (PIMS), które umożliwiłyby użytkownikom zarządzanie preferencjami zgody centralnie, zamiast na każdej stronie internetowej z osobna — choć przepisy wykonawcze dla PIMS pojawiają się powoli.

Egzekwowanie: Zdecentralizowana struktura egzekwowania w Niemczech oznacza, że egzekwowanie zgodności w zakresie plików cookie różni się w poszczególnych landach. Organy ochrony danych w Berlinie, Hamburgu i Badenii-Wirtembergii należą do najbardziej aktywnych. Konferencja Organów Ochrony Danych (DSK) okresowo wydaje wspólne stanowiska dotyczące wymogów zgody na pliki cookie.

Godne uwagi działania: Liczne dochodzenia w sprawie banerów cookie wykorzystujących dark patterns, w szczególności projekty typu „nudging”, w których przycisk akceptacji był wizualnie wyeksponowany, podczas gdy opcja odrzucenia była mniej widoczna. Kary były na ogół niższe niż we Francji, ale aktywność egzekucyjna systematycznie rosła od wejścia w życie TTDSG.

Francja

Organ egzekwujący: Commission Nationale de l'Informatique et des Libertés (CNIL).

Prawo krajowe: Loi Informatique et Libertés (ustawa nr 78-17), znowelizowana w celu wdrożenia dyrektywy ePrivacy. CNIL wydała kompleksowe wytyczne dotyczące plików cookie we wrześniu 2020 r. z okresem przejściowym na dostosowanie kończącym się 31 marca 2021 r.

Kluczowe wymagania: Francja to najbardziej rygorystyczny duży rynek UE pod względem zgodności w zakresie plików cookie. Wytyczne CNIL wymagają: zgody przed ustawieniem jakiegokolwiek nieistotnego pliku cookie; opcji odrzucenia na pierwszej warstwie banera, która jest równie łatwa w użyciu co opcja akceptacji; braku cookie walls (z ograniczonymi wyjątkami potwierdzonymi przez Conseil d'État); szczegółowych informacji o każdym celu wykorzystania plików cookie.

Wyjątek dla pomiaru odbiorców: CNIL przewiduje ograniczony wyjątek dla plików cookie służących do pomiaru odbiorców, które spełniają ścisłe warunki: narzędzie musi być skonfigurowane tak, aby generowało wyłącznie anonimowe dane statystyczne, pliki cookie muszą być ograniczone do witryny wydawcy, okres przechowywania plików cookie nie może przekraczać 13 miesięcy, a dane nie mogą być łączone z innymi procesami przetwarzania. Narzędzia takie jak Matomo (z odpowiednią konfiguracją) oraz AT Internet zostały uznane w ramach tego wyjątku. Google Analytics się nie kwalifikuje.

Godne uwagi kary: Francja nałożyła najwyższe kary związane z plikami cookie w Europie. Google LLC otrzymał karę 150 mln euro w grudniu 2021 r. za utrudnianie odrzucania plików cookie w stosunku do ich akceptacji. Facebook został ukarany grzywną 60 mln euro w ramach tego samego postępowania. Microsoft otrzymał karę 60 mln euro w grudniu 2022 r. TikTok został ukarany grzywną 5 mln euro w grudniu 2022 r. Criteo otrzymał karę 40 mln euro w czerwcu 2023 r. W sumie CNIL nałożyła ponad 400 mln euro kar dotyczących wyłącznie plików cookie.

Włochy

Organ egzekwujący: Garante per la protezione dei dati personali (Garante).

Prawo krajowe: Kodeks ochrony danych (Decreto Legislativo 196/2003), znowelizowany w celu dostosowania do RODO. Garante wydał kompleksowe wytyczne dotyczące plików cookie 10 czerwca 2021 r., z wymogiem dostosowania się do 10 stycznia 2022 r.

Kluczowe wymagania: Wytyczne Garante z 2021 r. należą do najbardziej szczegółowych w Europie. Wymagają one: banera pierwszej warstwy z przyciskiem akceptacji i wyraźnie widocznym przyciskiem odrzucenia (oznaczonym „X” lub „Kontynuuj bez akceptacji”); drugiej warstwy dostępnej z pierwszego banera ze szczegółowymi opcjami kontroli kategorii plików cookie; przewijanie strony wyraźnie nie stanowi zgody; zgoda na pliki cookie musi być ponownie żądana po maksymalnie 6 miesiącach.

Warto wiedzieć: Garante wprowadził koncepcję wymogu specjalnego przycisku „zamknij” na banerach cookie, zamiast pozwalania, aby dalsze przeglądanie strony pełniło funkcję odrzucenia. Wytyczne odniosły się również do kwestii analityki plików cookie, wymagając zgody na wszelką analitykę stron trzecich i dopuszczając ograniczony wyjątek jedynie dla własnych narzędzi analitycznych z odpowiednio zanonimizowanymi danymi.

Hiszpania

Organ egzekwujący: Agencia Española de Protección de Datos (AEPD).

Prawo krajowe: Ley de Servicios de la Sociedad de la Información (LSSI-CE) oraz Ley Orgánica de Protección de Datos (LOPDGDD).

Kluczowe wymagania: Hiszpania początkowo przyjęła bardziej liberalne podejście do zgodności w zakresie plików cookie, a przewodnik AEPD z 2013 r. sugerował, że niektóre pliki cookie analityczne mogą być stosowane na podstawie prawnie uzasadnionego interesu. Jednak AEPD stopniowo dostosowywała się do bardziej rygorystycznego europejskiego konsensusu po wytycznych EDPB i orzeczeniu Planet49. Obecne wytyczne AEPD wymagają uprzedniej zgody na pliki cookie analityczne i marketingowe.

Godne uwagi działania: AEPD nałożyła na Vueling Airlines karę 30 000 euro w 2020 r. za baner cookie oferujący jedynie opcję akceptacji, bez możliwości odrzucenia plików cookie. CaixaBank został ukarany grzywną 6 mln euro w 2021 r., częściowo w związku z praktykami przetwarzania danych powiązanymi ze śledzeniem opartym na plikach cookie. W ostatnim czasie AEPD skupiła się na cookie walls i dark patterns w interfejsach zgody.

Holandia

Organ egzekwujący: Autoriteit Persoonsgegevens (AP).

Prawo krajowe: Telecommunicatiewet (ustawa o telekomunikacji), art. 11.7a.

Kluczowe wymagania: Holandia zajęła jedno z najbardziej rygorystycznych stanowisk wobec cookie walls w Europie. AP jasno stwierdził, że uzależnianie dostępu do strony internetowej od zaakceptowania plików cookie nie stanowi ważnej zgody, ponieważ zgoda nie jest „dobrowolna”, jeśli alternatywą jest utrata dostępu do usługi. AP wymaga również wyraźnej zgody przed ustawieniem jakichkolwiek plików cookie śledzących i krytycznie odnosi się do platform zarządzania zgodą, które stosują manipulacyjny projekt.

Godne uwagi działania: AP zbadał liczne strony internetowe pod kątem niezgodności w zakresie plików cookie i wydał wytyczne ukierunkowane w szczególności na dark patterns w banerach cookie. Organ uczestniczył również w skoordynowanych kontrolach stron rządowych pod kątem zgodności w zakresie plików cookie. W 2024 r. AP zintensyfikował działania egzekucyjne wobec mniejszych organizacji, sygnalizując, że oczekiwania dotyczące zgodności w zakresie plików cookie obowiązują niezależnie od wielkości firmy.

Belgia

Organ egzekwujący: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Prawo krajowe: Ustawa z 13 czerwca 2005 r. o łączności elektronicznej, znowelizowana ustawą z 10 lipca 2012 r.

Kluczowe wymagania: Belgia stosuje standardowe wymogi dyrektywy ePrivacy. Belgijski organ ochrony danych nabrał globalnego znaczenia w regulacji plików cookie, gdy w lutym 2022 r. wydał orzeczenie w sprawie IAB Europe Transparency and Consent Framework (TCF), uznając, że ciąg zgody TCF stanowi dane osobowe, a IAB Europe jest współadministratorem. Orzeczenie to, częściowo utrzymane w mocy przez TSUE w marcu 2024 r., ma implikacje dla każdej strony internetowej korzystającej z TCF do zarządzania zgodą na pliki cookie.

Warto wiedzieć: Orzeczenie w sprawie IAB TCF wywołało wstrząs w branży reklamy internetowej, ponieważ TCF jest najczęściej stosowanymi ramami zgody dla reklamy programatycznej w Europie. Choć IAB Europe wdrożyło zmiany mające na celu rozwianie obaw organu ochrony danych, sprawa uwypukliła ryzyko związane z poleganiem na zaprojektowanych przez branżę ramach zgody, które mogą nie w pełni spełniać wymogi RODO.

Austria

Organ egzekwujący: Datenschutzbehörde (DSB).

Prawo krajowe: Telekommunikationsgesetz 2021 (TKG 2021), paragraf 165.

Kluczowe wymagania: Austriackie przepisy dotyczące plików cookie stosują standardowe ramy dyrektywy ePrivacy. Austriacki DSB zwrócił na siebie uwagę międzynarodową w styczniu 2022 r., gdy stał się pierwszym europejskim organem ochrony danych, który orzekł, że korzystanie z Google Analytics narusza RODO, w szczególności w odniesieniu do przekazywania danych osobowych do Stanów Zjednoczonych po orzeczeniu Schrems II. Choć była to przede wszystkim kwestia transferu danych, miała bezpośrednie implikacje dla zgodności w zakresie plików cookie, ponieważ uznano, że pliki cookie Google Analytics stanowią dane osobowe przekazywane do kraju trzeciego bez odpowiednich zabezpieczeń.

Warto wiedzieć: Orzeczenie w sprawie Google Analytics wywołało lawinę podobnych decyzji w całej Europie (Francja, Włochy i inne kraje poszły w jego ślady) i przyspieszyło rozwój alternatyw analitycznych chroniących prywatność. DSB pozostawał aktywny w kwestiach związanych z plikami cookie i technologiami śledzącymi.

Dania

Organ egzekwujący: Datatilsynet.

Prawo krajowe: Cookiebekendtgørelsen (rozporządzenie wykonawcze w sprawie informacji i zgody wymaganych do przechowywania informacji w urządzeniach końcowych użytkownika lub uzyskiwania do nich dostępu), wdrażające przepisy dyrektywy ePrivacy.

Kluczowe wymagania: Dania wymaga zgody na wszystkie pliki cookie z wyjątkiem tych ściśle niezbędnych dla usługi wyraźnie żądanej przez użytkownika. Datatilsynet wydał wytyczne potwierdzające, że pliki cookie analityczne wymagają zgody oraz że dalsze przeglądanie strony nie stanowi ważnej zgody. Duńskie wytyczne coraz bardziej dostosowywały się do bardziej rygorystycznych stanowisk zajmowanych przez CNIL i EDPB.

Godne uwagi działania: Datatilsynet zintensyfikował działania egzekucyjne w zakresie plików cookie od 2022 r., badając strony internetowe zarówno z sektora publicznego, jak i prywatnego. W 2023 r. organ wydał decyzje wobec wielu duńskich stron internetowych za nieodpowiednie mechanizmy zgody na pliki cookie, w tym w przypadkach, gdy opcja odrzucenia nie była wystarczająco widoczna. Datatilsynet odniósł się również do korzystania z Google Analytics oraz pikseli śledzących Meta na duńskich stronach internetowych, nakazując kilku organizacjom zaprzestanie korzystania z tych narzędzi bez odpowiedniej zgody i zabezpieczeń transferu danych.

Szwecja

Organ egzekwujący: Integritetsskyddsmyndigheten (IMY).

Prawo krajowe: Lag om elektronisk kommunikation (LEK, 2003:389).

Kluczowe wymagania: Szwecja przeszła w ostatnich latach od stosunkowo niskiego poziomu egzekwowania przepisów dotyczących plików cookie do znaczących działań. IMY nałożył pierwsze poważne kary związane z plikami cookie w 2023 r., ukierunkowane na cztery firmy (w tym Tele2, CDON, Dagens Industri i Coop), na łączną kwotę ponad 100 mln SEK (około 9 mln euro) za korzystanie z Google Analytics i udostępnianie danych osobowych Google bez ważnej zgody lub odpowiednich zabezpieczeń transferu danych.

Warto wiedzieć: Działania egzekucyjne z 2023 r. zasygnalizowały istotną zmianę w podejściu Szwecji. IMY koordynował działania z innymi nordyckimi organami ochrony danych i podążał za precedensami ustanowionymi przez austriacki DSB i francuski CNIL w sprawie Google Analytics. Kary były jednymi z najwyższych nałożonych przez jakikolwiek nordycki organ ochrony danych i ugruntowały, że szwedzkie egzekwowanie jest teraz na równi z najbardziej rygorystycznymi organami europejskimi.

Irlandia

Organ egzekwujący: Data Protection Commission (DPC).

Prawo krajowe: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Kluczowe wymagania: Irlandia stosuje standardowe ramy dyrektywy ePrivacy. Jednak rola DPC jako wiodącego organu nadzorczego dla wielu głównych firm technologicznych z siedzibą w Irlandii (w tym Meta, Google, Apple, Microsoft i TikTok) nadała mu nieproporcjonalnie duże znaczenie w europejskiej ochronie danych. DPC wydał wytyczne dotyczące zgodności w zakresie plików cookie i przeprowadził audyty stron internetowych zarówno w sektorze publicznym, jak i prywatnym.

Warto wiedzieć: DPC spotkał się z krytyką ze strony innych europejskich organów ochrony danych i Parlamentu Europejskiego za postrzegane tempo egzekwowania przepisów wobec Big Tech. Niemniej jednak DPC nałożył znaczące kary na podstawie RODO, w tym karę 1,2 mld euro na Meta w 2023 r. za transfery danych. W odniesieniu do plików cookie DPC przeprowadził kontrole stron internetowych w 2020 i 2021 r., wydając zalecenia dotyczące zgodności licznym organizacjom. Kary dotyczące bezpośrednio plików cookie ze strony DPC były stosunkowo umiarkowane w porównaniu z CNIL.

Polska

Organ egzekwujący: Urząd Ochrony Danych Osobowych (UODO).

Prawo krajowe: Prawo telekomunikacyjne, art. 173.

Kluczowe wymagania: Polska wymaga zgody na pliki cookie zgodnie z dyrektywą ePrivacy. UODO wydał wytyczne potwierdzające, że wstępnie zaznaczone pola i dalsze przeglądanie strony nie stanowią ważnej zgody. Polskie prawo zawiera szczegółowe przepisy dotyczące informacji, które muszą zostać przekazane użytkownikom o plikach cookie, w tym celów, tożsamości administratora oraz instrukcji zarządzania ustawieniami plików cookie.

Warto wiedzieć: Aktywność egzekucyjna Polski w zakresie plików cookie wzrosła, a UODO bada skargi dotyczące niezgodnych banerów cookie i współpracuje z regulatorem telekomunikacyjnym. UODO uczestniczył w ogólnounijnych skoordynowanych kontrolach egzekucyjnych i dostosował swoje wytyczne do zaleceń EDPB.

Norwegia

Organ egzekwujący: Datatilsynet (norweski organ ochrony danych — odrębny od duńskiego organu o tej samej nazwie).

Prawo krajowe: Ekomloven (ustawa o łączności elektronicznej).

Kluczowe wymagania: Choć Norwegia nie jest państwem członkowskim UE, jest członkiem Europejskiego Obszaru Gospodarczego (EOG) i włączyła RODO oraz dyrektywę ePrivacy do swojego prawa krajowego poprzez porozumienie o EOG. Norweski Datatilsynet ściśle podąża za wytycznymi EDPB i pozostaje aktywny w egzekwowaniu przepisów dotyczących plików cookie.

Godne uwagi działania: Norweski Datatilsynet nałożył karę 5 mln euro na Grindr w grudniu 2021 r. (później zmienioną na 6,5 mln euro w postępowaniu odwoławczym) za udostępnianie danych użytkowników partnerom reklamowym bez ważnej zgody. Choć była to przede wszystkim sprawa dotycząca zgody związanej z udostępnianiem danych, a nie plików cookie jako takich, ustanowiła ważne precedensy dla wymogów zgody w technologiach śledzących. Organ zbadał również korzystanie z Google Analytics i innych narzędzi śledzących na norweskich stronach internetowych.

Najważniejsze wnioski

Pomimo różnic w krajowym wdrażaniu i egzekwowaniu przepisów, kilka zasad jest spójnych we wszystkich krajach UE i EOG:

  • Zgoda jest wymagana przed ustawieniem jakiegokolwiek nieistotnego pliku cookie. Żaden europejski kraj nie akceptuje czystego modelu opt-out dla plików cookie.
  • Zgoda musi spełniać standard RODO: być dobrowolna, konkretna, świadoma, jednoznaczna oraz wyrażona poprzez wyraźne działanie potwierdzające.
  • Odrzucenie musi być równie łatwe co akceptacja. Choć konkretne wdrożenie może się różnić (osobny przycisk, X do zamknięcia itp.), zasada, że odmowa plików cookie nie może być trudniejsza niż ich akceptacja, jest uniwersalna.
  • Egzekwowanie nasila się wszędzie. Kraje, które wcześniej były liberalne, obecnie nakładają kary i wydają formalne decyzje. Nie istnieje „bezpieczna” europejska jurysdykcja dla niezgodności.
  • Skoordynowane egzekwowanie rośnie. Organy ochrony danych coraz częściej współpracują za pośrednictwem EDPB i przeprowadzają skoordynowane kontrole, co oznacza, że niezgodność w jednym kraju prawdopodobnie przyciągnie uwagę w innych.

Czy Twoja strona jest zgodna z przepisami o cookies?

Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.

Przeskanuj cookies za darmo