Skip to main content

Νόμοι για τα Cookies ανά Χώρα: Οδηγός για ΕΕ & ΕΟΧ

Παρότι η Οδηγία ePrivacy και ο GDPR παρέχουν ένα κοινό πλαίσιο σε ολόκληρη την Ευρωπαϊκή Ένωση, κάθε κράτος-μέλος έχει μεταφέρει την Οδηγία ePrivacy στην εθνική του νομοθεσία με τις δικές του ιδιαιτερότητες. Η ένταση της εφαρμογής, η ερμηνεία των εξαιρέσεων και το ύψος των προστίμων διαφέρουν σημαντικά από χώρα σε χώρα. Ο παρών οδηγός καλύπτει τις βασικές ιδιαιτερότητες της νομοθεσίας περί cookies για δώδεκα σημαντικές ευρωπαϊκές αγορές.

Πίνακας Γρήγορης Αναφοράς

Χώρα Αρχή Εθνική Νομοθεσία Επίπεδο Εφαρμογής Αξιοσημείωτα
Γερμανία Ομοσπονδιακές Αρχές Προστασίας Δεδομένων + BfDI TTDSG (2021) Υψηλό Αποκεντρωμένη εφαρμογή· πλαίσιο PIMS
Γαλλία CNIL Loi Informatique et Libertés Πολύ Υψηλό Πρόστιμα-ρεκόρ· λεπτομερείς κατευθυντήριες γραμμές για cookies
Ιταλία Garante Κώδικας Προστασίας Προσωπικών Δεδομένων (D.Lgs. 196/2003) Υψηλό Ολοκληρωμένες κατευθυντήριες γραμμές για cookies το 2021
Ισπανία AEPD LSSI-CE + LOPDGDD Μέτριο Ιστορικό συζήτησης για την εξαίρεση των analytics
Ολλανδία AP Telecommunicatiewet Υψηλό Αυστηρή απαγόρευση των cookie walls
Βέλγιο APD/GBA Νόμος ePrivacy (2012) Μέτριο Απόφαση για το IAB Europe TCF
Αυστρία DSB TKG 2021 Μέτριο-Υψηλό Πρώιμες αποφάσεις για το Google Analytics
Δανία Datatilsynet Cookiebekendtgørelsen Μέτριο Αυξανόμενη εφαρμογή από το 2022
Σουηδία IMY LEK (2003:389) Μέτριο-Υψηλό Σημαντικά πρόστιμα το 2023-2024
Ιρλανδία DPC SI 336/2011 Μέτριο Κόμβος για τις μεγάλες τεχνολογικές εταιρείες· υπό κριτική για τον ρυθμό εφαρμογής
Πολωνία UODO Νόμος περί Τηλεπικοινωνιών Μέτριο Αυξανόμενη δραστηριότητα εφαρμογής
Νορβηγία Datatilsynet Ekomloven Μέτριο Μέλος ΕΟΧ· ακολουθεί στενά τις κατευθύνσεις του EDPB

Γερμανία

Αρχή εφαρμογής: Ομοσπονδιακός Επίτροπος Προστασίας Δεδομένων (BfDI) σε ομοσπονδιακό επίπεδο, καθώς και 16 Αρχές Προστασίας Δεδομένων σε επίπεδο κρατιδίων (Landesdatenschutzbehörden).

Εθνική νομοθεσία: Ο νόμος Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), που τέθηκε σε ισχύ την 1η Δεκεμβρίου 2021, ενοποίησε τους κανόνες της Γερμανίας για τα cookies. Το Άρθρο 25 του TTDSG μεταφέρει το Άρθρο 5(3) της Οδηγίας ePrivacy, απαιτώντας συγκατάθεση για την αποθήκευση ή πρόσβαση σε πληροφορίες στις συσκευές των τελικών χρηστών, εκτός εάν η αποθήκευση είναι απολύτως απαραίτητη.

Βασικές απαιτήσεις: Ο TTDSG διευκρίνισε ότι η συγκατάθεση για τα cookies πρέπει να πληροί το πρότυπο του GDPR. Το Ομοσπονδιακό Δικαστήριο της Γερμανίας (BGH) το είχε ήδη επιβεβαιώσει κατά την εφαρμογή της απόφασης Planet49 (Μάιος 2020), κρίνοντας ότι τα προεπιλεγμένα πλαίσια ελέγχου δεν είναι επαρκή. Ο TTDSG εισήγαγε επίσης διατάξεις για αναγνωρισμένα Συστήματα Διαχείρισης Προσωπικών Πληροφοριών (PIMS), τα οποία θα επέτρεπαν στους χρήστες να διαχειρίζονται κεντρικά τις προτιμήσεις συγκατάθεσής τους αντί για κάθε ιστότοπο ξεχωριστά — αν και οι κανονισμοί εφαρμογής για τα PIMS αργούν να υλοποιηθούν.

Εφαρμογή: Η αποκεντρωμένη δομή εφαρμογής της Γερμανίας σημαίνει ότι η εφαρμογή της συμμόρφωσης για τα cookies διαφέρει ανά κρατίδιο. Οι Αρχές Προστασίας Δεδομένων του Βερολίνου, του Αμβούργου και της Βάδης-Βυρτεμβέργης συγκαταλέγονται στις πιο ενεργές. Η Διάσκεψη των Αρχών Προστασίας Δεδομένων (DSK) εκδίδει περιοδικά κοινές θέσεις σχετικά με τις απαιτήσεις συγκατάθεσης για τα cookies.

Αξιοσημείωτες ενέργειες: Πολλαπλές έρευνες για banner cookies που χρησιμοποιούσαν dark patterns, ιδίως σχεδιασμούς «καθοδήγησης» (nudging) όπου το κουμπί αποδοχής ήταν οπτικά προεξέχον ενώ η επιλογή απόρριψης υποβαθμιζόταν. Τα πρόστιμα ήταν γενικά χαμηλότερα από ό,τι στη Γαλλία, αλλά η δραστηριότητα εφαρμογής αυξάνεται σταθερά από τότε που τέθηκε σε ισχύ ο TTDSG.

Γαλλία

Αρχή εφαρμογής: Commission Nationale de l'Informatique et des Libertés (CNIL).

Εθνική νομοθεσία: Loi Informatique et Libertés (Νόμος αριθ. 78-17), τροποποιημένος για την εφαρμογή της Οδηγίας ePrivacy. Η CNIL εξέδωσε ολοκληρωμένες κατευθυντήριες γραμμές για τα cookies τον Σεπτέμβριο του 2020, με περίοδο χάριτος συμμόρφωσης που έληξε στις 31 Μαρτίου 2021.

Βασικές απαιτήσεις: Η Γαλλία είναι η αυστηρότερη μεγάλη αγορά της ΕΕ όσον αφορά τη συμμόρφωση για τα cookies. Οι κατευθυντήριες γραμμές της CNIL απαιτούν: συγκατάθεση πριν από την τοποθέτηση οποιουδήποτε μη απαραίτητου cookie· επιλογή απόρριψης στο πρώτο επίπεδο του banner που να είναι εξίσου εύκολη στη χρήση με την επιλογή αποδοχής· καμία cookie wall (με περιορισμένες εξαιρέσεις που επιβεβαιώθηκαν από το Conseil d'État)· λεπτομερείς πληροφορίες για κάθε σκοπό cookie.

Εξαίρεση μέτρησης κοινού: Η CNIL προβλέπει περιορισμένη εξαίρεση για cookies μέτρησης κοινού που πληρούν αυστηρές προϋποθέσεις: το εργαλείο πρέπει να είναι ρυθμισμένο ώστε να παράγει μόνο ανώνυμα στατιστικά δεδομένα, τα cookies πρέπει να περιορίζονται στον ιστότοπο του εκδότη, η διάρκεια ζωής του cookie δεν πρέπει να υπερβαίνει τους 13 μήνες, και τα δεδομένα δεν πρέπει να συνδυάζονται με άλλη επεξεργασία. Εργαλεία όπως το Matomo (με συγκεκριμένη διαμόρφωση) και το AT Internet έχουν αναγνωριστεί βάσει αυτής της εξαίρεσης. Το Google Analytics δεν πληροί τις προϋποθέσεις.

Αξιοσημείωτα πρόστιμα: Η Γαλλία έχει επιβάλει τα μεγαλύτερα πρόστιμα σχετικά με τα cookies στην Ευρώπη. Στη Google LLC επιβλήθηκε πρόστιμο 150 εκατ. ευρώ τον Δεκέμβριο του 2021 επειδή έκανε την απόρριψη των cookies δυσκολότερη από την αποδοχή. Στη Facebook επιβλήθηκε πρόστιμο 60 εκατ. ευρώ στην ίδια ενέργεια. Στη Microsoft επιβλήθηκε πρόστιμο 60 εκατ. ευρώ τον Δεκέμβριο του 2022. Στο TikTok επιβλήθηκε πρόστιμο 5 εκατ. ευρώ τον Δεκέμβριο του 2022. Στην Criteo επιβλήθηκε πρόστιμο 40 εκατ. ευρώ τον Ιούνιο του 2023. Συνολικά, η CNIL έχει επιβάλει πάνω από 400 εκατ. ευρώ σε πρόστιμα ειδικά για cookies.

Ιταλία

Αρχή εφαρμογής: Garante per la protezione dei dati personali (Garante).

Εθνική νομοθεσία: Κώδικας Προστασίας Προσωπικών Δεδομένων (Decreto Legislativo 196/2003), τροποποιημένος για ευθυγράμμιση με τον GDPR. Η Garante εξέδωσε ολοκληρωμένες κατευθυντήριες γραμμές για τα cookies στις 10 Ιουνίου 2021, με απαιτούμενη συμμόρφωση έως τις 10 Ιανουαρίου 2022.

Βασικές απαιτήσεις: Οι κατευθυντήριες γραμμές της Garante του 2021 συγκαταλέγονται στις πιο λεπτομερείς στην Ευρώπη. Απαιτούν: banner πρώτου επιπέδου με κουμπί αποδοχής και ένα εμφανώς προβεβλημένο κουμπί απόρριψης (με σήμανση «X» ή «Συνέχεια χωρίς αποδοχή»)· δεύτερο επίπεδο προσβάσιμο από το πρώτο banner με λεπτομερή στοιχεία ελέγχου κατηγοριών cookies· η κύλιση ρητά δεν συνιστά συγκατάθεση· η συγκατάθεση για τα cookies πρέπει να ζητείται εκ νέου το αργότερο μετά από 6 μήνες.

Αξιοσημείωτα: Η Garante εισήγαγε την έννοια της απαίτησης για ένα ειδικό κουμπί «κλεισίματος» στα banner cookies αντί να επιτρέπει τη συνέχιση της περιήγησης να λειτουργεί ως απόρριψη. Οι κατευθυντήριες γραμμές αντιμετώπισαν επίσης το ζήτημα των cookies analytics, απαιτώντας συγκατάθεση για όλα τα analytics τρίτων και επιτρέποντας περιορισμένη εξαίρεση μόνο για εργαλεία analytics πρώτου μέρους με σωστά ανωνυμοποιημένα δεδομένα.

Ισπανία

Αρχή εφαρμογής: Agencia Española de Protección de Datos (AEPD).

Εθνική νομοθεσία: Ley de Servicios de la Sociedad de la Información (LSSI-CE) και Ley Orgánica de Protección de Datos (LOPDGDD).

Βασικές απαιτήσεις: Η Ισπανία υιοθέτησε αρχικά μια πιο επιεική προσέγγιση όσον αφορά τη συμμόρφωση για τα cookies, καθώς ο οδηγός της AEPD του 2013 για τα cookies υπονοούσε ότι ορισμένα cookies analytics ενδέχεται να χρησιμοποιούνται βάσει έννομου συμφέροντος. Ωστόσο, η AEPD ευθυγραμμίστηκε προοδευτικά με την αυστηρότερη ευρωπαϊκή συναίνεση μετά τις κατευθύνσεις του EDPB και την απόφαση Planet49. Οι τρέχουσες κατευθύνσεις της AEPD απαιτούν προηγούμενη συγκατάθεση για cookies analytics και marketing.

Αξιοσημείωτες ενέργειες: Η AEPD επέβαλε πρόστιμο 30.000 ευρώ στη Vueling Airlines το 2020 για banner cookies που παρείχε μόνο επιλογή αποδοχής χωρίς δυνατότητα απόρριψης των cookies. Στην CaixaBank επιβλήθηκε πρόστιμο 6 εκατ. ευρώ το 2021, εν μέρει σχετικά με πρακτικές επεξεργασίας δεδομένων συνδεδεμένες με παρακολούθηση βασισμένη σε cookies. Πιο πρόσφατα, η AEPD έχει εστιάσει στα cookie walls και στα dark patterns στα περιβάλλοντα συγκατάθεσης.

Ολλανδία

Αρχή εφαρμογής: Autoriteit Persoonsgegevens (AP).

Εθνική νομοθεσία: Telecommunicatiewet (Νόμος περί Τηλεπικοινωνιών), Άρθρο 11.7a.

Βασικές απαιτήσεις: Η Ολλανδία υιοθέτησε μία από τις αυστηρότερες θέσεις για τα cookie walls στην Ευρώπη. Η AP δήλωσε ξεκάθαρα ότι η εξάρτηση της πρόσβασης σε έναν ιστότοπο από την αποδοχή των cookies δεν συνιστά έγκυρη συγκατάθεση, διότι η συγκατάθεση δεν είναι «ελεύθερα παρεχόμενη» εάν η εναλλακτική είναι η απώλεια πρόσβασης στην υπηρεσία. Η AP απαιτεί επίσης ρητή συγκατάθεση πριν από την τοποθέτηση οποιουδήποτε cookie παρακολούθησης και έχει επικρίνει πλατφόρμες διαχείρισης συγκατάθεσης που χρησιμοποιούν παραπλανητικό σχεδιασμό.

Αξιοσημείωτες ενέργειες: Η AP έχει ερευνήσει πολυάριθμους ιστότοπους για μη συμμόρφωση σχετικά με τα cookies και έχει εκδώσει κατευθύνσεις που στοχεύουν συγκεκριμένα στα dark patterns των banner cookies. Η αρχή συμμετείχε επίσης σε συντονισμένους ελέγχους κυβερνητικών ιστότοπων για τη συμμόρφωση με τα cookies. Το 2024, η AP αύξησε τη δραστηριότητα εφαρμογής της έναντι μικρότερων οργανισμών, σηματοδοτώντας ότι οι προσδοκίες συμμόρφωσης για τα cookies ισχύουν ανεξαρτήτως του μεγέθους της εταιρείας.

Βέλγιο

Αρχή εφαρμογής: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Εθνική νομοθεσία: Νόμος της 13ης Ιουνίου 2005 περί ηλεκτρονικών επικοινωνιών, όπως τροποποιήθηκε από τον Νόμο της 10ης Ιουλίου 2012.

Βασικές απαιτήσεις: Το Βέλγιο ακολουθεί τις τυπικές απαιτήσεις της Οδηγίας ePrivacy. Η βελγική Αρχή Προστασίας Δεδομένων απέκτησε παγκόσμια σημασία στη ρύθμιση των cookies όταν εξέδωσε απόφαση σχετικά με το Transparency and Consent Framework (TCF) του IAB Europe τον Φεβρουάριο του 2022, κρίνοντας ότι το consent string του TCF συνιστά προσωπικά δεδομένα και ότι το IAB Europe ήταν από κοινού υπεύθυνος επεξεργασίας. Αυτή η απόφαση, που επικυρώθηκε εν μέρει από το ΔΕΕ τον Μάρτιο του 2024, έχει επιπτώσεις για κάθε ιστότοπο που χρησιμοποιεί το TCF για τη διαχείριση συγκατάθεσης για cookies.

Αξιοσημείωτα: Η απόφαση για το IAB TCF προκάλεσε σοκ στη βιομηχανία της διαδικτυακής διαφήμισης, καθώς το TCF είναι το πιο ευρέως χρησιμοποιούμενο πλαίσιο συγκατάθεσης για την προγραμματική διαφήμιση στην Ευρώπη. Παρότι το IAB Europe έχει εφαρμόσει αλλαγές για να αντιμετωπίσει τις ανησυχίες της Αρχής, η υπόθεση ανέδειξε τους κινδύνους της βασισμένης σε πλαίσια συγκατάθεσης σχεδιασμένα από τη βιομηχανία που ενδέχεται να μην πληρούν πλήρως τις απαιτήσεις του GDPR.

Αυστρία

Αρχή εφαρμογής: Datenschutzbehörde (DSB).

Εθνική νομοθεσία: Telekommunikationsgesetz 2021 (TKG 2021), Άρθρο 165.

Βασικές απαιτήσεις: Οι κανόνες της Αυστρίας για τα cookies ακολουθούν το τυπικό πλαίσιο της Οδηγίας ePrivacy. Η αυστριακή DSB κέρδισε διεθνή προσοχή τον Ιανουάριο του 2022 όταν έγινε η πρώτη ευρωπαϊκή Αρχή Προστασίας Δεδομένων που έκρινε ότι η χρήση του Google Analytics παραβίαζε τον GDPR, ειδικά όσον αφορά τις διαβιβάσεις προσωπικών δεδομένων προς τις Ηνωμένες Πολιτείες μετά την απόφαση Schrems II. Παρότι επρόκειτο κυρίως για ζήτημα διαβίβασης δεδομένων, είχε άμεσες επιπτώσεις για τη συμμόρφωση με τα cookies, καθώς τα cookies του Google Analytics κρίθηκε ότι συνιστούν προσωπικά δεδομένα που διαβιβάζονται σε τρίτη χώρα χωρίς επαρκείς εγγυήσεις.

Αξιοσημείωτα: Η απόφαση για το Google Analytics πυροδότησε μια αλυσίδα παρόμοιων αποφάσεων σε ολόκληρη την Ευρώπη (η Γαλλία, η Ιταλία και άλλες ακολούθησαν) και επιτάχυνε την ανάπτυξη εναλλακτικών λύσεων analytics που προστατεύουν την ιδιωτικότητα. Η DSB συνέχισε να είναι ενεργή σε ζητήματα cookies και τεχνολογιών παρακολούθησης.

Δανία

Αρχή εφαρμογής: Datatilsynet.

Εθνική νομοθεσία: Cookiebekendtgørelsen (Εκτελεστικό Διάταγμα για την Πληροφόρηση και Συγκατάθεση που Απαιτούνται για την Αποθήκευση ή Πρόσβαση σε Πληροφορίες στον Τερματικό Εξοπλισμό των Τελικών Χρηστών), που εφαρμόζει τις διατάξεις της Οδηγίας ePrivacy.

Βασικές απαιτήσεις: Η Δανία απαιτεί συγκατάθεση για όλα τα cookies εκτός από εκείνα που είναι απολύτως απαραίτητα για μια υπηρεσία που ζητείται ρητά από τον χρήστη. Η Datatilsynet έχει εκδώσει κατευθύνσεις που επιβεβαιώνουν ότι τα cookies analytics απαιτούν συγκατάθεση, και ότι η συνέχιση της περιήγησης δεν συνιστά έγκυρη συγκατάθεση. Οι δανικές κατευθύνσεις έχουν ευθυγραμμιστεί ολοένα και περισσότερο με τις αυστηρότερες θέσεις της CNIL και του EDPB.

Αξιοσημείωτες ενέργειες: Η Datatilsynet αύξησε τη δραστηριότητα εφαρμογής της για τα cookies από το 2022, ερευνώντας ιστότοπους τόσο του δημόσιου όσο και του ιδιωτικού τομέα. Το 2023, η αρχή εξέδωσε αποφάσεις κατά πολλών δανικών ιστότοπων για ανεπαρκείς μηχανισμούς συγκατάθεσης για τα cookies, συμπεριλαμβανομένων περιπτώσεων όπου η επιλογή απόρριψης δεν ήταν επαρκώς ορατή. Η Datatilsynet αντιμετώπισε επίσης τη χρήση του Google Analytics και των Meta tracking pixels σε δανικούς ιστότοπους, διατάσσοντας αρκετούς οργανισμούς να σταματήσουν τη χρήση αυτών των εργαλείων χωρίς κατάλληλη συγκατάθεση και εγγυήσεις διαβίβασης δεδομένων.

Σουηδία

Αρχή εφαρμογής: Integritetsskyddsmyndigheten (IMY).

Εθνική νομοθεσία: Lag om elektronisk kommunikation (LEK, 2003:389).

Βασικές απαιτήσεις: Η Σουηδία μετακινήθηκε από μια σχετικά χαλαρή εφαρμογή για τα cookies σε σημαντική δράση τα τελευταία χρόνια. Η IMY επέβαλε τα πρώτα σημαντικά της πρόστιμα σχετικά με τα cookies το 2023, στοχεύοντας τέσσερις εταιρείες (συμπεριλαμβανομένων των Tele2, CDON, Dagens Industri και Coop) για συνολικό ποσό άνω των 100 εκατ. SEK (περίπου 9 εκατ. ευρώ) για τη χρήση του Google Analytics και την κοινοποίηση προσωπικών δεδομένων στη Google χωρίς έγκυρη συγκατάθεση ή επαρκείς εγγυήσεις διαβίβασης δεδομένων.

Αξιοσημείωτα: Οι ενέργειες εφαρμογής του 2023 σηματοδότησαν μια μεγάλη αλλαγή στην προσέγγιση της Σουηδίας. Η IMY συντόνισε τη δράση της με άλλες σκανδιναβικές Αρχές Προστασίας Δεδομένων και ακολούθησε τα προηγούμενα που έθεσαν η αυστριακή DSB και η γαλλική CNIL για το Google Analytics. Τα πρόστιμα συγκαταλέγονταν στα μεγαλύτερα που έχουν επιβληθεί από οποιαδήποτε σκανδιναβική Αρχή Προστασίας Δεδομένων και κατέδειξαν ότι η σουηδική εφαρμογή είναι πλέον στο ίδιο επίπεδο με τις αυστηρότερες ευρωπαϊκές αρχές.

Ιρλανδία

Αρχή εφαρμογής: Data Protection Commission (DPC).

Εθνική νομοθεσία: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Βασικές απαιτήσεις: Η Ιρλανδία ακολουθεί το τυπικό πλαίσιο της Οδηγίας ePrivacy. Ωστόσο, ο ρόλος της DPC ως επικεφαλής εποπτικής αρχής για πολλές μεγάλες τεχνολογικές εταιρείες που εδρεύουν στην Ιρλανδία (συμπεριλαμβανομένων των Meta, Google, Apple, Microsoft και TikTok) της έχει προσδώσει δυσανάλογη σημασία στην ευρωπαϊκή προστασία δεδομένων. Η DPC έχει εκδώσει κατευθύνσεις για τη συμμόρφωση σχετικά με τα cookies και έχει διεξαγάγει ελέγχους ιστότοπων τόσο του δημόσιου όσο και του ιδιωτικού τομέα.

Αξιοσημείωτα: Η DPC έχει δεχθεί κριτική από άλλες ευρωπαϊκές Αρχές Προστασίας Δεδομένων και το Ευρωπαϊκό Κοινοβούλιο για τον αντιλαμβανόμενο ρυθμό εφαρμογής έναντι των μεγάλων τεχνολογικών εταιρειών. Ωστόσο, η DPC έχει επιβάλει σημαντικά πρόστιμα βάσει GDPR, συμπεριλαμβανομένου προστίμου 1,2 δισ. ευρώ κατά της Meta το 2023 για διαβιβάσεις δεδομένων. Όσον αφορά ειδικά τα cookies, η DPC διεξήγαγε ελέγχους ιστότοπων το 2020 και το 2021, εκδίδοντας συστάσεις συμμόρφωσης σε πολυάριθμους οργανισμούς. Τα άμεσα πρόστιμα ειδικά για cookies από την DPC ήταν σχετικά μέτρια σε σύγκριση με την CNIL.

Πολωνία

Αρχή εφαρμογής: Urząd Ochrony Danych Osobowych (UODO).

Εθνική νομοθεσία: Νόμος περί Τηλεπικοινωνιών (Prawo telekomunikacyjne), Άρθρο 173.

Βασικές απαιτήσεις: Η Πολωνία απαιτεί συγκατάθεση για τα cookies σύμφωνα με την Οδηγία ePrivacy. Η UODO έχει εκδώσει κατευθύνσεις που επιβεβαιώνουν ότι τα προεπιλεγμένα πλαίσια και η συνέχιση της περιήγησης δεν συνιστούν έγκυρη συγκατάθεση. Η πολωνική νομοθεσία περιλαμβάνει ειδικές διατάξεις για τις πληροφορίες που πρέπει να παρέχονται στους χρήστες σχετικά με τα cookies, συμπεριλαμβανομένων των σκοπών, της ταυτότητας του υπευθύνου επεξεργασίας και των οδηγιών για τη διαχείριση των ρυθμίσεων cookies.

Αξιοσημείωτα: Η δραστηριότητα εφαρμογής της Πολωνίας για τα cookies έχει αυξηθεί, με την UODO να ερευνά καταγγελίες για μη συμμορφούμενα banner cookies και να συνεργάζεται με τη ρυθμιστική αρχή τηλεπικοινωνιών. Η UODO έχει συμμετάσχει σε συντονισμένους ελέγχους εφαρμογής σε επίπεδο ΕΕ και έχει ευθυγραμμίσει τις κατευθύνσεις της με τις συστάσεις του EDPB.

Νορβηγία

Αρχή εφαρμογής: Datatilsynet (Νορβηγική Αρχή Προστασίας Δεδομένων — διακριτή από τη δανική αρχή με το ίδιο όνομα).

Εθνική νομοθεσία: Ekomloven (Νόμος περί Ηλεκτρονικών Επικοινωνιών).

Βασικές απαιτήσεις: Παρότι η Νορβηγία δεν είναι κράτος-μέλος της ΕΕ, είναι μέλος του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) και έχει ενσωματώσει τον GDPR και την Οδηγία ePrivacy στην εθνική της νομοθεσία μέσω της Συμφωνίας ΕΟΧ. Η νορβηγική Datatilsynet ακολουθεί στενά τις κατευθύνσεις του EDPB και υπήρξε ενεργή στην εφαρμογή για τα cookies.

Αξιοσημείωτες ενέργειες: Η νορβηγική Datatilsynet επέβαλε πρόστιμο 5 εκατ. ευρώ στη Grindr τον Δεκέμβριο του 2021 (που αργότερα μειώθηκε σε 6,5 εκατ. ευρώ κατόπιν προσφυγής) για την κοινοποίηση δεδομένων χρηστών σε διαφημιστικούς συνεργάτες χωρίς έγκυρη συγκατάθεση. Παρότι επρόκειτο κυρίως για υπόθεση συγκατάθεσης σχετικά με την κοινοποίηση δεδομένων και όχι ειδικά για cookies, καθιέρωσε σημαντικά προηγούμενα για τις απαιτήσεις συγκατάθεσης στις τεχνολογίες παρακολούθησης. Η αρχή έχει επίσης ερευνήσει τη χρήση του Google Analytics και άλλων εργαλείων παρακολούθησης σε νορβηγικούς ιστότοπους.

Βασικά Συμπεράσματα

Παρά τις διαφορές στην εθνική εφαρμογή και την επιβολή, αρκετές αρχές είναι συνεπείς σε όλες τις χώρες της ΕΕ και του ΕΟΧ:

  • Απαιτείται συγκατάθεση πριν από την τοποθέτηση οποιουδήποτε μη απαραίτητου cookie. Καμία ευρωπαϊκή χώρα δεν αποδέχεται ένα καθαρά opt-out μοντέλο για τα cookies.
  • Η συγκατάθεση πρέπει να πληροί το πρότυπο του GDPR: ελεύθερα παρεχόμενη, συγκεκριμένη, ενημερωμένη, ρητή και εκδηλωμένη με σαφή θετική ενέργεια.
  • Η απόρριψη πρέπει να είναι εξίσου εύκολη με την αποδοχή. Ενώ η συγκεκριμένη υλοποίηση ενδέχεται να διαφέρει (ξεχωριστό κουμπί, X για κλείσιμο κ.λπ.), η αρχή ότι η άρνηση των cookies δεν πρέπει να είναι δυσκολότερη από την αποδοχή τους είναι καθολική.
  • Η εφαρμογή αυξάνεται παντού. Χώρες που ήταν προηγουμένως επιεικείς επιβάλλουν πλέον πρόστιμα και εκδίδουν επίσημες αποφάσεις. Δεν υπάρχει «ασφαλής» ευρωπαϊκή δικαιοδοσία για τη μη συμμόρφωση.
  • Η συντονισμένη εφαρμογή αυξάνεται. Οι Αρχές Προστασίας Δεδομένων συνεργάζονται ολοένα και περισσότερο μέσω του EDPB και διεξάγουν συντονισμένους ελέγχους, πράγμα που σημαίνει ότι η μη συμμόρφωση σε μία χώρα είναι πιθανό να προσελκύσει την προσοχή και σε άλλες.

Συμμορφώνεται ο ιστότοπός σας με τους κανονισμούς cookies;

Σαρώστε τον ιστότοπό σας δωρεάν και βρείτε όλα τα cookies σε λίγα λεπτά.

Σαρώστε τα cookies σας δωρεάν