Skip to main content

Vafrakökulög eftir löndum: Leiðarvísir fyrir ESB og EES

Þótt ePrivacy-tilskipunin og GDPR myndi sameiginlegan ramma um allt Evrópusambandið hefur hvert aðildarríki innleitt ePrivacy-tilskipunina í landslög með sínum eigin blæbrigðum. Þéttleiki eftirlits, túlkun undanþága og stærð sekta er mjög breytileg milli landa. Þessi leiðarvísir fjallar um helstu sérkenni vafrakökulaga fyrir tólf helstu markaði Evrópu.

Skjót yfirlitstafla

Land Eftirlitsaðili Landslög Eftirlitsstig Athyglisvert
Þýskaland Fylkjaeftirlit + BfDI TTDSG (2021) Hátt Dreifð framfylgd; PIMS-rammi
Frakkland CNIL Loi Informatique et Libertés Mjög hátt Metsektir; ítarlegar vafrakökuleiðbeiningar
Ítalía Garante Persónuverndarlög (D.Lgs. 196/2003) Hátt Yfirgripsmiklar vafrakökuleiðbeiningar 2021
Spánn AEPD LSSI-CE + LOPDGDD Miðlungs Saga umræðu um undanþágu tölfræðigagna
Holland AP Telecommunicatiewet Hátt Strangt bann við vafrakökumúrum
Belgía APD/GBA ePrivacy-lögin (2012) Miðlungs IAB Europe TCF-úrskurður
Austurríki DSB TKG 2021 Miðlungs-hátt Snemmborin Google Analytics-úrskurðir
Danmörk Datatilsynet Cookiebekendtgørelsen Miðlungs Aukin framfylgd frá 2022
Svíþjóð IMY LEK (2003:389) Miðlungs-hátt Miklar sektir 2023-2024
Írland DPC SI 336/2011 Miðlungs Miðstöð stórtæknifyrirtækja; gagnrýnt fyrir hraða framfylgdar
Pólland UODO Fjarskiptalög Miðlungs Vaxandi eftirlitsvirkni
Noregur Datatilsynet Ekomloven Miðlungs EES-aðili; fylgir leiðbeiningum EDPB náið

Þýskaland

Eftirlitsaðili: Sambandsumboðsmaður persónuverndar (BfDI) á sambandsstigi, auk 16 fylkjaeftirlitsstofnana persónuverndar (Landesdatenschutzbehörden).

Landslög: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), sem tók gildi 1. desember 2021, sameinaði vafrakökureglur Þýskalands. Grein 25 TTDSG innleiðir 5. mgr. 3. gr. ePrivacy-tilskipunarinnar og krefst samþykkis fyrir geymslu eða aðgangi að upplýsingum á tækjum notenda nema geymslan sé strangt til tekið nauðsynleg.

Helstu kröfur: TTDSG skýrði að samþykki fyrir vafrakökum verði að uppfylla GDPR-viðmiðið. Æðsti dómstóll Þýskalands (BGH) hafði þegar staðfest þetta í innleiðingu Planet49-úrskurðarins (maí 2020) og komst að þeirri niðurstöðu að fyrirfram merktir gátreitir séu ófullnægjandi. TTDSG innleiddi einnig ákvæði um viðurkennd persónuupplýsingakerfi (PIMS), sem myndu gera notendum kleift að stýra samþykkisstillingum miðlægt í stað þess á hverri vefsíðu — þótt reglugerðir um innleiðingu PIMS hafi verið seinar að komast í framkvæmd.

Framfylgd: Dreifð framfylgdaruppbygging Þýskalands þýðir að framfylgd á vafrakökuhlítni er breytileg eftir fylkjum. Eftirlitsstofnanir í Berlín, Hamborg og Baden-Württemberg hafa verið meðal þeirra virkustu. Ráðstefna persónuverndarstofnana (DSK) gefur reglulega út sameiginlegar afstöður um kröfur um samþykki fyrir vafrakökum.

Athyglisverðar aðgerðir: Fjölmargar rannsóknir á vafrakökuborðum sem notuðu blekkjandi hönnun (dark patterns), einkum „nöggandi“ hönnun þar sem samþykkishnappurinn var sjónrænt áberandi meðan höfnunarvalið var dregið úr. Sektir hafa almennt verið lægri en í Frakklandi en eftirlitsvirkni hefur aukist jafnt og þétt frá gildistöku TTDSG.

Frakkland

Eftirlitsaðili: Commission Nationale de l'Informatique et des Libertés (CNIL).

Landslög: Loi Informatique et Libertés (lög nr. 78-17), breytt til að innleiða ePrivacy-tilskipunina. CNIL gaf út yfirgripsmiklar vafrakökuleiðbeiningar í september 2020 með aðlögunartímabili sem lauk 31. mars 2021.

Helstu kröfur: Frakkland er strangasti stóri markaður ESB hvað varðar vafrakökuhlítni. Leiðbeiningar CNIL krefjast: samþykkis áður en nokkur ónauðsynleg vafrakaka er sett; höfnunarvals í fyrsta lagi borðans sem er jafn auðvelt að nota og samþykkisvalið; engra vafrakökumúra (með takmörkuðum undantekningum sem Conseil d'État staðfesti); ítarlegra upplýsinga um tilgang hverrar vafraköku.

Undanþága fyrir mælingu áhorfenda: CNIL veitir takmarkaða undanþágu fyrir vafrakökur til áhorfsmælinga sem uppfylla ströng skilyrði: verkfærið verður að vera stillt til að framleiða aðeins nafnlausar tölfræðiupplýsingar, vafrakökurnar verða að takmarkast við síðu útgefandans, líftími vafrakökunnar má ekki vera lengri en 13 mánuðir og gögnin má ekki sameina annarri vinnslu. Verkfæri eins og Matomo (með sérstakri stillingu) og AT Internet hafa verið viðurkennd samkvæmt þessari undanþágu. Google Analytics uppfyllir ekki skilyrðin.

Athyglisverðar sektir: Frakkland hefur lagt á stærstu vafrakökutengdu sektirnar í Evrópu. Google LLC var sektað um 150 milljónir evra í desember 2021 fyrir að gera höfnun vafrakaka erfiðari en samþykki. Facebook var sektað um 60 milljónir evra í sömu aðgerð. Microsoft var sektað um 60 milljónir evra í desember 2022. TikTok var sektað um 5 milljónir evra í desember 2022. Criteo var sektað um 40 milljónir evra í júní 2023. Alls hefur CNIL lagt á yfir 400 milljónir evra í vafrakökusértækum sektum.

Ítalía

Eftirlitsaðili: Garante per la protezione dei dati personali (Garante).

Landslög: Persónuverndarlög (Decreto Legislativo 196/2003), breytt til samræmis við GDPR. Garante gaf út yfirgripsmiklar vafrakökuleiðbeiningar 10. júní 2021, þar sem hlítni var krafist fyrir 10. janúar 2022.

Helstu kröfur: Leiðbeiningar Garante frá 2021 eru meðal þeirra ítarlegustu í Evrópu. Þær krefjast: fyrsta lags borða með samþykkishnappi og áberandi höfnunarhnappi (merktum með „X“ eða „Halda áfram án samþykkis“); annars lags sem aðgengilegt er frá fyrsta borðanum með nákvæmri stýringu vafrakökuflokka; skrun jafngildir ekki samþykki; endurnýja verður samþykki fyrir vafrakökum eftir að hámarki 6 mánuði.

Athyglisvert: Garante innleiddi þá hugmynd að krefjast sérstaks „loka“-hnapps á vafrakökuborðum í stað þess að leyfa áframhaldandi vafri að þjóna sem höfnun. Leiðbeiningarnar tóku einnig á máli tölfræðilegra vafrakaka og kröfðust samþykkis fyrir öllum tölfræðiverkfærum þriðja aðila og leyfðu aðeins takmarkaða undanþágu fyrir tölfræðiverkfæri fyrsta aðila með rétt nafnlausum gögnum.

Spánn

Eftirlitsaðili: Agencia Española de Protección de Datos (AEPD).

Landslög: Ley de Servicios de la Sociedad de la Información (LSSI-CE) og Ley Orgánica de Protección de Datos (LOPDGDD).

Helstu kröfur: Spánn tók upphaflega mildari nálgun á vafrakökuhlítni, þar sem vafrakökuleiðbeiningar AEPD frá 2013 bentu til að tilteknar tölfræðilegar vafrakökur mætti nota á grundvelli lögmætra hagsmuna. Hins vegar hefur AEPD smám saman samræmst strangari evrópsku samstöðunni í kjölfar leiðbeininga EDPB og Planet49-úrskurðarins. Núverandi leiðbeiningar AEPD krefjast fyrirfram samþykkis fyrir tölfræðilegum og markaðslegum vafrakökum.

Athyglisverðar aðgerðir: AEPD sektaði Vueling Airlines um 30.000 evrur árið 2020 fyrir vafrakökuborða sem bauð aðeins upp á samþykkisval án nokkurs möguleika til að hafna vafrakökum. CaixaBank var sektað um 6 milljónir evra árið 2021, að hluta til tengt gagnavinnsluvenjum sem tengdust vafrakökutengdri rakningu. Nýverið hefur AEPD einbeitt sér að vafrakökumúrum og blekkjandi hönnun í samþykkisviðmótum.

Holland

Eftirlitsaðili: Autoriteit Persoonsgegevens (AP).

Landslög: Telecommunicatiewet (fjarskiptalög), grein 11.7a.

Helstu kröfur: Holland hefur tekið eina af ströngustu afstöðunum til vafrakökumúra í Evrópu. AP hefur skýrt tekið fram að það að gera aðgang að vefsíðu háðan því að samþykkja vafrakökur sé ekki gilt samþykki, vegna þess að samþykki er ekki „frjálst gefið“ ef valkosturinn er að missa aðgang að þjónustunni. AP krefst einnig skýrs samþykkis áður en rakningarvafrakökur eru settar og hefur gagnrýnt samþykkisstjórnunarkerfi sem nota afvegaleiðandi hönnun.

Athyglisverðar aðgerðir: AP hefur rannsakað fjölmargar vefsíður vegna vafrakökuhlítnibresta og hefur gefið út leiðbeiningar sem beinast sérstaklega að blekkjandi hönnun í vafrakökuborðum. Stofnunin tók einnig þátt í samræmdum úttektum á vefsíðum stjórnvalda vegna vafrakökuhlítni. Árið 2024 jók AP eftirlitsvirkni sína gegn smærri fyrirtækjum, sem gaf til kynna að vafrakökuhlítnikröfur gilda óháð stærð fyrirtækis.

Belgía

Eftirlitsaðili: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Landslög: Lög frá 13. júní 2005 um rafræn fjarskipti, breytt með lögum frá 10. júlí 2012.

Helstu kröfur: Belgía fylgir stöðluðum kröfum ePrivacy-tilskipunarinnar. Belgíska persónuverndarstofnunin varð alþjóðlega mikilvæg í vafrakökureglugerð þegar hún úrskurðaði um IAB Europe Transparency and Consent Framework (TCF) í febrúar 2022 og komst að þeirri niðurstöðu að samþykkisstrengur TCF teldist persónuupplýsingar og að IAB Europe væri sameiginlegur ábyrgðaraðili. Þessi úrskurður, sem CJEU staðfesti að hluta í mars 2024, hefur áhrif á allar vefsíður sem nota TCF fyrir stjórnun samþykkis fyrir vafrakökum.

Athyglisvert: IAB TCF-úrskurðurinn sló óhug á netauglýsingaiðnaðinn, þar sem TCF er mest notaði samþykkisramminn fyrir forritanlegar auglýsingar í Evrópu. Þótt IAB Europe hafi innleitt breytingar til að taka á áhyggjum persónuverndarstofnunarinnar dró málið fram áhætturnar við að treysta á samþykkisramma sem hannaðir eru af iðnaðinum og uppfylla kannski ekki að fullu kröfur GDPR.

Austurríki

Eftirlitsaðili: Datenschutzbehörde (DSB).

Landslög: Telekommunikationsgesetz 2021 (TKG 2021), grein 165.

Helstu kröfur: Vafrakökureglur Austurríkis fylgja stöðluðum ramma ePrivacy-tilskipunarinnar. Austurríska DSB fékk alþjóðlega athygli í janúar 2022 þegar hún varð fyrsta evrópska persónuverndarstofnunin til að úrskurða að notkun Google Analytics bryti gegn GDPR, einkum varðandi flutning persónuupplýsinga til Bandaríkjanna í kjölfar Schrems II-úrskurðarins. Þótt þetta hafi fyrst og fremst verið gagnaflutningsmál hafði það bein áhrif á vafrakökuhlítni, þar sem komist var að þeirri niðurstöðu að Google Analytics-vafrakökur teldust persónuupplýsingar sem fluttar væru til þriðja lands án fullnægjandi verndarráðstafana.

Athyglisvert: Google Analytics-úrskurðurinn kom af stað flóði svipaðra ákvarðana um alla Evrópu (Frakkland, Ítalía og fleiri fylgdu í kjölfarið) og flýtti fyrir þróun persónuverndarvænna tölfræðivalkosta. DSB hefur haldið áfram að vera virk í vafraköku- og rakningartæknimálum.

Danmörk

Eftirlitsaðili: Datatilsynet.

Landslög: Cookiebekendtgørelsen (framkvæmdafyrirmæli um upplýsingar og samþykki sem krafist er fyrir geymslu eða aðgang að upplýsingum í tækjum notenda), sem innleiðir ákvæði ePrivacy-tilskipunarinnar.

Helstu kröfur: Danmörk krefst samþykkis fyrir öllum vafrakökum nema þeim sem eru strangt til tekið nauðsynlegar fyrir þjónustu sem notandinn hefur beinlínis óskað eftir. Datatilsynet hefur gefið út leiðbeiningar sem staðfesta að tölfræðilegar vafrakökur krefjist samþykkis og að áframhaldandi vafri jafngildi ekki gildu samþykki. Danskar leiðbeiningar hafa í auknum mæli samræmst strangari afstöðum CNIL og EDPB.

Athyglisverðar aðgerðir: Datatilsynet hefur aukið eftirlitsvirkni sína varðandi vafrakökur frá 2022 og rannsakað bæði vefsíður opinbera og einkageirans. Árið 2023 tók stofnunin ákvarðanir gegn fjölmörgum dönskum vefsíðum fyrir ófullnægjandi samþykkisferli vafrakaka, þar á meðal tilvik þar sem höfnunarvalið var ekki nægilega sýnilegt. Datatilsynet hefur einnig tekið á notkun Google Analytics og Meta-rakningarpixla á dönskum vefsíðum og fyrirskipað nokkrum stofnunum að hætta að nota þessi verkfæri án viðeigandi samþykkis og gagnaflutningsverndarráðstafana.

Svíþjóð

Eftirlitsaðili: Integritetsskyddsmyndigheten (IMY).

Landslög: Lag om elektronisk kommunikation (LEK, 2003:389).

Helstu kröfur: Svíþjóð hefur farið frá tiltölulega lítilli vafrakökuframfylgd yfir í umtalsverðar aðgerðir á undanförnum árum. IMY gaf út sínar fyrstu stóru vafrakökutengdu sektir árið 2023 og beindi þeim að fjórum fyrirtækjum (þar á meðal Tele2, CDON, Dagens Industri og Coop) fyrir samtals yfir 100 milljónir sænskra króna (um það bil 9 milljónir evra) fyrir að nota Google Analytics og deila persónuupplýsingum með Google án gilds samþykkis eða fullnægjandi gagnaflutningsverndarráðstafana.

Athyglisvert: Eftirlitsaðgerðirnar 2023 gáfu til kynna mikla breytingu á nálgun Svíþjóðar. IMY samræmdi aðgerðir við aðrar norrænar persónuverndarstofnanir og fylgdi fordæmum austurrísku DSB og frönsku CNIL varðandi Google Analytics. Sektirnar voru meðal þeirra stærstu sem nokkur norræn persónuverndarstofnun hefur lagt á og staðfestu að sænsk framfylgd er nú á pari við ströngustu evrópsku stofnanirnar.

Írland

Eftirlitsaðili: Data Protection Commission (DPC).

Landslög: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Helstu kröfur: Írland fylgir stöðluðum ramma ePrivacy-tilskipunarinnar. Hins vegar hefur hlutverk DPC sem forystueftirlitsstofnunar fyrir mörg stór tæknifyrirtæki með höfuðstöðvar á Írlandi (þar á meðal Meta, Google, Apple, Microsoft og TikTok) veitt henni óvenju mikla þýðingu í evrópskri persónuvernd. DPC hefur gefið út leiðbeiningar um vafrakökuhlítni og framkvæmt úttektir á vefsíðum bæði opinbera og einkageirans.

Athyglisvert: DPC hefur sætt gagnrýni frá öðrum evrópskum persónuverndarstofnunum og Evrópuþinginu fyrir álitinn hraða framfylgdar sinnar gegn stórtæknifyrirtækjum. Hins vegar hefur DPC lagt á umtalsverðar GDPR-sektir, þar á meðal 1,2 milljarða evra sekt gegn Meta árið 2023 fyrir gagnaflutninga. Hvað vafrakökur varðar sérstaklega framkvæmdi DPC vefsíðuúttektir árin 2020 og 2021 og gaf út hlítnitilmæli til fjölmargra stofnana. Beinar vafrakökusértækar sektir frá DPC hafa verið tiltölulega hóflegar samanborið við CNIL.

Pólland

Eftirlitsaðili: Urząd Ochrony Danych Osobowych (UODO).

Landslög: Fjarskiptalög (Prawo telekomunikacyjne), grein 173.

Helstu kröfur: Pólland krefst samþykkis fyrir vafrakökum í samræmi við ePrivacy-tilskipunina. UODO hefur gefið út leiðbeiningar sem staðfesta að fyrirfram merktir reitir og áframhaldandi vafri jafngildi ekki gildu samþykki. Pólsk lög fela í sér sérstök ákvæði um upplýsingar sem veita verður notendum um vafrakökur, þar á meðal tilgang, auðkenni ábyrgðaraðila og leiðbeiningar um að stjórna vafrakökustillingum.

Athyglisvert: Eftirlitsvirkni Póllands varðandi vafrakökur hefur aukist, þar sem UODO rannsakar kvartanir um vafrakökuborða sem uppfylla ekki reglur og vinnur með fjarskiptaeftirlitsaðilanum. UODO hefur tekið þátt í samræmdum eftirlitsúttektum um allt ESB og samræmt leiðbeiningar sínar tilmælum EDPB.

Noregur

Eftirlitsaðili: Datatilsynet (norska persónuverndarstofnunin — aðgreind frá dönsku stofnuninni með sama nafni).

Landslög: Ekomloven (lög um rafræn fjarskipti).

Helstu kröfur: Þótt Noregur sé ekki aðildarríki ESB er landið aðili að Evrópska efnahagssvæðinu (EES) og hefur innleitt GDPR og ePrivacy-tilskipunina í landslög sín í gegnum EES-samninginn. Norska Datatilsynet fylgir leiðbeiningum EDPB náið og hefur verið virk í vafrakökuframfylgd.

Athyglisverðar aðgerðir: Norska Datatilsynet lagði 5 milljóna evra sekt á Grindr í desember 2021 (síðar lækkuð í 6,5 milljónir evra við áfrýjun) fyrir að deila notendagögnum með auglýsingafélögum án gilds samþykkis. Þótt þetta hafi fyrst og fremst verið samþykkismál tengt gagnadeilingu frekar en vafrakökum sérstaklega, setti það mikilvæg fordæmi fyrir samþykkiskröfum í rakningartækni. Stofnunin hefur einnig rannsakað notkun Google Analytics og annarra rakningarverkfæra á norskum vefsíðum.

Helstu atriði

Þrátt fyrir breytileika í innleiðingu og framfylgd milli landa eru nokkrar meginreglur samræmdar í öllum ESB- og EES-löndum:

  • Samþykkis er krafist áður en nokkur ónauðsynleg vafrakaka er sett. Ekkert evrópskt land samþykkir hreint afþökkunarmódel fyrir vafrakökur.
  • Samþykki verður að uppfylla GDPR-viðmiðið: frjálst gefið, sértækt, upplýst, ótvírætt og sýnt með skýrri jákvæðri aðgerð.
  • Höfnun verður að vera jafn auðveld og samþykki. Þótt tiltekin útfærsla geti verið breytileg (sérstakur hnappur, X til að loka o.s.frv.) er meginreglan um að það megi ekki vera erfiðara að hafna vafrakökum en að samþykkja þær algild.
  • Framfylgd eykst alls staðar. Lönd sem áður voru væg gefa nú út sektir og formlegar ákvarðanir. Það er engin „örugg“ evrópsk lögsaga fyrir vanhlítni.
  • Samræmd framfylgd vex. Persónuverndarstofnanir eiga í auknum mæli samstarf í gegnum EDPB og framkvæma samræmdar úttektir, sem þýðir að vanhlítni í einu landi mun líklega vekja athygli í öðrum.

Uppfyllir vefsíðan þín vefkökureglurnar?

Skannaðu vefsíðuna þína ókeypis og finndu allar vefkökur á nokkrum mínútum.

Skannaðu vefkökurnar þínar ókeypis