Zakoni o kolačićima po državama: Vodič za EU i EGP
Iako ePrivacy Direktiva i GDPR pružaju zajednički okvir na razini cijele Europske unije, svaka je država članica ePrivacy Direktivu prenijela u svoje nacionalno zakonodavstvo sa specifičnim nijansama. Intenzitet provedbe, tumačenje izuzeća i visina kazni znatno se razlikuju od države do države. Ovaj vodič obrađuje ključne specifičnosti zakona o kolačićima za dvanaest glavnih europskih tržišta.
Brza referentna tablica
| Država | Nadležno tijelo | Nacionalni zakon | Razina provedbe | Napomene |
|---|---|---|---|---|
| Njemačka | Državna nadzorna tijela + BfDI | TTDSG (2021.) | Visoka | Decentralizirana provedba; PIMS okvir |
| Francuska | CNIL | Loi Informatique et Libertés | Vrlo visoka | Rekordne kazne; detaljne smjernice o kolačićima |
| Italija | Garante | Zakon o zaštiti privatnosti (D.Lgs. 196/2003) | Visoka | Sveobuhvatne smjernice o kolačićima iz 2021. |
| Španjolska | AEPD | LSSI-CE + LOPDGDD | Umjerena | Povijest rasprave o izuzeću za analitiku |
| Nizozemska | AP | Telecommunicatiewet | Visoka | Stroga zabrana zidova za kolačiće |
| Belgija | APD/GBA | Zakon o ePrivatnosti (2012.) | Umjerena | Odluka o IAB Europe TCF-u |
| Austrija | DSB | TKG 2021 | Umjereno visoka | Rane odluke o Google Analyticsu |
| Danska | Datatilsynet | Cookiebekendtgørelsen | Umjerena | Sve intenzivnija provedba od 2022. |
| Švedska | IMY | LEK (2003:389) | Umjereno visoka | Velike kazne u 2023.-2024. |
| Irska | DPC | SI 336/2011 | Umjerena | Središte za Big Tech; pod povećalom zbog tempa provedbe |
| Poljska | UODO | Zakon o telekomunikacijama | Umjerena | Sve intenzivnija provedbena aktivnost |
| Norveška | Datatilsynet | Ekomloven | Umjerena | Članica EGP-a; usko slijedi smjernice EDPB-a |
Njemačka
Nadležno tijelo za provedbu: Savezni povjerenik za zaštitu podataka (BfDI) na saveznoj razini te 16 državnih tijela za zaštitu podataka (Landesdatenschutzbehörden).
Nacionalni zakon: Zakon o zaštiti podataka u telekomunikacijama i telemedijima (TTDSG), koji je stupio na snagu 1. prosinca 2021., objedinio je njemačka pravila o kolačićima. Članak 25. TTDSG-a prenosi članak 5. stavak 3. ePrivacy Direktive, zahtijevajući privolu za pohranu ili pristup informacijama na uređajima krajnjih korisnika, osim ako je pohrana strogo nužna.
Ključni zahtjevi: TTDSG je pojasnio da privola za kolačiće mora zadovoljavati standard GDPR-a. Njemački Savezni vrhovni sud (BGH) to je već potvrdio u provedbi presude Planet49 (svibanj 2020.), utvrdivši da su unaprijed označeni kvadratići nedostatni. TTDSG je uveo i odredbe o priznatim sustavima za upravljanje osobnim podacima (PIMS), koji bi korisnicima omogućili središnje upravljanje postavkama privole umjesto na svakoj pojedinoj web-stranici — iako je donošenje provedbenih propisa za PIMS bilo sporo.
Provedba: Decentralizirana struktura provedbe u Njemačkoj znači da se provedba usklađenosti u pogledu kolačića razlikuje od države do države. Nadzorna tijela Berlina, Hamburga i Baden-Württemberga bila su među najaktivnijima. Konferencija tijela za zaštitu podataka (DSK) povremeno objavljuje zajednička stajališta o zahtjevima za privolu na kolačiće.
Značajni postupci: Brojne istrage o skočnim prozorima za kolačiće koji su koristili mračne obrasce, osobito dizajn "poticanja" u kojem je gumb za prihvaćanje bio vizualno istaknut, dok je opcija odbijanja bila zapostavljena. Kazne su općenito bile niže nego u Francuskoj, no provedbena aktivnost postojano raste otkako je TTDSG stupio na snagu.
Francuska
Nadležno tijelo za provedbu: Commission Nationale de l'Informatique et des Libertés (CNIL).
Nacionalni zakon: Loi Informatique et Libertés (Zakon br. 78-17), izmijenjen radi provedbe ePrivacy Direktive. CNIL je u rujnu 2020. objavio sveobuhvatne smjernice o kolačićima s prijelaznim razdobljem za usklađivanje koje je završilo 31. ožujka 2021.
Ključni zahtjevi: Francuska je najstrože veće tržište EU-a u pogledu usklađenosti s pravilima o kolačićima. Smjernice CNIL-a zahtijevaju: privolu prije postavljanja bilo kojeg nenužnog kolačića; opciju odbijanja na prvoj razini skočnog prozora koja je jednako jednostavna za korištenje kao i opcija prihvaćanja; zabranu zidova za kolačiće (uz ograničena izuzeća koja je potvrdio Conseil d'État); detaljne informacije o svrsi svakog kolačića.
Izuzeće za mjerenje publike: CNIL predviđa ograničeno izuzeće za kolačiće za mjerenje publike koji zadovoljavaju stroge uvjete: alat mora biti konfiguriran tako da proizvodi isključivo anonimne statističke podatke, kolačići moraju biti ograničeni na stranicu izdavača, vijek trajanja kolačića ne smije prelaziti 13 mjeseci, a podaci se ne smiju kombinirati s drugom obradom. Alati poput Matoma (uz specifičnu konfiguraciju) i AT Interneta priznati su u okviru ovog izuzeća. Google Analytics ne ispunjava te uvjete.
Značajne kazne: Francuska je izrekla najveće kazne povezane s kolačićima u Europi. Google LLC kažnjen je s 150 milijuna eura u prosincu 2021. jer je otežao odbijanje kolačića u odnosu na njihovo prihvaćanje. Facebook je u istom postupku kažnjen s 60 milijuna eura. Microsoft je kažnjen s 60 milijuna eura u prosincu 2022. TikTok je kažnjen s 5 milijuna eura u prosincu 2022. Criteo je kažnjen s 40 milijuna eura u lipnju 2023. Ukupno je CNIL izrekao više od 400 milijuna eura kazni specifičnih za kolačiće.
Italija
Nadležno tijelo za provedbu: Garante per la protezione dei dati personali (Garante).
Nacionalni zakon: Zakon o zaštiti privatnosti (Decreto Legislativo 196/2003), izmijenjen radi usklađivanja s GDPR-om. Garante je 10. lipnja 2021. objavio sveobuhvatne smjernice o kolačićima, uz obvezu usklađivanja do 10. siječnja 2022.
Ključni zahtjevi: Smjernice Garantea iz 2021. među najdetaljnijima su u Europi. Zahtijevaju: skočni prozor na prvoj razini s gumbom za prihvaćanje i istaknutim gumbom za odbijanje (označenim s "X" ili "Nastavi bez prihvaćanja"); drugu razinu dostupnu iz prvog skočnog prozora s granularnim kontrolama kategorija kolačića; pomicanje stranice izričito ne predstavlja privolu; privola za kolačiće mora se ponovno zatražiti nakon najviše 6 mjeseci.
Napomena: Garante je uveo koncept obveznog specifičnog gumba za "zatvaranje" na skočnim prozorima za kolačiće umjesto dopuštanja da nastavak pregledavanja predstavlja odbijanje. Smjernice su također razmotrile pitanje analitike kolačića, zahtijevajući privolu za svu analitiku trećih strana i dopuštajući ograničeno izuzeće samo za vlastite analitičke alate s pravilno anonimiziranim podacima.
Španjolska
Nadležno tijelo za provedbu: Agencia Española de Protección de Datos (AEPD).
Nacionalni zakon: Ley de Servicios de la Sociedad de la Información (LSSI-CE) i Ley Orgánica de Protección de Datos (LOPDGDD).
Ključni zahtjevi: Španjolska je isprva zauzela blaži pristup usklađenosti s pravilima o kolačićima, pri čemu je vodič AEPD-a o kolačićima iz 2013. sugerirao da bi se određeni analitički kolačići mogli koristiti na temelju legitimnog interesa. Međutim, AEPD se postupno uskladio sa strožim europskim konsenzusom, slijedeći smjernice EDPB-a i presudu Planet49. Aktualne smjernice AEPD-a zahtijevaju prethodnu privolu za analitičke i marketinške kolačiće.
Značajni postupci: AEPD je 2020. kaznio Vueling Airlines s 30.000 eura zbog skočnog prozora za kolačiće koji je nudio samo opciju prihvaćanja bez mogućnosti odbijanja kolačića. CaixaBank je 2021. kažnjen s 6 milijuna eura, dijelom u vezi s praksama obrade podataka povezanim s praćenjem temeljenim na kolačićima. U novije se vrijeme AEPD usredotočio na zidove za kolačiće i mračne obrasce u sučeljima za privolu.
Nizozemska
Nadležno tijelo za provedbu: Autoriteit Persoonsgegevens (AP).
Nacionalni zakon: Telecommunicatiewet (Zakon o telekomunikacijama), članak 11.7a.
Ključni zahtjevi: Nizozemska je zauzela jedno od najstrožih stajališta o zidovima za kolačiće u Europi. AP je jasno naveo da uvjetovanje pristupa web-stranici prihvaćanjem kolačića nije valjana privola, jer privola nije "dobrovoljno dana" ako je alternativa gubitak pristupa usluzi. AP također zahtijeva izričitu privolu prije postavljanja bilo kojeg kolačića za praćenje te je bio kritičan prema platformama za upravljanje privolom koje koriste manipulativan dizajn.
Značajni postupci: AP je istražio brojne web-stranice zbog propusta u usklađenosti s pravilima o kolačićima i objavio smjernice koje se posebno bave mračnim obrascima u skočnim prozorima za kolačiće. Tijelo je također sudjelovalo u koordiniranim provjerama vladinih web-stranica u pogledu usklađenosti s pravilima o kolačićima. U 2024. AP je pojačao provedbenu aktivnost protiv manjih organizacija, signalizirajući da očekivanja u pogledu usklađenosti s pravilima o kolačićima vrijede bez obzira na veličinu tvrtke.
Belgija
Nadležno tijelo za provedbu: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Nacionalni zakon: Zakon od 13. lipnja 2005. o elektroničkim komunikacijama, izmijenjen Zakonom od 10. srpnja 2012.
Ključni zahtjevi: Belgija slijedi standardne zahtjeve ePrivacy Direktive. Belgijsko tijelo za zaštitu podataka postalo je globalno značajno u regulaciji kolačića kada je u veljači 2022. donijelo odluku o okviru za transparentnost i privolu (TCF) IAB-a Europe, utvrdivši da niz privola u okviru TCF-a predstavlja osobne podatke te da je IAB Europe zajednički voditelj obrade. Ova odluka, koju je Sud EU-a djelomično potvrdio u ožujku 2024., ima implikacije za svaku web-stranicu koja koristi TCF za upravljanje privolom na kolačiće.
Napomena: Odluka o IAB TCF-u uzdrmala je industriju internetskog oglašavanja jer je TCF najrašireniji okvir za privolu u programatskom oglašavanju u Europi. Iako je IAB Europe proveo izmjene kako bi odgovorio na zabrinutosti tijela za zaštitu podataka, slučaj je istaknuo rizike oslanjanja na okvire za privolu koje je osmislila industrija, a koji možda ne ispunjavaju u potpunosti zahtjeve GDPR-a.
Austrija
Nadležno tijelo za provedbu: Datenschutzbehörde (DSB).
Nacionalni zakon: Telekommunikationsgesetz 2021 (TKG 2021), članak 165.
Ključni zahtjevi: Austrijska pravila o kolačićima slijede standardni okvir ePrivacy Direktive. Austrijski DSB privukao je međunarodnu pozornost u siječnju 2022. kada je postao prvo europsko tijelo za zaštitu podataka koje je odlučilo da korištenje Google Analyticsa krši GDPR, konkretno u pogledu prijenosa osobnih podataka u Sjedinjene Američke Države nakon presude Schrems II. Iako se radilo prvenstveno o pitanju prijenosa podataka, to je imalo izravne implikacije za usklađenost s pravilima o kolačićima, budući da je utvrđeno da kolačići Google Analyticsa predstavljaju osobne podatke prenesene u treću zemlju bez odgovarajućih zaštitnih mjera.
Napomena: Odluka o Google Analyticsu pokrenula je niz sličnih odluka diljem Europe (uslijedile su Francuska, Italija i druge) te ubrzala razvoj alternativa za analitiku koje čuvaju privatnost. DSB je i dalje aktivan u pogledu pitanja kolačića i tehnologija za praćenje.
Danska
Nadležno tijelo za provedbu: Datatilsynet.
Nacionalni zakon: Cookiebekendtgørelsen (Izvršna uredba o informiranju i privoli potrebnima za pohranu ili pristup informacijama na terminalnoj opremi krajnjih korisnika), koji provodi odredbe ePrivacy Direktive.
Ključni zahtjevi: Danska zahtijeva privolu za sve kolačiće osim onih strogo nužnih za uslugu koju je korisnik izričito zatražio. Datatilsynet je izdao smjernice koje potvrđuju da analitički kolačići zahtijevaju privolu te da nastavak pregledavanja ne predstavlja valjanu privolu. Danske smjernice sve su se više usklađivale sa strožim stajalištima CNIL-a i EDPB-a.
Značajni postupci: Datatilsynet je od 2022. pojačao provedbenu aktivnost u vezi s kolačićima, istražujući web-stranice i javnog i privatnog sektora. U 2023. tijelo je donijelo odluke protiv više danskih web-stranica zbog neodgovarajućih mehanizama privole na kolačiće, uključujući slučajeve u kojima opcija odbijanja nije bila dovoljno vidljiva. Datatilsynet se također bavio korištenjem Google Analyticsa i Meta piksela za praćenje na danskim web-stranicama, naredivši nekolicini organizacija da prestanu koristiti te alate bez odgovarajuće privole i zaštitnih mjera za prijenos podataka.
Švedska
Nadležno tijelo za provedbu: Integritetsskyddsmyndigheten (IMY).
Nacionalni zakon: Lag om elektronisk kommunikation (LEK, 2003:389).
Ključni zahtjevi: Švedska je posljednjih godina prešla s razmjerno slabe provedbe u pogledu kolačića na značajno djelovanje. IMY je 2023. izrekao svoje prve velike kazne povezane s kolačićima, usmjerene na četiri tvrtke (uključujući Tele2, CDON, Dagens Industri i Coop) u ukupnom iznosu od preko 100 milijuna švedskih kruna (otprilike 9 milijuna eura) zbog korištenja Google Analyticsa i dijeljenja osobnih podataka s Googleom bez valjane privole ili odgovarajućih zaštitnih mjera za prijenos podataka.
Napomena: Provedbeni postupci iz 2023. signalizirali su velik zaokret u pristupu Švedske. IMY se koordinirao s drugim nordijskim tijelima za zaštitu podataka i slijedio presedane koje su o Google Analyticsu postavili austrijski DSB i francuski CNIL. Kazne su bile među najvišima koje je izreklo neko nordijsko tijelo za zaštitu podataka i utvrdile su da je švedska provedba sada na razini najstrožih europskih tijela.
Irska
Nadležno tijelo za provedbu: Data Protection Commission (DPC).
Nacionalni zakon: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Ključni zahtjevi: Irska slijedi standardni okvir ePrivacy Direktive. Međutim, uloga DPC-a kao vodećeg nadzornog tijela za mnoge velike tehnološke tvrtke sa sjedištem u Irskoj (uključujući Metu, Google, Apple, Microsoft i TikTok) dala mu je nesrazmjeran značaj u europskoj zaštiti podataka. DPC je izdao smjernice o usklađenosti s pravilima o kolačićima i proveo revizije web-stranica javnog i privatnog sektora.
Napomena: DPC se suočio s kritikama drugih europskih tijela za zaštitu podataka i Europskog parlamenta zbog percipiranog tempa svoje provedbe protiv Big Techa. Ipak, DPC je izrekao značajne kazne prema GDPR-u, uključujući kaznu od 1,2 milijarde eura protiv Mete 2023. zbog prijenosa podataka. Konkretno u vezi s kolačićima, DPC je proveo provjere web-stranica 2020. i 2021., izdavši preporuke za usklađivanje brojnim organizacijama. Izravne kazne DPC-a specifične za kolačiće bile su razmjerno skromne u usporedbi s CNIL-om.
Poljska
Nadležno tijelo za provedbu: Urząd Ochrony Danych Osobowych (UODO).
Nacionalni zakon: Zakon o telekomunikacijama (Prawo telekomunikacyjne), članak 173.
Ključni zahtjevi: Poljska zahtijeva privolu za kolačiće u skladu s ePrivacy Direktivom. UODO je izdao smjernice koje potvrđuju da unaprijed označeni kvadratići i nastavak pregledavanja ne predstavljaju valjanu privolu. Poljski zakon uključuje posebne odredbe o informacijama koje se moraju pružiti korisnicima o kolačićima, uključujući svrhe, identitet voditelja obrade i upute za upravljanje postavkama kolačića.
Napomena: Provedbena aktivnost Poljske u pogledu kolačića porasla je, pri čemu UODO istražuje pritužbe o neusklađenim skočnim prozorima za kolačiće i surađuje s regulatorom za telekomunikacije. UODO je sudjelovao u koordiniranim provedbenim provjerama na razini EU-a i uskladio svoje smjernice s preporukama EDPB-a.
Norveška
Nadležno tijelo za provedbu: Datatilsynet (Norveško tijelo za zaštitu podataka — različito od danskog tijela istog naziva).
Nacionalni zakon: Ekomloven (Zakon o elektroničkim komunikacijama).
Ključni zahtjevi: Iako Norveška nije država članica EU-a, članica je Europskog gospodarskog prostora (EGP) i ugradila je GDPR i ePrivacy Direktivu u svoje nacionalno zakonodavstvo putem Sporazuma o EGP-u. Norveški Datatilsynet usko slijedi smjernice EDPB-a i aktivan je u provedbi u pogledu kolačića.
Značajni postupci: Norveški Datatilsynet izrekao je kaznu od 5 milijuna eura Grindru u prosincu 2021. (kasnije povišenu na 6,5 milijuna eura u žalbenom postupku) zbog dijeljenja korisničkih podataka s oglašivačkim partnerima bez valjane privole. Iako se prvenstveno radilo o slučaju privole vezanom uz dijeljenje podataka, a ne konkretno o kolačićima, uspostavio je važne presedane za zahtjeve privole u tehnologijama praćenja. Tijelo je također istražilo korištenje Google Analyticsa i drugih alata za praćenje na norveškim web-stranicama.
Ključni zaključci
Unatoč razlikama u nacionalnoj provedbi i primjeni, nekoliko je načela dosljedno u svim državama EU-a i EGP-a:
- Privola je obvezna prije postavljanja bilo kojeg nenužnog kolačića. Nijedna europska država ne prihvaća čisti opt-out model za kolačiće.
- Privola mora zadovoljavati standard GDPR-a: dobrovoljno dana, specifična, informirana, nedvosmislena i iskazana jasnom potvrdnom radnjom.
- Odbijanje mora biti jednako jednostavno kao i prihvaćanje. Iako se konkretna provedba može razlikovati (zasebni gumb, X za zatvaranje itd.), načelo da odbijanje kolačića ne smije biti teže od njihova prihvaćanja univerzalno je.
- Provedba se pojačava posvuda. Države koje su prije bile blage sada izriču kazne i donose formalne odluke. Ne postoji "sigurna" europska jurisdikcija za neusklađenost.
- Koordinirana provedba raste. Tijela za zaštitu podataka sve više surađuju putem EDPB-a i provode koordinirane provjere, što znači da će neusklađenost u jednoj državi vjerojatno privući pozornost u drugima.
Je li vaša web stranica usklađena s propisima o kolačićima?
Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.
Besplatno skenirajte svoje kolačiće