Skip to main content

Direktiva o e-privatnosti: objašnjenje EU-ovog zakona o kolačićima

Kada ljudi spominju "EU-ov zakon o kolačićima", obično misle na Direktivu o e-privatnosti — konkretno na članak 5. stavak 3. Iako GDPR privlači najviše pozornosti, upravo Direktiva o e-privatnosti izravno regulira upotrebu kolačića i sličnih tehnologija praćenja. Razumijevanje ove direktive, njezinog odnosa s GDPR-om te nadolazeće Uredbe o e-privatnosti ključno je za svakoga tko je odgovoran za usklađenost s pravilima o kolačićima na europskim web-mjestima.

Što je Direktiva o e-privatnosti?

Direktiva o e-privatnosti (službeno Direktiva 2002/58/EZ) donesena je 12. srpnja 2002. kao dio EU-ovog okvira za privatnost u telekomunikacijama. Izvorno je bila usmjerena na privatnost u elektroničkim komunikacijama — obuhvaćajući teme poput povjerljivosti komunikacija, prometnih podataka, neželjene pošte i identifikacije pozivatelja.

Godine 2009. direktiva je značajno izmijenjena Direktivom 2009/136/EZ (često nazvanom "Direktiva o pravima građana"). Ta je izmjena uvela zahtjev za privolom za kolačiće kakav poznajemo danas, zamijenivši prethodni sustav odustajanja (opt-out) modelom pristanka (opt-in). Prije 2009. web-mjesta su korisnike samo morala obavijestiti o kolačićima i dati im pravo da ih odbiju. Nakon 2009. prethodna privola postala je obvezna za sve kolačiće koji nisu nužni.

Za razliku od GDPR-a, koji je uredba (izravno primjenjiva u svim državama članicama), Direktiva o e-privatnosti je direktiva (svaka država članica mora je prenijeti u nacionalno zakonodavstvo). To znači da se konkretna pravila o kolačićima razlikuju od zemlje do zemlje, iako su temeljni zahtjevi isti.

Članak 5. stavak 3.: pravilo o privoli za kolačiće

Članak 5. stavak 3. Direktive o e-privatnosti odredba je koja izravno regulira kolačiće. U izmijenjenom obliku glasi:

"Države članice osiguravaju da je pohranjivanje informacija ili dobivanje pristupa informacijama koje su već pohranjene u terminalnoj opremi pretplatnika ili korisnika dopušteno samo pod uvjetom da je dotični pretplatnik ili korisnik dao svoju privolu, nakon što mu je pružena jasna i sveobuhvatna informacija, u skladu s [Direktivom o zaštiti podataka, sada GDPR-om], između ostalog, o svrhama obrade."

Ova odredba utvrđuje nekoliko ključnih zahtjeva:

  1. Područje primjene: obuhvaća svako pohranjivanje informacija na korisnikov uređaj ili pristup informacijama pohranjenim na korisnikovom uređaju. To uključuje kolačiće, ali i lokalnu pohranu, IndexedDB, otiske prsta uređaja (fingerprinting), piksele za praćenje te svaku drugu tehnologiju koja čita s korisnikovog uređaja ili na njega zapisuje.
  2. Prethodna privola: privola se mora dobiti prije nego što se informacije pohrane ili im se pristupi — ne nakon toga.
  3. Informirana privola: korisniku se mora pružiti jasna i sveobuhvatna informacija o svrhama pohranjivanja ili pristupa.
  4. Standard privole: upućivanje na GDPR (izvorno Direktivu o zaštiti podataka) znači da se primjenjuju GDPR-ova definicija i uvjeti za privolu. Privola mora biti dana slobodno, biti specifična, informirana i nedvosmislena.

Iznimka za "strogo nužne" kolačiće

Članak 5. stavak 3. sadrži važnu iznimku u svojoj drugoj rečenici:

"Ovo ne sprječava tehničko pohranjivanje ili pristup čija je jedina svrha izvršavanje prijenosa komunikacije putem elektroničke komunikacijske mreže ili koje je strogo nužno kako bi pružatelj usluge informacijskog društva koju je pretplatnik ili korisnik izričito zatražio mogao pružiti tu uslugu."

Ova iznimka obuhvaća dvije kategorije kolačića koje ne zahtijevaju privolu:

  1. Kolačiće nužne za prijenos komunikacije (npr. kolačiće za raspodjelu opterećenja).
  2. Kolačiće strogo nužne za pružanje usluge koju je korisnik izričito zatražio (npr. kolačiće košarice za kupnju, kolačiće autentifikacijske sesije, kolačiće korisničkih postavki za uslugu koju korisnik aktivno koristi).

Prethodnik Europskog odbora za zaštitu podataka, Radna skupina iz članka 29., pružio je detaljne smjernice o tome koji se kolačići smatraju strogo nužnima u Mišljenju 04/2012. Primjeri uključuju:

  • Izuzeti (privola nije potrebna): kolačići sesije za korisnički unos (obrasci u više koraka), kolačići autentifikacije, kolačići košarice za kupnju, sigurnosni kolačići (CSRF tokeni), kolačići sesije za multimedijalne reproduktore, kolačići za raspodjelu opterećenja, kolačići za prilagodbu sučelja (jezične postavke) za tekuću sesiju.
  • Nisu izuzeti (privola je potrebna): analitički kolačići (uključujući Google Analytics), oglasni kolačići, kolačići za dijeljenje/praćenje na društvenim mrežama, trajni kolačići postavki koji traju dulje od sesije, svi kolačići trećih strana za praćenje.

Ključna je razlika između kolačića koji služe korisnikovom izričitom zahtjevu i kolačića koji služe interesima operatera web-mjesta. Kolačić za jezične postavke postavljen jer je korisnik kliknuo na odabir jezika je strogo nužan. Analitički kolačić postavljen kako bi operateru web-mjesta pomogao razumjeti promet nije — čak i ako ga operater smatra važnim.

Kako e-privatnost i GDPR djeluju zajedno

Odnos između Direktive o e-privatnosti i GDPR-a jest odnos lex specialis (posebnog zakona) i lex generalis (općeg zakona). Direktiva o e-privatnosti poseban je zakon koji regulira privatnost u elektroničkim komunikacijama, dok je GDPR opći okvir za zaštitu podataka.

U praktičnom smislu:

  • Direktiva o e-privatnosti regulira smijete li postaviti kolačić na korisnikov uređaj. Zahtijeva privolu za kolačiće koji nisu nužni, bez obzira na to sadrži li kolačić osobne podatke.
  • GDPR regulira što čini valjanu privolu i kako smijete obrađivati sve osobne podatke prikupljene putem kolačića. Također pruža okvir za provedbu, uključujući pravo na podnošenje pritužbi tijelima za zaštitu podataka (DPA) te režim znatnih kazni.

To znači da čak i kolačić koji ne sadrži osobne podatke (primjerice, nasumično generirani analitički identifikator bez veze s bilo kojim drugim podacima) i dalje zahtijeva privolu prema Direktivi o e-privatnosti, jer se članak 5. stavak 3. primjenjuje na svako pohranjivanje na korisnikovom uređaju — ne samo na pohranjivanje osobnih podataka.

Obrnuto, ako putem kolačića obrađujete osobne podatke, morate se pridržavati cjelokupnog okvira GDPR-a: pravne osnove, transparentnosti, prava ispitanika, procjena učinka na zaštitu podataka i svih ostalih obveza.

Nacionalne provedbe

Budući da je Direktiva o e-privatnosti direktiva, a ne uredba, svaka država članica EU-a prenijela ju je u nacionalno zakonodavstvo s određenim varijacijama. Iako je temeljni zahtjev — privola prije kolačića koji nisu nužni — dosljedan u svim državama članicama, postoje značajne razlike u:

  • Intenzitetu provedbe: Francuska (CNIL) i Italija (Garante) bile su najaktivnije u provedbi pravila o kolačićima, dok su druge zemlje svoje resurse usmjerile drugamo.
  • Konkretnim iznimkama: neke su zemlje usvojile nešto šira ili uža tumačenja iznimke za "strogo nužne" kolačiće.
  • Analitičkim kolačićima: neka su tijela za zaštitu podataka istraživala mogu li ispravno konfigurirani alati za analitiku koji čuvaju privatnost (npr. anonimizirana analitika bez praćenja između web-mjesta) ispuniti uvjete za osnovu legitimnog interesa. Najistaknutiji je primjer iznimka francuskog CNIL-a za alate za mjerenje publike pod određenim uvjetima, iako ostaje kontroverzna.
  • Zidovima kolačića: zakonitost zidova kolačića (uvjetovanje pristupa web-mjestu privolom) razlikuje se ovisno o jurisdikciji. Nizozemsko tijelo za zaštitu podataka i EDPB zauzeli su strog stav protiv njih, dok je francuski Državni savjet (Conseil d'État) utvrdio da su dopušteni pod određenim uvjetima.

Predložena Uredba o e-privatnosti

Europska komisija objavila je prijedlog Uredbe o e-privatnosti u siječnju 2017., s namjerom da zamijeni Direktivu o e-privatnosti i uskladi pravila o kolačićima s GDPR-om. Više od devet godina kasnije, uredba je i dalje predmet pregovora, čime je postala jedan od najdugotrajnijih zakonodavnih procesa u povijesti EU-a.

Ključne promjene u predloženoj uredbi

Iako konačni tekst još nije dogovoren, prijedlog i naknadna stajališta Vijeća sugerirali su nekoliko značajnih promjena:

  • Izravna primjenjivost: kao uredba, a ne direktiva, Uredba o e-privatnosti primjenjivala bi se jedinstveno u svim državama članicama, čime bi se uklonila trenutačna rascjepkanost.
  • Privola na razini preglednika: rani prijedlozi uključivali su odredbe prema kojima bi korisnici postavljali svoje preferencije za kolačiće na razini preglednika umjesto da odgovaraju na pojedinačne banere za kolačiće na svakom web-mjestu. To bi dramatično pojednostavilo korisničko iskustvo, iako su tehnički i politički izazovi značajni.
  • Prošireno područje primjene: uredba bi obuhvatila i komunikacijske usluge "preko vrha mreže" (OTT) poput WhatsAppa i Skypea, koje trenutačna direktiva ne pokriva.
  • Jasnije iznimke: uredba ima za cilj razjasniti koje su vrste kolačića izuzete od privole, potencijalno proširujući iznimku na određene vrste mjerenja publike.
  • Pravila o metapodacima: nove odredbe koje reguliraju obradu metapodataka komunikacije (podaci o lokaciji, vremena povezivanja) izvan onoga što pokriva trenutačna direktiva.
  • Usklađena provedba: uredba bi uspostavila dosljedan mehanizam provedbe, vjerojatno po uzoru na GDPR-ovo načelo jedinstvene kontaktne točke (one-stop-shop).

Trenutačni status i vremenski okvir

Početkom 2026. Uredba o e-privatnosti i dalje je u trijalog pregovorima između Europskog parlamenta, Vijeća EU-a i Europske komisije. Napredak je bio spor zbog temeljnih neslaganja oko nekoliko točaka, uključujući mehanizam privole na razini preglednika, opseg iznimke za "strogo nužne" kolačiće te pravila za obradu metapodataka.

Najrealniji je scenarij da uredba neće biti finalizirana prije 2027. u najboljem slučaju, uz dodatno prijelazno razdoblje od 12 do 24 mjeseca prije nego što stupi na snagu. Operateri web-mjesta trebali bi se i dalje pridržavati trenutačne Direktive o e-privatnosti kako je prenesena u njihovo nacionalno zakonodavstvo, dopunjene GDPR-ovim okvirom za privolu.

Praktične implikacije za vlasnike web-mjesta

Bez obzira na regulatornu neizvjesnost oko nadolazeće Uredbe o e-privatnosti, trenutačna su pravila jasna i aktivno se provode. Vlasnici web-mjesta trebali bi:

  1. Trenutačni režim smatrati polazišnom točkom. Zahtjev za privolom za kolačiće koji nisu nužni utvrđen je zakon u cijelom EU-u. Nemojte čekati Uredbu o e-privatnosti da biste proveli usklađenost.
  2. Blokirati kolačiće koji nisu nužni prije privole. To je tehnički najzahtjevniji aspekt usklađenosti, ali nije pregovorljivo. Vaš mehanizam za privolu za kolačiće mora spriječiti skripte da postavljaju kolačiće dok korisnik aktivno ne pristane.
  3. Primijeniti GDPR-ov standard privole. Kada Direktiva o e-privatnosti kaže "privola", misli na GDPR privolu: danu slobodno, specifičnu, informiranu, nedvosmislenu i iskazanu jasnom potvrdnom radnjom.
  4. Dokumentirati svoje strogo nužne kolačiće. Vodite jasnu evidenciju o tome koje kolačiće smatrate strogo nužnima i zašto. Budite spremni opravdati tu klasifikaciju ako je tijelo za zaštitu podataka ospori.
  5. Pratiti nacionalna kretanja. Budući da se Direktiva o e-privatnosti provodi različito u svakoj zemlji, ostanite informirani o smjernicama i provedbenim aktivnostima tijela za zaštitu podataka u zemljama u kojima se nalaze vaši korisnici.
  6. Pripremiti se za Uredbu o e-privatnosti. Iako je vremenski okvir neizvjestan, smjer kretanja je jasan: usklađenija pravila, potencijalno širi mehanizmi privole i kontinuiran naglasak na privatnosti korisnika. Izgradnja robusnog sustava za upravljanje privolama već sada učinit će prijelaz lakšim kada do njega dođe.

Direktiva o e-privatnosti možda je stara više od dva desetljeća, ali i dalje ostaje temelj zakona o kolačićima u Europi. U kombinaciji s GDPR-ovim okvirom za privolu i aktivnim provedbenim programima nacionalnih tijela za zaštitu podataka, ona stvara regulatorno okruženje u kojem usklađenost s pravilima o kolačićima nije opcionalna — ona je zakonska obveza sa stvarnim financijskim posljedicama za neusklađenost.

Je li vaša web stranica usklađena s propisima o kolačićima?

Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.

Besplatno skenirajte svoje kolačiće