Sütitörvények országonként: útmutató az EU-hoz és az EGT-hez
Bár az ePrivacy irányelv és a GDPR közös keretet biztosít az Európai Unió egészében, minden tagállam a saját sajátosságaival ültette át az ePrivacy irányelvet a nemzeti jogba. A végrehajtás szigora, a kivételek értelmezése és a bírságok mértéke jelentősen eltér országonként. Ez az útmutató tizenkét jelentős európai piac legfontosabb sütitörvényi jellemzőit tekinti át.
Gyors áttekintő táblázat
| Ország | Hatóság | Nemzeti jogszabály | Végrehajtás szintje | Figyelemre méltó |
|---|---|---|---|---|
| Németország | Tartományi adatvédelmi hatóságok + BfDI | TTDSG (2021) | Magas | Decentralizált végrehajtás; PIMS keretrendszer |
| Franciaország | CNIL | Loi Informatique et Libertés | Nagyon magas | Rekordbírságok; részletes süti-iránymutatások |
| Olaszország | Garante | Adatvédelmi törvénykönyv (D.Lgs. 196/2003) | Magas | Átfogó 2021-es süti-iránymutatások |
| Spanyolország | AEPD | LSSI-CE + LOPDGDD | Mérsékelt | Vita az analitikai kivétel kapcsán |
| Hollandia | AP | Telecommunicatiewet | Magas | Szigorú sütifal-tilalom |
| Belgium | APD/GBA | ePrivacy törvény (2012) | Mérsékelt | IAB Europe TCF döntés |
| Ausztria | DSB | TKG 2021 | Mérsékelt–magas | Korai Google Analytics döntések |
| Dánia | Datatilsynet | Cookiebekendtgørelsen | Mérsékelt | 2022 óta fokozódó végrehajtás |
| Svédország | IMY | LEK (2003:389) | Mérsékelt–magas | Jelentős bírságok 2023–2024-ben |
| Írország | DPC | SI 336/2011 | Mérsékelt | A nagy techcégek központja; a végrehajtás üteme miatt bírálják |
| Lengyelország | UODO | Távközlési törvény | Mérsékelt | Növekvő végrehajtási aktivitás |
| Norvégia | Datatilsynet | Ekomloven | Mérsékelt | EGT-tag; szorosan követi az EDPB útmutatását |
Németország
Végrehajtó hatóság: Szövetségi Adatvédelmi Biztos (BfDI) szövetségi szinten, valamint 16 tartományi adatvédelmi hatóság (Landesdatenschutzbehörden).
Nemzeti jogszabály: A Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), amely 2021. december 1-jén lépett hatályba, egységesítette Németország sütiszabályait. A TTDSG 25. szakasza az ePrivacy irányelv 5. cikk (3) bekezdését ülteti át, amely hozzájárulást ír elő a végfelhasználói eszközökön tárolt információk tárolásához vagy elér/éséhez, kivéve, ha a tárolás feltétlenül szükséges.
Fő követelmények: A TTDSG egyértelművé tette, hogy a sütikhez adott hozzájárulásnak meg kell felelnie a GDPR-szabványnak. Németország Szövetségi Legfelsőbb Bírósága (BGH) ezt már a Planet49 döntés végrehajtása során (2020. május) is megerősítette, kimondva, hogy az előre bejelölt jelölőnégyzetek nem elegendők. A TTDSG bevezette az elismert személyesinformáció-kezelő rendszerekre (PIMS) vonatkozó rendelkezéseket is, amelyek lehetővé tennék a felhasználók számára, hogy a hozzájárulási beállításaikat központilag kezeljék, ne pedig minden egyes weboldalon külön — bár a PIMS-re vonatkozó végrehajtási rendeletek megszületése lassan halad.
Végrehajtás: Németország decentralizált végrehajtási struktúrája azt jelenti, hogy a sütimegfelelés érvényesítése tartományonként eltér. A berlini, hamburgi és baden-württembergi adatvédelmi hatóságok tartoznak a legaktívabbak közé. Az Adatvédelmi Hatóságok Konferenciája (DSK) időről időre közös állásfoglalásokat ad ki a sütikhez adott hozzájárulás követelményeiről.
Figyelemre méltó intézkedések: Több vizsgálat indult olyan sütibannereket illetően, amelyek sötét mintázatokat alkalmaztak, különösen „terelő" kialakítást, ahol az elfogadás gomb vizuálisan hangsúlyos volt, míg az elutasítási lehetőség háttérbe szorult. A bírságok általában alacsonyabbak voltak, mint Franciaországban, de a végrehajtási aktivitás a TTDSG hatálybalépése óta folyamatosan növekedett.
Franciaország
Végrehajtó hatóság: Commission Nationale de l'Informatique et des Libertés (CNIL).
Nemzeti jogszabály: Loi Informatique et Libertés (78-17. sz. törvény), amelyet az ePrivacy irányelv átültetése érdekében módosítottak. A CNIL 2020 szeptemberében átfogó süti-iránymutatásokat adott ki, 2021. március 31-én lejáró megfelelési türelmi idővel.
Fő követelmények: Franciaország a legszigorúbb jelentős EU-s piac a sütimegfelelés terén. A CNIL iránymutatásai megkövetelik: a hozzájárulást minden nem alapvető süti beállítása előtt; egy elutasítási lehetőséget a banner első rétegében, amely ugyanolyan könnyen használható, mint az elfogadás; sütifalak tilalmát (a Conseil d'État által megerősített korlátozott kivételekkel); részletes tájékoztatást minden egyes süti céljáról.
Közönségmérési kivétel: A CNIL korlátozott kivételt biztosít a szigorú feltételeknek megfelelő közönségmérési sütikre: az eszközt úgy kell beállítani, hogy csak névtelen statisztikai adatokat állítson elő, a sütiknek a kiadó oldalára kell korlátozódniuk, a süti élettartama nem haladhatja meg a 13 hónapot, és az adatok nem kombinálhatók más adatkezeléssel. Az olyan eszközöket, mint a Matomo (megfelelő konfigurációval) és az AT Internet, e kivétel keretében ismerték el. A Google Analytics nem felel meg a feltételeknek.
Figyelemre méltó bírságok: Franciaország szabta ki a legnagyobb sütikkel kapcsolatos bírságokat Európában. A Google LLC-t 150 millió euróra bírságolták 2021 decemberében, mert a sütik elutasítását nehezebbé tette az elfogadásnál. A Facebookot ugyanezen eljárásban 60 millió euróra bírságolták. A Microsoftot 60 millió euróra bírságolták 2022 decemberében. A TikTokot 5 millió euróra bírságolták 2022 decemberében. A Criteót 40 millió euróra bírságolták 2023 júniusában. Összességében a CNIL több mint 400 millió euró sütispecifikus bírságot szabott ki.
Olaszország
Végrehajtó hatóság: Garante per la protezione dei dati personali (Garante).
Nemzeti jogszabály: Adatvédelmi törvénykönyv (196/2003 törvényerejű rendelet), amelyet a GDPR-hoz igazítottak. A Garante 2021. június 10-én adott ki átfogó süti-iránymutatásokat, 2022. január 10-i megfelelési határidővel.
Fő követelmények: A Garante 2021-es iránymutatásai a legrészletesebbek közé tartoznak Európában. Ezek megkövetelik: egy első rétegű bannert elfogadás gombbal és jól látható elutasítás gombbal (amelyet „X"-szel vagy „Folytatás elfogadás nélkül" felirattal jelölnek); egy második réteget, amely az első bannerről érhető el, részletes sütikategória-vezérlőkkel; a görgetés kifejezetten nem minősül hozzájárulásnak; a sütikhez adott hozzájárulást legfeljebb 6 havonta újra kell kérni.
Figyelemre méltó: A Garante bevezette azt a koncepciót, hogy a sütibannereken egy konkrét „bezárás" gombra van szükség, ahelyett, hogy a böngészés folytatása elutasításnak minősülne. Az iránymutatások a süti-analitika kérdésével is foglalkoztak, hozzájárulást írva elő minden harmadik féltől származó analitikához, és csak a megfelelően anonimizált adatokkal működő, saját oldalról származó analitikai eszközök esetében engedélyezve korlátozott kivételt.
Spanyolország
Végrehajtó hatóság: Agencia Española de Protección de Datos (AEPD).
Nemzeti jogszabály: Ley de Servicios de la Sociedad de la Información (LSSI-CE) és Ley Orgánica de Protección de Datos (LOPDGDD).
Fő követelmények: Spanyolország kezdetben megengedőbb megközelítést alkalmazott a sütimegfelelés terén; az AEPD 2013-as süti-útmutatója azt sugallta, hogy bizonyos analitikai sütiket a jogos érdek alapján lehetne használni. Az AEPD azonban fokozatosan a szigorúbb európai konszenzushoz igazodott az EDPB útmutatását és a Planet49 döntést követően. A jelenlegi AEPD-iránymutatás előzetes hozzájárulást ír elő az analitikai és marketingsütikhez.
Figyelemre méltó intézkedések: Az AEPD 30 000 euróra bírságolta a Vueling Airlinest 2020-ban egy olyan sütibanner miatt, amely csak elfogadási lehetőséget kínált, a sütik elutasítására nem adott módot. A CaixaBankot 6 millió euróra bírságolták 2021-ben, részben a sütialapú nyomkövetéshez kapcsolódó adatkezelési gyakorlatok miatt. Újabban az AEPD a hozzájárulási felületeken alkalmazott sütifalakra és sötét mintázatokra összpontosított.
Hollandia
Végrehajtó hatóság: Autoriteit Persoonsgegevens (AP).
Nemzeti jogszabály: Telecommunicatiewet (távközlési törvény), 11.7a. cikk.
Fő követelmények: Hollandia az egyik legszigorúbb álláspontot foglalta el a sütifalakkal kapcsolatban Európában. Az AP egyértelműen kijelentette, hogy egy weboldalhoz való hozzáférés sütik elfogadásához kötése nem érvényes hozzájárulás, mivel a hozzájárulás nem „önkéntes", ha az alternatíva a szolgáltatáshoz való hozzáférés elvesztése. Az AP kifejezett hozzájárulást is megkövetel minden nyomkövető süti beállítása előtt, és bírálta a manipulatív kialakítást alkalmazó hozzájáruláskezelő platformokat.
Figyelemre méltó intézkedések: Az AP számos weboldalt vizsgált meg sütimegfelelési hibák miatt, és kifejezetten a sütibannerekben alkalmazott sötét mintázatokat célzó útmutatást adott ki. A hatóság részt vett a kormányzati weboldalak sütimegfelelését ellenőrző összehangolt vizsgálatokban is. 2024-ben az AP fokozta végrehajtási tevékenységét a kisebb szervezetekkel szemben, jelezve, hogy a sütimegfelelési elvárások a cég méretétől függetlenül érvényesek.
Belgium
Végrehajtó hatóság: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Nemzeti jogszabály: Az elektronikus hírközlésről szóló 2005. június 13-i törvény, amelyet a 2012. július 10-i törvény módosított.
Fő követelmények: Belgium a szokásos ePrivacy irányelvi követelményeket követi. A belga adatvédelmi hatóság globálisan jelentőssé vált a sütiszabályozás terén, amikor 2022 februárjában döntést hozott az IAB Europe átláthatósági és hozzájárulási keretrendszeréről (TCF), megállapítva, hogy a TCF hozzájárulási karakterlánca személyes adatnak minősül, és hogy az IAB Europe közös adatkezelő. Ez a döntés, amelyet az EUB 2024 márciusában részben helybenhagyott, minden olyan weboldalra kihatással van, amely a TCF-et használja a sütikhez adott hozzájárulás kezelésére.
Figyelemre méltó: Az IAB TCF-döntés megrázta az online hirdetési ipart, mivel a TCF a legszélesebb körben használt hozzájárulási keretrendszer a programozott hirdetésekhez Európában. Bár az IAB Europe módosításokat vezetett be az adatvédelmi hatóság aggályainak kezelésére, az ügy rávilágított azokra a kockázatokra, amelyek az iparág által kialakított, esetleg a GDPR követelményeinek nem teljes mértékben megfelelő hozzájárulási keretrendszerekre való támaszkodással járnak.
Ausztria
Végrehajtó hatóság: Datenschutzbehörde (DSB).
Nemzeti jogszabály: Telekommunikationsgesetz 2021 (TKG 2021), 165. szakasz.
Fő követelmények: Ausztria sütiszabályai a szokásos ePrivacy irányelvi keretet követik. Az osztrák DSB nemzetközi figyelmet kapott 2022 januárjában, amikor az első európai adatvédelmi hatóság lett, amely kimondta, hogy a Google Analytics használata sérti a GDPR-t, különösen a személyes adatok Egyesült Államokba történő továbbítása tekintetében a Schrems II döntést követően. Bár ez elsősorban adattovábbítási kérdés volt, közvetlen kihatással volt a sütimegfelelésre, mivel a Google Analytics sütiket megfelelő biztosítékok nélkül harmadik országba továbbított személyes adatoknak minősítették.
Figyelemre méltó: A Google Analytics döntés hasonló határozatok lavináját indította el egész Európában (Franciaország, Olaszország és mások követték a példát), és felgyorsította az adatvédelmet tiszteletben tartó analitikai alternatívák fejlesztését. A DSB továbbra is aktív maradt a sütikkel és nyomkövető technológiákkal kapcsolatos kérdésekben.
Dánia
Végrehajtó hatóság: Datatilsynet.
Nemzeti jogszabály: Cookiebekendtgørelsen (rendelet a végfelhasználói végberendezésekben tárolt vagy azokból elért információkhoz szükséges tájékoztatásról és hozzájárulásról), amely az ePrivacy irányelv rendelkezéseit ülteti át.
Fő követelmények: Dánia hozzájárulást ír elő minden sütihez, kivéve azokat, amelyek feltétlenül szükségesek a felhasználó által kifejezetten kért szolgáltatáshoz. A Datatilsynet olyan útmutatást adott ki, amely megerősíti, hogy az analitikai sütikhez hozzájárulás szükséges, és hogy a böngészés folytatása nem minősül érvényes hozzájárulásnak. A dán útmutatás egyre inkább igazodott a CNIL és az EDPB által képviselt szigorúbb álláspontokhoz.
Figyelemre méltó intézkedések: A Datatilsynet 2022 óta fokozta sütivégrehajtási tevékenységét, mind a köz-, mind a magánszektorbeli weboldalakat vizsgálva. 2023-ban a hatóság több dán weboldal ellen hozott határozatot nem megfelelő sütihozzájárulási mechanizmusok miatt, beleértve azokat az eseteket, amikor az elutasítási lehetőség nem volt kellően látható. A Datatilsynet foglalkozott a Google Analytics és a Meta nyomkövető pixelek dán weboldalakon való használatával is, több szervezetet kötelezve arra, hogy szüntesse meg ezen eszközök használatát megfelelő hozzájárulás és adattovábbítási biztosítékok nélkül.
Svédország
Végrehajtó hatóság: Integritetsskyddsmyndigheten (IMY).
Nemzeti jogszabály: Lag om elektronisk kommunikation (LEK, 2003:389).
Fő követelmények: Svédország az elmúlt években a viszonylag alacsony sütivégrehajtástól a jelentős fellépés felé mozdult el. Az IMY 2023-ban adta ki első jelentős sütikkel kapcsolatos bírságait, négy céget megcélozva (köztük a Tele2-t, a CDON-t, a Dagens Industrit és a Coopot) összesen több mint 100 millió svéd korona (körülbelül 9 millió euró) értékben, amiért a Google Analyticset használták és személyes adatokat osztottak meg a Google-lel érvényes hozzájárulás vagy megfelelő adattovábbítási biztosítékok nélkül.
Figyelemre méltó: A 2023-as végrehajtási intézkedések jelentős fordulatot jeleztek Svédország megközelítésében. Az IMY együttműködött más északi adatvédelmi hatóságokkal, és követte az osztrák DSB és a francia CNIL által a Google Analytics ügyben lefektetett precedenseket. A bírságok az északi adatvédelmi hatóságok által kiszabott legnagyobbak közé tartoztak, és bizonyították, hogy a svéd végrehajtás mostanra a legszigorúbb európai hatóságokéval egyenrangú.
Írország
Végrehajtó hatóság: Data Protection Commission (DPC).
Nemzeti jogszabály: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Fő követelmények: Írország a szokásos ePrivacy irányelvi keretet követi. A DPC-nek azonban mint számos jelentős, Írországban székelő technológiai cég (köztük a Meta, a Google, az Apple, a Microsoft és a TikTok) vezető felügyeleti hatóságának szerepe kiemelt jelentőséget adott az európai adatvédelemben. A DPC útmutatást adott ki a sütimegfelelésről, és auditokat végzett mind a köz-, mind a magánszektorbeli weboldalakon.
Figyelemre méltó: A DPC-t más európai adatvédelmi hatóságok és az Európai Parlament is bírálták a nagy techcégekkel szembeni végrehajtás vélt üteme miatt. A DPC azonban jelentős GDPR-bírságokat szabott ki, köztük egy 1,2 milliárd eurós bírságot a Metára 2023-ban adattovábbítások miatt. Kifejezetten a sütik terén a DPC 2020-ban és 2021-ben weboldal-vizsgálatokat végzett, számos szervezetnek adva megfelelési ajánlásokat. A DPC által kiszabott, kifejezetten sütikre vonatkozó bírságok a CNIL-hez képest viszonylag szerények voltak.
Lengyelország
Végrehajtó hatóság: Urząd Ochrony Danych Osobowych (UODO).
Nemzeti jogszabály: Távközlési törvény (Prawo telekomunikacyjne), 173. cikk.
Fő követelmények: Lengyelország az ePrivacy irányelvnek megfelelően hozzájárulást ír elő a sütikhez. Az UODO olyan útmutatást adott ki, amely megerősíti, hogy az előre bejelölt jelölőnégyzetek és a böngészés folytatása nem minősül érvényes hozzájárulásnak. A lengyel jog konkrét rendelkezéseket tartalmaz a felhasználók számára a sütikről nyújtandó információkról, beleértve a célokat, az adatkezelő kilétét és a sütibeállítások kezelésére vonatkozó utasításokat.
Figyelemre méltó: Lengyelország sütikkel kapcsolatos végrehajtási tevékenysége fokozódott; az UODO nem megfelelő sütibannerekkel kapcsolatos panaszokat vizsgál, és együttműködik a távközlési szabályozóval. Az UODO részt vett EU-szintű összehangolt végrehajtási vizsgálatokban, és útmutatását az EDPB ajánlásaihoz igazította.
Norvégia
Végrehajtó hatóság: Datatilsynet (norvég adatvédelmi hatóság — az azonos nevű dán hatóságtól eltérő).
Nemzeti jogszabály: Ekomloven (elektronikus hírközlési törvény).
Fő követelmények: Bár Norvégia nem EU-tagállam, tagja az Európai Gazdasági Térségnek (EGT), és az EGT-megállapodás révén beépítette a GDPR-t és az ePrivacy irányelvet a nemzeti jogába. A norvég Datatilsynet szorosan követi az EDPB útmutatását, és aktív a sütivégrehajtás terén.
Figyelemre méltó intézkedések: A norvég Datatilsynet 2021 decemberében 5 millió eurós bírságot szabott ki a Grindrre (amelyet fellebbezés után később 6,5 millió euróra módosítottak) amiért érvényes hozzájárulás nélkül osztott meg felhasználói adatokat hirdetési partnerekkel. Bár ez elsősorban az adatmegosztáshoz, nem pedig kifejezetten a sütikhez kapcsolódó hozzájárulási ügy volt, fontos precedenseket teremtett a nyomkövető technológiák hozzájárulási követelményeire nézve. A hatóság a Google Analytics és más nyomkövető eszközök norvég weboldalakon való használatát is vizsgálta.
Legfontosabb tanulságok
A nemzeti végrehajtás és érvényesítés eltérései ellenére több elv is következetes az összes EU- és EGT-országban:
- Hozzájárulás szükséges minden nem alapvető süti beállítása előtt. Egyetlen európai ország sem fogad el tisztán leiratkozásos (opt-out) modellt a sütik esetében.
- A hozzájárulásnak meg kell felelnie a GDPR-szabványnak: önkéntes, konkrét, tájékozott, egyértelmű, és egyértelmű megerősítő cselekedettel kifejezett.
- Az elutasításnak ugyanolyan egyszerűnek kell lennie, mint az elfogadásnak. Bár a konkrét megvalósítás eltérhet (külön gomb, X a bezáráshoz stb.), az az elv, hogy a sütik elutasítása ne legyen nehezebb, mint elfogadásuk, egyetemes.
- A végrehajtás mindenhol fokozódik. A korábban megengedő országok most már bírságokat és hivatalos határozatokat adnak ki. Nincs „biztonságos" európai joghatóság a meg nem felelés számára.
- Az összehangolt végrehajtás erősödik. Az adatvédelmi hatóságok egyre inkább együttműködnek az EDPB-n keresztül, és összehangolt vizsgálatokat végeznek, ami azt jelenti, hogy az egyik országban tapasztalt meg nem felelés valószínűleg más országokban is felhívja a figyelmet.
Megfelel a weboldala a cookie-szabályoknak?
Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.
Vizsgálja meg cookie-jait ingyen