Skip to main content

Sütitörvények országonként: útmutató az EU-hoz és az EGT-hez

Bár az ePrivacy irányelv és a GDPR közös keretet biztosít az Európai Unió egészében, minden tagállam a saját sajátosságaival ültette át az ePrivacy irányelvet a nemzeti jogba. A végrehajtás szigora, a kivételek értelmezése és a bírságok mértéke jelentősen eltér országonként. Ez az útmutató tizenkét jelentős európai piac legfontosabb sütitörvényi jellemzőit tekinti át.

Gyors áttekintő táblázat

Ország Hatóság Nemzeti jogszabály Végrehajtás szintje Figyelemre méltó
Németország Tartományi adatvédelmi hatóságok + BfDI TTDSG (2021) Magas Decentralizált végrehajtás; PIMS keretrendszer
Franciaország CNIL Loi Informatique et Libertés Nagyon magas Rekordbírságok; részletes süti-iránymutatások
Olaszország Garante Adatvédelmi törvénykönyv (D.Lgs. 196/2003) Magas Átfogó 2021-es süti-iránymutatások
Spanyolország AEPD LSSI-CE + LOPDGDD Mérsékelt Vita az analitikai kivétel kapcsán
Hollandia AP Telecommunicatiewet Magas Szigorú sütifal-tilalom
Belgium APD/GBA ePrivacy törvény (2012) Mérsékelt IAB Europe TCF döntés
Ausztria DSB TKG 2021 Mérsékelt–magas Korai Google Analytics döntések
Dánia Datatilsynet Cookiebekendtgørelsen Mérsékelt 2022 óta fokozódó végrehajtás
Svédország IMY LEK (2003:389) Mérsékelt–magas Jelentős bírságok 2023–2024-ben
Írország DPC SI 336/2011 Mérsékelt A nagy techcégek központja; a végrehajtás üteme miatt bírálják
Lengyelország UODO Távközlési törvény Mérsékelt Növekvő végrehajtási aktivitás
Norvégia Datatilsynet Ekomloven Mérsékelt EGT-tag; szorosan követi az EDPB útmutatását

Németország

Végrehajtó hatóság: Szövetségi Adatvédelmi Biztos (BfDI) szövetségi szinten, valamint 16 tartományi adatvédelmi hatóság (Landesdatenschutzbehörden).

Nemzeti jogszabály: A Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), amely 2021. december 1-jén lépett hatályba, egységesítette Németország sütiszabályait. A TTDSG 25. szakasza az ePrivacy irányelv 5. cikk (3) bekezdését ülteti át, amely hozzájárulást ír elő a végfelhasználói eszközökön tárolt információk tárolásához vagy elér/éséhez, kivéve, ha a tárolás feltétlenül szükséges.

Fő követelmények: A TTDSG egyértelművé tette, hogy a sütikhez adott hozzájárulásnak meg kell felelnie a GDPR-szabványnak. Németország Szövetségi Legfelsőbb Bírósága (BGH) ezt már a Planet49 döntés végrehajtása során (2020. május) is megerősítette, kimondva, hogy az előre bejelölt jelölőnégyzetek nem elegendők. A TTDSG bevezette az elismert személyesinformáció-kezelő rendszerekre (PIMS) vonatkozó rendelkezéseket is, amelyek lehetővé tennék a felhasználók számára, hogy a hozzájárulási beállításaikat központilag kezeljék, ne pedig minden egyes weboldalon külön — bár a PIMS-re vonatkozó végrehajtási rendeletek megszületése lassan halad.

Végrehajtás: Németország decentralizált végrehajtási struktúrája azt jelenti, hogy a sütimegfelelés érvényesítése tartományonként eltér. A berlini, hamburgi és baden-württembergi adatvédelmi hatóságok tartoznak a legaktívabbak közé. Az Adatvédelmi Hatóságok Konferenciája (DSK) időről időre közös állásfoglalásokat ad ki a sütikhez adott hozzájárulás követelményeiről.

Figyelemre méltó intézkedések: Több vizsgálat indult olyan sütibannereket illetően, amelyek sötét mintázatokat alkalmaztak, különösen „terelő" kialakítást, ahol az elfogadás gomb vizuálisan hangsúlyos volt, míg az elutasítási lehetőség háttérbe szorult. A bírságok általában alacsonyabbak voltak, mint Franciaországban, de a végrehajtási aktivitás a TTDSG hatálybalépése óta folyamatosan növekedett.

Franciaország

Végrehajtó hatóság: Commission Nationale de l'Informatique et des Libertés (CNIL).

Nemzeti jogszabály: Loi Informatique et Libertés (78-17. sz. törvény), amelyet az ePrivacy irányelv átültetése érdekében módosítottak. A CNIL 2020 szeptemberében átfogó süti-iránymutatásokat adott ki, 2021. március 31-én lejáró megfelelési türelmi idővel.

Fő követelmények: Franciaország a legszigorúbb jelentős EU-s piac a sütimegfelelés terén. A CNIL iránymutatásai megkövetelik: a hozzájárulást minden nem alapvető süti beállítása előtt; egy elutasítási lehetőséget a banner első rétegében, amely ugyanolyan könnyen használható, mint az elfogadás; sütifalak tilalmát (a Conseil d'État által megerősített korlátozott kivételekkel); részletes tájékoztatást minden egyes süti céljáról.

Közönségmérési kivétel: A CNIL korlátozott kivételt biztosít a szigorú feltételeknek megfelelő közönségmérési sütikre: az eszközt úgy kell beállítani, hogy csak névtelen statisztikai adatokat állítson elő, a sütiknek a kiadó oldalára kell korlátozódniuk, a süti élettartama nem haladhatja meg a 13 hónapot, és az adatok nem kombinálhatók más adatkezeléssel. Az olyan eszközöket, mint a Matomo (megfelelő konfigurációval) és az AT Internet, e kivétel keretében ismerték el. A Google Analytics nem felel meg a feltételeknek.

Figyelemre méltó bírságok: Franciaország szabta ki a legnagyobb sütikkel kapcsolatos bírságokat Európában. A Google LLC-t 150 millió euróra bírságolták 2021 decemberében, mert a sütik elutasítását nehezebbé tette az elfogadásnál. A Facebookot ugyanezen eljárásban 60 millió euróra bírságolták. A Microsoftot 60 millió euróra bírságolták 2022 decemberében. A TikTokot 5 millió euróra bírságolták 2022 decemberében. A Criteót 40 millió euróra bírságolták 2023 júniusában. Összességében a CNIL több mint 400 millió euró sütispecifikus bírságot szabott ki.

Olaszország

Végrehajtó hatóság: Garante per la protezione dei dati personali (Garante).

Nemzeti jogszabály: Adatvédelmi törvénykönyv (196/2003 törvényerejű rendelet), amelyet a GDPR-hoz igazítottak. A Garante 2021. június 10-én adott ki átfogó süti-iránymutatásokat, 2022. január 10-i megfelelési határidővel.

Fő követelmények: A Garante 2021-es iránymutatásai a legrészletesebbek közé tartoznak Európában. Ezek megkövetelik: egy első rétegű bannert elfogadás gombbal és jól látható elutasítás gombbal (amelyet „X"-szel vagy „Folytatás elfogadás nélkül" felirattal jelölnek); egy második réteget, amely az első bannerről érhető el, részletes sütikategória-vezérlőkkel; a görgetés kifejezetten nem minősül hozzájárulásnak; a sütikhez adott hozzájárulást legfeljebb 6 havonta újra kell kérni.

Figyelemre méltó: A Garante bevezette azt a koncepciót, hogy a sütibannereken egy konkrét „bezárás" gombra van szükség, ahelyett, hogy a böngészés folytatása elutasításnak minősülne. Az iránymutatások a süti-analitika kérdésével is foglalkoztak, hozzájárulást írva elő minden harmadik féltől származó analitikához, és csak a megfelelően anonimizált adatokkal működő, saját oldalról származó analitikai eszközök esetében engedélyezve korlátozott kivételt.

Spanyolország

Végrehajtó hatóság: Agencia Española de Protección de Datos (AEPD).

Nemzeti jogszabály: Ley de Servicios de la Sociedad de la Información (LSSI-CE) és Ley Orgánica de Protección de Datos (LOPDGDD).

Fő követelmények: Spanyolország kezdetben megengedőbb megközelítést alkalmazott a sütimegfelelés terén; az AEPD 2013-as süti-útmutatója azt sugallta, hogy bizonyos analitikai sütiket a jogos érdek alapján lehetne használni. Az AEPD azonban fokozatosan a szigorúbb európai konszenzushoz igazodott az EDPB útmutatását és a Planet49 döntést követően. A jelenlegi AEPD-iránymutatás előzetes hozzájárulást ír elő az analitikai és marketingsütikhez.

Figyelemre méltó intézkedések: Az AEPD 30 000 euróra bírságolta a Vueling Airlinest 2020-ban egy olyan sütibanner miatt, amely csak elfogadási lehetőséget kínált, a sütik elutasítására nem adott módot. A CaixaBankot 6 millió euróra bírságolták 2021-ben, részben a sütialapú nyomkövetéshez kapcsolódó adatkezelési gyakorlatok miatt. Újabban az AEPD a hozzájárulási felületeken alkalmazott sütifalakra és sötét mintázatokra összpontosított.

Hollandia

Végrehajtó hatóság: Autoriteit Persoonsgegevens (AP).

Nemzeti jogszabály: Telecommunicatiewet (távközlési törvény), 11.7a. cikk.

Fő követelmények: Hollandia az egyik legszigorúbb álláspontot foglalta el a sütifalakkal kapcsolatban Európában. Az AP egyértelműen kijelentette, hogy egy weboldalhoz való hozzáférés sütik elfogadásához kötése nem érvényes hozzájárulás, mivel a hozzájárulás nem „önkéntes", ha az alternatíva a szolgáltatáshoz való hozzáférés elvesztése. Az AP kifejezett hozzájárulást is megkövetel minden nyomkövető süti beállítása előtt, és bírálta a manipulatív kialakítást alkalmazó hozzájáruláskezelő platformokat.

Figyelemre méltó intézkedések: Az AP számos weboldalt vizsgált meg sütimegfelelési hibák miatt, és kifejezetten a sütibannerekben alkalmazott sötét mintázatokat célzó útmutatást adott ki. A hatóság részt vett a kormányzati weboldalak sütimegfelelését ellenőrző összehangolt vizsgálatokban is. 2024-ben az AP fokozta végrehajtási tevékenységét a kisebb szervezetekkel szemben, jelezve, hogy a sütimegfelelési elvárások a cég méretétől függetlenül érvényesek.

Belgium

Végrehajtó hatóság: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Nemzeti jogszabály: Az elektronikus hírközlésről szóló 2005. június 13-i törvény, amelyet a 2012. július 10-i törvény módosított.

Fő követelmények: Belgium a szokásos ePrivacy irányelvi követelményeket követi. A belga adatvédelmi hatóság globálisan jelentőssé vált a sütiszabályozás terén, amikor 2022 februárjában döntést hozott az IAB Europe átláthatósági és hozzájárulási keretrendszeréről (TCF), megállapítva, hogy a TCF hozzájárulási karakterlánca személyes adatnak minősül, és hogy az IAB Europe közös adatkezelő. Ez a döntés, amelyet az EUB 2024 márciusában részben helybenhagyott, minden olyan weboldalra kihatással van, amely a TCF-et használja a sütikhez adott hozzájárulás kezelésére.

Figyelemre méltó: Az IAB TCF-döntés megrázta az online hirdetési ipart, mivel a TCF a legszélesebb körben használt hozzájárulási keretrendszer a programozott hirdetésekhez Európában. Bár az IAB Europe módosításokat vezetett be az adatvédelmi hatóság aggályainak kezelésére, az ügy rávilágított azokra a kockázatokra, amelyek az iparág által kialakított, esetleg a GDPR követelményeinek nem teljes mértékben megfelelő hozzájárulási keretrendszerekre való támaszkodással járnak.

Ausztria

Végrehajtó hatóság: Datenschutzbehörde (DSB).

Nemzeti jogszabály: Telekommunikationsgesetz 2021 (TKG 2021), 165. szakasz.

Fő követelmények: Ausztria sütiszabályai a szokásos ePrivacy irányelvi keretet követik. Az osztrák DSB nemzetközi figyelmet kapott 2022 januárjában, amikor az első európai adatvédelmi hatóság lett, amely kimondta, hogy a Google Analytics használata sérti a GDPR-t, különösen a személyes adatok Egyesült Államokba történő továbbítása tekintetében a Schrems II döntést követően. Bár ez elsősorban adattovábbítási kérdés volt, közvetlen kihatással volt a sütimegfelelésre, mivel a Google Analytics sütiket megfelelő biztosítékok nélkül harmadik országba továbbított személyes adatoknak minősítették.

Figyelemre méltó: A Google Analytics döntés hasonló határozatok lavináját indította el egész Európában (Franciaország, Olaszország és mások követték a példát), és felgyorsította az adatvédelmet tiszteletben tartó analitikai alternatívák fejlesztését. A DSB továbbra is aktív maradt a sütikkel és nyomkövető technológiákkal kapcsolatos kérdésekben.

Dánia

Végrehajtó hatóság: Datatilsynet.

Nemzeti jogszabály: Cookiebekendtgørelsen (rendelet a végfelhasználói végberendezésekben tárolt vagy azokból elért információkhoz szükséges tájékoztatásról és hozzájárulásról), amely az ePrivacy irányelv rendelkezéseit ülteti át.

Fő követelmények: Dánia hozzájárulást ír elő minden sütihez, kivéve azokat, amelyek feltétlenül szükségesek a felhasználó által kifejezetten kért szolgáltatáshoz. A Datatilsynet olyan útmutatást adott ki, amely megerősíti, hogy az analitikai sütikhez hozzájárulás szükséges, és hogy a böngészés folytatása nem minősül érvényes hozzájárulásnak. A dán útmutatás egyre inkább igazodott a CNIL és az EDPB által képviselt szigorúbb álláspontokhoz.

Figyelemre méltó intézkedések: A Datatilsynet 2022 óta fokozta sütivégrehajtási tevékenységét, mind a köz-, mind a magánszektorbeli weboldalakat vizsgálva. 2023-ban a hatóság több dán weboldal ellen hozott határozatot nem megfelelő sütihozzájárulási mechanizmusok miatt, beleértve azokat az eseteket, amikor az elutasítási lehetőség nem volt kellően látható. A Datatilsynet foglalkozott a Google Analytics és a Meta nyomkövető pixelek dán weboldalakon való használatával is, több szervezetet kötelezve arra, hogy szüntesse meg ezen eszközök használatát megfelelő hozzájárulás és adattovábbítási biztosítékok nélkül.

Svédország

Végrehajtó hatóság: Integritetsskyddsmyndigheten (IMY).

Nemzeti jogszabály: Lag om elektronisk kommunikation (LEK, 2003:389).

Fő követelmények: Svédország az elmúlt években a viszonylag alacsony sütivégrehajtástól a jelentős fellépés felé mozdult el. Az IMY 2023-ban adta ki első jelentős sütikkel kapcsolatos bírságait, négy céget megcélozva (köztük a Tele2-t, a CDON-t, a Dagens Industrit és a Coopot) összesen több mint 100 millió svéd korona (körülbelül 9 millió euró) értékben, amiért a Google Analyticset használták és személyes adatokat osztottak meg a Google-lel érvényes hozzájárulás vagy megfelelő adattovábbítási biztosítékok nélkül.

Figyelemre méltó: A 2023-as végrehajtási intézkedések jelentős fordulatot jeleztek Svédország megközelítésében. Az IMY együttműködött más északi adatvédelmi hatóságokkal, és követte az osztrák DSB és a francia CNIL által a Google Analytics ügyben lefektetett precedenseket. A bírságok az északi adatvédelmi hatóságok által kiszabott legnagyobbak közé tartoztak, és bizonyították, hogy a svéd végrehajtás mostanra a legszigorúbb európai hatóságokéval egyenrangú.

Írország

Végrehajtó hatóság: Data Protection Commission (DPC).

Nemzeti jogszabály: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Fő követelmények: Írország a szokásos ePrivacy irányelvi keretet követi. A DPC-nek azonban mint számos jelentős, Írországban székelő technológiai cég (köztük a Meta, a Google, az Apple, a Microsoft és a TikTok) vezető felügyeleti hatóságának szerepe kiemelt jelentőséget adott az európai adatvédelemben. A DPC útmutatást adott ki a sütimegfelelésről, és auditokat végzett mind a köz-, mind a magánszektorbeli weboldalakon.

Figyelemre méltó: A DPC-t más európai adatvédelmi hatóságok és az Európai Parlament is bírálták a nagy techcégekkel szembeni végrehajtás vélt üteme miatt. A DPC azonban jelentős GDPR-bírságokat szabott ki, köztük egy 1,2 milliárd eurós bírságot a Metára 2023-ban adattovábbítások miatt. Kifejezetten a sütik terén a DPC 2020-ban és 2021-ben weboldal-vizsgálatokat végzett, számos szervezetnek adva megfelelési ajánlásokat. A DPC által kiszabott, kifejezetten sütikre vonatkozó bírságok a CNIL-hez képest viszonylag szerények voltak.

Lengyelország

Végrehajtó hatóság: Urząd Ochrony Danych Osobowych (UODO).

Nemzeti jogszabály: Távközlési törvény (Prawo telekomunikacyjne), 173. cikk.

Fő követelmények: Lengyelország az ePrivacy irányelvnek megfelelően hozzájárulást ír elő a sütikhez. Az UODO olyan útmutatást adott ki, amely megerősíti, hogy az előre bejelölt jelölőnégyzetek és a böngészés folytatása nem minősül érvényes hozzájárulásnak. A lengyel jog konkrét rendelkezéseket tartalmaz a felhasználók számára a sütikről nyújtandó információkról, beleértve a célokat, az adatkezelő kilétét és a sütibeállítások kezelésére vonatkozó utasításokat.

Figyelemre méltó: Lengyelország sütikkel kapcsolatos végrehajtási tevékenysége fokozódott; az UODO nem megfelelő sütibannerekkel kapcsolatos panaszokat vizsgál, és együttműködik a távközlési szabályozóval. Az UODO részt vett EU-szintű összehangolt végrehajtási vizsgálatokban, és útmutatását az EDPB ajánlásaihoz igazította.

Norvégia

Végrehajtó hatóság: Datatilsynet (norvég adatvédelmi hatóság — az azonos nevű dán hatóságtól eltérő).

Nemzeti jogszabály: Ekomloven (elektronikus hírközlési törvény).

Fő követelmények: Bár Norvégia nem EU-tagállam, tagja az Európai Gazdasági Térségnek (EGT), és az EGT-megállapodás révén beépítette a GDPR-t és az ePrivacy irányelvet a nemzeti jogába. A norvég Datatilsynet szorosan követi az EDPB útmutatását, és aktív a sütivégrehajtás terén.

Figyelemre méltó intézkedések: A norvég Datatilsynet 2021 decemberében 5 millió eurós bírságot szabott ki a Grindrre (amelyet fellebbezés után később 6,5 millió euróra módosítottak) amiért érvényes hozzájárulás nélkül osztott meg felhasználói adatokat hirdetési partnerekkel. Bár ez elsősorban az adatmegosztáshoz, nem pedig kifejezetten a sütikhez kapcsolódó hozzájárulási ügy volt, fontos precedenseket teremtett a nyomkövető technológiák hozzájárulási követelményeire nézve. A hatóság a Google Analytics és más nyomkövető eszközök norvég weboldalakon való használatát is vizsgálta.

Legfontosabb tanulságok

A nemzeti végrehajtás és érvényesítés eltérései ellenére több elv is következetes az összes EU- és EGT-országban:

  • Hozzájárulás szükséges minden nem alapvető süti beállítása előtt. Egyetlen európai ország sem fogad el tisztán leiratkozásos (opt-out) modellt a sütik esetében.
  • A hozzájárulásnak meg kell felelnie a GDPR-szabványnak: önkéntes, konkrét, tájékozott, egyértelmű, és egyértelmű megerősítő cselekedettel kifejezett.
  • Az elutasításnak ugyanolyan egyszerűnek kell lennie, mint az elfogadásnak. Bár a konkrét megvalósítás eltérhet (külön gomb, X a bezáráshoz stb.), az az elv, hogy a sütik elutasítása ne legyen nehezebb, mint elfogadásuk, egyetemes.
  • A végrehajtás mindenhol fokozódik. A korábban megengedő országok most már bírságokat és hivatalos határozatokat adnak ki. Nincs „biztonságos" európai joghatóság a meg nem felelés számára.
  • Az összehangolt végrehajtás erősödik. Az adatvédelmi hatóságok egyre inkább együttműködnek az EDPB-n keresztül, és összehangolt vizsgálatokat végeznek, ami azt jelenti, hogy az egyik országban tapasztalt meg nem felelés valószínűleg más országokban is felhívja a figyelmet.

Megfelel a weboldala a cookie-szabályoknak?

Vizsgálja meg weboldalát ingyen, és találja meg az összes cookie-t percek alatt.

Vizsgálja meg cookie-jait ingyen