Skip to main content

Slapukų įstatymai pagal šalis: ES ir EEE vadovas

Nors ePrivatumo direktyva ir GDPR nustato bendrą sistemą visoje Europos Sąjungoje, kiekviena valstybė narė ePrivatumo direktyvą į nacionalinę teisę perkėlė su savais niuansais. Vykdymo intensyvumas, išimčių aiškinimas ir baudų dydžiai įvairiose šalyse gerokai skiriasi. Šiame vadove aptariamos pagrindinės slapukų teisės ypatybės dvylikoje pagrindinių Europos rinkų.

Greitoji nuorodų lentelė

Šalis Institucija Nacionalinis įstatymas Vykdymo lygis Ypatinga
Vokietija Federalinės žemės DAI + BfDI TTDSG (2021) Aukštas Decentralizuotas vykdymas; PIMS sistema
Prancūzija CNIL Loi Informatique et Libertés Labai aukštas Rekordinės baudos; išsamios slapukų gairės
Italija Garante Privatumo kodeksas (D.Lgs. 196/2003) Aukštas Išsamios 2021 m. slapukų gairės
Ispanija AEPD LSSI-CE + LOPDGDD Vidutinis Diskusijų dėl analitikos išimties istorija
Nyderlandai AP Telecommunicatiewet Aukštas Griežtas slapukų sienelių draudimas
Belgija APD/GBA ePrivatumo įstatymas (2012) Vidutinis IAB Europe TCF sprendimas
Austrija DSB TKG 2021 Vidutinis–aukštas Ankstyvi Google Analytics sprendimai
Danija Datatilsynet Cookiebekendtgørelsen Vidutinis Vis intensyvesnis vykdymas nuo 2022 m.
Švedija IMY LEK (2003:389) Vidutinis–aukštas Didelės baudos 2023–2024 m.
Airija DPC SI 336/2011 Vidutinis Didžiųjų technologijų bendrovių centras; kritikuojamas dėl vykdymo tempo
Lenkija UODO Telekomunikacijų įstatymas Vidutinis Auganti vykdymo veikla
Norvegija Datatilsynet Ekomloven Vidutinis EEE narė; griežtai laikosi EDPB gairių

Vokietija

Vykdymo institucija: Federalinis duomenų apsaugos komisaras (BfDI) federaliniu lygmeniu bei 16 federalinių žemių duomenų apsaugos institucijų (Landesdatenschutzbehörden).

Nacionalinis įstatymas: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), įsigaliojęs 2021 m. gruodžio 1 d., sujungė Vokietijos slapukų taisykles. TTDSG 25 skirsnis perkelia ePrivatumo direktyvos 5 straipsnio 3 dalį, reikalaujantis sutikimo saugoti ar prieiti prie informacijos galutinio naudotojo įrenginiuose, nebent saugojimas yra griežtai būtinas.

Pagrindiniai reikalavimai: TTDSG patikslino, kad sutikimas dėl slapukų turi atitikti GDPR standartą. Vokietijos Federalinis teisingumo teismas (BGH) tai jau patvirtino įgyvendindamas Planet49 sprendimą (2020 m. gegužės mėn.), pripažindamas, kad iš anksto pažymėti langeliai yra nepakankami. TTDSG taip pat įvedė nuostatas dėl pripažintų asmens informacijos valdymo sistemų (PIMS), kurios leistų naudotojams valdyti sutikimo nustatymus centralizuotai, o ne kiekvienoje svetainėje atskirai, nors PIMS įgyvendinimo reglamentai atsiranda lėtai.

Vykdymas: Decentralizuota Vokietijos vykdymo struktūra reiškia, kad slapukų atitikties vykdymas skiriasi priklausomai nuo federalinės žemės. Berlyno, Hamburgo ir Badeno-Viurtembergo DAI buvo tarp aktyviausių. Duomenų apsaugos institucijų konferencija (DSK) periodiškai skelbia bendras pozicijas dėl sutikimo dėl slapukų reikalavimų.

Reikšmingi veiksmai: Daugybė tyrimų dėl slapukų juostų, kuriose naudojami tamsieji modeliai, ypač „stumdymo“ dizainai, kai sutikimo mygtukas buvo vizualiai išryškintas, o atsisakymo galimybė nustumta į antrą planą. Baudos paprastai buvo mažesnės nei Prancūzijoje, tačiau vykdymo veikla nuolat augo nuo TTDSG įsigaliojimo.

Prancūzija

Vykdymo institucija: Commission Nationale de l'Informatique et des Libertés (CNIL).

Nacionalinis įstatymas: Loi Informatique et Libertés (įstatymas Nr. 78-17), iš dalies pakeistas įgyvendinant ePrivatumo direktyvą. CNIL 2020 m. rugsėjo mėn. paskelbė išsamias slapukų gaires su atitikties įgyvendinimo laikotarpiu, pasibaigusiu 2021 m. kovo 31 d.

Pagrindiniai reikalavimai: Prancūzija yra griežčiausia pagrindinė ES rinka slapukų atitikties srityje. CNIL gairėse reikalaujama: gauti sutikimą prieš nustatant bet kokį nebūtiną slapuką; pirmame juostos sluoksnyje pateikti atsisakymo galimybę, kurią naudoti taip pat lengva kaip ir sutikimo galimybę; nenaudoti slapukų sienelių (su ribotomis išimtimis, patvirtintomis Conseil d'État); pateikti išsamią informaciją apie kiekvieno slapuko paskirtį.

Auditorijos matavimo išimtis: CNIL numato ribotą išimtį auditorijos matavimo slapukams, atitinkantiems griežtas sąlygas: įrankis turi būti sukonfigūruotas taip, kad generuotų tik anoniminius statistinius duomenis, slapukai turi būti apriboti leidėjo svetaine, slapukų galiojimo laikas neturi viršyti 13 mėnesių, o duomenys neturi būti derinami su kitu tvarkymu. Įrankiai, tokie kaip Matomo (su specifine konfigūracija) ir AT Internet, buvo pripažinti pagal šią išimtį. Google Analytics jos neatitinka.

Reikšmingos baudos: Prancūzija skyrė didžiausias su slapukais susijusias baudas Europoje. Google LLC 2021 m. gruodžio mėn. buvo skirta 150 mln. eurų bauda už tai, kad slapukų atsisakymą padarė sunkesnį nei sutikimą. Facebook tuo pačiu sprendimu buvo skirta 60 mln. eurų bauda. Microsoft 2022 m. gruodžio mėn. skirta 60 mln. eurų bauda. TikTok 2022 m. gruodžio mėn. skirta 5 mln. eurų bauda. Criteo 2023 m. birželio mėn. skirta 40 mln. eurų bauda. Iš viso CNIL skyrė daugiau nei 400 mln. eurų baudų, susijusių su slapukais.

Italija

Vykdymo institucija: Garante per la protezione dei dati personali (Garante).

Nacionalinis įstatymas: Privatumo kodeksas (Decreto Legislativo 196/2003), iš dalies pakeistas siekiant suderinti su GDPR. Garante 2021 m. birželio 10 d. paskelbė išsamias slapukų gaires, kurių atitiktis buvo privaloma iki 2022 m. sausio 10 d.

Pagrindiniai reikalavimai: Garante 2021 m. gairės yra vienos iš išsamiausių Europoje. Jose reikalaujama: pirmojo sluoksnio juostos su sutikimo mygtuku ir ryškiai matomu atsisakymo mygtuku (pažymėtu „X“ arba „Tęsti nesutikus“); antrojo sluoksnio, pasiekiamo iš pirmosios juostos, su detalizuotais slapukų kategorijų valdikliais; slinktis aiškiai nereiškia sutikimo; sutikimo dėl slapukų reikia pakartotinai paprašyti ne rečiau kaip kas 6 mėnesius.

Ypatinga: Garante įvedė reikalavimą slapukų juostose turėti specialų „uždarymo“ mygtuką, o ne leisti, kad tolesnis naršymas būtų laikomas atsisakymu. Gairėse taip pat aptariamas slapukų analitikos klausimas, reikalaujant sutikimo visai trečiųjų šalių analitikai ir leidžiant ribotą išimtį tik pirmosios šalies analitikos įrankiams su tinkamai anonimizuotais duomenimis.

Ispanija

Vykdymo institucija: Agencia Española de Protección de Datos (AEPD).

Nacionalinis įstatymas: Ley de Servicios de la Sociedad de la Información (LSSI-CE) ir Ley Orgánica de Protección de Datos (LOPDGDD).

Pagrindiniai reikalavimai: Iš pradžių Ispanija laikėsi švelnesnio požiūrio į slapukų atitiktį – AEPD 2013 m. slapukų vadove buvo užsiminta, kad tam tikri analitikos slapukai galėtų būti naudojami teisėto intereso pagrindu. Tačiau AEPD palaipsniui suderino savo poziciją su griežtesniu Europos konsensusu po EDPB gairių ir Planet49 sprendimo. Dabartinės AEPD gairės reikalauja išankstinio sutikimo analitikos ir rinkodaros slapukams.

Reikšmingi veiksmai: AEPD 2020 m. skyrė 30 000 eurų baudą Vueling Airlines už slapukų juostą, kurioje buvo tik sutikimo galimybė be jokio būdo atsisakyti slapukų. CaixaBank 2021 m. skirta 6 mln. eurų bauda, iš dalies susijusi su duomenų tvarkymo praktikomis, susijusiomis su slapukais grindžiamu sekimu. Pastaruoju metu AEPD sutelkė dėmesį į slapukų sieneles ir tamsiuosius modelius sutikimo sąsajose.

Nyderlandai

Vykdymo institucija: Autoriteit Persoonsgegevens (AP).

Nacionalinis įstatymas: Telecommunicatiewet (Telekomunikacijų įstatymas), 11.7a straipsnis.

Pagrindiniai reikalavimai: Nyderlandai užėmė vieną griežčiausių pozicijų dėl slapukų sienelių Europoje. AP aiškiai nurodė, kad prieigos prie svetainės sąlygojimas slapukų priėmimu nėra galiojantis sutikimas, nes sutikimas nėra „laisvai duotas“, jei alternatyva yra prieigos prie paslaugos praradimas. AP taip pat reikalauja aiškaus sutikimo prieš nustatant bet kokius sekimo slapukus ir kritikuoja sutikimo valdymo platformas, kurios naudoja manipuliacinį dizainą.

Reikšmingi veiksmai: AP ištyrė daugybę svetainių dėl slapukų atitikties pažeidimų ir paskelbė gaires, konkrečiai skirtas tamsiesiems modeliams slapukų juostose. Institucija taip pat dalyvavo koordinuotose valstybinių svetainių slapukų atitikties patikrose. 2024 m. AP suaktyvino vykdymo veiklą prieš mažesnes organizacijas, tuo signalizuodama, kad slapukų atitikties reikalavimai galioja nepriklausomai nuo įmonės dydžio.

Belgija

Vykdymo institucija: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Nacionalinis įstatymas: 2005 m. birželio 13 d. Elektroninių ryšių įstatymas, iš dalies pakeistas 2012 m. liepos 10 d. įstatymu.

Pagrindiniai reikalavimai: Belgija laikosi standartinių ePrivatumo direktyvos reikalavimų. Belgijos DAI įgijo pasaulinę reikšmę slapukų reguliavime, kai 2022 m. vasario mėn. priėmė sprendimą dėl IAB Europe skaidrumo ir sutikimo sistemos (TCF), nustatydama, kad TCF sutikimo eilutė laikoma asmens duomenimis ir kad IAB Europe yra bendras valdytojas. Šis sprendimas, iš dalies patvirtintas ESTT 2024 m. kovo mėn., turi pasekmių kiekvienai svetainei, naudojančiai TCF sutikimo dėl slapukų valdymui.

Ypatinga: IAB TCF sprendimas sukėlė sukrėtimą internetinės reklamos pramonėje, nes TCF yra plačiausiai naudojama sutikimo sistema programinei reklamai Europoje. Nors IAB Europe įgyvendino pakeitimus, kad išspręstų DAI iškeltas problemas, byla išryškino riziką, susijusią su pasikliovimu pramonės sukurtomis sutikimo sistemomis, kurios gali ne visiškai atitikti GDPR reikalavimus.

Austrija

Vykdymo institucija: Datenschutzbehörde (DSB).

Nacionalinis įstatymas: Telekommunikationsgesetz 2021 (TKG 2021), 165 skirsnis.

Pagrindiniai reikalavimai: Austrijos slapukų taisyklės atitinka standartinę ePrivatumo direktyvos sistemą. Austrijos DSB sulaukė tarptautinio dėmesio 2022 m. sausio mėn., kai tapo pirmąja Europos DAI, nusprendusia, kad Google Analytics naudojimas pažeidžia GDPR, konkrečiai dėl asmens duomenų perdavimo į Jungtines Valstijas po Schrems II sprendimo. Nors tai pirmiausia buvo duomenų perdavimo klausimas, tai turėjo tiesioginių pasekmių slapukų atitikčiai, nes buvo nustatyta, kad Google Analytics slapukai laikomi asmens duomenimis, perduodamais į trečiąją šalį be tinkamų apsaugos priemonių.

Ypatinga: Google Analytics sprendimas sukėlė panašių sprendimų grandinę visoje Europoje (Prancūzija, Italija ir kitos šalys pasekė pavyzdžiu) ir paspartino privatumą tausojančių analitikos alternatyvų kūrimą. DSB toliau aktyviai sprendė slapukų ir sekimo technologijų klausimus.

Danija

Vykdymo institucija: Datatilsynet.

Nacionalinis įstatymas: Cookiebekendtgørelsen (Vykdomasis nutarimas dėl informacijos ir sutikimo, reikalingo informacijai saugoti ar prieiti galutinio naudotojo įrenginiuose), įgyvendinantis ePrivatumo direktyvos nuostatas.

Pagrindiniai reikalavimai: Danija reikalauja sutikimo visiems slapukams, išskyrus tuos, kurie yra griežtai būtini naudotojo aiškiai paprašytai paslaugai. Datatilsynet paskelbė gaires, patvirtinančias, kad analitikos slapukams reikalingas sutikimas ir kad tolesnis naršymas nelaikomas galiojančiu sutikimu. Danijos gairės vis labiau derinamos su griežtesnėmis CNIL ir EDPB pozicijomis.

Reikšmingi veiksmai: Datatilsynet suaktyvino slapukų vykdymo veiklą nuo 2022 m., tirdama tiek viešojo, tiek privataus sektoriaus svetaines. 2023 m. institucija priėmė sprendimus prieš keletą Danijos svetainių dėl netinkamų sutikimo dėl slapukų mechanizmų, įskaitant atvejus, kai atsisakymo galimybė nebuvo pakankamai matoma. Datatilsynet taip pat sprendė Google Analytics ir Meta sekimo pikselių naudojimo Danijos svetainėse klausimus, įpareigodama keletą organizacijų nustoti naudoti šiuos įrankius be tinkamo sutikimo ir duomenų perdavimo apsaugos priemonių.

Švedija

Vykdymo institucija: Integritetsskyddsmyndigheten (IMY).

Nacionalinis įstatymas: Lag om elektronisk kommunikation (LEK, 2003:389).

Pagrindiniai reikalavimai: Švedija pastaraisiais metais perėjo nuo santykinai menko slapukų vykdymo prie reikšmingų veiksmų. IMY 2023 m. skyrė pirmąsias dideles su slapukais susijusias baudas keturioms bendrovėms (įskaitant Tele2, CDON, Dagens Industri ir Coop), bendrai daugiau nei 100 mln. SEK (maždaug 9 mln. eurų) už Google Analytics naudojimą ir asmens duomenų dalijimąsi su Google be galiojančio sutikimo ar tinkamų duomenų perdavimo apsaugos priemonių.

Ypatinga: 2023 m. vykdymo veiksmai signalizavo apie didelį pokytį Švedijos požiūryje. IMY koordinavo veiklą su kitomis Šiaurės šalių DAI ir sekė Austrijos DSB bei Prancūzijos CNIL nustatytais precedentais dėl Google Analytics. Baudos buvo tarp didžiausių, kokias yra skyrusi bet kuri Šiaurės šalių DAI, ir įtvirtino, kad Švedijos vykdymas dabar prilygsta griežčiausioms Europos institucijoms.

Airija

Vykdymo institucija: Data Protection Commission (DPC).

Nacionalinis įstatymas: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Pagrindiniai reikalavimai: Airija laikosi standartinės ePrivatumo direktyvos sistemos. Tačiau DPC vaidmuo kaip pagrindinės priežiūros institucijos daugeliui didelių technologijų bendrovių, kurių būstinės yra Airijoje (įskaitant Meta, Google, Apple, Microsoft ir TikTok), suteikė jai neproporcingai didelę reikšmę Europos duomenų apsaugoje. DPC paskelbė gaires dėl slapukų atitikties ir atliko tiek viešojo, tiek privataus sektoriaus svetainių auditus.

Ypatinga: DPC sulaukė kritikos iš kitų Europos DAI ir Europos Parlamento dėl suvokiamo lėto vykdymo prieš didžiąsias technologijų bendroves. Tačiau DPC skyrė reikšmingas GDPR baudas, įskaitant 1,2 mlrd. eurų baudą Meta 2023 m. už duomenų perdavimą. Konkrečiai dėl slapukų DPC atliko svetainių patikras 2020 ir 2021 m., pateikdama atitikties rekomendacijas daugybei organizacijų. Tiesioginės su slapukais susijusios DPC baudos buvo palyginti kuklios lyginant su CNIL.

Lenkija

Vykdymo institucija: Urząd Ochrony Danych Osobowych (UODO).

Nacionalinis įstatymas: Telekomunikacijų įstatymas (Prawo telekomunikacyjne), 173 straipsnis.

Pagrindiniai reikalavimai: Lenkija reikalauja sutikimo dėl slapukų pagal ePrivatumo direktyvą. UODO paskelbė gaires, patvirtinančias, kad iš anksto pažymėti langeliai ir tolesnis naršymas nelaikomi galiojančiu sutikimu. Lenkijos teisė apima specialias nuostatas dėl informacijos, kuri turi būti pateikta naudotojams apie slapukus, įskaitant paskirtis, valdytojo tapatybę ir slapukų nustatymų valdymo instrukcijas.

Ypatinga: Lenkijos vykdymo veikla dėl slapukų suaktyvėjo – UODO tiria skundus dėl neatitinkančių slapukų juostų ir bendradarbiauja su telekomunikacijų reguliuotoju. UODO dalyvavo ES mastu koordinuotose vykdymo patikrose ir suderino savo gaires su EDPB rekomendacijomis.

Norvegija

Vykdymo institucija: Datatilsynet (Norvegijos duomenų apsaugos institucija – atskira nuo tapataus pavadinimo Danijos institucijos).

Nacionalinis įstatymas: Ekomloven (Elektroninių ryšių įstatymas).

Pagrindiniai reikalavimai: Nors Norvegija nėra ES valstybė narė, ji yra Europos ekonominės erdvės (EEE) narė ir per EEE susitarimą į savo nacionalinę teisę perkėlė GDPR bei ePrivatumo direktyvą. Norvegijos Datatilsynet griežtai laikosi EDPB gairių ir buvo aktyvi slapukų vykdymo srityje.

Reikšmingi veiksmai: Norvegijos Datatilsynet 2021 m. gruodžio mėn. skyrė 5 mln. eurų baudą Grindr (vėliau apeliacine tvarka sumažintą iki 6,5 mln. eurų) už naudotojų duomenų dalijimąsi su reklamos partneriais be galiojančio sutikimo. Nors tai pirmiausia buvo sutikimo byla, susijusi su dalijimusi duomenimis, o ne konkrečiai su slapukais, ji sukūrė svarbius precedentus dėl sutikimo reikalavimų sekimo technologijoms. Institucija taip pat ištyrė Google Analytics ir kitų sekimo įrankių naudojimą Norvegijos svetainėse.

Pagrindinės išvados

Nepaisant nacionalinio įgyvendinimo ir vykdymo skirtumų, keli principai yra nuoseklūs visose ES ir EEE šalyse:

  • Sutikimas yra būtinas prieš nustatant bet kokį nebūtiną slapuką. Nė viena Europos šalis nepriima gryno atsisakymo (opt-out) modelio slapukams.
  • Sutikimas turi atitikti GDPR standartą: būti laisvai duotas, konkretus, informuotas, nedviprasmiškas ir išreikštas aiškiu patvirtinamuoju veiksmu.
  • Atsisakymas turi būti toks pat lengvas kaip ir sutikimas. Nors konkretus įgyvendinimas gali skirtis (atskiras mygtukas, X uždarymui ir pan.), principas, kad slapukų atsisakymas neturi būti sunkesnis nei jų priėmimas, yra visuotinis.
  • Vykdymas intensyvėja visur. Anksčiau švelnios šalys dabar skiria baudas ir priima oficialius sprendimus. Nėra „saugios“ Europos jurisdikcijos neatitikčiai.
  • Koordinuotas vykdymas auga. DAI vis labiau bendradarbiauja per EDPB ir atlieka koordinuotas patikras, o tai reiškia, kad neatitiktis vienoje šalyje greičiausiai patrauks dėmesį ir kitose.

Ar jūsų svetainė atitinka slapukų taisykles?

Nemokamai nuskenuokite savo svetainę ir raskite visus slapukus per kelias minutes.

Nuskenuokite savo slapukus nemokamai