Sīkdatņu likumi pa valstīm: ceļvedis ES un EEZ tirgum
Lai gan ePrivacy direktīva un GDPR nodrošina kopīgu regulējuma ietvaru visā Eiropas Savienībā, katra dalībvalsts ir transponējusi ePrivacy direktīvu savā nacionālajā likumdošanā ar saviem niansēm. Uzraudzības intensitāte, izņēmumu interpretācija un naudas sodu apmērs būtiski atšķiras no valsts uz valsti. Šis ceļvedis aptver galvenās sīkdatņu likumdošanas īpatnības divpadsmit lielākajos Eiropas tirgos.
Ātrās uzziņas tabula
| Valsts | Iestāde | Nacionālais likums | Uzraudzības līmenis | Būtiskākais |
|---|---|---|---|---|
| Vācija | Federālās zemes DAI + BfDI | TTDSG (2021) | Augsts | Decentralizēta uzraudzība; PIMS ietvars |
| Francija | CNIL | Loi Informatique et Libertés | Ļoti augsts | Rekordlieli sodi; detalizētas sīkdatņu vadlīnijas |
| Itālija | Garante | Privātuma kodekss (D.Lgs. 196/2003) | Augsts | Visaptverošas 2021. gada sīkdatņu vadlīnijas |
| Spānija | AEPD | LSSI-CE + LOPDGDD | Mērens | Ilga diskusija par analītikas izņēmumu |
| Nīderlande | AP | Telecommunicatiewet | Augsts | Stingrs sīkdatņu sienu aizliegums |
| Beļģija | APD/GBA | ePrivacy likums (2012) | Mērens | IAB Europe TCF nolēmums |
| Austrija | DSB | TKG 2021 | Mēreni augsts | Agrīnie Google Analytics nolēmumi |
| Dānija | Datatilsynet | Cookiebekendtgørelsen | Mērens | Pieaugoša uzraudzība kopš 2022. gada |
| Zviedrija | IMY | LEK (2003:389) | Mēreni augsts | Lieli sodi 2023.–2024. gadā |
| Īrija | DPC | SI 336/2011 | Mērens | Lielo tehnoloģiju uzņēmumu centrs; kritizēta par uzraudzības tempu |
| Polija | UODO | Telekomunikāciju likums | Mērens | Augoša uzraudzības aktivitāte |
| Norvēģija | Datatilsynet | Ekomloven | Mērens | EEZ dalībvalsts; cieši seko EDPB vadlīnijām |
Vācija
Uzraudzības iestāde: Federālais datu aizsardzības komisārs (BfDI) federālā līmenī, kā arī 16 federālo zemju datu aizsardzības iestādes (Landesdatenschutzbehörden).
Nacionālais likums: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), kas stājās spēkā 2021. gada 1. decembrī, apvienoja Vācijas sīkdatņu noteikumus. TTDSG 25. pants transponē ePrivacy direktīvas 5. panta 3. punktu, pieprasot piekrišanu informācijas glabāšanai vai piekļuvei tai galalietotāju ierīcēs, izņemot gadījumus, kad glabāšana ir strikti nepieciešama.
Galvenās prasības: TTDSG precizēja, ka piekrišanai sīkdatņu izmantošanai jāatbilst GDPR standartam. Vācijas Federālā Augstākā tiesa (BGH) to jau bija apstiprinājusi Planet49 nolēmuma īstenošanā (2020. gada maijā), nosakot, ka iepriekš atzīmētas izvēles rūtiņas nav pietiekamas. TTDSG arī ieviesa noteikumus par atzītām personiskās informācijas pārvaldības sistēmām (PIMS), kas ļautu lietotājiem centralizēti pārvaldīt piekrišanas preferences, nevis katrā vietnē atsevišķi — lai gan PIMS īstenošanas noteikumi ir attīstījušies lēni.
Uzraudzība: Vācijas decentralizētā uzraudzības struktūra nozīmē, ka sīkdatņu atbilstības uzraudzība atšķiras katrā federālajā zemē. Berlīnes, Hamburgas un Bādenes-Virtembergas DAI ir bijušas vienas no aktīvākajām. Datu aizsardzības iestāžu konference (DSK) periodiski izdod kopīgas nostājas par sīkdatņu piekrišanas prasībām.
Ievērojami gadījumi: Vairāki izmeklēšanas gadījumi par sīkdatņu paziņojumiem, kuros izmantoti maldinoši dizaina paņēmieni, jo īpaši "iestumjoši" risinājumi, kur pogas "Piekrist" bija vizuāli izceltas, bet atteikuma iespēja tika padarīta mazāk pamanāma. Sodi kopumā bijuši zemāki nekā Francijā, taču uzraudzības aktivitāte ir vienmērīgi pieaugusi kopš TTDSG stāšanās spēkā.
Francija
Uzraudzības iestāde: Commission Nationale de l'Informatique et des Libertés (CNIL).
Nacionālais likums: Loi Informatique et Libertés (Likums Nr. 78-17), grozīts ePrivacy direktīvas īstenošanai. CNIL 2020. gada septembrī izdeva visaptverošas sīkdatņu vadlīnijas ar atbilstības pārejas periodu, kas beidzās 2021. gada 31. martā.
Galvenās prasības: Francija ir stingrākais lielais ES tirgus attiecībā uz sīkdatņu atbilstību. CNIL vadlīnijas pieprasa: piekrišanu pirms jebkādu neobligātu sīkdatņu iestatīšanas; atteikuma iespēju paziņojuma pirmajā līmenī, kas ir tikpat viegli lietojama kā piekrišanas iespēja; nekādu sīkdatņu sienu (ar ierobežotiem izņēmumiem, ko apstiprinājis Conseil d'État); detalizētu informāciju par katras sīkdatnes mērķi.
Auditorijas mērīšanas izņēmums: CNIL nodrošina ierobežotu izņēmumu auditorijas mērīšanas sīkdatnēm, kas atbilst stingriem nosacījumiem: rīkam jābūt konfigurētam tā, lai tas ģenerētu tikai anonīmus statistikas datus, sīkdatnēm jābūt ierobežotām līdz izdevēja vietnei, sīkdatnes darbības laiks nedrīkst pārsniegt 13 mēnešus, un datus nedrīkst apvienot ar citu apstrādi. Rīki, piemēram, Matomo (ar īpašu konfigurāciju) un AT Internet, ir atzīti saskaņā ar šo izņēmumu. Google Analytics tam neatbilst.
Ievērojami sodi: Francija ir izdevusi lielākos ar sīkdatnēm saistītos sodus Eiropā. Google LLC 2021. gada decembrī tika piemērots 150 miljonu eiro sods par to, ka sīkdatņu noraidīšana bija padarīta grūtāka nekā piekrišana. Facebook tajā pašā lietā tika piemērots 60 miljonu eiro sods. Microsoft 2022. gada decembrī tika piemērots 60 miljonu eiro sods. TikTok 2022. gada decembrī tika piemērots 5 miljonu eiro sods. Criteo 2023. gada jūnijā tika piemērots 40 miljonu eiro sods. Kopumā CNIL ir piemērojusi vairāk nekā 400 miljonu eiro tieši ar sīkdatnēm saistītos sodos.
Itālija
Uzraudzības iestāde: Garante per la protezione dei dati personali (Garante).
Nacionālais likums: Privātuma kodekss (Decreto Legislativo 196/2003), grozīts, lai saskaņotu ar GDPR. Garante 2021. gada 10. jūnijā izdeva visaptverošas sīkdatņu vadlīnijas, kuru izpilde bija obligāta no 2022. gada 10. janvāra.
Galvenās prasības: Garante 2021. gada vadlīnijas ir vienas no detalizētākajām Eiropā. Tās pieprasa: pirmā līmeņa paziņojumu ar pogu "Piekrist" un skaidri redzamu atteikuma pogu (apzīmētu ar "X" vai "Turpināt bez piekrišanas"); otro līmeni, kas pieejams no pirmā paziņojuma, ar detalizētām sīkdatņu kategoriju vadības iespējām; ritināšana skaidri neveido piekrišanu; sīkdatņu piekrišana jāpieprasa atkārtoti ne vēlāk kā pēc 6 mēnešiem.
Būtiskais: Garante ieviesa koncepciju, ka sīkdatņu paziņojumos nepieciešama īpaša "aizvēršanas" poga, nevis pieļaujot pārlūkošanas turpināšanu kā atteikumu. Vadlīnijas arī risināja sīkdatņu analītikas jautājumu, pieprasot piekrišanu visai trešo pušu analītikai un pieļaujot ierobežotu izņēmumu tikai pirmās puses analītikas rīkiem ar pareizi anonimizētiem datiem.
Spānija
Uzraudzības iestāde: Agencia Española de Protección de Datos (AEPD).
Nacionālais likums: Ley de Servicios de la Sociedad de la Información (LSSI-CE) un Ley Orgánica de Protección de Datos (LOPDGDD).
Galvenās prasības: Spānija sākotnēji izvēlējās mērenāku pieeju sīkdatņu atbilstībai, un AEPD 2013. gada sīkdatņu ceļvedis norādīja, ka noteiktas analītikas sīkdatnes varētu izmantot uz leģitīmās intereses pamata. Tomēr AEPD ir pakāpeniski saskaņojusi savu nostāju ar stingrāko Eiropas konsensu pēc EDPB vadlīnijām un Planet49 nolēmuma. Pašreizējās AEPD vadlīnijas pieprasa iepriekšēju piekrišanu analītikas un mārketinga sīkdatnēm.
Ievērojami gadījumi: AEPD 2020. gadā piemēroja Vueling Airlines 30 000 eiro sodu par sīkdatņu paziņojumu, kas piedāvāja tikai piekrišanas iespēju bez iespējas noraidīt sīkdatnes. CaixaBank 2021. gadā tika piemērots 6 miljonu eiro sods, daļēji saistībā ar datu apstrādes praksi, kas bija saistīta ar sīkdatnēm balstītu izsekošanu. Nesen AEPD ir pievērsusies sīkdatņu sienām un maldinošiem dizaina paņēmieniem piekrišanas saskarnēs.
Nīderlande
Uzraudzības iestāde: Autoriteit Persoonsgegevens (AP).
Nacionālais likums: Telecommunicatiewet (Telekomunikāciju likums), 11.7a. pants.
Galvenās prasības: Nīderlande ir ieņēmusi vienu no stingrākajām nostājām attiecībā uz sīkdatņu sienām Eiropā. AP ir skaidri norādījusi, ka piekļuves nosacīšana ar sīkdatņu pieņemšanu nav derīga piekrišana, jo piekrišana nav "brīvi dota", ja alternatīva ir piekļuves zaudēšana pakalpojumam. AP arī pieprasa nepārprotamu piekrišanu pirms jebkādu izsekošanas sīkdatņu iestatīšanas un ir kritizējusi piekrišanas pārvaldības platformas, kas izmanto manipulatīvu dizainu.
Ievērojami gadījumi: AP ir izmeklējusi neskaitāmas vietnes par sīkdatņu atbilstības trūkumiem un izdevusi vadlīnijas, kas īpaši vērstas pret maldinošiem dizaina paņēmieniem sīkdatņu paziņojumos. Iestāde arī piedalījās koordinētās valdības vietņu pārbaudēs sīkdatņu atbilstībai. 2024. gadā AP pastiprināja uzraudzības aktivitāti pret mazākām organizācijām, signalizējot, ka sīkdatņu atbilstības prasības attiecas neatkarīgi no uzņēmuma lieluma.
Beļģija
Uzraudzības iestāde: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Nacionālais likums: 2005. gada 13. jūnija likums par elektronisko komunikāciju, grozīts ar 2012. gada 10. jūlija likumu.
Galvenās prasības: Beļģija ievēro standarta ePrivacy direktīvas prasības. Beļģijas DAI kļuva globāli nozīmīga sīkdatņu regulēšanā, kad tā 2022. gada februārī pieņēma nolēmumu par IAB Europe pārredzamības un piekrišanas ietvaru (TCF), konstatējot, ka TCF piekrišanas virkne veido personas datus un ka IAB Europe ir kopīgs pārzinis. Šim nolēmumam, kuru daļēji apstiprināja EST 2024. gada martā, ir sekas katrai vietnei, kas izmanto TCF sīkdatņu piekrišanas pārvaldībai.
Būtiskais: IAB TCF nolēmums izraisīja satricinājumu tiešsaistes reklāmas nozarē, jo TCF ir visplašāk izmantotais piekrišanas ietvars programmatiskajai reklāmai Eiropā. Lai gan IAB Europe ir ieviesusi izmaiņas, lai risinātu DAI iebildumus, lieta izgaismoja riskus, kas saistīti ar paļaušanos uz nozares izstrādātiem piekrišanas ietvariem, kuri var pilnībā neatbilst GDPR prasībām.
Austrija
Uzraudzības iestāde: Datenschutzbehörde (DSB).
Nacionālais likums: Telekommunikationsgesetz 2021 (TKG 2021), 165. pants.
Galvenās prasības: Austrijas sīkdatņu noteikumi ievēro standarta ePrivacy direktīvas ietvaru. Austrijas DSB 2022. gada janvārī ieguva starptautisku uzmanību, kad tā kļuva par pirmo Eiropas DAI, kas nolēma, ka Google Analytics izmantošana pārkāpj GDPR, jo īpaši attiecībā uz personas datu nosūtīšanu uz Amerikas Savienotajām Valstīm pēc Schrems II nolēmuma. Lai gan tā galvenokārt bija datu nosūtīšanas problēma, tai bija tiešas sekas sīkdatņu atbilstībai, jo tika konstatēts, ka Google Analytics sīkdatnes veido personas datus, kas nosūtīti uz trešo valsti bez atbilstošām garantijām.
Būtiskais: Google Analytics nolēmums izraisīja līdzīgu lēmumu kaskādi visā Eiropā (Francija, Itālija un citas valstis sekoja piemēram) un paātrināja privātumu saudzējošu analītikas alternatīvu attīstību. DSB ir turpinājusi būt aktīva sīkdatņu un izsekošanas tehnoloģiju jautājumos.
Dānija
Uzraudzības iestāde: Datatilsynet.
Nacionālais likums: Cookiebekendtgørelsen (Rīkojums par informāciju un piekrišanu, kas nepieciešama informācijas glabāšanai vai piekļuvei tai galalietotāju termināliekārtās), īstenojot ePrivacy direktīvas noteikumus.
Galvenās prasības: Dānija pieprasa piekrišanu visām sīkdatnēm, izņemot tās, kas ir strikti nepieciešamas pakalpojumam, ko lietotājs skaidri pieprasījis. Datatilsynet ir izdevusi vadlīnijas, apstiprinot, ka analītikas sīkdatnēm nepieciešama piekrišana un ka pārlūkošanas turpināšana neveido derīgu piekrišanu. Dānijas vadlīnijas arvien vairāk ir saskaņotas ar CNIL un EDPB ieņemtajām stingrākajām nostājām.
Ievērojami gadījumi: Datatilsynet ir pastiprinājusi savu sīkdatņu uzraudzības aktivitāti kopš 2022. gada, izmeklējot gan publiskā, gan privātā sektora vietnes. 2023. gadā iestāde pieņēma lēmumus pret vairākām Dānijas vietnēm par nepietiekamiem sīkdatņu piekrišanas mehānismiem, tostarp gadījumos, kad atteikuma iespēja nebija pietiekami redzama. Datatilsynet ir arī risinājusi Google Analytics un Meta izsekošanas pikseļu izmantošanu Dānijas vietnēs, uzdodot vairākām organizācijām pārtraukt šo rīku izmantošanu bez pienācīgas piekrišanas un datu nosūtīšanas garantijām.
Zviedrija
Uzraudzības iestāde: Integritetsskyddsmyndigheten (IMY).
Nacionālais likums: Lag om elektronisk kommunikation (LEK, 2003:389).
Galvenās prasības: Zviedrija pēdējos gados ir pārgājusi no salīdzinoši zemas sīkdatņu uzraudzības uz nozīmīgu rīcību. IMY 2023. gadā izdeva savus pirmos lielos ar sīkdatnēm saistītos sodus, mērķējot četrus uzņēmumus (tostarp Tele2, CDON, Dagens Industri un Coop) par kopējo summu vairāk nekā 100 miljonu SEK (aptuveni 9 miljoni eiro) par Google Analytics izmantošanu un personas datu koplietošanu ar Google bez derīgas piekrišanas vai atbilstošām datu nosūtīšanas garantijām.
Būtiskais: 2023. gada uzraudzības darbības signalizēja par būtiskām izmaiņām Zviedrijas pieejā. IMY koordinēja darbību ar citām Ziemeļvalstu DAI un sekoja Austrijas DSB un Francijas CNIL precedentiem par Google Analytics. Sodi bija vieni no lielākajiem, ko izdevusi jebkura Ziemeļvalstu DAI, un apliecināja, ka Zviedrijas uzraudzība tagad ir līdzvērtīga stingrākajām Eiropas iestādēm.
Īrija
Uzraudzības iestāde: Data Protection Commission (DPC).
Nacionālais likums: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Galvenās prasības: Īrija ievēro standarta ePrivacy direktīvas ietvaru. Tomēr DPC loma kā vadošajai uzraudzības iestādei daudziem lieliem tehnoloģiju uzņēmumiem, kuru galvenā mītne atrodas Īrijā (tostarp Meta, Google, Apple, Microsoft un TikTok), ir devusi tai īpašu nozīmi Eiropas datu aizsardzībā. DPC ir izdevusi vadlīnijas par sīkdatņu atbilstību un veikusi gan publiskā, gan privātā sektora vietņu auditus.
Būtiskais: DPC ir saskārusies ar kritiku no citām Eiropas DAI un Eiropas Parlamenta par šķietami lēno uzraudzības tempu attiecībā uz lielajiem tehnoloģiju uzņēmumiem. Tomēr DPC ir izdevusi nozīmīgus GDPR sodus, tostarp 1,2 miljardu eiro sodu Meta 2023. gadā par datu nosūtīšanu. Attiecībā uz sīkdatnēm konkrēti, DPC 2020. un 2021. gadā veica vietņu pārbaudes, izdodot atbilstības ieteikumus neskaitāmām organizācijām. Tieši ar sīkdatnēm saistītie sodi no DPC ir bijuši salīdzinoši nelieli salīdzinājumā ar CNIL.
Polija
Uzraudzības iestāde: Urząd Ochrony Danych Osobowych (UODO).
Nacionālais likums: Telekomunikāciju likums (Prawo telekomunikacyjne), 173. pants.
Galvenās prasības: Polija pieprasa piekrišanu sīkdatnēm saskaņā ar ePrivacy direktīvu. UODO ir izdevusi vadlīnijas, apstiprinot, ka iepriekš atzīmētas rūtiņas un pārlūkošanas turpināšana neveido derīgu piekrišanu. Polijas likumdošanā iekļauti īpaši noteikumi par informāciju, kas jāsniedz lietotājiem par sīkdatnēm, tostarp mērķiem, pārziņa identitāti un norādījumiem sīkdatņu iestatījumu pārvaldībai.
Būtiskais: Polijas uzraudzības aktivitāte attiecībā uz sīkdatnēm ir pieaugusi, UODO izmeklējot sūdzības par neatbilstošiem sīkdatņu paziņojumiem un sadarbojoties ar telekomunikāciju regulatoru. UODO ir piedalījusies ES mēroga koordinētās uzraudzības pārbaudēs un saskaņojusi savas vadlīnijas ar EDPB ieteikumiem.
Norvēģija
Uzraudzības iestāde: Datatilsynet (Norvēģijas datu aizsardzības iestāde — atšķirīga no tāda paša nosaukuma Dānijas iestādes).
Nacionālais likums: Ekomloven (Elektronisko komunikāciju likums).
Galvenās prasības: Lai gan Norvēģija nav ES dalībvalsts, tā ir Eiropas Ekonomikas zonas (EEZ) dalībvalsts un ir iekļāvusi GDPR un ePrivacy direktīvu savā nacionālajā likumdošanā, izmantojot EEZ līgumu. Norvēģijas Datatilsynet cieši seko EDPB vadlīnijām un ir bijusi aktīva sīkdatņu uzraudzībā.
Ievērojami gadījumi: Norvēģijas Datatilsynet 2021. gada decembrī piemēroja Grindr 5 miljonu eiro sodu (vēlāk apelācijā samazināts līdz 6,5 miljoniem eiro) par lietotāju datu koplietošanu ar reklāmas partneriem bez derīgas piekrišanas. Lai gan tā galvenokārt bija piekrišanas lieta, kas saistīta ar datu koplietošanu, nevis konkrēti ar sīkdatnēm, tā izveidoja svarīgus precedentus piekrišanas prasībām izsekošanas tehnoloģijās. Iestāde ir arī izmeklējusi Google Analytics un citu izsekošanas rīku izmantošanu Norvēģijas vietnēs.
Galvenās atziņas
Neraugoties uz atšķirībām nacionālajā īstenošanā un uzraudzībā, vairāki principi ir konsekventi visās ES un EEZ valstīs:
- Piekrišana ir obligāta pirms jebkādas neobligātas sīkdatnes iestatīšanas. Neviena Eiropas valsts nepieņem tīru atteikšanās (opt-out) modeli sīkdatnēm.
- Piekrišanai jāatbilst GDPR standartam: brīvi dota, konkrēta, informēta, nepārprotama un apliecināta ar skaidru apstiprinošu darbību.
- Atteikties jābūt tikpat viegli kā piekrist. Lai gan konkrētā īstenošana var atšķirties (atsevišķa poga, X aizvēršanai u.c.), princips, ka sīkdatņu atteikšana nedrīkst būt grūtāka par to pieņemšanu, ir universāls.
- Uzraudzība pieaug visur. Valstis, kas iepriekš bija iecietīgas, tagad izdod sodus un formālus lēmumus. Nav "droša" Eiropas jurisdikcija neatbilstībai.
- Koordinēta uzraudzība pieaug. DAI arvien vairāk sadarbojas EDPB ietvaros un veic koordinētas pārbaudes, kas nozīmē, ka neatbilstība vienā valstī, visticamāk, piesaistīs uzmanību arī citās.
Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?
Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.
Skenēt savas sīkdatnes bezmaksas