Skip to main content

Regulativa o kolačićima i privatnosti: globalni pregled

Usklađenost s propisima o kolačićima nije uređena jednim zakonom. Oblikuje je niz nacionalnih i regionalnih propisa koji se znatno razlikuju po opsegu, zahtjevima i provedbi. Za svaku web-stranicu s međunarodnom publikom — a na otvorenom internetu to je gotovo svaka stranica — ključno je razumjeti koji zakoni vrijede i kako se međusobno razlikuju.

Ovaj vodič mapira globalni regulatorni krajolik za kolačiće i praćenje na internetu, od EU-ova modela koji stavlja privolu na prvo mjesto do američkog pristupa obavijesti i izbora te novih okvira drugdje u svijetu.

Globalna raznolikost propisa

Ne postoji jedinstveni „zakon o kolačićima”. Umjesto toga, usklađenost s propisima o kolačićima nalazi se na sjecištu propisa o privatnosti, direktiva o elektroničkim komunikacijama i zakona o zaštiti potrošača. Rezultat je složen, ponekad proturječan krajolik u kojem ista web-stranica može podlijegati različitim pravilima ovisno o tome gdje se njezini posjetitelji nalaze.

Pojavila su se dva široka modela:

  • EU model (privola na prvom mjestu): Kolačići koji nisu nužni smiju se postaviti tek nakon što je korisnik dao informiranu, konkretnu i slobodno danu privolu. Zadana je postavka bez praćenja. Korisnik mora dati pristanak.
  • Američki model (obavijest i izbor): Poduzeća moraju objaviti svoje prakse prikupljanja podataka i omogućiti korisnicima da odustanu od određenih načina korištenja (posebno prodaje ili dijeljenja osobnih podataka). Zadana je postavka praćenje, uz mogućnost da korisnik odustane.

Većina novih propisa o privatnosti u svijetu približava se EU modelu, doduše uz lokalne varijacije. Razumijevanje obaju modela — i konkretnih zakona unutar njih — nužno je za svaku web-stranicu koja posluje preko granica.

EU okvir: ePrivacy direktiva + GDPR

Pristup Europske unije regulaciji kolačića temelji se na dvama pravnim instrumentima koji djeluju zajedno:

ePrivacy direktiva (2002/58/EZ)

ePrivacy direktiva — često nazivana „Direktivom o kolačićima” — glavni je EU zakon koji uređuje uporabu kolačića i sličnih tehnologija za praćenje. Njezina ključna odredba, članak 5. stavak 3., navodi:

Države članice osiguravaju da je pohranjivanje informacija ili dobivanje pristupa informacijama koje su već pohranjene u terminalnoj opremi pretplatnika ili korisnika dopušteno samo pod uvjetom da je dotični pretplatnik ili korisnik dao svoju privolu nakon što mu je pružena jasna i sveobuhvatna informacija.

Jedina iznimka odnosi se na kolačiće koji su „strogo nužni” za pružanje usluge koju je korisnik izričito zatražio — primjerice, kolačići sesije za košaricu za kupnju ili status prijave.

Važno: ePrivacy je direktiva, a ne uredba. To znači da je svaka država članica EU-a prenijela u nacionalno zakonodavstvo uz lokalne varijacije. Temeljno je načelo (privola nužna za kolačiće koji nisu nužni) dosljedno, no detalji provedbe se razlikuju. Primjerice:

  • Francuska (CNIL): Izdala je detaljne smjernice o kolačićima, uključujući ograničeno izuzeće za određene alate za mjerenje publike koji ispunjavaju stroge uvjete (anonimizacija, bez praćenja između stranica, ograničeno zadržavanje).
  • Njemačka: Provedeno putem TTDSG-a (Telekommunikation-Telemedien-Datenschutz-Gesetz), koji je stupio na snagu u prosincu 2021. i izričito kodificirao zahtjev za privolom.
  • Italija (Garante): Objavila je detaljne smjernice o kolačićima 2021. koje zahtijevaju gumb za odbijanje na prvom sloju i zabranjuju zidove kolačića.
  • Nizozemska (AP): Zauzela je nešto popustljiviji stav prema zidovima kolačića, sugerirajući da bi mogli biti prihvatljivi ako korisnik ima istinsku alternativu za pristup sadržaju.

GDPR (Uredba (EU) 2016/679)

Opća uredba o zaštiti podataka izrijekom ne spominje kolačiće, no ona uređuje obradu osobnih podataka — a kolačići često uključuju osobne podatke. GDPR je relevantan za usklađenost s propisima o kolačićima na nekoliko načina:

  • Standard privole (članak 4. stavak 11., članak 7.): GDPR definira što čini valjanu privolu: slobodno dana, konkretna, informirana, nedvosmislena, dana jasnom potvrdnom radnjom. Taj se standard primjenjuje na privolu za kolačiće dobivenu u skladu s ePrivacy direktivom.
  • Transparentnost (članci 12. – 14.): Kada kolačići obrađuju osobne podatke, primjenjuju se GDPR-ovi zahtjevi transparentnosti. To znači da vaša politika kolačića mora pružiti konkretne informacije o povezanoj obradi podataka.
  • Pravna osnova (članak 6.): Obrada osobnih podataka putem kolačića zahtijeva pravnu osnovu. Za kolačiće koji nisu nužni ta je osnova privola. Neki se voditelji obrade pokušavaju osloniti na legitimni interes (članak 6. stavak 1. točka (f)), no tijela za zaštitu podataka sve više odbijaju legitimni interes kao osnovu za oglašivačko i analitičko praćenje.
  • Prava ispitanika (članci 15. – 22.): Korisnici imaju prava na pristup, ispravak, brisanje i prenosivost svojih podataka — uključujući podatke prikupljene putem kolačića.
  • Izvanteritorijalni doseg (članak 3.): GDPR se primjenjuje na svaku organizaciju koja obrađuje osobne podatke pojedinaca u EU-u, bez obzira na to gdje je organizacija osnovana. Američka tvrtka koja cilja kupce u EU-u mora se pridržavati propisa.

Nadolazeća ePrivacy uredba

Europska komisija predložila je ePrivacy uredbu 2017. kako bi zamijenila ePrivacy direktivu, uskladila pravila među državama članicama i osuvremenila ih za moderne tehnologije. Početkom 2026. uredba još nije finalizirana. Pregovori su se otegnuli, uz neslaganja oko iznimaka za legitimni interes, odredaba o zidovima kolačića i mehanizama privole na razini preglednika.

Kada se konačno donese, ePrivacy uredba izravno će se primjenjivati u svim državama članicama (za razliku od trenutačne direktive, koja zahtijeva nacionalno prenošenje u zakonodavstvo). Do tada, postojeća ePrivacy direktiva i njezine nacionalne provedbe ostaju mjerodavni propisi.

Američki okvir: propisi o privatnosti na razini saveznih država

Sjedinjene Američke Države nemaju savezni zakon o kolačićima ni sveobuhvatni savezni zakon o privatnosti (početkom 2026.). Umjesto toga, regulacija privatnosti pojavila se na razini saveznih država, stvarajući raznolikost zahtjeva.

Kalifornija: CCPA i CPRA

California Consumer Privacy Act (CCPA), izmijenjen putem California Privacy Rights Acta (CPRA), najsveobuhvatniji je američki državni zakon o privatnosti. Ključne odredbe relevantne za kolačiće:

  • Pravo na odustajanje od prodaje/dijeljenja. Potrošači imaju pravo odustati od „prodaje” ili „dijeljenja” svojih osobnih podataka. Prema CPRA-i, „dijeljenje” uključuje dijeljenje podataka s trećim stranama za bihevioralno oglašavanje u različitim kontekstima — što je upravo ono što čini većina oglašivačkih kolačića.
  • Nije potrebna prethodna privola. Za razliku od EU modela, CCPA/CPRA ne zahtijevaju prethodnu privolu za kolačiće. Zadana je postavka da je praćenje dopušteno, a korisnici moraju aktivno odustati.
  • Poveznica „Do Not Sell or Share”. Poduzeća moraju na svojoj web-stranici jasno istaknuti poveznicu „Do Not Sell or Share My Personal Information”.
  • Global Privacy Control (GPC). Poduzeća moraju poštovati GPC signal preglednika kao valjan zahtjev za odustajanje. Ako korisnikov preglednik šalje GPC signal, poduzeće ga mora tretirati kao da je korisnik kliknuo „Do Not Sell or Share”.
  • Obavijest pri prikupljanju. Poduzeća moraju objaviti, u trenutku prikupljanja ili prije njega, kategorije prikupljenih osobnih podataka i svrhe u koje će se koristiti.

Ostali američki državni zakoni

Slijedeći primjer Kalifornije, brojne su američke savezne države donijele sveobuhvatne zakone o privatnosti. Početkom 2026. države s aktivnim zakonima o privatnosti uključuju:

Država Zakon Datum stupanja na snagu Značajke relevantne za kolačiće
Virginia VCDPA Siječanj 2023. Odustajanje od ciljanog oglašavanja, prodaje podataka
Colorado CPA Srpanj 2023. Odustajanje od ciljanog oglašavanja, prodaje podataka; mora poštovati univerzalne signale odustajanja
Connecticut CTDPA Srpanj 2023. Odustajanje od ciljanog oglašavanja, prodaje podataka; mora poštovati univerzalne signale odustajanja
Utah UCPA Prosinac 2023. Odustajanje od ciljanog oglašavanja, prodaje podataka
Texas TDPSA Srpanj 2024. Odustajanje od ciljanog oglašavanja, prodaje podataka; mora poštovati univerzalne signale odustajanja
Oregon OCPA Srpanj 2024. Odustajanje od ciljanog oglašavanja, prodaje podataka; mora poštovati univerzalne signale odustajanja
Montana MCDPA Listopad 2024. Odustajanje od ciljanog oglašavanja, prodaje podataka; mora poštovati univerzalne signale odustajanja

Dodatne su savezne države donijele zakone s datumima stupanja na snagu tijekom 2025. i 2026. Trend je jasan: regulacija privatnosti na razini saveznih država širi se, a većina novih zakona uključuje prava na odustajanje od ciljanog oglašavanja koja izravno utječu na prakse s kolačićima.

Ostali značajni propisi

Ujedinjeno Kraljevstvo: UK GDPR i PECR

Nakon Brexita, Ujedinjeno Kraljevstvo zadržalo je GDPR kao „UK GDPR” i nastavlja provoditi Privacy and Electronic Communications Regulations (PECR), koji provode ePrivacy direktivu. Zahtjevi za kolačiće u osnovi su identični onima u EU-u: za kolačiće koji nisu nužni potrebna je prethodna privola, uz usku iznimku za strogo nužne kolačiće. Information Commissioner's Office (ICO) provodi ta pravila i objavio je detaljne smjernice o kolačićima.

Brazil: LGPD

Brazilski Lei Geral de Proteção de Dados (LGPD), na snazi od 2020., snažno je nadahnut GDPR-om. Zahtijeva pravnu osnovu za obradu osobnih podataka, uključujući podatke prikupljene putem kolačića. Iako LGPD nema izravan ekvivalent odredbe ePrivacy direktive specifične za kolačiće, za obradu podataka temeljenu na kolačićima mora se utvrditi privola ili legitimni interes. ANPD (nacionalno tijelo za zaštitu podataka) postupno izdaje smjernice o kolačićima i privoli.

Kanada: PIPEDA i Bill C-27

Kanadski Personal Information Protection and Electronic Documents Act (PIPEDA) zahtijeva „smislenu privolu” za prikupljanje, korištenje i otkrivanje osobnih podataka. Za kolačiće koji prikupljaju osobne podatke organizacije moraju dobiti privolu i pružiti jasne informacije o svojim praksama. Bill C-27, predloženi Consumer Privacy Protection Act, osuvremenio bi kanadski okvir strožim zahtjevima za privolu, no njegovo je donošenje odgođeno.

Japan: APPI

Japanski Act on the Protection of Personal Information (APPI), izmijenjen 2022., uveo je pojam „osobno prepoznatljive informacije” koje u određenim kontekstima mogu uključivati identifikatore kolačića. Kada se podaci kolačića kombiniraju s drugim informacijama radi identifikacije pojedinca, primjenjuju se zahtjevi za privolu.

Južna Koreja: PIPA

Južnokorejski Personal Information Protection Act (PIPA), izmijenjen 2023., zahtijeva privolu za prikupljanje i korištenje osobnih podataka, što može uključivati podatke kolačića kada identificiraju ili mogu identificirati pojedinca.

Trend približavanja

Unatoč trenutačnoj raznolikosti, javlja se jasan trend: većina novih zakona o privatnosti slijedi EU model regulacije koja stavlja privolu na prvo mjesto i osnažuje korisnika. Čak i američki državni zakoni, iako se tehnički temelje na odustajanju umjesto na pristanku, kreću se prema strožim zahtjevima s univerzalnim signalima odustajanja (GPC), načelima smanjenja količine podataka i proširenim definicijama „osobnih podataka” koje obuhvaćaju identifikatore kolačića.

U praktičnom smislu, ovo približavanje znači da su web-stranice koje provode usklađenost s propisima o kolačićima na razini EU-a (prethodna privola, jasno prihvaćanje/odbijanje, granularne kategorije, transparentne politike) dobro pozicionirane za usklađenost s većinom drugih jurisdikcija. Standard EU-a najviši je zajednički nazivnik.

Procjena rizika: koji se zakoni primjenjuju na vašu web-stranicu?

Ključno pitanje za svakog operatera web-stranice jest: koji se zakoni primjenjuju na mene? Odgovor ovisi o dvama čimbenicima:

  1. Gdje je vaša organizacija osnovana. Podliježete zakonima o privatnosti jurisdikcija u kojima vaša organizacija ima poslovni nastan (ured, podružnicu, ogranak).
  2. Gdje se nalaze vaši korisnici. Prema izvanteritorijalnom dosegu GDPR-a (članak 3. stavak 2.), podliježete EU zakonu o privatnosti ako nudite robu ili usluge pojedincima u EU-u ili ako pratite ponašanje pojedinaca u EU-u. Slične izvanteritorijalne odredbe postoje u UK GDPR-u, brazilskom LGPD-u i drugim zakonima.

U praksi, ako je vaša web-stranica dostupna korisnicima u EU-u — a imate bilo kakav promet iz EU-a, što praktički sve web-stranice imaju — trebali biste se pridržavati ePrivacy direktive i GDPR-a. Ako imate promet iz SAD-a, trebali biste uzeti u obzir CCPA/CPRA (Kalifornija) i druge primjenjive državne zakone.

Pragmatičan pristup:

  • Provedite privolu u skladu sa standardom EU-a za sve posjetitelje iz EU-a/EGP-a/UK-a (prethodna privola pristankom za kolačiće koji nisu nužni).
  • Provedite mehanizme odustajanja za posjetitelje iz SAD-a (poveznica Do Not Sell/Share, podrška za GPC).
  • Zadano primijenite viši standard ako je geografsko otkrivanje nepraktično. Privola na razini EU-a zadovoljava praktički sve jurisdikcije.

Izvanteritorijalni doseg

Jedan od najznačajnijih aspekata moderne regulacije privatnosti jest njezin izvanteritorijalni doseg. GDPR (članak 3. stavak 2.) primjenjuje se na organizacije izvan EU-a koje:

  • Nude robu ili usluge pojedincima u EU-u (čak i besplatno — web-stranica dostupna u EU-u koja cilja korisnike iz EU-a kvalificira se), ili
  • Prate ponašanje pojedinaca u EU-u (analitičko i oglašivačko praćenje čini praćenje).

To znači da je američka tvrtka koja koristi Google Analytics na web-stranici koja prima promet iz EU-a tehnički podložna GDPR-u i zahtjevima ePrivacy direktive za kolačiće. Provedba protiv organizacija izvan EU-a povijesno je bila ograničena, no sve je učestalija, posebice za velike tvrtke. Praktičan rizik za manje organizacije ovisi o vidljivosti i broju pritužbi, no pravna obveza postoji bez obzira na veličinu.

Krajolik provedbe

Provedba usklađenosti s propisima o kolačićima dramatično se pojačala od 2020. Ključni trendovi:

Tko provodi

U EU-u nacionalna tijela za zaštitu podataka (DPA-ovi) provode i ePrivacy direktivu i GDPR. Značajni aktivni izvršitelji uključuju CNIL (Francuska), Garante (Italija), Datatilsynet (Danska i Norveška), BfDI (Njemačka na saveznoj razini) i APD (Belgija). EDPB koordinira prekograničnu provedbu.

U SAD-u California Attorney General i California Privacy Protection Agency provode CCPA/CPRA. Državni glavni odvjetnici provode druge državne zakone.

Kako provode

  • Istrage potaknute pritužbama. Većina provedbe počinje pritužbom korisnika DPA-u. Pritužba pokreće istragu praksi web-stranice s kolačićima.
  • Skupne istrage. DPA-ovi periodički provode istrage na razini cijelog sektora, skenirajući stotine web-stranica radi usklađenosti s propisima o kolačićima. CNIL, talijanski Garante i danski Datatilsynet svi su provodili javno objavljene skupne istrage.
  • Pritužbe nevladinih organizacija. Organizacije za zaštitu privatnosti poput noyb-a (koji vodi Max Schrems) podnijele su masovne pritužbe protiv stotina web-stranica, stvarajući znatan opseg provedbe. Same noyb-ove pritužbe na banere kolačića dovele su do desetaka provedbenih radnji diljem EU-a.

Kazne

GDPR kazne za povrede vezane uz kolačiće mogu doseći do 20 milijuna eura ili 4 % godišnjeg globalnog prometa, ovisno o tome što je veće. U praksi su se kazne za povrede vezane uz kolačiće kretale od upozorenja (za male organizacije s manjim povredama) do 150 milijuna eura (Google, CNIL, 2022.). Trend je prema višim kaznama i učestalijoj provedbi.

Osim kazni, neusklađenost nosi rizik za ugled, štetu za povjerenje potrošača i operativni trošak hitne sanacije prema regulatornom nalogu.

Passiro vam pomaže snalaziti se u ovoj regulatornoj složenosti automatiziranom usklađenošću koja se prilagođava zakonima primjenjivima na vaše posjetitelje. Saznajte kako Passiro pojednostavljuje usklađenost s propisima o kolačićima u različitim jurisdikcijama.

Je li vaša web stranica usklađena s propisima o kolačićima?

Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.

Besplatno skenirajte svoje kolačiće