Skip to main content

Dyrektywa ePrivacy: unijne prawo cookie wyjaśnione

Kiedy ludzie mówią o „unijnym prawie dotyczącym cookies", zwykle mają na myśli dyrektywę ePrivacy — a konkretnie jej artykuł 5 ust. 3. Choć to RODO zbiera większość nagłówków, to właśnie dyrektywa ePrivacy jest regulacją, która bezpośrednio reguluje wykorzystanie plików cookie i podobnych technologii śledzących. Zrozumienie tej dyrektywy, jej związku z RODO oraz nadchodzącego rozporządzenia ePrivacy jest niezbędne dla każdego, kto odpowiada za zgodność w zakresie plików cookie na europejskiej stronie internetowej.

Czym jest dyrektywa ePrivacy?

Dyrektywa ePrivacy (oficjalnie Dyrektywa 2002/58/WE) została przyjęta 12 lipca 2002 roku jako część unijnych ram prawnych dotyczących prywatności w telekomunikacji. Pierwotnie koncentrowała się na prywatności w komunikacji elektronicznej — obejmując takie kwestie jak poufność komunikacji, dane o ruchu, spam czy identyfikacja rozmówcy.

W 2009 roku dyrektywa została znacząco zmieniona przez Dyrektywę 2009/136/WE (często nazywaną „dyrektywą o prawach obywateli"). Ta nowelizacja wprowadziła znany dziś wymóg zgody na pliki cookie, zastępując dotychczasowy model opt-out modelem opt-in. Przed 2009 rokiem strony internetowe musiały jedynie informować użytkowników o plikach cookie i dawać im prawo do odmowy. Po 2009 roku uprzednia zgoda stała się obowiązkowa dla wszystkich niezbędnych plików cookie.

W przeciwieństwie do RODO, które jest rozporządzeniem (stosowanym bezpośrednio we wszystkich państwach członkowskich), dyrektywa ePrivacy jest dyrektywą (każde państwo członkowskie musi ją transponować do prawa krajowego). Oznacza to, że szczegółowe przepisy dotyczące plików cookie różnią się w poszczególnych krajach, nawet jeśli leżące u ich podstaw wymogi są takie same.

Artykuł 5 ust. 3: zasada zgody na pliki cookie

Artykuł 5 ust. 3 dyrektywy ePrivacy to przepis, który bezpośrednio reguluje pliki cookie. W swojej znowelizowanej formie stanowi on:

„Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę po otrzymaniu jasnych i wyczerpujących informacji zgodnie z [dyrektywą o ochronie danych, obecnie RODO], między innymi o celach przetwarzania."

Przepis ten ustanawia kilka kluczowych wymogów:

  1. Zakres: obejmuje wszelkie przechowywanie informacji w urządzeniu użytkownika lub dostęp do informacji przechowywanych w urządzeniu użytkownika. Dotyczy to plików cookie, ale również pamięci lokalnej, IndexedDB, technik fingerprinting urządzeń, pikseli śledzących oraz wszelkich innych technologii, które odczytują dane z urządzenia użytkownika lub na nim zapisują.
  2. Uprzednia zgoda: zgoda musi zostać uzyskana przed przechowywaniem lub uzyskaniem dostępu do informacji — a nie po.
  3. Świadoma zgoda: użytkownikowi należy przekazać jasne i wyczerpujące informacje o celach przechowywania lub dostępu.
  4. Standard zgody: odniesienie do RODO (pierwotnie do dyrektywy o ochronie danych) oznacza, że stosuje się definicję i warunki zgody określone w RODO. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.

Wyłączenie „ściśle niezbędnych" plików cookie

Artykuł 5 ust. 3 zawiera ważne wyłączenie w swoim drugim zdaniu:

„Nie stanowi to przeszkody dla jakiegokolwiek technicznego przechowywania lub dostępu wyłącznie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub w zakresie ściśle niezbędnym do świadczenia usługi społeczeństwa informacyjnego wyraźnie zażądanej przez abonenta lub użytkownika."

Wyłączenie to obejmuje dwie kategorie plików cookie, które nie wymagają zgody:

  1. Pliki cookie niezbędne do transmisji komunikatu (np. pliki cookie równoważenia obciążenia).
  2. Pliki cookie ściśle niezbędne do świadczenia usługi wyraźnie zażądanej przez użytkownika (np. pliki cookie koszyka zakupowego, pliki cookie sesji uwierzytelniającej, pliki cookie preferencji użytkownika dla usługi, z której użytkownik aktywnie korzysta).

Poprzednik Europejskiej Rady Ochrony Danych, Grupa Robocza Artykułu 29, przedstawił szczegółowe wytyczne dotyczące tego, które pliki cookie kwalifikują się jako ściśle niezbędne, w Opinii 04/2012. Przykłady obejmują:

  • Zwolnione (zgoda niewymagana): pliki cookie sesji dla danych wprowadzanych przez użytkownika (formularze wieloetapowe), pliki cookie uwierzytelniające, pliki cookie koszyka zakupowego, pliki cookie bezpieczeństwa (tokeny CSRF), pliki cookie sesji odtwarzacza multimedialnego, pliki cookie równoważenia obciążenia, pliki cookie personalizacji interfejsu (preferencje językowe) dla bieżącej sesji.
  • Niezwolnione (zgoda wymagana): pliki cookie analityczne (w tym Google Analytics), pliki cookie reklamowe, pliki cookie udostępniania/śledzenia w mediach społecznościowych, trwałe pliki cookie preferencji utrzymujące się poza sesją, wszelkie pliki cookie śledzące podmiotów trzecich.

Kluczowe rozróżnienie polega na odróżnieniu plików cookie służących wyraźnemu żądaniu użytkownika od plików cookie służących interesom operatora strony. Plik cookie preferencji językowych ustawiony w wyniku kliknięcia przez użytkownika przełącznika języka jest ściśle niezbędny. Plik cookie analityczny ustawiony po to, by pomóc operatorowi strony w zrozumieniu ruchu, już nie — nawet jeśli operator uważa go za istotny.

Jak ePrivacy i RODO współdziałają

Relacja między dyrektywą ePrivacy a RODO to relacja lex specialis (prawa szczególnego) i lex generalis (prawa ogólnego). Dyrektywa ePrivacy jest prawem szczególnym regulującym prywatność w komunikacji elektronicznej, natomiast RODO stanowi ogólne ramy ochrony danych.

W praktyce:

  • Dyrektywa ePrivacy reguluje, czy można umieścić plik cookie w urządzeniu użytkownika. Wymaga ona zgody na niezbędne pliki cookie, niezależnie od tego, czy plik cookie zawiera dane osobowe.
  • RODO reguluje, co stanowi ważną zgodę oraz w jaki sposób można przetwarzać wszelkie dane osobowe zebrane za pośrednictwem plików cookie. Zapewnia również ramy egzekwowania, w tym prawo do składania skarg do organów ochrony danych oraz reżim wysokich kar.

Oznacza to, że nawet plik cookie, który nie zawiera danych osobowych (na przykład losowo wygenerowany identyfikator analityczny bez powiązania z jakimikolwiek innymi danymi), nadal wymaga zgody na mocy dyrektywy ePrivacy, ponieważ artykuł 5 ust. 3 ma zastosowanie do wszelkiego przechowywania w urządzeniu użytkownika — a nie tylko do przechowywania danych osobowych.

Z drugiej strony, jeśli przetwarzasz dane osobowe za pośrednictwem plików cookie, musisz przestrzegać pełnych ram RODO: podstawy prawnej, przejrzystości, praw osób, których dane dotyczą, ocen skutków dla ochrony danych oraz wszelkich innych obowiązków.

Implementacje krajowe

Ponieważ ePrivacy jest dyrektywą, a nie rozporządzeniem, każde państwo członkowskie UE transponowało ją do prawa krajowego z pewnymi różnicami. Choć podstawowy wymóg — zgoda przed niezbędnymi plikami cookie — jest spójny we wszystkich państwach członkowskich, istnieją istotne różnice w zakresie:

  • Intensywności egzekwowania: Francja (CNIL) i Włochy (Garante) są najbardziej aktywne w egzekwowaniu przepisów dotyczących plików cookie, podczas gdy inne kraje skoncentrowały swoje zasoby na innych obszarach.
  • Konkretnych wyłączeń: niektóre kraje przyjęły nieco szersze lub węższe interpretacje wyłączenia dotyczącego „ściśle niezbędnych" plików cookie.
  • Analitycznych plików cookie: niektóre organy ochrony danych badały, czy odpowiednio skonfigurowane, chroniące prywatność narzędzia analityczne (np. zanonimizowana analityka bez śledzenia międzywitrynowego) mogłyby kwalifikować się do podstawy prawnie uzasadnionego interesu. Najbardziej znanym przykładem jest wyłączenie francuskiego CNIL dla narzędzi pomiaru odbiorców pod określonymi warunkami, choć pozostaje ono kontrowersyjne.
  • Ścian cookie (cookie walls): legalność ścian cookie (wymagających zgody na dostęp do strony) różni się w zależności od jurysdykcji. Holenderski organ ochrony danych oraz EROD zajęły wobec nich rygorystyczne stanowisko, podczas gdy francuska Rada Stanu (Conseil d'État) uznała je za dopuszczalne pod pewnymi warunkami.

Proponowane rozporządzenie ePrivacy

Komisja Europejska opublikowała projekt rozporządzenia ePrivacy w styczniu 2017 roku, mający zastąpić dyrektywę ePrivacy i dostosować przepisy dotyczące plików cookie do RODO. Ponad dziewięć lat później rozporządzenie wciąż jest przedmiotem negocjacji, co czyni je jednym z najdłużej trwających procesów legislacyjnych w historii UE.

Kluczowe zmiany w proponowanym rozporządzeniu

Choć ostateczny tekst nie został jeszcze uzgodniony, projekt oraz kolejne stanowiska Rady sugerowały kilka istotnych zmian:

  • Bezpośrednia stosowalność: jako rozporządzenie, a nie dyrektywa, rozporządzenie ePrivacy stosowałoby się jednolicie we wszystkich państwach członkowskich, eliminując obecną fragmentację.
  • Zgoda na poziomie przeglądarki: wczesne projekty zawierały przepisy umożliwiające użytkownikom ustawianie preferencji dotyczących plików cookie na poziomie przeglądarki, zamiast reagowania na indywidualne banery cookie na każdej stronie. Znacznie uprościłoby to doświadczenie użytkownika, choć wyzwania techniczne i polityczne są znaczące.
  • Rozszerzony zakres: rozporządzenie objęłoby usługi komunikacyjne over-the-top (OTT), takie jak WhatsApp i Skype, które nie są objęte obecną dyrektywą.
  • Jaśniejsze wyłączenia: rozporządzenie ma na celu doprecyzowanie, które rodzaje plików cookie są zwolnione z wymogu zgody, potencjalnie rozszerzając wyłączenie o określone rodzaje pomiaru odbiorców.
  • Zasady dotyczące metadanych: nowe przepisy regulujące przetwarzanie metadanych komunikacyjnych (dane o lokalizacji, czasy połączeń) wykraczające poza to, co obejmuje obecna dyrektywa.
  • Zharmonizowane egzekwowanie: rozporządzenie ustanowiłoby spójny mechanizm egzekwowania, prawdopodobnie wzorowany na zasadzie „punktu kompleksowej obsługi" (one-stop-shop) z RODO.

Obecny status i harmonogram

Na początku 2026 roku rozporządzenie ePrivacy pozostaje w negocjacjach trójstronnych (trilogu) pomiędzy Parlamentem Europejskim, Radą UE i Komisją Europejską. Postępy są powolne z powodu fundamentalnych rozbieżności w kilku kwestiach, w tym mechanizmu zgody na poziomie przeglądarki, zakresu wyłączenia dotyczącego „ściśle niezbędnych" plików cookie oraz zasad przetwarzania metadanych.

Najbardziej realistyczny scenariusz zakłada, że rozporządzenie nie zostanie sfinalizowane wcześniej niż w 2027 roku, z dodatkowym okresem przejściowym wynoszącym 12–24 miesiące przed jego wejściem w życie. Operatorzy stron internetowych powinni nadal przestrzegać obecnej dyrektywy ePrivacy transponowanej do ich prawa krajowego, uzupełnionej o ramy zgody wynikające z RODO.

Praktyczne implikacje dla właścicieli stron internetowych

Niezależnie od niepewności regulacyjnej wokół nadchodzącego rozporządzenia ePrivacy, obecne przepisy są jasne i aktywnie egzekwowane. Właściciele stron internetowych powinni:

  1. Traktować obecny reżim jako punkt wyjścia. Wymóg zgody na niezbędne pliki cookie jest ustalonym prawem w całej UE. Nie czekaj z wdrożeniem zgodności na rozporządzenie ePrivacy.
  2. Blokować niezbędne pliki cookie przed uzyskaniem zgody. To najbardziej wymagający technicznie aspekt zgodności, ale niepodlegający negocjacjom. Twój mechanizm zgody na pliki cookie musi uniemożliwiać skryptom ustawianie plików cookie, dopóki użytkownik nie wyrazi aktywnej zgody.
  3. Stosować standard zgody z RODO. Kiedy dyrektywa ePrivacy mówi „zgoda", ma na myśli zgodę w rozumieniu RODO: dobrowolną, konkretną, świadomą, jednoznaczną i wyrażoną poprzez wyraźne działanie potwierdzające.
  4. Dokumentować swoje ściśle niezbędne pliki cookie. Prowadź jasną ewidencję tego, które pliki cookie uznajesz za ściśle niezbędne i dlaczego. Bądź gotów uzasadnić tę klasyfikację, jeśli zostanie zakwestionowana przez organ ochrony danych.
  5. Śledzić rozwój sytuacji na poziomie krajowym. Ponieważ dyrektywa ePrivacy jest wdrażana w każdym kraju inaczej, bądź na bieżąco z wytycznymi i działaniami egzekucyjnymi organów ochrony danych w krajach, w których znajdują się Twoi użytkownicy.
  6. Przygotować się na rozporządzenie ePrivacy. Choć harmonogram jest niepewny, kierunek zmian jest jasny: bardziej zharmonizowane przepisy, potencjalnie szersze mechanizmy zgody oraz utrzymujący się nacisk na prywatność użytkowników. Zbudowanie solidnego systemu zarządzania zgodą już teraz sprawi, że przejście będzie płynniejsze, gdy nadejdzie.

Dyrektywa ePrivacy może mieć ponad dwie dekady, ale wciąż pozostaje kamieniem węgielnym prawa dotyczącego plików cookie w Europie. W połączeniu z ramami zgody wynikającymi z RODO oraz aktywnymi programami egzekucyjnymi krajowych organów ochrony danych tworzy środowisko regulacyjne, w którym zgodność w zakresie plików cookie nie jest opcjonalna — jest obowiązkiem prawnym, którego nieprzestrzeganie niesie realne konsekwencje finansowe.

Czy Twoja strona jest zgodna z przepisami o cookies?

Przeskanuj swoją stronę za darmo i znajdź wszystkie cookies w kilka minut.

Przeskanuj cookies za darmo