Skip to main content

Zakonodaja o piškotkih po državah: vodnik za EU in EGP

Čeprav Direktiva o zasebnosti in elektronskih komunikacijah (ePrivacy) ter GDPR zagotavljata skupni okvir po vsej Evropski uniji, je vsaka država članica prenesla Direktivo ePrivacy v nacionalno zakonodajo z lastnimi posebnostmi. Intenzivnost izvrševanja, razlaga izjem in višina glob se med državami precej razlikujejo. Ta vodnik zajema ključne posebnosti zakonodaje o piškotkih za dvanajst večjih evropskih trgov.

Tabela za hitri pregled

Država Organ Nacionalna zakonodaja Raven izvrševanja Posebnosti
Nemčija Deželni organi za varstvo podatkov + BfDI TTDSG (2021) Visoka Decentralizirano izvrševanje; okvir PIMS
Francija CNIL Loi Informatique et Libertés Zelo visoka Rekordne globe; podrobne smernice o piškotkih
Italija Garante Zakonik o zasebnosti (D.Lgs. 196/2003) Visoka Celovite smernice o piškotkih iz leta 2021
Španija AEPD LSSI-CE + LOPDGDD Zmerna Zgodovina razprave o izjemi za analitiko
Nizozemska AP Telecommunicatiewet Visoka Strogo prepovedani zidovi piškotkov
Belgija APD/GBA Zakon o zasebnosti in elektronskih komunikacijah (2012) Zmerna Odločba o IAB Europe TCF
Avstrija DSB TKG 2021 Zmerna do visoka Zgodnje odločbe o Google Analytics
Danska Datatilsynet Cookiebekendtgørelsen Zmerna Naraščajoče izvrševanje od leta 2022
Švedska IMY LEK (2003:389) Zmerna do visoka Velike globe v letih 2023–2024
Irska DPC SI 336/2011 Zmerna Sedež velikih tehnoloških podjetij; kritike glede tempa izvrševanja
Poljska UODO Zakon o telekomunikacijah Zmerna Naraščajoča dejavnost izvrševanja
Norveška Datatilsynet Ekomloven Zmerna Članica EGP; tesno sledi smernicam EDPB

Nemčija

Organ za izvrševanje: Zvezni pooblaščenec za varstvo podatkov (BfDI) na zvezni ravni ter 16 deželnih organov za varstvo podatkov (Landesdatenschutzbehörden).

Nacionalna zakonodaja: Zakon o varstvu podatkov v telekomunikacijah in telemedijih (Telekommunikation-Telemedien-Datenschutz-Gesetz, TTDSG), ki je začel veljati 1. decembra 2021, je poenotil nemška pravila o piškotkih. Člen 25 TTDSG prenaša člen 5(3) Direktive ePrivacy in zahteva privolitev za shranjevanje ali dostop do informacij na napravah končnih uporabnikov, razen če je shranjevanje nujno potrebno.

Ključne zahteve: TTDSG je pojasnil, da mora privolitev za piškotke izpolnjevati standard GDPR. Nemško Zvezno vrhovno sodišče (BGH) je to potrdilo že pri izvajanju odločbe Planet49 (maj 2020), ko je razsodilo, da vnaprej označena potrditvena polja niso zadostna. TTDSG je uvedel tudi določbe o priznanih sistemih za upravljanje osebnih informacij (PIMS), ki bi uporabnikom omogočili osrednje upravljanje nastavitev privolitve namesto na vsaki posamezni spletni strani – čeprav se izvedbeni predpisi za PIMS uveljavljajo počasi.

Izvrševanje: Decentralizirana struktura izvrševanja v Nemčiji pomeni, da se izvrševanje skladnosti glede piškotkov razlikuje med deželami. Organi za varstvo podatkov v Berlinu, Hamburgu in Baden-Württembergu so med najbolj dejavnimi. Konferenca organov za varstvo podatkov (DSK) občasno izdaja skupna stališča o zahtevah glede privolitve za piškotke.

Odmevni ukrepi: Številne preiskave pasic za piškotke, ki so uporabljale zavajajoče vzorce, zlasti oblike z »usmerjanjem«, kjer je bil gumb za sprejem vizualno izpostavljen, možnost zavrnitve pa manj poudarjena. Globe so bile na splošno nižje kot v Franciji, vendar se je dejavnost izvrševanja od uveljavitve TTDSG vztrajno povečevala.

Francija

Organ za izvrševanje: Commission Nationale de l'Informatique et des Libertés (CNIL).

Nacionalna zakonodaja: Loi Informatique et Libertés (Zakon št. 78-17), spremenjen za prenos Direktive ePrivacy. CNIL je septembra 2020 izdal celovite smernice o piškotkih, pri čemer se je prehodno obdobje za skladnost izteklo 31. marca 2021.

Ključne zahteve: Francija je najstrožji večji trg EU glede skladnosti s pravili o piškotkih. Smernice CNIL zahtevajo: privolitev pred nastavitvijo katerega koli nebistvenega piškotka; možnost zavrnitve na prvi ravni pasice, ki je enako preprosta za uporabo kot možnost sprejema; brez zidov piškotkov (z omejenimi izjemami, ki jih je potrdil Conseil d'État); podrobne informacije o vsakem namenu piškotka.

Izjema za merjenje občinstva: CNIL omogoča omejeno izjemo za piškotke za merjenje občinstva, ki izpolnjujejo stroge pogoje: orodje mora biti nastavljeno tako, da ustvarja le anonimne statistične podatke, piškotki morajo biti omejeni na spletno mesto izdajatelja, življenjska doba piškotka ne sme presegati 13 mesecev, podatki pa se ne smejo kombinirati z drugimi obdelavami. Orodja, kot sta Matomo (z določeno konfiguracijo) in AT Internet, so bila priznana v okviru te izjeme. Google Analytics ne izpolnjuje pogojev.

Odmevne globe: Francija je izdala najvišje globe v Evropi, povezane s piškotki. Google LLC je decembra 2021 prejel globo v višini 150 milijonov EUR, ker je zavrnitev piškotkov otežil bolj kot njihov sprejem. Facebook je bil v istem postopku kaznovan s 60 milijoni EUR. Microsoft je decembra 2022 prejel globo 60 milijonov EUR. TikTok je decembra 2022 prejel globo 5 milijonov EUR. Criteo je junija 2023 prejel globo 40 milijonov EUR. Skupno je CNIL naložil več kot 400 milijonov EUR glob, specifičnih za piškotke.

Italija

Organ za izvrševanje: Garante per la protezione dei dati personali (Garante).

Nacionalna zakonodaja: Zakonik o zasebnosti (Decreto Legislativo 196/2003), spremenjen za uskladitev z GDPR. Garante je 10. junija 2021 izdal celovite smernice o piškotkih, skladnost pa je bila zahtevana do 10. januarja 2022.

Ključne zahteve: Smernice organa Garante iz leta 2021 so med najbolj podrobnimi v Evropi. Zahtevajo: pasico na prvi ravni z gumbom za sprejem in vidno prikazanim gumbom za zavrnitev (označenim z »X« ali »Nadaljuj brez sprejema«); drugo raven, dostopno s prve pasice, z natančnimi nastavitvami po kategorijah piškotkov; drsenje izrecno ne pomeni privolitve; privolitev za piškotke je treba ponovno zahtevati najpozneje po 6 mesecih.

Posebnosti: Garante je uvedel koncept, ki zahteva poseben gumb za »zapiranje« na pasicah za piškotke, namesto da bi nadaljnje brskanje veljalo za zavrnitev. Smernice so obravnavale tudi vprašanje analitike piškotkov, pri čemer so zahtevale privolitev za vso analitiko tretjih oseb in dovolile omejeno izjemo le za lastna analitična orodja z ustrezno anonimiziranimi podatki.

Španija

Organ za izvrševanje: Agencia Española de Protección de Datos (AEPD).

Nacionalna zakonodaja: Ley de Servicios de la Sociedad de la Información (LSSI-CE) in Ley Orgánica de Protección de Datos (LOPDGDD).

Ključne zahteve: Španija je sprva zavzela bolj popustljiv pristop k skladnosti glede piškotkov, saj je vodnik o piškotkih AEPD iz leta 2013 nakazoval, da bi bilo mogoče nekatere analitične piškotke uporabljati na podlagi zakonitega interesa. Vendar se je AEPD postopoma uskladil s strožjim evropskim soglasjem po smernicah EDPB in odločbi Planet49. Trenutne smernice AEPD zahtevajo predhodno privolitev za analitične in tržne piškotke.

Odmevni ukrepi: AEPD je leta 2020 družbi Vueling Airlines naložil globo 30.000 EUR zaradi pasice za piškotke, ki je ponujala le možnost sprejema brez možnosti zavrnitve. CaixaBank je leta 2021 prejel globo 6 milijonov EUR, deloma v zvezi s praksami obdelave podatkov, povezanimi s sledenjem na podlagi piškotkov. V zadnjem času se je AEPD osredotočil na zidove piškotkov in zavajajoče vzorce v vmesnikih za privolitev.

Nizozemska

Organ za izvrševanje: Autoriteit Persoonsgegevens (AP).

Nacionalna zakonodaja: Telecommunicatiewet (Zakon o telekomunikacijah), člen 11.7a.

Ključne zahteve: Nizozemska je zavzela eno najstrožjih stališč glede zidov piškotkov v Evropi. AP je jasno navedel, da pogojevanje dostopa do spletne strani s sprejemom piškotkov ni veljavna privolitev, saj privolitev ni »prostovoljna«, če je alternativa izguba dostopa do storitve. AP zahteva tudi izrecno privolitev pred nastavitvijo katerih koli piškotkov za sledenje in je bil kritičen do platform za upravljanje privolitve, ki uporabljajo manipulativno zasnovo.

Odmevni ukrepi: AP je preiskal številne spletne strani zaradi neskladnosti s pravili o piškotkih in izdal smernice, ki so posebej usmerjene proti zavajajočim vzorcem na pasicah za piškotke. Organ je sodeloval tudi pri usklajenih pregledih vladnih spletnih strani glede skladnosti s piškotki. Leta 2024 je AP povečal dejavnost izvrševanja proti manjšim organizacijam in s tem nakazal, da pričakovanja glede skladnosti s piškotki veljajo ne glede na velikost podjetja.

Belgija

Organ za izvrševanje: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).

Nacionalna zakonodaja: Zakon z dne 13. junija 2005 o elektronskih komunikacijah, spremenjen z Zakonom z dne 10. julija 2012.

Ključne zahteve: Belgija sledi standardnim zahtevam Direktive ePrivacy. Belgijski organ za varstvo podatkov je postal svetovno pomemben pri ureditvi piškotkov, ko je februarja 2022 odločil o okviru za preglednost in privolitev (Transparency and Consent Framework, TCF) organizacije IAB Europe in ugotovil, da niz privolitve TCF predstavlja osebne podatke ter da je IAB Europe skupni upravljavec. Ta odločba, ki jo je Sodišče EU delno potrdilo marca 2024, ima posledice za vsako spletno stran, ki uporablja TCF za upravljanje privolitve za piškotke.

Posebnosti: Odločba o IAB TCF je pretresla industrijo spletnega oglaševanja, saj je TCF najbolj razširjen okvir privolitve za programatično oglaševanje v Evropi. Čeprav je IAB Europe uvedel spremembe za obravnavo pomislekov organa za varstvo podatkov, je primer izpostavil tveganja, povezana z zanašanjem na industrijsko zasnovane okvire privolitve, ki morda ne izpolnjujejo v celoti zahtev GDPR.

Avstrija

Organ za izvrševanje: Datenschutzbehörde (DSB).

Nacionalna zakonodaja: Telekommunikationsgesetz 2021 (TKG 2021), člen 165.

Ključne zahteve: Avstrijska pravila o piškotkih sledijo standardnemu okviru Direktive ePrivacy. Avstrijski DSB je januarja 2022 pritegnil mednarodno pozornost, ko je postal prvi evropski organ za varstvo podatkov, ki je razsodil, da uporaba Google Analytics krši GDPR, zlasti glede prenosov osebnih podatkov v Združene države po odločbi Schrems II. Čeprav je šlo predvsem za vprašanje prenosa podatkov, je imelo neposredne posledice za skladnost s piškotki, saj je bilo ugotovljeno, da piškotki Google Analytics predstavljajo osebne podatke, prenesene v tretjo državo brez ustreznih zaščitnih ukrepov.

Posebnosti: Odločba o Google Analytics je sprožila plaz podobnih odločitev po vsej Evropi (sledile so Francija, Italija in druge) ter pospešila razvoj alternativ za analitiko, ki varujejo zasebnost. DSB je še naprej dejaven pri vprašanjih piškotkov in tehnologij za sledenje.

Danska

Organ za izvrševanje: Datatilsynet.

Nacionalna zakonodaja: Cookiebekendtgørelsen (Izvršilni odlok o informacijah in privolitvi, potrebnih za shranjevanje ali dostop do informacij v terminalski opremi končnega uporabnika), ki izvaja določbe Direktive ePrivacy.

Ključne zahteve: Danska zahteva privolitev za vse piškotke, razen za tiste, ki so nujno potrebni za storitev, ki jo uporabnik izrecno zahteva. Datatilsynet je izdal smernice, ki potrjujejo, da analitični piškotki zahtevajo privolitev in da nadaljnje brskanje ne pomeni veljavne privolitve. Danske smernice so se vse bolj uskladile s strožjimi stališči CNIL in EDPB.

Odmevni ukrepi: Datatilsynet je od leta 2022 povečal dejavnost izvrševanja glede piškotkov ter preiskoval spletne strani javnega in zasebnega sektorja. Leta 2023 je organ izdal odločbe proti številnim danskim spletnim stranem zaradi neustreznih mehanizmov privolitve za piškotke, vključno s primeri, ko možnost zavrnitve ni bila dovolj vidna. Datatilsynet je obravnaval tudi uporabo Google Analytics in Metinih sledilnih pikslov na danskih spletnih straneh ter več organizacijam naložil, naj prenehajo uporabljati ta orodja brez ustrezne privolitve in zaščitnih ukrepov za prenos podatkov.

Švedska

Organ za izvrševanje: Integritetsskyddsmyndigheten (IMY).

Nacionalna zakonodaja: Lag om elektronisk kommunikation (LEK, 2003:389).

Ključne zahteve: Švedska je v zadnjih letih prešla z razmeroma šibkega izvrševanja pravil o piškotkih na pomembne ukrepe. IMY je prve večje globe, povezane s piškotki, izdal leta 2023, in sicer štirim podjetjem (vključno s Tele2, CDON, Dagens Industri in Coop) v skupni višini več kot 100 milijonov SEK (približno 9 milijonov EUR) zaradi uporabe Google Analytics in deljenja osebnih podatkov z Googlom brez veljavne privolitve ali ustreznih zaščitnih ukrepov za prenos podatkov.

Posebnosti: Ukrepi izvrševanja iz leta 2023 so nakazali velik premik v švedskem pristopu. IMY se je usklajeval z drugimi nordijskimi organi za varstvo podatkov in sledil precedensom, ki sta jih postavila avstrijski DSB in francoski CNIL glede Google Analytics. Globe so bile med najvišjimi, ki jih je izdal kateri koli nordijski organ za varstvo podatkov, in so pokazale, da je švedsko izvrševanje zdaj enakovredno najstrožjim evropskim organom.

Irska

Organ za izvrševanje: Data Protection Commission (DPC).

Nacionalna zakonodaja: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).

Ključne zahteve: Irska sledi standardnemu okviru Direktive ePrivacy. Vendar je vloga DPC kot vodilnega nadzornega organa za številna velika tehnološka podjetja s sedežem na Irskem (vključno z Meta, Google, Apple, Microsoft in TikTok) organu dala nesorazmeren pomen v evropskem varstvu podatkov. DPC je izdal smernice o skladnosti glede piškotkov in izvedel revizije spletnih strani javnega in zasebnega sektorja.

Posebnosti: DPC je bil deležen kritik drugih evropskih organov za varstvo podatkov in Evropskega parlamenta zaradi zaznanega tempa izvrševanja proti velikim tehnološkim podjetjem. Kljub temu je DPC izdal pomembne globe po GDPR, vključno z globo 1,2 milijarde EUR proti Meti leta 2023 zaradi prenosov podatkov. Kar zadeva piškotke, je DPC v letih 2020 in 2021 izvedel preglede spletnih strani ter številnim organizacijam izdal priporočila za skladnost. Neposredne globe DPC, specifične za piškotke, so bile razmeroma skromne v primerjavi s CNIL.

Poljska

Organ za izvrševanje: Urząd Ochrony Danych Osobowych (UODO).

Nacionalna zakonodaja: Zakon o telekomunikacijah (Prawo telekomunikacyjne), člen 173.

Ključne zahteve: Poljska zahteva privolitev za piškotke v skladu z Direktivo ePrivacy. UODO je izdal smernice, ki potrjujejo, da vnaprej označena polja in nadaljnje brskanje ne pomenijo veljavne privolitve. Poljska zakonodaja vsebuje posebne določbe o informacijah, ki jih je treba zagotoviti uporabnikom o piškotkih, vključno z nameni, identiteto upravljavca in navodili za upravljanje nastavitev piškotkov.

Posebnosti: Dejavnost izvrševanja glede piškotkov na Poljskem se je povečala, saj UODO preiskuje pritožbe glede neskladnih pasic za piškotke in sodeluje z regulatorjem za telekomunikacije. UODO je sodeloval pri usklajenih pregledih izvrševanja po vsej EU in svoje smernice uskladil s priporočili EDPB.

Norveška

Organ za izvrševanje: Datatilsynet (norveški organ za varstvo podatkov – ločen od danskega organa z istim imenom).

Nacionalna zakonodaja: Ekomloven (Zakon o elektronskih komunikacijah).

Ključne zahteve: Čeprav Norveška ni država članica EU, je članica Evropskega gospodarskega prostora (EGP) in je GDPR ter Direktivo ePrivacy vključila v svojo nacionalno zakonodajo prek Sporazuma o EGP. Norveški Datatilsynet tesno sledi smernicam EDPB in je bil dejaven pri izvrševanju pravil o piškotkih.

Odmevni ukrepi: Norveški Datatilsynet je decembra 2021 družbi Grindr naložil globo 5 milijonov EUR (na pritožbo pozneje spremenjeno na 6,5 milijona EUR) zaradi deljenja podatkov uporabnikov z oglaševalskimi partnerji brez veljavne privolitve. Čeprav je šlo predvsem za primer privolitve, povezan z deljenjem podatkov in ne posebej s piškotki, je vzpostavil pomembne precedense glede zahtev po privolitvi pri tehnologijah za sledenje. Organ je preiskal tudi uporabo Google Analytics in drugih orodij za sledenje na norveških spletnih straneh.

Ključni poudarki

Kljub razlikam v nacionalnem izvajanju in izvrševanju je več načel dosledno prisotnih v vseh državah EU in EGP:

  • Privolitev je obvezna pred nastavitvijo katerega koli nebistvenega piškotka. Nobena evropska država ne sprejema čistega modela odjave (opt-out) za piškotke.
  • Privolitev mora izpolnjevati standard GDPR: prostovoljna, konkretna, informirana, nedvoumna in izražena z jasnim pritrdilnim dejanjem.
  • Zavrnitev mora biti enako preprosta kot sprejem. Čeprav se konkretna izvedba lahko razlikuje (ločen gumb, X za zapiranje itd.), je načelo, da zavrnitev piškotkov ne sme biti težja od njihovega sprejema, univerzalno.
  • Izvrševanje se povsod povečuje. Države, ki so bile prej popustljive, zdaj izdajajo globe in uradne odločbe. Ni »varne« evropske jurisdikcije za neskladnost.
  • Usklajeno izvrševanje raste. Organi za varstvo podatkov vse pogosteje sodelujejo prek EDPB in izvajajo usklajene preglede, kar pomeni, da neskladnost v eni državi verjetno pritegne pozornost tudi v drugih.

Je vaše spletno mesto skladno s pravili o piškotkih?

Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.

Brezplačno skenirajte piškotke