Skip to main content

GDPR și cookie-uri: un ghid complet pentru conformitate

Regulamentul General privind Protecția Datelor (GDPR) a schimbat radical modul în care site-urile web gestionează cookie-urile de la intrarea sa în vigoare, la 25 mai 2018. Deși Directiva ePrivacy este principala reglementare a UE care guvernează cookie-urile, GDPR se aplică ori de câte ori cookie-urile prelucrează date cu caracter personal — ceea ce, în practică, înseamnă aproape întotdeauna. Înțelegerea modului în care GDPR se aplică cookie-urilor este esențială pentru orice site web care operează în Spațiul Economic European sau care se adresează utilizatorilor din această zonă.

Cum se aplică GDPR cookie-urilor

GDPR nu menționează cookie-urile în mod explicit. În schimb, reglementează prelucrarea datelor cu caracter personal, definite la articolul 4 alineatul (1) ca fiind orice informație privind o persoană fizică identificată sau identificabilă. Considerentul 30 din GDPR precizează în mod explicit că identificatorii online — inclusiv identificatorii cookie-urilor — pot fi utilizați pentru a crea profiluri ale persoanelor fizice și pentru a le identifica. Aceasta înseamnă că orice cookie care conține sau este asociat unui identificator unic constituie date cu caracter personal în temeiul GDPR.

În practică, acest lucru acoperă aproape toate cookie-urile, cu excepția celor pur funcționale, de bază. Cookie-urile de analiză care atribuie un ID unic vizitatorului, cookie-urile de publicitate care urmăresc comportamentul de navigare și chiar cookie-urile de sesiune asociate unui cont de utilizator prelucrează toate date cu caracter personal și intră, prin urmare, sub incidența cerințelor GDPR.

Articolul 6: temeiul legal pentru prelucrare

În temeiul articolului 6 din GDPR, fiecare operațiune de prelucrare a datelor cu caracter personal necesită un temei legal. Pentru prelucrarea legată de cookie-uri, cel mai frecvent sunt invocate două temeiuri:

  • Consimțământul (articolul 6 alineatul (1) litera (a)): persoana vizată și-a dat consimțământul pentru prelucrare în unul sau mai multe scopuri specifice. Acesta este principalul temei legal pentru majoritatea prelucrărilor prin cookie-uri, în special pentru cookie-urile de analiză, marketing și publicitate.
  • Interesul legitim (articolul 6 alineatul (1) litera (f)): prelucrarea este necesară în scopul intereselor legitime ale operatorului, cu condiția ca aceste interese să nu fie contrabalansate de drepturile și libertățile persoanei vizate.

Temeiul interesului legitim a făcut obiectul unor dezbateri semnificative în contextul cookie-urilor. Unii operatori de site-uri web au susținut că urmărirea prin analiză servește unui interes legitim. Cu toate acestea, mai multe autorități de supraveghere a protecției datelor au respins acest argument pentru cookie-urile care nu sunt strict necesare. CNIL din Franța, DSB din Austria și Comitetul european pentru protecția datelor (EDPB) au adoptat cu toții poziția potrivit căreia consimțământul este necesar pentru cookie-urile de analiză și că interesul legitim nu poate servi drept temei legal pentru plasarea de cookie-uri neesențiale pe dispozitivul unui utilizator.

Orientările 05/2020 ale EDPB privind consimțământul afirmă fără echivoc: „Derularea sau continuarea navigării pe un site web nu constituie consimțământ valabil.” Era consimțământului tacit pentru cookie-uri s-a încheiat.

Articolul 7: condițiile pentru un consimțământ valabil

Articolul 7 stabilește condițiile pe care trebuie să le îndeplinească consimțământul. Pentru ca consimțământul privind cookie-urile să fie valabil în temeiul GDPR, acesta trebuie să fie:

  1. Acordat liber: utilizatorul trebuie să aibă o alegere reală. Consimțământul nu este acordat liber dacă utilizatorul nu poate refuza sau retrage consimțământul fără a suferi un prejudiciu. Zidurile de cookie-uri (cookie walls) care blochează accesul la un site web dacă nu sunt acceptate toate cookie-urile au fost considerate neconforme de mai multe autorități de supraveghere, deși peisajul juridic variază în funcție de jurisdicție.
  2. Specific: consimțământul trebuie acordat pentru fiecare scop distinct. Un simplu buton „Acceptă toate” fără opțiunea de a consimți la categorii specifice nu îndeplinește această cerință.
  3. Informat: utilizatorul trebuie să fie informat clar cu privire la ceea ce consimte. Aceasta înseamnă identificarea cookie-urilor, a scopurilor lor, a datelor colectate și a oricăror terți implicați.
  4. Neechivoc: consimțământul trebuie acordat printr-o acțiune afirmativă clară. Casetele bifate în prealabil, tăcerea sau inacțiunea nu constituie consimțământ valabil.

Articolul 7 alineatul (3) adaugă o cerință esențială: retragerea consimțământului trebuie să fie la fel de simplă ca acordarea acestuia. Dacă un utilizator poate accepta cookie-urile cu un singur clic, trebuie să poată retrage acel consimțământ cu aceeași ușurință. Un banner de cookie-uri care evidențiază butonul „Acceptă”, dar ascunde opțiunea de refuz într-o pagină de setări aflată la câteva clicuri distanță, nu este conform.

Articolul 4 alineatul (11): definiția consimțământului

Articolul 4 alineatul (11) definește consimțământul ca fiind „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.”

Această definiție este consolidată de considerentul 32, care precizează:

„Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, informată și clară a acordului persoanei vizate. Acest lucru ar putea include bifarea unei căsuțe atunci când persoana vizitează un site internet. Absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie consimțământ.”

Hotărârea de referință Planet49, pronunțată de Curtea de Justiție a Uniunii Europene (CJUE) în octombrie 2019 (cauza C-673/17), a confirmat această interpretare, statuând că bifarea prealabilă a căsuțelor nu constituie consimțământ valabil pentru cookie-uri.

Obligații de transparență: articolele 12–14

Articolele 12–14 impun operatorilor de date să furnizeze informații despre prelucrarea datelor într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. În cazul cookie-urilor, aceasta înseamnă că:

  • Politica dumneavoastră privind cookie-urile trebuie redactată într-un limbaj pe care utilizatorii obișnuiți îl pot înțelege — nu în jargon juridic.
  • Informațiile trebuie furnizate în momentul colectării datelor (adică înainte de plasarea cookie-urilor).
  • Utilizatorii trebuie informați cu privire la identitatea operatorului, scopurile prelucrării, categoriile de date, eventualii destinatari, perioadele de păstrare și drepturile lor.
  • Dacă cookie-urile sunt partajate cu terți (precum Google Analytics, Facebook Pixel sau rețele de publicitate), acești terți trebuie identificați.

Articolul 17: dreptul la ștergerea datelor

Articolul 17 conferă persoanelor vizate dreptul de a obține ștergerea datelor lor cu caracter personal. În contextul cookie-urilor, aceasta înseamnă că, dacă un utilizator solicită ștergerea datelor sale, orice date cu caracter personal colectate prin cookie-uri trebuie șterse. Aceasta include profilurile de analiză, identificatorii de publicitate și orice alte date asociate identificatorilor cookie-urilor.

Pentru operatorii de site-uri web care utilizează servicii de analiză sau publicitate terțe, acest lucru poate fi deosebit de dificil, deoarece datele pot fi deținute de terț. Acordurile dumneavoastră de prelucrare a datelor cu furnizorii terți de cookie-uri ar trebui să includă prevederi pentru gestionarea cererilor de ștergere.

GDPR vs. ePrivacy: care se aplică și când?

Relația dintre GDPR și Directiva ePrivacy poate crea confuzie. Iată cum interacționează acestea:

  • Directiva ePrivacy (articolul 5 alineatul (3)) reglementează actul de stocare sau accesare a informațiilor de pe dispozitivul unui utilizator. Aceasta impune consimțământul pentru toate cookie-urile, cu excepția celor strict necesare. Este lex specialis (legea specifică) pentru cookie-uri.
  • GDPR reglementează prelucrarea ulterioară a oricăror date cu caracter personal colectate prin cookie-uri. Acesta oferă cadrul pentru ceea ce constituie consimțământul valabil, drepturile persoanelor vizate și obligațiile operatorilor de date.

În termeni practici: Directiva ePrivacy vă spune că aveți nevoie de consimțământ pentru a plasa un cookie. GDPR vă spune cum arată un consimțământ valabil, ce puteți face cu datele și ce drepturi au utilizatorii în legătură cu acele date. Ambele se aplică simultan.

Autoritățile de supraveghere a protecției datelor și aplicarea legii

Fiecare stat membru al UE dispune de o autoritate de supraveghere a protecției datelor (DPA) responsabilă cu aplicarea atât a GDPR, cât și a implementărilor naționale ale Directivei ePrivacy. Aceste autorități au competența de a investiga plângeri, de a efectua audituri și de a impune amenzi de până la 4% din cifra de afaceri anuală globală sau 20 de milioane EUR, oricare dintre acestea este mai mare.

Aplicarea legii în ceea ce privește cookie-urile s-a accelerat dramatic din 2020. Autoritățile de supraveghere din întreaga Europă au trecut de la orientări și avertismente la amenzi substanțiale, transformând conformitatea privind cookie-urile într-un risc real de afaceri, mai degrabă decât într-o preocupare teoretică.

Principalele amenzi GDPR legate de cookie-uri

Următoarele acțiuni de aplicare a legii demonstrează consecințele financiare reale ale neconformității privind cookie-urile:

Companie Amendă Autoritate An Problema principală
Amazon Europe 746 milioane EUR CNPD (Luxemburg) 2021 Mecanisme neconforme de urmărire publicitară și de consimțământ
Google LLC 150 milioane EUR CNIL (Franța) 2022 Refuzarea cookie-urilor nu era la fel de simplă ca acceptarea lor
Facebook (Meta) 60 milioane EUR CNIL (Franța) 2022 Lipsa unui mecanism simplu de refuzare a cookie-urilor
Microsoft (Bing) 60 milioane EUR CNIL (Franța) 2022 Cookie-uri plasate fără consimțământ, fără mecanism simplu de refuz
TikTok 5 milioane EUR CNIL (Franța) 2023 Refuzarea cookie-urilor necesita mai multe clicuri decât acceptarea
Criteo 40 milioane EUR CNIL (Franța) 2023 Neobținerea unui consimțământ valabil pentru cookie-urile de urmărire
Vueling Airlines 30.000 EUR AEPD (Spania) 2020 Fără opțiune de respingere a cookie-urilor, doar „acceptă”

Aceste amenzi nu se limitează la corporațiile mari. Și întreprinderile mici și mijlocii s-au confruntat cu acțiuni de aplicare a legii, în special în Franța, Italia și Germania. Doar CNIL a emis peste 100 de notificări formale către site-uri web de toate dimensiunile privind conformitatea cookie-urilor în 2021.

Listă de verificare practică pentru conformitatea cookie-urilor cu GDPR

Utilizați această listă de verificare pentru a confirma că site-ul dumneavoastră web îndeplinește cerințele GDPR privind cookie-urile:

  1. Identificați toate cookie-urile plasate de site-ul dumneavoastră web, inclusiv cele plasate de scripturi terțe, precum cele de analiză, publicitate și widgeturi de social media.
  2. Clasificați fiecare cookie ca strict necesar, funcțional, de analiză sau de marketing/publicitate.
  3. Implementați consimțământul prealabil pentru toate cookie-urile neesențiale. Niciun cookie de analiză sau marketing nu ar trebui să se activeze înainte ca utilizatorul să își fi dat consimțământul.
  4. Prezentați echitabil opțiunile de consimțământ. Opțiunea de a refuza cookie-urile trebuie să fie la fel de vizibilă și accesibilă ca opțiunea de a le accepta.
  5. Oferiți consimțământ granular. Utilizatorii trebuie să poată consimți la categorii specifice de cookie-uri, în loc să fie constrânși la o alegere de tip „totul sau nimic”.
  6. Nu folosiți casete bifate în prealabil. Toate categoriile de cookie-uri opționale trebuie să fie nebifate în mod implicit.
  7. Furnizați informații clare despre scopul fiecărui cookie, datele pe care le colectează, cine are acces la aceste date și cât timp persistă cookie-ul.
  8. Identificați terții. Numiți serviciile terțe care plasează cookie-uri pe site-ul dumneavoastră (Google Analytics, Facebook Pixel, HubSpot etc.).
  9. Faceți retragerea simplă. Oferiți o modalitate permanentă și ușor accesibilă prin care utilizatorii să își poată modifica preferințele privind cookie-urile după consimțământul inițial. Un link în subsol sau o pictogramă flotantă sunt abordări frecvente.
  10. Păstrați înregistrări ale consimțământului. Mențineți un jurnal cu momentul în care fiecare utilizator și-a dat consimțământul, la ce a consimțit și versiunea politicii privind cookie-urile în vigoare la acel moment.
  11. Respectați tehnic opțiunile de consimțământ. Asigurați-vă că refuzul consimțământului împiedică efectiv plasarea cookie-urilor corespunzătoare. Acest lucru necesită blocarea scripturilor înainte de consimțământ, nu doar ștergerea cookie-urilor după fapt.
  12. Mențineți o politică privind cookie-urile care să fie actuală, exactă și redactată într-un limbaj simplu. Actualizați-o ori de câte ori adăugați cookie-uri sau servicii terțe noi.
  13. Gestionați cererile persoanelor vizate. Dispuneți de un proces pentru a răspunde cererilor de ștergere care include datele colectate prin cookie-uri.
  14. Scanați regulat. Efectuați scanări automate ale cookie-urilor cel puțin lunar și după fiecare implementare, pentru a detecta noile cookie-uri introduse de scripturi sau pluginuri actualizate.

Conformitatea cookie-urilor în temeiul GDPR nu este un exercițiu unic. Aceasta necesită o atenție continuă pe măsură ce site-ul dumneavoastră web evoluează, se adaugă scripturi noi și se actualizează orientările de reglementare. Organizațiile care o tratează ca pe un proces continuu, mai degrabă decât ca pe o simplă bifare a unei căsuțe, sunt cele care evită acțiunile de aplicare a legii — și care, în același timp, construiesc încredere în rândul utilizatorilor lor.

Site-ul tău respectă regulile privind cookie-urile?

Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.

Scanează-ți cookie-urile gratuit