Zákony o cookies podľa krajín: Sprievodca EÚ a EHP
Hoci smernica o súkromí v elektronických komunikáciách (ePrivacy) a GDPR poskytujú spoločný rámec v celej Európskej únii, každý členský štát transponoval smernicu ePrivacy do vnútroštátneho práva so svojimi vlastnými nuansami. Intenzita presadzovania, výklad výnimiek a výška pokút sa medzi jednotlivými krajinami výrazne líšia. Tento sprievodca sa venuje kľúčovým špecifikám zákonov o cookies pre dvanásť významných európskych trhov.
Prehľadová tabuľka
| Krajina | Úrad | Vnútroštátny zákon | Úroveň presadzovania | Za zmienku |
|---|---|---|---|---|
| Nemecko | Krajinské DPA + BfDI | TTDSG (2021) | Vysoká | Decentralizované presadzovanie; rámec PIMS |
| Francúzsko | CNIL | Loi Informatique et Libertés | Veľmi vysoká | Rekordné pokuty; podrobné usmernenia k cookies |
| Taliansko | Garante | Zákon o ochrane súkromia (D.Lgs. 196/2003) | Vysoká | Komplexné usmernenia k cookies z roku 2021 |
| Španielsko | AEPD | LSSI-CE + LOPDGDD | Stredná | História debaty o výnimke pre analytiku |
| Holandsko | AP | Telecommunicatiewet | Vysoká | Prísny zákaz cookie stien |
| Belgicko | APD/GBA | Zákon ePrivacy (2012) | Stredná | Rozhodnutie o IAB Europe TCF |
| Rakúsko | DSB | TKG 2021 | Stredná až vysoká | Skoré rozhodnutia o Google Analytics |
| Dánsko | Datatilsynet | Cookiebekendtgørelsen | Stredná | Rastúce presadzovanie od roku 2022 |
| Švédsko | IMY | LEK (2003:389) | Stredná až vysoká | Významné pokuty v rokoch 2023 – 2024 |
| Írsko | DPC | SI 336/2011 | Stredná | Centrum pre Big Tech; kritizované za tempo presadzovania |
| Poľsko | UODO | Zákon o telekomunikáciách | Stredná | Rastúca aktivita v presadzovaní |
| Nórsko | Datatilsynet | Ekomloven | Stredná | Člen EHP; úzko sleduje usmernenia EDPB |
Nemecko
Dozorný úrad: Federálny komisár pre ochranu údajov (BfDI) na federálnej úrovni, plus 16 krajinských úradov na ochranu údajov (Landesdatenschutzbehörden).
Vnútroštátny zákon: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), ktorý nadobudol účinnosť 1. decembra 2021, zjednotil nemecké pravidlá pre cookies. § 25 TTDSG transponuje článok 5 ods. 3 smernice ePrivacy, ktorý vyžaduje súhlas s ukladaním informácií do zariadení koncových používateľov alebo prístupom k nim, pokiaľ nie je ukladanie striktne nevyhnutné.
Kľúčové požiadavky: TTDSG objasnil, že súhlas s cookies musí spĺňať štandard GDPR. Nemecký Spolkový súdny dvor (BGH) to už potvrdil pri implementácii rozhodnutia Planet49 (máj 2020), keď rozhodol, že vopred zaškrtnuté políčka sú nedostatočné. TTDSG zaviedol aj ustanovenia pre uznané systémy správy osobných údajov (PIMS), ktoré by používateľom umožnili spravovať preferencie súhlasu centrálne, namiesto na každej webovej stránke zvlášť – hoci vykonávacie predpisy pre PIMS sa objavujú len pomaly.
Presadzovanie: Decentralizovaná štruktúra presadzovania v Nemecku znamená, že presadzovanie súladu v oblasti cookies sa líši podľa spolkovej krajiny. Medzi najaktívnejšie patria DPA v Berlíne, Hamburgu a Bádensku-Württembersku. Konferencia úradov na ochranu údajov (DSK) pravidelne vydáva spoločné stanoviská k požiadavkám na súhlas s cookies.
Významné kroky: Viacero vyšetrovaní cookie bannerov, ktoré využívali temné vzory (dark patterns), najmä „nabádajúce" dizajny, kde bolo tlačidlo na prijatie vizuálne výrazné, zatiaľ čo možnosť odmietnutia bola potlačená. Pokuty boli vo všeobecnosti nižšie ako vo Francúzsku, no aktivita v presadzovaní od nadobudnutia účinnosti TTDSG neustále rástla.
Francúzsko
Dozorný úrad: Commission Nationale de l'Informatique et des Libertés (CNIL).
Vnútroštátny zákon: Loi Informatique et Libertés (zákon č. 78-17), novelizovaný na implementáciu smernice ePrivacy. CNIL vydal komplexné usmernenia k cookies v septembri 2020 s prechodným obdobím na dosiahnutie súladu končiacim sa 31. marca 2021.
Kľúčové požiadavky: Francúzsko je najprísnejším významným trhom EÚ v oblasti súladu s cookies. Usmernenia CNIL vyžadujú: súhlas pred nastavením akejkoľvek nepodstatnej cookie; možnosť odmietnutia na prvej vrstve banneru, ktorá je rovnako jednoduchá na použitie ako možnosť prijatia; žiadne cookie steny (s obmedzenými výnimkami potvrdenými Conseil d'État); podrobné informácie o účele každej cookie.
Výnimka pre meranie návštevnosti: CNIL poskytuje obmedzenú výnimku pre cookies na meranie návštevnosti, ktoré spĺňajú prísne podmienky: nástroj musí byť nakonfigurovaný tak, aby vytváral len anonymné štatistické údaje, cookies musia byť obmedzené na stránku vydavateľa, životnosť cookie nesmie presiahnuť 13 mesiacov a údaje nesmú byť kombinované s iným spracovaním. Nástroje ako Matomo (so špecifickou konfiguráciou) a AT Internet boli v rámci tejto výnimky uznané. Google Analytics túto podmienku nespĺňa.
Významné pokuty: Francúzsko udelilo najvyššie pokuty súvisiace s cookies v Európe. Spoločnosti Google LLC bola v decembri 2021 uložená pokuta 150 miliónov eur za to, že odmietnutie cookies bolo náročnejšie ako ich prijatie. Facebook bol v rámci toho istého konania pokutovaný 60 miliónmi eur. Microsoft dostal v decembri 2022 pokutu 60 miliónov eur. TikTok bol v decembri 2022 pokutovaný 5 miliónmi eur. Criteo dostalo v júni 2023 pokutu 40 miliónov eur. Celkovo CNIL uložil pokuty špecifické pre cookies presahujúce 400 miliónov eur.
Taliansko
Dozorný úrad: Garante per la protezione dei dati personali (Garante).
Vnútroštátny zákon: Zákon o ochrane súkromia (legislatívny dekrét 196/2003), novelizovaný na zosúladenie s GDPR. Garante vydal komplexné usmernenia k cookies 10. júna 2021, pričom súlad bol požadovaný do 10. januára 2022.
Kľúčové požiadavky: Usmernenia Garante z roku 2021 patria k najpodrobnejším v Európe. Vyžadujú: banner na prvej vrstve s tlačidlom na prijatie a výrazne zobrazeným tlačidlom na odmietnutie (označeným „X" alebo „Pokračovať bez prijatia"); druhú vrstvu prístupnú z prvého banneru s granulárnym ovládaním kategórií cookies; skrolovanie výslovne nepredstavuje súhlas; súhlas s cookies musí byť opätovne vyžiadaný najneskôr po 6 mesiacoch.
Za zmienku: Garante zaviedol koncept vyžadovania špecifického tlačidla „zavrieť" na cookie banneroch namiesto toho, aby ako odmietnutie slúžilo pokračovanie v prehliadaní. Usmernenia sa venovali aj otázke analytiky cookies, pričom vyžadujú súhlas pre všetku analytiku tretích strán a povoľujú obmedzenú výnimku len pre analytické nástroje prvej strany s riadne anonymizovanými údajmi.
Španielsko
Dozorný úrad: Agencia Española de Protección de Datos (AEPD).
Vnútroštátny zákon: Ley de Servicios de la Sociedad de la Información (LSSI-CE) a Ley Orgánica de Protección de Datos (LOPDGDD).
Kľúčové požiadavky: Španielsko pôvodne pristupovalo k súladu s cookies zhovievavejšie, pričom sprievodca cookies od AEPD z roku 2013 naznačoval, že určité analytické cookies by sa mohli používať na základe oprávneného záujmu. AEPD sa však postupne zosúladil s prísnejším európskym konsenzom, a to na základe usmernení EDPB a rozhodnutia Planet49. Aktuálne usmernenia AEPD vyžadujú predchádzajúci súhlas pre analytické a marketingové cookies.
Významné kroky: AEPD pokutoval spoločnosť Vueling Airlines sumou 30 000 eur v roku 2020 za cookie banner, ktorý poskytoval len možnosť prijatia bez možnosti odmietnutia cookies. CaixaBank dostala v roku 2021 pokutu 6 miliónov eur, čiastočne súvisiacu s praktikami spracovania údajov spojenými so sledovaním na základe cookies. V poslednom čase sa AEPD zameriava na cookie steny a temné vzory v rozhraniach na udeľovanie súhlasu.
Holandsko
Dozorný úrad: Autoriteit Persoonsgegevens (AP).
Vnútroštátny zákon: Telecommunicatiewet (Zákon o telekomunikáciách), článok 11.7a.
Kľúčové požiadavky: Holandsko zaujalo jednu z najprísnejších pozícií voči cookie stenám v Európe. AP jasne uviedol, že podmieňovanie prístupu na webovú stránku prijatím cookies nie je platným súhlasom, pretože súhlas nie je „slobodne udelený", ak je alternatívou strata prístupu k službe. AP tiež vyžaduje výslovný súhlas pred nastavením akýchkoľvek sledovacích cookies a kritizoval platformy na správu súhlasu, ktoré využívajú manipulatívny dizajn.
Významné kroky: AP vyšetroval množstvo webových stránok pre nedostatky v súlade s pravidlami o cookies a vydal usmernenia špecificky zamerané na temné vzory v cookie banneroch. Úrad sa tiež zúčastnil koordinovaných kontrol vládnych webových stránok z hľadiska súladu s pravidlami o cookies. V roku 2024 AP zvýšil svoju aktivitu v presadzovaní voči menším organizáciám, čím naznačil, že očakávania týkajúce sa súladu s cookies platia bez ohľadu na veľkosť spoločnosti.
Belgicko
Dozorný úrad: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Vnútroštátny zákon: Zákon z 13. júna 2005 o elektronických komunikáciách, novelizovaný zákonom z 10. júla 2012.
Kľúčové požiadavky: Belgicko sa riadi štandardnými požiadavkami smernice ePrivacy. Belgický DPA sa stal globálne významným v regulácii cookies, keď vo februári 2022 rozhodol o rámci IAB Europe Transparency and Consent Framework (TCF) a zistil, že reťazec súhlasu TCF predstavuje osobné údaje a že IAB Europe je spoločným prevádzkovateľom. Toto rozhodnutie, čiastočne potvrdené SDEÚ v marci 2024, má dôsledky pre každú webovú stránku, ktorá používa TCF na správu súhlasu s cookies.
Za zmienku: Rozhodnutie o IAB TCF vyvolalo otrasy v odvetví online reklamy, keďže TCF je najpoužívanejším rámcom súhlasu pre programatickú reklamu v Európe. Hoci IAB Europe implementovalo zmeny na riešenie obáv DPA, prípad poukázal na riziká spoliehania sa na rámce súhlasu navrhnuté odvetvím, ktoré nemusia plne spĺňať požiadavky GDPR.
Rakúsko
Dozorný úrad: Datenschutzbehörde (DSB).
Vnútroštátny zákon: Telekommunikationsgesetz 2021 (TKG 2021), § 165.
Kľúčové požiadavky: Rakúske pravidlá pre cookies sa riadia štandardným rámcom smernice ePrivacy. Rakúsky DSB získal medzinárodnú pozornosť v januári 2022, keď sa stal prvým európskym DPA, ktorý rozhodol, že používanie Google Analytics porušuje GDPR, konkrétne pokiaľ ide o prenosy osobných údajov do Spojených štátov na základe rozhodnutia Schrems II. Hoci išlo predovšetkým o otázku prenosu údajov, malo to priame dôsledky pre súlad s cookies, keďže cookies Google Analytics boli považované za osobné údaje prenášané do tretej krajiny bez primeraných záruk.
Za zmienku: Rozhodnutie o Google Analytics spustilo kaskádu podobných rozhodnutí naprieč Európou (nasledovali Francúzsko, Taliansko a ďalšie) a urýchlilo vývoj alternatív analytiky rešpektujúcich súkromie. DSB zostáva aktívny v otázkach cookies a sledovacích technológií.
Dánsko
Dozorný úrad: Datatilsynet.
Vnútroštátny zákon: Cookiebekendtgørelsen (Nariadenie o informáciách a súhlase vyžadovaných na ukladanie informácií do koncového zariadenia používateľa alebo prístup k nim), ktoré implementuje ustanovenia smernice ePrivacy.
Kľúčové požiadavky: Dánsko vyžaduje súhlas pre všetky cookies s výnimkou tých, ktoré sú striktne nevyhnutné pre službu výslovne požadovanú používateľom. Datatilsynet vydal usmernenia potvrdzujúce, že analytické cookies vyžadujú súhlas a že pokračovanie v prehliadaní nepredstavuje platný súhlas. Dánske usmernenia sa čoraz viac zosúlaďujú s prísnejšími pozíciami, ktoré zaujali CNIL a EDPB.
Významné kroky: Datatilsynet zvýšil svoju aktivitu v presadzovaní pravidiel o cookies od roku 2022, pričom vyšetroval webové stránky vo verejnom aj súkromnom sektore. V roku 2023 úrad vydal rozhodnutia voči viacerým dánskym webovým stránkam za neadekvátne mechanizmy súhlasu s cookies, vrátane prípadov, keď možnosť odmietnutia nebola dostatočne viditeľná. Datatilsynet sa tiež venoval používaniu Google Analytics a sledovacích pixelov Meta na dánskych webových stránkach, pričom niekoľkým organizáciám nariadil prestať používať tieto nástroje bez riadneho súhlasu a záruk pre prenos údajov.
Švédsko
Dozorný úrad: Integritetsskyddsmyndigheten (IMY).
Vnútroštátny zákon: Lag om elektronisk kommunikation (LEK, 2003:389).
Kľúčové požiadavky: Švédsko sa v posledných rokoch posunulo od relatívne nízkeho presadzovania pravidiel o cookies k významným krokom. IMY vydal svoje prvé významné pokuty súvisiace s cookies v roku 2023, pričom sa zameral na štyri spoločnosti (vrátane Tele2, CDON, Dagens Industri a Coop) s celkovou sumou presahujúcou 100 miliónov SEK (približne 9 miliónov eur) za používanie Google Analytics a zdieľanie osobných údajov s Googlom bez platného súhlasu alebo primeraných záruk pre prenos údajov.
Za zmienku: Kroky v presadzovaní z roku 2023 signalizovali výrazný posun v prístupe Švédska. IMY koordinoval postup s ostatnými severskými DPA a nadviazal na precedensy stanovené rakúskym DSB a francúzskym CNIL v otázke Google Analytics. Pokuty patrili medzi najvyššie udelené akýmkoľvek severským DPA a ustanovili, že švédske presadzovanie je teraz na úrovni najprísnejších európskych úradov.
Írsko
Dozorný úrad: Data Protection Commission (DPC).
Vnútroštátny zákon: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Kľúčové požiadavky: Írsko sa riadi štandardným rámcom smernice ePrivacy. Úloha DPC ako vedúceho dozorného úradu pre mnohé významné technologické spoločnosti so sídlom v Írsku (vrátane Meta, Google, Apple, Microsoft a TikTok) mu však dala neúmerný význam v európskej ochrane údajov. DPC vydal usmernenia k súladu s cookies a vykonal audity webových stránok verejného aj súkromného sektora.
Za zmienku: DPC čelil kritike zo strany ostatných európskych DPA a Európskeho parlamentu za vnímané tempo presadzovania voči Big Tech. DPC však vydal významné pokuty podľa GDPR, vrátane pokuty 1,2 miliardy eur voči Meta v roku 2023 za prenosy údajov. Konkrétne v oblasti cookies DPC vykonal kontroly webových stránok v rokoch 2020 a 2021 a vydal odporúčania na dosiahnutie súladu množstvu organizácií. Priame pokuty špecifické pre cookies zo strany DPC boli v porovnaní s CNIL relatívne mierne.
Poľsko
Dozorný úrad: Urząd Ochrony Danych Osobowych (UODO).
Vnútroštátny zákon: Zákon o telekomunikáciách (Prawo telekomunikacyjne), článok 173.
Kľúčové požiadavky: Poľsko vyžaduje súhlas pre cookies v súlade so smernicou ePrivacy. UODO vydal usmernenia potvrdzujúce, že vopred zaškrtnuté políčka a pokračovanie v prehliadaní nepredstavujú platný súhlas. Poľské právo obsahuje špecifické ustanovenia o informáciách, ktoré sa musia poskytnúť používateľom o cookies, vrátane účelov, totožnosti prevádzkovateľa a pokynov na správu nastavení cookies.
Za zmienku: Aktivita Poľska v presadzovaní pravidiel o cookies vzrástla, pričom UODO vyšetruje sťažnosti na nevyhovujúce cookie bannery a spolupracuje s telekomunikačným regulátorom. UODO sa zúčastnil koordinovaných kontrol v rámci celej EÚ a zosúladil svoje usmernenia s odporúčaniami EDPB.
Nórsko
Dozorný úrad: Datatilsynet (Nórsky úrad na ochranu údajov – odlišný od dánskeho úradu s rovnakým názvom).
Vnútroštátny zákon: Ekomloven (Zákon o elektronických komunikáciách).
Kľúčové požiadavky: Hoci Nórsko nie je členským štátom EÚ, je členom Európskeho hospodárskeho priestoru (EHP) a začlenilo GDPR a smernicu ePrivacy do svojho vnútroštátneho práva prostredníctvom Dohody o EHP. Nórsky Datatilsynet úzko sleduje usmernenia EDPB a je aktívny v presadzovaní pravidiel o cookies.
Významné kroky: Nórsky Datatilsynet udelil v decembri 2021 spoločnosti Grindr pokutu 5 miliónov eur (neskôr v odvolaní zmenenú na 6,5 milióna eur) za zdieľanie údajov používateľov s reklamnými partnermi bez platného súhlasu. Hoci išlo predovšetkým o prípad súhlasu súvisiaci so zdieľaním údajov, a nie konkrétne s cookies, ustanovil dôležité precedensy pre požiadavky na súhlas v sledovacích technológiách. Úrad tiež vyšetroval používanie Google Analytics a iných sledovacích nástrojov na nórskych webových stránkach.
Kľúčové poznatky
Napriek rozdielom vo vnútroštátnej implementácii a presadzovaní je niekoľko princípov konzistentných vo všetkých krajinách EÚ a EHP:
- Súhlas je vyžadovaný pred nastavením akejkoľvek nepodstatnej cookie. Žiadna európska krajina neakceptuje čistý opt-out model pre cookies.
- Súhlas musí spĺňať štandard GDPR: slobodne udelený, konkrétny, informovaný, jednoznačný a preukázaný jasným potvrdzujúcim úkonom.
- Odmietnutie musí byť rovnako jednoduché ako prijatie. Hoci sa konkrétna implementácia môže líšiť (samostatné tlačidlo, X na zatvorenie a pod.), princíp, že odmietnutie cookies nesmie byť náročnejšie ako ich prijatie, je univerzálny.
- Presadzovanie sa všade zintenzívňuje. Krajiny, ktoré boli predtým zhovievavé, teraz vydávajú pokuty a formálne rozhodnutia. Neexistuje „bezpečná" európska jurisdikcia pre nesúlad.
- Koordinované presadzovanie rastie. DPA čoraz viac spolupracujú prostredníctvom EDPB a vykonávajú koordinované kontroly, čo znamená, že nesúlad v jednej krajine pravdepodobne pritiahne pozornosť aj v ostatných.
Je váš web v súlade s pravidlami cookies?
Skenujte svoj web zadarmo a nájdite všetky cookies za pár minút.
Skenovať cookies zadarmo