Skip to main content

Кога е необходимо съгласие за бисквитки?

Общото правило е просто: съгласие се изисква за всички бисквитки с изключение на строго необходимите. Но детайлите имат значение. Точното познаване на това кога съгласие се изисква и кога не, предотвратява както прекомерно съответствие (дразнене на потребителите с ненужни запитвания за съгласие), така и недостатъчно съответствие (поставяне на бисквитки без правно основание).

Общото правило

Член 5, параграф 3 от Директивата за електронна неприкосновеност установява базовия принцип:

Държавите членки гарантират, че съхраняването на информация или получаването на достъп до вече съхранена информация в крайното оборудване на абонат или потребител се разрешава само при условие че съответният абонат или потребител е дал своето съгласие, след като му е предоставена ясна и изчерпателна информация [...] относно целите на обработването.

Това обхваща всички бисквитки, всяко локално съхранение, всяко съхранение или достъп на ниво устройство. Ако вашият уебсайт записва каквото и да е на устройството на потребителя, съгласието е изискването по подразбиране.

Изключението за строго необходими бисквитки

Същият член предвижда единственото изключение:

Това не пречи на техническо съхранение или достъп единствено с цел осъществяване на предаването на съобщение по електронна съобщителна мрежа или доколкото това е строго необходимо, за да може доставчикът на услуга на информационното общество, изрично поискана от абоната или потребителя, да предостави тази услуга.

Това изключение има две части:

  1. Техническо предаване: Бисквитки, които са технически необходими, за да се осъществи комуникацията. Това е тясно определение — по същество ограничено до бисквитки за разпределяне на натоварването и подобни необходимости на ниво мрежа.
  2. Строго необходими за услугата: Бисквитки, които са от съществено значение за услуга, изрично поискана от потребителя. Ключовата фраза е „изрично поискана от абоната или потребителя". Услугата трябва да е нещо, което потребителят е поискал, а бисквитката трябва да е незаменима за нейното предоставяне.

Бисквитки, които са строго необходими (не се изисква съгласие)

  • Бисквитки за удостоверяване на сесия. Когато потребител влезе в профила си, сесийната бисквитка, която поддържа удостовереното му състояние, е строго необходима за услугата, която е поискал (достъп до профила му).
  • Бисквитки за количка за пазаруване. На сайт за електронна търговия бисквитката, която следи артикулите в количката, е строго необходима за услугата за пазаруване, която потребителят използва.
  • CSRF токени за защита. Те са строго необходими за сигурната работа при изпращане на формуляри.
  • Бисквитки за предпочитанията относно съгласието за бисквитки. Бисквитката, която съхранява избора на потребителя относно съгласието, е строго необходима — без нея не можете да зачетете предпочитанията му за поверителност.
  • Бисквитки, свързани с въвеждане на данни. Бисквитки, които запомнят въведените във формуляр данни през многоетапен процес (например формуляр за плащане), когато потребителят е стартирал процеса.
  • Бисквитки за разпределяне на натоварването. Технически бисквитки, които насочват заявките към правилния сървър. Те попадат в частта на изключението, свързана с „предаването".
  • Бисквитки за персонализиране на потребителския интерфейс. Когато потребител изрично избере език или тема чрез контрол на страницата, бисквитката, съхраняваща този избор, е строго необходима за услугата, която е поискал. Това обаче зависи от контекста — вижте по-долу.

Бисквитки, които НЕ са строго необходими (изисква се съгласие)

  • Аналитични бисквитки. Измерването на трафика на уебсайта е в полза на оператора на сайта, а не на потребителя. Потребителят не е поискал услуга за анализ на трафика.
  • Рекламни бисквитки и бисквитки за пренасочване. Те обслужват интересите на рекламодателите и оператора на сайта, но никога на потребителя.
  • Бисквитки за споделяне в социалните мрежи. Те се задават от социални мрежи на трети страни, а не за услуга, поискана от потребителя.
  • Бисквитки за A/B тестване. Те обслужват целите на оператора за оптимизация.
  • Бисквитки за проследяване на партньорски програми. Те проследяват кой партньор е насочил потребителя, обслужвайки бизнес интересите на оператора.
  • Бисквитки за постоянно влизане („запомни ме"). EDPB отбелязва, че макар сесийна бисквитка за текущо влизане да е необходима, постоянна бисквитка, която поддържа потребителя влязъл в различни сесии, надхвърля строго необходимото. Потребителят може да влезе отново.
  • Бисквитки за наблюдение на производителността. Бисквитки, използвани за наблюдение на времето за зареждане на страниците, честотата на грешките и подобни технически показатели, обслужват оператора, а не потребителя.

Дебатът около собствената аналитика (first-party)

Една от най-спорните области в съответствието относно бисквитките е дали собствените аналитични бисквитки могат да се използват без съгласие. Отговорът се различава в зависимост от юрисдикцията и се развива.

Позицията на CNIL (Франция)

Френската CNIL е издала конкретни насоки, според които определени бисквитки за измерване на аудиторията могат да бъдат освободени от изискването за съгласие, при условие че:

  1. Целта е строго ограничена до измерване на аудиторията (без проследяване между сайтове)
  2. Данните не се споделят с трети страни
  3. Бисквитките са единствено собствени (first-party)
  4. Данните се използват само за изготвяне на анонимни статистики
  5. Бисквитките имат ограничен срок на живот (максимум 13 месеца)
  6. Потребителите са информирани за тяхната употреба
  7. Потребителите могат да се откажат

При тези условия CNIL счита, че определени инструменти (като Matomo, конфигуриран в режим, зачитащ поверителността) отговарят на условията за изключение. Google Analytics не отговаря на условията, главно защото Google обработва данните в собствената си инфраструктура и може да ги използва за собствени цели.

Позицията на нидерландския AP (Нидерландия)

Нидерландският Autoriteit Persoonsgegevens по подобен начин посочва, че аналитични бисквитки с минимално въздействие върху поверителността могат да се използват без съгласие, но е поставил условия, съпоставими с тези на CNIL.

Други юрисдикции

Повечето други европейски органи за защита на данните не са възприели изрично изключение за аналитиката. ICO (Обединеното кралство) заявява, че аналитичните бисквитки изискват съгласие. Германските органи за защита на данните обикновено изискват съгласие за всички несъществени бисквитки. Позицията на испанската AEPD е в съответствие с изискването за съгласие.

Практическа препоръка

Освен ако не оперирате изключително във Франция или Нидерландия и не можете да изпълните всички условия на CNIL/AP, най-безопасният подход е да третирате аналитичните бисквитки като изискващи съгласие. Ако все пак разчитате на изключението за аналитиката, документирайте обосновката си, уверете се, че изпълнявате всяко условие, и следете регулаторните развития — тази област все още се променя.

Изключения от съгласието според целта на бисквитката: схема за вземане на решение

За всяка бисквитка на вашия уебсайт преминете през следните въпроси:

  1. Технически необходима ли е бисквитката, за да се осъществи предаването на комуникацията? (напр. разпределяне на натоварването) Ако да: не е нужно съгласие. Ако не: продължете.
  2. Поискал ли е потребителят изрично услуга, която изисква тази бисквитка? (напр. влизане в профила, добавяне на артикули в количката) Ако да: продължете. Ако не: изисква се съгласие.
  3. Би ли спряла да функционира поисканата услуга без тази конкретна бисквитка? Ако да: не е нужно съгласие (строго необходима). Ако услугата би функционирала, но по-неудобно: изисква се съгласие.
  4. Собствена (first-party) ли е бисквитката, ограничена ли е до обобщена аналитика, без споделяне на данни с трети страни, и намирате ли се в юрисдикция с изключение за аналитиката? Ако да на всички: потенциално освободена, но документирайте обосновката си. Ако не на което и да е: изисква се съгласие.
  5. Във всички останали случаи: изисква се съгласие.

Специални ситуации

Стени за бисквитки (cookie walls)

Стената за бисквитки блокира достъпа до уебсайт, освен ако потребителят не приеме бисквитките. Позицията на EDPB е, че стените за бисквитки обикновено пречат съгласието да бъде „дадено свободно" и следователно не са в съответствие. Някои органи за защита на данните обаче (по-специално нидерландският AP, след съдебно решение) посочват, че стените за бисквитки могат да бъдат приемливи, ако се предложи истинска, равностойна алтернатива — например платена версия на услугата без бисквитки. Това остава спорна област.

Платена стена срещу стена за бисквитки

Някои издатели предлагат модел „съгласие или плащане": приемете проследяващи бисквитки за безплатен достъп или платете за преживяване без бисквитки. EDPB издаде становище през 2024 г., разглеждащо тази практика, като призна, че тя може да е допустима при определени условия, но изрази загриженост, че алтернативата „плащане" трябва да е наистина разумна и да не е определена на цена, предназначена да принуди към съгласие.

Деца

Съгласно член 8 от GDPR съгласието за услуги на информационното общество, насочени към деца, изисква проверка, а за деца под определена възраст (варираща от 13 до 16 години в зависимост от държавата членка) — родителско съгласие. Ако вашият уебсайт е насочен към деца, изискванията за съгласие за бисквитки са по-строги.

Контекст на служители и B2B

Директивата за електронна неприкосновеност се прилага за „абоната или потребителя" — не само за потребителите. Ако вашата B2B SaaS платформа използва несъществени бисквитки, съгласието все още се изисква от отделния потребител, дори в бизнес контекст.

Какво се случва без валидно съгласие

Ако поставяте несъществени бисквитки без валидно съгласие:

  • Данните, които събирате, може да са незаконни както съгласно Директивата за електронна неприкосновеност, така и съгласно GDPR.
  • Изправяте се пред потенциални глоби съгласно GDPR в размер до 20 милиона евро или 4% от глобалния годишен оборот, което от двете е по-високо (член 83, параграф 5).
  • Може да ви бъде наредено да изтриете незаконно събраните данни.
  • Вашите аналитични и рекламни данни може да бъдат компрометирани — ако правното основание за събирането е невалидно, данните не могат да се използват законно.
  • Последващите получатели на тези данни (рекламни мрежи, доставчици на аналитика) също може да носят отговорност.

Това не са хипотетични рискове. CNIL наложи глоба на Google в размер на 150 милиона евро и на Facebook в размер на 60 милиона евро именно за нарушения на съгласието за бисквитки. По-малки предприятия са изправени пред глоби в размер на десетки хиляди евро за подобни пропуски.

Passiro идентифицира всяка бисквитка на вашия уебсайт и маркира тези, които изискват съгласие, за да сте сигурни, че вашият механизъм за съгласие обхваща точните бисквитки — нито повече, нито по-малко.

След това нека сравним двата основни модела за съгласие: opt-in срещу opt-out и кой от тях се прилага къде.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно