Skip to main content

Регулации за бисквитки и поверителност: глобален преглед

Съответствието по отношение на бисквитките не се урежда от един-единствен закон. То се формира от мозайка от национални и регионални регулации, които се различават значително по своя обхват, изисквания и правоприлагане. За всеки уебсайт с международна аудитория — а в отворения интернет това е почти всеки уебсайт — е от съществено значение да се разбира кои закони се прилагат и по какво се различават.

Това ръководство очертава глобалната регулаторна среда за бисквитки и онлайн проследяване — от модела на ЕС, базиран на съгласие, до подхода на САЩ, основан на уведомяване и избор, и възникващите рамки другаде.

Глобалната мозайка

Не съществува единен „закон за бисквитките“. Вместо това съответствието по отношение на бисквитките се намира на пресечната точка между регулации за поверителността, директиви за електронните комуникации и закони за защита на потребителите. Резултатът е сложна, понякога противоречива среда, в която един и същ уебсайт може да е обект на различни правила в зависимост от това къде се намират неговите посетители.

Възникнаха два широки модела:

  • Моделът на ЕС (базиран на съгласие): Неесенциалните бисквитки могат да бъдат зададени само след като потребителят е дал информирано, конкретно и свободно изразено съгласие. По подразбиране няма проследяване. Потребителят трябва активно да се съгласи.
  • Моделът на САЩ (уведомяване и избор): Бизнесите трябва да разкриват своите практики за събиране на данни и да дават на потребителите възможност да откажат определени употреби (по-специално продажбата или споделянето на лична информация). По подразбиране има проследяване, като потребителят може да го откаже.

Повечето нови регулации за поверителност по света се приближават към модела на ЕС, макар и с местни вариации. Разбирането на двата модела — и на конкретните закони в рамките им — е необходимо за всеки уебсайт, който оперира отвъд граници.

Рамката на ЕС: Директивата за електронна поверителност + GDPR

Подходът на Европейския съюз към регулацията на бисквитките се основава на два правни инструмента, които работят заедно:

Директивата за електронна поверителност (2002/58/EC)

Директивата за електронна поверителност — често наричана „Директива за бисквитките“ — е основният закон на ЕС, който урежда използването на бисквитки и подобни технологии за проследяване. Нейната ключова разпоредба, член 5(3), гласи:

Държавите членки гарантират, че съхраняването на информация или получаването на достъп до вече съхранена информация в крайното оборудване на абонат или потребител е допустимо само при условие че съответният абонат или потребител е дал своето съгласие, след като му е предоставена ясна и изчерпателна информация.

Единственото изключение се отнася за бисквитки, които са „строго необходими“ за предоставянето на услуга, изрично поискана от потребителя — например сесийни бисквитки за пазарска количка или състояние на вход в профил.

Важно: Директивата за електронна поверителност е директива, а не регламент. Това означава, че всяка държава членка на ЕС я е транспонирала в националното си законодателство с местни вариации. Основният принцип (изисквано съгласие за неесенциални бисквитки) е последователен, но детайлите по прилагането се различават. Например:

  • Франция (CNIL): Издала е подробни насоки за бисквитките, включително ограничено изключение за определени инструменти за измерване на аудиторията, които отговарят на строги условия (анонимизация, без междусайтово проследяване, ограничено съхранение).
  • Германия: Прилага се чрез TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), който влезе в сила през декември 2021 г. и изрично кодифицира изискването за съгласие.
  • Италия (Garante): Публикува подробни насоки за бисквитките през 2021 г., изискващи бутон за отказ на първия слой и забраняващи т.нар. „стени от бисквитки“.
  • Нидерландия (AP): Заема донякъде по-либерална позиция по отношение на стените от бисквитки, като предполага, че те могат да бъдат приемливи, ако потребителят разполага с реален алтернативен начин за достъп до съдържанието.

GDPR (Регламент (ЕС) 2016/679)

Общият регламент относно защитата на данните не споменава изрично бисквитките, но урежда обработването на лични данни — а бисквитките често включват лични данни. GDPR е релевантен за съответствието по отношение на бисквитките по няколко начина:

  • Стандарт за съгласие (член 4(11), член 7): GDPR определя какво представлява валидно съгласие: свободно изразено, конкретно, информирано, недвусмислено и дадено чрез ясно утвърдително действие. Този стандарт се прилага за съгласието за бисквитки, получено съгласно Директивата за електронна поверителност.
  • Прозрачност (членове 12-14): Когато бисквитките обработват лични данни, се прилагат изискванията за прозрачност на GDPR. Това означава, че вашата политика за бисквитките трябва да предоставя конкретна информация за съответното обработване на данни.
  • Правно основание (член 6): Обработването на лични данни чрез бисквитки изисква правно основание. За неесенциалните бисквитки това основание е съгласието. Някои администратори се опитват да разчитат на легитимен интерес (член 6(1)(f)), но органите за защита на данните все по-често отхвърлят легитимния интерес като основание за проследяване с рекламни и аналитични цели.
  • Права на субектите на данни (членове 15-22): Потребителите имат права на достъп, коригиране, изтриване и преносимост на своите данни — включително данни, събрани чрез бисквитки.
  • Извънтериториален обхват (член 3): GDPR се прилага за всяка организация, която обработва лични данни на лица в ЕС, независимо къде е установена организацията. Компания от САЩ, насочена към клиенти в ЕС, трябва да спазва изискванията.

Предстоящият Регламент за електронна поверителност

Европейската комисия предложи Регламент за електронна поверителност през 2017 г., който да замени Директивата за електронна поверителност, да хармонизира правилата в държавите членки и да ги актуализира за съвременните технологии. Към началото на 2026 г. регламентът все още не е финализиран. Преговорите се проточиха, като има разногласия относно изключенията за легитимен интерес, разпоредбите за стените от бисквитки и механизмите за съгласие на ниво браузър.

Когато бъде приет, Регламентът за електронна поверителност ще се прилага пряко във всички държави членки (за разлика от настоящата директива, която изисква национално транспониране). Дотогава действащата Директива за електронна поверителност и нейните национални имплементации остават приложимото право.

Рамката на САЩ: закони за поверителност на щатско ниво

Съединените щати нямат федерален закон за бисквитките, нито федерален всеобхватен закон за поверителността (към началото на 2026 г.). Вместо това регулацията на поверителността възниква на щатско ниво, създавайки мозайка от изисквания.

Калифорния: CCPA и CPRA

Законът за поверителността на потребителите в Калифорния (CCPA), изменен от Закона за правата на поверителност в Калифорния (CPRA), е най-всеобхватният закон за поверителност на щатско ниво в САЩ. Ключови разпоредби, релевантни за бисквитките:

  • Право на отказ от продажба/споделяне. Потребителите имат право да откажат „продажбата“ или „споделянето“ на своята лична информация. Съгласно CPRA „споделянето“ включва споделяне на данни с трети страни за поведенческо рекламиране в различни контексти — което е точно това, което правят повечето рекламни бисквитки.
  • Не се изисква предварително съгласие. За разлика от модела на ЕС, CCPA/CPRA не изисква предварително съгласие за бисквитки. По подразбиране проследяването е разрешено, а потребителите трябва активно да го откажат.
  • Връзка „Do Not Sell or Share“. Бизнесите трябва да предоставят видима връзка „Do Not Sell or Share My Personal Information“ на своя уебсайт.
  • Global Privacy Control (GPC). Бизнесите трябва да зачитат сигнала на браузъра GPC като валидна заявка за отказ. Ако браузърът на потребителя изпраща сигнал GPC, бизнесът трябва да го третира така, сякаш потребителят е кликнал върху „Do Not Sell or Share“.
  • Уведомяване при събиране. Бизнесите трябва да разкриват, при или преди момента на събиране, категориите събирана лична информация и целите, за които тя ще бъде използвана.

Други закони на щатско ниво в САЩ

Следвайки примера на Калифорния, множество щати в САЩ приеха всеобхватни закони за поверителността. Към началото на 2026 г. щатите с действащи закони за поверителност включват:

Щат Закон Дата на влизане в сила Характеристики, свързани с бисквитките
Вирджиния VCDPA Януари 2023 Отказ от таргетирано рекламиране, продажба на данни
Колорадо CPA Юли 2023 Отказ от таргетирано рекламиране, продажба на данни; трябва да зачита универсални сигнали за отказ
Кънектикът CTDPA Юли 2023 Отказ от таргетирано рекламиране, продажба на данни; трябва да зачита универсални сигнали за отказ
Юта UCPA Декември 2023 Отказ от таргетирано рекламиране, продажба на данни
Тексас TDPSA Юли 2024 Отказ от таргетирано рекламиране, продажба на данни; трябва да зачита универсални сигнали за отказ
Орегон OCPA Юли 2024 Отказ от таргетирано рекламиране, продажба на данни; трябва да зачита универсални сигнали за отказ
Монтана MCDPA Октомври 2024 Отказ от таргетирано рекламиране, продажба на данни; трябва да зачита универсални сигнали за отказ

Допълнителни щати приеха закони с дати на влизане в сила през 2025 и 2026 г. Тенденцията е ясна: регулацията на поверителността на щатско ниво се разширява, а повечето нови закони включват права на отказ за таргетирано рекламиране, които пряко засягат практиките с бисквитки.

Други значими регулации

Обединено кралство: UK GDPR и PECR

След Brexit Обединеното кралство запази GDPR като „UK GDPR“ и продължава да прилага Регламентите за поверителност и електронни комуникации (PECR), които имплементират Директивата за електронна поверителност. Изискванията за бисквитките са по същество идентични с тези в ЕС: изисква се предварително съгласие за неесенциални бисквитки, с тясно изключение за строго необходимите. Службата на Комисаря по информацията (ICO) прилага тези правила и е публикувала подробни насоки за бисквитките.

Бразилия: LGPD

Бразилският Lei Geral de Proteção de Dados (LGPD), в сила от 2020 г., е силно вдъхновен от GDPR. Той изисква правно основание за обработването на лични данни, включително данни, събрани чрез бисквитки. Макар че LGPD няма пряк еквивалент на специфичната за бисквитките разпоредба на Директивата за електронна поверителност, за обработването на данни, базирано на бисквитки, трябва да бъде установено съгласие или легитимен интерес. ANPD (националният орган за защита на данните) постепенно издава насоки относно бисквитките и съгласието.

Канада: PIPEDA и Bill C-27

Канадският Закон за защита на личната информация и електронните документи (PIPEDA) изисква „значимо съгласие“ за събирането, използването и разкриването на лична информация. За бисквитки, които събират лична информация, организациите трябва да получат съгласие и да предоставят ясна информация за своите практики. Bill C-27, предложеният Закон за защита на поверителността на потребителите, би модернизирал канадската рамка с по-строги изисквания за съгласие, но приемането му е забавено.

Япония: APPI

Японският Закон за защита на личната информация (APPI), изменен през 2022 г., въведе концепцията за „лично отнасяща се информация“, която може да включва идентификатори на бисквитки в определени контексти. Когато данните от бисквитки се комбинират с друга информация за идентифициране на дадено лице, се прилагат изискванията за съгласие.

Южна Корея: PIPA

Южнокорейският Закон за защита на личната информация (PIPA), изменен през 2023 г., изисква съгласие за събирането и използването на лична информация, което може да включва данни от бисквитки, когато те идентифицират или могат да идентифицират дадено лице.

Тенденция към сближаване

Въпреки настоящата мозайка се очертава ясна тенденция: повечето нови закони за поверителност следват модела на ЕС — регулация, базирана на съгласие и овластяваща потребителя. Дори законите на щатско ниво в САЩ, макар технически базирани на отказ, а не на съгласие, се движат към по-строги изисквания с универсални сигнали за отказ (GPC), принципи за минимизиране на данните и разширени дефиниции на „лична информация“, които обхващат идентификаторите на бисквитки.

За практически цели това сближаване означава, че уебсайтовете, които прилагат съответствие с бисквитки на ниво ЕС (предварително съгласие, ясен приемам/отказвам, гранулирани категории, прозрачни политики), са в добра позиция за съответствие с повечето други юрисдикции. Стандартът на ЕС е най-високият общ знаменател.

Оценка на риска: кои закони се прилагат за вашия уебсайт?

Ключовият въпрос за всеки оператор на уебсайт е: кои закони се прилагат за мен? Отговорът зависи от два фактора:

  1. Къде е установена вашата организация. Вие сте обект на законите за поверителност на юрисдикциите, в които вашата организация има установяване (офис, дъщерно дружество, клон).
  2. Къде се намират вашите потребители. Съгласно извънтериториалния обхват на GDPR (член 3(2)), вие сте обект на правото на ЕС за поверителност, ако предлагате стоки или услуги на лица в ЕС или ако наблюдавате поведението на лица в ЕС. Подобни извънтериториални разпоредби съществуват в UK GDPR, бразилския LGPD и други закони.

На практика, ако вашият уебсайт е достъпен за потребители в ЕС — и имате какъвто и да е трафик от ЕС, какъвто на практика имат всички уебсайтове — трябва да спазвате Директивата за електронна поверителност и GDPR. Ако имате трафик от САЩ, трябва да разгледате CCPA/CPRA (Калифорния) и другите приложими щатски закони.

Прагматичен подход:

  • Внедрете съгласие по стандарта на ЕС за всички посетители от ЕС/ЕИП/Обединеното кралство (предварително съгласие за неесенциални бисквитки).
  • Внедрете механизми за отказ за посетители от САЩ (връзка Do Not Sell/Share, поддръжка на GPC).
  • По подразбиране прилагайте по-високия стандарт, ако географското разпознаване е непрактично. Съгласието на ниво ЕС удовлетворява на практика всички юрисдикции.

Извънтериториален обхват

Един от най-значимите аспекти на съвременната регулация на поверителността е нейният извънтериториален обхват. GDPR (член 3(2)) се прилага за организации извън ЕС, които:

  • Предлагат стоки или услуги на лица в ЕС (дори безплатно — уебсайт, достъпен в ЕС, който е насочен към потребители в ЕС, отговаря на условията), или
  • Наблюдават поведението на лица в ЕС (аналитичното и рекламното проследяване представляват наблюдение).

Това означава, че компания от САЩ, използваща Google Analytics на уебсайт, който получава трафик от ЕС, е технически обект на GDPR и на изискванията за бисквитки на Директивата за електронна поверителност. Правоприлагането срещу организации извън ЕС исторически е било ограничено, но нараства, особено за големите компании. Практическият риск за по-малките организации зависи от видимостта и обема на жалбите, но правното задължение съществува независимо от размера.

Среда на правоприлагането

Правоприлагането по отношение на съответствието с бисквитките се засили драматично от 2020 г. насам. Ключови тенденции:

Кой прилага закона

В ЕС националните органи за защита на данните (DPA) прилагат както Директивата за електронна поверителност, така и GDPR. Сред активните органи са CNIL (Франция), Garante (Италия), Datatilsynet (Дания и Норвегия), BfDI (Германия на федерално ниво) и APD (Белгия). EDPB координира трансграничното правоприлагане.

В САЩ Главният прокурор на Калифорния и Агенцията за защита на поверителността на Калифорния прилагат CCPA/CPRA. Главните прокурори на щатите прилагат другите щатски закони.

Как прилагат закона

  • Разследвания, започнати по жалба. Повечето правоприлагане започва с жалба на потребител до DPA. Жалбата задейства разследване на практиките на уебсайта по отношение на бисквитките.
  • Масови проверки. DPA периодично провеждат проверки в цели сектори, като сканират стотици уебсайтове за съответствие с бисквитките. CNIL, италианският Garante и датският Datatilsynet са провеждали публично оповестени проверки.
  • Жалби от НПО. Организации за защита на поверителността, като noyb (водена от Макс Шремс), са подали масови жалби срещу стотици уебсайтове, създавайки значителен обем на правоприлагане. Само жалбите на noyb относно банерите за бисквитки доведоха до десетки мерки за правоприлагане в целия ЕС.

Санкции

Глобите по GDPR за нарушения, свързани с бисквитки, могат да достигнат до 20 милиона евро или 4% от годишния световен оборот, в зависимост от това кое е по-високо. На практика глобите за нарушения, свързани с бисквитки, варират от предупреждения (за малки организации с незначителни нарушения) до 150 милиона евро (Google, CNIL, 2022 г.). Тенденцията е към по-високи глоби и по-често правоприлагане.

Освен глобите, несъответствието носи репутационен риск, увреждане на доверието на потребителите и оперативни разходи за спешно отстраняване на нарушения по регулаторна заповед.

Passiro ви помага да се ориентирате в тази регулаторна сложност чрез автоматизирано съответствие, което се адаптира към законите, приложими за вашите посетители. Научете как Passiro опростява съответствието с бисквитките в различните юрисдикции.

Вашият уебсайт съответства ли на правилата за бисквитки?

Сканирайте уебсайта си безплатно и намерете всички бисквитки за минути.

Сканирайте бисквитките си безплатно