Skip to main content

Κανονισμοί για Cookie και Απορρήτου: Μια Παγκόσμια Επισκόπηση

Η συμμόρφωση με τα cookie δεν διέπεται από έναν μοναδικό νόμο. Διαμορφώνεται από ένα σύνθετο μωσαϊκό εθνικών και περιφερειακών κανονισμών που διαφέρουν σημαντικά ως προς το πεδίο εφαρμογής, τις απαιτήσεις και την επιβολή τους. Για κάθε ιστότοπο με διεθνές κοινό — που, στο ανοιχτό διαδίκτυο, είναι σχεδόν κάθε ιστότοπος — η κατανόηση των νόμων που ισχύουν και του τρόπου με τον οποίο διαφέρουν είναι απαραίτητη.

Αυτός ο οδηγός χαρτογραφεί το παγκόσμιο ρυθμιστικό τοπίο για τα cookie και την online παρακολούθηση, από το μοντέλο «συγκατάθεση πρώτα» της ΕΕ έως την προσέγγιση «ειδοποίηση-και-επιλογή» των ΗΠΑ και τα αναδυόμενα πλαίσια αλλού.

Το Παγκόσμιο Μωσαϊκό

Δεν υπάρχει ένας μοναδικός «νόμος για τα cookie». Αντίθετα, η συμμόρφωση με τα cookie βρίσκεται στο σημείο τομής των κανονισμών απορρήτου, των οδηγιών για τις ηλεκτρονικές επικοινωνίες και των νόμων προστασίας των καταναλωτών. Το αποτέλεσμα είναι ένα σύνθετο, ενίοτε αντιφατικό τοπίο, όπου ο ίδιος ιστότοπος μπορεί να υπόκειται σε διαφορετικούς κανόνες ανάλογα με το πού βρίσκονται οι επισκέπτες του.

Δύο ευρέα μοντέλα έχουν αναδειχθεί:

  • Το μοντέλο της ΕΕ (συγκατάθεση πρώτα): Τα μη απαραίτητα cookie μπορούν να ενεργοποιηθούν μόνο αφού ο χρήστης έχει δώσει ενημερωμένη, συγκεκριμένη και ελεύθερη συγκατάθεση. Η προεπιλογή είναι η μη παρακολούθηση. Ο χρήστης πρέπει να δηλώσει τη συμμετοχή του (opt in).
  • Το μοντέλο των ΗΠΑ (ειδοποίηση-και-επιλογή): Οι επιχειρήσεις πρέπει να γνωστοποιούν τις πρακτικές συλλογής δεδομένων τους και να δίνουν στους χρήστες τη δυνατότητα να εξαιρεθούν από ορισμένες χρήσεις (ιδίως την πώληση ή κοινοποίηση προσωπικών πληροφοριών). Η προεπιλογή είναι η παρακολούθηση, με τον χρήστη να μπορεί να εξαιρεθεί (opt out).

Οι περισσότεροι νέοι κανονισμοί απορρήτου παγκοσμίως συγκλίνουν προς το μοντέλο της ΕΕ, αν και με τοπικές παραλλαγές. Η κατανόηση και των δύο μοντέλων — καθώς και των συγκεκριμένων νόμων εντός αυτών — είναι απαραίτητη για κάθε ιστότοπο που λειτουργεί διασυνοριακά.

Το Πλαίσιο της ΕΕ: ePrivacy Directive + GDPR

Η προσέγγιση της Ευρωπαϊκής Ένωσης για τη ρύθμιση των cookie βασίζεται σε δύο νομικά μέσα που λειτουργούν σε συνδυασμό:

Η Οδηγία ePrivacy (2002/58/ΕΚ)

Η Οδηγία ePrivacy — που συχνά αποκαλείται «Οδηγία για τα Cookie» — είναι ο κύριος νόμος της ΕΕ που διέπει τη χρήση των cookie και παρόμοιων τεχνολογιών παρακολούθησης. Η βασική της διάταξη, το Άρθρο 5(3), αναφέρει:

Τα κράτη μέλη διασφαλίζουν ότι η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνο υπό την προϋπόθεση ότι ο εν λόγω συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του, έχοντας λάβει σαφείς και εκτενείς πληροφορίες.

Η μόνη εξαίρεση αφορά τα cookie που είναι «απολύτως απαραίτητα» για την παροχή μιας υπηρεσίας που έχει ρητά ζητηθεί από τον χρήστη — για παράδειγμα, cookie συνεδρίας για ένα καλάθι αγορών ή για την κατάσταση σύνδεσης.

Σημαντικό: η Οδηγία ePrivacy είναι μια οδηγία, όχι ένας κανονισμός. Αυτό σημαίνει ότι κάθε κράτος μέλος της ΕΕ την έχει ενσωματώσει στο εθνικό του δίκαιο με τοπικές παραλλαγές. Η βασική αρχή (απαιτείται συγκατάθεση για τα μη απαραίτητα cookie) είναι σταθερή, αλλά οι λεπτομέρειες εφαρμογής διαφέρουν. Για παράδειγμα:

  • Γαλλία (CNIL): Έχει εκδώσει λεπτομερείς κατευθυντήριες γραμμές για τα cookie, συμπεριλαμβανομένης μιας περιορισμένης εξαίρεσης για ορισμένα εργαλεία μέτρησης κοινού που πληρούν αυστηρές προϋποθέσεις (ανωνυμοποίηση, μη διασυνδεδεμένη παρακολούθηση, περιορισμένη διατήρηση).
  • Γερμανία: Εφαρμόστηκε μέσω του TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), το οποίο τέθηκε σε ισχύ τον Δεκέμβριο του 2021 και κωδικοποίησε ρητά την απαίτηση συγκατάθεσης.
  • Ιταλία (Garante): Δημοσίευσε λεπτομερείς κατευθυντήριες γραμμές για τα cookie το 2021, απαιτώντας ένα κουμπί απόρριψης στο πρώτο επίπεδο και απαγορεύοντας τα cookie walls.
  • Κάτω Χώρες (AP): Έχει υιοθετήσει μια κάπως πιο επιεική στάση σχετικά με τα cookie walls, υποδεικνύοντας ότι μπορεί να είναι αποδεκτά εάν ο χρήστης έχει έναν πραγματικό εναλλακτικό τρόπο πρόσβασης στο περιεχόμενο.

Ο GDPR (Κανονισμός (ΕΕ) 2016/679)

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων δεν αναφέρει ρητά τα cookie, αλλά διέπει την επεξεργασία των προσωπικών δεδομένων — και τα cookie συχνά αφορούν προσωπικά δεδομένα. Ο GDPR σχετίζεται με τη συμμόρφωση με τα cookie με διάφορους τρόπους:

  • Πρότυπο συγκατάθεσης (Άρθρο 4(11), Άρθρο 7): Ο GDPR ορίζει τι συνιστά έγκυρη συγκατάθεση: ελεύθερη, συγκεκριμένη, ενημερωμένη, ρητή, δοθείσα με σαφή καταφατική ενέργεια. Αυτό το πρότυπο ισχύει για τη συγκατάθεση cookie που λαμβάνεται βάσει της Οδηγίας ePrivacy.
  • Διαφάνεια (Άρθρα 12-14): Όταν τα cookie επεξεργάζονται προσωπικά δεδομένα, ισχύουν οι απαιτήσεις διαφάνειας του GDPR. Αυτό σημαίνει ότι η πολιτική cookie σας πρέπει να παρέχει συγκεκριμένες πληροφορίες σχετικά με την εμπλεκόμενη επεξεργασία δεδομένων.
  • Νομική βάση (Άρθρο 6): Η επεξεργασία προσωπικών δεδομένων μέσω cookie απαιτεί νομική βάση. Για τα μη απαραίτητα cookie, αυτή η βάση είναι η συγκατάθεση. Ορισμένοι υπεύθυνοι επεξεργασίας επιχειρούν να βασιστούν στο έννομο συμφέρον (Άρθρο 6(1)(στ)), αλλά οι αρχές προστασίας δεδομένων ολοένα και περισσότερο απορρίπτουν το έννομο συμφέρον ως βάση για την παρακολούθηση διαφημίσεων και αναλυτικών στοιχείων.
  • Δικαιώματα υποκειμένων δεδομένων (Άρθρα 15-22): Οι χρήστες έχουν δικαιώματα πρόσβασης, διόρθωσης, διαγραφής και φορητότητας των δεδομένων τους — συμπεριλαμβανομένων των δεδομένων που συλλέγονται μέσω cookie.
  • Εξωεδαφική εμβέλεια (Άρθρο 3): Ο GDPR ισχύει για κάθε οργανισμό που επεξεργάζεται τα προσωπικά δεδομένα ατόμων στην ΕΕ, ανεξάρτητα από το πού είναι εγκατεστημένος ο οργανισμός. Μια εταιρεία των ΗΠΑ που απευθύνεται σε πελάτες της ΕΕ πρέπει να συμμορφώνεται.

Ο Επερχόμενος Κανονισμός ePrivacy

Η Ευρωπαϊκή Επιτροπή πρότεινε έναν Κανονισμό ePrivacy το 2017 για να αντικαταστήσει την Οδηγία ePrivacy, να εναρμονίσει τους κανόνες μεταξύ των κρατών μελών και να τους επικαιροποιήσει για τις σύγχρονες τεχνολογίες. Στις αρχές του 2026, ο κανονισμός δεν έχει οριστικοποιηθεί. Οι διαπραγματεύσεις έχουν παραταθεί, με διαφωνίες σχετικά με τις εξαιρέσεις έννομου συμφέροντος, τις διατάξεις για τα cookie walls και τους μηχανισμούς συγκατάθεσης σε επίπεδο προγράμματος περιήγησης.

Όταν τελικά υιοθετηθεί, ο Κανονισμός ePrivacy θα ισχύει άμεσα σε όλα τα κράτη μέλη (σε αντίθεση με την τρέχουσα οδηγία, η οποία απαιτεί εθνική ενσωμάτωση). Μέχρι τότε, η υφιστάμενη Οδηγία ePrivacy και οι εθνικές της εφαρμογές παραμένουν το ισχύον δίκαιο.

Το Πλαίσιο των ΗΠΑ: Νόμοι Απορρήτου σε Επίπεδο Πολιτείας

Οι Ηνωμένες Πολιτείες δεν διαθέτουν ομοσπονδιακό νόμο για τα cookie ούτε ομοσπονδιακό ολοκληρωμένο νόμο απορρήτου (από τις αρχές του 2026). Αντ' αυτού, η ρύθμιση του απορρήτου έχει αναδειχθεί σε επίπεδο πολιτείας, δημιουργώντας ένα μωσαϊκό απαιτήσεων.

Καλιφόρνια: CCPA και CPRA

Ο California Consumer Privacy Act (CCPA), όπως τροποποιήθηκε από τον California Privacy Rights Act (CPRA), είναι ο πιο ολοκληρωμένος νόμος απορρήτου σε επίπεδο πολιτείας στις ΗΠΑ. Βασικές διατάξεις σχετικές με τα cookie:

  • Δικαίωμα εξαίρεσης από την πώληση/κοινοποίηση. Οι καταναλωτές έχουν το δικαίωμα να εξαιρεθούν από την «πώληση» ή «κοινοποίηση» των προσωπικών τους πληροφοριών. Σύμφωνα με τον CPRA, η «κοινοποίηση» περιλαμβάνει την ανταλλαγή δεδομένων με τρίτους για διασυμφραζόμενη συμπεριφορική διαφήμιση — που είναι ακριβώς αυτό που κάνουν τα περισσότερα διαφημιστικά cookie.
  • Δεν απαιτείται προηγούμενη συγκατάθεση. Σε αντίθεση με το μοντέλο της ΕΕ, ο CCPA/CPRA δεν απαιτεί προηγούμενη συγκατάθεση για τα cookie. Η προεπιλογή είναι ότι η παρακολούθηση επιτρέπεται, και οι χρήστες πρέπει ενεργά να εξαιρεθούν.
  • Σύνδεσμος «Do Not Sell or Share». Οι επιχειρήσεις πρέπει να παρέχουν έναν εμφανή σύνδεσμο «Do Not Sell or Share My Personal Information» στον ιστότοπό τους.
  • Global Privacy Control (GPC). Οι επιχειρήσεις πρέπει να τιμούν το σήμα του προγράμματος περιήγησης GPC ως έγκυρο αίτημα εξαίρεσης. Εάν το πρόγραμμα περιήγησης ενός χρήστη στέλνει σήμα GPC, η επιχείρηση πρέπει να το αντιμετωπίζει σαν να είχε κάνει κλικ ο χρήστης στο «Do Not Sell or Share».
  • Ειδοποίηση κατά τη συλλογή. Οι επιχειρήσεις πρέπει να γνωστοποιούν, κατά ή πριν από το σημείο συλλογής, τις κατηγορίες προσωπικών πληροφοριών που συλλέγονται και τους σκοπούς για τους οποίους θα χρησιμοποιηθούν.

Άλλοι Νόμοι Πολιτειών των ΗΠΑ

Ακολουθώντας το παράδειγμα της Καλιφόρνια, πολλές πολιτείες των ΗΠΑ έχουν θεσπίσει ολοκληρωμένους νόμους απορρήτου. Από τις αρχές του 2026, οι πολιτείες με ενεργούς νόμους απορρήτου περιλαμβάνουν:

Πολιτεία Νόμος Ημερομηνία Έναρξης Ισχύος Χαρακτηριστικά Σχετικά με τα Cookie
Βιρτζίνια VCDPA Ιανουάριος 2023 Εξαίρεση από στοχευμένη διαφήμιση, πώληση δεδομένων
Κολοράντο CPA Ιούλιος 2023 Εξαίρεση από στοχευμένη διαφήμιση, πώληση δεδομένων· πρέπει να τιμά καθολικά σήματα εξαίρεσης
Κονέκτικατ CTDPA Ιούλιος 2023 Εξαίρεση από στοχευμένη διαφήμιση, πώληση δεδομένων· πρέπει να τιμά καθολικά σήματα εξαίρεσης
Γιούτα UCPA Δεκέμβριος 2023 Εξαίρεση από στοχευμένη διαφήμιση, πώληση δεδομένων
Τέξας TDPSA Ιούλιος 2024 Εξαίρεση από στοχευμένη διαφήμιση, πώληση δεδομένων· πρέπει να τιμά καθολικά σήματα εξαίρεσης
Όρεγκον OCPA Ιούλιος 2024 Εξαίρεση από στοχευμένη διαφήμιση, πώληση δεδομένων· πρέπει να τιμά καθολικά σήματα εξαίρεσης
Μοντάνα MCDPA Οκτώβριος 2024 Εξαίρεση από στοχευμένη διαφήμιση, πώληση δεδομένων· πρέπει να τιμά καθολικά σήματα εξαίρεσης

Επιπλέον πολιτείες έχουν θεσπίσει νόμους με ημερομηνίες έναρξης ισχύος το 2025 και το 2026. Η τάση είναι σαφής: η ρύθμιση του απορρήτου σε επίπεδο πολιτείας επεκτείνεται, και οι περισσότεροι νέοι νόμοι περιλαμβάνουν δικαιώματα εξαίρεσης για στοχευμένη διαφήμιση που επηρεάζουν άμεσα τις πρακτικές των cookie.

Άλλοι Αξιοσημείωτοι Κανονισμοί

Ηνωμένο Βασίλειο: UK GDPR και PECR

Μετά το Brexit, το Ηνωμένο Βασίλειο διατήρησε τον GDPR ως «UK GDPR» και συνεχίζει να επιβάλλει τους Privacy and Electronic Communications Regulations (PECR), οι οποίοι εφαρμόζουν την Οδηγία ePrivacy. Οι απαιτήσεις για τα cookie είναι ουσιαστικά πανομοιότυπες με αυτές της ΕΕ: απαιτείται προηγούμενη συγκατάθεση για τα μη απαραίτητα cookie, με μια στενή εξαίρεση για τα απολύτως απαραίτητα cookie. Το Information Commissioner's Office (ICO) επιβάλλει αυτούς τους κανόνες και έχει δημοσιεύσει λεπτομερείς οδηγίες για τα cookie.

Βραζιλία: LGPD

Ο βραζιλιάνικος Lei Geral de Protecao de Dados (LGPD), σε ισχύ από το 2020, είναι σε μεγάλο βαθμό εμπνευσμένος από τον GDPR. Απαιτεί νομική βάση για την επεξεργασία προσωπικών δεδομένων, συμπεριλαμβανομένων των δεδομένων που συλλέγονται μέσω cookie. Παρόλο που ο LGPD δεν έχει άμεσο αντίστοιχο της ειδικής για τα cookie διάταξης της Οδηγίας ePrivacy, πρέπει να θεμελιωθεί συγκατάθεση ή έννομο συμφέρον για την επεξεργασία δεδομένων βάσει cookie. Η ANPD (εθνική αρχή προστασίας δεδομένων) εκδίδει σταδιακά καθοδήγηση για τα cookie και τη συγκατάθεση.

Καναδάς: PIPEDA και Bill C-27

Ο καναδικός Personal Information Protection and Electronic Documents Act (PIPEDA) απαιτεί «ουσιαστική συγκατάθεση» για τη συλλογή, χρήση και γνωστοποίηση προσωπικών πληροφοριών. Για τα cookie που συλλέγουν προσωπικές πληροφορίες, οι οργανισμοί πρέπει να λαμβάνουν συγκατάθεση και να παρέχουν σαφείς πληροφορίες σχετικά με τις πρακτικές τους. Το Bill C-27, ο προτεινόμενος Consumer Privacy Protection Act, θα εκσυγχρόνιζε το καναδικό πλαίσιο με αυστηρότερες απαιτήσεις συγκατάθεσης, αλλά η ψήφισή του έχει καθυστερήσει.

Ιαπωνία: APPI

Ο ιαπωνικός Act on the Protection of Personal Information (APPI), που τροποποιήθηκε το 2022, εισήγαγε την έννοια των «προσωπικά αναφερόμενων πληροφοριών» που μπορεί να περιλαμβάνει αναγνωριστικά cookie σε ορισμένα πλαίσια. Όταν τα δεδομένα cookie συνδυάζονται με άλλες πληροφορίες για την ταυτοποίηση ενός ατόμου, ισχύουν οι απαιτήσεις συγκατάθεσης.

Νότια Κορέα: PIPA

Ο νοτιοκορεατικός Personal Information Protection Act (PIPA), που τροποποιήθηκε το 2023, απαιτεί συγκατάθεση για τη συλλογή και χρήση προσωπικών πληροφοριών, που μπορεί να περιλαμβάνει δεδομένα cookie όταν αυτά ταυτοποιούν ή μπορούν να ταυτοποιήσουν ένα άτομο.

Τάση Σύγκλισης

Παρά το τρέχον μωσαϊκό, αναδύεται μια σαφής τάση: οι περισσότεροι νέοι νόμοι απορρήτου ακολουθούν το μοντέλο της ΕΕ μιας ρύθμισης «συγκατάθεση πρώτα» που ενδυναμώνει τον χρήστη. Ακόμη και οι νόμοι πολιτειών των ΗΠΑ, αν και τεχνικά βασισμένοι στην εξαίρεση (opt-out) και όχι στη συμμετοχή (opt-in), κινούνται προς αυστηρότερες απαιτήσεις με καθολικά σήματα εξαίρεσης (GPC), αρχές ελαχιστοποίησης δεδομένων και διευρυμένους ορισμούς των «προσωπικών πληροφοριών» που περιλαμβάνουν αναγνωριστικά cookie.

Για πρακτικούς σκοπούς, αυτή η σύγκλιση σημαίνει ότι οι ιστότοποι που εφαρμόζουν συμμόρφωση με τα cookie σε επίπεδο ΕΕ (προηγούμενη συγκατάθεση, σαφής αποδοχή/απόρριψη, αναλυτικές κατηγορίες, διαφανείς πολιτικές) είναι σε καλή θέση για συμμόρφωση με τις περισσότερες άλλες δικαιοδοσίες. Το πρότυπο της ΕΕ είναι ο υψηλότερος κοινός παρονομαστής.

Αξιολόγηση Κινδύνου: Ποιοι Νόμοι Ισχύουν για τον Ιστότοπό σας;

Το βασικό ερώτημα για κάθε διαχειριστή ιστότοπου είναι: ποιοι νόμοι ισχύουν για εμένα; Η απάντηση εξαρτάται από δύο παράγοντες:

  1. Πού είναι εγκατεστημένος ο οργανισμός σας. Υπόκεισθε στους νόμους απορρήτου των δικαιοδοσιών όπου ο οργανισμός σας έχει εγκατάσταση (γραφείο, θυγατρική, υποκατάστημα).
  2. Πού βρίσκονται οι χρήστες σας. Σύμφωνα με την εξωεδαφική εμβέλεια του GDPR (Άρθρο 3(2)), υπόκεισθε στο δίκαιο απορρήτου της ΕΕ εάν προσφέρετε αγαθά ή υπηρεσίες σε άτομα στην ΕΕ, ή εάν παρακολουθείτε τη συμπεριφορά ατόμων στην ΕΕ. Παρόμοιες εξωεδαφικές διατάξεις υπάρχουν στον UK GDPR, στον LGPD της Βραζιλίας και σε άλλους νόμους.

Στην πράξη, εάν ο ιστότοπός σας είναι προσβάσιμος από χρήστες στην ΕΕ — και έχετε οποιαδήποτε κίνηση από την ΕΕ, όπως έχουν σχεδόν όλοι οι ιστότοποι — θα πρέπει να συμμορφώνεστε με την Οδηγία ePrivacy και τον GDPR. Εάν έχετε κίνηση από τις ΗΠΑ, θα πρέπει να αντιμετωπίσετε τον CCPA/CPRA (Καλιφόρνια) και άλλους ισχύοντες νόμους πολιτειών.

Μια πραγματιστική προσέγγιση:

  • Εφαρμόστε συγκατάθεση προτύπου ΕΕ για όλους τους επισκέπτες από ΕΕ/ΕΟΧ/ΗΒ (προηγούμενη συγκατάθεση opt-in για μη απαραίτητα cookie).
  • Εφαρμόστε μηχανισμούς εξαίρεσης για τους επισκέπτες από τις ΗΠΑ (σύνδεσμος Do Not Sell/Share, υποστήριξη GPC).
  • Χρησιμοποιήστε ως προεπιλογή το υψηλότερο πρότυπο εάν η γεωγραφική ανίχνευση είναι μη πρακτική. Η συγκατάθεση σε επίπεδο ΕΕ ικανοποιεί σχεδόν όλες τις δικαιοδοσίες.

Εξωεδαφική Εμβέλεια

Μία από τις πιο σημαντικές πτυχές της σύγχρονης ρύθμισης του απορρήτου είναι η εξωεδαφική της εμβέλεια. Ο GDPR (Άρθρο 3(2)) ισχύει για οργανισμούς εκτός ΕΕ που:

  • Προσφέρουν αγαθά ή υπηρεσίες σε άτομα στην ΕΕ (ακόμη και δωρεάν — ένας ιστότοπος προσβάσιμος στην ΕΕ που απευθύνεται σε χρήστες της ΕΕ πληροί τα κριτήρια), ή
  • Παρακολουθούν τη συμπεριφορά ατόμων στην ΕΕ (η παρακολούθηση αναλυτικών στοιχείων και διαφημίσεων συνιστά παρακολούθηση).

Αυτό σημαίνει ότι μια εταιρεία των ΗΠΑ που εκτελεί Google Analytics σε έναν ιστότοπο που λαμβάνει κίνηση από την ΕΕ υπόκειται, τεχνικά, στον GDPR και στις απαιτήσεις για τα cookie της Οδηγίας ePrivacy. Η επιβολή έναντι οργανισμών εκτός ΕΕ ήταν ιστορικά περιορισμένη, αλλά αυξάνεται, ιδίως για μεγάλες εταιρείες. Ο πρακτικός κίνδυνος για μικρότερους οργανισμούς εξαρτάται από την προβολή και τον όγκο των καταγγελιών, αλλά η νομική υποχρέωση υφίσταται ανεξαρτήτως μεγέθους.

Τοπίο Επιβολής

Η επιβολή της συμμόρφωσης με τα cookie έχει ενταθεί δραματικά από το 2020. Βασικές τάσεις:

Ποιος Επιβάλλει

Στην ΕΕ, οι εθνικές αρχές προστασίας δεδομένων (DPAs) επιβάλλουν τόσο την Οδηγία ePrivacy όσο και τον GDPR. Αξιοσημείωτες ενεργές αρχές επιβολής περιλαμβάνουν την CNIL (Γαλλία), την Garante (Ιταλία), την Datatilsynet (Δανία και Νορβηγία), την BfDI (Γερμανία σε ομοσπονδιακό επίπεδο) και την APD (Βέλγιο). Το EDPB συντονίζει τη διασυνοριακή επιβολή.

Στις ΗΠΑ, ο Γενικός Εισαγγελέας της Καλιφόρνια και η California Privacy Protection Agency επιβάλλουν τον CCPA/CPRA. Οι γενικοί εισαγγελείς των πολιτειών επιβάλλουν άλλους νόμους πολιτειών.

Πώς Επιβάλλουν

  • Έρευνες βάσει καταγγελιών. Οι περισσότερες ενέργειες επιβολής ξεκινούν με μια καταγγελία χρήστη προς μια DPA. Η καταγγελία ενεργοποιεί μια έρευνα των πρακτικών cookie του ιστότοπου.
  • Σαρωτικές έρευνες. Οι DPAs διεξάγουν περιοδικά σαρώσεις σε ολόκληρους τομείς, ελέγχοντας εκατοντάδες ιστότοπους για συμμόρφωση με τα cookie. Η CNIL, η ιταλική Garante και η δανική Datatilsynet έχουν όλες διεξαγάγει δημοσιοποιημένες σαρώσεις.
  • Καταγγελίες ΜΚΟ. Οργανισμοί υπεράσπισης του απορρήτου, όπως η noyb (υπό την ηγεσία του Max Schrems), έχουν υποβάλει μαζικές καταγγελίες κατά εκατοντάδων ιστότοπων, δημιουργώντας σημαντικό όγκο επιβολής. Μόνο οι καταγγελίες της noyb για τα banner cookie έχουν οδηγήσει σε δεκάδες ενέργειες επιβολής σε όλη την ΕΕ.

Κυρώσεις

Τα πρόστιμα του GDPR για παραβιάσεις σχετικά με τα cookie μπορούν να φτάσουν έως και τα 20 εκατομμύρια EUR ή το 4% του ετήσιου παγκόσμιου κύκλου εργασιών, όποιο είναι υψηλότερο. Στην πράξη, τα πρόστιμα για παραβιάσεις σχετικά με τα cookie έχουν κυμανθεί από προειδοποιήσεις (για μικρούς οργανισμούς με ήσσονος σημασίας παραβιάσεις) έως 150 εκατομμύρια EUR (Google, CNIL, 2022). Η τάση είναι προς υψηλότερα πρόστιμα και συχνότερη επιβολή.

Πέρα από τα πρόστιμα, η μη συμμόρφωση συνεπάγεται κίνδυνο για τη φήμη, ζημία στην εμπιστοσύνη των καταναλωτών και το λειτουργικό κόστος της επείγουσας αποκατάστασης βάσει ρυθμιστικής εντολής.

Η Passiro σας βοηθά να πλοηγηθείτε σε αυτή τη ρυθμιστική πολυπλοκότητα με αυτοματοποιημένη συμμόρφωση που προσαρμόζεται στους νόμους που ισχύουν για τους επισκέπτες σας. Μάθετε πώς η Passiro απλοποιεί τη συμμόρφωση με τα cookie σε όλες τις δικαιοδοσίες.

Συμμορφώνεται ο ιστότοπός σας με τους κανονισμούς cookies;

Σαρώστε τον ιστότοπό σας δωρεάν και βρείτε όλα τα cookies σε λίγα λεπτά.

Σαρώστε τα cookies σας δωρεάν