Глави 02 Влязъл в сила: 2002 (изм. 2009)

Директива за електронната поверителност

Директива относно поверителността и електронните съобщения

Преглед

Директивата за електронната поверителност (ePD), често наричана „закон за бисквитките“, допълва GDPR, като предоставя конкретни правила за поверителност в електронните съобщения. Тя обхваща поверителността на комуникациите, използването на технологии за проследяване и директния маркетинг.[1]

Като директива, прилагането ѝ варира в различните държави членки. Предложеното Регламент за електронната поверителност беше официално оттеглен през февруари 2025 г., което означава, че директивата остава приложимият закон.

Връзка с GDPR

  • ePD е lex specialis: Предпочита се пред GDPR за електронни съобщения
  • Принципите на GDPR се прилагат: Съгласието по ePD трябва да отговаря на стандартите на GDPR
  • Съвместно прилагане: И двата набора от правила се прилагат от органите за защита на данните

Основни изисквания

Съгласие за бисквитки (Член 5(3))[2]

Изисква се съгласие преди поставяне или достъп до информация на устройството на потребителя:

Тип бисквиткаИзисква ли се съгласие?
Строго необходимиНе (освободени)
Предпочитания/функционалностДа
Аналитични/статистическиДа (някои юрисдикции позволяват изключения)
РекламниДа
Проследяване от трети страниДа

Изисквания за съгласие

Валидното съгласие трябва да бъде:

  • Предварително: Получено преди поставяне на бисквитки
  • Свободно дадено: Истински избор без негативни последици при отказ
  • Специфично: Ясно относно целите и типовете бисквитки
  • Информирано: Потребителите разбират какви данни се събират
  • Недвусмислено: Изисква ясно положително действие
  • Оттегляемо: Потребителите могат лесно да променят предпочитанията си

Най-добри практики за банер за бисквитки

ПравиНе прави
Предоставяй подробни избориПредварително маркирай полета за съгласие
Направи „Откажи всички“ еднакво видимоСкривай отказа зад множество кликове
Съхранявай доказателства за съгласиеПоставяй бисквитки преди съгласие
Позволявай лесно оттеглянеПрави оттеглянето по-трудно от съгласието
Ясен, прост езикТехнически жаргон

Поверителност на комуникациите (Член 5)

  • Забрана за прихващане и наблюдение
  • Разрешено техническо съхранение, необходимо за предаване
  • Съдържанието и метаданните са защитени еднакво

Директен маркетинг (Член 13)

ТипИзискване
Имейл/SMS маркетингИзисква се предварително съгласие (opt-in)
Съществуващи клиентиМеко съгласие за подобни продукти (с лесно отказване)
B2B маркетингПравилата варират в държавите членки

Непоискани съобщения

  • Идентичността на подателя не трябва да бъде прикривана
  • Изисква се валиден механизъм за отказ
  • Трябва да се спазват националните регистри „не звъни“

Предложени промени в Digital Omnibus (2025)

Европейската комисия предложи опростяване на правилата за бисквитки чрез пакета „Digital Omnibus“:[3]

  • Преместване на определени разпоредби от ePD в GDPR
  • Разширяване на изключенията за аналитични и защитни бисквитки
  • Въвеждане на централизирани сигнали за съгласие за намаляване на „умората от съгласие“

Забележка: Тези предложения все още не са приети. Текущите изисквания на ePD остават в сила.

Примери за прилагане

ОрганСубектГлобаПричина
CNIL (Франция)Google150 млн. евроНарушения при съгласие за бисквитки
CNIL (Франция)Facebook60 млн. евроТруден отказ на бисквитки
ICO (Великобритания)НяколкоПредупрежденияСкрити бутони за отказ
AEPD (Испания)Различни10 000-100 000 евроНеправилно събиране на съгласие

Контролен списък за разработчици

Банер за съгласие за бисквитки

  • Получавай съгласие преди поставяне на несъществени бисквитки
  • Предоставяй контрол по категории
  • Направи „Откажи всички“ еднакво достъпен
  • Съхранявай и маркирай с дата записите за съгласие
  • Позволявай лесно оттегляне на съгласие
  • Блокирай скриптове на трети страни до получаване на съгласие

Технически изисквания

  • Провеждай одит на всички бисквитки и технологии за проследяване
  • Категоризирай по цел и необходимост
  • Документирай целите и срока на съхранение на бисквитките
  • Осигури спазване на сигналите за съгласие от скриптовете
  • Внедри синхронизация на съгласието за поддомейни

Източници и препратки

[1]
Директива 2002/58/ЕО относно поверителността в електронните съобщения. EUR-Lex: Директива за електронната поверителност
[2]
Член 5(3), изменен с Директива 2009/136/ЕО. GDPR.eu: Закон за бисквитките
[3]
Предложение на Европейската комисия за Digital Omnibus, ноември 2025 г. ЕК: Digital Omnibus