Rozdziały 02 Obowiązuje od: 2002 (zmieniona w 2009)

Dyrektywa ePrivacy

Dyrektywa o prywatności i łączności elektronicznej

Przegląd

Dyrektywa ePrivacy (ePD), często nazywana „prawem cookie”, uzupełnia RODO, dostarczając szczegółowe zasady dotyczące prywatności w komunikacji elektronicznej. Obejmuje poufność komunikacji, użycie technologii śledzących oraz marketing bezpośredni.[1]

Jako dyrektywa, jej wdrożenie różni się w poszczególnych państwach członkowskich. Proponowane rozporządzenie ePrivacy zostało oficjalnie wycofane w lutym 2025 roku, co oznacza, że obowiązującym prawem pozostaje Dyrektywa.

Relacja z RODO

  • ePD jest lex specialis: Ma pierwszeństwo przed RODO w zakresie komunikacji elektronicznej
  • Zasady RODO mają zastosowanie: Zgoda według ePD musi spełniać standardy RODO
  • Wspólne egzekwowanie: Oba zestawy zasad są egzekwowane przez organy ochrony danych

Kluczowe wymagania

Zgoda na pliki cookie (artykuł 5(3))[2]

Zgoda jest wymagana przed umieszczeniem lub uzyskaniem dostępu do informacji na urządzeniu użytkownika:

Typ pliku cookieCzy wymagana jest zgoda?
Ściśle niezbędneNie (zwolnione)
Preferencje/funkcjonalnośćTak
Analityka/statystykiTak (w niektórych jurysdykcjach dopuszczalne zwolnienia)
ReklamaTak
Śledzenie stron trzecichTak

Wymagania dotyczące zgody

Ważna zgoda musi być:

  • Wcześniejsza: Uzyskana przed ustawieniem plików cookie
  • Dobrowolna: Rzeczywisty wybór bez negatywnych konsekwencji za odmowę
  • Konkretnie określona: Jasna co do celów i typów plików cookie
  • Świadoma: Użytkownicy rozumieją, jakie dane są zbierane
  • Jednoznaczna: Wymagana wyraźna, pozytywna akcja
  • Możliwa do wycofania: Użytkownicy mogą łatwo zmienić preferencje

Najlepsze praktyki banerów cookie

Co robićCzego nie robić
Zapewnij szczegółowe opcje wyboruNie zaznaczaj domyślnie zgody
Uczyń przycisk „Odrzuć wszystko” równie widocznymNie ukrywaj opcji odrzucenia za wieloma kliknięciami
Przechowuj dowód zgodyNie ustawiaj plików cookie przed uzyskaniem zgody
Umożliw łatwe wycofanie zgodyNie utrudniaj wycofania zgody bardziej niż jej udzielenia
Używaj jasnego, prostego językaUnikaj żargonu technicznego

Poufność komunikacji (artykuł 5)

  • Zakaz przechwytywania i nadzoru
  • Dozwolone techniczne przechowywanie niezbędne do transmisji
  • Zawartość i metadane chronione jednakowo

Marketing bezpośredni (artykuł 13)

TypWymaganie
Marketing e-mail/SMSWymagana wcześniejsza zgoda opt-in
Istniejący klienciŁagodna zgoda opt-in na podobne produkty (z łatwą rezygnacją)
Marketing B2BZasady różnią się w państwach członkowskich

Niechciane komunikaty

  • Tożsamość nadawcy nie może być ukrywana
  • Wymagany ważny mechanizm rezygnacji
  • Należy respektować krajowe rejestry „nie dzwoń”

Proponowane zmiany Digital Omnibus (2025)

Komisja Europejska zaproponowała uproszczenie zasad dotyczących plików cookie w ramach pakietu „Digital Omnibus”:[3]

  • Przeniesienie niektórych przepisów ePD do RODO
  • Rozszerzenie zwolnień dla plików cookie analitycznych i bezpieczeństwa
  • Umożliwienie scentralizowanych sygnałów zgody w celu zmniejszenia „zmęczenia zgodą”

Uwaga: Propozycje te nie zostały jeszcze przyjęte. Obowiązujące wymagania ePD pozostają w mocy.

Przykłady egzekwowania

OrganPodmiotGrzywnaPowód
CNIL (Francja)Google150 mln €naruszenia zgody na pliki cookie
CNIL (Francja)Facebook60 mln €utrudnione odrzucanie plików cookie
ICO (Wielka Brytania)WieluOstrzeżeniaukryte przyciski odrzucenia
AEPD (Hiszpania)Różni10 tys. - 100 tys. €nieprawidłowe zbieranie zgody

Lista kontrolna dla deweloperów

Baner zgody na pliki cookie

  • Uzyskaj zgodę przed ustawieniem plików cookie nieistotnych
  • Zapewnij szczegółową kontrolę kategorii
  • Uczyń przycisk „Odrzuć wszystko” równie dostępnym
  • Przechowuj i oznaczaj czasem zapisy zgody
  • Umożliw łatwe wycofanie zgody
  • Blokuj skrypty stron trzecich do czasu uzyskania zgody

Wymagania techniczne

  • Przeprowadź audyt wszystkich plików cookie i technologii śledzących
  • Kategoryzuj według celu i konieczności
  • Dokumentuj cele i okres przechowywania plików cookie
  • Zadbaj, aby skrypty respektowały sygnały zgody
  • Wdroż synchronizację zgody dla subdomen

Źródła i odniesienia

[1]
Dyrektywa 2002/58/WE dotycząca prywatności w komunikacji elektronicznej. EUR-Lex: Dyrektywa ePrivacy
[2]
Artykuł 5(3) zmieniony dyrektywą 2009/136/WE. GDPR.eu: Prawo cookie
[3]
Propozycja Digital Omnibus Komisji Europejskiej, listopad 2025. KE: Digital Omnibus