GDPR бисквитки (cookies) — какво изисква законът и как да приложите правилно consent
Съгласието за бисквитки (cookie consent) е изрично, информирано и свободно дадено разрешение от потребителя за поставяне на бисквитки на неговото устройство, изискуемо от ePrivacy Директивата (2002/58/ЕО) и GDPR. Съгласно решението на Съда на ЕС по дело Planet49 (C-673/17), предварително маркирани отметки и продължаване на сърфирането не представляват валидно съгласие. Нарушенията могат да доведат до глоби до 20 милиона евро.
Съдържание
- Какво казва законът — ePrivacy + GDPR
- Дело Planet49 (C-673/17) — ключовото решение
- Категории бисквитки
- Правилният cookie consent банер
- България и ePrivacy — конфликтът
- Cookie walls — допустими ли са?
- Google Consent Mode v2
- Как да направите cookie одит
- Глоби в ЕС за cookie нарушения
- Често задавани въпроси
Какво казва законът — ePrivacy Директива + GDPR
Регулацията на бисквитките се определя от два основни правни акта, които работят в тандем:
ePrivacy Директива (2002/58/ЕО), чл. 5(3) — установява основното правило: съхраняването на информация или получаването на достъп до информация, съхранена в крайното оборудване на потребителя (т.е. бисквитки), е разрешено само с предварително съгласие на потребителя, след като е получил ясна и изчерпателна информация.
GDPR (Регламент 2016/679) — дефинира какво означава „валидно съгласие" (чл. 4, т. 11): свободно дадено, конкретно, информирано и недвусмислено указание, чрез изявление или ясно потвърждаващо действие.
ePrivacy е lex specialis спрямо GDPR
ePrivacy Директивата е специален закон по отношение на бисквитките. Тя определя кога е нужно съгласие (за всички бисквитки освен изключенията). GDPR определя как трябва да изглежда това съгласие (стандарт за валидност). Двата акта се допълват — ePrivacy не замества GDPR, а го конкретизира за електронните комуникации.
Двете изключения от изискването за съгласие:
- Технически необходими за пренос на съобщение — бисквитки, без които комуникацията по мрежата не може да се осъществи (напр. load balancing cookies)
- Строго необходими за услуга, изрично поискана от потребителя — бисквитки за кошница за пазаруване, сесийни бисквитки за вход, бисквитки за запомняне на consent избора. Ключовото е: услугата трябва да е изрично поискана от потребителя.
Всичко останало — аналитични, функционални, маркетингови, рекламни бисквитки — изисква предварително, активно съгласие.
Дело Planet49 (C-673/17) — ключовото решение на Съда на ЕС
На 1 октомври 2019 г. Съдът на Европейския съюз постанови решение по дело C-673/17 (Planet49), което окончателно изясни стандарта за cookie consent в целия ЕС.
Planet49 — ключови изводи
1. Предварително отметнатите кутийки не са валидно съгласие. Съдът постанови, че съгласие, дадено чрез предварително отметнато квадратче (pre-ticked checkbox), което потребителят трябва да премахне, за да откаже — не представлява активно действие и следователно не е валидно.
2. Изисква се активен opt-in. Потребителят трябва да извърши ясно утвърдително действие — кликване върху неотметнато квадратче, плъзгач или подобен елемент.
3. Задължително разкриване на информация за продължителност. Потребителят трябва да бъде информиран за срока на съхранение (lifetime) на всяка бисквитка.
4. Разкриване на достъп от трети лица. Ако трети страни имат достъп до информацията от бисквитките, това трябва да бъде изрично посочено.
5. Правилата важат дори за не-лични данни. ePrivacy чл. 5(3) защитава крайното устройство, независимо дали съхраняваната информация представлява „лични данни" по смисъла на GDPR.
Категории бисквитки
Индустриалният стандарт (възприет от IAB Europe Transparency & Consent Framework и повечето consent платформи) класифицира бисквитките в четири основни категории:
| Категория | Consent | Правно основание | Примери |
|---|---|---|---|
| Строго необходими | Не е нужен | ePrivacy чл. 5(3), изкл. 2 | Сесийна бисквитка, кошница за пазаруване, CSRF token, cookie consent запис, load balancer |
| Функционални | Изисква се | GDPR чл. 6(1)(а) | Език, регион, потребителски предпочитания за визуализация, чат виджет, запомнено потребителско име |
| Аналитични / Статистически | Изисква се | GDPR чл. 6(1)(а) | Google Analytics (_ga, _gid), Hotjar, Matomo, Microsoft Clarity, Yandex Metrica |
| Маркетингови / Tracking | Изисква се | GDPR чл. 6(1)(а) | Facebook Pixel (_fbp), Google Ads (IDE, _gcl_au), LinkedIn Insight Tag, TikTok Pixel, remarketing cookies |
Внимание: „функционални" не означава „необходими"
Често срещана грешка е класифицирането на бисквитки като „строго необходими", когато всъщност са „функционални". Бисквитка за запомняне на езикови предпочитания подобрява потребителското изживяване, но сайтът може да функционира и без нея. Тестът е прост: може ли потребителят да използва основната услуга без тази бисквитка? Ако да — тя не е „строго необходима" и изисква consent.
Правилният cookie consent банер
Съгласно EDPB Cookie Banner Taskforce Report (януари 2023) и Guidelines 05/2020 за съгласие, cookie consent банерът трябва да отговаря на следните изисквания:
Чеклист за правилен cookie банер:
- „Отказ на всички" = „Приемам всички" — бутонът за отказ трябва да е еднакво видим и достъпен като бутона за приемане. На същия слой (layer), със сравнимо визуално оформление.
- Гранулярен контрол — потребителят трябва да може да избира по категории (необходими, функционални, аналитични, маркетингови), а не само „всичко или нищо".
- Без предварително отметнати кутийки — нито една категория (освен строго необходимите) не трябва да бъде отметната по подразбиране.
- Без deceptive design / dark patterns — забранени са: скрит бутон за отказ, объркващи цветове (зелен „Приемам" / сив „Настройки"), многократни prompt-ове, nudging чрез формулировки като „Ще ви е мъчно без бисквитки".
- Скриптовете не се зареждат преди consent — Google Analytics, Facebook Pixel и всички неосновни скриптове трябва да се активират СЛЕД получаване на съгласие. Техническата имплементация е ключова.
- Лесно оттегляне на съгласието — потребителят трябва да може да промени или оттегли съгласието си по всяко време, толкова лесно, колкото го е дал. Обикновено чрез постоянен линк „Настройки на бисквитките" в footer-а.
- Информиране преди consent — банерът трябва да съдържа или да линква към информация за: какви бисквитки се използват, за какви цели, колко дълго се съхраняват и кои трети лица имат достъп.
- Документиране на съгласието — съгласно GDPR чл. 7(1), администраторът трябва да може да докаже, че субектът е дал съгласие. Записвайте: timestamp, IP (или хеш), версия на consent конфигурацията, избраните категории.
Практически съвет
Използвайте двуслоен подход: първи слой (банерът) съдържа кратко обобщение + бутони „Приемам всички" / „Отказвам всички" / „Настройки". Вторият слой (при клик на „Настройки") показва детайлна информация по категории с toggle бутони. Така спазвате и изискването за гранулярност, и за удобство.
България и ePrivacy — конфликтът
Внимание: противоречие в българското законодателство
Българският Закон за електронната търговия (ЗЕТ), чл. 4, ал. 1, т. 2 транспонира ePrivacy Директивата, но възприема по-мекия opt-out режим: достатъчно е доставчикът на услуги да предостави на потребителя „възможност да откаже съхраняването или достъпа" до бисквитките. Това означава, че по българския закон информационен банер с бутон „Разбирам" формално е достатъчен.
НО: GDPR (Регламент 2016/679) се прилага директно във всички държави членки, без нужда от транспониране. Съдът на ЕС в Planet49 изрично потвърди, че стандартът за consent по чл. 5(3) от ePrivacy трябва да се тълкува в светлината на GDPR чл. 4(11) — т.е. изисква се активен opt-in.
Решенията на Съда на ЕС са задължителни за всички национални съдилища и регулатори, включително КЗЛД. Следователно, дори ЗЕТ да допуска opt-out, прилагането на GDPR стандарта (opt-in) е задължително.
Препоръка: Винаги прилагайте по-строгия стандарт — активен opt-in за всички неосновни бисквитки. Не разчитайте на по-мекия ЗЕТ текст.
Cookie walls — допустими ли са?
Cookie wall е механизъм, при който достъпът до уебсайт е блокиран, ако потребителят откаже да приеме бисквитки. Казано по-просто: „Приеми бисквитките или си тръгни."
Позицията на ЕКЗД (EDPB) е ясна: cookie walls като общо правило не са допустими, защото правят съгласието принудително. Съгласно GDPR чл. 7(4), при преценка дали съгласието е дадено свободно, се взема предвид дали изпълнението на договор (или достъпът до услуга) е обвързано с даване на съгласие за обработка, която не е необходима за изпълнението.
„Consent or Pay" моделът
През 2024 г. някои големи медии (включително Meta) предложиха модел „приеми бисквитките или плати за достъп без реклами". ЕКЗД се произнесе с Opinion 08/2024:
- Платените алтернативи не трябва автоматично да легитимират consent за tracking — платформите трябва да предложат и еквивалентна безплатна алтернатива без tracking (напр. контекстуална реклама вместо поведенческа)
- Цената на платената алтернатива не трябва да е прекомерна, така че на практика да принуждава потребителя да приеме tracking
- Големите онлайн платформи (по смисъла на DSA) са под по-строг контрол заради пазарната им сила
Практически извод
За повечето бизнес уебсайтове cookie walls са неприемливо решение. Ако потребителят откаже бисквитки, сайтът трябва да остане достъпен — просто без аналитични и маркетингови функции. Ако управлявате медийно съдържание и обмисляте „consent or pay" модел, консултирайте се с адвокат преди имплементация.
Google Consent Mode v2
От март 2024 г. Google изисква имплементация на Google Consent Mode v2 за всички рекламодатели в ЕИП, които искат да използват персонализирана реклама и ремаркетинг в Google Ads. Разбирането на двата режима е критично за GDPR съответствието.
| Характеристика | Basic Mode | Advanced Mode |
|---|---|---|
| Поведение при отказ на consent | Google таговете не се зареждат изобщо | Google таговете се зареждат, но изпращат cookieless pings (без бисквитки) |
| Данни без consent | Нулеви — няма скрипт, няма данни | Изпращат се анонимизирани сигнали: timestamp, user agent, referrer, consent state |
| Моделиране на конверсии | Ограничено (по-малко данни) | Google използва cookieless pings за статистическо моделиране |
| GDPR съответствие | Високо — няма обработка без consent | Спорно — данни се изпращат към Google без съгласие |
| Рекламна ефективност | По-ниска (липсват данни за моделиране) | По-висока (повече данни за Machine Learning) |
Внимание: Advanced Mode е правно спорен
При Advanced Mode, дори когато потребителят е отказал consent, Google таговете все пак се зареждат и изпращат cookieless pings към сървърите на Google. Тези pings съдържат информация (user agent, timestamp, IP адрес в съкратен вид), която потенциално представлява лични данни.
Няколко европейски надзорни органа (включително Datatilsynet в Дания) са изразили опасения. Аргументът „данните са анонимизирани" е оспорим, тъй като Google има техническата способност да ре-идентифицира потребители чрез комбинация от сигнали.
Препоръка: Ако искате максимална правна сигурност, използвайте Basic Mode. Ако изберете Advanced Mode, документирайте решението си, включете го в DPIA и бъдете готови да обосновете избора си пред регулатор.
Как да направите cookie одит
Cookie одитът е систематичен процес за идентифициране, категоризиране и документиране на всички бисквитки и подобни технологии за проследяване на вашия уебсайт. Ето 5 стъпки:
Сканиране на сайта
Използвайте специализиран инструмент за автоматично сканиране на всички страници. Инструменти: CookieYes (безплатно до 100 стр.), Cookiebot (до 500 стр. безплатно), OneTrust Cookie Compliance. Сканирайте целия сайт, включително checkout, login pages и landing pages.
Категоризиране
Класифицирайте всяка бисквитка в правилната категория: строго необходима, функционална, аналитична или маркетингова. Проверете всяка бисквитка ръчно — автоматичните класификации не винаги са точни. Документирайте: име, домейн, срок, тип (first/third-party), цел.
Документиране
Създайте подробна политика за бисквитки (cookie policy), която описва всяка бисквитка: име, доставчик, цел, срок на съхранение, тип данни, трети страни с достъп. Тази политика трябва да е достъпна от cookie банера и от footer-а.
Имплементиране на consent
Настройте Consent Management Platform (CMP) съгласно чеклиста по-горе. Уверете се, че скриптовете са блокирани преди consent (чрез tag manager или native blocking). Тествайте: отворете DevTools > Application > Cookies — при отказ не трябва да има аналитични/маркетингови бисквитки.
Регулярен ре-одит
Бисквитките на сайта се променят — нови плъгини, обновления, маркетингови инструменти. Планирайте ре-одит на всеки 6 месеца и при всяка значима промяна. Документирайте датата, резултатите и направените корекции. Това е част от изискването за отчетност (accountability) по чл. 5(2) от GDPR.
Глоби в ЕС за cookie нарушения
Европейските надзорни органи вече налагат значителни глоби за неправилно използване на бисквитки. Ето най-големите случаи:
Google (Criteo/Ads)
CNIL, Франция, 2025 г. — липса на валиден consent за рекламни бисквитки и tracking
Google (Google.fr)
CNIL, Франция, 2022 г. — „Reject All" не е еднакво достъпен; изискваше повече кликове от „Accept All"
Facebook (Meta)
CNIL, Франция, 2022 г. — липса на лесен механизъм за отказ на бисквитки
Amazon (amazon.fr)
CNIL, Франция, 2020 г. — поставяне на рекламни бисквитки без предварителен consent
България: минимални глоби, но нарастващ риск
Българският Закон за електронната търговия (ЗЕТ) предвижда глоби от 500 до 2 000 лв. за нарушения на чл. 4 (бисквитки). Тези суми са символични. Въпреки това, КЗЛД може да налага санкции по GDPR за нарушения на принципите за съгласие — до 20 милиона евро или 4% от годишния оборот. Практиката на КЗЛД по cookie enforcement е все още ограничена, но тенденцията в ЕС е ясна: регулаторите засилват контрола. Освен това, потребителски организации и NGO-та (като noyb.eu) подават масови жалби срещу сайтове с нарушения на cookie consent.
Често задавани въпроси
Трябва ли ми cookie consent банер, ако използвам само Google Analytics?
Да. Google Analytics поставя аналитични бисквитки (_ga, _gid), които не попадат в изключенията за „строго необходими". Съгласно ePrivacy чл. 5(3) и Planet49, за тях се изисква предварително активно съгласие. Скриптът не трябва да се зарежда преди consent. Прочетете повече за изискванията към онлайн магазините.
Мога ли да използвам cookie wall — достъп само при приемане?
Като общо правило — не. ЕКЗД (EDPB) приема, че cookie walls правят съгласието принудително и несвободно. „Consent or pay" моделите също са спорни (EDPB Opinion 08/2024). За повечето бизнеси cookie walls са неприемливо решение.
Какво е Google Consent Mode v2 и задължителен ли е?
Google Consent Mode v2 е технология, която позволява на Google тагове да работят по различен начин в зависимост от consent статуса. Не е правно задължителен по GDPR, но Google го изисква за персонализирана реклама в ЕИП от март 2024 г. Advanced mode (cookieless pings без consent) е правно спорен.
Колко често трябва да правя cookie одит?
Препоръчително е поне веднъж на 6 месеца, както и при всяка значима промяна — нови плъгини, маркетингови инструменти, ребрандиране. Документирайте резултатите за отчетност по чл. 5(2) от GDPR. Вижте нашето ръководство за GDPR одит.
Какви са глобите за неправилен cookie consent в България?
ЗЕТ предвижда 500–2 000 лв. за нарушения на чл. 4. Но КЗЛД може да налага глоби по GDPR до 20 милиона евро или 4% от оборота за нарушения на принципите за съгласие. Тенденцията в ЕС е ясна: глобите растат, а NGO-та като noyb.eu подават масови жалби.
Тази статия отразява правното положение към 17 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретен правен съвет, моля свържете се с нас.
Нуждаете се от помощ с cookie consent?
Нашият екип от юристи и IT специалисти може да извърши пълен cookie одит на вашия сайт и да имплементира правилно consent решение.
- Пълен cookie одит — сканиране, категоризиране, документиране
- Имплементация на cookie consent банер (CookieYes, Cookiebot, OneTrust)
- Изготвяне на политика за бисквитки (cookie policy)
- Настройка на Google Consent Mode v2 (Basic или Advanced)
- Регулярен ре-одит и поддръжка
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.