Privacy Statnive Live · Parhum Khoshbakht

کشور‌به‌کشور: نقشه‌ای کاربردی از قواعدِ آنالیتیکسِ بدون‌کوکیِ اتحادیه اروپا در 2026

یک جدول، یازده حوزهٔ قضایی، یک پاسخِ صریح برای هر خانه. اینکه هر نهاد ناظرِ اتحادیه اروپا (و بریتانیا) امروز دربارهٔ آنالیتیکسِ بدون رضایت چه می‌گوید — به‌همراه ارجاعات.

این پژوهشی در حوزه‌ی حریم خصوصی است، نه مشاوره‌ی حقوقی. برای متن کامل سلب مسئولیت، پاورقی را ببینید.

خلاصه

  • یازده حوزهٔ قضایی، چهار ردهٔ سیگنالِ اجرا، دو لنگرگاه. فرانسه سهل‌گیرترین برای گرداننده است (استثنای Sheet 16)؛ آلمان سخت‌گیرترین (بدون استثنا، فقط سمت‌سرور).
  • برای آلمان پیکربندی کنید؛ بقیه‌ی اتحادیه اروپا روی همان سوار می‌شود. پیکربندی‌ای که مادهٔ § 25 TDDDG را تاب بیاورد، بنا به ساختار Sheet 16 فرانسه، دستورالعمل‌های 2021 نهاد Garante ایتالیا، راهنمای AEPD اسپانیا و موضعِ AP هلند را هم تاب می‌آورد.
  • اجرا در 2026 شدیدتر می‌شود، نه آرام‌تر — Garante ایتالیا: بیش از 40 بازرسی در نیمهٔ اولِ 2026 با پشتیبانیِ Guardia di Finanza؛ AP هلند: پایشِ 10,000 سایت در سال + بازطبقه‌بندیِ ردیابیِ آنلاین به «نظارتِ انبوه»؛ CNIL: 475 میلیون یورو جریمهٔ کوکیِ ثبت‌شده.
  • سطلِ OTHER-EU به‌طورِ پیش‌فرض از سخت‌گیرانه‌ترین مبنا پیروی می‌کند. گردانندگانی که ترافیکشان از کشورهای عضوِ مدل‌نشده می‌آید، معماریِ هم‌ترازِ آلمان را مستقر می‌کنند و به چارچوبِ «عدمِ فعال‌سازیِ مادهٔ 5(3)» تکیه می‌کنند.
  • خانهٔ IR / OTHER-NON-EU قابلِ‌پیکربندی است، نه دارای گواهی. Statnive ادعای انطباق با PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA را به‌صورتِ آماده نمی‌کند — این‌ها پیکربندی‌های مختصِ گرداننده‌اند که بازبینیِ مشاورِ حقوقیِ محلی را لازم دارند.

چطور این نقشه را بخوانیم

موضعِ 2026 اتحادیه اروپا و بریتانیا دربارهٔ آنالیتیکسِ بدون رضایت یک قاعدهٔ واحد نیست، بلکه چهل‌تکه است — یازده حوزهٔ قضایی با یازده روشِ متفاوتِ تفسیرِ همان دستورالعملِ ePrivacy و GDPR زیربنایی. این پست، مرجعِ گرداننده است. یک سطر برای هر حوزهٔ قضایی، یک ستون برای هر لایهٔ نظارتی، یک پاسخِ صریح برای هر خانه. پست‌های همراهِ این مجموعه — راهنمای عملیِ ستونی، بررسیِ عمیقِ Sheet 16 نهاد CNIL فرانسه، بررسیِ عمیقِ مادهٔ § 25 TDDDG آلمان، پستِ نقطهٔ پایانیِ DSAR، پستِ GPC و حالتِ ترکیبی، و زاویهٔ خبریِ Digital Omnibus — جزئیاتی را پوشش می‌دهند که این نقشه در یک خط فشرده‌شان می‌کند.

پیش از جدول، یادآوریِ قاعدهٔ دولایه. مادهٔ 5(3) ePrivacy بر ذخیره و دسترسیِ روی تجهیزاتِ پایانه حاکم است. مادهٔ 6 GDPR بر مبنای قانونیِ هر پردازشِ بعدیِ دادهٔ شخصی. این دو لایه روی هم سوار می‌شوند، جایگزینِ هم نمی‌شوند. طبقِ نظرِ 5/2019 نهاد EDPB و آن‌گونه که راهنمای آوریلِ 2026 نهاد ICO بریتانیا دربارهٔ فناوری‌های ذخیره و دسترسی دوباره تأیید کرد، مادهٔ 5(3) ePrivacy نسبت به GDPR برای هر ذخیره یا دسترسیِ روی تجهیزاتِ پایانه، قانونِ خاص (lex specialis) است. منافعِ مشروعِ مادهٔ 6(1)(f) GDPR نمی‌تواند جایگزینِ رضایتِ مادهٔ 5(3) ePrivacy شود.

بنابراین موضعِ هر حوزهٔ قضایی دربارهٔ آنالیتیکسِ بدون رضایت، حاصلِ این‌هاست: (الف) اینکه آن کشورِ عضو مادهٔ 5(3) ePrivacy را چگونه به قانونِ ملی برگردانده، (ب) اینکه آیا نهاد ناظرِ ملی تفسیرِ مشخصی از استثنای اندازه‌گیری مخاطب منتشر کرده، و (ج) سابقهٔ اجراییِ نهاد ناظر که نشان می‌دهد این موضع در عمل چقدر سخت‌گیرانه حفظ می‌شود.

نقشه

حوزهٔ قضاییاجرای ملیِ ePrivacyاستثنای اندازه‌گیری مخاطبسقفِ جریمهسیگنالِ اجرا
فرانسه (CNIL)مادهٔ 82 قانونِ 78-17بلهSheet n°16 + خودارزیابیِ 4 ژوئیه 2025 + توصیه‌نامهٔ یکپارچهٔ کوکیِ 16 ژانویه 2026تا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR)475 میلیون یورو جریمهٔ کوکی در 2020 تا 2025؛ جریمهٔ 3.5 میلیون یورویی منتشرشده در 22 ژانویه 2026 (هماهنگ با 16 نهاد ناظرِ اروپایی)؛ برنامهٔ ارزیابیِ قدیمی در 1 ژانویه 2026 بازنشسته شد — رژیمِ خودارزیابی عملیاتی است
آلمان (DSK)مادهٔ § 25 TDDDGخیر300 هزار یورو طبقِ § 28(1) شمارهٔ 13؛ جریمه‌های GDPR به‌موازاتراهنماییِ نسخهٔ 1.2 نوامبر 2024 نهاد DSK: منافعِ مشروع جایگزینِ مادهٔ § 25 نمی‌شود
ایتالیا (Garante)DLgs. 196/2003 مادهٔ 122بله — دستورالعمل‌های کوکیِ 10 ژوئن 2021 (لازم‌الاجرا از 10 ژانویه 2022)تا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR)تصمیمِ 9 ژوئن 2022 در پروندهٔ Caffeina Media که انتقالِ GA از اتحادیه اروپا به آمریکا را ممنوع کرد؛ برنامهٔ بازرسیِ 2026: بیش از 40 بازرسیِ هدفمند در نیمهٔ اولِ 2026 با پشتیبانیِ Guardia di Finanza؛ ایتالیا از نظرِ شمارِ اجرا، دومِ اتحادیه اروپاست
اسپانیا (AEPD)مادهٔ 22.2 LSSI + LOPD-GDDبله — راهنمای اندازه‌گیری مخاطب (2024)جریمه‌های 30 هزار یورویی کوکی (LOPD-GDD)؛ جریمه‌های GDPR برای دادهٔ شخصیراهنمای کوکی در ژوئیه 2023 به‌روز شد، اجرا از 11 ژانویه 2024
هلند (AP)مادهٔ 11.7a قانونِ Telecommunicatiewetبله"Analytical cookies … do not require consent if they are used solely for counting visitors"900 هزار یورو یا 1 تا 10% گردشِ مالی (مادهٔ 15.4 قانونِ مخابرات)AP سالانه 10,000 سایت را به‌صورتِ خودکار پایش می‌کند؛ اولویت‌های راهبردیِ 2026 تا 2028 ردیابیِ آنلاین را «نظارتِ انبوه» بازطبقه‌بندی می‌کنند؛ جریمهٔ 600 هزار یورویی Kruidvat در 16 ژوئیه 2024؛ دورِ هشدار به 50 سازمان در آوریل 2025
بلژیک (APD)قانونِ 13 ژوئن 2005خیر"audience measuring cookies are not exempt from the consent requirement under the current legal framework"تا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR)تصمیمِ 85/2022، جریمهٔ 50 هزار یورویی علیه Roularta Media Group؛ برنامهٔ راهبردیِ 2026 تا 2028 نهاد APD/GBA: چرخش به اجرای فعالانه و گسترده
ایرلند (DPC)SI 336/2011استثنای منتشرشده‌ای نداردتا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR)یادداشتِ راهنماییِ 2020 با راهنماهای 5/2020 نهاد EDPB هم‌راستاست
بریتانیا (ICO)PECR 2003 (با اصلاحِ DUAA 2025)خیر — «اولویتِ اجراییِ پایین» برای آنالیتیکسِ اول‌شخص و کم‌تهاجم17.5 میلیون پوند یا 4% گردشِ مالیِ جهانیراهنمای فناوری‌های ذخیره و دسترسیِ ICO در 29 آوریل 2026
اتریش (DSB)TKG 2021 § 165استثنای مستقلی نداردتا 4% گردشِ مالیِ جهانی (مادهٔ 83 GDPR)تصمیمِ NetDoktor در 22 دسامبر 2021 (پروندهٔ 2021-0.586.257، D155.027)
OTHER-EU (19 کشور عضوِ باقی‌مانده)اجراهای ملیِ 2002/58/ECترکیبی — یادداشت‌ها را ببینیدمختصِ کشورِ عضوگرداننده باید راهنماییِ مشخصِ نهاد ناظرِ ملی را بررسی کند
OTHER-NON-EU (شاملِ IR)قانونِ ملی اعمال می‌شودهیچ استثنای اتحادیه اروپا اعمال نمی‌شودمختصِ کشورِ عضوگرداننده باید با مشاورِ حقوقیِ محلی مشورت کند

این نقشه جزئیاتِ زیادی را در خانه‌های واحد فشرده می‌کند. بخش‌های باقیماندهٔ این پست هر سطر را باز می‌کنند و توضیح می‌دهند که گرداننده‌ای که در آن حوزهٔ قضایی مستقر می‌شود چه باید بکند.

فرانسه — سهل‌گیرترین نهاد ناظرِ اتحادیه اروپا

Sheet n°16 نهاد CNIL، با به‌روزرسانیِ خودارزیابیِ 4 ژوئیه 2025 و مهلتِ انطباقِ 1 ژانویه 2026، رو‌به‌گرداننده‌ترین استثنای اندازه‌گیری مخاطب در اتحادیه اروپاست. شرایط، انباشتی و باریک‌اند: دامنهٔ تک‌سایت، حداکثر سه نوع رویداد (حضور در صفحه، تعامل با امکانات، زمان‌بندی)، حذفِ آخرین اوکتتِ IPv4، کاهشِ User-Agent به نسخه‌های اصلی، ارجاع‌دهندهٔ فقط-میزبان، بدون بازپخشِ نشست، بدون شناسهٔ میان‌دامنه، عمرِ 13 ماههٔ ردیاب، نگهداریِ 25 ماههٔ داده، و گرد کردنِ تجمیع‌ها به نزدیک‌ترین مضربِ 10.

سابقهٔ اجراییِ CNIL پر است از پرونده‌های تجربه‌ی کاربریِ رضایتِ کوکی. 100 میلیون یورو علیه Google (دسامبر 2020)، 150 میلیون یورو علیه Google + 60 میلیون یورو علیه Facebook (ژانویه 2022)، 325 میلیون یورو علیه Google + 150 میلیون یورو علیه Shein (1 سپتامبر 2025). همگی بابتِ نقصِ تجربه‌ی کاربریِ بنرِ رضایت، نه زنجیرهٔ تبلیغاتِ پایین‌دست.

برنامهٔ ارزیابیِ قدیمی — مسیرِ پیش از 2026 که در آن CNIL ابزارهای آنالیتیکسِ مشخص را ارزیابی و فهرست می‌کرد — در 1 ژانویه 2026 بازنشسته می‌شود. جایگزینِ آن، خودارزیابیِ گرداننده است: ارائه‌دهنده یک گواهیِ تاریخ‌دار با عباراتِ توصیه‌شدهٔ CNIL منتشر می‌کند، و گرداننده‌ای که ابزار را مستقر می‌کند، پیکربندیِ خود را در برابرِ شرایطِ Sheet 16 مستند می‌کند.

برای مرورِ کاملِ Sheet 16 و پیکربندیِ Statnive Live که واجدِ شرایط می‌شود، بررسیِ عمیقِ CNIL را ببینید.

آلمان — قیدِ تعیین‌کننده

مادهٔ § 25 TDDDG منافعِ مشروع را به‌عنوان مبنایی برای ذخیره یا دسترسیِ روی تجهیزاتِ پایانه می‌بندد. Orientierungshilfe نهاد Datenschutzkonferenz مورخِ 20 نوامبر 2024 (نسخهٔ 1.2) صریح است: یک LIA مادهٔ 6(1)(f) لایهٔ پردازشِ GDPR را پوشش می‌دهد، اما استثنای مادهٔ § 25 را باز نمی‌کند. جریمه‌ها تا 300 هزار یورو برای هر تخلف طبقِ § 28(1) شمارهٔ 13؛ جریمه‌های GDPR طبقِ مادهٔ 83 به‌موازات.

تنها معماریِ بدون رضایت در آلمان، معماری‌ای است که در آن هیچ ذخیره یا دسترسیِ روی تجهیزاتِ پایانه رخ نمی‌دهد — پردازشِ کاملاً سمت‌سرورِ دادهٔ درخواستِ HTTP که مرورگر به‌طور پیش‌فرض می‌فرستد. یک LIA مستند باز هم باید برای لایهٔ پردازشِ GDPR روی آن وجود داشته باشد.

برای تحلیلِ کاملِ TDDDG، متنِ عینیِ مادهٔ § 25، بلوکِ آلمانیِ سیاستِ حریم خصوصی و اعتبارسنجِ قاعدهٔ سختِ Statnive Live که مانعِ استقرارهای permissive در آلمان می‌شود، بررسیِ عمیقِ TDDDG را ببینید.

ایتالیا — دستورالعمل‌های کوکیِ 2021 نهاد Garante

دستورالعمل‌های کوکیِ 10 ژوئن 2021 نهاد Garante ایتالیا (لازم‌الاجرا از 10 ژانویه 2022) یک استثنای کوکیِ تحلیلی را در جایی به رسمیت می‌شناسند که چهار شرط به‌طورِ انباشتی برآورده شوند:

  1. شناساییِ مستقیمِ بازدیدکننده ناممکن باشد.
  2. کوکی طوری ساخته شده باشد که همان کوکی بتواند به چند دستگاه مربوط شود (با پوشاندنِ دستِ‌کم آخرین اوکتتِ IPv4 یا کوتاه‌سازیِ مشابهِ IPv6).
  3. کوکی‌ها صرفاً برای آمارِ تجمیعیِ تک‌سایت به کار روند.
  4. بدون ترکیب با داده‌های دیگر و بدون انتقال به اشخاصِ ثالث.

تصمیمِ شمارهٔ 224 مورخِ 9 ژوئن 2022 نهاد Garante علیه Caffeina Media استفاده از Google Analytics را به‌دلیلِ انتقالِ غیرقانونی به آمریکا ممنوع کرد. Garante دریافت که قابلیتِ ناشناس‌سازیِ IP در Google در واقع مستعارسازی بود، نه ناشناس‌سازی — یافته‌ای که پیامدهایش بسیار فراتر از Google Analytics، برای هر گرداننده‌ای که به هشِ IP تکیه می‌کند، اهمیت دارد.

Garante صراحت دارد که منافعِ مشروع مبنایی معتبر برای کوکی‌ها و سازوکارهای ردیابی نیست — موضعی سخت‌گیرانه‌تر از CNIL. گردانندگانِ ایتالیایی مسیری باریک‌تر دارند: استثنای کوکی وجود دارد، اما وقتی قاعدهٔ رضایتِ کوکی اعمال شود، نمی‌توان به مادهٔ 6(1)(f) استناد کرد تا از آن گریخت.

یک استقرارِ consent-free با حوزهٔ قضاییِ IT در Statnive Live، چهار شرطِ Garante را بنا به ساختار برآورده می‌کند. معماریِ بدون‌کوکی، تحلیلِ «کوکی در برابرِ غیرکوکی» را به‌کلی دور می‌زند؛ امضای BLAKE3-HMAC با چرخشِ روزانه همان شناسهٔ سازگار با چند‌دستگاهی است که شرطِ (2) نهاد Garante لازم می‌داند.

اسپانیا — راهنمای اندازه‌گیری مخاطبِ AEPD

راهنمای AEPD دربارهٔ استفاده از کوکی‌ها در ژوئیه 2023 به‌روز شد و از 11 ژانویه 2024 اجرا شد. راهنمای پیگیریِ 2024 دربارهٔ کوکی‌های اندازه‌گیری مخاطب از نزدیک با رویکردِ Sheet 16 نهاد CNIL هم‌راستاست: تک‌سایت، آمارِ تجمیعیِ ناشناس، بدون تطبیقِ متقابل، نگهداریِ حداکثر 25 ماه، عمرِ ردیاب درونِ 13 ماه، و اطلاع‌رسانی به کاربر الزامی است.

مادهٔ 22.2 LSSI مبنای زیربنایی است. بیشینهٔ جریمه‌ها برای نقضِ کوکی طبقِ LOPD-GDD به 30 هزار یورو می‌رسد — کمتر از سقفِ مادهٔ 83 GDPR، اما برای لایهٔ پردازشِ دادهٔ شخصی به‌موازاتِ آن اعمال می‌شود.

پیکربندیِ گردانندهٔ اسپانیایی در اساس همان پیکربندیِ گردانندهٔ فرانسوی است، با زبانِ افشای بومی‌شده. یک استقرارِ Statnive Live در حالتِ consent-free با حوزهٔ قضاییِ ES، راهنمای AEPD را بنا به ساختار برآورده می‌کند.

هلند — کوکی‌های تحلیلی به رضایت نیاز ندارند

نهاد Autoriteit Persoonsgegevens هلند صریح است: «کوکی‌های تحلیلی، که دیدی نسبت به عملکردِ یک وب‌سایت می‌دهند، اگر صرفاً برای شمارشِ بازدیدکنندگان به کار روند به رضایت نیاز ندارند.» مبنای حقوقی: مادهٔ 11.7a قانونِ Telecommunicatiewet.

سیگنالِ اجراییِ AP تند است. جریمهٔ 600 هزار یورویی علیه AS Watson (Health & Beauty Continental Europe) B.V.، شرکتِ مادرِ Kruidvat، در 16 ژوئیه 2024 بابتِ کوکی‌های ردیابی بود که بدون رضایت — از جمله با کادرهای رضایتِ ازپیش‌تیک‌خورده — گذاشته شده بودند. بیشینهٔ جریمه‌ها طبقِ مادهٔ 15.4 قانونِ مخابرات به 900 هزار یورو یا 1 تا 10% گردشِ مالی می‌رسد. AP یک سامانهٔ پویشِ خودکار ساخته که به‌طورِ ساختاری سالانه 10,000 وب‌سایتِ هلندی را پایش می‌کند — مقیاسی 20 برابرِ تعهدِ پیشینِ 500 سایت. دولتِ هلند سالانه 500 هزار یورو ویژهٔ اجرای کوکی اختصاص داده، با افزایشِ دائمیِ 350 هزار یورو در سال از 2027. در آوریل 2025، AP به 50 سازمان (خرده‌فروشانِ آنلاین، شرکت‌های رسانه‌ای، بیمه‌گران) دربارهٔ بنرهای گمراه‌کنندهٔ کوکی هشدار داد؛ تا اواخرِ 2025، سه‌چهارمِ بیش از 200 وب‌سایتِ هشداردیده اصلاح کرده بودند. اولویت‌های راهبردیِ 2026 تا 2028 نهاد AP ردیابیِ آنلاین را «نظارتِ انبوه» بازطبقه‌بندی می‌کنند — یک جابه‌جاییِ موضعیِ بزرگ که از تشدیدِ مداومِ اجرا خبر می‌دهد.

هلند در همان خوشهٔ سهل‌گیرِ فرانسه، ایتالیا و اسپانیا روی خودِ استثنای اندازه‌گیری مخاطب می‌نشیند، اما اشتهای اجراییِ AP — به‌ویژه علیه کادرهای ازپیش‌تیک‌خورده و علیه کوکی‌های ردیابی که بدون تحلیلِ استثنا مستقر شده‌اند — از بالاترین‌ها در اتحادیه اروپاست. یک استقرارِ consent-free با حوزهٔ قضاییِ NL پیش‌فرضِ امن است؛ یک استقرارِ consent-required باید یک تجربه‌ی کاربریِ «رد» داشته باشد که به‌اندازهٔ «پذیرش» آسان باشد.

بلژیک — استثنایی به رسمیت شناخته نشده

راهنماییِ یکپارچهٔ کوکیِ آوریل 2020 و چک‌لیستِ کوکیِ 20 اکتبر 2023 نهاد APD/GBA بلژیک، استثنای رضایتِ کوکیِ تحلیلی را به رسمیت نمی‌شناسند: «کوکی‌های اندازه‌گیری مخاطب در چارچوبِ قانونیِ کنونی از الزامِ رضایت معاف نیستند.»

سابقهٔ اجرا: تصمیمِ 85/2022 نهاد APD، Roularta Media Group را بابتِ گذاشتنِ کوکی‌های آماری بدون رضایت 50 هزار یورو جریمه کرد. یک تصمیمِ 2019 یک وب‌سایتِ خبریِ حقوقی را 15 هزار یورو جریمه کرد. هر دو از نظرِ عددِ مطلق کوچک‌تر از سابقهٔ CNIL‌اند، اما نشان می‌دهند که APD لایهٔ کوکی را ممیزی می‌کند و جریمه‌های مشخص تعیین می‌کند.

مسیرِ consent-free گردانندهٔ بلژیکی، همان معماریِ فقط-سمت‌سرور است — همان مبنای آلمان. پیکربندی‌ای که در آلمان تاب می‌آورد در بلژیک هم تاب می‌آورد؛ اما یک پیکربندیِ استثنای اندازه‌گیری مخاطب که برای Sheet 16 تنظیم شده باشد، تاب نمی‌آورد.

ایرلند — استثنایی منتشر نشده

یادداشتِ راهنماییِ 2020 نهاد Data Protection Commission ایرلند دربارهٔ کوکی‌ها و دیگر فناوری‌های ردیابی، برای کوکی‌های غیرضروری رضایتِ پذیرشی (opt-in) را لازم می‌داند و با راهنماهای 5/2020 نهاد EDPB هم‌راستاست. هیچ استثنای منتشرشدهٔ اندازه‌گیری مخاطبی هم‌ارزِ Sheet 16 فرانسه یا موضعِ AP هلند وجود ندارد.

اجرای ایرلندی را بیشتر نقشِ مرجعِ نظارتیِ برون‌مرزیِ DPC برای کنترل‌کنندگانِ بزرگِ بین‌المللیِ مستقر در ایرلند (Meta، Google، TikTok) شکل می‌دهد. برای گردانندگانِ داخلیِ ایرلندی، سیگنالِ اجراییِ مختصِ کوکی آرام‌تر از CNIL، AP یا Garante است. موضعِ پایدار همچنان مبنای فقط-سمت‌سرور است — نبودِ یک استثنای به‌رسمیت‌شناخته‌شده یعنی بارِ اثباتِ هر ادعای «بدون رضایت» بر دوشِ خودِ LIA گرداننده و نبودِ ذخیره/دسترسیِ روی تجهیزاتِ پایانه می‌افتد.

بریتانیا — «اولویتِ اجراییِ پایین» یک استثنای قانونی نیست

نهاد Information Commissioner’s Office بریتانیا راهنمای استفاده از فناوری‌های ذخیره و دسترسی خود را در 29 آوریل 2026 پس از دو مشاوره و قانونِ Data (Use and Access) Act 2025 نهایی کرد. مبنای زیربنایی، PECR (مقرراتِ حریم خصوصی و ارتباطاتِ الکترونیکیِ 2003) با اصلاحِ DUAA 2025 است.

موضعِ عینیِ ICO: «کوکی‌های آنالیتیکس در دامنهٔ استثنای «کاملاً ضروری» قرار نمی‌گیرند. این یعنی باید مردم را از کوکی‌های آنالیتیکس آگاه کنید و برای استفاده‌شان رضایت بگیرید.»

ICO می‌پذیرد که «نمی‌تواند امکانِ اقدامِ رسمی را در هیچ حوزه‌ای رد کند، اما این همیشه آن‌جایی صدق نمی‌کند که گذاشتنِ یک کوکیِ آنالیتیکسِ اول‌شخص به سطحِ پایینی از تهاجم و خطرِ کمِ آسیب به افراد می‌انجامد» — یعنی اولویتِ اجراییِ پایین برای آنالیتیکسِ اول‌شخصِ کم‌تهاجم. این یک استثنای قانونی نیست؛ یک کاهشِ اولویتِ اجرایی است که اعلام شده. گردانندگانِ بریتانیایی اگر بنرِ صفر بخواهند، باز هم باید رضایت را پیاده کنند یا به یک پیکربندیِ کاملاً‌ضروری کوچ کنند.

DUAA 2025 استثناهای باریکی افزود (کوکی‌های امنیتی، احرازِ سن) اما استثنای آنالیتیکس نساخت. بازبینیِ انطباقِ ژانویهٔ 2025 نهاد ICO روی 1,000 وب‌سایتِ برترِ بریتانیا — و مکاتباتِ حاصل با 134 سازمان که انتظاراتِ روشنِ نظارتی را تعیین می‌کرد — تأیید می‌کند که ICO حتی جایی که اجرای رسمی نادر است، این لایه را ممیزی می‌کند.

یک استقرارِ consent-free با حوزهٔ قضاییِ UK بر معماریِ فقط-سمت‌سرور (بدون فعال‌سازیِ PECR، چون هیچ ذخیره/دسترسیِ روی تجهیزاتِ پایانه نیست) به‌علاوهٔ یک LIA مادهٔ 6(1)(f) GDPR تکیه می‌کند. گرداننده از مزیتِ اولویتِ اجراییِ پایینِ ICO بهره می‌برد، اما قطعیتِ حقوقی‌ای را که یک استثنای به‌رسمیت‌شناخته‌شده می‌داد، به دست نمی‌آورد.

اتریش — NetDoktor و خطِ Schrems-II

تصمیمِ NetDoktor مورخِ 22 دسامبر 2021 نهاد Datenschutzbehörde اتریش (پروندهٔ 2021-0.586.257، D155.027) نخستین تصمیمِ هماهنگ‌شده با NOYB بود که دریافت استفادهٔ یک گرداننده از Google Analytics فصلِ پنجمِ GDPR را نقض کرده، چون نشانی‌های IP، شناسه‌های یکتا و پارامترهای مرورگر بدون تضمین‌های کافی به Google در آمریکا منتقل شده بودند. SCCها و تدابیرِ تکمیلیِ Google (از جمله ناشناس‌سازیِ IP) ناکافی دانسته شدند، چون Google ذیلِ 50 USC § 1881(b)(4) (یعنی FISA 702) ارائه‌دهندهٔ خدماتِ ارتباطاتِ الکترونیکی به شمار می‌رود.

هیچ جریمه‌ای اعمال نشد (در آیینِ دادرسیِ اتریش، یافته و هر جریمهٔ بعدی از هم جدایند)، اما این تصمیم رویه‌ای ساخت که تصمیم‌های بعدیِ CNIL (10 فوریه 2022) و Garante (9 ژوئن 2022، Caffeina Media) آن را بسط دادند.

اتریش استثنای مستقلِ اندازه‌گیری مخاطبی هم‌ارزِ Sheet 16 فرانسه ندارد. مسیرِ بدون رضایتِ گردانندهٔ اتریشی، معماریِ فقط-سمت‌سرور به‌علاوهٔ یک LIA مستند است — در اساس همان حالتِ گردانندهٔ آلمانی یا بلژیکی.

سطلِ OTHER-EU — 19 کشور عضوِ باقیمانده

19 کشور عضوِ باقیماندهٔ اتحادیه اروپا اجراهای ملیِ خود از مادهٔ 5(3) ePrivacy را دارند، اما در بیشترِ موارد، هیچ استثنای منتشرشدهٔ اندازه‌گیری مخاطبی هم‌ارزِ چارچوبِ Sheet 16 نهاد CNIL ندارند. مقدارِ حوزهٔ قضاییِ OTHER-EU در Statnive Live، انتخاب‌گرِ گرداننده برای سایت‌هایی است که ترافیکِ اصلی‌شان از کشورهای عضوی می‌آید که در فهرستِ یازده‌گانه به‌طورِ مشخص مدل نشده‌اند.

پیش‌فرضِ پایدار برای استقرارهای OTHER-EU، حالتِ consent-free با معماریِ فقط-سمت‌سرور و یک LIA مادهٔ 6(1)(f) مستند است. این پیکربندی هر 27 کشور عضو را تاب می‌آورد، چون سخت‌گیرانه‌ترین خانهٔ فعلی (مادهٔ § 25 TDDDG آلمان) را برآورده می‌کند؛ به به‌رسمیت‌شناخته‌شدنِ هیچ استثنای ملیِ مشخصی وابسته نیست.

گردانندگانی که ترافیکِ چشمگیری از یک حوزهٔ قضاییِ اتحادیه اروپا که در فهرستِ نام‌برده نیست دارند، باید راهنماییِ مشخصِ نهاد ناظرِ ملی را بررسی و با مشاورِ حقوقیِ محلی تأیید کنند. این نقشه دقیقاً به این دلیل این 19 حوزهٔ قضایی را در یک خانه فشرده می‌کند که بارِ انطباقِ گرداننده با سخت‌گیرانه‌ترین خانه محدود می‌شود — و آن خانهٔ سخت‌گیر هم پیشاپیش با رفتارِ حوزهٔ قضاییِ DE مدل شده است.

سطلِ OTHER-NON-EU — شاملِ ایران (IR)

Statnive Live مقادیرِ IR و OTHER-NON-EU را به‌عنوانِ حوزهٔ قضایی عرضه می‌کند، چون نرم‌افزار را گردانندگانی با استقرارهای خارج از اتحادیه اروپا هم اجرا می‌کنند و چون معماریِ بدون رضایت — صرف‌نظر از حوزهٔ قضایی — مفید و اغلب از نظرِ حقوقی سازگار است. استثناهای اندازه‌گیری مخاطبِ اتحادیه اروپا بیرون از اتحادیه اروپا و منطقه اقتصادی اروپا اعمال نمی‌شوند. یک استقرارِ consent-free در یک حوزهٔ قضاییِ غیر‌اتحادیه‌اروپایی از منظرِ معماریِ حافظِ حریم خصوصی قابلِ‌پیکربندی است، اما ذیلِ قانونِ اتحادیه اروپا معاف نیست، چون قانونِ اتحادیه اروپا اعمال نمی‌شود.

به‌طورِ مشخص دربارهٔ خانهٔ ایران (IR): Statnive Live یک مسیرِ استقرارِ اختصاصی در مرکز‌داده‌ی ایران دارد که الزاماتِ قطعِ کاملِ شبکه (air-gap)، نبودِ وابستگی به Cloudflare، نبودِ ACME از داخلِ ایران، فقط NTP ایرانی، وابستگی‌های درون‌بسته‌شده، صدورِ مجوزِ آفلاینِ Ed25519 و بستهٔ نام‌دامنهٔ بین‌المللیِ .ir / .ایران را مدیریت می‌کند. معماری همین است که هست — اما چارچوبِ حقوقی، قانونِ ایران است نه قانونِ اتحادیه اروپا. گردانندگانی که به ترافیکِ ایرانی خدمات می‌دهند باید برای قواعدِ قابلِ‌اعمال با مشاورِ حقوقیِ محلی مشورت کنند.

سطلِ OTHER-NON-EU بقیه را پوشش می‌دهد: سایت‌های آمریکایی ذیلِ CCPA / قوانینِ ایالتی، سایت‌های کانادایی ذیلِ PIPEDA، سایت‌های استرالیایی ذیلِ Privacy Act، سایت‌های برزیلی ذیلِ LGPD، سایت‌های هندی ذیلِ DPDP، سایت‌های چینی ذیلِ PIPL و جز این‌ها. Statnive Live ادعای انطباق با PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA را به‌صورتِ آماده نمی‌کند — این‌ها پیکربندی‌های مختصِ گرداننده‌اند که بازبینیِ مشاورِ حقوقیِ محلی را لازم دارند. معماریِ پیش‌فرضِ بدون رضایت قابلِ‌پیکربندی است تا ذیلِ هم‌ارزهای بسیاری از آن رژیم‌ها واجدِ شرایط شود (بیشترِ حوزه‌های قضایی، اندازه‌گیری مخاطبِ اول‌شخصِ سمت‌سرور را کم‌خطر می‌دانند)، اما موضعِ بازاریابی «قابلِ‌پیکربندی، نه دارای گواهی» است — نه «منطبق» و نه «دارای گواهی».

فهرستِ یازده‌گانهٔ Statnive Live چطور روی این نقشه نگاشت می‌شود

پنلِ سیاستِ سایت یازده مقدار عرضه می‌کند:

  • DE — اعتبارسنجِ قاعدهٔ سخت permissive را ممنوع می‌کند؛ پیش‌فرض consent-free با respect_gpc = true.
  • FR — پیش‌فرض consent-free؛ زبانِ گواهیِ Sheet 16 در /legal/privacy-policy/en و /legal/privacy-policy/fr (دومی هنگامی که آینهٔ زبانیِ FR وصل شود) عرضه می‌شود.
  • IT، ES، NL — پیش‌فرض consent-free؛ با استثناهای ملیِ مربوط هم‌راستاست.
  • BE، IE، AT — پیش‌فرض consent-free با معماریِ فقط-سمت‌سرور؛ هیچ استثنای ملی به رسمیت شناخته نشده، پس گرداننده به چارچوبِ «عدمِ فعال‌سازیِ مادهٔ 5(3)» به‌علاوهٔ یک LIA مادهٔ 6(1)(f) تکیه می‌کند.
  • UK — پیش‌فرض consent-free با معماریِ فقط-سمت‌سرور؛ اولویتِ اجراییِ پایینِ ICO از نظرِ قانونی معافیت نمی‌دهد، اما معماری با پرهیز از ذخیره/دسترسیِ روی تجهیزاتِ پایانه، PECR را تاب می‌آورد.
  • OTHER-EU — پیش‌فرض consent-free؛ همان حالتِ BE / IE / AT.
  • IR — مسیرِ استقرارِ مرکز‌داده‌ی ایران؛ پیش‌فرض permissive چون قواعدِ رضایتِ اتحادیه اروپا اعمال نمی‌شوند (اعتبارسنج آن را برای این حوزهٔ قضایی مجاز می‌داند).
  • OTHER-NON-EU — پیش‌فرض permissive؛ مسئولیتِ بازبینیِ مشاورِ حقوقیِ محلی با گرداننده است.

اعتبارسنجِ قاعدهٔ سخت هنگامِ ذخیرهٔ سیاست و نیز هنگامِ بارگذاریِ سیاست در هر درخواستِ دریافت اجرا می‌شود. ترکیب‌های معتبر برای هر حوزهٔ قضایی را اعتبارسنج اعمال می‌کند، نه عرفِ گرداننده. گردانندگانی که می‌کوشند یک سایتِ DE را روی حالتِ permissive بگذارند، خطای صریح می‌گیرند و درخواستشان رد می‌شود.

نقشه کجا تغییر خواهد کرد

یک فهرستِ کوتاهِ پایش برای گردانندگانی که این پرونده را دنبال می‌کنند:

  1. مادهٔ 88a(3)(c) از Digital Omnibus — در صورتِ تصویبِ دست‌نخورده، استثنای اندازه‌گیری مخاطب را در هر 27 کشور عضو یکدست می‌کند. وضعیت تا اواسطِ مه 2026: پیشنهادِ کمیسیون، بدون رأیِ صحنِ علنیِ پارلمان. برای وضعیتِ قانون‌گذاری، پستِ Digital Omnibus را ببینید.
  2. Garante ایتالیا — ممکن است پس از Digital Omnibus راهنماییِ تازه منتشر کند. مراقبِ هر به‌روزرسانیِ دستورالعمل‌های کوکیِ 2021 باشید.
  3. ICO بریتانیا — پیاده‌سازیِ DUAA 2025 در جریان است. مراقبِ هر باریک‌تر یا گسترده‌ترشدنِ موضعِ «اولویتِ اجراییِ پایین» باشید.
  4. فرجام‌خواهیِ Latombe در CJEU — چارچوبِ حریمِ خصوصیِ دادهٔ اتحادیه اروپا و آمریکا را به چالش می‌کشد. اگر DPF بیفتد، خطِ Schrems-II باز هم سفت‌تر می‌شود؛ معماریِ فقط‌-اتحادیه‌اروپای Statnive Live پاسخِ دفاعی است.
  5. به‌رسمیت‌شناختنِ EinwV (آلمان) — مسیرِ به‌رسمیت‌شناختنِ آیین‌نامهٔ مدیریتِ رضایت ممکن است به PIMSهای به‌رسمیت‌شناخته‌شده گسترش یابد که تجربه‌ی کاربریِ رضایت را برای استقرارهای consent-required ساده می‌کنند.
  6. گزارش‌های بازرسیِ نهادهای ناظرِ ملی — جاروبِ 1,000 سایتیِ نهاد ناظرِ هامبورگ، پایشِ 500 سایتیِ AP، و برنامهٔ ممیزیِ CNIL — همگی به‌صورتِ دوره‌ای منتشر می‌شوند و ممکن است سیگنالِ اولویتِ اجرا را در هر حوزهٔ قضایی جابه‌جا کنند.

این نقشه یک فیلدِ updatedDate دارد — برای نسخه‌ای از نقشه که می‌خوانید، به همان برچسبِ زمانی رجوع کنید. ما با هر تغییرِ بنیادی در هر خانه، نقشه را دوباره منتشر می‌کنیم.

این نقشه چه چیزی به گرداننده می‌دهد

نتیجهٔ عملیِ گرداننده از مراجعه به این نقشه:

  • یک مرجعِ تک‌صفحه‌ای برای 11 حوزهٔ قضایی که فهرستِ Statnive Live مدل می‌کند، با اجرای ملیِ زیربنایی، موضعِ استثنای اندازه‌گیری مخاطب، سقفِ جریمه و سیگنالِ اجرا، هر کدام در یک خط.
  • یک درختِ تصمیمِ پیکربندی. برای آلمان پیکربندی کنید؛ پیکربندی بقیهٔ اتحادیه اروپا را تاب می‌آورد. برای حوزهٔ قضاییِ اصلیِ گرداننده پیکربندی کنید؛ آن تصمیم و LIA پشتیبانش را مستند کنید.
  • یک چک‌لیستِ پیش از استقرار. برای هر حوزهٔ قضایی که گرداننده در آن ترافیک دارد: کدام استثنای نهاد ناظرِ ملی اعمال می‌شود (اگر اصلاً اعمال شود)، زبانِ افشا باید چه شکلی باشد، و پیکربندی کجا اعمال می‌شود (اعتبارسنجِ قاعدهٔ سختِ Statnive Live بیشترِ کار را انجام می‌دهد).
  • یک چارچوبِ سازگار با آینده. وقتی Digital Omnibus از پارلمان عبور می‌کند، گرداننده می‌تواند این نقشه را در کنارِ وضعیتِ قانون‌گذاری دوباره بخواند و به‌محضِ تثبیتِ استثنا، پیکربندی را به‌روز کند.

آنچه این نقشه نمی‌دهد: مشاوره‌ی حقوقی برای هر استقرارِ خاص. این نقشه نقطه‌ی شروعِ گرداننده است؛ LIA، سیاستِ حریم خصوصی، بازبینیِ DPA و مشورتِ مشاورِ حقوقی برای هر حوزهٔ قضایی، کارِ پایانیِ گرداننده‌اند.

چه بکنید و از چه بگذرید

بکنیدنکنید
برای سخت‌گیرانه‌ترین خانه‌ای که ترافیک دارید — معمولاً آلمان — پیکربندی کنید و بگذارید بقیهٔ اتحادیه اروپا روی همان سوار شود.27 پیکربندیِ جداگانه برای هر کشور عضو اجرا کنید. مبنای سخت‌گیر بنا به ساختار بقیه را در خود می‌گیرد.
یک ارزیابیِ منافعِ مشروع طبقِ راهنماهای 1/2024 نهاد EDPB که مبنای مادهٔ 6(1)(f) GDPR را پوشش دهد مستند کنید.در آلمان به منافعِ مشروع به‌جای رضایتِ مادهٔ § 25 TDDDG تکیه کنید — DSK این مسیر را صراحتاً بسته است.
نگهداری را به سقفِ 25 ماههٔ CNIL محدود کنید، حتی بیرون از فرانسه — این کار بنا به ترکیب، سقفِ هر کشور عضوِ دیگر را هم برآورده می‌کند.نگهداریِ بی‌پایان اجرا کنید. کمینه‌سازیِ دادهٔ مادهٔ 5(1)(e) + تمرکزِ شفافیتِ 2026 نهاد EDPB، هر دو در همهٔ خانه‌ها اعمال می‌شوند.
برای گردانندگانِ هلندی: سامانهٔ پویشِ خودکارِ AP اکنون به 10,000 سایت در سال می‌رسد. تجربه‌ی کاربریِ بنر را درست کنید.موضعِ AP هلند را یک سیگنالِ نرم تلقی کنید. دورِ هشدارِ آوریل 2025 + بازطبقه‌بندیِ «نظارتِ انبوه» در 2026 تا 2028 یعنی اجرا در حالِ تشدید است.
در سطلِ OTHER-NON-EU: موضعِ مختصِ حوزهٔ قضاییِ خود را صریح بیان کنید؛ با مشاورِ حقوقیِ محلی مشورت کنید؛ «قابلِ‌پیکربندی، نه دارای گواهی» را علامت بزنید.ادعای انطباق با PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA را به‌صورتِ آماده کنید. Statnive این کار را نمی‌کند، و موضعِ بازاریابی باید همین را بازتاب دهد.

حرفِ آخر

نقشهٔ 2026 اتحادیه اروپا از آنالیتیکسِ بدون رضایت چهل‌تکه است — یازده خانه که فهرستِ حوزه‌های قضاییِ Statnive Live مدلشان می‌کند، با هفت موضعِ نظارتیِ متمایز و چهار ردهٔ سیگنالِ اجرا. فرانسه سهل‌گیرترین برای گرداننده است. آلمان سخت‌گیرترین و قیدِ تعیین‌کننده برای هر استقرارِ سراسرِ اروپایی است. بقیهٔ خانه‌های اتحادیه اروپا و منطقه اقتصادی اروپا میانِ این دو لنگرگاه، با اختلاف‌های مختصِ نهاد ناظرِ ملی، قرار می‌گیرند.

پیکربندی‌ای که آلمان را برآورده می‌کند، بنا به ترکیب بقیهٔ اتحادیه اروپا را هم برآورده می‌کند. پیکربندی‌ای که Sheet 16 فرانسه را برآورده می‌کند، فرانسه، ایتالیا، اسپانیا و هلند را به‌تمیزی پوشش می‌دهد، اما باز هم برای ترافیکِ آلمانی به معماریِ هم‌ترازِ آلمان نیاز دارد. استقرارِ پایدار، سخت‌گیرانه‌ترین مبنا با بومی‌سازی‌های مختصِ هر حوزهٔ قضایی روی آن است — که دقیقاً همان چیزی است که ماتریسِ فهرستِ یازده‌گانهٔ حوزهٔ قضایی + چهار حالتِ رضایتِ Statnive Live عرضه می‌کند.

برای چارچوبِ گسترده‌تر، راهنمای عملیِ ستونی مرجعِ اصلی است. برای بررسی‌های عمیقِ مختصِ کشور، پست‌های Sheet 16 نهاد CNIL و مادهٔ § 25 TDDDG، فرانسه و آلمان را گام‌به‌گام پوشش می‌دهند. برای فرایندهای روزِ اولِ گرداننده — نقاطِ پایانیِ DSAR، GPC و حالتِ ترکیبی — پست‌های پیوندشده سطحِ فنی را پوشش می‌دهند. برای زاویهٔ خبریِ قانون‌گذاری، پستِ Digital Omnibus پرونده را در مسیرِ پارلمان دنبال می‌کند.

اگر چیزی در این نقشه نادرست است، ارجاعاتِ بالا همان نشانی‌هایی‌اند که باید با آن‌ها سنجید. ما با هر تغییرِ بنیادی در هر خانه نقشه را به‌روز می‌کنیم — برچسبِ updatedDate در بالا نسخه‌ای را که می‌خوانید نشان می‌دهد.


این پژوهشی در حوزه‌ی حریم خصوصی است، نه مشاوره‌ی حقوقی. این نقشه آزمون‌های شرطِ‌انباشتی را در خانه‌های واحد فشرده می‌کند. هر مشتریِ Statnive همچنان کنترل‌کنندهٔ داده باقی می‌ماند و مسئولِ پیکربندی و تحلیلِ مختصِ هر حوزهٔ قضاییِ خودش است. خانه‌های IR و OTHER-NON-EU قابلِ‌پیکربندی‌اند، نه دارای گواهی — Statnive ادعای انطباق با PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA را نمی‌کند. پیش از انتشار، با مشاورِ حقوقیِ واجدِ صلاحیت در هر حوزهٔ قضایی هم‌سنجی کنید.

وضعیتِ ارجاعاتِ مقرراتی تا 13 مه 2026: Sheet n°16 نهاد CNIL + به‌روزرسانیِ 4 ژوئیه 2025 + توصیه‌نامهٔ یکپارچهٔ کوکیِ 16 ژانویه 2026 + توصیه‌نامهٔ پیکسل‌های ردیابیِ 14 آوریل 2026؛ برنامهٔ ارزیابیِ قدیمی در 1 ژانویه 2026 بازنشسته شد؛ جریمهٔ 3.5 میلیون یورویی منتشرشده در 22 ژانویه 2026 (FR)؛ مادهٔ § 25 TDDDG + Orientierungshilfe نسخهٔ 1.2 نهاد DSK مورخِ 20 نوامبر 2024 (تا مه 2026 همچنان عملیاتی)؛ اجرای مداومِ 2024 تا 2026 نهادهای BayLDA / NRW / برلین / هامبورگ (DE)؛ دستورالعمل‌های کوکیِ Garante مورخِ 10 ژوئن 2021 لازم‌الاجرا از 10 ژانویه 2022 + تصمیمِ شمارهٔ 224 مورخِ 9 ژوئن 2022 + برنامهٔ بازرسیِ 2026 (بیش از 40 بازرسیِ هدفمند در نیمهٔ اولِ 2026، Guardia di Finanza) (IT)؛ راهنمای کوکیِ AEPD (ژوئیه 2023، اجرا از 11 ژانویه 2024) + راهنمای اندازه‌گیری مخاطبِ AEPD (2024) (ES)؛ موضعِ کوکیِ Autoriteit Persoonsgegevens + مادهٔ 11.7a قانونِ Telecommunicatiewet + جریمهٔ 600 هزار یورویی Kruidvat مورخِ 16 ژوئیه 2024 + پایشِ 10,000 سایت در سالِ AP + موضع‌گیریِ «نظارتِ انبوه» در 2026 تا 2028 + دورِ هشدار به 50 سازمان در آوریل 2025 (NL)؛ راهنماییِ کوکیِ APD آوریل 2020 + تصمیمِ 85/2022 + برنامهٔ راهبردیِ 2026 تا 2028 نهاد APD/GBA (BE)؛ یادداشتِ راهنماییِ DPC (2020) (IE)؛ راهنمای فناوری‌های ذخیره و دسترسیِ ICO مورخِ 29 آوریل 2026 + DUAA 2025 (UK)؛ تصمیمِ NetDoktor نهاد DSB مورخِ 22 دسامبر 2021 (AT). مادهٔ § 7025(c)(6) از CCPA لازم‌الاجرا از 1 ژانویه 2026 — نمایشِ قابلِ‌دیدِ احترام به GPC الزامی است (فراگیر برای خانهٔ OTHER-NON-EU). Digital Omnibus یعنی COM(2025) 837 final — پیشنهادِ کمیسیون در 19 نوامبر 2025، بدونِ رأیِ صحنِ علنیِ پارلمانِ اروپا روی COM(2025) 837 تا 13 مه 2026. نظرِ مشترکِ EDPB-EDPS شماره‌ی 2/2026 مورخِ 11 فوریه 2026؛ راهنماهای 2/2023 نهاد EDPB نسخهٔ 2.0 مورخِ 7 اکتبر 2024؛ راهنماهای 1/2024 نهاد EDPB مورخِ 8 اکتبر 2024؛ پیش‌نویسِ راهنماهای 01/2025 نهاد EDPB دربارهٔ مستعارسازی (تیمِ سریع، تکمیل را برای تابستانِ 2026 هدف گرفته)؛ نظرِ 5/2019 نهاد EDPB. تمرکزِ چارچوبِ اجرای هماهنگِ 2026 نهاد EDPB: شفافیت + تعهداتِ اطلاع‌رسانی (فراگیر).

Get Statnive Free