Which EU Countries Take Cookie Compliance Most Seriously?

GDPR е единен регламент. Един текст. Директно приложим във всяка държава членка на ЕС без необходимост от национално транспониране (за разлика от Директивата за ePrivacy, която го изисква, добавяйки още един слой на различие). На теория уебсайт в Унгария е изправен пред същите правни задължения като уебсайт в Германия. На практика разликата между теорията и реалността е огромна.

Когато сканирахме 97 304 уебсайта в 25 от 27-те държави членки на ЕС, открихме, че делът на уебсайтове с висок риск варира от 20,9% в Австрия до 58,8% в Унгария -- почти три към едно. Същият регламент, същата методология на сканиране, същите критерии за класификация, забележимо различни резултати. Данните предполагат, че спазването корелира по-малко с това какво казва законът, отколкото с това колко активно се прилага.

Пълната класация

Таблицата по-долу показва всяка държава в нашето проучване, класирана по процента уебсайтове, класифицирани като високорискови. Висок риск означава, че сайтът е показал значителни нарушения на съгласието: проследяване преди съгласие, неуспехи в потока за отхвърляне, липсващи механизми за съгласие наред с активно проследяване или комбинации от тези. Показваме също средния рисков резултат (непрекъснат показател 0-100) и процента на откриване на банери -- процентът на сканираните сайтове, при които нашата система идентифицира банер за съгласие.

(Процентите на откриване на банери са показани, когато са налични в нашия набор от данни. „--" означава, че данните не са разбити за тази държава.)

Средният рисков резултат предоставя по-нюансиран поглед от двоичната високорискова класификация. Забележете, че Нидерландия има относително умерен дял на висок риск (43,5%), но сравнително висок среден рисков резултат (53,1), което предполага, че макар по-малко нидерландски сайтове да преминават прага за висок риск, тези, които го правят, обикновено са по-сериозно несъответстващи. Швеция показва подобен модел в обратна посока: по-нисък дял на висок риск (33,4%), но относително висок среден резултат (49,0), което показва широко разпространение на умерени нарушения.

Ниво 1: Лидерите -- Германия и Австрия

Германия (23,7% висок риск) и Австрия (20,9% висок риск) са ясни отклонения. Техните уебсайтове са приблизително два пъти по-малко склонни да бъдат класифицирани като високорискови в сравнение с общата средна стойност за ЕС от 41%. Разбирането защо изисква разглеждане на екосистемата за прилагане в двете държави.

Германия: дълбочина и широта на прилагането

Ландшафтът на защитата на данните в Германия е уникален в Европа. В допълнение към федералния BfDI (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit), всяка от шестнадесетте провинции на Германия има собствен независим орган за защита на данните. Това означава, че Германия има общо седемнадесет DPA, няколко от които са сред най-активните в Европа по отношение на прилагането на съгласието.

Баварският DPA (BayLDA) проведе секторен одит на съгласието за бисквитки на уебсайтове през 2020-2021 г., изпращайки официални въпросници на стотици компании и последвайки с действия за прилагане. Хамбургският DPA издаде подробни указания за Google Analytics и изискванията за съгласие. Множество провинциални DPA са провеждали координирани кампании за прилагане, насочени към конкретни нарушения -- проследяване преди съгласие, липсващи опции за отхвърляне и несъответстващи банери за бисквитки.

Тази плътност на прилагането създава различно изчисление на риска за германските оператори на уебсайтове. Когато вашите колеги от бранша са получавали официални запитвания от DPA и когато указанията за прилагане са достатъчно конкретни, за да ви кажат точно какво е и какво не е приемливо, цената на несъответствието става конкретна, а не теоретична.

Има и културно измерение. Съзнанието за защита на данните в Германия е по-дълбоко от GDPR. Решението Volkszahlung (преброяване) от 1983 г. на Федералния конституционен съд установи информационното самоопределение като конституционно право десетилетия преди GDPR да съществува. Това създаде обществено очакване за защита на данните, което влияе както на корпоративното поведение, така и на очакванията на потребителите по начини, които са по-трудни за количествено определяне, но ясно отразени в данните.

Австрия: ранно прилагане след Schrems II

Австрийският DSB (Datenschutzbehorde) привлече международно внимание, издавайки едно от първите решения за прилагане в периода след Schrems II, намирайки, че използването на Google Analytics от уебсайт нарушава GDPR, тъй като трансферите на данни към САЩ нямат адекватни гаранции. Това решение -- по-късно повторено от френския CNIL и италианския Garante -- изпрати ясен сигнал на австрийските оператори на уебсайтове, че съгласието и проследяването са активни приоритети за прилагане.

Процентът от 20,9% висок риск на Австрия, най-ниският в нашето проучване, предполага, че сигналът е бил получен. Когато DPA демонстрира чрез конкретни, публично оповестени решения, че нарушенията на съгласието ще бъдат преследвани, нивото на спазване реагира. Австрия е най-ясният пример в нашите данни за прилагане, което корелира с измерима поведенческа промяна, макар че други фактори -- пазарна структура, културни нагласи -- вероятно също допринасят.

Ниво 2: Скандинавската средна позиция -- Швеция, Финландия, Дания

Швеция (33,4%), Финландия (40,3%) и Дания (42,1%) заемат средна зона, която е по-добра от средната за ЕС, но значително зад германско-австрийските лидери.

Скандинавските държави споделят силни културни ценности около поверителността и институционалното доверие, но техните DPA обикновено са заемали по-малко агресивна позиция на прилагане по отношение на съгласието конкретно. Шведският IMY (Integritetsskyddsmyndigheten) е издал забележителни решения -- включително значителна глоба срещу Google за нарушения на правото за изтриване -- но прилагането му конкретно за съгласие е било по-ограничено. Финландският tietosuojavaltuutettu и датският Datatilsynet по подобен начин са се фокусирали върху уведомяване за нарушения на данните и секторни указания, а не върху широкомащабни кампании за съгласие за бисквитки.

Процентът от 33,4% висок риск на Швеция въпреки това е забележимо по-добър от западноевропейската средна стойност, което предполага, че културните нагласи към поверителността могат частично да компенсират по-рядкото прилагане. Скандинавските интернет потребители като цяло са по-наясно с поверителността, което може да създаде пазарен натиск за по-добри реализации на съгласие дори при липса на регулаторен натиск.

Процентите на откриване на банери са поучителни тук. Дания показва 57,0% процент на откриване на банери -- най-високият за всяка държава, за която имаме тази данна -- а Финландия показва 54,6%. Това означава, че скандинавските сайтове са по-склонни да внедрят банер за съгласие, дори ако реализацията зад него не винаги е напълно съвместима. Това предполага осъзнаване на задължението, дори когато изпълнението е недостатъчно.

Ниво 3: Западна Европа -- Франция, Нидерландия, Белгия, Испания, Италия

Пет западноевропейски държави се групират плътно между 42,1% и 44,6% висок риск: Белгия (42,1%), Нидерландия (43,5%), Франция (44,1%), Испания (44,1%) и Италия (44,6%). Тази група е близо до средната за ЕС от 41% и може да представлява базова линия на спазване -- нивото, което получавате, когато прилагането съществува, но не е достатъчно често или целенасочено, за да промени съществено нещата.

Франция: парадоксът на високопрофилното прилагане

Франция е забележителна, защото CNIL е може би най-международно видимият DPA в Европа. Той е наложил рекордни глоби на Google (150 милиона евро за нарушения на съгласието през 2022 г.), Amazon (35 милиона евро) и Microsoft (60 милиона евро). Публикувал е подробни указания за бисквитки и съгласие през 2020 г. и дал на френските уебсайтове шестмесечен гратисен период за съобразяване. Провел е координирани вълни на прилагане, насочени към сайтове, които не са реализирали опции за отхвърляне.

И все пак Франция е на 44,1% висок риск -- точно в средата за Западна Европа. Как може най-активният регулатор да произведе само средно спазване?

Отговорът вероятно е в структурата на френския уеб. Франция има голяма, разнообразна цифрова икономика със стотици хиляди уебсайтове, управлявани от малки и средни предприятия, местни правителствени органи и организации, които може да не следят отблизо новините за прилагане на CNIL. Високопрофилните действия на CNIL срещу технологични гиганти генерират международни заглавия, но може да не променят поведението сред хилядите сайтове на малки предприятия, използващи инсталации на WordPress по подразбиране с неконфигурирани плъгини за съгласие. Прилагането, което е насочено към главата на разпределението, не е задължително да премести опашката.

Това е важен извод за всички DPA: заглавните глоби възпират големите компании, но може да не изместят агрегирания процент на спазване, който е доминиран от дългата опашка на малки и средни сайтове. Широката поведенческа промяна изисква или масово прилагане (непрактично с настоящите ресурси на DPA), или инструменти, които правят спазването по подразбиране, а не изключение.

Нидерландия: нисък процент на банери, умерен риск

Нидерландия показва интересен модел: 43,5% дял на висок риск (умерен), но само 40,3% процент на откриване на банери -- най-ниският сред държавите, за които имаме тази данна. Това означава, че нидерландските сайтове са по-малко склонни да внедрят банер за съгласие, но сред тези, които го правят, качеството на реализацията може да е донякъде по-добро. Може също да отразява нидерландска уеб екосистема, която включва много сайтове с минимално проследяване (не е нужен банер) наред със сайтове, които проследяват интензивно без да си правят труда с банер.

Нидерландският AP (Autoriteit Persoonsgegevens) е бил активен по прилагането на GDPR като цяло, но е издал по-малко решения, специфични за съгласието, в сравнение с германските DPA или CNIL. Приоритетите на AP за прилагане са се фокусирали върху обработка на правителствени данни, данни за здравеопазване и широкомащабно наблюдение, като нарушенията на съгласието са получавали относително по-малко внимание.

Ниво 4: Източна и Южна Европа -- Гърция, Полша, Румъния, Чехия, Унгария

Дъното на класацията е доминирано от държави от Централна и Източна Европа, с дялове на висок риск, вариращи от 52,5% (Гърция) до 58,8% (Унгария). В тези държави повече от половината от сканираните уебсайтове представят високорисков профил на спазване.

Общата нишка не е липсата на правно задължение -- GDPR се прилага идентично -- а модел на недостатъчно финансирани DPA с по-малко действия за прилагане, насочени конкретно към съгласието. Унгарският NAIH, полският UODO, румънският ANSPDCP и чешкият UOOU са фокусирали ограничените си бюджети за прилагане върху области като уведомяване за нарушения на данните, искания за достъп на субектите и високопрофилни жалби, а не върху проактивни одити на съгласието за бисквитки.

Това е рационално поведение за недостатъчно финансирани регулатори. Когато имате малък екип и голяма икономика за надзор, приоритизирате жалбите пред проактивното прилагане и жалбите за съгласие за бисквитки са относително редки в сравнение с жалбите за нарушения на данните или откази за достъп на субектите. Резултатът е, че нарушенията на съгласието остават до голяма степен без контрол и операторите на уебсайтове не са изправени пред смислен риск от прилагане.

Тези данни не отразяват компетентността или отдадеността на тези DPA. Няколко DPA от Централна и Източна Европа работят със съотношение персонал-население, което е малка част от това, което германските провинциални DPA имат. Унгарският NAIH, например, надзирава държава от 10 милиона души. Баварският BayLDA, надзиращ население с подобен размер в рамките на една германска провинция, исторически е разполагал с повече ресурси и по-фокусиран мандат.

Изводът е структурен: еднакво регулиране без еднакво прилагане произвежда неравномерно спазване. Това е ключова констатация в данните на ниво държава.

Корелацията с прилагането

Ако начертаете интензивността на прилагане от DPA спрямо нивата на спазване (описателно, тъй като не публикуваме графика тук), връзката е очевидна. Държавите с най-много действия за прилагане, конкретно насочени към съгласието -- Германия, Австрия -- имат най-ниските дялове на висок риск. Държавите с привличащо заглавия, но концентрирано прилагане (Франция) показват средно спазване. Държавите с минимално прилагане, специфично за съгласието, показват най-високите нива на нарушения.

Тази корелация не доказва причинно-следствена връзка -- културни фактори, пазарна структура и зрелостта на местния технологичен сектор играят роля. Но силата на модела в 25 държави е съвместима с прилагането като значим фактор, дори ако културните и структурните разлики също играят роля.

Някои забележителни действия за прилагане, които изглежда са имали ефект:

• Германия (2020-2022): Множество провинциални DPA проведоха координирани одити на съгласието за бисквитки, изпращайки официални писма до стотици уебсайтове. BayLDA публикува FAQ за съгласието, което стана де факто стандарт за спазване.
• Австрия (2022): Решението на DSB за Google Analytics беше широко отразено в австрийските технологични и бизнес медии, предизвиквайки видима вълна на миграции от GA към Matomo.
• Франция (2021-2022): Вълната на прилагане за бисквитки на CNIL беше насочена към 100+ уебсайта за несъответстващи реализации на съгласие, макар че въздействието изглежда е концентрирано сред по-големите оператори.
• Италия (2022): Garante издаде актуализирани указания за бисквитки, които предизвикаха дейност по спазване сред по-големите италиански уебсайтове, макар че процентът от 44,6% висок риск предполага, че ефектът не се е разпространил широко.

Процент на откриване на банери по държави

Процентът на откриване на банери -- процентът на сайтове, при които нашият скенер идентифицира механизъм за съгласие -- варира значително между държавите:

Дания води с 57,0%, което предполага, че датските уебсайтове са най-склонни да внедрят някаква форма на механизъм за съгласие, дори ако общото им качество на спазване (42,1% висок риск) е посредствено. Процентът от 46,1% на Германия е по-нисък, отколкото може да се очаква предвид ниския й процент на нарушения, но това е последователно: германските сайтове, които проследяват, са по-склонни да го правят с правилно съгласие, докато германските сайтове, които не проследяват, могат основателно да работят без банер.

Процентът от 40,3% на Нидерландия е най-ниската стойност, с която разполагаме, което е в съответствие с отбелязания по-горе нидерландски модел: по-малко банери като цяло, но не непременно по-лошо спазване сред тези, които ги внедряват.

Тези стойности също отразяват методологичната реалност. Сайт, който не поставя несъществени бисквитки и не се свързва с домейни за проследяване на трети страни, наистина не се нуждае от банер за съгласие съгласно изключението на ePrivacy за строго необходими бисквитки. Известно разнообразие в процентите на банери следователно е очаквано и легитимно.

Какво означава това за трансгранични бизнеси

Ако оперирате уебсайт или цифрова услуга, обслужващи потребители в множество държави от ЕС, тези данни имат преки практически последици.

Вашият риск от спазване се определя от пазара с най-високо прилагане. Ако сайтът ви обслужва германски потребители, стандартът на практика се определя от очакванията на германските DPA, независимо къде е седалището на вашата компания. Съгласно механизма на единно звено за контакт на GDPR вашият водещ надзорен орган може да бъде в родната ви държава, но всеки DPA може да предприеме действия по жалби от собствените си жители. Унгарски уебсайт, обслужващ германски посетители, може да бъде подложен на проверка от германски DPA. Сравняването с средната стойност на собствената ви държава е недостатъчно. Ако сте полски оператор на уебсайт и 53,3% от вашите колеги са високорискови, да бъдете „среден" все пак означава, че не спазвате буквата на GDPR. Регламентът не коригира изискванията си по държави. Варира само вероятността за прилагане -- и тенденциите в прилагането се движат в една посока. DPA, които все още не са приоритизирали съгласието, вероятно ще го направят, тъй като координацията на европейско ниво се увеличава. EDPB настоява за сближаване. Специфичните за бисквитки указания на Европейския комитет по защита на данните, дейностите на работните групи и становищата за последователност са проектирани да намалят разликата в прилагането между държавите членки. Докладът на работната група за банери за съгласие на EDPB от 2023 г. идентифицира общи нарушения и призова за координирано прилагане, а няколко по-рано по-малко активни DPA сигнализираха за повишено внимание към съгласието в отговор. Ниското прилагане на даден пазар е малко вероятно да остане статукво за неопределено време.

Проблемът с хармонизацията на GDPR

Данните на ниво държава в това проучване са, в известен смисъл, предизвикателство пред целта за хармонизация на GDPR. Регламентът трябваше да създаде единен стандарт в целия ЕС, замествайки мозайката от национални закони за защита на данните. По отношение на правния текст той успя. По отношение на реалността на спазване все още не е успял.

Уебсайт в Австрия е три пъти по-малко вероятно да бъде високорисков от уебсайт в Унгария. Френски потребител, натискащ „Отхвърляне", е изправен пред същия 80,4% процент на неуспех като полски потребител. Банерът за съгласие е по-вероятно да се появи в Дания, отколкото в Нидерландия. Нито една от тези разлики няма правно основание -- всички те са последици от различно прилагане.

Това повдига труден въпрос: може ли регулаторна рамка, която зависи от национални органи за прилагане с коренно различни ресурси и приоритети, да осигури еднаква защита? Данните предполагат, че отговорът в момента е не. Разликата между Германия/Австрия и Унгария/Чехия не се затваря -- и няма да се затвори без значително пребалансиране на ресурсите на DPA или преминаване към прилагане на ниво ЕС за общи, технически измерими нарушения като проследяване преди съгласие.

Съгласието за бисквитки е, по ирония, едно от най-лесните задължения по GDPR за проверка в мащаб. За разлика от оценяването на законосъобразността на дейност по обработка на данни или адекватността на оценка на въздействието върху поверителността, проверката дали уебсайт поставя бисквитки за проследяване преди съгласие е обективно, автоматизируемо измерване. Ако ЕС не може да постигне сближаване на прилагането по този най-измерим от нарушенията, перспективите за сближаване по по-трудни въпроси са мрачни.

Бележка по методологията

Изборът на уебсайтове е извлечен от списъка Tranco Top 1M, филтриран по асоциация с държави. Присвояването на държави използва TLD с код на държава като основен сигнал, допълнен с данни за регистрация и хостинг, когато TLD са двусмислени (напр. домейни `.com`). Сайтове с неясна принадлежност към държава бяха изключени от анализа на ниво държава, но включени в агрегираните стойности за целия ЕС.

Всеки сайт беше сканиран с идентични критерии: поведение преди съгласие, откриване на банер, тестване на потока за отхвърляне (когато беше идентифициран бутон за отхвърляне), анализ на живота на бисквитките и оценка на достъпността. Скенерът не правеше корекции за държава на произход -- унгарски сайт беше оценяван със същата методология и прагове като германски.

Размерите на извадките варират по държави, отразявайки разпределението на уебсайтовете в ЕС в списъка Tranco. Държави с по-големи цифрови икономики (Германия, Франция, Нидерландия) допринасят повече сайтове. Всички проценти са изчислени спрямо извадката на съответната държава, а не спрямо общата за ЕС.

---

Вижте къде стои вашият уебсайт. Стартирайте безплатно сканиране на gdprprivacymonitor.eu, за да получите същата оценка на спазване, която приложихме към всеки сайт в това проучване -- с пълни доказателства, рисков резултат и приложими констатации.