Изследване
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min четене
Осем години след влизането в сила на GDPR решихме да спрем да спекулираме за спазването на съгласието и да го измерим. Насочихме нашия скенер към 97 304 уебсайта в 25 от 27-те държави членки на ЕС и записахме точно какво се случва в реален браузър преди, по време на и след съгласието. Не какво обещава политиката за поверителност. Не какво докладва таблото за управление на CMP. Какво наистина се задейства в браузъра, когато нов посетител попадне на страница.
В нашия набор данни проследяването преди съгласие беше често срещано: две трети от уебсайтовете в ЕС започват да проследяват посетителите, преди да е настъпило каквото и да е взаимодействие за съгласие. Повече от половината изобщо не показват банер за съгласие. А когато уебсайтовете предлагат бутон за отхвърляне, той не успява да спре проследяването в 80% от случаите. Това не са крайни случаи или технически тънкости. Това е базовото състояние на спазването на съгласието в Европейския съюз през 2026 г.
Методология: Как измерихме това
Преди да навлезем в констатациите, е важно как събрахме тези данни, защото методологията определя дали числа като тези са смислени или подвеждащи.
Списъкът с уебсайтове
Извадихме нашата извадка от списъка Tranco Top 1M -- класация на домейни с изследователско качество, създадена чрез комбиниране на данни от множество независими класации. Tranco е специално проектиран да е устойчив на манипулация и да предоставя стабилни класации за изследвания на уеб измервания, което го прави стандартен източник за мащабни уеб изследвания. Филтрирахме за домейни, асоциирани с 25 от 27-те държави членки на ЕС, въз основа на TLD с код на държава и данни за регистрация, което даде 114 748 кандидат-URL адреса. От тях 97 304 завършиха успешно -- останалите се провалиха поради DNS грешки, изтичане на времето за връзка или сайтове, които бяха напълно недостъпни.
Какво прави скенерът
Всяко сканиране използва нашия производствен скенер: Go приложение, управляващо пълен headless Chromium браузър чрез Chrome DevTools Protocol. Това не е статичен HTML скрейпър или справка в база данни за бисквитки. За всеки уебсайт скенерът:
1. Стартира чист екземпляр на Chromium без съхранени бисквитки, без локално хранилище и без история на сърфиране -- симулирайки истински нов посетител.
2. Навигира до целевия URL и изчаква страницата да се зареди.
3. Прави снимка преди съгласие: всяка поставена бисквитка, всяка направена мрежова заявка, всеки контактиран домейн на трета страна -- всичко преди каквото и да е взаимодействие за съгласие.
4. Опитва се да открие банера за съгласие, използвайки библиотека, покриваща 45 известни CMP плюс общи евристики.
5. Взаимодейства с банера (приемане или отхвърляне) и записва състоянието след взаимодействието.
6. За тестване на потока на отхвърляне: презарежда страницата и проверява дали отхвърлянето е било уважено или бисквитките се появяват отново.
Всяка стъпка произвежда доказателства с времеви печат: пълни описи на бисквитки, логове на мрежови заявки и екранни снимки. Когато казваме, че уебсайт „активира проследяване преди съгласие", имаме предвид, че сме наблюдавали реални HTTP заявки към известни домейни за проследяване и реални бисквитки, поставени в браузъра -- не че сме го изведели от скрипт таг в HTML.
Какво означава „преди съгласие" технически
Това е критичната концепция. Поведението преди съгласие е всичко, което се случва между момента, в който страницата започва да се зарежда, и момента, в който потребителят за първи път взаимодейства с механизъм за съгласие. На практика този прозорец обикновено е 2-5 секунди, но на много сайтове се удължава, докато страницата зарежда допълнителни ресурси. През този прозорец посетителят не е имал възможност да приеме или откаже каквото и да е. Съгласно Член 5(3) на Директивата за ePrivacy (както е тълкуван от CJEU в Planet49, C-673/17), съхраняването на информация на устройството на потребителя или достъпът до вече съхранена информация изисква предварително съгласие -- с изключение на бисквитки, строго необходими за услугата, поискана от потребителя. Всичко несъществено, което се задейства през този прозорец, по дефиниция работи без валидно съгласие.
Констатация 1: Проследяването преди съгласие е нормата, не изключението
Най-важното число в това проучване: 68% от сканираните уебсайтове активират проследяване от трети страни, преди потребителят да е дал съгласие. Тясно свързано: 66,6% поставят бисквитки преди съгласие.
Това не са една и съща метрика. Уебсайт може да се свърже с домейн за проследяване на трета страна (задействайки пиксел, зареждайки скрипт), без този домейн да успее да постави бисквитка -- например ако браузърът блокира бисквитки от трети страни. Обратно, бисквитка за анализи от първата страна може да бъде поставена без контактиране на външен домейн. И двете поведения са проблематични, но представляват различни технически механизми и различни правни рискове.
Мащабът на активността преди съгласие е значителен:
| Метрика | Стойност |
|---|---|
| Средно контактирани домейни на трети страни преди съгласие | 10,4 |
| Медиана на контактираните домейни на трети страни преди съгласие | 6 |
| Максимум контактирани домейни на трети страни преди съгласие | 171 |
Медианата от 6 е вероятно по-информативна от средната стойност. Половината от всички сканирани уебсайтове се свързват с поне шест външни домейна, преди потребителят да е имал възможност да даде съгласие. Това не са мрежи за доставка на съдържание или сървъри за шрифтове (които изключваме от класификацията за проследяване). Това са рекламни платформи и услуги за анализи.
Разбивката на активността преди съгласие по категория бисквитки разкрива за какво всъщност е това проследяване:
| Категория бисквитки | Засегнати сайтове | % от всички сайтове |
|---|---|---|
| Аналитични бисквитки, поставени преди съгласие | 30 239 | 31,1% |
| Маркетингови бисквитки, поставени преди съгласие | 17 793 | 18,3% |
| Активни тракери преди съгласие (всякакъв тип) | 42 904 | 44,1% |
Почти всеки трети уебсайт в ЕС поставя аналитични бисквитки преди съгласие. Почти всеки пети поставя маркетингови бисквитки. Правната позиция по тези въпроси е недвусмислена: EDPB многократно е потвърждавал, че аналитичните и маркетинговите бисквитки изискват съгласие съгласно Член 5(3) на ePrivacy. Решението Planet49 на CJEU изясни, че съгласието трябва да бъде активно, утвърдително действие -- и не може да бъде утвърдително, ако все още не е настъпило.
Практическата последица е, че докато посетителят види банер за бисквитки и обмисли дали да приеме или отхвърли, браузърът му вече е бил дактилоскопиран, посещението му вече е било регистрирано от аналитични платформи и в много случаи профилът му за сърфиране вече е бил обновен от рекламни мрежи. Изборът за съгласие, когато пристигне, е частично ретроактивен -- а ретроактивното съгласие изобщо не е съгласие.
Констатация 2: Празнината в банерите за съгласие
Повече от половината уебсайтове, които сканирахме -- 53 508 от 97 304, или 55% -- не показаха банер за съгласие, който нашата система за откриване можеше да идентифицира.
Това число изисква внимателно тълкуване. Не всеки уебсайт без банер непременно нарушава закона. Уебсайт, който не поставя несъществени бисквитки и не се свързва с услуги за проследяване на трети страни, може законно да работи без механизъм за съгласие. Изключението на ePrivacy за „строго необходими" бисквитки означава, че сайт, използващ само сесийни бисквитки за вход или функционалност на количка за пазаруване, няма задължение за съгласие за тези конкретни бисквитки.
Но не това наблюдаваме. От 53 508 сайта без откриваем банер, 18 026 активно поставят несъществени бисквитки и се свързват с домейни за проследяване на трети страни. Тези сайтове нямат механизъм за съгласие и проследяват посетителите от първото зареждане на страницата. Не ни е известно валидно правно основание за това нито по GDPR, нито по Директивата за ePrivacy.
Останалите сайтове без банери попадат в няколко категории: сайтове, които наистина не поставят несъществени бисквитки (и следователно може да не се нуждаят от банер), сайтове, използващи механизми за съгласие, които нашата система за откриване не можа да идентифицира, и сайтове, които просто са нефункционални или домейни с минимално съдържание. Нашата библиотека за откриване на 45 CMP плюс общи евристики покрива огромното мнозинство от известните решения за съгласие, но персонализирани реализации в нечести рамки или езици може да бъдат пропуснати.
Въпреки това числото 18 026 е долната граница, не горната, за сайтове без банер с проследяване. Това са сайтове, за които имаме положителни доказателства както за активност на проследяване, така и за отсъствие на банер.
Констатация 3: Бутоните за отхвърляне не работят в 80% от случаите
Посветихме отделна публикация на тази констатация, но тя заслужава значително внимание тук, защото удря в сърцето на модела за съгласие.
От 28 891 уебсайта, на които открихме и успешно взаимодействахме с бутон за отхвърляне, 80,4% продължиха проследяването, след като потребителят натисна отхвърляне. Само 5 650 сайта (19,6%) преминаха теста на потока за отхвърляне -- което означава, че проследяването наистина спря и остана спряно.
Неуспехите се разпределят в припокриващи се категории:
| Тип неуспех | Засегнати сайтове |
|---|---|
| Несъществени бисквитки все още присъстват след отхвърляне | 10 848 |
| Услуги за проследяване все още активни след отхвърляне | 14 547 |
| Открит consent respawn (бисквитки се появяват отново след презареждане) | 1 642 |
| Индивидуални бисквитки, които се появиха отново | 4 932 |
Consent respawn е модел, който идентифицирахме по време на това изследване. Потребителят кликва отхвърляне, CMP премахва бисквитките и след това при следващото зареждане на страницата тези бисквитки се появяват отново. На 1 642 сайта наблюдавахме 4 932 индивидуални бисквитки, показващи това поведение. Механизмът варира -- скриптове от трети страни, които се задействат отново независимо от състоянието на съгласие, мениджъри на тагове, които не разпространяват отхвърлянето до всички интегрирани услуги, сървърни Set-Cookie хедъри, които игнорират клиентските решения за съгласие -- но ефектът е същият. Бутонът за отхвърляне се превръща във временна пауза, а не в постоянен избор.
Съгласно Член 7(3) на GDPR оттеглянето на съгласие трябва да бъде толкова лесно, колкото и даването му, и администраторът трябва да действа по това оттегляне. Бутон за отхвърляне, който всъщност не спира проследяването, не отговаря на това изискване, независимо от техническата причина.
Констатация 4: Сравнение по държави
GDPR е единен регламент, но спазването не е еднакво. Процентът на уебсайтове с висок риск варира почти три пъти между държавите членки на ЕС.
| Държава | % Висок риск | Среден рисков резултат |
|---|---|---|
| Унгария | 58,8% | 60,1 |
| Чехия | 55,1% | 59,0 |
| Румъния | 53,9% | 56,2 |
| Полша | 53,3% | 56,1 |
| Гърция | 52,5% | 54,9 |
| Италия | 44,6% | 51,8 |
| Испания | 44,1% | 50,2 |
| Франция | 44,1% | 49,7 |
| Нидерландия | 43,5% | 53,1 |
| Белгия | 42,1% | 47,4 |
| Дания | 42,1% | 48,3 |
| Финландия | 40,3% | 46,4 |
| Швеция | 33,4% | 49,0 |
| Германия | 23,7% | 33,9 |
| Австрия | 20,9% | 31,2 |
Моделът е в съответствие с различията в дейността по прилагане. Германия и Австрия -- дом на BfDI, шестнадесет DPA на ниво провинция и DSB съответно -- са сред най-активните европейски органи в насочването към нарушения на съгласието и бисквитките конкретно. DSB издаде едно от първите решения за прилагане след Schrems II. Германските DPA на провинциално ниво са провели секторни одити на бисквитките и са издали предписателни указания за това какво представлява валидно съгласие.
От другата страна, Унгария, Чехия, Румъния и Полша имат DPA, които обикновено са недостатъчно финансирани спрямо размера на техните цифрови икономики и исторически са фокусирали прилагането си върху нарушения на данните и искания за достъп на субектите, а не върху съгласие за бисквитки. Това не е критика към тези органи -- те работят с бюджетите, които им се дават -- но е ясна демонстрация, че прилагането задвижва спазването. Същият правен текст, прилаган с различна интензивност, произвежда забележимо различни резултати.
Франция е поучителна. CNIL е един от най-видимите правоприлагащи органи в Европа, налагащ рекордни глоби на големи технологични компании. И все пак френските уебсайтове са на 44,1% висок риск, близо до средната за ЕС. Обяснението вероятно е в стратегията за прилагане на CNIL: високопрофилните действия срещу големи платформи генерират заглавия, но не променят директно поведението на хиляди малки и средни предприятия, които съставляват дългата опашка на мрежата. Широката поведенческа промяна изисква или секторни кампании за прилагане (каквито Германия е провеждала), или общо увеличаване на възприемания риск от прилагане.
Покриваме данните по държави по-подробно в нашата публикация за сравнение по държави.
Констатация 5: Пазарен дял на CMP и какво ни показва
Сред 43 796 уебсайта (45%), които показаха откриваем банер за съгласие, идентифицирахме 45 отделни платформи за управление на съгласието. Пазарът е концентриран в горната част, но фрагментиран в дългата опашка.
| CMP | Сайтове | Пазарен дял |
|---|---|---|
| Cookiebot | 6 481 | 14,8% |
| OneTrust | 3 101 | 7,1% |
| Usercentrics | 1 820 | 4,2% |
| Complianz | 1 590 | 3,6% |
| Didomi | 1 472 | 3,4% |
| iubenda | 1 250 | 2,9% |
| Общи / неидентифицирани | 15 179 | 34,7% |
Най-голямата отделна категория е „Общи / неидентифицирани" с 34,7%. Това са сайтове, използващи решения за съгласие, които не съответстват на нито една от 45-те CMP подписи в нашата библиотека за откриване. Те включват персонализирани ленти за бисквитки, WordPress плъгини, които не са широко разпознати, регионални доставчици на CMP и реализации, толкова минимални, че се състоят от единичен закриваем div с бутон „Разбрах". Качеството на спазване на тази категория е средно значително по-ниско от това на утвърдените CMP, макар че все още не сме публикували нива на спазване по CMP.
Данните за взаимодействие с банерите разкриват друго безпокойство. От 43 796 открити банера:
| Характеристика на банера | Разпространение |
|---|---|
| Опция за отхвърляне в първия слой | 56,3% |
| Без видима опция за отхвърляне | 19,6% |
| Неясно (двусмислен интерфейс) | 24,1% |
Почти всеки пети банер за съгласие не предлага видим начин за отхвърляне на несъществени бисквитки без навигиране до втори слой от настройки. Насоките 05/2020 на EDPB относно съгласието заявяват, че отказът от съгласие не трябва да изисква повече усилия от даването му. Дизайн, който изисква допълнителни кликвания за отказ, но предлага приемане с едно кликване, е съгласно тези насоки тъмен модел, който подкопава валидността на съгласието.
Също така открихме конкретни реализации на тъмни модели: 3 454 сайта (7,9% от тези с банери) поставяха опцията за отхвърляне само във втори слой, 84 сайта използваха cookie walls (блокиране на съдържанието до даване на съгласие) и 137 сайта показваха укриване на банера от ботове -- умишлено скриване на банера от автоматизирани скенери, докато го показваха на човешки посетители.
Констатация 6: Злоупотреба с живота на бисквитките
CNIL препоръчва максимален живот на бисквитките от 13 месеца — стандарт, който няколко други национални органи за защита на данните са възприели или посочили. Това не е твърд правен лимит в текста на GDPR, но отразява тълкуването на принципа за ограничение на съхранението (Член 5(1)(е)), приложен към идентификатори за проследяване.
Нашето сканиране установи 26 250 уебсайта (27%) с поне една бисквитка, надвишаваща прага от 13 месеца, включващи общо 58 127 индивидуални бисквитки.
Най-честият нарушител е бисквитката `_ga`, използвана от Google Analytics, която се задава с живот по подразбиране от две години. Това означава, че дори уебсайтове с иначе функциониращи механизми за съгласие често са в нарушение просто защото не са променили изтичането на GA бисквитката по подразбиране. Това е въпрос на конфигурация, а не на техническо ограничение -- Google Analytics позволява персонализиран живот на бисквитките -- но стойността по подразбиране е несъвместима с указанията на EDPB и повечето оператори на сайтове никога не я променят.
Дълговечните бисквитки създават натрупващ се риск за поверителността. Двегодишна бисквитка не е просто „малко повече от 13 месеца". Тя означава, че потребител, който посети сайт веднъж, даде съгласие и никога не се върне, все пак може да бъде идентифициран и проследяван от анализите на този сайт в продължение на две години. Ако потребителят по-късно оттегли съгласието си или правното основание се промени, бисквитката продължава да съществува като призрачен идентификатор до изтичането й.
Допълнителни констатации
Няколко други констатации от проучването заслужават кратко споменаване:
Дактилоскопиране. Открихме сигнали за дактилоскопиране на браузъра (canvas дактилоскопиране, WebGL дактилоскопиране, audio context дактилоскопиране) на 4 114 уебсайта (4,2%). Дактилоскопирането е особено тревожно, защото не може да бъде изчистено чрез изтриване на бисквитки -- то използва присъщи характеристики на браузъра и устройството като идентификатори. Директивата за ePrivacy третира дактилоскопирането като еквивалентно на проследяване, базирано на бисквитки, за целите на съгласието. Несъответствия с Google Consent Mode. Сред сайтовете, прилагащи Google Consent Mode, 28,4% бяха открити като използващи го, докато 13,7% от сайтовете, използващи услуги на Google, не показаха реализация на Consent Mode. По-тревожно е, че 11,9% показаха несъответствия -- състоянието на съгласие, докладвано на API на Google, не съответстваше на реалното поведение на проследяване, наблюдавано в браузъра. Това означава, че CMP казва на Google, че съгласието е отказано, но заявките за проследяване продължават да се задействат. Достъпност. Банерите за съгласие са правно изисквани елементи на интерфейса и ако са недостъпни, сегмент от потребителите не може да упражни правата си. Сред откритите банери: 25% имаха цели за докосване под препоръчителния минимален размер, 15,2% имаха текст с нисък контраст и 3,4% не бяха достъпни чрез клавиатура. Банер, който не може да бъде управляван с клавиатура, на практика отказва избор на съгласие на потребители, разчитащи на помощни технологии -- нарушение, което се пресича както с GDPR, така и с регулациите за достъпност.Общо разпределение на риска
Събирайки всичко, агрегираната класификация на риска на 97 304 сканирани сайта:
| Ниво на риск | Процент |
|---|---|
| Висок риск | 41,0% |
| Нисък риск | 27,6% |
| Среден риск | 16,8% |
| Неопределен | 14,9% |
Процентът от 14,9% неопределен резултат отразява сайтове, при които скенерът не можа да достигне надеждно заключение -- обикновено поради откриване на ботове, сложни архитектури на приложения с една страница или поведение, зависещо от времето. Докладваме ги честно, вместо да ги насилваме в класификация успех/неуспех, защото фалшивата увереност в данните за спазване е по-лоша от признатата несигурност.
Какво означава това за собствениците на уебсайтове
Ако оперирате уебсайт, обслужващ посетители от ЕС, четири действия адресират най-честите и най-рисковите констатации:
1. Одитирайте какво се зарежда преди съгласие. Отворете сайта си в частен прозорец на браузъра, отворете инструментите за разработчици и наблюдавайте разделите Network и Application, преди да взаимодействате с какъвто и да е банер. Ако виждате заявки към домейни за анализи или реклама или бисквитки от тези услуги, поведението ви преди съгласие е несъвместимо. Поправката обикновено е конфигурация на мениджъра на тагове: уверете се, че несъществените скриптове са блокирани, докато не бъде записано утвърдително съгласие. 2. Тествайте потока за отхвърляне от край до край. Натиснете отхвърляне на собствения си банер, след това проверете дали несъществените бисквитки са премахнати. След това презаредете страницата и проверете отново. Ако бисквитките се появяват отново, имате проблем с consent respawn, който изисква разследване кои скриптове заобикалят механизма ви за съгласие. Нашите данни показват, че това засяга изненадващо голям брой сайтове, дори такива, използващи реномирани CMP. 3. Проверете живота на бисквитките си. Ако използвате Google Analytics с настройки по подразбиране, бисквитката ви `_ga` има двегодишен живот. Променете я на 13 месеца или по-малко. Прегледайте всички бисквитки, които сайтът ви поставя, и се уверете, че нито една не надвишава препоръчания максимум от 13 месеца. Това е бърза поправка на конфигурацията, която елиминира често срещана констатация за спазване. 4. Уверете се, че банерът ви е достъпен и предлага отхвърляне в първия слой. Ако опцията за отхвърляне изисква навигиране до втора страница с настройки, докато „Приеми всички" е с едно кликване, механизмът ви за съгласие може да не отговаря на насоките на EDPB. Прегледайте банера за достъпност чрез клавиатура, размер на целите за докосване и коефициенти на контраст.Бележки по методологията и честни ограничения
Искаме да бъдем прозрачни за това какво може и какво не може да ви каже това проучване.
Какво измерва добре: Поведение преди съгласие, описи на бисквитки, мрежови заявки към известни домейни за проследяване, наличие и структура на банери, резултати от потока за отхвърляне и живот на бисквитките. Това са обективни, базирани на доказателства измервания, записани от реално поведение на браузъра. Какво измерва несъвършено: Откриването на CMP не е 100% изчерпателно. Сайтове, използващи решения за съгласие, които не са в нашата библиотека от 45 CMP, може да бъдат погрешно категоризирани като нямащи банер. Банери, зависещи от GeoIP, може да се показват различно въз основа на мрежовото местоположение на скенера. Приложенията с една страница, които управляват съгласието в клиентско състояние без промени в DOM, са по-трудни за оценка. Някои сайтове разпознават автоматизирани браузъри и променят поведението си съответно (открихме 137, които правят това умишлено). Какво не измерва: Претенции за легитимен интерес (които изискват правна, а не техническа оценка), качеството на политиките за поверителност, дали записите за съгласие са правилно съхранени или дали дейностите по обработка на данни са пропорционални. Това са важни измерения на спазването, които не могат да бъдат наблюдавани само от поведението на браузъра.Процентът от 14,9% неопределен резултат е нашият предпазен клапан за сайтове, при които не можахме да достигнем надеждно техническо заключение. Предпочитаме честната несигурност пред фалшивата прецизност.
Проверете собствения си уебсайт. Стартирайте безплатно сканиране на gdprprivacymonitor.eu и вижте точно какво се случва преди, по време на и след съгласието на вашия сайт. Скенерът произвежда същите доказателства, показани в това проучване -- снимки преди съгласие, описи на бисквитки, резултати от потока за отхвърляне и класификация на риска -- за всеки URL, който подадете.
Проверете вашия уебсайт
Стартирайте безплатно сканиране за съответствие с GDPR — без регистрация.
Сканирайте уебсайта си безплатно