Which EU Countries Take Cookie Compliance Most Seriously?

GDPR je jedno nařízení. Jeden text. Přímo použitelný v každém členském státě EU bez nutnosti vnitrostátní transpozice (na rozdíl od směrnice ePrivacy, která ji vyžaduje, čímž přidává další vrstvu variací). Teoreticky čelí webová stránka v Maďarsku stejným právním povinnostem jako webová stránka v Německu. V praxi je propast mezi teorií a realitou enormní.

Když jsme naskenovali 97 304 webových stránek v 25 z 27 členských států EU, zjistili jsme, že podíl vysoce rizikových webových stránek se pohybuje od 20,9 % v Rakousku po 58,8 % v Maďarsku -- téměř trojnásobný poměr. Stejné nařízení, stejná metodika skenování, stejná klasifikační kritéria, výrazně odlišné výsledky. Data naznačují, že dodržování předpisů koreluje méně s tím, co zákon říká, než s tím, jak aktivně je vymáhán.

Kompletní žebříček

Níže uvedená tabulka zobrazuje každou zemi v naší studii, seřazenou podle procenta naskenovaných webových stránek klasifikovaných jako vysoce rizikové. Vysoce rizikové znamená, že stránka vykazovala závažná porušení souhlasu: sledování před souhlasem, selhání toku odmítnutí, chybějící mechanismy souhlasu spolu s aktivním sledováním, nebo jejich kombinace. Uvádíme také průměrné rizikové skóre (spojitá metrika 0-100) a míru detekce bannerů -- procento naskenovaných stránek, kde náš systém identifikoval consent banner.

(Míry detekce bannerů jsou uvedeny tam, kde jsou v našem datasetu dostupné. "--" znamená, že data pro danou zemi nebyla rozčleněna.)

Průměrné rizikové skóre poskytuje nuancovanější pohled než binární klasifikace vysokého rizika. Všimněte si, že Nizozemsko má relativně umírněnou míru vysokého rizika (43,5 %), ale poměrně vysoké průměrné rizikové skóre (53,1), což naznačuje, že zatímco méně nizozemských stránek překročí práh vysokého rizika, ty, které jej překročí, bývají závažněji nevyhovující. Švédsko vykazuje podobný vzorec naopak: nižší míru vysokého rizika (33,4 %), ale relativně vysoké průměrné skóre (49,0), což ukazuje na široké rozložení mírných porušení.

Úroveň 1: Lídři -- Německo a Rakousko

Německo (23,7 % vysoké riziko) a Rakousko (20,9 % vysoké riziko) jsou jasní outlieři. Jejich webové stránky mají přibližně poloviční pravděpodobnost klasifikace jako vysoce rizikové ve srovnání s celoevropským průměrem 41 %. Pochopení důvodů vyžaduje pohled na ekosystém vymáhání v obou zemích.

Německo: hloubka a šířka vymáhání

Krajina ochrany osobních údajů v Německu je v Evropě unikátní. Kromě federálního BfDI (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit) má každý z šestnácti německých spolkových zemí svůj vlastní nezávislý úřad pro ochranu osobních údajů. To znamená, že Německo má celkem sedmnáct úřadů pro ochranu údajů, z nichž několik patří k nejaktivnějším v Evropě v oblasti vymáhání souhlasu.

Bavorský úřad pro ochranu údajů (BayLDA) provedl v letech 2020-2021 sektorový audit souhlasu s cookies na webových stránkách, rozeslal formální dotazníky stovkám společností a následně přikročil k vymáhacím opatřením. Hamburský úřad pro ochranu údajů vydal podrobné pokyny ohledně Google Analytics a požadavků na souhlas. Více státních úřadů provedlo koordinované kampaně vymáhání cílené na specifická porušení -- sledování před souhlasem, chybějící možnosti odmítnutí a nevyhovující cookie bannery.

Tato hustota vymáhání vytváří odlišnou kalkulaci rizik pro německé provozovatele webových stránek. Když vaši kolegové z oboru obdrželi formální dotazy od úřadu pro ochranu údajů a když jsou pokyny pro vymáhání dostatečně konkrétní, aby vám přesně řekly, co je a co není přijatelné, náklady nedodržování se stávají konkrétními, nikoli teoretickými.

Je zde také kulturní rozměr. Povědomí o ochraně údajů v Německu sahá hlouběji než GDPR. Rozhodnutí Volkszahlung (sčítání lidu) Spolkového ústavního soudu z roku 1983 ustanovilo informační sebeurčení jako ústavní právo desítky let před existencí GDPR. To vytvořilo společenské očekávání ohledně ochrany údajů, které ovlivňuje jak firemní chování, tak očekávání spotřebitelů způsoby, které se hůře kvantifikují, ale jasně se odrážejí v datech.

Rakousko: raná vymáhání po Schrems II

Rakouský DSB (Datenschutzbehorde) získal mezinárodní pozornost vydáním jednoho z prvních vymáhacích rozhodnutí po Schrems II, ve kterém shledal, že používání Google Analytics webovou stránkou porušuje GDPR, protože přenosy dat do USA postrádají adekvátní záruky. Toto rozhodnutí -- později potvrzené francouzským CNIL a italským Garante -- vyslalo jasný signál rakouským provozovatelům webových stránek, že souhlas a sledování jsou aktivními prioritami vymáhání.

Rakouská míra vysokého rizika 20,9 %, nejnižší v naší studii, naznačuje, že tento signál byl přijat. Když úřad pro ochranu údajů prokáže prostřednictvím konkrétních, medializovaných rozhodnutí, že porušení souhlasu budou stíhána, míra dodržování reaguje. Rakousko je nejjasnějším příkladem v našich datech, kde vymáhání koreluje s měřitelnou změnou chování, ačkoli další faktory -- struktura trhu, kulturní postoje -- pravděpodobně také přispívají.

Úroveň 2: Severský střed -- Švédsko, Finsko, Dánsko

Švédsko (33,4 %), Finsko (40,3 %) a Dánsko (42,1 %) zaujímají střední pásmo, které je lepší než průměr EU, ale výrazně zaostává za německo-rakouskými lídry.

Severské země sdílejí silné kulturní hodnoty kolem soukromí a institucionální důvěry, ale jejich úřady pro ochranu údajů obecně zaujaly méně agresivní postoj k vymáhání v oblasti souhlasu. Švédský IMY (Integritetsskyddsmyndigheten) vydal pozoruhodná rozhodnutí -- včetně významné pokuty pro Google za selhání v právu být zapomenut -- ale jeho vymáhání specificky zaměřené na souhlas bylo omezenější. Finský tietosuojavaltuutettu a dánský Datatilsynet se podobně zaměřili na oznamování porušení dat a sektorové pokyny spíše než na rozsáhlé kampaně ohledně souhlasu s cookies.

Švédská míra vysokého rizika 33,4 % je přesto znatelně lepší než západoevropský průměr, což naznačuje, že kulturní postoje k soukromí mohou částečně kompenzovat méně časté vymáhání. Severští uživatelé internetu jsou obecně více uvědomělí v oblasti soukromí, což může vytvářet tržní tlak na lepší implementace souhlasu i při absenci regulačního tlaku.

Míry detekce bannerů jsou zde poučné. Dánsko vykazuje míru detekce bannerů 57,0 % -- nejvyšší ze všech zemí, kde máme tento údaj -- a Finsko vykazuje 54,6 %. To znamená, že severské stránky s větší pravděpodobností nasadí consent banner, i když implementace za tímto bannerem není vždy plně vyhovující. Naznačuje to povědomí o povinnosti, i když provedení zaostává.

Úroveň 3: Západní Evropa -- Francie, Nizozemsko, Belgie, Španělsko, Itálie

Pět západoevropských zemí se těsně seskupuje mezi 42,1 % a 44,6 % vysokého rizika: Belgie (42,1 %), Nizozemsko (43,5 %), Francie (44,1 %), Španělsko (44,1 %) a Itálie (44,6 %). Tento shluk se nachází blízko celoevropského průměru 41 % a může představovat základní úroveň dodržování -- úroveň, které dosáhnete, když vymáhání existuje, ale není dostatečně časté nebo cílené, aby výrazně pohnulo jehlou.

Francie: paradox prominentního vymáhání

Francie je pozoruhodná, protože CNIL je pravděpodobně mezinárodně nejviditelnějším úřadem pro ochranu údajů v Evropě. Vydal rekordní pokuty pro Google (150 milionů eur za porušení souhlasu v roce 2022), Amazon (35 milionů eur) a Microsoft (60 milionů eur). V roce 2020 zveřejnil podrobné pokyny ohledně cookies a souhlasu a dal francouzským webovým stránkám šestiměsíční lhůtu pro dosažení souladu. Provedl koordinované vlny vymáhání cílené na stránky, které neimplementovaly možnosti odmítnutí.

Přesto Francie sedí na 44,1 % vysokého rizika -- přesně na průměru západní Evropy. Jak může nejaktivnější orgán vymáhání produkovat pouze průměrnou míru dodržování?

Odpověď pravděpodobně spočívá ve struktuře francouzského webu. Francie má velkou, rozmanitou digitální ekonomiku se stovkami tisíc webových stránek provozovaných malými a středními podniky, subjekty místní samosprávy a organizacemi, které nemusí pozorně sledovat zprávy o vymáhání CNIL. Mediálně výrazné akce CNIL proti technologickým gigantům generují mezinárodní titulky, ale nemusí změnit chování tisíců stránek malých podniků používajících výchozí instalace WordPressu s nenakonfigurovanými pluginy pro souhlas. Vymáhání, které cílí na hlavu distribuce, nemusí nutně pohnout s ocasem.

Toto je důležitý poznatek pro všechny úřady pro ochranu údajů: titulkové pokuty odrazují velké společnosti, ale nemusí posunout agregátní míru dodržování, která je dominována dlouhým ocasem malých a středních stránek. Široká změna chování vyžaduje buď masové vymáhání (nepraktické se současnými zdroji úřadů), nebo nástroje, které učiní dodržování výchozím stavem, nikoli výjimkou.

Nizozemsko: nízká míra bannerů, mírné riziko

Nizozemsko vykazuje zajímavý vzorec: 43,5 % míra vysokého rizika (mírná), ale pouze 40,3 % míra detekce bannerů -- nejnižší mezi zeměmi, kde máme tento údaj. To znamená, že nizozemské stránky s menší pravděpodobností nasadí consent banner, ale mezi těmi, které jej nasadí, může být kvalita implementace o něco lepší. Může to také odrážet nizozemský webový ekosystém, který zahrnuje mnoho stránek s minimálním sledováním (banner není potřeba) vedle stránek, které intenzivně sledují bez obtěžování se bannerem.

Nizozemský AP (Autoriteit Persoonsgegevens) byl v oblasti vymáhání GDPR obecně aktivní, ale vydal méně rozhodnutí specificky zaměřených na souhlas ve srovnání s německými úřady nebo CNIL. Priority vymáhání AP se soustředily na zpracování vládních dat, zdravotních dat a rozsáhlý dohled, přičemž porušení souhlasu dostávala relativně menší pozornost.

Úroveň 4: Východní a jižní Evropa -- Řecko, Polsko, Rumunsko, Česko, Maďarsko

Spodní část žebříčku je ovládána zeměmi střední a východní Evropy s mírami vysokého rizika v rozsahu od 52,5 % (Řecko) po 58,8 % (Maďarsko). V těchto zemích více než polovina naskenovaných webových stránek vykazuje vysoce rizikový profil dodržování.

Společným jmenovatelem není nedostatek právních povinností -- GDPR se uplatňuje identicky -- ale vzorec nedostatečně financovaných úřadů pro ochranu údajů s méně vymáhacími akcemi zaměřenými specificky na souhlas. Maďarský NAIH, polský UODO, rumunský ANSPDCP a český UOOU všechny soustředily své omezené rozpočty na vymáhání na oblasti jako oznamování porušení dat, žádosti o přístup subjektů údajů a prominentní stížnosti spíše než na proaktivní audity souhlasu s cookies.

Jde o racionální chování pro nedostatečně financované regulátory. Když máte malý tým a velkou ekonomiku k dohledu, upřednostníte stížnosti před proaktivním vymáháním a stížnosti na souhlas s cookies jsou relativně vzácné ve srovnání se stížnostmi na porušení dat nebo odmítnutí přístupu subjektů údajů. Výsledkem je, že porušení souhlasu zůstávají z velké části bez dozoru a provozovatelé webových stránek nečelí žádnému smysluplnému riziku vymáhání.

Tato data neodrážejí kompetenci nebo oddanost těchto úřadů. Několik středoevropských a východoevropských úřadů pro ochranu údajů funguje s poměry zaměstnanců k populaci, které jsou zlomkem toho, co mají německé státní úřady. Maďarský NAIH například dohlíží na zemi s 10 miliony obyvatel. Bavorský BayLDA, dohlížející na populaci podobné velikosti v rámci jednoho německého spolkového státu, měl historicky více zdrojů a cílenější mandát.

Závěr je strukturální: jednotné nařízení bez jednotného vymáhání produkuje nejednotné dodržování. To je klíčové zjištění v datech na úrovni zemí.

Korelace s vymáháním

Pokud vynesete intenzitu vymáhání úřadů pro ochranu údajů proti mírám dodržování (popisně, protože zde nepublikujeme graf), vztah je zřejmý. Země s nejvíce vymáhacími akcemi specificky zaměřenými na souhlas -- Německo, Rakousko -- mají nejnižší míry vysokého rizika. Země s mediálně výraznými, ale koncentrovanými vymáháními (Francie) vykazují průměrné dodržování. Země s minimálním vymáháním specifickým pro souhlas vykazují nejvyšší míry porušení.

Tato korelace nedokazuje kauzalitu -- kulturní faktory, struktura trhu a vyspělost místního technologického sektoru hrají svou roli. Ale síla vzorce napříč 25 zeměmi je konzistentní s vymáháním jako významným faktorem, i když kulturní a strukturální rozdíly také hrají roli.

Některé pozoruhodné vymáhací akce, které patrně pohnuly jehlou:

• Německo (2020-2022): Více státních úřadů pro ochranu údajů provedlo koordinované audity souhlasu s cookies, rozesílající formální dopisy stovkám webových stránek. BayLDA zveřejnil FAQ k souhlasu, které se stalo de facto standardem dodržování.
• Rakousko (2022): Rozhodnutí DSB ohledně Google Analytics bylo široce pokryto v rakouských technologických a obchodních médiích, což vyvolalo viditelnou vlnu migrací z GA na Matomo.
• Francie (2021-2022): Vlna vymáhání cookies od CNIL cílila na více než 100 webových stránek kvůli nevyhovujícím implementacím souhlasu, ačkoli dopad se zdá být soustředěn u větších provozovatelů.
• Itálie (2022): Garante vydal aktualizované pokyny pro cookies, které vyvolaly aktivitu v oblasti dodržování u větších italských webových stránek, ačkoli míra vysokého rizika 44,6 % naznačuje, že efekt se široce nerozšířil.

Míry detekce bannerů podle zemí

Míra detekce bannerů -- procento stránek, kde náš skener identifikoval mechanismus souhlasu -- se výrazně liší mezi zeměmi:

Dánsko vede s 57,0 %, což naznačuje, že dánské webové stránky s největší pravděpodobností nasadí nějakou formu mechanismu souhlasu, i když celková kvalita dodržování (42,1 % vysoké riziko) je průměrná. Německých 46,1 % je nižší, než by se očekávalo vzhledem k jeho nízké míře porušení, ale je to konzistentní: německé stránky, které sledují, to s větší pravděpodobností dělají s řádným souhlasem, zatímco německé stránky, které nesledují, mohou rozumně fungovat bez banneru.

Nizozemských 40,3 % je nejnižší hodnota, kterou máme, což odpovídá výše uvedenému nizozemskému vzorci: méně bannerů celkově, ale ne nutně horší dodržování u těch, které je nasadí.

Tyto míry také odrážejí metodologickou realitu. Stránka, která nenastavuje žádné nepodstatné cookies a nekontaktuje žádné sledovací domény třetích stran, opravdu nepotřebuje consent banner podle výjimky ePrivacy pro nezbytně nutné cookies. Určitá variace v mírách bannerů je proto očekávaná a legitimní.

Co to znamená pro přeshraniční podniky

Pokud provozujete webovou stránku nebo digitální službu, která obsluhuje uživatele ve více zemích EU, tato data mají přímé praktické důsledky.

Vaše riziko dodržování je určeno vaším trhem s nejvyšší mírou vymáhání. Pokud vaše stránka obsluhuje německé uživatele, laťka je efektivně nastavena očekáváními německých úřadů pro ochranu údajů, bez ohledu na to, kde má vaše společnost sídlo. V rámci mechanismu one-stop-shop GDPR může být vaším vedoucím dozorovým úřadem úřad ve vaší domovské zemi, ale jakýkoli úřad může jednat na základě stížností svých vlastních rezidentů. Maďarská webová stránka obsluhující německé návštěvníky může čelit kontrole německých úřadů. Benchmarking vůči průměru vlastní země je nedostatečný. Pokud jste polský provozovatel webových stránek a 53,3 % vašich kolegů je vysoce rizikových, být "průměrným" stále znamená, že nejste v souladu s literou GDPR. Nařízení neupravuje své požadavky podle země. Mění se pouze pravděpodobnost vymáhání -- a trendy vymáhání se pohybují jedním směrem. Úřady, které dosud neprioritizovaly souhlas, to pravděpodobně učiní s rostoucí koordinací na evropské úrovni. EDPB tlačí na konvergenci. Pokyny EDPB specifické pro cookies, aktivity pracovních skupin a stanoviska ke konzistenci jsou navrženy tak, aby snížily mezeru ve vymáhání mezi členskými státy. Zpráva pracovní skupiny EDPB pro consent bannery z roku 2023 identifikovala běžná porušení a vyzvala ke koordinovanému vymáhání a několik dříve méně aktivních úřadů signalizovalo zvýšenou pozornost věnovanou souhlasu v reakci. Nízké vymáhání na jakémkoli trhu pravděpodobně nezůstane status quo na neurčito.

Problém harmonizace GDPR

Data na úrovni zemí v této studii jsou v některých ohledech výzvou pro cíl harmonizace GDPR. Nařízení mělo vytvořit jednotný standard v celé EU, nahrazující mozaiku národních zákonů o ochraně osobních údajů. Z hlediska právního textu uspělo. Z hlediska reality dodržování zatím ne.

Webová stránka v Rakousku má třikrát menší pravděpodobnost, že bude vysoce riziková, než webová stránka v Maďarsku. Francouzský uživatel klikající na "Odmítnout" čelí stejné 80,4% míře selhání jako polský uživatel. Consent banner se s větší pravděpodobností objeví v Dánsku než v Nizozemsku. Žádný z těchto rozdílů nemá právní základ -- všechny jsou důsledky rozdílného vymáhání.

To vyvolává obtížnou otázku: může regulační rámec, který závisí na národních orgánech vymáhání s naprosto odlišnými zdroji a prioritami, poskytnout jednotnou ochranu? Data naznačují, že odpověď je v současnosti ne. Propast mezi Německem/Rakouskem a Maďarskem/Českem se nezmenšuje -- a nezmenší se bez výrazného vyrovnání zdrojů úřadů pro ochranu údajů nebo přesunu k vymáhání na úrovni EU pro běžná, technicky měřitelná porušení jako sledování před souhlasem.

Souhlas s cookies je ironicky jednou z nejsnáze ověřitelných povinností GDPR ve velkém měřítku. Na rozdíl od posuzování zákonnosti činnosti zpracování údajů nebo přiměřenosti posouzení dopadu na ochranu soukromí je kontrola, zda webová stránka nastavuje sledovací cookies před souhlasem, objektivním, automatizovatelným měřením. Pokud EU nedokáže dosáhnout konvergence vymáhání u tohoto nejměřitelnějšího z porušení, vyhlídky na konvergenci u obtížnějších otázek jsou chmurné.

Metodologická poznámka

Výběr webových stránek vycházel ze seznamu Tranco Top 1M, filtrovaného podle přiřazení k zemi. Přiřazení k zemi používalo jako primární signál národní domény nejvyšší úrovně (ccTLD), doplněné údaji o registraci a hostingu tam, kde byly domény nejednoznačné (např. domény `.com`). Stránky s nejasným přiřazením k zemi byly vyloučeny z analýzy na úrovni zemí, ale zahrnuty do souhrnných celoevropských údajů.

Každá stránka byla naskenována pomocí identických kritérií: chování před souhlasem, detekce banneru, testování toku odmítnutí (kde bylo identifikováno tlačítko odmítnutí), analýza životnosti cookies a hodnocení přístupnosti. Skener neprováděl žádné úpravy podle země původu -- maďarská stránka byla hodnocena stejnou metodikou a prahovými hodnotami jako německá.

Velikosti vzorků se liší podle země, což odráží rozložení webových stránek EU v seznamu Tranco. Země s většími digitálními ekonomikami (Německo, Francie, Nizozemsko) přispívají více stránek. Všechna procenta jsou vypočtena vůči vzorku na úrovni země, nikoli vůči celoevropskému celku.

---

Podívejte se, jak si vaše stránka stojí. Spusťte bezplatný sken na gdprprivacymonitor.eu a získejte stejné hodnocení dodržování předpisů, které jsme aplikovali na každou stránku v této studii -- s kompletními důkazy, rizikovým skóre a praktickými zjištěními.