Výzkum
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min čtení
Osm let po vstupu GDPR v platnost jsme se rozhodli přestat spekulovat o souladu se souhlasy a začít ho měřit. Nasměrovali jsme náš skener na 97 304 webových stránek ve 25 z 27 členských státech EU a zaznamenali přesně to, co se děje ve skutečném prohlížeči před, během a po udělení souhlasu. Ne to, co slibují zásady ochrany soukromí. Ne to, co hlásí řídicí panel CMP. To, co se skutečně spustí v prohlížeči, když na stránku poprvé zavítá návštěvník.
V našem datovém souboru bylo sledování před souhlasem běžné: dvě třetiny webových stránek EU začínají sledovat návštěvníky dříve, než dojde k jakékoli interakci se souhlasem. Více než polovina nezobrazuje žádný banner pro souhlas. A když webové stránky nabízejí tlačítko pro odmítnutí, v 80 % případů nedokáže zastavit sledování. Nejde o okrajové případy ani technické detaily. Toto je základní stav souladu se souhlasy napříč Evropskou unií v roce 2026.
Metodologie: Jak jsme to měřili
Než se ponoříme do zjištění, záleží na tom, jak jsme tato data sbírali, protože metodologie určuje, zda jsou taková čísla smysluplná, nebo zavádějící.
Seznam webových stránek
Náš vzorek jsme čerpali ze seznamu Tranco Top 1M, výzkumného žebříčku domén vytvořeného kombinací dat z více nezávislých zdrojů žebříčků. Tranco byl speciálně navržen tak, aby odolával manipulaci a poskytoval stabilní žebříčky pro studie webového měření, což z něj činí standardní zdroj pro rozsáhlý webový výzkum. Filtrovali jsme domény spojené s 25 z 27 členskými státy EU na základě národních TLD a registračních dat, čímž jsme získali 114 748 kandidátních URL. Z nich 97 304 bylo úspěšně dokončeno -- zbytek selhal kvůli chybám DNS, časovým limitům připojení nebo zcela nedostupným stránkám.
Co skener dělá
Každý sken používá náš produkční skenovací engine: aplikaci v Go, která řídí plný headless prohlížeč Chromium prostřednictvím Chrome DevTools Protocol. Nejedná se o statický HTML scraper ani o vyhledávání v databázi cookies. Pro každou webovou stránku skener:
1. Spustí čistou instanci Chromium bez uložených cookies, bez lokálního úložiště a bez historie prohlížení -- simuluje skutečného prvního návštěvníka.
2. Přejde na cílovou URL a počká na načtení stránky.
3. Pořídí snímek před souhlasem: každý nastavený cookie, každý provedený síťový požadavek, každá kontaktovaná doména třetí strany -- vše před jakoukoli interakcí se souhlasem.
4. Pokusí se detekovat banner souhlasu pomocí knihovny pokrývající 45 známých CMP plus generické heuristiky.
5. Interaguje s bannerem (přijmout nebo odmítnout) a zaznamenává stav po interakci.
6. Pro testování toku odmítnutí: znovu načte stránku a zkontroluje, zda bylo odmítnutí respektováno, nebo zda se cookies obnovily.
Každý krok produkuje časově označené důkazy: kompletní inventáře cookies, záznamy síťových požadavků a snímky obrazovky. Když říkáme, že webová stránka „aktivuje sledování před souhlasem", máme na mysli, že jsme pozorovali skutečné HTTP požadavky na známé sledovací domény a skutečné cookies nastavené v prohlížeči -- ne že jsme to odvodili ze značky skriptu v HTML.
Co technicky znamená „před souhlasem"
Toto je klíčový koncept. Chování před souhlasem je vše, co se stane mezi okamžikem, kdy se stránka začne načítat, a okamžikem, kdy uživatel poprvé interaguje s mechanismem souhlasu. V praxi toto okno obvykle trvá 2-5 sekund, ale na mnoha stránkách se prodlužuje, jak stránka načítá další zdroje. Během tohoto okna neměl návštěvník žádnou příležitost cokoli přijmout nebo odmítnout. Podle článku 5 odst. 3 směrnice ePrivacy (jak jej vyložil SDEU v rozsudku Planet49, C-673/17) vyžaduje uložení informací na zařízení uživatele nebo přístup k již uloženým informacím předchozí souhlas -- s výjimkou cookies nezbytně nutných pro službu, kterou uživatel požadoval. Cokoli nepodstatného, co se spustí během tohoto okna, ze své podstaty funguje bez platného souhlasu.
Zjištění 1: Sledování před souhlasem je normou, ne výjimkou
Nejdůležitější číslo v této studii: 68 % skenovaných webových stránek aktivuje sledování třetími stranami předtím, než uživatel udělí souhlas. Úzce související: 66,6 % nastavuje cookies před souhlasem.
Nejedná se o stejnou metriku. Webová stránka může kontaktovat sledovací doménu třetí strany (spustit pixel, načíst skript) bez toho, aby tato doména úspěšně nastavila cookie -- například pokud prohlížeč blokuje cookies třetích stran. Naopak, analytický cookie první strany může být nastaven bez kontaktování externí domény. Obě chování jsou problematická, ale představují různé technické mechanismy a různé právní expozice.
Rozsah aktivity před souhlasem je značný:
| Metrika | Hodnota |
|---|---|
| Průměrný počet domén třetích stran kontaktovaných před souhlasem | 10,4 |
| Medián domén třetích stran kontaktovaných před souhlasem | 6 |
| Maximum domén třetích stran kontaktovaných před souhlasem | 171 |
Medián 6 je pravděpodobně informativnější než průměr. Polovina všech skenovaných webových stránek kontaktuje alespoň šest externích domén předtím, než má uživatel jakoukoli příležitost souhlasit. Nejde o sítě pro doručování obsahu ani o servery písem (ty vylučujeme z klasifikace sledování). Jedná se o reklamní platformy a analytické služby.
Rozklad aktivity před souhlasem podle kategorie cookies odhaluje, k čemu toto sledování skutečně slouží:
| Kategorie cookies | Dotčené stránky | % všech stránek |
|---|---|---|
| Analytické cookies nastavené před souhlasem | 30 239 | 31,1 % |
| Marketingové cookies nastavené před souhlasem | 17 793 | 18,3 % |
| Aktivní sledovače před souhlasem (jakýkoli typ) | 42 904 | 44,1 % |
Téměř každá třetí webová stránka EU nastavuje analytické cookies před souhlasem. Téměř každá pátá nastavuje marketingové cookies. Právní pozice je v tomto ohledu jednoznačná: EDPB opakovaně potvrdil, že analytické a marketingové cookies vyžadují souhlas podle článku 5 odst. 3 ePrivacy. Rozsudek SDEU Planet49 jasně stanovil, že souhlas musí být aktivním, potvrzujícím úkonem -- a nemůže být potvrzující, pokud se ještě neuskutečnil.
Praktický důsledek je ten, že v okamžiku, kdy návštěvník uvidí banner cookies a zvažuje, zda přijmout nebo odmítnout, jeho prohlížeč již byl identifikován, jeho návštěva byla zaznamenána analytickými platformami a v mnoha případech byl jeho profil prohlížení aktualizován reklamními sítěmi. Volba souhlasu, když přijde, je částečně retroaktivní -- a retroaktivní souhlas není vůbec souhlasem.
Zjištění 2: Mezera v bannerech souhlasu
Více než polovina skenovaných webových stránek -- 53 508 z 97 304, tedy 55 % -- nezobrazila žádný banner souhlasu, který by náš detekční systém dokázal identifikovat.
Toto číslo vyžaduje pečlivou interpretaci. Ne každá webová stránka bez banneru nutně porušuje zákon. Webová stránka, která nenastavuje žádné nepodstatné cookies a nekontaktuje žádné sledovací služby třetích stran, může legitimně fungovat bez mechanismu souhlasu. Výjimka ePrivacy pro „nezbytně nutné" cookies znamená, že stránka používající pouze relační cookies pro přihlášení nebo funkčnost nákupního košíku nemá pro tyto konkrétní cookies žádnou povinnost souhlasu.
Ale to není to, co pozorujeme. Z 53 508 stránek bez detekovatelného banneru 18 026 aktivně nastavuje nepodstatné cookies a kontaktuje sledovací domény třetích stran. Tyto stránky nemají žádný mechanismus souhlasu a sledují návštěvníky od prvního načtení stránky. Není nám znám žádný platný právní základ pro toto ani podle GDPR, ani podle směrnice ePrivacy.
Zbývající stránky bez bannerů spadají do několika kategorií: stránky, které skutečně nenastavují žádné nepodstatné cookies (a proto nemusí banner potřebovat), stránky používající mechanismy souhlasu, které náš detekční systém nedokázal identifikovat, a stránky, které jsou jednoduše nefunkční nebo obsahují minimální obsah. Naše knihovna pro detekci 45 CMP plus generické heuristiky pokrývá drtivou většinu známých řešení souhlasu, ale vlastní implementace v neobvyklých frameworcích nebo jazycích mohou být přehlédnuty.
Přesto je číslo 18 026 dolní hranicí, nikoli stropem, pro stránky bez banneru se sledováním. Jedná se o stránky, kde máme pozitivní důkaz jak o sledovací aktivitě, tak o absenci banneru.
Zjištění 3: Tlačítka odmítnutí selhávají v 80 % případů
Tomuto zjištění jsme věnovali samostatný příspěvek, ale zaslouží si zde podstatné pokrytí, protože míří na samé jádro modelu souhlasu.
Z 28 891 webových stránek, kde jsme detekovali tlačítko odmítnutí a úspěšně s ním interagovali, 80,4 % pokračovalo ve sledování poté, co uživatel klikl na odmítnout. Pouze 5 650 stránek (19,6 %) prošlo testem toku odmítnutí -- což znamená, že sledování skutečně přestalo a zůstalo zastaveno.
Selhání se rozpadají do překrývajících se kategorií:
| Typ selhání | Dotčené stránky |
|---|---|
| Nepodstatné cookies stále přítomny po odmítnutí | 10 848 |
| Sledovací služby stále aktivní po odmítnutí | 14 547 |
| Detekován consent respawn (cookies se vrátily po opětovném načtení) | 1 642 |
| Jednotlivé cookies, které se obnovily | 4 932 |
Consent respawn je vzorec, který jsme identifikovali během tohoto výzkumu. Uživatel klikne na odmítnout, CMP odstraní cookies a při dalším načtení stránky se tyto cookies znovu objeví. Na 1 642 stránkách jsme pozorovali 4 932 jednotlivých cookies vykazujících toto chování. Mechanismus se liší -- skripty třetích stran, které se spouštějí bez ohledu na stav souhlasu, správci značek, kteří nešíří odmítnutí na všechny integrované služby, hlavičky Set-Cookie na straně serveru, které ignorují rozhodnutí o souhlasu na straně klienta -- ale výsledek je stejný. Tlačítko odmítnutí se stává dočasnou pauzou, nikoli trvalou volbou.
Podle článku 7 odst. 3 GDPR musí být odvolání souhlasu stejně snadné jako jeho udělení a správce musí na toto odvolání reagovat. Tlačítko odmítnutí, které ve skutečnosti nezastaví sledování, nesplňuje tento požadavek bez ohledu na technickou příčinu.
Zjištění 4: Porovnání podle zemí
GDPR je jedna regulace, ale soulad není jednotný. Procento vysoce rizikových webových stránek se liší téměř třikrát napříč členskými státy EU.
| Země | % Vysoké riziko | Prům. skóre rizika |
|---|---|---|
| Maďarsko | 58,8 % | 60,1 |
| Česko | 55,1 % | 59,0 |
| Rumunsko | 53,9 % | 56,2 |
| Polsko | 53,3 % | 56,1 |
| Řecko | 52,5 % | 54,9 |
| Itálie | 44,6 % | 51,8 |
| Španělsko | 44,1 % | 50,2 |
| Francie | 44,1 % | 49,7 |
| Nizozemsko | 43,5 % | 53,1 |
| Belgie | 42,1 % | 47,4 |
| Dánsko | 42,1 % | 48,3 |
| Finsko | 40,3 % | 46,4 |
| Švédsko | 33,4 % | 49,0 |
| Německo | 23,7 % | 33,9 |
| Rakousko | 20,9 % | 31,2 |
Tento vzorec je v souladu s rozdíly v aktivitě v oblasti vymáhání. Německo a Rakousko -- domov BfDI, šestnácti státních DPA a DSB -- patří mezi nejaktivnější evropské úřady v oblasti cílení na porušení souhlasu a cookies konkrétně. DSB vydal jedno z prvních rozhodnutí o vymáhání po Schrems II. Německé státní DPA provedly sektorové audity cookies a vydaly normativní pokyny k tomu, co představuje platný souhlas.
Na druhém konci Maďarsko, Česko, Rumunsko a Polsko mají DPA, které jsou typicky nedostatečně financovány ve vztahu k velikosti jejich digitálních ekonomik a historicky zaměřovaly vymáhání na úniky dat a žádosti o přístup subjektů údajů spíše než na souhlas s cookies. Toto není kritika těchto úřadů -- fungují s rozpočty, které jim jsou přiděleny -- ale je to jasná demonstrace toho, že vymáhání pohání soulad. Stejný právní text, aplikovaný s různou intenzitou vymáhání, produkuje výrazně odlišné výsledky.
Francie je poučná. CNIL je jedním z nejviditelnějších evropských orgánů pro vymáhání, vydávajícím rekordní pokuty velkým technologickým společnostem. Přesto francouzské webové stránky sedí na 44,1 % vysokého rizika, blízko průměru EU. Vysvětlení pravděpodobně spočívá ve strategii vymáhání CNIL: vysoce profilované akce proti velkým platformám generují titulky, ale přímo nemění chování tisíců malých a středních podniků, které tvoří dlouhý chvost webu. Široká změna chování vyžaduje buď sektorové vymáhací kampaně (jak to dělá Německo), nebo obecné zvýšení vnímané hrozby vymáhání.
Údaje o jednotlivých zemích podrobněji pokrýváme v našem příspěvku o porovnání zemí.
Zjištění 5: Tržní podíl CMP a co nám říká
Mezi 43 796 webovými stránkami (45 %), které zobrazily detekovatelný banner souhlasu, jsme identifikovali 45 různých platforem pro správu souhlasu. Trh je koncentrovaný na vrcholu, ale fragmentovaný v dlouhém chvostu.
| CMP | Stránky | Tržní podíl |
|---|---|---|
| Cookiebot | 6 481 | 14,8 % |
| OneTrust | 3 101 | 7,1 % |
| Usercentrics | 1 820 | 4,2 % |
| Complianz | 1 590 | 3,6 % |
| Didomi | 1 472 | 3,4 % |
| iubenda | 1 250 | 2,9 % |
| Generické / neidentifikované | 15 179 | 34,7 % |
Největší jednotlivou kategorií je „Generické / neidentifikované" s 34,7 %. Jedná se o stránky používající řešení souhlasu, která neodpovídala žádnému ze 45 podpisů CMP v naší detekční knihovně. Zahrnují vlastní cookie lišty, zásuvné moduly WordPress, které nejsou široce rozpoznávány, regionální poskytovatele CMP a implementace tak minimální, že sestávají z jediného uzavíratelného div s tlačítkem „Rozumím". Kvalita souladu této kategorie je v průměru výrazně nižší než u zavedených CMP, i když jsme dosud nezveřejnili míry souladu podle jednotlivých CMP.
Data o interakci s bannery odhalují další problém. Z 43 796 detekovaných bannerů:
| Funkce banneru | Prevalence |
|---|---|
| Možnost odmítnutí v první vrstvě | 56,3 % |
| Žádná viditelná možnost odmítnutí | 19,6 % |
| Nejisté (nejednoznačné UI) | 24,1 % |
Téměř každý pátý banner souhlasu nenabízí žádný viditelný způsob, jak odmítnout nepodstatné cookies bez navigace do druhé vrstvy nastavení. Pokyny EDPB 05/2020 o souhlasu uvádějí, že odmítnutí souhlasu by nemělo vyžadovat více úsilí než jeho udělení. Design, který vyžaduje další kliknutí pro odmítnutí, ale nabízí přijetí jedním kliknutím, je podle těchto pokynů temný vzorec, který podkopává platnost souhlasu.
Také jsme detekovali specifické implementace temných vzorců: 3 454 stránek (7,9 % z těch s bannery) umístilo možnost odmítnutí pouze do druhé vrstvy, 84 stránek použilo cookie wall (blokování obsahu do udělení souhlasu) a 137 stránek vykazovalo obcházení souhlasu botů -- záměrné skrývání banneru před automatizovanými skenery při jeho zobrazování lidským návštěvníkům.
Zjištění 6: Zneužívání životnosti cookies
CNIL doporučuje maximální životnost cookies 13 měsíců — standard, který několik dalších národních DPA přijalo nebo na něj odkázalo. Nejde o pevný právní limit v textu GDPR, ale odráží to výklad principu omezení uložení (článek 5 odst. 1 písm. e)) ve vztahu ke sledovacím identifikátorům.
Náš sken zjistil 26 250 webových stránek (27 %) s alespoň jedním cookie překračujícím práh 13 měsíců, zahrnujícím 58 127 jednotlivých cookies celkem.
Nejčastějším provinilcem je cookie `_ga` používaný Google Analytics, který je ve výchozím nastavení nastaven na životnost dva roky. To znamená, že i webové stránky s jinak funkčními mechanismy souhlasu jsou často v rozporu jednoduše proto, že nepřepsaly výchozí expiraci GA cookies. Je to problém konfigurace, nikoli technické omezení -- Google Analytics umožňuje vlastní životnosti cookies -- ale výchozí nastavení není v souladu s pokyny EDPB a většina provozovatelů stránek ho nikdy nemění.
Dlouhodobé cookies vytvářejí kumulativní riziko pro soukromí. Dvouletý cookie není jen „o trochu delší než 13 měsíců". Znamená to, že uživatel, který navštíví stránku jednou, udělí souhlas a už se nevrátí, může být stále identifikován a sledován analytikou stránky po dobu dvou let. Pokud uživatel později odvolá souhlas nebo se změní právní základ, cookie přetrvává jako přízračný identifikátor, dokud nevyprší.
Další zjištění
Několik dalších zjištění ze studie si zaslouží stručnou zmínku:
Fingerprinting. Detekovali jsme signály fingerprintingu prohlížeče (canvas fingerprinting, WebGL fingerprinting, audio context fingerprinting) na 4 114 webových stránkách (4,2 %). Fingerprinting je obzvláště znepokojivý, protože ho nelze odstranit smazáním cookies -- využívá vlastní charakteristiky prohlížeče a zařízení jako identifikátory. Směrnice ePrivacy zachází s fingerprintingem jako s ekvivalentem sledování na bázi cookies pro účely souhlasu. Nesoulady Google Consent Mode. Mezi stránkami implementujícími Google Consent Mode bylo 28,4 % detekováno jako jeho uživatelé, zatímco 13,7 % stránek používajících služby Google nevykazovalo žádnou implementaci Consent Mode. Znepokojivější je, že 11,9 % vykazovalo nesoulady -- stav souhlasu hlášený API Googlu neodpovídal skutečnému sledovacímu chování pozorovanému v prohlížeči. To znamená, že CMP říká Googlu, že souhlas byl odmítnut, ale sledovací požadavky pokračují. Přístupnost. Bannery souhlasu jsou právně požadované prvky UI a pokud jsou nepřístupné, segment uživatelů nemůže uplatnit svá práva. Mezi detekovanými bannery: 25 % mělo dotykové cíle pod doporučenou minimální velikostí, 15,2 % mělo text s nízkým kontrastem a 3,4 % nebylo přístupných klávesnicí. Banner, který nelze ovládat klávesnicí, fakticky odepírá volbu souhlasu uživatelům, kteří se spoléhají na asistivní technologie -- porušení, které se dotýká jak GDPR, tak předpisů o přístupnosti.Celková distribuce rizik
Souhrnně, celková klasifikace rizik 97 304 skenovaných stránek:
| Úroveň rizika | Procento |
|---|---|
| Vysoké riziko | 41,0 % |
| Nízké riziko | 27,6 % |
| Střední riziko | 16,8 % |
| Neprůkazné | 14,9 % |
Míra neprůkazných výsledků 14,9 % odráží stránky, kde skener nedokázal dosáhnout spolehlivého určení -- typicky kvůli detekci botů, složitým architekturám jednostránkových aplikací nebo chování závislému na časování. Tyto výsledky hlásíme upřímně místo toho, abychom je nutili do klasifikace prošel/neprošel, protože falešná důvěra v data o souladu je horší než přiznaná nejistota.
Co to znamená pro provozovatele webových stránek
Pokud provozujete webovou stránku sloužící návštěvníkům z EU, čtyři kroky řeší nejčastější a nejvíce rizikové nálezy:
1. Proveďte audit toho, co se načítá před souhlasem. Otevřete svou stránku v soukromém okně prohlížeče, otevřete vývojářské nástroje a sledujte záložky Síť a Aplikace předtím, než interagujete s jakýmkoli bannerem. Pokud vidíte požadavky na analytické nebo reklamní domény, nebo cookies z těchto služeb, vaše chování před souhlasem není v souladu. Oprava je typicky v konfiguraci správce značek: zajistěte, aby nepodstatné skripty byly blokovány, dokud nebude zaznamenán potvrzující souhlas. 2. Otestujte svůj tok odmítnutí od začátku do konce. Klikněte na odmítnout na vlastním banneru a poté zkontrolujte, zda nepodstatné cookies zmizely. Poté stránku znovu načtěte a zkontrolujte znovu. Pokud se cookies znovu objeví, máte problém s consent respawn, který vyžaduje vyšetření, které skripty obcházejí váš mechanismus souhlasu. Naše data ukazují, že to postihuje překvapivě velký počet stránek, i těch používajících renomované CMP. 3. Zkontrolujte životnost svých cookies. Pokud používáte Google Analytics s výchozím nastavením, váš cookie `_ga` má životnost dva roky. Změňte ji na 13 měsíců nebo méně. Zkontrolujte všechny cookies, které vaše stránka nastavuje, a zajistěte, aby žádný nepřekračoval doporučené maximum 13 měsíců. Jedná se o rychlou konfigurační opravu, která eliminuje běžný nález nesouladu. 4. Zajistěte, aby váš banner byl přístupný a nabízel odmítnutí v první vrstvě. Pokud vaše možnost odmítnutí vyžaduje navigaci na druhou stránku nastavení, zatímco „Přijmout vše" je jedno kliknutí, váš mechanismus souhlasu nemusí splňovat pokyny EDPB. Zkontrolujte banner z hlediska přístupnosti klávesnicí, velikosti dotykových cílů a kontrastních poměrů.Poznámky k metodologii a upřímná omezení
Chceme být transparentní ohledně toho, co tato studie může a co nemůže říct.
Co měří dobře: Chování před souhlasem, inventáře cookies, síťové požadavky na známé sledovací domény, přítomnost a strukturu banneru, výsledky toku odmítnutí a životnost cookies. Jedná se o objektivní měření založená na důkazech zaznamenaných ze skutečného chování prohlížeče. Co měří nedokonale: Detekce CMP není 100% komplexní. Stránky používající řešení souhlasu, která nejsou v naší knihovně 45 CMP, mohou být nesprávně kategorizovány jako stránky bez banneru. Bannery závislé na GeoIP se mohou zobrazovat odlišně v závislosti na síťové lokaci skeneru. Jednostránkové aplikace spravující souhlas ve stavu na straně klienta bez změn DOM je obtížnější posoudit. Některé stránky detekují automatizované prohlížeče a mění podle toho své chování (zjistili jsme, že 137 to dělá záměrně). Co neměří: Tvrzení o oprávněném zájmu (která vyžadují právní, nikoli technické posouzení), kvalitu zásad ochrany soukromí, zda jsou záznamy o souhlasu řádně uloženy, nebo zda jsou činnosti zpracování dat přiměřené. Jedná se o důležité dimenze souladu, které nelze pozorovat pouze z chování prohlížeče.Míra neprůkazných výsledků 14,9 % je naším pojistným ventilem pro stránky, kde jsme nedokázali dosáhnout spolehlivého technického určení. Dáváme přednost upřímné nejistotě před falešnou přesností.
Zkontrolujte svou vlastní webovou stránku. Spusťte bezplatný sken na gdprprivacymonitor.eu a podívejte se přesně, co se děje před, během a po souhlasu na vaší stránce. Skener produkuje stejné důkazy jako v této studii -- snímky před souhlasem, inventáře cookies, výsledky toku odmítnutí a klasifikaci rizik -- pro jakoukoli URL, kterou zadáte.
Zkontrolujte svůj web
Spusťte bezplatný sken souladu s GDPR — bez registrace.
Naskenujte svůj web zdarma