We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.

Οκτώ χρόνια μετά την έναρξη ισχύος του GDPR, αποφασίσαμε να σταματήσουμε να εικάζουμε σχετικά με τη συμμόρφωση συγκατάθεσης και να τη μετρήσουμε. Στρέψαμε τον σαρωτή μας σε 97.304 ιστοσελίδες σε 25 από τα 27 κράτη μέλη της ΕΕ και καταγράψαμε ακριβώς τι συμβαίνει σε έναν πραγματικό φυλλομετρητή πριν, κατά τη διάρκεια και μετά τη συγκατάθεση. Όχι τι υπόσχεται η πολιτική απορρήτου. Όχι τι αναφέρει ο πίνακας ελέγχου του CMP. Τι πραγματικά εκτελείται στον φυλλομετρητή όταν ένας επισκέπτης για πρώτη φορά φτάνει σε μια σελίδα.

Στο σύνολο δεδομένων μας, η παρακολούθηση πριν από τη συγκατάθεση ήταν συνηθισμένη: τα δύο τρίτα των ιστοσελίδων της ΕΕ αρχίζουν να παρακολουθούν τους επισκέπτες πριν συμβεί οποιαδήποτε αλληλεπίδραση συγκατάθεσης. Περισσότερες από τις μισές δεν εμφανίζουν κανένα banner συγκατάθεσης. Και όταν οι ιστοσελίδες προσφέρουν κουμπί απόρριψης, αποτυγχάνει να σταματήσει την παρακολούθηση το 80% των φορών. Αυτά δεν είναι ακραίες περιπτώσεις ή τεχνικές λεπτομέρειες. Αυτή είναι η βασική κατάσταση συμμόρφωσης συγκατάθεσης σε ολόκληρη την Ευρωπαϊκή Ένωση το 2026.

Μεθοδολογία: Πώς το μετρήσαμε

Πριν εμβαθύνουμε στα ευρήματα, έχει σημασία πώς συλλέξαμε αυτά τα δεδομένα, γιατί η μεθοδολογία καθορίζει αν τέτοιοι αριθμοί είναι ουσιαστικοί ή παραπλανητικοί.

Η λίστα ιστοσελίδων

Αντλήσαμε το δείγμα μας από τη λίστα Tranco Top 1M, μια ερευνητικής ποιότητας κατάταξη domains που δημιουργήθηκε συνδυάζοντας δεδομένα από πολλαπλές ανεξάρτητες πηγές κατάταξης. Η Tranco σχεδιάστηκε ειδικά για να αντέχει στη χειραγώγηση και να παρέχει σταθερές κατατάξεις για μελέτες μέτρησης ιστού, καθιστώντας την τη βασική πηγή για ερευνητικά έργα μεγάλης κλίμακας στο διαδίκτυο. Φιλτράραμε τα domains που σχετίζονται με 25 από τα 27 κράτη μέλη της ΕΕ βάσει TLD κωδικών χώρας και δεδομένων εγγραφής, αποδίδοντας 114.748 υποψήφια URL. Από αυτά, 97.304 ολοκληρώθηκαν επιτυχώς -- τα υπόλοιπα απέτυχαν λόγω σφαλμάτων DNS, χρονικών ορίων σύνδεσης ή εντελώς μη προσβάσιμων ιστοσελίδων.

Τι κάνει ο σαρωτής

Κάθε σάρωση χρησιμοποιεί τον μηχανισμό σάρωσης παραγωγής μας: μια εφαρμογή Go που οδηγεί έναν πλήρη headless φυλλομετρητή Chromium μέσω του Chrome DevTools Protocol. Αυτό δεν είναι στατικός HTML scraper ή αναζήτηση σε βάση δεδομένων cookies. Για κάθε ιστοσελίδα, ο σαρωτής:

1. Εκκινεί μια καθαρή παρουσία Chromium χωρίς αποθηκευμένα cookies, χωρίς τοπική αποθήκευση και χωρίς ιστορικό περιήγησης -- προσομοιώνοντας έναν γνήσιο επισκέπτη για πρώτη φορά.

2. Πλοηγείται στην URL-στόχο και περιμένει τη φόρτωση της σελίδας.

3. Λαμβάνει ένα στιγμιότυπο πριν τη συγκατάθεση: κάθε cookie που ορίστηκε, κάθε αίτημα δικτύου που έγινε, κάθε domain τρίτου μέρους που επικοινωνήθηκε -- όλα πριν από οποιαδήποτε αλληλεπίδραση συγκατάθεσης.

4. Προσπαθεί να ανιχνεύσει το banner συγκατάθεσης χρησιμοποιώντας μια βιβλιοθήκη που καλύπτει 45 γνωστά CMP συν γενικές ευρετικές μεθόδους.

5. Αλληλεπιδρά με το banner (αποδοχή ή απόρριψη) και καταγράφει την κατάσταση μετά την αλληλεπίδραση.

6. Για τη δοκιμή ροής απόρριψης: επαναφορτώνει τη σελίδα και ελέγχει αν η απόρριψη τηρήθηκε ή αν τα cookies επανεμφανίστηκαν.

Κάθε βήμα παράγει χρονοσημασμένα αποδεικτικά στοιχεία: πλήρεις καταλόγους cookies, αρχεία αιτημάτων δικτύου και στιγμιότυπα οθόνης. Όταν λέμε ότι μια ιστοσελίδα «ενεργοποιεί παρακολούθηση πριν τη συγκατάθεση», εννοούμε ότι παρατηρήσαμε πραγματικά αιτήματα HTTP σε γνωστά domains παρακολούθησης και πραγματικά cookies στον φυλλομετρητή -- δεν συμπεράναμε κάτι από ένα script tag στον HTML.

Τι σημαίνει τεχνικά «πριν τη συγκατάθεση»

Αυτή είναι η κρίσιμη έννοια. Η συμπεριφορά πριν τη συγκατάθεση είναι ό,τι συμβαίνει μεταξύ της στιγμής που η σελίδα αρχίζει να φορτώνει και της στιγμής που ο χρήστης αλληλεπιδρά για πρώτη φορά με τον μηχανισμό συγκατάθεσης. Στην πράξη, αυτό το παράθυρο είναι συνήθως 2-5 δευτερόλεπτα, αλλά σε πολλές ιστοσελίδες εκτείνεται περισσότερο καθώς η σελίδα φορτώνει επιπλέον πόρους. Κατά τη διάρκεια αυτού του παραθύρου, ο επισκέπτης δεν είχε καμία ευκαιρία να αποδεχτεί ή να αρνηθεί οτιδήποτε. Σύμφωνα με το Άρθρο 5(3) της Οδηγίας ePrivacy (όπως ερμηνεύτηκε από το ΔΕΕ στην υπόθεση Planet49, C-673/17), η αποθήκευση πληροφοριών στη συσκευή του χρήστη ή η πρόσβαση σε ήδη αποθηκευμένες πληροφορίες απαιτεί προηγούμενη συγκατάθεση -- εκτός από cookies αυστηρά απαραίτητα για την υπηρεσία που ζήτησε ο χρήστης. Οτιδήποτε μη ουσιώδες που εκτελείται κατά τη διάρκεια αυτού του παραθύρου, εξ ορισμού λειτουργεί χωρίς έγκυρη συγκατάθεση.

Εύρημα 1: Η παρακολούθηση πριν τη συγκατάθεση είναι ο κανόνας, όχι η εξαίρεση

Ο πιο σημαντικός αριθμός σε αυτή τη μελέτη: το 68% των σαρωμένων ιστοσελίδων ενεργοποιεί παρακολούθηση τρίτων μερών πριν ο χρήστης δώσει συγκατάθεση. Στενά συνδεδεμένο: το 66,6% ορίζει cookies πριν τη συγκατάθεση.

Δεν πρόκειται για την ίδια μετρική. Μια ιστοσελίδα μπορεί να επικοινωνήσει με ένα domain παρακολούθησης τρίτου μέρους (εκτέλεση pixel, φόρτωση script) χωρίς αυτό το domain να ορίσει επιτυχώς cookie -- για παράδειγμα, αν ο φυλλομετρητής αποκλείει cookies τρίτων. Αντίστροφα, ένα cookie αναλυτικών πρώτου μέρους μπορεί να οριστεί χωρίς επικοινωνία με εξωτερικό domain. Και οι δύο συμπεριφορές είναι προβληματικές, αλλά αντιπροσωπεύουν διαφορετικούς τεχνικούς μηχανισμούς και διαφορετικές νομικές εκθέσεις.

Η κλίμακα της δραστηριότητας πριν τη συγκατάθεση είναι σημαντική:

Η διάμεσος 6 είναι αναμφισβήτητα πιο ενημερωτική από τον μέσο όρο. Οι μισές από όλες τις σαρωμένες ιστοσελίδες επικοινωνούν με τουλάχιστον έξι εξωτερικά domains πριν ο χρήστης έχει οποιαδήποτε ευκαιρία να συναινέσει. Αυτά δεν είναι δίκτυα παράδοσης περιεχομένου ή διακομιστές γραμματοσειρών (τα οποία εξαιρούμε από την ταξινόμηση παρακολούθησης). Αυτά είναι πλατφόρμες διαφήμισης και υπηρεσίες αναλυτικών.

Η ανάλυση της δραστηριότητας πριν τη συγκατάθεση ανά κατηγορία cookies αποκαλύπτει για τι χρησιμοποιείται στην πραγματικότητα αυτή η παρακολούθηση:

Σχεδόν μία στις τρεις ιστοσελίδες της ΕΕ ορίζει cookies αναλυτικών πριν τη συγκατάθεση. Σχεδόν μία στις πέντε ορίζει cookies μάρκετινγκ. Η νομική θέση σε αυτό είναι αναμφίβολη: το ΕΣΠΔ έχει επανειλημμένα επιβεβαιώσει ότι τα cookies αναλυτικών και μάρκετινγκ απαιτούν συγκατάθεση σύμφωνα με το Άρθρο 5(3) ePrivacy. Η απόφαση Planet49 του ΔΕΕ κατέστησε σαφές ότι η συγκατάθεση πρέπει να είναι ενεργή, επιβεβαιωτική πράξη -- και δεν μπορεί να είναι επιβεβαιωτική αν δεν έχει ακόμη συμβεί.

Η πρακτική συνέπεια είναι ότι μέχρι να δει ένας επισκέπτης ένα banner cookies και να σκεφτεί αν θα αποδεχτεί ή θα απορρίψει, ο φυλλομετρητής του έχει ήδη αναγνωριστεί, η επίσκεψή του έχει ήδη καταγραφεί από πλατφόρμες αναλυτικών, και σε πολλές περιπτώσεις το προφίλ περιήγησής του έχει ήδη ενημερωθεί από δίκτυα διαφήμισης. Η επιλογή συγκατάθεσης, όταν έρθει, είναι μερικώς αναδρομική -- και η αναδρομική συγκατάθεση δεν είναι καθόλου συγκατάθεση.

Εύρημα 2: Το κενό στα banner συγκατάθεσης

Περισσότερες από τις μισές ιστοσελίδες που σαρώσαμε -- 53.508 από 97.304, ή 55% -- δεν εμφάνισαν κανένα banner συγκατάθεσης που το σύστημα ανίχνευσής μας μπορούσε να αναγνωρίσει.

Αυτός ο αριθμός απαιτεί προσεκτική ερμηνεία. Δεν παραβιάζει απαραίτητα τον νόμο κάθε ιστοσελίδα χωρίς banner. Μια ιστοσελίδα που δεν ορίζει μη ουσιώδη cookies και δεν επικοινωνεί με υπηρεσίες παρακολούθησης τρίτων μπορεί νόμιμα να λειτουργεί χωρίς μηχανισμό συγκατάθεσης. Η εξαίρεση ePrivacy για «αυστηρά απαραίτητα» cookies σημαίνει ότι μια ιστοσελίδα που χρησιμοποιεί μόνο cookies συνεδρίας για σύνδεση ή λειτουργικότητα καλαθιού αγορών δεν έχει υποχρέωση συγκατάθεσης για αυτά τα συγκεκριμένα cookies.

Αλλά αυτό δεν είναι αυτό που παρατηρούμε. Από τις 53.508 ιστοσελίδες χωρίς ανιχνεύσιμο banner, 18.026 ορίζουν ενεργά μη ουσιώδη cookies και επικοινωνούν με domains παρακολούθησης τρίτων. Αυτές οι ιστοσελίδες δεν έχουν μηχανισμό συγκατάθεσης και παρακολουθούν τους επισκέπτες από την πρώτη φόρτωση σελίδας. Δεν γνωρίζουμε έγκυρη νομική βάση για αυτό ούτε υπό τον GDPR ούτε υπό την Οδηγία ePrivacy.

Οι υπόλοιπες ιστοσελίδες χωρίς banner εμπίπτουν σε αρκετές κατηγορίες: ιστοσελίδες που πραγματικά δεν ορίζουν μη ουσιώδη cookies (και επομένως μπορεί να μη χρειάζονται banner), ιστοσελίδες που χρησιμοποιούν μηχανισμούς συγκατάθεσης που το σύστημα ανίχνευσής μας δεν μπορούσε να αναγνωρίσει, και ιστοσελίδες που απλά δεν λειτουργούν ή έχουν ελάχιστο περιεχόμενο. Η βιβλιοθήκη ανίχνευσης 45 CMP μας συν τις γενικές ευρετικές καλύπτει τη συντριπτική πλειοψηφία των γνωστών λύσεων συγκατάθεσης, αλλά προσαρμοσμένες υλοποιήσεις σε ασυνήθιστα frameworks ή γλώσσες μπορεί να χάνονται.

Παρόλα αυτά, ο αριθμός 18.026 είναι το κατώτατο, όχι το ανώτατο όριο, για ιστοσελίδες χωρίς banner με παρακολούθηση. Αυτές είναι ιστοσελίδες όπου έχουμε θετικά αποδεικτικά στοιχεία τόσο για δραστηριότητα παρακολούθησης όσο και για απουσία banner.

Εύρημα 3: Τα κουμπιά απόρριψης αποτυγχάνουν το 80% των φορών

Αφιερώσαμε μια ξεχωριστή ανάρτηση σε αυτό το εύρημα, αλλά αξίζει σημαντική κάλυψη εδώ γιατί πλήττει την καρδιά του μοντέλου συγκατάθεσης.

Από τις 28.891 ιστοσελίδες όπου ανιχνεύσαμε και αλληλεπιδράσαμε επιτυχώς με ένα κουμπί απόρριψης, το 80,4% συνέχισε την παρακολούθηση μετά την κλικ του χρήστη στην απόρριψη. Μόνο 5.650 ιστοσελίδες (19,6%) πέρασαν τη δοκιμή ροής απόρριψης -- δηλαδή η παρακολούθηση πράγματι σταμάτησε και παρέμεινε σταματημένη.

Οι αποτυχίες κατανέμονται σε αλληλεπικαλυπτόμενες κατηγορίες:

Το consent respawn είναι ένα μοτίβο που εντοπίσαμε κατά τη διάρκεια αυτής της έρευνας. Ο χρήστης κάνει κλικ στην απόρριψη, το CMP αφαιρεί τα cookies, και στην επόμενη φόρτωση σελίδας αυτά τα cookies επανεμφανίζονται. Σε 1.642 ιστοσελίδες, παρατηρήσαμε 4.932 μεμονωμένα cookies που εμφάνιζαν αυτή τη συμπεριφορά. Ο μηχανισμός ποικίλλει -- scripts τρίτων που εκτελούνται ανεξάρτητα από την κατάσταση συγκατάθεσης, tag managers που δεν διαδίδουν την απόρριψη σε όλες τις ενσωματωμένες υπηρεσίες, κεφαλίδες Set-Cookie από τον διακομιστή που αγνοούν αποφάσεις συγκατάθεσης στην πλευρά του πελάτη -- αλλά το αποτέλεσμα είναι το ίδιο. Το κουμπί απόρριψης γίνεται προσωρινή παύση, όχι μόνιμη επιλογή.

Σύμφωνα με το Άρθρο 7(3) του GDPR, η ανάκληση συγκατάθεσης πρέπει να είναι τόσο εύκολη όσο η παροχή της, και ο υπεύθυνος επεξεργασίας πρέπει να ενεργήσει σύμφωνα με αυτήν. Ένα κουμπί απόρριψης που δεν σταματά πραγματικά την παρακολούθηση δεν πληροί αυτήν την απαίτηση ανεξάρτητα από την τεχνική αιτία.

Εύρημα 4: Σύγκριση ανά χώρα

Ο GDPR είναι ένας ενιαίος κανονισμός, αλλά η συμμόρφωση δεν είναι ομοιόμορφη. Το ποσοστό ιστοσελίδων υψηλού κινδύνου κυμαίνεται σε σχέση σχεδόν τρεις προς ένα μεταξύ κρατών μελών της ΕΕ.

Αυτό το μοτίβο είναι συνεπές με τις διαφορές στη δραστηριότητα επιβολής. Η Γερμανία και η Αυστρία -- έδρα του BfDI, δεκαέξι πολιτειακών DPA και της DSB αντίστοιχα -- είναι μεταξύ των πιο ενεργών ευρωπαϊκών αρχών στη στόχευση παραβιάσεων συγκατάθεσης και cookies ειδικά. Η DSB εξέδωσε μία από τις πρώτες αποφάσεις επιβολής μετά το Schrems II. Οι γερμανικές πολιτειακές DPA διεξήγαγαν τομεακούς ελέγχους cookies και εξέδωσαν κανονιστικές οδηγίες για το τι συνιστά έγκυρη συγκατάθεση.

Στο άλλο άκρο, η Ουγγαρία, η Τσεχία, η Ρουμανία και η Πολωνία έχουν DPA που είναι τυπικά υποχρηματοδοτημένες σε σχέση με το μέγεθος των ψηφιακών τους οικονομιών και ιστορικά εστίασαν την επιβολή σε παραβιάσεις δεδομένων και αιτήματα πρόσβασης υποκειμένων αντί στη συγκατάθεση cookies. Αυτό δεν είναι κριτική αυτών των αρχών -- λειτουργούν με τους προϋπολογισμούς που τους δίνονται -- αλλά είναι σαφής απόδειξη ότι η επιβολή οδηγεί τη συμμόρφωση. Το ίδιο νομικό κείμενο, εφαρμοζόμενο με διαφορετική ένταση επιβολής, παράγει αισθητά διαφορετικά αποτελέσματα.

Η Γαλλία είναι διδακτική. Η CNIL είναι ένας από τους πιο ορατούς ευρωπαϊκούς φορείς επιβολής, εκδίδοντας ρεκόρ προστίμων σε μεγάλες εταιρείες τεχνολογίας. Ωστόσο οι γαλλικές ιστοσελίδες κάθονται στο 44,1% υψηλού κινδύνου, κοντά στον μέσο όρο της ΕΕ. Η εξήγηση πιθανώς βρίσκεται στη στρατηγική επιβολής της CNIL: οι υψηλού προφίλ ενέργειες κατά μεγάλων πλατφορμών δημιουργούν τίτλους αλλά δεν αλλάζουν άμεσα τη συμπεριφορά χιλιάδων μικρών και μεσαίων επιχειρήσεων που αποτελούν τη μακρά ουρά του ιστού. Η ευρεία αλλαγή συμπεριφοράς απαιτεί είτε τομεακές εκστρατείες επιβολής (όπως έχει επιδιώξει η Γερμανία) είτε γενική αύξηση του αντιληπτού κινδύνου επιβολής.

Καλύπτουμε τα δεδομένα ανά χώρα σε μεγαλύτερο βάθος στην ανάρτησή μας για τη σύγκριση χωρών.

Εύρημα 5: Μερίδιο αγοράς CMP και τι μας λέει

Μεταξύ των 43.796 ιστοσελίδων (45%) που παρουσίασαν ένα ανιχνεύσιμο banner συγκατάθεσης, αναγνωρίσαμε 45 διακριτές πλατφόρμες διαχείρισης συγκατάθεσης. Η αγορά είναι συγκεντρωμένη στην κορυφή αλλά κατακερματισμένη στη μακρά ουρά.

Η μεγαλύτερη μεμονωμένη κατηγορία είναι «Γενικό / μη αναγνωρισμένο» με 34,7%. Πρόκειται για ιστοσελίδες που χρησιμοποιούν λύσεις συγκατάθεσης που δεν ταίριαζαν με κανένα από τα 45 υπογραφές CMP στη βιβλιοθήκη ανίχνευσής μας. Περιλαμβάνουν προσαρμοσμένες μπάρες cookies, plugins WordPress που δεν αναγνωρίζονται ευρέως, περιφερειακούς παρόχους CMP, και υλοποιήσεις τόσο ελάχιστες που αποτελούνται από ένα μόνο απορριπτόμενο div με ένα κουμπί «Κατάλαβα». Η ποιότητα συμμόρφωσης αυτής της κατηγορίας είναι κατά μέσο όρο σημαντικά χαμηλότερη από αυτή των καθιερωμένων CMP, αν και δεν έχουμε ακόμη δημοσιεύσει ποσοστά συμμόρφωσης ανά CMP.

Τα δεδομένα αλληλεπίδρασης με banner αποκαλύπτουν μια ακόμη ανησυχία. Από τα 43.796 banner που ανιχνεύθηκαν:

Σχεδόν ένα στα πέντε banner συγκατάθεσης δεν προσφέρει ορατό τρόπο απόρριψης μη ουσιωδών cookies χωρίς πλοήγηση σε δεύτερο επίπεδο ρυθμίσεων. Οι Κατευθυντήριες Γραμμές 05/2020 του ΕΣΠΔ για τη συγκατάθεση αναφέρουν ότι η άρνηση συγκατάθεσης δεν πρέπει να απαιτεί περισσότερη προσπάθεια από την παροχή της. Ένας σχεδιασμός που απαιτεί επιπλέον κλικ για άρνηση αλλά προσφέρει αποδοχή με ένα κλικ είναι, σύμφωνα με αυτές τις κατευθυντήριες, ένα σκοτεινό μοτίβο που υπονομεύει την εγκυρότητα της συγκατάθεσης.

Επίσης ανιχνεύσαμε συγκεκριμένες υλοποιήσεις σκοτεινών μοτίβων: 3.454 ιστοσελίδες (7,9% αυτών με banner) τοποθέτησαν την επιλογή απόρριψης μόνο στο δεύτερο επίπεδο, 84 ιστοσελίδες χρησιμοποίησαν cookie wall (αποκλεισμός περιεχομένου μέχρι τη συγκατάθεση), και 137 ιστοσελίδες εμφάνισαν αποφυγή συγκατάθεσης bot -- σκόπιμη απόκρυψη του banner από αυτοματοποιημένους σαρωτές ενώ εμφανίζεται σε ανθρώπινους επισκέπτες.

Εύρημα 6: Κατάχρηση διάρκειας ζωής cookies

Η CNIL συνιστά μέγιστη διάρκεια ζωής cookies 13 μηνών — ένα πρότυπο που έχουν υιοθετήσει ή αναφέρει αρκετές άλλες εθνικές αρχές προστασίας δεδομένων. Αυτό δεν είναι σκληρό νομικό όριο στο κείμενο του GDPR, αλλά αντικατοπτρίζει μια ερμηνεία της αρχής του περιορισμού της αποθήκευσης (Άρθρο 5(1)(ε)) όπως εφαρμόζεται σε αναγνωριστικά παρακολούθησης.

Η σάρωσή μας βρήκε 26.250 ιστοσελίδες (27%) με τουλάχιστον ένα cookie που υπερβαίνει το κατώφλι των 13 μηνών, αποτελούμενο από 58.127 μεμονωμένα cookies συνολικά.

Ο πιο συχνός παραβάτης είναι το cookie `_ga` που χρησιμοποιεί το Google Analytics, το οποίο ορίζεται με προεπιλεγμένη διάρκεια ζωής δύο ετών. Αυτό σημαίνει ότι ακόμη και ιστοσελίδες με κατά τα άλλα λειτουργικούς μηχανισμούς συγκατάθεσης συχνά παραβιάζουν απλά επειδή δεν έχουν αντικαταστήσει την προεπιλεγμένη λήξη GA cookie. Είναι θέμα ρύθμισης, όχι τεχνικός περιορισμός -- το Google Analytics επιτρέπει προσαρμοσμένες διάρκειες ζωής cookies -- αλλά η προεπιλογή δεν συμμορφώνεται με τις οδηγίες του ΕΣΠΔ, και οι περισσότεροι διαχειριστές ιστοσελίδων δεν την αλλάζουν ποτέ.

Τα μακροχρόνια cookies δημιουργούν σωρευτικό κίνδυνο απορρήτου. Ένα cookie δύο ετών δεν είναι απλά «λίγο περισσότερο από 13 μήνες». Σημαίνει ότι ένας χρήστης που επισκέπτεται μια ιστοσελίδα μια φορά, συναινεί, και δεν επιστρέφει ποτέ μπορεί να εξακολουθεί να αναγνωρίζεται και να παρακολουθείται από τα αναλυτικά αυτής της ιστοσελίδας για δύο χρόνια. Αν ο χρήστης ανακαλέσει αργότερα τη συγκατάθεση ή αλλάξει η νομική βάση, το cookie παραμένει ως αναγνωριστικό-φάντασμα μέχρι να λήξει.

Πρόσθετα ευρήματα

Αρκετά ακόμη ευρήματα από τη μελέτη αξίζουν σύντομη αναφορά:

Fingerprinting. Ανιχνεύσαμε σήματα fingerprinting φυλλομετρητή (canvas fingerprinting, WebGL fingerprinting, audio context fingerprinting) σε 4.114 ιστοσελίδες (4,2%). Το fingerprinting είναι ιδιαίτερα ανησυχητικό γιατί δεν μπορεί να εξαλειφθεί με τη διαγραφή cookies -- χρησιμοποιεί εγγενή χαρακτηριστικά του φυλλομετρητή και της συσκευής ως αναγνωριστικά. Η Οδηγία ePrivacy αντιμετωπίζει το fingerprinting ως ισοδύναμο με την παρακολούθηση βασισμένη σε cookies για σκοπούς συγκατάθεσης. Αναντιστοιχίες Google Consent Mode. Μεταξύ ιστοσελίδων που υλοποιούν Google Consent Mode, 28,4% ανιχνεύθηκε ως χρήστες του, ενώ 13,7% των ιστοσελίδων που χρησιμοποιούν υπηρεσίες Google δεν εμφάνισε υλοποίηση Consent Mode. Πιο ανησυχητικό, 11,9% εμφάνισε αναντιστοιχίες -- η κατάσταση συγκατάθεσης που αναφέρθηκε στο API του Google δεν ταίριαζε με τη πραγματική συμπεριφορά παρακολούθησης που παρατηρήθηκε στον φυλλομετρητή. Αυτό σημαίνει ότι το CMP λέει στη Google ότι η συγκατάθεση αρνήθηκε, αλλά τα αιτήματα παρακολούθησης συνεχίζουν να εκτελούνται. Προσβασιμότητα. Τα banner συγκατάθεσης είναι νομικά απαιτούμενα στοιχεία UI, και αν δεν είναι προσβάσιμα, ένα τμήμα χρηστών δεν μπορεί να ασκήσει τα δικαιώματά του. Μεταξύ των ανιχνευμένων banner: 25% είχε στόχους αφής κάτω από τα συνιστώμενα ελάχιστα μεγέθη, 15,2% είχε κείμενο χαμηλής αντίθεσης, και 3,4% δεν ήταν προσβάσιμα μέσω πληκτρολογίου. Ένα banner που δεν μπορεί να χρησιμοποιηθεί μέσω πληκτρολογίου ουσιαστικά αρνείται την επιλογή συγκατάθεσης σε χρήστες που βασίζονται σε υποστηρικτική τεχνολογία -- μια παραβίαση που τέμνει τόσο τον GDPR όσο και τους κανονισμούς προσβασιμότητας.

Συνολική κατανομή κινδύνου

Συγκεντρωτικά, η συνολική ταξινόμηση κινδύνου των 97.304 σαρωμένων ιστοσελίδων:

Το ποσοστό 14,9% μη καθοριστικών αντικατοπτρίζει ιστοσελίδες όπου ο σαρωτής δεν μπόρεσε να φτάσει σε αξιόπιστο προσδιορισμό -- τυπικά λόγω ανίχνευσης bot, πολύπλοκων αρχιτεκτονικών μονοσέλιδων εφαρμογών ή συμπεριφοράς εξαρτώμενης από χρονισμό. Αναφέρουμε αυτά τα αποτελέσματα ειλικρινά αντί να τα εξαναγκάσουμε σε ταξινόμηση επιτυχίας/αποτυχίας, γιατί η ψευδής εμπιστοσύνη σε δεδομένα συμμόρφωσης είναι χειρότερη από την παραδεκτή αβεβαιότητα.

Τι σημαίνει αυτό για τους ιδιοκτήτες ιστοσελίδων

Αν διαχειρίζεστε μια ιστοσελίδα που εξυπηρετεί επισκέπτες από την ΕΕ, τέσσερις ενέργειες αντιμετωπίζουν τα πιο συχνά και υψηλότερου κινδύνου ευρήματα:

1. Ελέγξτε τι φορτώνει πριν τη συγκατάθεση. Ανοίξτε την ιστοσελίδα σας σε ιδιωτικό παράθυρο φυλλομετρητή, ανοίξτε τα εργαλεία προγραμματιστή και παρακολουθήστε τις καρτέλες Δίκτυο και Εφαρμογή πριν αλληλεπιδράσετε με οποιοδήποτε banner. Αν βλέπετε αιτήματα σε domains αναλυτικών ή διαφήμισης, ή cookies από αυτές τις υπηρεσίες, η συμπεριφορά πριν τη συγκατάθεσή σας δεν συμμορφώνεται. Η διόρθωση είναι τυπικά στη ρύθμιση του tag manager: βεβαιωθείτε ότι τα μη ουσιώδη scripts αποκλείονται μέχρι να καταγραφεί θετική συγκατάθεση. 2. Δοκιμάστε τη ροή απόρριψής σας από άκρη σε άκρη. Κάντε κλικ στην απόρριψη στο δικό σας banner, μετά ελέγξτε αν τα μη ουσιώδη cookies εξαφανίστηκαν. Στη συνέχεια, επαναφορτώστε τη σελίδα και ελέγξτε ξανά. Αν τα cookies επανεμφανιστούν, έχετε πρόβλημα consent respawn που απαιτεί διερεύνηση ποια scripts παρακάμπτουν τον μηχανισμό συγκατάθεσής σας. Τα δεδομένα μας δείχνουν ότι αυτό επηρεάζει εκπληκτικά μεγάλο αριθμό ιστοσελίδων, ακόμη και αυτών που χρησιμοποιούν αξιόπιστα CMP. 3. Ελέγξτε τις διάρκειες ζωής των cookies σας. Αν χρησιμοποιείτε Google Analytics με προεπιλεγμένες ρυθμίσεις, το cookie `_ga` σας έχει διάρκεια ζωής δύο ετών. Αλλάξτε το σε 13 μήνες ή λιγότερο. Ελέγξτε όλα τα cookies που ορίζει η ιστοσελίδα σας και βεβαιωθείτε ότι κανένα δεν υπερβαίνει τη σύσταση του ΕΣΠΔ. Αυτή είναι μια γρήγορη διόρθωση ρυθμίσεων που εξαλείφει ένα συχνό εύρημα συμμόρφωσης. 4. Βεβαιωθείτε ότι το banner σας είναι προσβάσιμο και προσφέρει απόρριψη στο πρώτο επίπεδο. Αν η επιλογή απόρριψής σας απαιτεί πλοήγηση σε δεύτερη σελίδα ρυθμίσεων ενώ η «Αποδοχή Όλων» είναι ένα κλικ, ο μηχανισμός συγκατάθεσής σας μπορεί να μην πληροί τις κατευθυντήριες γραμμές του ΕΣΠΔ. Ελέγξτε το banner για προσβασιμότητα πληκτρολογίου, μεγέθη στόχων αφής και αναλογίες αντίθεσης.

Σημειώσεις μεθοδολογίας και ειλικρινείς περιορισμοί

Θέλουμε να είμαστε διαφανείς σχετικά με το τι μπορεί και τι δεν μπορεί να σας πει αυτή η μελέτη.

Τι μετρά καλά: Συμπεριφορά πριν τη συγκατάθεση, καταλόγους cookies, αιτήματα δικτύου σε γνωστά domains παρακολούθησης, παρουσία και δομή banner, αποτελέσματα ροής απόρριψης και διάρκειες ζωής cookies. Αυτά είναι αντικειμενικές, βασισμένες σε αποδεικτικά στοιχεία μετρήσεις που καταγράφηκαν από πραγματική συμπεριφορά φυλλομετρητή. Τι μετρά ατελώς: Η ανίχνευση CMP δεν είναι 100% πλήρης. Ιστοσελίδες που χρησιμοποιούν λύσεις συγκατάθεσης εκτός της βιβλιοθήκης 45 CMP μας μπορεί να κατηγοριοποιηθούν εσφαλμένα ως χωρίς banner. Banner που εξαρτώνται από GeoIP μπορεί να εμφανίζονται διαφορετικά ανάλογα με τη δικτυακή τοποθεσία του σαρωτή. Μονοσέλιδες εφαρμογές που διαχειρίζονται τη συγκατάθεση σε κατάσταση πλευράς πελάτη χωρίς αλλαγές DOM είναι δυσκολότερο να αξιολογηθούν. Ορισμένες ιστοσελίδες ανιχνεύουν αυτοματοποιημένους φυλλομετρητές και αλλάζουν τη συμπεριφορά τους ανάλογα (βρήκαμε 137 να το κάνουν σκόπιμα). Τι δεν μετρά: Ισχυρισμούς έννομου συμφέροντος (που απαιτούν νομική παρά τεχνική αξιολόγηση), την ποιότητα πολιτικών απορρήτου, αν τα αρχεία συγκατάθεσης αποθηκεύονται σωστά, ή αν οι δραστηριότητες επεξεργασίας δεδομένων είναι αναλογικές. Αυτές είναι σημαντικές διαστάσεις συμμόρφωσης που δεν είναι παρατηρήσιμες μόνο από τη συμπεριφορά του φυλλομετρητή.

Το ποσοστό 14,9% μη καθοριστικών είναι η δικλείδα ασφαλείας μας για ιστοσελίδες όπου δεν μπορέσαμε να φτάσουμε σε αξιόπιστο τεχνικό προσδιορισμό. Προτιμάμε την ειλικρινή αβεβαιότητα από την ψευδή ακρίβεια.

---

Ελέγξτε τη δική σας ιστοσελίδα. Εκτελέστε μια δωρεάν σάρωση στο gdprprivacymonitor.eu και δείτε ακριβώς τι συμβαίνει πριν, κατά τη διάρκεια και μετά τη συγκατάθεση στην ιστοσελίδα σας. Ο σαρωτής παράγει τα ίδια αποδεικτικά στοιχεία που παρουσιάζονται σε αυτή τη μελέτη -- στιγμιότυπα πριν τη συγκατάθεση, καταλόγους cookies, αποτελέσματα ροής απόρριψης και ταξινόμηση κινδύνου -- για οποιοδήποτε URL υποβάλετε.