Παρακολούθηση πριν από τη συγκατάθεση: τι είναι και γιατί οι ρυθμιστικές αρχές την αντιμετωπίζουν ως παράβαση
Αιτήματα δικτύου που μεταφέρουν αναγνωριστικά και ενεργοποιούνται προτού ο χρήστης δώσει συγκατάθεση. Το πιο συχνό ελάττωμα ΓΚΠΔ / ePrivacy στον ευρωπαϊκό ιστό, και αυτό για το οποίο οι αρχές ήταν πιο πρόθυμες να επιβάλουν πρόστιμα.
Lukas Kontur · · 6 λεπτά ανάγνωσης
Η παρακολούθηση πριν από τη συγκατάθεση είναι μια κατηγορία ευρημάτων στον σαρωτή μας. Ενεργοποιείται όταν, μεταξύ της έναρξης μιας νέας φόρτωσης σελίδας και της στιγμής που ο χρήστης εκτελεί οποιαδήποτε ενέργεια στο banner συγκατάθεσης, ο φυλλομετρητής στέλνει ένα ή περισσότερα αιτήματα δικτύου που μεταφέρουν αναγνωριστικά, περιέχουν μη απαραίτητα payloads ανάλυσης ή εγκαθιστούν μη απαραίτητα cookies.
Αυτό είναι το συχνότερο ελάττωμα που εντοπίζουμε. Στη σάρωση 97.000 ιστότοπων της ΕΕ, η πλειονότητα των κατατάξεων υψηλού κινδύνου προέκυψε από παρακολούθηση πριν από τη συγκατάθεση, όχι από την έλλειψη banner ή από ελαττωματικά κουμπιά απόρριψης.
Τι ψάχνει ο σαρωτής
Ο ανιχνευτής παρακολουθεί το δίκτυο από τη στιγμή που ο φυλλομετρητής στέλνει το αίτημα εγγράφου έως ότου συμβεί ένα από τα τρία ακόλουθα:
- Ο χρήστης πατά ένα κουμπί στο banner συγκατάθεσης (αποδοχή, απόρριψη, ρυθμίσεις).
- Γράφεται ένα μετρήσιμο cookie κατάστασης συγκατάθεσης ή μια εγγραφή
localStorage. - Λήγει ένα χρονικό όριο (προεπιλογή 8 δευτερόλεπτα) χωρίς κανένα σήμα συγκατάθεσης.
Κάθε αίτημα που ενεργοποιείται σε αυτό το παράθυρο εξετάζεται για τρία σήματα:
- Γνωστό αποτύπωμα ιχνηλάτη. Ο τομέας προορισμού, η διαδρομή του αιτήματος ή το μοτίβο του payload αντιστοιχεί σε εγγραφή της βάσης ιχνηλατών μας. Αυτό περιλαμβάνει Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, X conversion pixels και πολλά άλλα.
- Payload που μεταφέρει αναγνωριστικό. Το αίτημα μεταφέρει σταθερό αναγνωριστικό πελάτη (cookie, hash αποτυπώματος ή παράμετρο ερωτήματος που επιβιώνει μεταξύ σελίδων).
- Εγγραφή μη απαραίτητου cookie. Η απόκριση εγκαθιστά cookie που, βάσει ταξινόμησης, δεν είναι αυστηρά απαραίτητο για τη λειτουργικότητα του ιστότοπου.
Ένα μόνο από αυτά αρκεί για να ενεργοποιηθεί το εύρημα. Και τα τρία μαζί είναι το τυπικό μοτίβο για έναν container Google Tag Manager που ενεργοποιείται πριν από την πύλη συγκατάθεσης.
Το νομικό πλαίσιο, συνοπτικά
Δεν είμαστε ο δικηγόρος σας. Τα απλά γεγονότα:
- GDPR Art. 6(1)(a) απαιτεί έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Για τους μη απαραίτητους ιχνηλάτες, αυτή είναι η συγκατάθεση.
- GDPR Art. 7 ορίζει τα κριτήρια για το πώς πρέπει να μοιάζει η έγκυρη συγκατάθεση: ελεύθερα παρεχόμενη, συγκεκριμένη, ενημερωμένη, αναμφισβήτητη και ανακλητή.
- ePrivacy Directive Art. 5(3) απαιτεί ρητά συγκατάθεση πριν από την αποθήκευση ή την πρόσβαση σε πληροφορίες στον τερματικό εξοπλισμό του χρήστη — δηλαδή πριν από την ανάγνωση ή την εγγραφή cookies και παρόμοιων αναγνωριστικών. Το αν ένα συγκεκριμένο αίτημα δικτύου πριν από τη συγκατάθεση συνιστά παράβαση εξαρτάται από το αν διαβάζει ή γράφει πληροφορίες στη συσκευή, από το αν μεταφέρει αναγνωριστικά και από το αν μπορεί να δικαιολογηθεί ως «αυστηρά απαραίτητο» — αυτά είναι τα ερωτήματα που σταθμίζουν οι αρχές.
Οι εθνικές υλοποιήσεις διαφέρουν στις λεπτομέρειες. Το γερμανικό TTDSG (νυν TDDDG) και η γαλλική μεταφορά μέσω του Loi Informatique et Libertés, όπως εφαρμόζεται από τη CNIL, έχουν παραγάγει τη πλέον ορατή επιβολή. Οι DPAs σε ολόκληρη την ΕΕ έχουν προειδοποιήσει για μοτίβα παρακολούθησης πριν από τη συγκατάθεση· συγκεκριμένα όρια επιβολής διαφέρουν ανά δικαιοδοσία. Η υποκείμενη αρχή είναι παντού η ίδια: πρώτα η συγκατάθεση, μετά ο ιχνηλάτης.
Τι έχουν κάνει στην πράξη οι αρχές
Ένα σύντομο, μερικό χρονοδιάγραμμα αποφάσεων όπου η παρακολούθηση πριν από τη συγκατάθεση ήταν το κεντρικό εύρημα:
- CNIL κατά Google (Δεκέμβριος 2020): 100 εκατομμύρια EUR για την τοποθέτηση διαφημιστικών cookies στο
google.frχωρίς προηγούμενη συγκατάθεση. - CNIL κατά Amazon Europe Core (Δεκέμβριος 2020): 35 εκατομμύρια EUR για το ίδιο μοτίβο στο
amazon.fr.
Δεν είναι οι μόνες περιπτώσεις — είναι οι καθοριστικές. Το μοτίβο είναι σταθερό: η αρχή μέτρησε τη συμπεριφορά δικτύου και αντιμετώπισε την τεχνική πραγματικότητα ως καθοριστική, ανεξάρτητα από το κείμενο της πολιτικής.
Τα σενάρια που την προκαλούν συχνότερα
Κατά προσέγγιση σειρά συχνότητας με την οποία τα εντοπίζουμε ως την κύρια αιτία σε μια σάρωση υψηλού κινδύνου:
- Containers του Google Tag Manager διαμορφωμένοι χωρίς gating μέσω consent-mode ή με το consent-mode διαμορφωμένο εσφαλμένα έτσι ώστε η προεπιλεγμένη κατάσταση να είναι «granted».
- Meta Pixel που φορτώνεται απευθείας μέσω
<script src>αντί να προστατεύεται πίσω από callback συγκατάθεσης. - Hotjar session recording που ξεκινά πριν το banner απορριφθεί.
- LinkedIn Insight για B2B retargeting, ιδιαίτερα σε ιστότοπους agencies και SaaS.
- TikTok Pixel σε καταναλωτικό ecommerce.
- Υλοποιήσεις first-party analytics που διαβάζουν ιδιότητες
navigatorή εγκαθιστούν fingerprinting cookies πριν από οποιαδήποτε ενέργεια χρήστη.
Ο κοινός παρονομαστής σχεδόν ποτέ δεν είναι το ίδιο το σενάριο — είναι η υλοποίηση. Καθένας από αυτούς τους παρόχους δημοσιεύει έναν τεκμηριωμένο τρόπο για τον έλεγχο της ενεργοποίησης με βάση ένα σήμα συγκατάθεσης· οι προεπιλεγμένες οδηγίες εγκατάστασης, ωστόσο, συχνά δεν τον αναφέρουν.
Πώς μοιάζει μια καθαρή σάρωση
Ένας ιστότοπος που περνά τον έλεγχό μας πριν από τη συγκατάθεση κάνει ένα από τα παρακάτω:
- Δεν φορτώνει καθόλου παρακολούθηση τρίτων μέχρι να δοθεί συγκατάθεση. Λειτουργικά cookies (session, προτίμηση γλώσσας, CSRF) είναι αποδεκτά.
- Φορτώνει τον tag manager σε κατάσταση «denied», με όλες τις μη απαραίτητες ετικέτες προστατευμένες πίσω από ρητά σήματα συγκατάθεσης, και ενημερώνει την κατάσταση μέσω Google Consent Mode v2 ή ισοδύναμου μηχανισμού αφού ενεργήσει ο χρήστης.
- Φορτώνει stubs ιχνηλατών που δεν μεταδίδουν αναγνωριστικά μέχρι να τεθεί η σημαία συγκατάθεσης.
Στο corpus Q1 2026 με 97.000 ιστότοπους ΕΕ, το 68% είχε ενεργή υπηρεσία παρακολούθησης πριν από οποιαδήποτε απόφαση συγκατάθεσης. Η μειοψηφία ιστότοπων που περνά τον έλεγχο πριν από τη συγκατάθεση έχει κοινό προφίλ: στο παράθυρο πριν τη συγκατάθεση κυριαρχούν το ίδιο το έγγραφο, αρχεία CSS και γραμματοσειρών, και ένα favicon — τίποτα που να μεταφέρει αναγνωριστικό έξω από τη συσκευή.
Πώς διορθώνεται
Η ειλικρινής εκδοχή: δεν υπάρχει συντόμευση. Κάθε ετικέτα πρέπει να ελεγχθεί ως προς το αν ενεργοποιείται πριν τεθεί το σήμα συγκατάθεσης. Βήματα που λειτουργούν στην πράξη:
- Ανοίξτε τον ιστότοπο σε καθαρό προφίλ φυλλομετρητή με ανοιχτά τα dev tools.
- Φιλτράρετε το δίκτυο σε «τρίτοι» και επαναφορτώστε.
- Οτιδήποτε ενεργοποιείται προτού πατήσετε κουμπί banner είναι υποψήφιο.
- Για κάθε υποψήφιο, βρείτε τον loader (συνήθως ένα script tag, ένα trigger tag manager ή inline snippet) και κάντε την ενεργοποίηση εξαρτώμενη από το σήμα συγκατάθεσης.
- Επανελέγξτε. Επαναλάβετε μέχρι το παράθυρο πριν τη συγκατάθεση να είναι καθαρό από ιχνηλάτες.
Αν χρησιμοποιείτε πλατφόρμα διαχείρισης συγκατάθεσης, η λειτουργία «αποκλεισμός μέχρι τη συγκατάθεση» είναι αναγκαία αλλά όχι επαρκής — πολλές CMPs μπλοκάρουν μόνο την εγγραφή του cookie, όχι το αίτημα. Το Article 5(3) της ePrivacy Directive απαιτεί συγκατάθεση πριν από την αποθήκευση ή την πρόσβαση σε πληροφορίες στη συσκευή του χρήστη (cookies, local storage, παρόμοια αναγνωριστικά). Το αν ένα συγκεκριμένο αίτημα δικτύου πριν τη συγκατάθεση ενεργοποιεί αυτή την υποχρέωση εξαρτάται από το τι διαβάζει ή γράφει το αίτημα στη συσκευή — ζήτημα που εξαρτάται από τα πραγματικά περιστατικά.
Για ένα πρακτικό παράδειγμα στον δικό σας τομέα, εκτελέστε μια σάρωση και δείτε το πάνελ «δίκτυο πριν τη συγκατάθεση» της αναφοράς. Κάθε προβληματικό αίτημα παρατίθεται με τη στοίβα εκκίνησής του, ώστε να μπορείτε να το εντοπίσετε στο αρχείο πηγής στον κώδικά σας.
Τελευταία ενημέρωση: