Which EU Countries Take Cookie Compliance Most Seriously?

GDPR on üks määrus. Üks tekst. Vahetult kohaldatav igas EL-i liikmesriigis ilma riikliku ülevõtmise vajaduseta (erinevalt ePrivacy direktiivist, mis seda nõuab, lisades veel ühe variatsioonikihi). Teoreetiliselt seisavad Ungari veebisaidid silmitsi samade õiguslike kohustustega kui Saksamaa veebisaidid. Praktikas on lõhe teooria ja reaalsuse vahel tohutu.

Kui skaneerisime 97 304 veebisaiti 25-s 27-st EL-i liikmesriigist, leidsime, et kõrge riskiga veebisaitide osakaal ulatub 20,9%-st Austrias kuni 58,8%-ni Ungaris -- peaaegu kolmekordne suhe. Sama määrus, sama skaneerimismetoodika, samad klassifitseerimiskriteeriumid, märgatavalt erinevad tulemused. Andmed viitavad sellele, et vastavus korreleerub vähem sellega, mida seadus ütleb, kui sellega, kui aktiivselt seda jõustatakse.

Täielik pingerida

Allolev tabel näitab iga riiki meie uuringus, järjestatuna kõrge riskiga klassifitseeritud veebisaitide protsendi järgi. Kõrge risk tähendab, et sait ilmutas olulisi nõusolekurikkumisi: nõusolekueelne jälgimine, keeldumise voo ebaõnnestumised, puuduv nõusolekumehhanism koos aktiivse jälgimisega või nende kombinatsioonid. Näitame ka keskmist riskiskoori (pidev 0-100 mõõdik) ja bänneri tuvastamise määra -- skaneeritud saitide protsent, kus meie süsteem tuvastas nõusolekubänneri.

(Bänneri tuvastamise määrad on näidatud, kus meie andmestikus saadaval. "--" tähistab, et andmeid ei olnud selle riigi kohta eraldi esitatud.)

Keskmine riskiskoor annab nüansirikkama vaate kui binaarne kõrge riski klassifikatsioon. Märkige, et Madalmaadel on suhteliselt mõõdukas kõrge riski määr (43,5%), kuid võrdlemisi kõrge keskmine riskiskoor (53,1), viidates sellele, et kuigi vähem Hollandi saite ületab kõrge riski piiri, kipuvad need, mis ületavad, olema tõsisemalt nõuetele mittevastavad. Rootsi näitab sarnast mustrit vastupidiselt: madalam kõrge riski määr (33,4%), kuid suhteliselt kõrge keskmine skoor (49,0), viidates mõõdukate rikkumiste laiale levikule.

Tase 1: liidrid -- Saksamaa ja Austria

Saksamaa (23,7% kõrge risk) ja Austria (20,9% kõrge risk) on selged erandid. Nende veebisaidid on ligikaudu poole vähem tõenäoliselt kõrge riskiga klassifitseeritud võrreldes kogu EL-i keskmise 41%-ga. Mõistmaks, miks, tuleb vaadata mõlema riigi jõustamisökosüsteemi.

Saksamaa: jõustamise sügavus ja ulatus

Saksamaa andmekaitsemaastik on Euroopas ainulaadne. Lisaks föderaalsele BfDI-le (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit) on igal Saksamaa kuueteistkümnest liidumaal oma sõltumatu andmekaitseasutus. See tähendab, et Saksamaal on kokku seitseteist andmekaitseasutust, millest mitmed on olnud Euroopa aktiivsemad nõusoleku jõustamisel.

Baieri andmekaitseasutus (BayLDA) viis läbi sektoriülese küpsiste nõusoleku auditi veebisaitidel aastatel 2020-2021, saates ametlikke küsimustikke sadadele ettevõtetele ja jätkates jõustamistoimingutega. Hamburgi andmekaitseasutus andis välja üksikasjalikud juhised Google Analytics'i ja nõusolekuanõuete kohta. Mitmed liidumaa andmekaitseasutused on läbi viinud koordineeritud jõustamiskampaaniaid, mis on suunatud konkreetsetele rikkumistele -- nõusolekueelne jälgimine, puuduvad keeldumise valikud ja nõuetele mittevastavad küpsisebännerid.

See jõustamistihedus loob Saksamaa veebisaidi operaatoritele teistsuguse riskiarvestuse. Kui teie valdkonna kolleegid on saanud ametlikke päringuid andmekaitseasutuselt ja kui jõustamisjuhised on piisavalt konkreetsed, et öelda teile täpselt, mis on ja mis ei ole vastuvõetav, muutub mittevastavuse hind teoreetilisest konkreetseks.

On ka kultuuriline mõõde. Saksamaa andmekaitseteadlikkus ulatub GDPR-ist kaugemale. 1983. aasta Volkszählung (rahvaloenduse) otsus föderaalse konstitutsioonikohtu poolt kehtestas informatsiooni enesemääramise põhiseadusliku õigusena aastakümneid enne GDPR-i olemasolu. See lõi ühiskondliku ootuse andmekaitse ümber, mis mõjutab nii ettevõtete käitumist kui ka tarbijate ootusi viisidel, mida on raskem kvantifitseerida, kuid mis peegelduvad selgelt andmetes.

Austria: varajane Schrems II järgne jõustamine

Austria DSB (Datenschutzbehörde) pälvis rahvusvahelist tähelepanu, andes välja ühe esimestest jõustamisotsustest Schrems II järelmajas, leides, et veebisaidi Google Analytics'i kasutamine rikkus GDPR-i, kuna andmeedastused USA-sse ei olnud piisavalt kaitstud. See otsus -- mida hiljem kordasid Prantsuse CNIL ja Itaalia Garante -- saatis Austria veebisaidi operaatoritele selge signaali, et nõusolek ja jälgimine on aktiivsed jõustamisprioriteedid.

Austria 20,9% kõrge riski määr, madalaim meie uuringus, viitab sellele, et signaal võeti vastu. Kui andmekaitseasutus tõendab konkreetsete, avalikustatud otsustega, et nõusolekurikkumisi jälitatakse, reageerib vastavusmäär. Austria on meie andmetes selgeim näide sellest, kuidas jõustamine korreleerub mõõdetava käitumismuutusega, kuigi muud tegurid -- turustruktuur, kultuurilised hoiakud -- tõenäoliselt samuti aitavad kaasa.

Tase 2: Põhjamaade kesktee -- Rootsi, Soome, Taani

Rootsi (33,4%), Soome (40,3%) ja Taani (42,1%) hõivavad keskmise riba, mis on parem kui EL-i keskmine, kuid oluliselt Saksamaa-Austria liidritest maas.

Põhjamaadel on ühised tugevad kultuurilised väärtused privaatsuse ja institutsionaalse usalduse ümber, kuid nende andmekaitseasutused on üldiselt võtnud konkreetselt nõusoleku osas vähem agressiivse jõustamisseisukoha. Rootsi IMY (Integritetsskyddsmyndigheten) on andnud välja märkimisväärseid otsuseid -- sealhulgas märkimisväärne trahv Google'ile õiguse-olla-unustatud ebaõnnestumiste eest -- kuid selle nõusolekuspetsiifiline jõustamine on olnud piiratum. Soome tietosuojavaltuutettu ja Taani Datatilsynet on sarnaselt keskendunud andmelekete teavitamisele ja valdkondlikule juhendamisele, mitte laiaulatuslikele küpsiste nõusolekukampaaniatele.

Rootsi 33,4% kõrge riski määr on siiski märgatavalt parem kui Lääne-Euroopa keskmine, viidates sellele, et kultuurilised hoiakud privaatsuse suhtes võivad osaliselt kompenseerida harvema jõustamise. Põhjamaade internetikasutajad on laiemalt privaatsuseteadlikumad, mis võib luua turusurvet paremate nõusolekurakenduste jaoks isegi regulatiivsurve puudumisel.

Bänneri tuvastamise määrad on siin õpetlikud. Taani näitab 57,0% bänneri tuvastamise määra -- kõrgeim mis tahes riigile, kus meil see andmepunkt on -- ja Soome näitab 54,6%. See tähendab, et Põhjamaade saidid paigaldavad tõenäolisemalt nõusolekubänneri, isegi kui selle bänneri taga olev rakendus ei ole alati täielikult nõuetele vastav. See viitab kohustuse teadvustamisele isegi seal, kus teostus jääb puudu.

Tase 3: Lääne-Euroopa -- Prantsusmaa, Madalmaad, Belgia, Hispaania, Itaalia

Viis Lääne-Euroopa riiki koonduvad tihedalt vahemikku 42,1% kuni 44,6% kõrge risk: Belgia (42,1%), Madalmaad (43,5%), Prantsusmaa (44,1%), Hispaania (44,1%) ja Itaalia (44,6%). See kobar asub EL-i keskmise 41% lähedal ja võib esindada vastavuse baastaset -- taset, mille saate, kui jõustamine eksisteerib, kuid ei ole piisavalt sage ega sihitud, et nõela oluliselt liigutada.

Prantsusmaa: kõrge profiiliga jõustamise paradoks

Prantsusmaa on tähelepanuväärne, sest CNIL on vaieldavalt Euroopa rahvusvaheliselt nähtavaim andmekaitseasutus. Ta on määranud rekordilisi trahve Google'ile (150 miljonit eurot nõusolekurikkumiste eest 2022. aastal), Amazonile (35 miljonit eurot) ja Microsoftile (60 miljonit eurot). Ta avaldas 2020. aastal üksikasjalikud juhised küpsiste ja nõusoleku kohta ning andis Prantsuse veebisaitidele kuuekuulise üleminekuaja vastavuse saavutamiseks. Ta viis läbi koordineeritud jõustamislaineid, mis olid suunatud saitidele, mis ei olnud keeldumise valikuid rakendanud.

Siiski asub Prantsusmaa 44,1% kõrge riskiga -- täpselt Lääne-Euroopa keskmine. Kuidas saab kõige aktiivsem jõustaja toota ainult keskmist vastavust?

Vastus peitub tõenäoliselt Prantsuse veebi struktuuris. Prantsusmaal on suur, mitmekesine digitaalmajandus sadade tuhandete veebisaitidega, mida haldavad väikesed ja keskmised ettevõtted, kohalikud omavalitsused ja organisatsioonid, kes ei pruugi CNIL-i jõustamisuudiseid tähelepanelikult jälgida. CNIL-i kõrge profiiliga meetmed tehnoloogiahiidude vastu tekitavad rahvusvahelisi pealkirju, kuid ei pruugi muuta käitumist tuhandete väikeettevõtete saitide seas, mis kasutavad vaikimisi WordPress'i paigaldusi konfigureerimata nõusolekuplugnatega. Jõustamine, mis sihtib jaotuse pead, ei liiguta tingimata saba.

See on oluline mõistmine kõigile andmekaitseasutustele: pealkirju tegevad trahvid hoiavad suuri ettevõtteid eemal, kuid ei pruugi nihutada kogu vastavusmäära, mida domineerib väikeste ja keskmiste saitide pikk saba. Lai käitumismuutus nõuab kas massjõustamist (ebapraktiline praeguste andmekaitseasutuste ressurssidega) või tööriistu, mis muudavad vastavuse vaikimisi seadeteks, mitte erandiks.

Madalmaad: madal bännerimäär, mõõdukas risk

Madalmaad näitavad huvitavat mustrit: 43,5% kõrge riski määr (mõõdukas), kuid ainult 40,3% bänneri tuvastamise määr -- madalaim riikide seas, kus meil see andmepunkt on. See tähendab, et Hollandi saidid paigaldavad vähem tõenäoliselt nõusolekubännerit, kuid nende seas, mis seda teevad, võib rakenduse kvaliteet olla mõnevõrra parem. See võib ka peegeldada Hollandi veebiökosüsteemi, mis sisaldab paljusid saite minimaalse jälgimisega (bännerit pole vaja) kõrvuti saitidega, mis jälgivad intensiivselt ilma bänneriga vaevumata.

Hollandi AP (Autoriteit Persoonsgegevens) on olnud aktiivne GDPR-i jõustamises üldiselt, kuid on andnud välja vähem nõusolekuspetsiifilisi otsuseid võrreldes Saksamaa andmekaitseasutuste või CNIL-iga. AP jõustamisprioriteedid on keskendunud valitsuse andmetöötlusele, tervishoiuandmetele ja laiaulatuslikule jälgimisele, kusjuures nõusolekurikkumised on saanud suhteliselt vähem tähelepanu.

Tase 4: Ida- ja Lõuna-Euroopa -- Kreeka, Poola, Rumeenia, Tšehhi, Ungari

Pingerida allosas domineerivad Kesk- ja Ida-Euroopa riigid, mille kõrge riski määrad ulatuvad 52,5%-st (Kreeka) kuni 58,8%-ni (Ungari). Nendes riikides on rohkem kui pooltel skaneeritud veebisaitidest kõrge riski vastavusprofiil.

Ühine niit ei ole õigusliku kohustuse puudumine -- GDPR kehtib identselt -- vaid alarahastatud andmekaitseasutuste muster, kus on vähem jõustamistoiminguid, mis on suunatud konkreetselt nõusolekule. Ungari NAIH, Poola UODO, Rumeenia ANSPDCP ja Tšehhi UOOU on kõik keskendunud oma piiratud jõustamiseelarved valdkondadele nagu andmelekete teavitamine, andmesubjektide juurdepääsupäringud ja kõrge profiiliga kaebused, mitte ennetavatele küpsiste nõusolekuauditidele.

See on ratsionaalne käitumine alarahastatud regulaatorite jaoks. Kui teil on väike meeskond ja suur majandus, mida jälgida, eelistate kaebusi ennetava jõustamise ees ja kaebused küpsiste nõusoleku kohta on suhteliselt haruldased võrreldes kaebustega andmelekete või juurdepääsupäringute keeldumiste kohta. Tulemuseks on, et nõusolekurikkumised jäävad suures osas järelevalveta ja veebisaidi operaatorid ei seisa silmitsi sisulise jõustamisriskiga.

Need andmed ei peegelda nende andmekaitseasutuste pädevust ega pühendumust. Mitmed Kesk- ja Ida-Euroopa andmekaitseasutused tegutsevad personali-elaniku suhtega, mis on murdosa Saksamaa liidumaa andmekaitseasutuste omast. Näiteks Ungari NAIH jälgib 10 miljoni elanikuga riiki. Baieri BayLDA, jälgides sarnase suurusega elanikkonda ühes Saksamaa liidumaal, on ajalooliselt omanud rohkem ressursse ja fokuseeritumat mandaati.

Järeldus on struktuurne: ühtne määrus ilma ühtse jõustamiseta toodab mitteühtlast vastavust. See on oluline leid riikide tasemel andmetes.

Jõustamise korrelatsioon

Kui joonistada andmekaitseasutuse jõustamise intensiivsus vastavusmäärade vastu (narratiivselt, kuna me ei avalda siin graafikut), on seos ilmne. Riigid, kus on kõige rohkem jõustamistoiminguid, mis on suunatud konkreetselt nõusolekule -- Saksamaa, Austria -- on madalaimad kõrge riski määrad. Riigid, kus on pealkirju tegevaid, kuid kontsentreeritud jõustamistoiminguid (Prantsusmaa), näitavad keskmist vastavust. Riigid minimaalse nõusolekuspetsiifilise jõustamisega näitavad kõrgemaid rikkumismääri.

See korrelatsioon ei tõesta põhjuslikkust -- kultuurilised tegurid, turustruktuur ja kohaliku tehnoloogiasektori küpsus mängivad kõik rolli. Kuid mustri tugevus 25 riigi lõikes on kooskõlas jõustamisega olulise tegurina, isegi kui kultuurilised ja struktuurilised erinevused mängivad samuti rolli.

Mõned märkimisväärsed jõustamistoimingud, mis näivad olevat nõela liigutanud:

• Saksamaa (2020-2022): Mitmed liidumaa andmekaitseasutused viisid läbi koordineeritud küpsiste nõusoleku auditeid, saates ametlikke kirju sadadele veebisaitidele. BayLDA avaldas KKK nõusoleku kohta, millest sai de facto vastavusstandard.
• Austria (2022): DSB Google Analytics'i otsust kajastati laialdaselt Austria tehnika- ja ärimeedias, ajendades nähtavat GA-lt Matomole üleminekut.
• Prantsusmaa (2021-2022): CNIL-i küpsiste jõustamislaine sihitis 100+ veebisaiti nõuetele mittevastavate nõusolekurakenduste tõttu, kuigi mõju näib olevat kontsentreerunud suuremate operaatorite seas.
• Itaalia (2022): Garante andis välja uuendatud küpsisejuhised, mis ajendaid vastavustegevust suuremate Itaalia veebisaitide seas, kuigi 44,6% kõrge riski määr viitab sellele, et mõju ei levinud laialdaselt.

Bänneri tuvastamise määrad riigiti

Bänneri tuvastamise määr -- saitide protsent, kus meie skanner tuvastas nõusolekumehhanismi -- varieerub oluliselt riigiti:

Taani juhib 57,0%-ga, viidates sellele, et Taani veebisaidid paigaldavad kõige tõenäolisemalt mingi nõusolekumehhanismi, isegi kui nende üldine vastavuse kvaliteet (42,1% kõrge risk) on keskpärane. Saksamaa 46,1% on madalam, kui võiks oodata arvestades selle madalat rikkumismäära, kuid see on kooskõlas: Saksamaa saidid, mis jälgivad, teevad seda tõenäolisemalt korraliku nõusolekuga, samas kui Saksamaa saidid, mis ei jälgi, võivad õiguspäraselt tegutseda ilma bännerita.

Madalmaade 40,3% on madalaim arv, mis meil on, mis ühtib ülalmärgitud Hollandi mustriga: vähem bännereid kokku, kuid mitte tingimata halvem vastavus nende seas, kes neid paigaldavad.

Need määrad peegeldavad ka metoodilist reaalsust. Sait, mis ei sea mitteolulisi küpsiseid ega kontakteeru kolmandate osapoolte jälgimisdomeenidega, ei vaja tõeliselt nõusolekubännerit ePrivacy erandi alusel rangelt vajalike küpsiste jaoks. Teatud varieeruvus bännerimäärades on seetõttu oodatud ja seaduspärane.

Mida see tähendab piiriülestele ettevõtetele

Kui te haldate veebisaiti või digitaalteenust, mis teenindab kasutajaid mitmes EL-i riigis, on nendel andmetel otsesed praktilised tagajärjed.

Teie vastavusrisk määratakse teie kõrgeima jõustamisega turu järgi. Kui teie sait teenindab Saksamaa kasutajaid, on latt tegelikult seatud Saksamaa andmekaitseasutuse ootuste järgi, olenemata sellest, kus teie ettevõte asub. GDPR-i ühe akna mehhanismi kohaselt võib teie juhtiv järelevalveasutus olla teie koduriigis, kuid iga andmekaitseasutus saab tegutseda oma elanike kaebuste alusel. Ungari veebisait, mis teenindab Saksamaa külastajaid, võib sattuda Saksamaa andmekaitseasutuste kontrolli alla. Oma riigi keskmisega võrdlemine on ebapiisav. Kui te olete Poola veebisaidi operaator ja 53,3% teie kolleegidest on kõrge riskiga, tähendab "keskmine" olemine siiski, et te ei vasta GDPR-i sõnasõnalisele nõudele. Määrus ei kohanda oma nõudeid riigiti. Ainult jõustamise tõenäosus varieerub -- ja jõustamistrendid liiguvad ühes suunas. Andmekaitseasutused, kes pole veel nõusolekut prioritiseerinud, teevad seda tõenäoliselt, kuna Euroopa-tasemel koordineerimine suureneb. EDPB surub ühtlustumise poole. Euroopa Andmekaitsenõukogu küpsisespetsiifilised juhised, töörühma tegevused ja järjepidevuse arvamused on loodud vähendama jõustamislõhet liikmesriikide vahel. EDPB nõusolekubänneri töörühma raport 2023. aastal tuvastas levinud rikkumised ja nõudis koordineeritud jõustamist ning mitmed varasemalt vähem aktiivsed andmekaitseasutused on andnud märku suuremast tähelepanust nõusolekule vastuseks. Madal jõustamine mis tahes turul ei jää tõenäoliselt lõputult status quo'ks.

GDPR-i harmoneerimise probleem

Selle uuringu riikide tasemel andmed on teatud mõttes väljakutse GDPR-i harmoneerimiseesmärgile. Määrus pidi looma ühtse standardi kogu EL-is, asendades riiklike andmekaitseseaduste lapiteki. Õigusteksti osas see õnnestus. Vastavuse reaalsuse osas veel mitte.

Austria veebisait on kolm korda vähem tõenäoliselt kõrge riskiga kui Ungari veebisait. Prantsuse kasutaja, kes klõpsab "Keeldu", seisab silmitsi sama 80,4% ebaõnnestumismääraga kui Poola kasutaja. Nõusolekubänner ilmub tõenäolisemalt Taanis kui Madalmaades. Ühelgi neist erinevustest pole õiguslikku alust -- need kõik on erineva jõustamise tagajärjed.

See tõstatab raske küsimuse: kas regulatiivne raamistik, mis sõltub riiklikest jõustamisasutustest, millel on äärmiselt erinevad ressursid ja prioriteedid, suudab pakkuda ühtset kaitset? Andmed viitavad sellele, et vastus on praegu ei. Lõhe Saksamaa/Austria ja Ungari/Tšehhi vahel ei sulgu -- ja see ei sulgu ilma andmekaitseasutuste ressursside olulise tasakaalustamiseta või EL-tasemelise jõustamise poole liikumiseta levinud, tehniliselt mõõdetavate rikkumiste nagu nõusolekueelne jälgimine puhul.

Küpsiste nõusolek on irooniliselt üks kergemini suures ulatuses kontrollitavaid GDPR-i kohustusi. Erinevalt andmetöötlustoimingu seaduspärasuse hindamisest või mõjuhinnangu piisavuse kontrollist on küpsiste seadmise kontrollimine enne nõusolekut objektiivne, automatiseeritav mõõtmine. Kui EL ei suuda saavutada jõustamise ühtlustumist selle kõige mõõdetavama rikkumise osas, on väljavaated ühtlustumiseks raskemate küsimuste osas tuhmid.

Metoodika märkus

Veebisaitide valik võeti Tranco Top 1M nimekirjast, filtreerituna riigi seose järgi. Riigi omistamine kasutas riigitunnuse TLD-sid peamise signaalina, täiendatuna registreerimis- ja hostimisandmetega, kus TLD-d olid ebaselged (nt `.com` domeenid). Ebaselge riigi seosega saidid jäeti riikide tasemel analüüsist välja, kuid kaasati EL-i ülesesse koondnumbrisse.

Iga saiti skaneeriti identsete kriteeriumide alusel: nõusolekueelne käitumine, bänneri tuvastamine, keeldumise voo testimine (kus keeldumise nupp tuvastati), küpsise eluea analüüs ja ligipääsetavuse hindamine. Skanner ei teinud kohandusi päritoluriigi järgi -- Ungari saiti hinnati sama metoodika ja piirmääradega kui Saksamaa saiti.

Valimi suurused varieeruvad riigiti, peegeldades EL-i veebisaitide jaotust Tranco nimekirjas. Suurema digitaalmajandusega riigid (Saksamaa, Prantsusmaa, Madalmaad) annavad rohkem saite. Kõik protsendid on arvutatud riigipõhise valimi, mitte kogu EL-i valimi suhtes.

---

Vaadake, kus teie veebisait asub. Tehke tasuta skaneerimine aadressil gdprprivacymonitor.eu, et saada sama vastavushinnang, mille rakendasime igale saidile selles uuringus -- koos täieliku tõendusmaterjali, riskiskoori ja rakendatavate leidudega.