Tutkimus
Which EU Countries Take Cookie Compliance Most Seriously?
GDPR Privacy Monitor Research · 2026-04-12 · 5 min lukuaika
GDPR on yksi asetus. Yksi teksti. Suoraan sovellettavissa jokaisessa EU:n jäsenvaltiossa ilman kansallista täytäntöönpanoa (toisin kuin ePrivacy-direktiivi, joka edellyttää sitä, mikä lisää vaihtelun kerroksen). Teoriassa verkkosivusto Unkarissa kohtaa samat oikeudelliset velvoitteet kuin verkkosivusto Saksassa. Käytännössä ero teorian ja todellisuuden välillä on valtava.
Kun skannasimme 97 304 verkkosivustoa 25 EU:n 27 jäsenvaltiossa, havaitsimme, että korkean riskin verkkosivustojen osuus vaihtelee 20,9 %:sta Itävallassa 58,8 %:iin Unkarissa -- lähes kolminkertainen suhde. Sama asetus, sama skannausmenetelmä, samat luokittelukriteerit, huomattavasti erilaiset tulokset. Data viittaa siihen, että vaatimustenmukaisuus korreloi vähemmän sen kanssa, mitä laki sanoo, kuin sen kanssa, kuinka aktiivisesti sitä valvotaan.
Täydellinen sijoitus
Alla oleva taulukko näyttää jokaisen tutkimuksemme maan, sijoitettuna korkean riskin verkkosivustojen prosenttiosuuden mukaan. Korkea riski tarkoittaa, että sivustolla havaittiin merkittäviä suostumusrikkomuksia: seurantaa ennen suostumusta, hylkäysprosessin epäonnistumisia, puuttuvia suostumusmekanismeja aktiivisen seurannan yhteydessä tai näiden yhdistelmiä. Näytämme myös keskimääräisen riskipistemäärän (jatkuva 0-100-mittari) ja bannerin tunnistusprosentin -- prosenttiosuuden skannatuista sivustoista, joilla järjestelmämme tunnisti suostumusbannerin.
| Sija | Maa | Korkea riski % | Keskim. riskipistemäärä | Bannerin tunnistusaste |
|---|---|---|---|---|
| 1 | Itävalta | 20,9 % | 31,2 | -- |
| 2 | Saksa | 23,7 % | 33,9 | 46,1 % |
| 3 | Ruotsi | 33,4 % | 49,0 | -- |
| 4 | Suomi | 40,3 % | 46,4 | 54,6 % |
| 5 | Belgia | 42,1 % | 47,4 | -- |
| 6 | Tanska | 42,1 % | 48,3 | 57,0 % |
| 7 | Alankomaat | 43,5 % | 53,1 | 40,3 % |
| 8 | Ranska | 44,1 % | 49,7 | -- |
| 9 | Espanja | 44,1 % | 50,2 | -- |
| 10 | Italia | 44,6 % | 51,8 | -- |
| 11 | Kreikka | 52,5 % | 54,9 | -- |
| 12 | Puola | 53,3 % | 56,1 | -- |
| 13 | Romania | 53,9 % | 56,2 | -- |
| 14 | Tšekki | 55,1 % | 59,0 | -- |
| 15 | Unkari | 58,8 % | 60,1 | -- |
Keskimääräinen riskipistemäärä tarjoaa vivahteikkaamman näkymän kuin binäärinen korkean riskin luokittelu. Huomaa, että Alankomailla on suhteellisen maltillinen korkean riskin osuus (43,5 %) mutta verrattain korkea keskimääräinen riskipistemäärä (53,1), mikä viittaa siihen, että vaikka harvemmat hollantilaiset sivustot ylittävät korkean riskin kynnyksen, ne jotka ylittävät ovat yleensä vakavammin vaatimustenvastaisempia. Ruotsi osoittaa samanlaisen mallin käänteisenä: matalampi korkean riskin osuus (33,4 %) mutta suhteellisen korkea keskimääräinen pistemäärä (49,0), mikä viittaa laajaan maltillisten rikkomusten kirjoon.
Taso 1: Kärkimaat -- Saksa ja Itävalta
Saksa (23,7 % korkea riski) ja Itävalta (20,9 % korkea riski) ovat selkeitä poikkeuksia. Niiden verkkosivustoilla on noin puolet pienempi todennäköisyys saada korkean riskin luokitus verrattuna EU:n keskiarvoon 41 %. Syyn ymmärtäminen edellyttää molempien maiden täytäntöönpanoekosysteemin tarkastelua.
Saksa: täytäntöönpanon syvyys ja laajuus
Saksan tietosuojakenttä on ainutlaatuinen Euroopassa. Liittovaltion BfDI:n (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) lisäksi jokaisella Saksan kuudestatoista osavaltiosta on oma itsenäinen tietosuojaviranomainen. Tämä tarkoittaa, että Saksassa on yhteensä seitsemäntoista tietosuojaviranomaista, joista useat ovat olleet Euroopan aktiivisimpia suostumusvalvonnassa.
Baijerin tietosuojaviranomainen (BayLDA) toteutti toimialalaajuisen evästeiden suostumusauditoinnin verkkosivustoilla vuosina 2020-2021, lähettäen virallisia kyselylomakkeita sadoille yrityksille ja seuraten niitä täytäntöönpanotoimilla. Hampurin tietosuojaviranomainen julkaisi yksityiskohtaisen ohjeistuksen Google Analyticsistä ja suostumusvaatimuksista. Useat osavaltioiden tietosuojaviranomaiset ovat toteuttaneet koordinoituja täytäntöönpanokampanjoita, jotka kohdistuvat tiettyihin rikkomuksiin -- seurantaan ennen suostumusta, puuttuviin hylkäysvaihtoehtoihin ja vaatimustenvastaisiin evästebannereihin.
Tämä täytäntöönpanon tiheys luo erilaisen riskiarvion saksalaisille verkkosivustojen ylläpitäjille. Kun toimialan kollegat ovat saaneet virallisia tiedusteluja tietosuojaviranomaiselta ja kun täytäntöönpano-ohjeet ovat riittävän tarkkoja kertoakseen, mikä on ja mikä ei ole hyväksyttävää, vaatimustenvastaisuuden hinta muuttuu konkreettiseksi teoreettisen sijaan.
Asialla on myös kulttuurinen ulottuvuus. Saksan tietosuojatietoisuus ulottuu GDPR:ää syvemmälle. Liittovaltion perustuslakituomioistuimen vuoden 1983 Volkszählung (väestönlaskenta) -päätös vahvisti informaation itsemääräämisoikeuden perustuslailliseksi oikeudeksi vuosikymmeniä ennen GDPR:n olemassaoloa. Tämä loi yhteiskunnallisen odotuksen tietosuojan ympärille, joka vaikuttaa sekä yritysten käyttäytymiseen että kuluttajien odotuksiin tavoilla, joita on vaikeampi kvantifioida mutta jotka heijastuvat selvästi datassa.
Itävalta: varhainen Schrems II:n jälkeinen täytäntöönpano
Itävallan DSB (Datenschutzbehörde) sai kansainvälistä huomiota antamalla yhden ensimmäisistä täytäntöönpanopäätöksistä Schrems II:n jälkimainingeissa, todeten että verkkosivuston Google Analyticsin käyttö rikkoi GDPR:ää, koska tietosiirroilta Yhdysvaltoihin puuttuivat riittävät suojatoimet. Tämä päätös -- jota myöhemmin toistivat Ranskan CNIL ja Italian Garante -- lähetti selkeän signaalin itävaltalaisille verkkosivustojen ylläpitäjille, että suostumus ja seuranta olivat aktiivisia täytäntöönpanon prioriteetteja.
Itävallan 20,9 %:n korkean riskin osuus, tutkimuksemme alhaisin, viittaa siihen, että signaali vastaanotettiin. Kun tietosuojaviranomainen osoittaa erityisillä, julkisilla päätöksillä, että suostumusrikkomuksia tullaan tutkimaan, vaatimustenmukaisuusaste reagoi. Itävalta on yksi selkeimmistä esimerkeistä datassamme täytäntöönpanon korreloinnista mitattavan käyttäytymismuutoksen kanssa, vaikka muut tekijät -- markkinarakenne, kulttuuriset asenteet -- todennäköisesti myös vaikuttavat.
Taso 2: Pohjoismainen keskitie -- Ruotsi, Suomi, Tanska
Ruotsi (33,4 %), Suomi (40,3 %) ja Tanska (42,1 %) sijoittuvat keskikaistalle, joka on EU:n keskiarvoa parempi mutta merkittävästi Saksan ja Itävallan kärkeä jäljessä.
Pohjoismaat jakavat vahvat kulttuuriset arvot yksityisyyden ja institutionaalisen luottamuksen suhteen, mutta niiden tietosuojaviranomaiset ovat yleisesti ottaneet vähemmän aggressiivisen täytäntöönpanoaseman erityisesti suostumuksen osalta. Ruotsin IMY (Integritetsskyddsmyndigheten) on antanut merkittäviä päätöksiä -- mukaan lukien huomattava sakko Googlelle oikeuden tulla unohdetuksi rikkomuksista -- mutta sen suostumukseen kohdistuva täytäntöönpano on ollut rajoitetumpaa. Suomen tietosuojavaltuutettu ja Tanskan Datatilsynet ovat vastaavasti keskittyneet tietomurtoilmoituksiin ja toimialakohtaisiin ohjeisiin laajamittaisten evästeiden suostumuskampanjoiden sijaan.
Ruotsin 33,4 %:n korkean riskin osuus on silti huomattavasti Länsi-Euroopan keskiarvoa parempi, mikä viittaa siihen, että kulttuuriset asenteet yksityisyyttä kohtaan saattavat osittain kompensoida harvempaa täytäntöönpanoa. Pohjoismaiset internetin käyttäjät ovat yleisesti ottaen tietosuojatietoisempia, mikä voi luoda markkinapainetta parempiin suostumustoteutuksiin jopa ilman sääntelypainetta.
Bannerin tunnistusasteet ovat tässä valaisevia. Tanska osoittaa 57,0 %:n bannerin tunnistusasteen -- korkein maa, josta meillä on tämä datapiste -- ja Suomessa luku on 54,6 %. Tämä tarkoittaa, että pohjoismaiset sivustot ottavat todennäköisemmin suostumusbannerin käyttöön, vaikka bannerin takana oleva toteutus ei aina ole täysin vaatimustenmukainen. Se viittaa velvoitteen tiedostamiseen, vaikka toteutus jääkin puutteelliseksi.
Taso 3: Länsi-Eurooppa -- Ranska, Alankomaat, Belgia, Espanja, Italia
Viisi Länsi-Euroopan maata ryhmittyy tiiviisti 42,1 %:n ja 44,6 %:n korkean riskin välille: Belgia (42,1 %), Alankomaat (43,5 %), Ranska (44,1 %), Espanja (44,1 %) ja Italia (44,6 %). Tämä ryhmä sijoittuu lähelle EU:n keskiarvoa 41 % ja saattaa edustaa vaatimustenmukaisuuden perusviivaa -- tasoa, johon päästään kun täytäntöönpanoa on mutta se ei ole riittävän tiheää tai kohdennettua siirtääkseen mittaria merkittävästi.
Ranska: korkean profiilin täytäntöönpanon paradoksi
Ranska on huomionarvoinen, koska CNIL on kiistatta kansainvälisesti näkyvin tietosuojaviranomainen Euroopassa. Se on määrännyt ennätyssakkoja Googlelle (150 miljoonaa euroa suostumusrikkomuksista vuonna 2022), Amazonille (35 miljoonaa euroa) ja Microsoftille (60 miljoonaa euroa). Se julkaisi yksityiskohtaiset ohjeet evästeistä ja suostumuksesta vuonna 2020 ja antoi ranskalaisille verkkosivustoille kuuden kuukauden siirtymäajan. Se toteutti koordinoituja täytäntöönpanoaaltoja sivustoille, jotka eivät tarjonneet hylkäysvaihtoehtoa.
Silti Ranska sijoittuu 44,1 %:n korkean riskin tasolle -- tasan Länsi-Euroopan keskiarvossa. Miten aktiivisin täytäntöönpanija voi tuottaa vain keskitason vaatimustenmukaisuutta?
Vastaus piilee todennäköisesti Ranskan verkkorakenteessa. Ranskassa on suuri, monipuolinen digitaalitalous, jossa on satoja tuhansia pienten ja keskisuurten yritysten, paikallishallinnon ja järjestöjen ylläpitämiä verkkosivustoja, jotka eivät välttämättä seuraa CNIL:n täytäntöönpanouutisia tiiviisti. CNIL:n korkean profiilin toimet teknologiajättejä vastaan tuottavat kansainvälisiä otsikoita mutta eivät välttämättä muuta käyttäytymistä tuhansilla pienyrityssivustoilla, jotka käyttävät WordPress-oletusasennuksia konfiguroimattomilla suostumuslisäosilla. Täytäntöönpano, joka kohdistuu jakauman kärkeen, ei välttämättä liikuta häntää.
Tämä on tärkeä oivallus kaikille tietosuojaviranomaisille: otsikoita tuottavat sakot pelottelevat suuria yrityksiä mutta eivät välttämättä siirrä kokonaisvaatimustenmukaisuusastetta, jota dominoi pitkä häntä pieniä ja keskisuuria sivustoja. Laaja käyttäytymismuutos edellyttää joko massatäytäntöönpanoa (epäkäytännöllistä nykyisillä tietosuojaviranomaisten resursseilla) tai työkaluja, jotka tekevät vaatimustenmukaisuudesta oletuksen poikkeuksen sijaan.
Alankomaat: matala banneritaso, maltillinen riski
Alankomaat osoittaa kiinnostavan mallin: 43,5 %:n korkean riskin osuus (maltillinen) mutta vain 40,3 %:n bannerin tunnistusaste -- matalin maista, joista meillä on tämä data. Tämä tarkoittaa, että hollantilaiset sivustot ottavat harvemmin suostumusbannerin käyttöön, mutta niistä jotka ottavat, toteutuksen laatu voi olla jonkin verran parempi. Se voi myös heijastaa hollantilaista verkkoekosysteemiä, joka sisältää monia vähäisen seurannan sivustoja (banneria ei tarvita) rinnakkain sivustojen kanssa, jotka seuraavat voimakkaasti ilman vaivautumista bannerin käyttöön.
Hollannin AP (Autoriteit Persoonsgegevens) on ollut aktiivinen GDPR-täytäntöönpanossa yleisesti mutta on antanut vähemmän suostumukseen kohdistuvia päätöksiä verrattuna Saksan tietosuojaviranomaisiin tai CNIL:iin. AP:n täytäntöönpanon painopisteet ovat olleet julkishallinnon tietojenkäsittelyssä, terveystiedoissa ja laajamittaisessa valvonnassa, suostumusrikkomusten saadessa suhteellisesti vähemmän huomiota.
Taso 4: Itä- ja Etelä-Eurooppa -- Kreikka, Puola, Romania, Tšekki, Unkari
Sijoituksen häntäpäätä hallitsevat Keski- ja Itä-Euroopan maat, joiden korkean riskin osuudet vaihtelevat 52,5 %:sta (Kreikka) 58,8 %:iin (Unkari). Näissä maissa yli puolet skannatuista verkkosivustoista osoittaa korkean riskin vaatimustenmukaisuusprofiilin.
| Maa | Korkea riski % | Keskim. riskipistemäärä |
|---|---|---|
| Kreikka | 52,5 % | 54,9 |
| Puola | 53,3 % | 56,1 |
| Romania | 53,9 % | 56,2 |
| Tšekki | 55,1 % | 59,0 |
| Unkari | 58,8 % | 60,1 |
Yhteinen tekijä ei ole oikeudellisen velvoitteen puute -- GDPR soveltuu identtisesti -- vaan malli aliresurssoiduista tietosuojaviranomaisista, joilla on vähemmän erityisesti suostumukseen kohdistuvia täytäntöönpanotoimia. Unkarin NAIH, Puolan UODO, Romanian ANSPDCP ja Tšekin UOOU ovat kaikki keskittäneet rajallisen täytäntöönpanobudjettinsa aloille kuten tietomurtoilmoitukset, rekisteröityjen oikeuspyynnöt ja korkean profiilin valitukset proaktiivisten evästeiden suostumusauditointien sijaan.
Tämä on järkevää käyttäytymistä aliresurssoiduille valvojille. Kun sinulla on pieni tiimi ja suuri talous valvottavana, priorisoit valitukset proaktiivisen täytäntöönpanon sijaan, ja valitukset evästeiden suostumuksesta ovat suhteellisen harvinaisia verrattuna valituksiin tietomurroista tai rekisteröityjen pääsyn epäämisestä. Tuloksena suostumusrikkomukset jäävät suurelta osin valvomatta ja verkkosivustojen ylläpitäjät eivät kohtaa merkittävää täytäntöönpanoriskiä.
Nämä tiedot eivät heijasta näiden tietosuojaviranomaisten pätevyyttä tai omistautumista. Useat Keski- ja Itä-Euroopan tietosuojaviranomaiset toimivat henkilöstö-väestösuhteilla, jotka ovat murto-osa siitä, mitä Saksan osavaltioiden tietosuojaviranomaiset nauttivat. Unkarin NAIH esimerkiksi valvoo 10 miljoonan asukkaan maata. Baijerin BayLDA, joka valvoo samankokoista väestöä yhdessä Saksan osavaltiossa, on historiallisesti ollut resurssoidumpi ja kohdennetumman mandaatin omaava.
Johtopäätös on rakenteellinen: yhtenäinen sääntely ilman yhtenäistä täytäntöönpanoa tuottaa epäyhtenäistä vaatimustenmukaisuutta. Tämä on tärkeä havainto maatason datassa.
Täytäntöönpanon korrelaatio
Jos piirtäisit tietosuojaviranomaisten täytäntöönpanon intensiteetin vaatimustenmukaisuusasteiden rinnalle (kerronnallisesti, kuten me teemme emmekä julkaise kaaviota), suhde on näkyvissä. Maissa, joissa on eniten erityisesti suostumukseen kohdistuvia täytäntöönpanotoimia -- Saksa, Itävalta -- ovat alhaisimmat korkean riskin osuudet. Maissa, joissa on otsikkokelpoista mutta keskittynyttä täytäntöönpanoa (Ranska), on keskitason vaatimustenmukaisuus. Maissa, joissa on minimaalinen suostumukseen kohdistuva täytäntöönpano, on korkeimmat rikkomusluvut.
Tämä korrelaatio ei todista syy-yhteyttä -- kulttuuriset tekijät, markkinarakenne ja paikallisen teknologiasektorin kypsyys kaikki vaikuttavat. Mutta mallin voimakkuus 25 maan yli on vaikea selittää ilman täytäntöönpanoa ensisijaisena tekijänä.
Joitakin merkittäviä täytäntöönpanotoimia, jotka näyttävät siirtäneen mittaria:
- Saksa (2020-2022): Useat osavaltioiden tietosuojaviranomaiset toteuttivat koordinoituja evästeiden suostumusauditointeja, lähettäen virallisia kirjeitä sadoille verkkosivustoille. BayLDA julkaisi suostumusta koskevan FAQ:n, josta tuli de facto -vaatimustenmukaisuusstandardi.
- Itävalta (2022): DSB:n Google Analytics -päätös sai laajaa kattavuutta itävaltalaisessa teknologia- ja liiketoimintamediassa, mikä käynnisti näkyvän aallon GA-Matomo-siirtymisiä.
- Ranska (2021-2022): CNIL:n eväste-täytäntöönpanoaalto kohdistui yli 100 verkkosivustoon vaatimustenvastaisista suostumustoteutuksista, joskin vaikutus vaikuttaa keskittyneen suurempiin toimijoihin.
- Italia (2022): Garante julkaisi päivitetyt evästeoh-jeet, jotka käynnistivät vaatimustenmukaisuustoimintaa suurempien italialaisten verkkosivustojen keskuudessa, joskin 44,6 %:n korkean riskin osuus viittaa siihen, ettei vaikutus levinnyt laajasti.
Bannerin tunnistusasteet maittain
Bannerin tunnistusaste -- prosenttiosuus sivustoista, joilla skannerimme tunnisti suostumusmekanismin -- vaihtelee merkittävästi maiden välillä:
| Maa | Bannerin tunnistusaste |
|---|---|
| Tanska | 57,0 % |
| Suomi | 54,6 % |
| Saksa | 46,1 % |
| Alankomaat | 40,3 % |
Tanska johtaa 57,0 %:lla, mikä viittaa siihen, että tanskalaiset sivustot ottavat todennäköisimmin jonkin muodon suostumusmekanismista käyttöön, vaikka niiden kokonaisvaatimustenmukaisuuden laatu (42,1 % korkea riski) on keskitasoa. Saksan 46,1 % on matalampi kuin voisi odottaa ottaen huomioon sen alhainen rikkomusluku, mutta tämä on johdonmukaista: saksalaiset sivustot, jotka seuraavat, tekevät sen todennäköisemmin asianmukaisella suostumuksella, kun taas saksalaiset sivustot, jotka eivät seuraa, voivat perustellusti toimia ilman banneria.
Alankomaiden 40,3 % on matalin luku, joka meillä on, mikä on linjassa yllä mainitun hollantilaisen mallin kanssa: vähemmän bannereita kokonaisuudessaan, mutta ei välttämättä huonompaa vaatimustenmukaisuutta niiden joukossa, jotka ottavat ne käyttöön.
Nämä luvut heijastavat myös metodologista todellisuutta. Sivusto, joka ei aseta ei-välttämättömiä evästeitä eikä ota yhteyttä kolmannen osapuolen seurantadomaineihin, ei todella tarvitse suostumusbanneria ePrivacy-poikkeuksen nojalla ehdottomasti välttämättömille evästeille. Jonkin verran vaihtelua bannerin tunnistusasteissa on siis odotettua ja oikeutettua.
Mitä tämä tarkoittaa rajat ylittäville yrityksille
Jos ylläpidät verkkosivustoa tai digitaalista palvelua, joka palvelee käyttäjiä useissa EU-maissa, tällä datalla on suoria käytännön seurauksia.
Vaatimustenmukaisuusriskisi määrittää korkean täytäntöönpanon markkinasi. Jos sivustosi palvelee saksalaisia käyttäjiä, rima on käytännössä asetettu Saksan tietosuojaviranomaisten odotusten mukaan riippumatta siitä, missä yrityksesi pääkonttori sijaitsee. GDPR:n yhden luukun mekanismin mukaan johtava valvontaviranomaisesi voi olla kotimaassasi, mutta mikä tahansa tietosuojaviranomainen voi toimia omien asukkaidensa valitusten perusteella. Unkarilainen verkkosivusto, joka palvelee saksalaisia vierailijoita, voi joutua Saksan tietosuojaviranomaisten tutkintaan. Vertaaminen oman maasi keskiarvoon ei riitä. Jos olet puolalainen verkkosivuston ylläpitäjä ja 53,3 % kollegoistasi on korkean riskin luokassa, "keskimääräinen" oleminen tarkoittaa silti, ettet ole GDPR:n kirjaimen mukainen. Asetus ei mukauta vaatimuksiaan maittain. Vain täytäntöönpanon todennäköisyys vaihtelee -- ja täytäntöönpanotrendit kulkevat yhteen suuntaan. Tietosuojaviranomaiset, jotka eivät ole vielä priorisoineet suostumusta, tekevät sen todennäköisesti Euroopan tason koordinaation lisääntyessä. EDPB painaa kohti yhdenmukaisuutta. Euroopan tietosuojaneuvoston evästekohtaiset ohjeet, työryhmätoiminta ja johdonmukaisuuslausunnot on suunniteltu vähentämään täytäntöönpanokuilua jäsenvaltioiden välillä. EDPB:n suostumusbannerin työryhmäraportti vuodelta 2023 tunnisti yleisiä rikkomuksia ja vaati koordinoitua täytäntöönpanoa, ja useat aiemmin vähemmän aktiiviset tietosuojaviranomaiset ovat signaloineet lisääntynyttä huomiota suostumukseen vastauksena. Alhainen täytäntöönpano millä tahansa markkinalla ei todennäköisesti pysy status quona toistaiseksi.GDPR:n harmonisaatio-ongelma
Tämän tutkimuksen maatason data on joissakin suhteissa haaste GDPR:n harmonisaatiotavoitteelle. Asetuksen oli tarkoitus luoda yhtenäinen standardi koko EU:ssa, korvaten kansallisten tietosuojalakien tilkkutäkki. Oikeudellisen tekstin osalta se onnistui. Vaatimustenmukaisuuden todellisuuden osalta se ei ole vielä onnistunut.
Itävaltalainen verkkosivusto on kolme kertaa epätodennäköisemmin korkean riskin luokassa kuin unkarilainen verkkosivusto. Ranskalainen käyttäjä, joka klikkaa "Hylkää", kohtaa saman 80,4 %:n epäonnistumisprosentin kuin puolalainen käyttäjä. Suostumusbanneri ilmestyy todennäköisemmin Tanskassa kuin Alankomaissa. Yhdelläkään näistä eroista ei ole oikeudellista perustaa -- ne ovat kaikki erilaisen täytäntöönpanon seurauksia.
Tämä herättää vaikean kysymyksen: voiko sääntelykehys, joka nojaa kansallisiin täytäntöönpanoviranomaisiin, joilla on valtavasti erilaiset resurssit ja prioriteetit, tarjota yhdenmukaista suojaa? Data viittaa siihen, että vastaus on tällä hetkellä ei. Saksan/Itävallan ja Unkarin/Tšekin välinen kuilu ei ole sulkeutumassa -- eikä se sulkeudu ilman joko merkittävää tietosuojaviranomaisten resurssien uudelleentasapainottamista tai siirtymistä EU-tason täytäntöönpanoon yleisten, teknisesti mitattavien rikkomusten kuten seurannan ennen suostumusta osalta.
Evästeiden suostumus on ironisesti yksi helpoimmin laajamittaisesti todennettavista GDPR-velvoitteista. Toisin kuin tietojenkäsittelyn laillisuuden arviointi tai tietosuojavaikutusten arvioinnin riittävyyden arviointi, sen tarkistaminen, asettaako verkkosivusto seurantaevästeitä ennen suostumusta, on objektiivinen, automatisoitavissa oleva mittaus. Jos EU ei pysty saavuttamaan täytäntöönpanon yhdenmukaisuutta tämän mitattavimman rikkomuksen osalta, näkymät yhdenmukaisuudelle vaikeampien kysymysten osalta ovat synkät.
Metodologinen huomautus
Verkkosivustojen valinta perustui Tranco Top 1M -listaan, suodatettuna maa-assosiaation mukaan. Maan määrittelyyn käytettiin maa-tunnuksellisia verkkotunnuksia ensisijaisena signaalina, täydennettynä rekisteröinti- ja isännöintitiedoilla verkkotunnusten ollessa moniselitteisiä (esim. `.com`-domainit). Sivustot, joiden maa-assosiaatio oli epäselvä, jätettiin pois maatason analyysistä mutta sisällytettiin EU-tason yhteenlaskettuihin lukuihin.
Jokainen sivusto skannattiin identtisillä kriteereillä: käyttäytyminen ennen suostumusta, bannerin tunnistus, hylkäysprosessin testaus (jos hylkäyspainike tunnistettiin), evästeiden eliniän analyysi ja saavutettavuusarviointi. Skanneri ei tehnyt mukautuksia alkuperämaan perusteella -- unkarilaista sivustoa arvioitiin samalla metodologialla ja samoilla kynnysarvoilla kuin saksalaista.
Otoskoot vaihtelevat maittain, heijastaen EU-verkkosivustojen jakaumaa Tranco-listassa. Maista, joissa on suurempi digitaalitalous (Saksa, Ranska, Alankomaat), on enemmän sivustoja. Kaikki prosenttiosuudet on laskettu maakohtaisesta otoksesta, ei EU:n kokonaismäärästä.
Katso miten sivustosi sijoittuu. Suorita ilmainen skannaus osoitteessa gdprprivacymonitor.eu saadaksesi saman vaatimustenmukaisuusarvioinnin, jonka sovelsimme jokaiseen tämän tutkimuksen sivustoon -- täydellisine todisteineen, riskipisteineen ja toimintakelpoisine havaintoineen.
Tarkista verkkosivustosi
Suorita ilmainen GDPR-vaatimustenmukaisuustarkistus — rekisteröitymistä ei tarvita.
Skannaa verkkosivustosi ilmaiseksi