Tutkimus
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min lukuaika
Kahdeksan vuotta GDPR:n voimaantulon jalkeen paatimme lopettaa suostumussaannonmukaisuutta koskevan spekuloinnin ja mitata sen. Suuntasimme skannerimme 97 304 verkkosivustoon 25 EU-jasenvaltiossa ja tallensimme tarkalleen, mita todellisessa selaimessa tapahtuu ennen suostumusta, sen aikana ja sen jalkeen. Ei sita, mita tietosuojakaytanto lupaa. Ei sita, mita CMP:n hallintapaneeli raportoi. Sita, mika todella kaynnistyy selaimessa, kun ensikertalaisena vieraileva kayttaja saapuu sivulle.
Datajoukossamme suostumusta edeltävä seuranta oli yleistä: kaksi kolmasosaa EU:n verkkosivustoista aloittaa kavijoiden seurannan ennen kuin mitaan suostumusinteraktiota tapahtuu. Yli puolet ei nayta mitaan suostumusbanneria. Ja kun verkkosivustot tarjoavat hylkayspainikkeen, se epaonnistuu pysayttamaan seurannan 80 % tapauksista. Nama eivat ole reunatapauksia tai teknisia yksityiskohtia. Tama on suostumussaannonmukaisuuden perustila koko Euroopan unionissa vuonna 2026.
Metodologia: Miten mitasimme
Ennen kuin syvennymme loydoksiin, silla on merkitysta, miten kerasimme nama tiedot, koska metodologia maarittaa, ovatko tallaiset luvut merkityksellisia vai harhaanjohtavia.
Verkkosivustojen luettelo
Otoksemme perustui Tranco Top 1M -listaan, tutkimustasoisen domain-rankingiin, joka on luotu yhdistamalla useita riippumattomia sijoituslähteitä tietoja. Tranco suunniteltiin erityisesti vastustamaan manipulointia ja tarjoamaan vakaita ranking-listoja verkkomittaustutkimuksiin, mika tekee siita vakiolahdteen laajamittaiseen verkkotutkimukseen. Suodatimme 25 EU-jasenvaltioon liittyvat domainit maakoodin TLD:iden ja rekisterointitietojen perusteella, mika tuotti 114 748 ehdokas-URL:aa. Naista 97 304 valmistui onnistuneesti -- loput epaonnistuivat DNS-virheiden, yhteysaikakatkaisujen tai taysin tavoittamattomien sivustojen vuoksi.
Mita skanneri tekee
Jokainen skannaus kayttaa tuotantoskannerimoottoriamme: Go-sovellusta, joka ohjaa taytta headless Chromium -selainta Chrome DevTools Protocolin kautta. Tama ei ole staattinen HTML-scraper tai evaste-tietokantahaku. Jokaiselle verkkosivustolle skanneri:
1. Kaynnistaa puhtaan Chromium-instanssin ilman tallennettuja evasteita, paikallista tallennustilaa tai selaushistoriaa -- simuloiden aitoa ensikertalaisvierailijaa.
2. Navigoi kohde-URL:iin ja odottaa sivun latautumista.
3. Ottaa suostumusta edeltavan tilannevedoksen: jokainen asetettu evaste, jokainen tehty verkkopyynto, jokainen kolmannen osapuolen kontaktoitu domain -- kaikki ennen mitaan suostumusinteraktiota.
4. Yrittaa havaita suostumusbannerin kirjastolla, joka kattaa 45 tunnettua CMP:ta seka yleiset heuristiikat.
5. Vuorovaikuttaa bannerin kanssa (hyvaksy tai hylkaa) ja tallentaa vuorovaikutuksen jalkeisen tilan.
6. Hylkaysvirran testaamiseksi: lataa sivun uudelleen ja tarkistaa, kunnioitettiinko hylkaysta vai palautuivatko evasteet.
Jokainen vaihe tuottaa aikaleimattuja todisteita: taydelliset evasteluettelot, verkkopyynnon lokit ja kuvakaappaukset. Kun sanomme, etta verkkosivusto "aktivoi seurannan ennen suostumusta", tarkoitamme, etta havaitsimme todellisia HTTP-pyyntoja tunnetuille seurantadomaineille ja todellisia evasteita selaimessa -- emme paatelleet sita HTML:n script-tagista.
Mita "ennen suostumusta" teknisesti tarkoittaa
Tama on ratkaiseva kasite. Suostumusta edeltava kayttaytyminen on kaikkea, mita tapahtuu sivun latautumisen alkamisen ja kayttajan ensimmaisen suostumusmekanismin kanssa tapahtuvan vuorovaikutuksen valilla. Kaytannossa tama ikkuna on tyypillisesti 2-5 sekuntia, mutta monilla sivustoilla se venyy pidemmaksi sivun ladatessa lisaresursseja. Taman ikkunan aikana vierailijalla ei ole ollut mitaan mahdollisuutta hyvaksya tai kieltaytya mistaan. ePrivacy-direktiivin artiklan 5 kohdan 3 mukaan (kuten EU:n tuomioistuin tulkitsi asiassa Planet49, C-673/17) tietojen tallentaminen kayttajan laitteelle tai jo tallennettujen tietojen kayttaminen edellyttaa ennakkosuostumusta -- lukuun ottamatta evasteita, jotka ovat ehdottoman valttamattomia kayttajan pyytamalle palvelulle. Mika tahansa ei-valttamaton asia, joka kaynnistyy taman ikkunan aikana, toimii maaritelman mukaisesti ilman patevaa suostumusta.
Loydos 1: Suostumusta edeltava seuranta on normi, ei poikkeus
Taman tutkimuksen tarkein luku: 68 % skannatuista verkkosivustoista aktivoi kolmannen osapuolen seurannan ennen kuin kayttaja on antanut suostumuksensa. Laheisesti liittyva: 66,6 % asettaa evasteita ennen suostumusta.
Nama eivat ole sama mittari. Verkkosivusto voi ottaa yhteytta kolmannen osapuolen seurantadomainiin (pikselikutsu, skriptin lataus) ilman etta kyseinen domain onnistuu asettamaan evastetta -- esimerkiksi jos selain estaa kolmannen osapuolen evasteet. Vastaavasti ensimmaisen osapuolen analytiikkaevaste voidaan asettaa ilman ulkoisen domainin kontaktointia. Molemmat kayttaytymiset ovat ongelmallisia, mutta ne edustavat eri teknisia mekanismeja ja eri oikeudellisia altistuksia.
Suostumusta edeltavan toiminnan laajuus on merkittava:
| Mittari | Arvo |
|---|---|
| Keskimaarainen kolmannen osapuolen kontaktoitujen domainien maara ennen suostumusta | 10,4 |
| Kolmannen osapuolen kontaktoitujen domainien mediaani ennen suostumusta | 6 |
| Kolmannen osapuolen kontaktoitujen domainien maksimi ennen suostumusta | 171 |
Mediaani 6 on kiistatta informatiivisempi kuin keskiarvo. Puolet kaikista skannatuista verkkosivustoista ottaa yhteytta vahintaan kuuteen ulkoiseen domainiin ennen kuin kayttajalla on mitaan mahdollisuutta antaa suostumus. Nama eivat ole sisallonjakelverkostoja tai fonttipalvelimia (jotka suljetaan pois seurantaluokittelusta). Nama ovat mainosalustoja, analytiikkapalveluja ja tiedonvalittajia.
Suostumusta edeltavan toiminnan erittely evastekategorian mukaan paljastaa, mihin tama seuranta todella on tarkoitettu:
| Evastekategoria | Vaikutuksen alaiset sivustot | % kaikista sivustoista |
|---|---|---|
| Analytiikkaevasteet asetettu ennen suostumusta | 30 239 | 31,1 % |
| Markkinointievasteet asetettu ennen suostumusta | 17 793 | 18,3 % |
| Suostumusta edeltavat seurannat aktiivisena (mika tahansa tyyppi) | 42 904 | 44,1 % |
Lahes joka kolmas EU:n verkkosivusto asettaa analytiikkaevasteita ennen suostumusta. Lahes joka viides asettaa markkinointievasteita. Oikeudellinen kanta on tassa yksikasitteinen: EDPB on toistuvasti vahvistanut, etta analytiikka- ja markkinointievasteet vaativat suostumuksen ePrivacy-direktiivin artiklan 5 kohdan 3 mukaan. EU:n tuomioistuimen Planet49-tuomio teki selväksi, etta suostumuksen on oltava aktiivinen, myontava toimi -- eika se voi olla myontava, jos sita ei ole viela tapahtunut.
Kaytannon seuraus on, etta siihen mennessa kun vierailija nakee evastebannerin ja harkitsee, hyvaksyyko vai hylkaako, hanen selaimensa on jo tunnistettu, hanen vierailunsa on jo kirjattu analytiikka-alustoille, ja monissa tapauksissa hanen selausprofiiliaan on jo paivitetty mainosverkostojen toimesta. Suostumusvalinta, kun se tulee, on osittain taannehtiva -- ja taannehtiva suostumus ei ole lainkaan suostumus.
Loydos 2: Suostumusbannerin aukko
Yli puolet skannaamistamme verkkosivustoista -- 53 508 / 97 304, eli 55 % -- ei nayttanyt mitaan suostumusbanneria, jonka havaitsemisjarjestelmamme olisi pystynyt tunnistamaan.
Tama luku vaatii huolellista tulkintaa. Jokainen banneritoin sivusto ei valttamatta riko lakia. Verkkosivusto, joka ei aseta ei-valttamattomia evasteita eika ota yhteytta kolmannen osapuolen seurantapalveluihin, voi laillisesti toimia ilman suostumusmekanismia. ePrivacy-poikkeus "ehdottoman valttamattomille" evasteille tarkoittaa, etta sivusto, joka kayttaa vain istuntoevasteita kirjautumiseen tai ostoskorin toiminnallisuuteen, ei ole naiden tiettyjen evasteiden osalta suostumusvelvollinen.
Mutta tama ei ole sita, mita havaitsemme. 53 508 sivustosta, joilla ei havaittu banneria, 18 026 asettaa aktiivisesti ei-valttamattomia evasteita ja ottaa yhteytta kolmannen osapuolen seurantadomaineihin. Nailla sivustoilla ei ole suostumusmekanismia ja ne seuraavat kavijoita ensimmaisesta sivulatauksesta alkaen. Emme tunne pätevää oikeudellista perustetta tälle GDPR:n tai ePrivacy-direktiivin nojalla.
Loput bannerittomat sivustot jakautuvat useisiin luokkiin: sivustot, jotka aidosti eivat aseta ei-valttamattomia evasteita (eivatka siksi ehka tarvitse banneria), sivustot, jotka kayttavat suostumusmekanismeja, joita havaitsemisjarjestelmamme ei pystynyt tunnistamaan, ja sivustot, jotka ovat yksinkertaisesti toimimattomia tai sisaltavat minimaalista sisaltoa. 45 CMP:n havaitsemiskirjastomme seka yleiset heuristiikat kattavat suurimman osan tunnetuista suostumusratkaisuista, mutta mukautetut toteutukset harvinaisissa kehyksissa tai kielissa voivat jaada huomaamatta.
Siita huolimatta luku 18 026 on alaraja, ei ylaraja, bannerittomille sivustoille, joilla on seurantaa. Nama ovat sivustoja, joilla meilla on positiivista nayttoa seka seurantatoiminnasta etta bannerin puuttumisesta.
Loydos 3: Hylkayspainikkeet epaonnistuvat 80 % tapauksista
Omistimme talle loydokselle erillisen julkaisun, mutta se ansaitsee merkittavan kasittelyn tassa, koska se osuu suostumusmallin ytimeen.
28 891 verkkosivustosta, joilla havaitsimme hylkayspainikkeen ja vuorovaikutimme sen kanssa onnistuneesti, 80,4 % jatkoi seurantaa sen jalkeen, kun kayttaja napsautti hylkaa. Vain 5 650 sivustoa (19,6 %) lapäisi hylkaysvirtatesting -- mika tarkoittaa, etta seuranta todella paattyi ja pysyi paattyneena.
Epaonnistumiset jakautuvat paallekkaisiin kategorioihin:
| Epaonnistumisen tyyppi | Vaikutuksen alaiset sivustot |
|---|---|
| Ei-valttamattomat evasteet yha olemassa hylkaamisen jalkeen | 10 848 |
| Seurantapalvelut yha aktiivisina hylkaamisen jalkeen | 14 547 |
| Consent respawn havaittu (evasteet palasivat uudelleenlatauksen jalkeen) | 1 642 |
| Yksittaiset evasteet, jotka uusiutuivat | 4 932 |
Consent respawn on malli, jonka tunnistimme taman tutkimuksen aikana. Kayttaja napsauttaa hylkaa, CMP poistaa evasteet, ja seuraavalla sivulatauksella nama evasteet ilmestyvat uudelleen. 1 642 sivustolla havaitsimme 4 932 yksittaista evastetta, jotka osoittivat tata kayttaytymista. Mekanismi vaihtelee -- kolmannen osapuolen skriptit, jotka kaynnistyvat suostumustilasta riippumatta, tag managerit, jotka eivat valita hylkaysta kaikkiin integroituihin palveluihin, palvelinpuolen Set-Cookie-otsikot, jotka jattavat huomiotta asiakaspuolen suostumuspäätokset -- mutta vaikutus on sama. Hylkayspainikkeesta tulee valiaikainen tauko, ei pysyva valinta.
GDPR:n artiklan 7 kohdan 3 mukaan suostumuksen peruuttamisen on oltava yhta helppoa kuin sen antamisen, ja rekisterinpitajan on toimittava peruutuksen mukaisesti. Hylkayspainike, joka ei todella pysayta seurantaa, ei tayta tata vaatimusta teknisesta systa riippumatta.
Loydos 4: Maakohtainen vertailu
GDPR on yksi asetus, mutta saannonmukaisuus ei ole yhtenäista. Korkean riskin verkkosivustojen osuus vaihtelee lahes kolminkertaisesti EU-jasenvaltioiden valilla.
| Maa | Korkea riski % | Keskim. riskipisteet |
|---|---|---|
| Unkari | 58,8 % | 60,1 |
| Tsekki | 55,1 % | 59,0 |
| Romania | 53,9 % | 56,2 |
| Puola | 53,3 % | 56,1 |
| Kreikka | 52,5 % | 54,9 |
| Italia | 44,6 % | 51,8 |
| Espanja | 44,1 % | 50,2 |
| Ranska | 44,1 % | 49,7 |
| Alankomaat | 43,5 % | 53,1 |
| Belgia | 42,1 % | 47,4 |
| Tanska | 42,1 % | 48,3 |
| Suomi | 40,3 % | 46,4 |
| Ruotsi | 33,4 % | 49,0 |
| Saksa | 23,7 % | 33,9 |
| Itavalta | 20,9 % | 31,2 |
Tämä malli on yhdenmukainen täytäntöönpanotoiminnan erojen kanssa. Saksa ja Itavalta -- BfDI:n, kuudentoista osavaltion DPA:n ja DSB:n kotimaat -- ovat olleet Euroopan aktiivisimpia viranomaisia suostumus- ja evasterikkomusten kohdentamisessa. DSB antoi yhden ensimmaisista Schrems II:n jalkisista taytantoonpanopaatoksista. Saksan osavaltion DPA:t ovat suorittaneet sektorikohtaisia evasteauditointeja ja antaneet ohjeistavia kannanottoja siita, mika on pateva suostumus.
Toisessa paassa Unkari, Tsekki, Romania ja Puola DPA:t ovat tyypillisesti aliresursoituja suhteessa digitaalitaloutensa kokoon ja ovat historiallisesti keskittaneet taytantoonpanon tietomurtoihin ja rekisteroidyn oikeuksia koskeviin pyyntoihin evastesuostumuksen sijaan. Tama ei ole kritiikkia naita viranomaisia kohtaan -- ne toimivat heille annetuilla budj'eteilla -- mutta se on selva osoitus siita, etta taytantoonpano ajaa saannonmukaisuutta. Sama lakiteksti, sovelletuna eri taytantoonpanointensiteetilla, tuottaa huomattavasti eri tuloksia.
Ranska on opettavainen. CNIL on yksi Euroopan nakyvimmista taytantoonpanoelimista, joka maaraa ennätysmaaraisia sakkoja suurille teknologiayrityksille. Silti ranskalaiset verkkosivustot istuvat 44,1 %:n korkeassa riskissa, lahella EU:n keskiarvoa. Selitys loytynee CNIL:n taytantoonpanostrategiasta: korkean profiilin toimet suuria alustoja vastaan synnyttavat otsikoita, mutta eivat suoraan muuta tuhansien pienten ja keskisuurten yritysten kayttaytymista, jotka muodostavat webin pitkan hannan. Laaja kayttaytymisen muutos vaatii joko sektorikohtaisia taytantoonpanokampanjoita (kuten Saksa on tehnyt) tai taytantoonpanon havaitun riskin yleista kasvua.
Maakohtaisia tietoja kasittelemme tarkemmin maavertailujulkaisussamme.
Loydos 5: CMP:n markkinaosuus ja mita se kertoo
43 796 verkkosivuston (45 %) joukossa, jotka esittivat havaittavan suostumusbannerin, tunnistimme 45 erillistä suostumuksenhallintalustaa. Markkina on keskittynyt huipulle mutta pirstaloitunut pitkassa hannassa.
| CMP | Sivustot | Markkinaosuus |
|---|---|---|
| Cookiebot | 6 481 | 14,8 % |
| OneTrust | 3 101 | 7,1 % |
| Usercentrics | 1 820 | 4,2 % |
| Complianz | 1 590 | 3,6 % |
| Didomi | 1 472 | 3,4 % |
| iubenda | 1 250 | 2,9 % |
| Yleinen / tunnistamaton | 15 179 | 34,7 % |
Suurin yksittainen kategoria on "Yleinen / tunnistamaton" 34,7 %:lla. Nama ovat sivustoja, jotka kayttavat suostumusratkaisuja, jotka eivat vastanneet mitaan 45 CMP-tunnisteen havaitsemiskirjastostamme. Niihin kuuluu mukautettuja evastepalkkeja, laajasti tunnistamattomia WordPress-lisaosia, alueellisia CMP-palveluntarjoajia ja toteutuksia niin minimaalisia, etta ne koostuvat yhdesta suljettavasta div-elementista "Selvä"-painikkeella. Taman kategorian saannonmukaisuuden laatu on keskimaarin merkittavasti heikompi kuin vakiintuneiden CMP:iden, vaikka emme ole viela julkaisseet CMP-kohtaisia saannonmukaisuusasteita.
Bannerivuorovaikutustiedot paljastavat toisen huolenaiheen. 43 796 havaitusta bannerista:
| Bannerin ominaisuus | Yleisyys |
|---|---|
| Hylkaysvaihtoehto ensimmaisessa kerroksessa | 56,3 % |
| Ei nakyvaa hylkaysvaihtoehtoa | 19,6 % |
| Epavarma (moniselitteinen kayttoliittyma) | 24,1 % |
Lahes joka viides suostumusbanneri ei tarjoa nakyvaa tapaa hylata ei-valttamattomia evasteita ilman navigointia toiseen asetuskerrokseen. EDPB:n suostumusohjeet 05/2020 toteavat, etta suostumuksesta kieltaytyminen ei saa vaatia enemman vaivaa kuin sen antaminen. Suunnittelu, joka vaatii lisanapsautuksia kieltaytymiseen mutta tarjoaa yhden napsautuksen hyvaksymisen, on naiden ohjeiden mukaan pimea malli, joka heikentaa suostumuksen patevyytta.
Havaitsimme myos erityisia pimeiden mallien toteutuksia: 3 454 sivustoa (7,9 % bannerillisista) sijoitti hylkaysvaihtoehdon vain toiseen kerrokseen, 84 sivustoa kaytti cookie wall -menetelmaa (sisallon estaminen suostumuksen antamiseen asti) ja 137 sivustoa harjoitti botti-suostumuksen kiertamista -- bannerin tarkoituksellista piilottamista automatisoiduilta skannereilta samalla kun se naytettiin ihmiskavijoille.
Loydos 6: Evasteiden elinian vaarinkaytto
CNIL suosittelee enintään 13 kuukauden evästeen elinikää — standardi, jonka useat muut kansalliset tietosuojaviranomaiset ovat omaksuneet tai johon ne ovat viitanneet. Tämä ei ole kova laillinen raja GDPR:n tekstissä, mutta se heijastaa säilytyksen rajoittamisen periaatteen (artikla 5(1)(e)) tulkintaa seurantatunnisteisiin sovellettuna.
Skannauksemme loysi 26 250 verkkosivustoa (27 %), joilla on vahintaan yksi 13 kuukauden kynnyksen ylittava evaste, yhteensa 58 127 yksittaista evastetta.
Yleisin rikkomuksen tekija on Google Analyticsin kayttama `_ga`-evaste, joka asetetaan oletusarvoisesti kahden vuoden elinajalla. Tama tarkoittaa, etta jopa verkkosivustot, joilla on muuten toimivat suostumusmekanismit, ovat usein rikkomuksessa yksinkertaisesti siksi, etteivat ne ole ohittaneet GA-evasteiden oletusvanhenemista. Kyse on asetusongelmasta, ei teknisesta rajoituksesta -- Google Analytics sallii mukautetut evasteeliniät -- mutta oletus ei ole EDPB:n ohjeiden mukainen, eivatka useimmat sivustojen yllapitajat koskaan muuta sita.
Pitkaikaiset evasteet luovat kertyvaa yksityisyysriskia. Kahden vuoden evaste ei ole vain "hieman pidempi kuin 13 kuukautta". Se tarkoittaa, etta kayttaja, joka vierailee sivustolla kerran, antaa suostumuksensa eika koskaan palaa, voidaan yha tunnistaa ja seurata kyseisen sivuston analytiikalla kahden vuoden ajan. Jos kayttaja myohemmin peruuttaa suostumuksensa tai oikeusperuste muuttuu, evaste sailyy haamutunnisteena vanhenemiseensa asti.
Lisaloydokset
Useat muut tutkimuksen loydokset ansaitsevat lyhyen maininnan:
Selaintunnistus (fingerprinting). Havaitsimme selaimen tunnistussignaaleja (canvas fingerprinting, WebGL fingerprinting, audio context fingerprinting) 4 114 verkkosivustolla (4,2 %). Fingerprinting on erityisen huolestuttavaa, koska sita ei voi poistaa evasteita poistamalla -- se kayttaa selaimen ja laitteen luontaisia ominaisuuksia tunnisteina. ePrivacy-direktiivi kohtelee fingerprintingia evastepohjaiseen seurantaan verrattavana suostumuksen osalta. Google Consent Mode -ristiriidat. Google Consent Modea kayttavien sivustojen joukossa 28,4 % havaittiin sen kayttajiksi, kun taas 13,7 % Googlen palveluja kayttavista sivustoista ei osoittanut Consent Mode -toteutusta. Huolestuttavammin 11,9 % osoitti ristiriitoja -- Googlen API:lle raportoitu suostumustila ei vastannut selaimessa havaittua todellista seurantakayttaytymista. Tama tarkoittaa, etta CMP kertoo Googlelle, etta suostumus evattiin, mutta seurantapyynnot jatkuvat. Saavutettavuus. Suostumusbannerit ovat laillisesti vaadittuja kayttoliittyman elementteja, ja jos ne eivat ole saavutettavia, osa kayttajista ei voi kayttaa oikeuksiaan. Havaituista bannereista: 25 %:lla oli suositeltua minimikokoa pienemmat kosketuskohteet, 15,2 %:lla oli matalan kontrastin teksti ja 3,4 % ei ollut nappaimistokaytettavia. Banneri, jota ei voi kayttaa nappaimistolla, kaytannossa evaa suostumusvalinnan avustavaan teknologiaan tukeutuvilta kayttajilta -- rikkomus, joka leikkaa seka GDPR:n etta saavutettavuussaannosten kanssa.Kokonaisriskijakauma
Yhteenvetona, 97 304 skannatun sivuston kokonaisriskoluokittelu:
| Riskitaso | Prosenttiosuus |
|---|---|
| Korkea riski | 41,0 % |
| Matala riski | 27,6 % |
| Keskitason riski | 16,8 % |
| Epaselva | 14,9 % |
14,9 %:n epaselva osuus heijastaa sivustoja, joilla skanneri ei paassyt luotettavaan maaritykseen -- tyypillisesti botintunnistuksen, monimutkaisten yksisivusovellusarkkitehtuurien tai ajoitusriippuvaisen kayttaytymisen vuoksi. Raportoimme nama tulokset rehellisesti sen sijaan, etta pakottaisimme ne hyvaksytty/hylatty-luokitteluun, koska vaaraa luottamusta saannonmukaisuustietoihin on huonompi kuin myonnetty epavarmuus.
Mita tama tarkoittaa verkkosivustojen omistajille
Jos yllapidat EU:n kavijoita palvelevaa verkkosivustoa, nelja toimenpidetta kasittelee yleisimmat ja korkeimman riskin loydokset:
1. Tarkista, mita latautuu ennen suostumusta. Avaa sivustosi yksityisessa selainikkunassa, avaa kehittajatyokalut ja tarkkaile Verkko- ja Sovellus-valilehtia ennen kuin vuorovaikutat minkaan bannerin kanssa. Jos naet pyyntoja analytiikka- tai mainosdomaineille tai evasteita naista palveluista, suostumusta edeltava kayttaytymisesi ei ole saannonmukaista. Korjaus on tyypillisesti tag managerin konfiguraatiossa: varmista, etta ei-valttamattomat skriptit estetaan, kunnes myontava suostumus on tallennettu. 2. Testaa hylkaysprosessisi kokonaisuudessaan. Napsauta hylkaa omassa bannerissasi ja tarkista sitten, ovatko ei-valttamattomat evasteet poistuneet. Lataa sitten sivu uudelleen ja tarkista uudelleen. Jos evasteet ilmestyvat uudelleen, sinulla on consent respawn -ongelma, joka vaatii tutkimista, mitka skriptit ohittavat suostumusmekanismisi. Tietomme osoittavat, etta tama vaikuttaa yllattavan suureen maaraan sivustoja, myos niihin, jotka kayttavat hyvamaineisia CMP:ita. 3. Tarkista evasteidesi eliniät. Jos kaytat Google Analyticsia oletusasetuksilla, `_ga`-evasteeseesi on kahden vuoden elinikä. Vaihda se 13 kuukauteen tai vahempaan. Tarkista kaikki sivustosi asettamat evasteet ja varmista, ettei mikaan ylita suositeltu 13 kuukauden enimmäiskesto. Tama on nopea asetuskorjaus, joka poistaa yleisen saannonmukaisuusloydoksen. 4. Varmista, etta bannerisi on saavutettava ja tarjoaa hylkayksen ensimmaisessa kerroksessa. Jos hylkaysvaihtoehtosi vaatii navigointia toiselle asetussivulle samalla kun "Hyvaksy kaikki" on yksi napsautus, suostumusmekanismisi ei ehka tayta EDPB:n ohjeita. Tarkista banneri nappaimistosaavutettavuuden, kosketuskohteen koon ja kontrastisuhteiden osalta.Metodologiset huomautukset ja rehelliset rajoitukset
Haluamme olla avoimia siita, mita tama tutkimus voi ja mita se ei voi kertoa.
Mita se mittaa hyvin: Suostumusta edeltavaa kayttaytymista, evasteluetteloita, verkkopyyntoja tunnetuille seurantadomaineille, bannerin lasnaolon ja rakenteen, hylkaysvirran tulokset ja evasteiden eliniät. Nama ovat objektiivisia, nayttoon perustuvia mittauksia, jotka on tallennettu todellisesta selainkayttaytymisesta. Mita se mittaa epataydellisesti: CMP:n havaitseminen ei ole 100 % kattavaa. Sivustot, jotka kayttavat 45 CMP:n kirjastomme ulkopuolisia suostumusratkaisuja, saatetaan luokitella virheellisesti bannerittomiksi. GeoIP-riippuvaiset bannerit voivat naytta eri lailla riippuen skannerin verkkosijannista. Yksisivusovellukset, jotka hallitsevat suostumusta asiakaspuolen tilassa ilman DOM-muutoksia, ovat vaikeampia arvioida. Jotkut sivustot havaitsevat automatisoidut selaimet ja muuttavat kayttaytymistaan vastaavasti (loysimme 137 tekemaan tata tarkoituksella). Mita se ei mittaa: Oikeutetun edun vaatimuksia (jotka vaativat oikeudellisen eika teknisen arvioinnin), tietosuojakaytantojen laatua, tallennetaanko suostumusasiakirjat asianmukaisesti tai ovatko tietojenkaattelytoimet oikeasuhteisia. Nama ovat tarkeita saannonmukaisuuden ulottuvuuksia, joita ei voi havaita pelkastaan selainkayttaytymisesta.14,9 %:n epaselva osuus on turvaventtiilimme sivustoille, joilla emme paasseet luotettavaan tekniseen maaritykseen. Suosimme rehellistä epävarmuutta valheellisen tarkkuuden sijaan.
Tarkista oma verkkosivustosi. Suorita ilmainen skannaus osoitteessa gdprprivacymonitor.eu ja katso tarkalleen, mita tapahtuu ennen suostumusta, sen aikana ja sen jalkeen sivustollasi. Skanneri tuottaa samat todisteet kuin tassa tutkimuksessa -- suostumusta edeltavat tilannevedokset, evasteluettelot, hylkaysvirran tulokset ja riskoluokittelu -- mille tahansa URL:lle, jonka lahetat.
Tarkista verkkosivustosi
Suorita ilmainen GDPR-vaatimustenmukaisuustarkistus — rekisteröitymistä ei tarvita.
Skannaa verkkosivustosi ilmaiseksi