Istraživanje
Which EU Countries Take Cookie Compliance Most Seriously?
GDPR Privacy Monitor Research · 2026-04-12 · 5 min čitanje
GDPR je jedna uredba. Jedan tekst. Izravno primjenjiv u svakoj državi članici EU-a bez potrebe za nacionalnom transpozicijom (za razliku od Direktive o e-privatnosti, koja to zahtijeva, dodajući još jedan sloj varijacije). U teoriji, web stranica u Mađarskoj suočava se s istim pravnim obvezama kao web stranica u Njemačkoj. U praksi, jaz između teorije i stvarnosti je golem.
Kada smo skenirali 97.304 web stranice u 25 država članica EU-a, utvrdili smo da se udio visokorizičnih web stranica kreće od 20,9% u Austriji do 58,8% u Mađarskoj -- omjer gotovo tri naprama jedan. Ista uredba, ista metodologija skeniranja, isti kriteriji klasifikacije, izrazito različiti ishodi. Podaci upućuju na to da usklađenost manje korelira s onim što zakon kaže, a više s time koliko se aktivno provodi.
Potpuni rang
Tablica u nastavku prikazuje svaku zemlju u našoj studiji, rangiranu prema postotku skeniranih web stranica klasificiranih kao visokorizične. Visoki rizik znači da je stranica pokazala značajna kršenja pristanka: praćenje prije pristanka, neuspjehe toka odbijanja, nedostatak mehanizama pristanka uz aktivno praćenje ili kombinacije navedenog. Također prikazujemo prosječnu ocjenu rizika (kontinuirana metrika 0-100) i stopu detekcije bannera -- postotak skeniranih stranica na kojima je naš sustav identificirao banner za pristanak.
| Rang | Zemlja | % Visoki rizik | Prosječna ocjena rizika | Stopa detekcije bannera |
|---|---|---|---|---|
| 1 | Austrija | 20,9% | 31,2 | -- |
| 2 | Njemačka | 23,7% | 33,9 | 46,1% |
| 3 | Švedska | 33,4% | 49,0 | -- |
| 4 | Finska | 40,3% | 46,4 | 54,6% |
| 5 | Belgija | 42,1% | 47,4 | -- |
| 6 | Danska | 42,1% | 48,3 | 57,0% |
| 7 | Nizozemska | 43,5% | 53,1 | 40,3% |
| 8 | Francuska | 44,1% | 49,7 | -- |
| 9 | Španjolska | 44,1% | 50,2 | -- |
| 10 | Italija | 44,6% | 51,8 | -- |
| 11 | Grčka | 52,5% | 54,9 | -- |
| 12 | Poljska | 53,3% | 56,1 | -- |
| 13 | Rumunjska | 53,9% | 56,2 | -- |
| 14 | Češka | 55,1% | 59,0 | -- |
| 15 | Mađarska | 58,8% | 60,1 | -- |
Prosječna ocjena rizika pruža nijansiraniji pogled od binarne klasifikacije visokog rizika. Primijetite da Nizozemska ima relativno umjerenu stopu visokog rizika (43,5%), ali razmjerno visoku prosječnu ocjenu rizika (53,1), što upućuje na to da, premda manje nizozemskih stranica prelazi prag visokog rizika, one koje to čine tendiraju biti ozbiljnije neusklađene. Švedska pokazuje sličan obrazac u obrnutom smjeru: nižu stopu visokog rizika (33,4%), ali relativno visoku prosječnu ocjenu (49,0), što ukazuje na širok raspon umjerenih kršenja.
Razina 1: Predvodnici -- Njemačka i Austrija
Njemačka (23,7% visokog rizika) i Austrija (20,9% visokog rizika) jasno su izuzetci. Njihove web stranice imaju otprilike dvostruko manju vjerojatnost da budu klasificirane kao visokorizične u usporedbi s prosjekom EU-a od 41%. Razumijevanje zašto zahtijeva pogled na ekosustav provođenja u obje zemlje.
Njemačka: dubina i širina provođenja
Njemački krajolik zaštite podataka jedinstven je u Europi. Uz saveznog BfDI-ja (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit), svaka od šesnaest njemačkih saveznih država ima vlastito neovisno tijelo za zaštitu podataka. To znači da Njemačka ima ukupno sedamnaest DPA-ova, od kojih je nekoliko bilo među najaktivnijima u Europi po pitanju provođenja pristanka.
Bavarski DPA (BayLDA) proveo je sektorsku reviziju pristanka za kolačiće na web stranicama 2020.-2021., šaljući formalne upitnike stotinama tvrtki i provodeći naknadne mjere. Hamburški DPA izdao je detaljne smjernice o Google Analyticsu i zahtjevima za pristanak. Višestruki državni DPA-ovi proveli su koordinirane kampanje provođenja usmjerene na specifična kršenja -- praćenje prije pristanka, nedostatak opcija za odbijanje i neusklađene bannere za kolačiće.
Ova gustoća provođenja stvara drugačiji račun rizika za njemačke operatere web stranica. Kada su vaši kolege iz industrije primili formalne upite od DPA-a, i kada su smjernice provođenja dovoljno specifične da vam točno kažu što je prihvatljivo a što nije, trošak neusklađenosti postaje konkretan umjesto teoretski.
Postoji i kulturna dimenzija. Njemačka svijest o zaštiti podataka seže dublje od GDPR-a. Presuda Saveznog ustavnog suda iz 1983. o Volkszahlung (popisu stanovništva) utvrdila je informacijsko samoodređenje kao ustavno pravo desetljećima prije postojanja GDPR-a. To je stvorilo društveno očekivanje oko zaštite podataka koje utječe na ponašanje tvrtki i očekivanja potrošača na načine koje je teže kvantificirati, ali su jasno vidljivi u podacima.
Austrija: rano provođenje nakon Schremsa II
Austrijski DSB (Datenschutzbehorde) privukao je međunarodnu pozornost donošenjem jedne od prvih odluka o provođenju nakon Schremsa II, utvrdivši da korištenje Google Analyticsa na web stranici krši GDPR jer prijenosima podataka u SAD nedostaju odgovarajuće zaštitne mjere. Ova odluka -- koju su kasnije ponovili francuski CNIL i talijanski Garante -- poslala je jasan signal austrijskim operaterima web stranica da su pristanak i praćenje aktivni prioriteti provođenja.
Austrijska stopa visokog rizika od 20,9%, najniža u našoj studiji, sugerira da je ovaj signal primljen. Kada DPA demonstrira specifičnim, objavljenim odlukama da će kršenja pristanka biti gonjena, stopa usklađenosti reagira. Austrija je jedan od najjasnijih primjera u našim podacima korelacije provođenja s mjerljivom promjenom ponašanja, iako i drugi faktori -- tržišna struktura, kulturni stavovi -- vjerojatno također doprinose.
Razina 2: Nordijska sredina -- Švedska, Finska, Danska
Švedska (33,4%), Finska (40,3%) i Danska (42,1%) zauzimaju srednji pojas koji je bolji od prosjeka EU-a, ali značajno zaostaje za njemačko-austrijskim predvodnicima.
Nordijske zemlje dijele snažne kulturne vrijednosti oko privatnosti i institucionalnog povjerenja, ali njihovi DPA-ovi su općenito zauzeli manje agresivan stav provođenja konkretno o pristanku. Švedski IMY (Integritetsskyddsmyndigheten) donio je značajne odluke -- uključujući značajnu kaznu protiv Googlea za neuspjehe prava na zaborav -- ali njegovo provođenje specifično za pristanak bilo je ograničenije. Finski tietosuojavaltuutettu i danski Datatilsynet su se slično fokusirali na obavještavanje o povredama podataka i sektorske smjernice umjesto na široke kampanje pristanka za kolačiće.
Švedska stopa visokog rizika od 33,4% je ipak primjetno bolja od zapadnoeuropskog prosjeka, što sugerira da kulturni stavovi prema privatnosti mogu djelomično kompenzirati rjeđe provođenje. Nordijski korisnici interneta su, općenito, svjesniji privatnosti, što može stvoriti tržišni pritisak za bolje implementacije pristanka čak i u odsutnosti regulatornog pritiska.
Stope detekcije bannera su ovdje poučne. Danska pokazuje stopu detekcije bannera od 57,0% -- najvišu za bilo koju zemlju za koju imamo ovu točku podataka -- a Finska pokazuje 54,6%. To znači da su nordijske stranice sklonije postavljanju bannera za pristanak, čak i ako implementacija iza tog bannera nije uvijek potpuno usklađena. To sugerira svjesnost o obvezi čak i tamo gdje izvršenje zaostaje.
Razina 3: Zapadna Europa -- Francuska, Nizozemska, Belgija, Španjolska, Italija
Pet zapadnoeuropskih zemalja gusto se grupira između 42,1% i 44,6% visokog rizika: Belgija (42,1%), Nizozemska (43,5%), Francuska (44,1%), Španjolska (44,1%) i Italija (44,6%). Ovaj klaster sjedi blizu prosjeka EU-a od 41% i može predstavljati osnovnu razinu usklađenosti -- razinu koju dobijete kada provođenje postoji, ali nije dovoljno često ili ciljano da značajno pomakne stvar.
Francuska: paradoks visokooprofilnog provođenja
Francuska je zanimljiva jer je CNIL vjerojatno najvidljiviji DPA u Europi na međunarodnoj razini. Izrekao je rekordne kazne Googleu (150 milijuna eura za kršenja pristanka 2022.), Amazonu (35 milijuna eura) i Microsoftu (60 milijuna eura). Objavio je detaljne smjernice o kolačićima i pristanku 2020. i dao francuskim web stranicama šestomjesečno prijelazno razdoblje za usklađivanje. Proveo je koordinirane valove provođenja usmjerene na stranice koje nisu implementirale opcije za odbijanje.
Ipak Francuska sjedi na 44,1% visokog rizika -- točno na prosjeku za Zapadnu Europu. Kako najaktivniji provoditelj može proizvesti samo prosječnu usklađenost?
Odgovor vjerojatno leži u strukturi francuskog weba. Francuska ima veliko, raznoliko digitalno gospodarstvo sa stotinama tisuća web stranica kojima upravljaju mala i srednja poduzeća, lokalna tijela vlasti i organizacije koje možda ne prate pomno vijesti o provođenju CNIL-a. Visokoprofilne akcije CNIL-a protiv tehnoloških divova generiraju međunarodne naslove, ali ne moraju promijeniti ponašanje tisuća stranica malih poduzeća koja koriste zadane WordPress instalacije s nekonfiguriranim dodacima za pristanak. Provođenje koje cilja glavu distribucije ne pomiče nužno rep.
Ovo je važan uvid za sve DPA-ove: naslovne kazne odvraćaju velike tvrtke, ali ne moraju pomaknuti ukupnu stopu usklađenosti, koju dominira dugi rep malih i srednjih stranica. Široka promjena ponašanja zahtijeva ili masovno provođenje (nepraktično s trenutnim resursima DPA-a) ili alate koji usklađenost čine zadanom, a ne iznimkom.
Nizozemska: niska stopa bannera, umjereni rizik
Nizozemska pokazuje zanimljiv obrazac: stopu visokog rizika od 43,5% (umjerenu), ali samo 40,3% stopu detekcije bannera -- najnižu među zemljama za koje imamo ove podatke. To znači da nizozemske stranice manje vjerojatno postavljaju banner za pristanak, ali među onima koje to čine, kvaliteta implementacije može biti nešto bolja. Može također odražavati nizozemski web ekosustav koji uključuje mnoge stranice s minimalnim praćenjem (banner nije potreban) uz stranice koje intenzivno prate bez postavljanja bannera.
Nizozemski AP (Autoriteit Persoonsgegevens) bio je aktivan u provođenju GDPR-a općenito, ali je donio manje odluka specifično o pristanku u usporedbi s njemačkim DPA-ovima ili CNIL-om. Prioriteti provođenja AP-a bili su usmjereni na obradu podataka od strane vlade, zdravstvene podatke i nadzor velikih razmjera, dok su kršenja pristanka dobivala relativno manje pozornosti.
Razina 4: Istočna i južna Europa -- Grčka, Poljska, Rumunjska, Češka, Mađarska
Dno rang-liste dominiraju zemlje srednje i istočne Europe, sa stopama visokog rizika u rasponu od 52,5% (Grčka) do 58,8% (Mađarska). U tim zemljama više od polovice skeniranih web stranica ima visokorizičan profil usklađenosti.
| Zemlja | % Visoki rizik | Prosječna ocjena rizika |
|---|---|---|
| Grčka | 52,5% | 54,9 |
| Poljska | 53,3% | 56,1 |
| Rumunjska | 53,9% | 56,2 |
| Češka | 55,1% | 59,0 |
| Mađarska | 58,8% | 60,1 |
Zajednička nit nije nedostatak pravne obveze -- GDPR se primjenjuje identično -- nego obrazac nedovoljno resursiranih DPA-ova s manje akcija provođenja usmjerenih specifično na pristanak. Mađarski NAIH, poljski UODO, rumunjski ANSPDCP i češki UOOU svi su fokusirali svoje ograničene proračune za provođenje na područja poput obavještavanja o povredama podataka, zahtjeva za pristup podacima i visokoprofilnih pritužbi, umjesto na proaktivne revizije pristanka za kolačiće.
Ovo je racionalno ponašanje za regulatore s nedovoljnim resursima. Kada imate mali tim i veliko gospodarstvo za nadziranje, prioritizirate pritužbe nad proaktivnim provođenjem, a pritužbe o pristanku za kolačiće su relativno rijetke u usporedbi s pritužbama o povredama podataka ili odbijanjima zahtjeva za pristup podacima. Rezultat je da kršenja pristanka uglavnom ostaju nekontrolirana, a operateri web stranica ne suočavaju se sa smislenim rizikom provođenja.
Ti podaci ne odražavaju kompetentnost ili posvećenost tih DPA-ova. Nekoliko DPA-ova iz srednje i istočne Europe djeluje s omjerima osoblja i stanovništva koji su djelić onoga što uživaju njemački državni DPA-ovi. Mađarski NAIH, na primjer, nadzire zemlju od 10 milijuna ljudi. Bavarski BayLDA, koji nadzire populaciju slične veličine unutar jedne njemačke savezne države, povijesno je imao više resursa i fokusiraniji mandat.
Zaključak je strukturalan: ujednačena regulativa bez ujednačenog provođenja proizvodi neujednačenu usklađenost. To je važan nalaz u podacima na razini zemalja.
Korelacija provođenja
Ako grafički prikažete intenzitet provođenja DPA-a u odnosu na stope usklađenosti (narativno, jer ovdje ne objavljujemo grafikon), odnos je vidljiv. Zemlje s najviše akcija provođenja specifično usmjerenih na pristanak -- Njemačka, Austrija -- imaju najniže stope visokog rizika. Zemlje s naslovnim, ali koncentriranim provođenjem (Francuska) pokazuju prosječnu usklađenost. Zemlje s minimalnim provođenjem specifičnim za pristanak pokazuju najviše stope kršenja.
Ova korelacija ne dokazuje uzročnost -- kulturni čimbenici, struktura tržišta i zrelost lokalnog tehnološkog sektora sve igraju ulogu. Ali snaga obrasca kroz 25 zemalja teško se objašnjava bez provođenja kao primarnog pokretača.
Neke značajne akcije provođenja koje su, čini se, pomaknule stvar:
- Njemačka (2020.-2022.): Višestruki državni DPA-ovi proveli su koordinirane revizije pristanka za kolačiće, šaljući formalna pisma stotinama web stranica. BayLDA je objavio FAQ o pristanku koji je postao de facto standard usklađenosti.
- Austrija (2022.): Odluka DSB-a o Google Analyticsu bila je široko pokrivena u austrijskim tehnološkim i poslovnim medijima, potaknuvši vidljivi val migracija s GA na Matomo.
- Francuska (2021.-2022.): Val provođenja CNIL-a za kolačiće ciljao je više od 100 web stranica zbog neusklađenih implementacija pristanka, premda se čini da je učinak koncentriran među većim operaterima.
- Italija (2022.): Garante je izdao ažurirane smjernice za kolačiće koje su potaknule aktivnosti usklađivanja među većim talijanskim web stranicama, premda stopa visokog rizika od 44,6% sugerira da se učinak nije široko proširio.
Stope detekcije bannera po zemljama
Stopa detekcije bannera -- postotak stranica na kojima je naš skener identificirao mehanizam pristanka -- značajno varira između zemalja:
| Zemlja | Stopa detekcije bannera |
|---|---|
| Danska | 57,0% |
| Finska | 54,6% |
| Njemačka | 46,1% |
| Nizozemska | 40,3% |
Danska predvodi s 57,0%, što sugerira da su danske web stranice najsklonije postavljanju nekog oblika mehanizma pristanka čak i ako im je ukupna kvaliteta usklađenosti (42,1% visokog rizika) prosječna. Njemačka stopa od 46,1% niža je nego što bi se moglo očekivati s obzirom na nisku stopu kršenja, ali ovo je dosljedno: njemačke stranice koje prate sklonije su pravilnom pristanku, dok njemačke stranice koje ne prate mogu razumno funkcionirati bez bannera.
Nizozemska stopa od 40,3% najniža je koju imamo, što se poklapa s gore navedenim nizozemskim obrascem: manje bannera ukupno, ali ne nužno lošija usklađenost među onima koji ih postavljaju.
Ove stope također odražavaju metodološku stvarnost. Stranica koja ne postavlja nebitne kolačiće i ne kontaktira domene praćenja trećih strana stvarno ne treba banner za pristanak prema izuzetku Direktive o e-privatnosti za strogo potrebne kolačiće. Određena varijacija u stopama bannera stoga je očekivana i legitimna.
Što ovo znači za prekogranične tvrtke
Ako upravljate web stranicom ili digitalnom uslugom koja služi korisnicima u više zemalja EU-a, ovi podaci imaju izravne praktične implikacije.
Vaš rizik usklađenosti određuje tržište s najjačim provođenjem. Ako vaša stranica služi njemačke korisnike, ljestvica je efektivno postavljena prema očekivanjima njemačkih DPA-ova, bez obzira na to gdje je sjedište vaše tvrtke. Prema mehanizmu jednog šaltera GDPR-a, vaše vodeće nadzorno tijelo može biti u vašoj matičnoj zemlji, ali svaki DPA može poduzeti akciju na temelju pritužbi svojih stanovnika. Mađarska web stranica koja služi njemačke posjetitelje može se suočiti s nadzorom njemačkih DPA-ova. Usporedba s prosjekom vlastite zemlje je nedostatna. Ako ste poljski operater web stranice i 53,3% vaših kolega je visokorizično, biti "prosječan" i dalje znači da niste usklađeni prema slovu GDPR-a. Uredba ne prilagođava svoje zahtjeve po zemljama. Varira samo vjerojatnost provođenja -- a trendovi provođenja kreću se u jednom smjeru. DPA-ovi koji još nisu prioritizirali pristanak vjerojatno će to učiniti kako europska koordinacija raste. EDPB gura prema konvergenciji. Smjernice EDPB-a specifične za kolačiće, aktivnosti radnih skupina i mišljenja o dosljednosti dizajnirani su da smanje jaz u provođenju između država članica. Izvješće radne skupine EDPB-a za bannere pristanka iz 2023. identificiralo je uobičajena kršenja i pozvalo na koordinirano provođenje, a nekoliko prethodno manje aktivnih DPA-ova signaliziralo je pojačanu pozornost na pristanak kao odgovor. Nisko provođenje na bilo kojem tržištu malo je vjerojatno da će ostati status quo na neodređeno vrijeme.Problem harmonizacije GDPR-a
Podaci na razini zemalja u ovoj studiji su, u nekim aspektima, izazov cilju harmonizacije GDPR-a. Uredba je trebala stvoriti jedinstveni standard diljem EU-a, zamjenjujući mozaik nacionalnih zakona o zaštiti podataka. U smislu pravnog teksta, uspjela je. U smislu stvarnosti usklađenosti, još nije.
Web stranica u Austriji ima trostruko manju vjerojatnost da bude visokorizična od web stranice u Mađarskoj. Francuski korisnik koji klikne "Odbij" suočava se s istom stopom neuspjeha od 80,4% kao i poljski korisnik. Banner za pristanak vjerojatnije je da će se pojaviti u Danskoj nego u Nizozemskoj. Nijedna od ovih razlika nema pravnu osnovu -- sve su posljedice diferencijalnog provođenja.
Ovo postavlja teško pitanje: može li regulatorni okvir koji ovisi o nacionalnim tijelima za provođenje, s drastično različitim resursima i prioritetima, pružiti ujednačenu zaštitu? Podaci sugeriraju da je trenutni odgovor ne. Jaz između Njemačke/Austrije i Mađarske/Češke se ne smanjuje -- i neće se smanjiti bez značajnog rebalansiranja resursa DPA-ova ili prelaska na provođenje na razini EU-a za uobičajena, tehnički mjerljiva kršenja poput praćenja prije pristanka.
Pristanak za kolačiće je, ironično, jedna od najlakših GDPR obveza za provjeru u velikom opsegu. Za razliku od procjene zakonitosti aktivnosti obrade podataka ili adekvatnosti procjene utjecaja na privatnost, provjera postavlja li web stranica kolačiće za praćenje prije pristanka objektivno je, automatizabilno mjerenje. Ako EU ne može postići konvergenciju provođenja za ovo najmjerljivije od kršenja, izgledi za konvergenciju po težim pitanjima su slabi.
Napomena o metodologiji
Odabir web stranica izvučen je s popisa Tranco Top 1M, filtriran prema pripadnosti zemlji. Atribucija zemlje koristila je nacionalne TLD-ove kao primarni signal, dopunjena podacima o registraciji i hostingu gdje su TLD-ovi bili dvosmisleni (npr. `.com` domene). Stranice s nejasnom pripadnošću zemlji isključene su iz analize na razini zemalja, ali su uključene u agregatne podatke za cijeli EU.
Svaka stranica skenirana je korištenjem identičnih kriterija: ponašanje prije pristanka, detekcija bannera, testiranje toka odbijanja (gdje je identificiran gumb za odbijanje), analiza trajanja kolačića i procjena pristupačnosti. Skener nije prilagođavao kriterije prema zemlji podrijetla -- mađarska stranica evaluirana je istom metodologijom i istim pragovima kao i njemačka.
Veličine uzoraka variraju po zemljama, odražavajući distribuciju web stranica EU-a na popisu Tranco. Zemlje s većim digitalnim gospodarstvima (Njemačka, Francuska, Nizozemska) doprinose više stranica. Svi postoci izračunati su prema uzorku po zemlji, a ne prema ukupnom broju za cijeli EU.
Pogledajte gdje stoji vaša web stranica. Pokrenite besplatno skeniranje na gdprprivacymonitor.eu da dobijete istu procjenu usklađenosti koju smo primijenili na svaku stranicu u ovoj studiji -- s potpunim dokazima, ocjenom rizika i konkretnim nalazima.
Provjerite svoju web stranicu
Pokrenite besplatno GDPR skeniranje usklađenosti — bez registracije.
Skenirajte svoju web stranicu besplatno