We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.

Osam godina nakon stupanja GDPR-a na snagu, odlučili smo prestati nagađati o usklađenosti pristanka i početi je mjeriti. Usmjerili smo naš skener na 97.304 web stranice u 25 od 27 država članica EU-a i zabilježili točno što se događa u stvarnom pregledniku prije, tijekom i nakon pristanka. Ne ono što obećava politika privatnosti. Ne ono što prikazuje nadzorna ploča CMP-a. Ono što se zapravo pokreće u pregledniku kada posjetitelj prvi put dođe na stranicu.

U našem skupu podataka praćenje prije privole bilo je uobičajeno: dvije trećine web stranica u EU-u počinju pratiti posjetitelje prije nego što dođe do bilo kakve interakcije s pristankom. Više od polovice uopće ne prikazuje banner za pristanak. A kada web stranice nude gumb za odbijanje, on ne uspijeva zaustaviti praćenje u 80% slučajeva. Ovo nisu rubni slučajevi ni tehničke sitnice. Ovo je osnovno stanje usklađenosti pristanka diljem Europske unije u 2026.

Metodologija: Kako smo to mjerili

Prije nego što zaronimo u nalaze, važno je kako smo prikupili ove podatke, jer metodologija određuje jesu li ovakvi brojevi značajni ili zavaravajući.

Popis web stranica

Naš uzorak izvukli smo s popisa Tranco Top 1M, istraživačkog rangiranja domena koje nastaje kombiniranjem podataka iz više neovisnih izvora rangiranja. Tranco je posebno dizajniran da se odupre manipulaciji i pruži stabilne rangove za studije mjerenja weba, što ga čini standardnim izvorom za velika web istraživanja. Filtrirali smo domene povezane s 25 od 27 država članica EU-a na temelju nacionalnih TLD-ova i podataka o registraciji, što je dalo 114.748 kandidatskih URL-ova. Od toga je 97.304 uspješno dovršeno -- ostatak je propao zbog DNS pogrešaka, isteka veze ili potpuno nedostupnih stranica.

Što skener radi

Svako skeniranje koristi naš produkcijski skener: Go aplikaciju koja pokreće potpuni headless Chromium preglednik putem Chrome DevTools Protocola. Ovo nije statički HTML scraper niti pretraživanje baze kolačića. Za svaku web stranicu skener:

1. Pokreće čistu Chromium instancu bez pohranjenih kolačića, lokalne pohrane ni povijesti pregledavanja -- simulirajući pravog posjetitelja koji dolazi prvi put.

2. Navigira na ciljni URL i čeka da se stranica učita.

3. Snima snimku stanja prije pristanka: svaki postavljeni kolačić, svaki mrežni zahtjev, svaka kontaktirana domena treće strane -- sve prije bilo kakve interakcije s pristankom.

4. Pokušava detektirati banner za pristanak koristeći biblioteku koja pokriva 45 poznatih CMP-ova te generičke heuristike.

5. Komunicira s bannerom (prihvaćanje ili odbijanje) i bilježi stanje nakon interakcije.

6. Za testiranje toka odbijanja: ponovno učitava stranicu i provjerava je li odbijanje poštovano ili se kolačići vraćaju.

Svaki korak proizvodi vremenski označene dokaze: potpune popise kolačića, zapise mrežnih zahtjeva i snimke zaslona. Kada kažemo da web stranica "aktivira praćenje prije pristanka", mislimo da smo uočili stvarne HTTP zahtjeve prema poznatim domenama za praćenje i stvarne kolačiće postavljene u pregledniku -- a ne da smo to zaključili iz oznake skripte u HTML-u.

Što "prije pristanka" tehnički znači

Ovo je ključni koncept. Ponašanje prije pristanka je sve što se događa između trenutka kada stranica počne s učitavanjem i trenutka kada korisnik prvi put komunicira s mehanizmom pristanka. U praksi, ovaj vremenski prozor obično traje 2-5 sekundi, ali na mnogim stranicama se produljuje dok se učitavaju dodatni resursi. Tijekom ovog prozora posjetitelj nije imao priliku bilo što prihvatiti ili odbiti. Prema članku 5. stavku 3. Direktive o e-privatnosti (kako ga je protumačio CJEU u predmetu Planet49, C-673/17), pohranjivanje informacija na uređaju korisnika ili pristup već pohranjenim informacijama zahtijeva prethodni pristanak -- osim za kolačiće strogo potrebne za uslugu koju je korisnik zatražio. Sve nebitno što se pokrene tijekom ovog prozora, po definiciji, djeluje bez valjanog pristanka.

Nalaz 1: Praćenje prije pristanka je norma, a ne iznimka

Najvažniji broj u ovoj studiji: 68% skeniranih web stranica aktivira praćenje treće strane prije nego što korisnik da pristanak. Blisko povezano: 66,6% postavlja kolačiće prije pristanka.

Ovo nisu iste metrike. Web stranica može kontaktirati domenu treće strane za praćenje (pokretanje piksela, učitavanje skripte) a da ta domena ne uspije postaviti kolačić -- na primjer, ako preglednik blokira kolačiće trećih strana. Obrnuto, analitički kolačić prve strane može biti postavljen bez kontaktiranja vanjske domene. Oba ponašanja su problematična, ali predstavljaju različite tehničke mehanizme i različite pravne izloženosti.

Opseg aktivnosti prije pristanka je znatan:

Medijan od 6 je vjerojatno informativniji od prosjeka. Polovica svih skeniranih web stranica kontaktira najmanje šest vanjskih domena prije nego što korisnik uopće ima priliku pristati. To nisu mreže za isporuku sadržaja niti poslužitelji fontova (koje isključujemo iz klasifikacije praćenja). To su oglašivačke platforme i analitički servisi.

Raščlamba aktivnosti prije pristanka prema kategoriji kolačića otkriva čemu zapravo služi ovo praćenje:

Gotovo svaka treća web stranica u EU-u postavlja analitičke kolačiće prije pristanka. Gotovo svaka peta postavlja marketinške kolačiće. Pravni stav o ovome je nedvosmislen: EDPB je više puta potvrdio da analitički i marketinški kolačići zahtijevaju pristanak prema članku 5. stavku 3. Direktive o e-privatnosti. Presuda CJEU-a u predmetu Planet49 jasno je utvrdila da pristanak mora biti aktivna, potvrdna radnja -- a ne može biti potvrdna ako se još nije dogodila.

Praktična implikacija je da je do trenutka kada posjetitelj vidi banner za kolačiće i razmotri hoće li prihvatiti ili odbiti, njegov preglednik već bio otisnut, njegov posjet je već zabilježen na analitičkim platformama, a u mnogim slučajevima njegov profil pregledavanja već je ažuriran od strane oglašivačkih mreža. Izbor pristanka, kada stigne, djelomično je retroaktivan -- a retroaktivni pristanak uopće nije pristanak.

Nalaz 2: Jaz u bannerima za pristanak

Više od polovice web stranica koje smo skenirali -- 53.508 od 97.304, odnosno 55% -- nije prikazalo banner za pristanak koji je naš sustav detekcije mogao identificirati.

Ovaj broj zahtijeva pažljivo tumačenje. Nije svaka web stranica bez bannera nužno u prekršaju. Web stranica koja ne postavlja nebitan kolačić i ne kontaktira servise za praćenje trećih strana može legitimno funkcionirati bez mehanizma pristanka. Izuzetak Direktive o e-privatnosti za "strogo potrebne" kolačiće znači da stranica koja koristi samo sesijske kolačiće za prijavu ili funkcionalnost košarice nema obvezu pristanka za te specifične kolačiće.

Ali to nije ono što vidimo. Od 53.508 stranica bez detektibilnog bannera, 18.026 aktivno postavlja nebitne kolačiće i kontaktira domene praćenja trećih strana. Te stranice nemaju mehanizam pristanka, a prate posjetitelje od prvog učitavanja stranice. Nije nam poznata valjana pravna osnova za to ni prema GDPR-u ni prema Direktivi o e-privatnosti.

Preostale stranice bez bannera spadaju u nekoliko kategorija: stranice koje stvarno ne postavljaju nebitne kolačiće (i stoga možda ne trebaju banner), stranice koje koriste mehanizme pristanka koje naš sustav detekcije nije mogao prepoznati, i stranice koje su jednostavno nefunkcionalne ili s minimalnim sadržajem. Naša biblioteka za detekciju 45 CMP-ova plus generičke heuristike pokriva veliku većinu poznatih rješenja za pristanak, ali prilagođene implementacije u neuobičajenim okvirima ili jezicima mogu biti propuštene.

Ipak, brojka od 18.026 je donja granica, a ne gornja, za stranice bez bannera s praćenjem. To su stranice gdje imamo pozitivne dokaze i praćenja i odsutnosti bannera.

Nalaz 3: Gumbi za odbijanje ne rade u 80% slučajeva

Posvetili smo poseban članak ovom nalazu, ali zaslužuje značajnu pokrivenost ovdje jer pogađa srž modela pristanka.

Od 28.891 web stranice na kojima smo detektirali i uspješno komunicirali s gumbom za odbijanje, 80,4% je nastavilo s praćenjem nakon što je korisnik kliknuo odbiti. Samo 5.650 stranica (19,6%) prošlo je test toka odbijanja -- što znači da se praćenje stvarno zaustavilo i ostalo zaustavljeno.

Neuspjesi se dijele u preklapajuće kategorije:

Consent respawn je obrazac koji smo identificirali tijekom ovog istraživanja. Korisnik klikne odbiti, CMP ukloni kolačiće, a onda se pri sljedećem učitavanju stranice ti kolačići ponovno pojave. Na 1.642 stranice uočili smo 4.932 pojedinačna kolačića s ovim ponašanjem. Mehanizam varira -- skripte trećih strana koje se ponovno pokreću bez obzira na stanje pristanka, tag manageri koji ne prosljeđuju odbijanje svim integriranim servisima, Set-Cookie zaglavlja na strani poslužitelja koja ignoriraju odluke o pristanku na strani klijenta -- ali učinak je isti. Gumb za odbijanje postaje privremena pauza, a ne trajni izbor.

Prema članku 7. stavku 3. GDPR-a, povlačenje pristanka mora biti jednako jednostavno kao i njegovo davanje, a voditelj obrade mora postupiti prema tom povlačenju. Gumb za odbijanje koji zapravo ne zaustavlja praćenje ne ispunjava ovaj zahtjev bez obzira na tehnički uzrok.

Nalaz 4: Usporedba po zemljama

GDPR je jedna uredba, ali usklađenost nije ujednačena. Postotak visokorizičnih web stranica varira gotovo tri puta između država članica EU-a.

Obrazac je u skladu s razlikama u aktivnosti provođenja propisa. Njemačka i Austrija -- dom BfDI-ja, šesnaest DPA-ova na razini saveznih država i DSB-a -- bile su među najaktivnijim europskim tijelima u ciljanju kršenja pristanka i kolačića. DSB je donio jednu od prvih odluka o provođenju nakon Schremsa II. Njemački državni DPA-ovi proveli su sektorske revizije kolačića i izdali precizne smjernice o tome što čini valjani pristanak.

Na drugom kraju, Mađarska, Češka, Rumunjska i Poljska imaju DPA-ove koji su tipično slabije resursirani u odnosu na veličinu svojih digitalnih gospodarstava i koji su povijesno usmjeravali provođenje na povrede podataka i zahtjeve za pristup podacima umjesto na pristanak za kolačiće. Ovo nije kritika tih tijela -- ona djeluju s proračunima koji su im dodijeljeni -- ali je jasna demonstracija da provođenje pokreće usklađenost. Isti pravni tekst, primijenjen s različitim intenzitetom provođenja, proizvodi izrazito različite ishode.

Francuska je poučna. CNIL je bio jedno od najvidljivijih europskih tijela za provođenje, izričući rekordne kazne protiv velikih tehnoloških kompanija. Ipak, francuske web stranice sjede na 44,1% visokog rizika, blizu prosjeka EU-a. Objašnjenje vjerojatno leži u strategiji provođenja CNIL-a: visokoprofilne akcije protiv velikih platformi generiraju naslove, ali ne mijenjaju izravno ponašanje tisuća malih i srednjih poduzeća koja čine dugi rep weba. Široka promjena ponašanja zahtijeva ili sektorske kampanje provođenja (kao što je Njemačka provodila) ili opći porast percipiranog rizika od provođenja.

Podatke po zemljama detaljnije pokrivamo u našem članku o usporedbi po zemljama.

Nalaz 5: Tržišni udio CMP-ova i što nam govori

Među 43.796 web stranica (45%) koje su prikazale detektibilni banner za pristanak, identificirali smo 45 različitih platformi za upravljanje pristankom. Tržište je koncentrirano na vrhu, ali fragmentirano u dugom repu.

Najveća pojedinačna kategorija je "Generički / neidentificirani" s 34,7%. To su stranice koje koriste rješenja za pristanak koja se nisu podudarala ni s jednim od 45 CMP potpisa u našoj biblioteci za detekciju. Uključuju prilagođene trake za kolačiće, WordPress dodatke koji nisu široko prepoznati, regionalne CMP pružatelje i implementacije toliko minimalne da se sastoje od jednog zatvorivog div elementa s gumbom "Razumijem". Kvaliteta usklađenosti ove kategorije je, u prosjeku, značajno niža od kvalitete etabliranih CMP-ova, premda još nismo objavili stope usklađenosti po pojedinom CMP-u.

Podaci o interakciji s bannerima otkrivaju još jednu zabrinutost. Od 43.796 detektiranih bannera:

Gotovo svaki peti banner za pristanak ne nudi vidljiv način za odbijanje nebitnih kolačića bez navigacije na drugi sloj postavki. Smjernice EDPB-a 05/2020 o pristanku navode da odbijanje pristanka ne smije zahtijevati više truda od davanja pristanka. Dizajn koji zahtijeva dodatne klikove za odbijanje, ali nudi prihvaćanje jednim klikom, prema ovim smjernicama predstavlja tamni obrazac koji potkopava valjanost pristanka.

Također smo detektirali specifične implementacije tamnih obrazaca: 3.454 stranice (7,9% onih s bannerima) smjestile su opciju odbijanja samo u drugi sloj, 84 stranice koristile su cookie zidove (blokirajući sadržaj dok se ne da pristanak), a 137 stranica je pokazalo izbjegavanje pristanka bota -- namjerno skrivanje bannera od automatiziranih skenera dok se pokazuje ljudskim posjetiteljima.

Nalaz 6: Zlouporaba trajanja kolačića

CNIL preporučuje maksimalno trajanje kolačića od 13 mjeseci — standard koji su prihvatila ili na njega uputila nekoliko drugih nacionalnih tijela za zaštitu podataka. Ovo nije strogo pravno ograničenje u tekstu GDPR-a, ali odražava tumačenje načela ograničenja pohrane (članak 5. stavak 1. točka e)) primijenjenog na identifikatore praćenja.

Naše skeniranje pronašlo je 26.250 web stranica (27%) s najmanje jednim kolačićem koji premašuje prag od 13 mjeseci, što obuhvaća ukupno 58.127 pojedinačnih kolačića.

Najčešći prekršitelj je kolačić `_ga` koji koristi Google Analytics, a koji se postavlja sa zadanim trajanjem od dvije godine. To znači da čak i web stranice s inače funkcionalnim mehanizmima pristanka često krše pravila jednostavno zato što nisu promijenile zadani rok isteka GA kolačića. To je pitanje konfiguracije, a ne tehničko ograničenje -- Google Analytics dopušta prilagođena trajanja kolačića -- ali zadano je neusklađeno sa smjernicama EDPB-a, a većina operatera stranica to nikada ne mijenja.

Dugotrajni kolačići stvaraju kumulativni rizik za privatnost. Dvogodišnji kolačić nije samo "malo dulje od 13 mjeseci." To znači da korisnik koji jednom posjeti stranicu, pristane i nikada se ne vrati, može i dalje biti identificiran i praćen od strane analitike te stranice dvije godine. Ako korisnik kasnije povuče pristanak ili se pravna osnova promijeni, kolačić ostaje kao fantomski identifikator dok ne istekne.

Dodatni nalazi

Nekoliko drugih nalaza iz studije zaslužuje kratak spomen:

Otiskivanje preglednika. Detektirali smo signale otiskivanja preglednika (otiskivanje canvasa, otiskivanje WebGL-a, otiskivanje audio konteksta) na 4.114 web stranica (4,2%). Otiskivanje preglednika je posebno zabrinjavajuće jer se ne može ukloniti brisanjem kolačića -- koristi inherentne karakteristike preglednika i uređaja kao identifikatore. Direktiva o e-privatnosti tretira otiskivanje ekvivalentno praćenju temeljenom na kolačićima u pogledu pristanka. Nepodudarnosti Google Consent Modea. Među stranicama koje implementiraju Google Consent Mode, 28,4% je detektirano da ga koristi, dok 13,7% stranica koje koriste Google servise nije pokazalo implementaciju Consent Modea. Zabrinjavajuće je da je 11,9% pokazalo nepodudarnosti -- stanje pristanka prijavljeno Google-ovom API-ju nije odgovaralo stvarnom ponašanju praćenja uočenom u pregledniku. To znači da CMP govori Googleu da je pristanak odbijen, ali zahtjevi za praćenje nastavljaju s pokretanjem. Pristupačnost. Banneri za pristanak su pravno obavezni elementi korisničkog sučelja, a ako su nepristupačni, dio korisnika ne može ostvariti svoja prava. Među detektiranim bannerima: 25% je imalo mete dodira ispod preporučene minimalne veličine, 15,2% je imalo tekst niskog kontrasta, a 3,4% nije bilo dostupno putem tipkovnice. Banner koji se ne može koristiti tipkovnicom učinkovito uskraćuje izbor pristanka korisnicima koji se oslanjaju na pomoćnu tehnologiju -- kršenje koje se preklapa i s GDPR-om i s propisima o pristupačnosti.

Ukupna raspodjela rizika

Sumirajući sve zajedno, agregirana klasifikacija rizika 97.304 skeniranih stranica:

Stopa neodređenosti od 14,9% odražava stranice na kojima skener nije mogao donijeti pouzdanu procjenu -- obično zbog detekcije botova, složenih arhitektura jednostraničnih aplikacija ili vremenski ovisnog ponašanja. Ove podatke iskreno prijavljujemo umjesto da ih prisilno svrstamo u klasifikaciju prolazi/pada, jer lažno pouzdanje u podatke o usklađenosti gore je od priznatog nesigurnosti.

Što ovo znači za vlasnike web stranica

Ako upravljate web stranicom koja služi posjetiteljima iz EU-a, četiri radnje rješavaju najčešće i najrizičnije nalaze:

1. Revidirajte što se učitava prije pristanka. Otvorite svoju stranicu u privatnom prozoru preglednika, otvorite alate za razvojne programere i pratite kartice Mreža i Aplikacija prije nego što komunicirate s bilo kojim bannerom. Ako vidite zahtjeve prema analitičkim ili oglašivačkim domenama, ili kolačiće tih servisa koji se pojavljuju, vaše ponašanje prije pristanka nije usklađeno. Popravak je obično konfiguracija tag managera: osigurajte da su nebitne skripte blokirane dok se ne zabilježi potvrdni pristanak. 2. Testirajte svoj tok odbijanja od kraja do kraja. Kliknite odbiti na svom banneru, zatim provjerite jesu li nebitni kolačići nestali. Zatim ponovno učitajte stranicu i provjerite ponovo. Ako se kolačići vrate, imate problem s consent respawnom koji zahtijeva istraživanje koje skripte zaobilaze vaš mehanizam pristanka. Naši podaci pokazuju da ovo pogađa iznenađujuće velik broj stranica, čak i onih koje koriste ugledne CMP-ove. 3. Provjerite trajanje svojih kolačića. Ako koristite Google Analytics sa zadanim postavkama, vaš `_ga` kolačić ima dvogodišnje trajanje. Promijenite ga na 13 mjeseci ili manje. Pregledajte sve kolačiće koje vaša stranica postavlja i osigurajte da nijedan ne premašuje preporučeni maksimum od 13 mjeseci. Ovo je brz popravak konfiguracije koji eliminira čest nalaz usklađenosti. 4. Osigurajte da je vaš banner pristupačan i nudi odbijanje u prvom sloju. Ako vaša opcija odbijanja zahtijeva navigaciju na drugu stranicu postavki dok je "Prihvati sve" jedan klik, vaš mehanizam pristanka možda ne zadovoljava smjernice EDPB-a. Pregledajte banner za pristupačnost tipkovnicom, veličinu meta dodira i omjere kontrasta.

Napomene o metodologiji i iskrena ograničenja

Želimo biti transparentni o tome što ova studija može, a što ne može reći.

Što dobro mjeri: Ponašanje prije pristanka, popise kolačića, mrežne zahtjeve prema poznatim domenama praćenja, prisutnost i strukturu bannera, ishode toka odbijanja i trajanja kolačića. To su objektivna mjerenja temeljena na dokazima, zabilježena iz stvarnog ponašanja preglednika. Što nesavršeno mjeri: Detekcija CMP-a nije 100% sveobuhvatna. Stranice koje koriste rješenja za pristanak koja nisu u našoj biblioteci od 45 CMP-ova mogu biti pogrešno kategorizirane kao da nemaju banner. Banneri ovisni o GeoIP-u mogu se prikazivati drugačije ovisno o mrežnoj lokaciji skenera. Jednostranične aplikacije koje upravljaju pristankom u stanju na strani klijenta bez promjena DOM-a teže je procijeniti. Neke stranice detektiraju automatizirane preglednike i mijenjaju svoje ponašanje (pronašli smo 137 koje to namjerno rade). Što ne mjeri: Tvrdnje o legitimnom interesu (koje zahtijevaju pravnu, a ne tehničku procjenu), kvalitetu politika privatnosti, jesu li zapisi o pristanku pravilno pohranjeni ili jesu li aktivnosti obrade podataka razmjerne. To su važne dimenzije usklađenosti koje se ne mogu promatrati samo iz ponašanja preglednika.

Stopa neodređenosti od 14,9% naš je sigurnosni ventil za stranice na kojima nismo mogli donijeti pouzdanu tehničku procjenu. Preferiramo iskrenu nesigurnost nad lažnom preciznošću.

---

Provjerite svoju web stranicu. Pokrenite besplatno skeniranje na gdprprivacymonitor.eu i pogledajte točno što se događa prije, tijekom i nakon pristanka na vašoj stranici. Skener proizvodi iste dokaze prikazane u ovoj studiji -- snimke stanja prije pristanka, popise kolačića, rezultate toka odbijanja i klasifikaciju rizika -- za bilo koji URL koji pošaljete.