Which EU Countries Take Cookie Compliance Most Seriously?

GDPR to jedno rozporzadzenie. Jeden tekst. Bezposrednio stosowane w kazdym panstwie czlonkowskim UE bez potrzeby transpozycji krajowej (w przeciwienstwie do dyrektywy ePrivacy, ktora jej wymaga, dodajac kolejna warstwe roznic). Teoretycznie strona internetowa na Wegrzech ma te same obowiazki prawne co strona w Niemczech. W praktyce przepasc miedzy teoria a rzeczywistoscia jest ogromna.

Gdy przeskanowalismy 97 304 strony internetowe w 25 z 27 panstw czlonkowskich UE, stwierdzilismy, ze udzial stron internetowych wysokiego ryzyka waha sie od 20,9% w Austrii do 58,8% na Wegrzech -- niemal trzykrotna roznica. To samo rozporzadzenie, ta sama metodologia skanowania, te same kryteria klasyfikacji, wyraźnie odmienne wyniki. Dane sugerują, że zgodność w mniejszym stopniu koreluje z tym, co mówi prawo, niż z tym, jak aktywnie jest egzekwowane.

Pelny ranking

Ponizszza tabela pokazuje kazdy kraj w naszym badaniu, uszeregowany wedlug odsetka przeskanowanych stron internetowych sklasyfikowanych jako wysokiego ryzyka. Wysokie ryzyko oznacza, ze strona wykazywala znaczace naruszenia zgody: sledzenie przed wyrazeniem zgody, awarie procesu odrzucania, brakujace mechanizmy zgody przy jednoczesnym aktywnym sledzeniu lub kombinacje tych czynnikow. Pokazujemy rowniez sredni wynik ryzyka (ciagla metryka 0-100) oraz wskaznik wykrywalnosci banerow -- odsetek przeskanowanych stron, na ktorych nasz system zidentyfikowal baner zgody.

(Wskazniki wykrywalnosci banerow pokazano tam, gdzie sa dostepne w naszym zbiorze danych. „--" oznacza, ze dane nie zostaly wyodrebnione dla danego kraju.)

Sredni wynik ryzyka daje bardziej zniuansowany obraz niz binarna klasyfikacja wysokiego ryzyka. Zwroc uwage, ze Holandia ma stosunkowo umiarkowany wskaznik wysokiego ryzyka (43,5%), ale porownawczo wysoki sredni wynik ryzyka (53,1), co sugeruje, ze choc mniej holenderskich stron przekracza prog wysokiego ryzyka, te ktore go przekraczaja, sa bardziej powaznie niezgodne. Szwecja pokazuje podobny wzorzec w odwrotnym kierunku: nizszy wskaznik wysokiego ryzyka (33,4%), ale stosunkowo wysoki sredni wynik (49,0), wskazujacy na szeroki rozklad umiarkowanych naruszen.

Poziom 1: Liderzy -- Niemcy i Austria

Niemcy (23,7% wysokiego ryzyka) i Austria (20,9% wysokiego ryzyka) sa wyraznymi wyjatkami. Ich strony internetowe sa mniej wiecej o polowe mniej narazone na klasyfikacje jako wysokiego ryzyka w porownaniu ze srednia unijny na poziomie 41%. Zrozumienie dlaczego wymaga przyjrzenia sie ekosystemowi egzekucyjnemu w obu krajach.

Niemcy: glebia i szerokosc egzekwowania

Krajobraz ochrony danych w Niemczech jest unikalny w Europie. Oprocz federalnego BfDI (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit), kazdy z szesnastu niemieckich landow ma wlasny niezalezny organ ochrony danych. Oznacza to, ze Niemcy maja lacznie siedemnascie organow ochrony danych, z ktorych kilka nalezalo do najaktywniejszych w Europie w zakresie egzekwowania zgody.

Bawarski organ ochrony danych (BayLDA) przeprowadzil sektorowy audyt zgody na pliki cookie na stronach internetowych w latach 2020-2021, wysylajac formalne kwestionariusze do setek firm i podejmujac dzialania egzekucyjne. Hamburski organ ochrony danych wydal szczegolowe wytyczne dotyczace Google Analytics i wymagan dotyczacych zgody. Wiele krajowych organow ochrony danych przeprowadzilo skoordynowane kampanie egzekucyjne celujace w konkretne naruszenia -- sledzenie przed wyrazeniem zgody, brakujace opcje odrzucania i niezgodne banery cookie.

Ta gestosc egzekwowania tworzy inny rachunek ryzyka dla niemieckich operatorow stron internetowych. Gdy rowniescy z branzy otrzymali formalne zapytania od organu ochrony danych i gdy wytyczne sa wystarczajaco szczegolowe, by powiedziec dokladnie, co jest dopuszczalne, a co nie, koszt niezgodnosci staje sie konkretny, a nie teoretyczny.

Jest tez wymiar kulturowy. Niemiecka swiadomosc ochrony danych siega glebiej niz GDPR. Orzeczenie Federalnego Trybunalu Konstytucyjnego z 1983 roku w sprawie Volkszahlung (spisu ludnosci) ustanowilo informacyjne samostanowienie jako prawo konstytucyjne na dziesieciolecia przed powstaniem GDPR. Stworzylo to spoleczne oczekiwania dotyczace ochrony danych, ktore wplywaja zarowno na zachowanie firm, jak i oczekiwania konsumentow w sposob trudny do skwantyfikowania, ale wyraznie odzwierciedlony w danych.

Austria: wczesne egzekwowanie po Schrems II

Austriacki DSB (Datenschutzbehorde) zyskal miedzynarodowa uwage, wydajac jedna z pierwszych decyzji egzekucyjnych w nastepstwie Schrems II, stwierdzajac, ze korzystanie przez strone internetowa z Google Analytics naruszalo GDPR, poniewaz transfery danych do USA nie mialy odpowiednich zabezpieczen. Ta decyzja -- pozniej powtorzona przez francuski CNIL i wloski Garante -- wyslala wyrazny sygnal do austriackich operatorow stron internetowych, ze zgoda i sledzenie sa aktywnymi priorytetami egzekucyjnymi.

Austriacki wskaznik 20,9% wysokiego ryzyka, najnizszy w naszym badaniu, sugeruje, ze ten sygnal zostal odebrany. Gdy organ ochrony danych demonstruje poprzez konkretne, naglosnione decyzje, ze naruszenia zgody beda scigane, wskaznik zgodnosci reaguje. Austria jest jednym z najwyraźniejszych przykładów w naszych danych korelacji między egzekwowaniem a mierzalną zmianą zachowań, choć inne czynniki -- struktura rynku, postawy kulturowe -- prawdopodobnie również się przyczyniają.

Poziom 2: Nordycki srodek -- Szwecja, Finlandia, Dania

Szwecja (33,4%), Finlandia (40,3%) i Dania (42,1%) zajmuja sredni pas, ktory jest lepszy od sredniej UE, ale znacznie za niemiecko-austriackimi liderami.

Kraje nordyckie lacza silne wartosci kulturowe dotyczace prywatnosci i zaufania instytucjonalnego, ale ich organy ochrony danych generalnie przyjely mniej agresywna postawe egzekucyjna w zakresie konkretnie zgody. Szwedzki IMY (Integritetsskyddsmyndigheten) wydal godne uwagi decyzje -- w tym znaczaca kare dla Google za naruszenia prawa do bycia zapomnianym -- ale jego egzekwowanie specyficzne dla zgody bylo bardziej ograniczone. Finski tietosuojavaltuutettu i dunski Datatilsynet podobnie koncentrowaly sie na powiadomieniach o naruszeniach danych i wytycznych sektorowych, a nie na szerokich kampaniach dotyczacych zgody na pliki cookie.

Szwedzki wskaznik 33,4% wysokiego ryzyka jest jednak wyraznie lepszy niz srednia zachodnioeuropejska, co sugeruje, ze postawy kulturowe wobec prywatnosci moga czesciowo rekompensowac rzadsze egzekwowanie. Nordyccy uzytkownicy internetu sa ogolnie bardziej swiadomi kwestii prywatnosci, co moze tworzyc presje rynkowa na lepsze implementacje zgody nawet przy braku presji regulacyjnej.

Wskazniki wykrywalnosci banerow sa tutaj pouczajace. Dania wykazuje wskaznik wykrywalnosci banerow na poziomie 57,0% -- najwyzszy wsrod krajow, dla ktorych mamy te dane -- a Finlandia 54,6%. Oznacza to, ze nordyckie strony sa bardziej sklonne do wdrozenia banera zgody, nawet jesli implementacja za tym banerem nie zawsze jest w pelni zgodna. Sugeruje to swiadomosc obowiazku nawet tam, gdzie wykonanie nie spelnia wymagan.

Poziom 3: Europa Zachodnia -- Francja, Holandia, Belgia, Hiszpania, Wlochy

Piec krajow zachodnioeuropejskich grupuje sie scisle miedzy 42,1% a 44,6% wysokiego ryzyka: Belgia (42,1%), Holandia (43,5%), Francja (44,1%), Hiszpania (44,1%) i Wlochy (44,6%). Ta grupa plasuje sie blisko sredniej unijnej na poziomie 41% i moze reprezentowac punkt odniesienia zgodnosci -- poziom, ktory uzyskujesz, gdy egzekwowanie istnieje, ale nie jest wystarczajaco czeste lub ukierunkowane, aby znaczaco przesunac wskazniki.

Francja: paradoks glosnego egzekwowania

Francja jest godna uwagi, ponieważ CNIL jest prawdopodobnie najbardziej miedzynarodowo widocznym organem ochrony danych w Europie. Nalozyl rekordowe kary na Google (150 milionow euro za naruszenia zgody w 2022 r.), Amazon (35 milionow euro) i Microsoft (60 milionow euro). Opublikowal szczegolowe wytyczne dotyczace plikow cookie i zgody w 2020 r. i dal francuskim stronom szesciomiesieczny okres karencji na dostosowanie sie. Przeprowadzil skoordynowane fale egzekucyjne celujace w strony, ktore nie wdrozyly opcji odrzucania.

A jednak Francja plasuje sie na poziomie 44,1% wysokiego ryzyka -- dokladnie w sredniej Europy Zachodniej. Jak najaktywniejszy organ egzekucyjny moze generowac jedynie przecietna zgodnosc?

Odpowiedz prawdopodobnie lezy w strukturze francuskiego internetu. Francja ma duza, zroznicowana gospodarke cyfrowa z setkami tysiecy stron internetowych prowadzonych przez male i srednie firmy, podmioty samorzadu terytorialnego i organizacje, ktore moga nie sledzic na biezaco wiadomosci o egzekwowaniu CNIL. Glosne dzialania CNIL przeciwko gigantom technologicznym generuja miedzynarodowe naglowki, ale moga nie zmieniac zachowan wsrod tysiecy stron malych firm uzywajacych domyslnych instalacji WordPress z nieskonfigurowanymi wtyczkami zgody. Egzekwowanie celujace w czolowke dystrybucji niekoniecznie przesuwa ogon.

To wazna lekcja dla wszystkich organow ochrony danych: kary przynoszace naglowki odstraszaja duze firmy, ale moga nie przesunac zagregowanego wskaznika zgodnosci, ktory jest zdominowany przez dlugi ogon malych i srednich stron. Szeroka zmiana zachowan wymaga albo masowego egzekwowania (niepraktycznego przy obecnych zasobach organow ochrony danych), albo narzedzi, ktore czynia zgodnosc domyslna, a nie wyjatkiem.

Holandia: niski wskaznik banerow, umiarkowane ryzyko

Holandia wykazuje interesujacy wzorzec: wskaznik 43,5% wysokiego ryzyka (umiarkowany), ale tylko 40,3% wskaznik wykrywalnosci banerow -- najnizszy wsrod krajow, dla ktorych mamy te dane. Oznacza to, ze holenderskie strony sa mniej sklonne do wdrazania banera zgody, ale wsrod tych, ktore to robia, jakosc implementacji moze byc nieco lepsza. Moze to rowniez odzwierciedlac holenderski ekosystem internetowy, ktory obejmuje wiele stron z minimalnym sledzeniem (baner niepotrzebny) obok stron, ktore sledza intensywnie bez banera.

Holenderski AP (Autoriteit Persoonsgegevens) byl aktywny w ogolnym egzekwowaniu GDPR, ale wydal mniej decyzji specyficznych dla zgody w porownaniu z niemieckimi organami ochrony danych czy CNIL. Priorytety egzekucyjne AP koncentrowaly sie na przetwarzaniu danych przez rzad, danych medycznych i nadzorze na duza skale, a naruszenia zgody otrzymywaly stosunkowo mniej uwagi.

Poziom 4: Europa Wschodnia i Poludniowa -- Grecja, Polska, Rumunia, Czechy, Wegry

Dno rankingu jest zdominowane przez kraje Europy Srodkowej i Wschodniej, ze wskaznikami wysokiego ryzyka od 52,5% (Grecja) do 58,8% (Wegry). W tych krajach ponad polowa przeskanowanych stron wykazuje profil zgodnosci wysokiego ryzyka.

Wspolnym mianownikiem nie jest brak obowiazku prawnego -- GDPR stosuje sie identycznie -- ale wzorzec niedofinansowanych organow ochrony danych z mniejsza liczba dzialan egzekucyjnych celujacych konkretnie w zgode. Wegierski NAIH, polski UODO, rumunski ANSPDCP i czeski UOOU koncentrowaly swoje ograniczone budzety egzekucyjne na obszarach takich jak powiadomienia o naruszeniach danych, zadania dostepu do danych i glosne skargi, zamiast na proaktywnych audytach zgody na pliki cookie.

To jest racjonalne zachowanie dla niedofinansowanych regulatorow. Gdy masz maly zespol i duza gospodarke do nadzorowania, priorytetyzujesz skargi nad proaktywne egzekwowanie, a skargi dotyczace zgody na pliki cookie sa stosunkowo rzadkie w porownaniu ze skargami na naruszenia danych czy odmowy dostepu do danych. Wynik jest taki, ze naruszenia zgody pozostaja w duzej mierze bezkarne, a operatorzy stron internetowych nie napotykaja znaczacego ryzyka egzekucji.

Te dane nie odzwierciedlają kompetencji ani zaangażowania tych organów ochrony danych. Kilka organow z Europy Srodkowej i Wschodniej dziala ze stosunkiem personelu do populacji, ktory stanowi ulamek tego, czym dysponuja niemieckie krajowe organy ochrony danych. Wegierski NAIH, na przyklad, nadzoruje kraj z 10 milionami mieszkancow. Bawarski BayLDA, nadzorujacy populacje o podobnej wielkosci w jednym niemieckim landzie, historycznie dysponowal wiekszymi zasobami i bardziej skoncentrowanym mandatem.

Wniosek jest strukturalny: jednolite regulacje bez jednolitego egzekwowania daja niejednolita zgodnosc. Jest to istotne ustalenie w danych na poziomie krajowym.

Korelacja egzekucyjna

Jesli naniesiemy intensywnosc egzekwowania organow ochrony danych na wskazniki zgodnosci (narracyjnie, poniewaz nie publikujemy tutaj wykresu), związek jest zauważalny. Kraje z najwieksza liczba dzialan egzekucyjnych celujacych konkretnie w zgode -- Niemcy, Austria -- maja najnizsze wskazniki wysokiego ryzyka. Kraje z glosnym, ale skoncentrowanym egzekwowaniem (Francja) wykazuja przecietna zgodnosc. Kraje z minimalnym egzekwowaniem specyficznym dla zgody wykazuja najwyzsze wskazniki naruszen.

Ta korelacja nie dowodzi przyczynowosci -- czynniki kulturowe, struktura rynku i dojrzalosc lokalnego sektora technologicznego odgrywaja role. Ale sila wzorca w 25 krajach jest trudna do wyjasnienia bez egzekwowania jako glownego czynnika napedzajacego.

Niektore godne uwagi dzialania egzekucyjne, ktore wydaja sie przesuneac wskazniki:

• Niemcy (2020-2022): Wiele krajowych organow ochrony danych przeprowadzilo skoordynowane audyty zgody na pliki cookie, wysylajac formalne pisma do setek stron internetowych. BayLDA opublikowal FAQ dotyczace zgody, ktore stalo sie de facto standardem zgodnosci.
• Austria (2022): Decyzja DSB dotyczaca Google Analytics byla szeroko relacjonowana w austriackich mediach technologicznych i biznesowych, powodujac widoczna fale migracji z GA do Matomo.
• Francja (2021-2022): Fala egzekucyjna CNIL dotyczaca plikow cookie objela ponad 100 stron za niezgodne implementacje zgody, choc wplyw wydaje sie skoncentrowany wsrod wiekszych operatorow.
• Wlochy (2022): Garante wydal zaktualizowane wytyczne dotyczace plikow cookie, ktore pobudzily aktywnosc zgodnosci wsrod wiekszych wloskich stron, choc wskaznik 44,6% wysokiego ryzyka sugeruje, ze efekt nie rozprzestrzenil sie szeroko.

Wskazniki wykrywalnosci banerow wedlug krajow

Wskaznik wykrywalnosci banerow -- odsetek stron, na ktorych nasz skaner zidentyfikowal mechanizm zgody -- rozni sie znacznie miedzy krajami:

Dania prowadzi z 57,0%, co sugeruje, ze dunskie strony sa najbardziej sklonne do wdrozenia jakiejs formy mechanizmu zgody, nawet jesli ich ogolna jakosc zgodnosci (42,1% wysokiego ryzyka) jest przecietna. Niemiecki 46,1% jest nizszy, niz mozna by sie spodziewac, biorac pod uwage niski wskaznik naruszen, ale jest to spojne: niemieckie strony, ktore sledza, sa bardziej sklonne robic to z odpowiednia zgoda, podczas gdy niemieckie strony, ktore nie sledza, moga zasadnie dzialac bez banera.

Holenderski 40,3% jest najnizsza wartoscia, jaka mamy, co jest zgodne z holenderskim wzorcem opisanym powyzej: mniej banerow ogolnie, ale niekoniecznie gorsza zgodnosc wsrod tych, ktore je wdrazaja.

Te wskazniki odzwierciedlaja rowniez rzeczywistosc metodologiczna. Strona, ktora nie ustawia zadnych nieistotnych plikow cookie i nie kontaktuje sie z zadnymi domenami sledzenia stron trzecich, naprawde nie potrzebuje banera zgody na podstawie wylaczenia w dyrektywie ePrivacy dla plikow cookie scisle niezbednych. Pewna zmiennosc we wskaznikach banerow jest zatem oczekiwana i uzasadniona.

Co to oznacza dla firm transgranicznych

Jesli prowadzisz strone internetowa lub usluge cyfrowa obslugujaca uzytkownikow w wielu krajach UE, te dane maja bezposrednie praktyczne implikacje.

Twoje ryzyko zgodnosci jest okreslane przez rynek z najsilniejszym egzekwowaniem. Jesli Twoja strona obsluguje niemieckich uzytkownikow, poprzeczka jest efektywnie ustawiona przez oczekiwania niemieckich organow ochrony danych, niezaleznie od tego, gdzie jest siedziba Twojej firmy. Zgodnie z mechanizmem jednego punktu kontaktowego GDPR Twoj glowny organ nadzorczy moze byc w Twoim kraju macierzystym, ale kazdy organ ochrony danych moze podejmowac dzialania na podstawie skarg swoich mieszkancow. Wegierska strona obslugujaca niemieckich odwiedzajacych moze podlegac kontroli niemieckich organow ochrony danych. Porownywanie sie ze srednia wlasnego kraju jest niewystarczajace. Jesli jestes polskim operatorem strony i 53,3% Twoich rowniesnikow ma wysokie ryzyko, bycie „przecietnym" nadal oznacza, ze jestes niezgodny z litera GDPR. Rozporzadzenie nie dostosowuje swoich wymagan wedlug krajow. Zmienia sie jedynie prawdopodobienstwo egzekucji -- a trendy egzekucyjne ida w jednym kierunku. Organy ochrony danych, ktore jeszcze nie priorytetyzowaly zgody, prawdopodobnie to zrobia w miare wzrostu koordynacji na poziomie europejskim. EROD dazy do konwergencji. Wytyczne Europejskiej Rady Ochrony Danych dotyczace plikow cookie, dzialania grup zadaniowych i opinie spojnosci sa zaprojektowane tak, aby zmniejszyc luke egzekucyjna miedzy panstwami czlonkowskimi. Raport grupy zadaniowej EROD ds. banerow zgody z 2023 r. zidentyfikowal powszechne naruszenia i wezwal do skoordynowanego egzekwowania, a kilka wczesniej mniej aktywnych organow ochrony danych zasygnalizowalo zwiekszona uwage na zgode w odpowiedzi. Niskie egzekwowanie na danym rynku prawdopodobnie nie pozostanie status quo w nieskończoność.

Problem harmonizacji GDPR

Dane na poziomie krajowym w tym badaniu sa pod pewnymi wzgledami wyzwaniem dla celu harmonizacji GDPR. Rozporzadzenie mialo stworzyc jednolity standard w calej UE, zastepujac mozaike krajowych przepisow o ochronie danych. Pod wzgledem tekstu prawnego sie to udalo. Pod wzgledem rzeczywistosci zgodnosci jeszcze nie.

Strona w Austrii jest trzy razy mniej narazona na wysokie ryzyko niz strona na Wegrzech. Francuski uzytkownik klikajacy „Odrzuc" napotyka ten sam wskaznik 80,4% awarii co polski uzytkownik. Baner zgody jest bardziej prawdopodobny w Danii niz w Holandii. Zadna z tych roznic nie ma podstawy prawnej -- sa one wszystkie konsekwencjami zroznicowanego egzekwowania.

To stawia trudne pytanie: czy ramy regulacyjne, ktore polegaja na krajowych organach egzekucyjnych z diametralnie roznymi zasobami i priorytetami, moga zapewnic jednolita ochrone? Dane sugeruja, ze odpowiedz obecnie brzmi nie. Luka miedzy Niemcami/Austria a Wegrami/Czechami nie zmniejsza sie -- i nie zmniejszy sie bez znaczacego przywrocenia rownowagi zasobow organow ochrony danych lub przesuniecia na egzekwowanie na poziomie UE dla powszechnych, technicznie mierzalnych naruszen takich jak sledzenie przed wyrazeniem zgody.

Zgoda na pliki cookie jest, ironicznie, jednym z najlatwiejszych obowiazkow GDPR do weryfikacji na duza skale. W przeciwienstwie do oceny zgodnosci z prawem dzialalnosci przetwarzania danych czy adekwatnosci oceny skutkow dla prywatnosci, sprawdzenie, czy strona ustawia pliki cookie sledzace przed wyrazeniem zgody, jest obiektywnym, automatyzowalnym pomiarem. Jesli UE nie moze osiagnac konwergencji egzekucyjnej w przypadku tego najbardziej mierzalnego z naruszen, perspektywy konwergencji w trudniejszych kwestiach sa marne.

Uwaga metodologiczna

Wybor stron internetowych oparto na liscie Tranco Top 1M, przefiltrowanej wedlug przynaleznosci krajowej. Atrybucja krajowa wykorzystywala krajowe TLD jako glowny sygnal, uzupelniony danymi o rejestracji i hostingu, gdy TLD byly niejednoznaczne (np. domeny `.com`). Strony z niejasna przynaleznoscia krajowa zostaly wykluczone z analizy na poziomie krajowym, ale uwzglednione w zagregowanych danych ogolnounijnych.

Kazda strona byla skanowana przy uzyciu identycznych kryteriow: zachowanie przed wyrazeniem zgody, wykrywanie banera, testowanie procesu odrzucania (tam, gdzie zidentyfikowano przycisk odrzucenia), analiza czasu zycia plikow cookie i ocena dostepnosci. Skaner nie wprowadzal zadnych korekt ze wzgledu na kraj pochodzenia -- wegierska strona byla oceniana ta sama metodologia i przy tych samych progach co niemiecka.

Wielkosci prob roznia sie w zaleznosci od kraju, odzwierciedlajac rozklad stron internetowych UE na liscie Tranco. Kraje z wiekszymi gospodarkami cyfrowymi (Niemcy, Francja, Holandia) wnoszaja wiecej stron. Wszystkie procenty sa obliczane na podstawie proby danego kraju, nie calosci ogolnounijnej.

---

Sprawdz, jak wypada Twoja strona. Uruchom darmowy skan na gdprprivacymonitor.eu, aby uzyskac te sama ocene zgodnosci, ktora zastosowalismy do kazdej strony w tym badaniu -- z pelnymi dowodami, wynikami ryzyka i konkretnymi ustaleniami.