Badanie
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min czytania
Osiem lat po wejsciu w zycie GDPR postanowilismy przestac spekulowac na temat zgodnosci w zakresie zgody i ja zmierzyc. Skierowalismy nasz skaner na 97 304 strony internetowe w 25 z 27 panstw czlonkowskich UE i zarejestrowalismy dokladnie, co dzieje sie w prawdziwej przegladarce przed, w trakcie i po wyrazeniu zgody. Nie to, co obiecuje polityka prywatnosci. Nie to, co raportuje panel CMP. To, co faktycznie uruchamia sie w przegladarce, gdy odwiedzajacy po raz pierwszy trafia na strone.
W naszym zbiorze danych śledzenie przed zgodą było powszechne: dwie trzecie stron internetowych w UE zaczyna sledzic odwiedzajacych, zanim dojdzie do jakiejkolwiek interakcji dotyczacej zgody. Ponad polowa nie wyswietla zadnego banera zgody. A gdy strony oferuja przycisk odrzucenia, w 80% przypadkow nie zatrzymuje on sledzenia. To nie sa przypadki brzegowe ani kwestie techniczne. To jest stan bazowy zgodnosci w zakresie zgody w calej Unii Europejskiej w 2026 roku.
Metodologia: Jak to zmierzylismy
Zanim przejdziemy do wynikow, warto wyjasnic, jak zbieralismy te dane, poniewaz metodologia decyduje o tym, czy liczby takie jak te sa wartosciowe czy wprowadzajace w blad.
Lista stron internetowych
Nasza probe pobralismy z listy Tranco Top 1M -- rankingu domen klasy badawczej, utworzonego przez polaczenie danych z wielu niezależnych źródeł rankingowych. Tranco zostalo zaprojektowane specjalnie tak, aby byc odporne na manipulacje i zapewniac stabilne rankingi do badan nad siecia, co czyni je standardowym zrodlem danych do badania sieci na duza skale. Przefiltrowalismy domeny powiazane z 25 z 27 panstw czlonkowskich UE na podstawie krajowych TLD i danych rejestracyjnych, uzyskujac 114 748 kandydujacych adresow URL. Sposrod nich 97 304 zostalo pomyslnie przeskanowanych -- pozostale zawiodly z powodu bledow DNS, przekroczen czasu polaczenia lub calkowitej nieosiagalnosci stron.
Co robi skaner
Kazdy skan wykorzystuje nasz produkcyjny silnik skanera: aplikacje w Go sterujaca pelna przegladarka Chromium w trybie headless za posrednictwem Chrome DevTools Protocol. To nie jest statyczny scraper HTML ani wyszukiwarka w bazie danych plikow cookie. Dla kazdej strony skaner:
1. Uruchamia czysta instancje Chromium bez zapisanych plikow cookie, bez lokalnego magazynu i bez historii przegladania -- symulujac autentycznego odwiedzajacego po raz pierwszy.
2. Nawiguje do docelowego adresu URL i czeka na zaladowanie strony.
3. Wykonuje migawke przed wyrazeniem zgody: kazdy ustawiony plik cookie, kazde wykonane zadanie sieciowe, kazda skontaktowana domena strony trzeciej -- wszystko przed jakakolwiek interakcja dotyczaca zgody.
4. Probuje wykryc baner zgody, korzystajac z biblioteki obejmujacej 45 znanych CMP oraz heurystyk ogolnych.
5. Wchodzi w interakcje z banerem (akceptuje lub odrzuca) i rejestruje stan po interakcji.
6. W testach procesu odrzucania: przeladowuje strone i sprawdza, czy odrzucenie zostalo uszanowane, czy tez pliki cookie pojawiaja sie ponownie.
Kazdy krok generuje opatrzone znacznikiem czasu dowody: pelne inwentarze plikow cookie, logi zadan sieciowych i zrzuty ekranu. Gdy mowimy, ze strona „aktywuje sledzenie przed wyrazeniem zgody", oznacza to, ze zaobserwowalismy faktyczne zadania HTTP do znanych domen sledzacych i faktyczne pliki cookie ustawiane w przegladarce -- a nie ze wywnioskowalismy to z tagu script w HTML.
Co technicznie oznacza „przed wyrazeniem zgody"
To kluczowa koncepcja. Zachowanie przed wyrazeniem zgody to wszystko, co dzieje sie miedzy momentem rozpoczecia ladowania strony a momentem pierwszej interakcji uzytkownika z mechanizmem zgody. W praktyce to okno trwa zazwyczaj 2-5 sekund, ale na wielu stronach rozciaga sie dluzej w miare ladowania dodatkowych zasobow. Podczas tego okna odwiedzajacy nie mial jeszcze mozliwosci zaakceptowania ani odmowy czegokolwiek. Zgodnie z art. 5 ust. 3 dyrektywy ePrivacy (w interpretacji TSUE w sprawie Planet49, C-673/17), przechowywanie informacji na urzadzeniu uzytkownika lub uzyskiwanie dostepu do juz przechowywanych informacji wymaga uprzedniej zgody -- z wyjatkiem plikow cookie scisle niezbednych do swiadczenia uslugi, o ktora prosil uzytkownik. Wszystko, co nieistotne i uruchamia sie w tym oknie, z definicji dziala bez waznej zgody.
Ustalenie 1: Sledzenie przed wyrazeniem zgody jest norma, nie wyjatkiem
Najwazniejsza liczba w tym badaniu: 68% przeskanowanych stron internetowych aktywuje sledzenie przez podmioty trzecie, zanim uzytkownik wyrazil zgode. Blisko powiazana: 66,6% ustawia pliki cookie przed wyrazeniem zgody.
To nie sa te same metryki. Strona moze kontaktowac sie z domena sledzaca strony trzeciej (uruchamiajac piksel, ladujac skrypt) bez tego, by ta domena pomyslnie ustawila plik cookie -- na przyklad jesli przegladarka blokuje pliki cookie stron trzecich. Odwrotnie, plik cookie analityczny pierwszej strony moze zostac ustawiony bez kontaktu z domena zewnetrzna. Oba zachowania sa problematyczne, ale reprezentuja rozne mechanizmy techniczne i rozne narazenia prawne.
Skala aktywnosci przed wyrazeniem zgody jest znaczaca:
| Metryka | Wartosc |
|---|---|
| Srednia liczba domen stron trzecich kontaktowanych przed zgoda | 10,4 |
| Mediana domen stron trzecich kontaktowanych przed zgoda | 6 |
| Maksymalna liczba domen stron trzecich kontaktowanych przed zgoda | 171 |
Mediana rowna 6 jest prawdopodobnie bardziej informacyjna niz srednia. Polowa wszystkich przeskanowanych stron kontaktuje co najmniej szesc domen zewnetrznych, zanim uzytkownik ma jakakolwiek mozliwosc wyrazenia zgody. To nie sa sieci dostarczania tresci ani serwery czcionek (ktore wykluczamy z klasyfikacji sledzenia). To platformy reklamowe i uslugi analityczne.
Podzial aktywnosci przed wyrazeniem zgody wedlug kategorii plikow cookie ujawnia, czemu sluzy to sledzenie:
| Kategoria plikow cookie | Dotknite strony | % wszystkich stron |
|---|---|---|
| Pliki cookie analityczne ustawiane przed zgoda | 30 239 | 31,1% |
| Pliki cookie marketingowe ustawiane przed zgoda | 17 793 | 18,3% |
| Trackery aktywne przed zgoda (dowolny typ) | 42 904 | 44,1% |
Niemal co trzecia strona internetowa w UE ustawia pliki cookie analityczne przed wyrazeniem zgody. Niemal co piata ustawia pliki cookie marketingowe. Stanowisko prawne w tej kwestii jest jednoznaczne: EROD wielokrotnie potwierdzal, ze pliki cookie analityczne i marketingowe wymagaja zgody na podstawie art. 5 ust. 3 dyrektywy ePrivacy. Wyrok TSUE w sprawie Planet49 jasno stwierdzil, ze zgoda musi byc aktywnym, swiadomym aktem -- i nie moze byc swiadoma, jesli jeszcze nie nastapila.
Praktyczna implikacja jest taka, ze zanim odwiedzajacy zobaczy baner cookie i rozwazy, czy zaakceptowac czy odrzucic, jego przegladarka zostala juz sfingerprintowana, jego wizyta zostala juz zarejestrowana przez platformy analityczne, a w wielu przypadkach jego profil przegladania zostal juz zaktualizowany przez sieci reklamowe. Wybor dotyczacy zgody, gdy wreszcie sie pojawia, jest czesciowo retroaktywny -- a retroaktywna zgoda nie jest zgoda w ogole.
Ustalenie 2: Luka w banerach zgody
Ponad polowa przeskanowanych przez nas stron -- 53 508 z 97 304, czyli 55% -- nie wyswietlila zadnego banera zgody, ktory nasz system wykrywania moglby zidentyfikowac.
Ta liczba wymaga ostroznej interpretacji. Nie kazda strona bez banera koniecznie narusza prawo. Strona, ktora nie ustawia zadnych nieistotnych plikow cookie i nie kontaktuje sie z zadnymi uslugami sledzenia stron trzecich, moze legalnie dzialac bez mechanizmu zgody. Wyjlaczenie w dyrektywie ePrivacy dla plikow cookie „scisle niezbednych" oznacza, ze strona uzywajaca wylacznie sesyjnych plikow cookie do logowania lub koszyka zakupow nie ma obowiazku uzyskiwania zgody na te konkretne pliki cookie.
Ale nie to obserwujemy. Sposrod 53 508 stron bez wykrywalnego banera, 18 026 aktywnie ustawia nieistotne pliki cookie i kontaktuje sie z domenami sledzacymi stron trzecich. Te strony nie maja mechanizmu zgody i sledza odwiedzajacych od pierwszego zaladowania strony. Nie jest nam znana żadna ważna podstawa prawna dla tego ani na gruncie GDPR, ani dyrektywy ePrivacy.
Pozostale strony bez banerow naleza do kilku kategorii: strony, ktore rzeczywiscie nie ustawiaja zadnych nieistotnych plikow cookie (i dlatego moga nie potrzebowac banera), strony uzywajace mechanizmow zgody, ktorych nasz system wykrywania nie mogl zidentyfikowac, oraz strony, ktore sa po prostu niefunkcjonalne lub sa domenami z minimalna zawartoscia. Nasza biblioteka wykrywania obejmujaca 45 CMP plus heurystyki ogolne pokrywa zdecydowana wiekszosc znanych rozwiazan dotyczacych zgody, ale niestandardowe implementacje w mniej popularnych frameworkach lub jezykach moga zostac pominiete.
Niemniej liczba 18 026 to dolna granica, nie gorna, dla stron bez banera ze sledzeniem. To strony, na ktorych mamy pozytywne dowody zarowno aktywnosci sledzacej, jak i braku banera.
Ustalenie 3: Przyciski odrzucenia nie dzialaja w 80% przypadkow
Poswieclismy temu ustaleniu oddzielny wpis, ale zasluguje ono na obszerne omowienie tutaj, poniewaz uderza w samo serce modelu zgody.
Sposrod 28 891 stron, na ktorych wykrylismy i pomyslnie weszlismy w interakcje z przyciskiem odrzucenia, 80,4% kontynuowalo sledzenie po tym, jak uzytkownik kliknal odrzuć. Tylko 5 650 stron (19,6%) przeszlo test procesu odrzucania -- co oznacza, ze sledzenie faktycznie zostalo zatrzymane i pozostalo zatrzymane.
Awarie dzieli sie na nakladajace sie kategorie:
| Typ awarii | Dotknite strony |
|---|---|
| Nieistotne pliki cookie nadal obecne po odrzuceniu | 10 848 |
| Uslugi sledzace nadal aktywne po odrzuceniu | 14 547 |
| Wykryto consent respawn (pliki cookie wracaja po przeladowaniu) | 1 642 |
| Pojedyncze pliki cookie, ktore sie odrodzily | 4 932 |
Consent respawn to wzorzec, ktory zidentyfikowalismy podczas tego badania. Uzytkownik klika odrzuc, CMP usuwa pliki cookie, a nastepnie przy nastepnym zaladowaniu strony te pliki cookie pojawiaja sie ponownie. Na 1 642 stronach zaobserwowalismy 4 932 pojedyncze pliki cookie wykazujace to zachowanie. Mechanizm jest rozny -- skrypty stron trzecich, ktore uruchamiaja sie ponownie niezaleznie od stanu zgody, menedzerowie tagow, ktore nie propaguja odrzucenia do wszystkich zintegrowanych uslug, naglowki Set-Cookie po stronie serwera, ktore ignoruja decyzje dotyczace zgody po stronie klienta -- ale efekt jest ten sam. Przycisk odrzucenia staje sie tymczasowa pauza, a nie trwalym wyborem.
Zgodnie z art. 7 ust. 3 GDPR wycofanie zgody musi byc rownie latwe jak jej udzielenie, a administrator musi dzialac na podstawie tego wycofania. Przycisk odrzucenia, ktory faktycznie nie zatrzymuje sledzenia, nie spelnia tego wymogu niezaleznie od przyczyny technicznej.
Ustalenie 4: Porownanie kraj po kraju
GDPR to jedno rozporzadzenie, ale zgodnosc nie jest jednolita. Odsetek stron internetowych wysokiego ryzyka rozni sie niemal trzykrotnie miedzy panstwami czlonkowskimi UE.
| Kraj | % Wysokiego ryzyka | Sredni wynik ryzyka |
|---|---|---|
| Wegry | 58,8% | 60,1 |
| Czechy | 55,1% | 59,0 |
| Rumunia | 53,9% | 56,2 |
| Polska | 53,3% | 56,1 |
| Grecja | 52,5% | 54,9 |
| Wlochy | 44,6% | 51,8 |
| Hiszpania | 44,1% | 50,2 |
| Francja | 44,1% | 49,7 |
| Holandia | 43,5% | 53,1 |
| Belgia | 42,1% | 47,4 |
| Dania | 42,1% | 48,3 |
| Finlandia | 40,3% | 46,4 |
| Szwecja | 33,4% | 49,0 |
| Niemcy | 23,7% | 33,9 |
| Austria | 20,9% | 31,2 |
Wzorzec jest zgodny z różnicami w aktywności egzekucyjnej. Niemcy i Austria -- siedziby BfDI, szesnastu krajowych organow ochrony danych i DSB -- naleza do najaktywniejszych europejskich organow w zakresie karania naruszen zgody i plikow cookie. DSB wydal jedna z pierwszych decyzji egzekucyjnych po Schrems II. Niemieckie krajowe organy ochrony danych przeprowadzily sektorowe audyty plikow cookie i wydaly szczegolowe wytyczne dotyczace waznej zgody.
Na drugim koncu Wegry, Czechy, Rumunia i Polska maja organy ochrony danych, ktore sa zazwyczaj niedofinansowane w stosunku do wielkosci swoich gospodarek cyfrowych i historycznie koncentrowaly egzekwowanie na naruszeniach danych i zadaniach dostepu do danych, a nie na zgodzie na pliki cookie. To nie jest krytyka tych organow -- dzialaja z budzetami, ktore otrzymuja -- ale jest to wyrazna demonstracja, ze egzekwowanie napedza zgodnosc. Ten sam tekst prawny, stosowany z rozna intensywnoscia egzekwowania, daje wyraźnie odmienne wyniki.
Francja jest pouczajaca. CNIL jest jednym z najbardziej widocznych organow egzekucyjnych w Europie, nakladajacym rekordowe kary na duze firmy technologiczne. Jednak francuskie strony internetowe maja 44,1% wysokiego ryzyka, blisko sredniej UE. Wyjasnienie prawdopodobnie lezy w strategii egzekucyjnej CNIL: glosne dzialania przeciwko duzym platformom generuja naglowki, ale nie zmieniaja bezposrednio zachowania tysiecy malych i srednich firm, ktore stanowia dlugi ogon sieci. Szeroka zmiana zachowan wymaga albo sektorowych kampanii egzekucyjnych (jak prowadzily Niemcy), albo ogolnego wzrostu postrzeganego ryzyka egzekucji.
Dane dotyczace poszczegolnych krajow omawiamy szerzej w naszym wpisie o porownaniu krajow.
Ustalenie 5: Udzialy rynkowe CMP i co nam mowia
Wsrod 43 796 stron (45%), ktore wyswietlily wykrywalny baner zgody, zidentyfikowalismy 45 roznych platform zarzadzania zgoda. Rynek jest skoncentrowany na szczycie, ale fragmentaryczny w dlugim ogonie.
| CMP | Strony | Udzial rynkowy |
|---|---|---|
| Cookiebot | 6 481 | 14,8% |
| OneTrust | 3 101 | 7,1% |
| Usercentrics | 1 820 | 4,2% |
| Complianz | 1 590 | 3,6% |
| Didomi | 1 472 | 3,4% |
| iubenda | 1 250 | 2,9% |
| Ogolne / niezidentyfikowane | 15 179 | 34,7% |
Najwieksza pojedyncza kategoria to „Ogolne / niezidentyfikowane" z 34,7%. Sa to strony uzywajace rozwiazan dotyczacych zgody, ktore nie pasowaly do zadnej z 45 sygnatur CMP w naszej bibliotece wykrywania. Obejmuja niestandardowe paski cookie, wtyczki WordPress o malym zasiegu, regionalnych dostawcow CMP oraz implementacje tak minimalne, ze skladaja sie z pojedynczego usuwalnego elementu div z przyciskiem „Rozumiem". Jakosc zgodnosci tej kategorii jest srednio znacznie nizsza niz w przypadku uznanych CMP, choc nie opublikowalismy jeszcze wskaznikow zgodnosci w podziale na poszczegolne CMP.
Dane dotyczace interakcji z banerami ujawniaja kolejny problem. Sposrod 43 796 wykrytych banerow:
| Cecha banera | Czestotliwosc wystepowania |
|---|---|
| Opcja odrzucenia w pierwszej warstwie | 56,3% |
| Brak widocznej opcji odrzucenia | 19,6% |
| Niepewne (niejednoznaczny interfejs) | 24,1% |
Niemal co piaty baner zgody nie oferuje widocznego sposobu odrzucenia nieistotnych plikow cookie bez przejscia do drugiej warstwy ustawien. Wytyczne EROD 05/2020 dotyczace zgody stanowia, ze odmowa zgody nie powinna wymagac wiekszego wysilku niz jej udzielenie. Projekt, ktory wymaga dodatkowych klikniec do odmowy, ale oferuje akceptacje jednym kliknieciem, jest zgodnie z tymi wytycznymi ciemnym wzorcem, ktory podwaza waznosc zgody.
Wykrylismy rowniez konkretne implementacje ciemnych wzorcow: 3 454 strony (7,9% tych z banerami) umieszczaly opcje odrzucenia dopiero w drugiej warstwie, 84 strony stosowaly cookie walls (blokowanie tresci do czasu wyrazenia zgody), a 137 stron wykazywalo unikanie zgody przez boty -- celowe ukrywanie banera przed automatycznymi skanerami przy jednoczesnym wyswietlaniu go ludzkim odwiedzajacym.
Ustalenie 6: Naduzycia czasu zycia plikow cookie
CNIL zaleca maksymalny czas życia plików cookie wynoszący 13 miesięcy — standard przyjęty lub przywołany przez kilka innych krajowych organów ochrony danych. Nie jest to sztywny limit prawny w tekście GDPR, ale odzwierciedla interpretację zasady ograniczenia przechowywania (art. 5 ust. 1 lit. e)) zastosowanej do identyfikatorów śledzących.
Nasz skan wykazal, ze 26 250 stron (27%) ma co najmniej jeden plik cookie przekraczajacy prog 13 miesiecy, obejmujac lacznie 58 127 pojedynczych plikow cookie.
Najczesciej wystepujacym naruszycielem jest plik cookie `_ga` uzywany przez Google Analytics, ktory jest ustawiany z domyslnym czasem zycia dwoch lat. Oznacza to, ze nawet strony z poza tym funkcjonalnymi mechanizmami zgody czesto naruszaja przepisy po prostu dlatego, ze nie nadpisaly domyslnego czasu wygasniecia plikow cookie GA. To jest kwestia konfiguracji, nie ograniczenie techniczne -- Google Analytics pozwala na ustawianie niestandardowych czasow zycia plikow cookie -- ale domyslne ustawienie jest niezgodne z wytycznymi EROD, a wiekszosc operatorow stron nigdy go nie zmienia.
Dlugozyciowe pliki cookie tworza narastajace ryzyko dla prywatnosci. Dwuletni plik cookie to nie tylko „troche wiecej niz 13 miesiecy". Oznacza to, ze uzytkownik, ktory odwiedza strone raz, wyrazil zgode i nigdy nie wraca, moze byc nadal identyfikowany i sledzony przez analityke tej strony przez dwa lata. Jesli uzytkownik pozniej wycofa zgode lub zmieni sie podstawa prawna, plik cookie trwa jako widmowy identyfikator az do wygasniecia.
Dodatkowe ustalenia
Kilka innych ustalen z badania zasluguje na krotka wzmanke:
Fingerprinting. Wykrylismy sygnaly fingerprintingu przegladarki (fingerprinting canvas, fingerprinting WebGL, fingerprinting kontekstu audio) na 4 114 stronach (4,2%). Fingerprinting jest szczegolnie niepokojacy, poniewaz nie mozna go usunac przez skasowanie plikow cookie -- wykorzystuje wrodzone cechy przegladarki i urzadzenia jako identyfikatory. Dyrektywa ePrivacy traktuje fingerprinting jako rownowazny sledzeniu opartemu na plikach cookie w zakresie wymogu zgody. Rozbieznosci Google Consent Mode. Wsrod stron implementujacych Google Consent Mode, 28,4% zostalo wykryte jako uzywajace go, podczas gdy 13,7% stron korzystajacych z uslug Google nie wykazywalo zadnej implementacji Consent Mode. Bardziej niepokojace jest to, ze 11,9% wykazywalo rozbieznosci -- stan zgody raportowany do API Google nie odpowiadal faktycznemu zachowaniu sledzenia obserwowanemu w przegladarce. Oznacza to, ze CMP mowi Google, ze zgoda zostala odmowiona, ale zadania sledzace nadal sa wysylane. Dostepnosc. Banery zgody sa prawnie wymaganymi elementami interfejsu, a jesli sa niedostepne, czesc uzytkownikow nie moze korzystac ze swoich praw. Wsrod wykrytych banerow: 25% mialo cele dotykowe ponizej zalecanych minimalnych rozmiarow, 15,2% mialo tekst o niskim kontrascje, a 3,4% nie bylo dostepnych z klawiatury. Baner, ktory nie moze byc obslugiwany za pomoca klawiatury, skutecznie odmawia mozliwosci wyboru zgody uzytkownikom korzystajacym z technologii wspomagajacych -- naruszenie, ktore lezy na styku GDPR i przepisow dotyczacych dostepnosci.Ogolny rozklad ryzyka
Podsumowujac wszystko, zbiorcza klasyfikacja ryzyka 97 304 przeskanowanych stron:
| Poziom ryzyka | Odsetek |
|---|---|
| Wysokie ryzyko | 41,0% |
| Niskie ryzyko | 27,6% |
| Srednie ryzyko | 16,8% |
| Niejednoznaczne | 14,9% |
Wskaznik 14,9% niejednoznacznych wynikow odzwierciedla strony, na ktorych skaner nie mogl osiagnac wiarygodnego ustalenia -- zazwyczaj z powodu wykrywania botow, zlozonych architektur single-page-application lub zachowania zaleznego od czasu. Raportujemy te wyniki uczciwie, zamiast zmuszac je do klasyfikacji pozytywna/negatywna, poniewaz falszywa pewnosc w danych dotyczacych zgodnosci jest gorsza niz przyznana niepewnosc.
Co to oznacza dla wlascicieli stron internetowych
Jesli prowadzisz strone internetowa obslugujaca odwiedzajacych z UE, cztery dzialania adresuja najczestsze i najbardziej ryzykowne ustalenia:
1. Przeprowadz audyt tego, co laduje sie przed wyrazeniem zgody. Otworz swoja strone w prywatnym oknie przegladarki, otworz narzedzia deweloperskie i obserwuj zakladki Siec (Network) i Aplikacja (Application) przed jakakolwiek interakcja z banerem. Jesli widzisz zadania do domen analitycznych lub reklamowych, lub pliki cookie z tych uslug, Twoje zachowanie przed wyrazeniem zgody jest niezgodne. Naprawa to zazwyczaj konfiguracja menedzera tagow: upewnij sie, ze nieistotne skrypty sa blokowane do momentu zarejestrowania swiadomej zgody. 2. Przetestuj swoj proces odrzucania od poczatku do konca. Kliknij odrzuc na swoim banerze, a nastepnie sprawdz, czy nieistotne pliki cookie zniknely. Nastepnie przeladuj strone i sprawdz ponownie. Jesli pliki cookie pojawiaja sie ponownie, masz problem z consent respawn, ktory wymaga zbadania, ktore skrypty omijaja Twoj mechanizm zgody. Nasze dane pokazuja, ze dotyczy to zaskakujaco duzej liczby stron, nawet tych uzywajacych renomowanych CMP. 3. Sprawdz czasy zycia swoich plikow cookie. Jesli uzywasz Google Analytics z domyslnymi ustawieniami, Twoj plik cookie `_ga` ma dwuletni czas zycia. Zmien go na 13 miesiecy lub mniej. Przejrzyj wszystkie pliki cookie ustawiane przez Twoja strone i upewnij sie, ze zaden nie przekracza zalecenia EROD. To szybka zmiana konfiguracji, ktora eliminuje czeste ustalenie dotyczace zgodnosci. 4. Upewnij sie, ze Twoj baner jest dostepny i oferuje odrzucenie w pierwszej warstwie. Jesli opcja odrzucenia wymaga przejscia do drugiej strony ustawien, podczas gdy „Akceptuj wszystko" to jedno klikniecie, Twoj mechanizm zgody moze nie spelniac wytycznych EROD. Przejrzyj baner pod katem dostepnosci z klawiatury, rozmiarow celow dotykowych i wspolczynnikow kontrastu.Uwagi metodologiczne i uczciwe ograniczenia
Chcemy byc transparentni w kwestii tego, co to badanie moze, a czego nie moze powiedziec.
Co dobrze mierzy: Zachowanie przed wyrazeniem zgody, inwentarze plikow cookie, zadania sieciowe do znanych domen sledzacych, obecnosc i strukture banerow, wyniki procesu odrzucania oraz czasy zycia plikow cookie. Sa to obiektywne, oparte na dowodach pomiary zarejestrowane na podstawie rzeczywistego zachowania przegladarki. Co mierzy niedoskonale: Wykrywanie CMP nie jest w 100% kompleksowe. Strony uzywajace rozwiazan dotyczacych zgody spoza naszej biblioteki 45 CMP moga byc blednie skategoryzowane jako nie posiadajace banera. Banery zalezne od GeoIP moga wyswietlac sie inaczej w zaleznosci od lokalizacji sieciowej skanera. Aplikacje typu single-page-application, ktore zarzadzaja zgoda w stanie po stronie klienta bez zmian DOM, sa trudniejsze do oceny. Niektore strony wykrywaja automatyczne przegladarki i odpowiednio zmieniaja swoje zachowanie (znalezlismy 137 robiacy to celowo). Czego nie mierzy: Roszczen dotyczacych uzasadnionego interesu (ktore wymagaja oceny prawnej, a nie technicznej), jakosci polityk prywatnosci, tego, czy zapisy zgody sa prawidlowo przechowywane, ani tego, czy dzialania przetwarzania danych sa proporcjonalne. Sa to wazne wymiary zgodnosci, ktore nie sa obserwowalne na podstawie samego zachowania przegladarki.Wskaznik 14,9% niejednoznacznych wynikow to nasz zawor bezpieczenstwa dla stron, na ktorych nie moglismy osiagnac wiarygodnego ustalenia technicznego. Wolimy uczciwa niepewnosc od falszywej precyzji.
Sprawdz swoja strone internetowa. Uruchom darmowy skan na gdprprivacymonitor.eu i zobacz dokladnie, co dzieje sie przed, w trakcie i po wyrazeniu zgody na Twojej stronie. Skaner generuje te same dowody, ktore pokazano w tym badaniu -- migawki przed wyrazeniem zgody, inwentarze plikow cookie, wyniki procesu odrzucania i klasyfikacje ryzyka -- dla kazdego przeslanego adresu URL.
Sprawdź swoją stronę
Uruchom bezpłatne skanowanie zgodności z RODO — bez rejestracji.
Przeskanuj swoją stronę za darmo