80% of Cookie Reject Buttons Don't Actually Work — Here's the Proof

Každý cookie banner dáva rovnaký implicitný sľub: kliknite na „Odmietnuť" a sledovanie sa zastaví. Banner zmizne a vy pokojne prehliadate. To je dohoda, na ktorej je model súhlasu postavený — myšlienka, že používatelia majú zmysluplnú a vymáhateľnú voľbu.

Tento sľub sme otestovali na 28 891 webových stránkach v EÚ. Na 80,4 % z nich je tento sľub porušený. Sledovanie pokračuje aj potom, čo používateľ výslovne klikne na odmietnutie. Cookies pretrvávajú. Reklamné pixely sa naďalej spúšťajú. A na 1 642 stránkach sa cookies, ktoré akcia odmietnutia pôvodne vymazala, vrátia pri ďalšom načítaní stránky — vzor, ktorý nazývame opätovné objavenie súhlasu (consent respawn).

Nejde o okrajové zistenie o niekoľkých zle nakonfigurovaných stránkach. Poukazuje to na systémový problém v mechanizme, na ktorý sa stovky miliónov obyvateľov EÚ spoliehajú pri ochrane svojich práv na súkromie.

Čo má „Odmietnuť" robiť — z právneho hľadiska

Právny rámec je jasný. Podľa článku 5 ods. 3 smernice ePrivacy si ukladanie alebo prístup k informáciám na koncovom zariadení používateľa vyžaduje predchádzajúci súhlas, s úzkou výnimkou pre cookies nevyhnutne potrebné pre službu, ktorú používateľ výslovne požadoval. Článok 7 ods. 3 GDPR dopĺňa, že odvolanie súhlasu musí byť rovnako jednoduché ako jeho udelenie a prevádzkovateľ údajov musí na toto odvolanie reagovať.

Usmernenia EDPB 05/2020 o súhlase podľa GDPR objasňujú, čo to znamená pre tlačidlá odmietnutia: ak webová stránka ponúka možnosť „Prijať všetko", musí tiež ponúknuť rovnako viditeľnú a rovnako prístupnú možnosť odmietnuť. A toto odmietnutie musí byť účinné — musí skutočne zabrániť spracovaniu, ktoré by súhlas autorizoval.

Súdny dvor EÚ to potvrdil v rozhodnutí Planet49 (C-673/17): súhlas vyžaduje jasný kladný úkon a vopred zaškrtnuté políčka nepredstavujú platný súhlas. Logickým dôsledkom je, že odmietnutie — výslovný záporný úkon — musí byť rešpektované rovnako definitívne ako prijatie. Ak kliknutie na „Prijať" zapne sledovanie, kliknutie na „Odmietnuť" ho musí vypnúť. Nie čiastočne. Nie dočasne. Úplne a trvalo.

To hovorí zákon. Naše údaje ukazujú, čo sa skutočne deje.

Ako testujeme priebeh odmietnutia

Náš test priebehu odmietnutia je navrhnutý tak, aby bol čo najbližšie skúsenosti skutočného ľudského používateľa, ktorý klikne na odmietnutie, s pridaním komplexnej inštrumentácie. Tu je postup krok za krokom:

Krok 1: Čistá relácia prehliadača. Skener spustí čistú inštanciu Chromium — žiadne cookies, žiadne lokálne úložisko, žiadne cachované zdroje, žiadna história prehliadania. Ide o skutočného návštevníka, ktorý prichádza prvýkrát a nemá žiadny predchádzajúci stav súhlasu. Krok 2: Navigácia a zaznamenanie stavu pred súhlasom. Skener načíta cieľovú URL a počká, kým sa stránka stabilizuje. Pred akoukoľvek interakciou zaznamená každý cookie prítomný v prehliadači, každý sieťový požiadavok a každú kontaktovanú doménu tretej strany. Toto je východiskový stav pred súhlasom — čo stránka robí predtým, než má používateľ akúkoľvek príležitosť urobiť voľbu. Krok 3: Detekcia banneru súhlasu. Pomocou našej detekčnej knižnice pokrývajúcej 45 známych CMP a generických heuristík skener identifikuje mechanizmus súhlasu a nájde tlačidlo odmietnutia. Tento krok využíva vrstvený prístup: najprv kontroluje známe skripty CMP a ich pridružené DOM štruktúry, potom prechádza na generickú detekciu fixných prvkov s textom súvisiacim so súhlasom. Krok 4: Kliknutie na odmietnutie. Skener klikne na tlačidlo odmietnutia a počká, kým sa stránka stabilizuje. „Stabilizácia" znamená čakanie na dokončenie nevybavených sieťových požiadaviek, zastavenie DOM mutácií a dokončenie akýchkoľvek animácií alebo prechodov. Krok 5: Snímka po odmietnutí. Skener znova zaznamená kompletný stav: všetky cookies, všetku sieťovú aktivitu, všetky domény tretích strán. Tento snímok sa porovná so základným stavom pred súhlasom, aby sa zistilo, čo sa zmenilo. Krok 6: Opätovné načítanie a kontrola respawnu. Skener znova načíta stránku a počká na stabilizáciu. Potom urobí záverečný snímok. Tento krok je kľúčový: odhalí, či je akcia odmietnutia trvalá (rešpektovaná naprieč načítaniami stránky) alebo či sa cookies a sledovanie znovu aktivujú pri novom načítaní stránky. Ak sa cookies odstránené v kroku 5 znovu objavia v kroku 6, ide o consent respawn.

Každý krok produkuje časovo označené archívne dôkazy: kompletné inventáre cookies s názvami, hodnotami, doménami, dátumami expirácie a príznakmi; kompletné záznamy sieťových požiadaviek; a snímky celej stránky.

Výsledky: 80,4 % zlyhanie

Z 28 891 webových stránok, kde sme úspešne dokončili kompletný test priebehu odmietnutia:

• 5 650 (19,6 %) prešlo. Po kliknutí na odmietnutie boli nepodstatné cookies odstránené, sledovacie požiadavky sa zastavili a odmietnutie pretrvalo naprieč opätovnými načítaniami stránky.
• 23 241 (80,4 %) zlyhalo. Sledovanie v nejakej forme pokračovalo aj potom, čo používateľ výslovne klikol na odmietnutie.

Zlyhania nie sú uniformné. Spadajú do rôznych kategórií, ktoré sa prekrývajú — jedna stránka môže vykazovať viacero režimov zlyhania súčasne.

Pretrvávajúce cookies: 10 848 stránok

Na 10 848 stránkach (37,5 % testovaných) zostali nepodstatné cookies v prehliadači po dokončení priebehu odmietnutia. Ide o cookies klasifikované ako analytické, marketingové alebo sledovacie, ktoré mali byť po akcii odmietnutia odstránené alebo im malo byť zabránené v nastavení.

Najčastejšie pretrvávajúce cookies patria Google Analytics (`_ga`, `_gid`, `_gat`), Meta/Facebook (`_fbp`, `fr`) a rôznym reklamným platformám. V mnohých prípadoch CMP úspešne odstráni niektoré cookies, ale nezachytí všetky — čo naznačuje neúplnú integráciu medzi platformou na správu súhlasu a kompletným zoznamom skriptov tretích strán na stránke.

Prítomnosť týchto cookies po odmietnutí nie je len estetický problém. Každý z nich je trvalý identifikátor, ktorý spája aktuálnu reláciu používateľa s minulými a budúcimi návštevami. Cookie `_ga` je napríklad unikátny identifikátor klienta, ktorý Google Analytics používa na vytváranie pozdĺžneho profilu správania používateľa naprieč reláciami.

Pretrvávajúce sledovače: 14 547 stránok

Na 14 547 stránkach (50,3 % testovaných) zostali sledovacie služby aktívne po odmietnutí — čo znamená, že prehliadač naďalej odosielal požiadavky na známe sledovacie domény aj po tom, čo používateľ klikol na tlačidlo odmietnutia.

Toto je odlišný režim zlyhania od pretrvávania cookies. Sledovač môže byť aktívny bez nastavenia cookie: pixelové požiadavky, beacon volania a načítania skriptov všetky prenášajú informácie na servery tretích strán bez ohľadu na to, či je cookie uložený.

Rozdiel medzi číslom cookies (10 848) a číslom sledovačov (14 547) je významný. Znamená to, že na približne 3 700 stránkach akcia odmietnutia úspešne vymazala cookies, ale nezabránila pokračovaniu sledovacích požiadaviek. CMP spravoval vyčistenie cookies, ale nezablokoval skripty, ktoré generujú sledovaciu prevádzku.

Consent respawn: 1 642 stránok, 4 932 cookies

Consent respawn je najznepokojujúcejší vzor, ktorý sme identifikovali. Na 1 642 webových stránkach sa cookies, ktoré boli akciou odmietnutia úspešne odstránené, znovu objavili po opätovnom načítaní stránky. Na týchto stránkach vykazovalo toto správanie 4 932 individuálnych cookies.

Ako sa cookie vráti po vymazaní. Keď používateľ klikne na odmietnutie, správne nakonfigurovaný CMP urobí dve veci: vymaže existujúce nepodstatné cookies a aktualizuje záznam o súhlase, ktorý povie blokovacej logike CMP, aby zabránila spusteniu nepodstatných skriptov pri budúcich načítaniach stránky.

Consent respawn nastáva, keď vymazanie uspeje, ale blokovanie zlyhá. Najčastejší scenár:

1. CMP vymaže cookie `_ga`, keď používateľ klikne na odmietnutie.

2. CMP nastaví cookie stavu súhlasu zaznamenávajúci, že používateľ odmietol analytiku.

3. Pri ďalšom načítaní stránky CMP skontroluje svoj stav súhlasu a vie, že používateľ odmietol.

4. Ale: skript Google Analytics je vložený priamo v šablóne stránky alebo sa načíta pravidlom správcu značiek, ktoré nekontroluje stav súhlasu.

5. GA skript sa načíta, nevidí žiadny cookie `_ga` a vytvorí nový.

6. Rozhodnutie používateľa o odmietnutí bolo prepísané.

Varianty tohto vzoru zahŕňajú: skripty tretích strán načítané cez hardkódované `