Which EU Countries Take Cookie Compliance Most Seriously?

GDPR je ena uredba. Eno besedilo. Neposredno uporabna v vsaki državi članici EU brez potrebe po nacionalnem prenosu (za razliko od direktive o zasebnosti in elektronskih komunikacijah, ki to zahteva, kar dodaja še eno plast razlik). Teoretično se spletno mesto na Madžarskem sooča z enakimi pravnimi obveznostmi kot spletno mesto v Nemčiji. V praksi je razkorak med teorijo in resničnostjo ogromen.

Ko smo pregledali 97.304 spletnih mest v 25 državah članicah EU, smo ugotovili, da se delež visoko tveganih spletnih mest giblje od 20,9 % v Avstriji do 58,8 % na Madžarskem -- skoraj trikratno razmerje. Ista uredba, ista metodologija pregledovanja, isti kriteriji razvrščanja, izrazito različni rezultati. Podatki nakazujejo, da je skladnost manj povezana s tem, kaj pravi zakon, kot s tem, kako aktivno se uveljavlja.

Celotna razvrstitev

Spodnja tabela prikazuje vsako državo v naši študiji, razvrščeno po odstotku pregledanih spletnih mest, razvrščenih kot visoko tvegana. Visoko tveganje pomeni, da je mesto kazalo pomembne kršitve privolitve: sledenje pred privolitvijo, napake toka zavrnitve, manjkajoče mehanizme privolitve ob aktivnem sledenju ali kombinacije navedenega. Prikazujemo tudi povprečno oceno tveganja (zvezna metrika 0-100) in stopnjo zaznave pasice -- odstotek pregledanih mest, kjer je naš sistem zaznal pasico privolitve.

(Stopnje zaznave pasic so prikazane tam, kjer so na voljo v našem naboru podatkov. "--" pomeni, da podatki za to državo niso bili ločeno izpostavljeni.)

Povprečna ocena tveganja nudi bolj niansiran pogled kot binarna razvrstitev visokega tveganja. Opazimo, da ima Nizozemska razmeroma zmerno stopnjo visokega tveganja (43,5 %), a primerjalno visoko povprečno oceno tveganja (53,1), kar nakazuje, da manj nizozemskih mest preseže prag visokega tveganja, tista, ki ga presežejo, pa so ponavadi bolj resno neskladna. Švedska kaže podoben vzorec v obratni smeri: nižja stopnja visokega tveganja (33,4 %), a razmeroma visoka povprečna ocena (49,0), kar nakazuje širok razpon zmernih kršitev.

1. raven: Vodilne -- Nemčija in Avstrija

Nemčija (23,7 % visoko tveganje) in Avstrija (20,9 % visoko tveganje) sta jasni izjemi. Njuni spletni mesti sta približno dvakrat manj verjetno razvrščeni kot visoko tvegani v primerjavi s povprečjem EU 41 %. Za razumevanje razlogov je treba pogledati ekosistem uveljavljanja v obeh državah.

Nemčija: globina in širina uveljavljanja

Nemška krajina varstva podatkov je edinstvena v Evropi. Poleg zveznega BfDI (Bundesbeauftragter fur den Datenschutz und die Informationsfreiheit) ima vsaka od šestnajstih nemških zveznih dežel svoj neodvisen organ za varstvo podatkov. To pomeni, da ima Nemčija skupno sedemnajst organov za varstvo podatkov, od katerih je bilo več med najaktivnejšimi v Evropi na področju uveljavljanja privolitev.

Bavarski organ za varstvo podatkov (BayLDA) je v letih 2020-2021 izvedel sektorsko revizijo privolitve s piškotki na spletnih mestih, stotine podjetij je poslal formalne vprašalnike in nato izvedel ukrepe uveljavljanja. Hamburški organ za varstvo podatkov je izdal podrobne smernice o Google Analytics in zahtevah glede privolitve. Več deželnih organov za varstvo podatkov je izvedlo usklajene kampanje uveljavljanja, usmerjene v specifične kršitve -- sledenje pred privolitvijo, manjkajoče možnosti zavrnitve in neskladne pasice s piškotki.

Ta gostota uveljavljanja ustvarja drugačen kalkulus tveganja za nemške upravljavce spletnih mest. Ko so vaši panožni kolegi prejeli formalne poizvedbe od organa za varstvo podatkov in ko so smernice uveljavljanja dovolj specifične, da vam natanko povedo, kaj je in kaj ni sprejemljivo, strošek neskladnosti postane konkreten in ne le teoretičen.

Obstaja tudi kulturna razsežnost. Nemška zavest o varstvu podatkov sega globlje kot GDPR. Odločba zveznega ustavnega sodišča o Volkszahlung (ljudskem štetju) iz leta 1983 je informacijsko samoodločbo vzpostavila kot ustavno pravico desetletja pred nastankom GDPR. To je ustvarilo družbeno pričakovanje glede varstva podatkov, ki vpliva na korporativno vedenje in pričakovanja potrošnikov na načine, ki jih je težje količinsko opredeliti, a se jasno odražajo v podatkih.

Avstrija: zgodnje uveljavljanje po Schrems II

Avstrijski DSB (Datenschutzbehorde) je pridobil mednarodno pozornost z izdajo ene prvih odločb o uveljavljanju v obdobju po Schrems II, s katero je ugotovil, da uporaba Google Analytics na spletnem mestu krši GDPR, ker prenosom podatkov v ZDA primanjkuje ustreznih zaščitnih ukrepov. Ta odločba -- ki sta jo pozneje ponovila francoski CNIL in italijanski Garante -- je poslala jasen signal avstrijskim upravljavcem spletnih mest, da sta privolitev in sledenje aktivni prednostni nalogi uveljavljanja.

Avstrijska 20,9-odstotna stopnja visokega tveganja, najnižja v naši študiji, nakazuje, da je bil ta signal prejet. Ko organ za varstvo podatkov s specifičnimi, javno objavljenimi odločbami pokaže, da se bodo kršitve privolitve preganjale, se stopnja skladnosti odzove. Avstrija je eden najjasnejših primerov v naših podatkih korelacije med uveljavljanjem in merljivo vedenjsko spremembo, čeprav tudi drugi dejavniki -- tržna struktura, kulturna stališča -- verjetno prispevajo.

2. raven: Nordijska sredina -- Švedska, Finska, Danska

Švedska (33,4 %), Finska (40,3 %) in Danska (42,1 %) zasedajo srednji pas, ki je boljši od povprečja EU, a bistveno zaostaja za nemško-avstrijskimi vodilnimi.

Nordijske države delijo močne kulturne vrednote zasebnosti in institucionalnega zaupanja, a njihovi organi za varstvo podatkov so na splošno zavzeli manj agresivno držo uveljavljanja, specifično glede privolitve. Švedski IMY (Integritetsskyddsmyndigheten) je izdal pomembne odločbe -- vključno z znatno globo Googlu za napake pri pravici do pozabe -- a njegovo uveljavljanje, specifično za privolitev, je bilo bolj omejeno. Finski tietosuojavaltuutettu in danski Datatilsynet sta se podobno osredotočila na obveščanje o kršitvah podatkov in sektorske smernice namesto obsežnih kampanj privolitve s piškotki.

Švedska 33,4-odstotna stopnja visokega tveganja je kljub temu opazno boljša od zahodnoevropskega povprečja, kar nakazuje, da kulturni odnos do zasebnosti deloma nadomesti manj pogosto uveljavljanje. Nordijski uporabniki interneta so na splošno bolj ozaveščeni o zasebnosti, kar lahko ustvari tržni pritisk za boljše implementacije privolitev tudi brez regulatornega pritiska.

Stopnje zaznave pasic so tukaj poučne. Danska kaže 57,0-odstotno stopnjo zaznave pasice -- najvišjo med državami, za katere imamo ta podatek -- Finska pa 54,6 %. To pomeni, da je bolj verjetno, da nordijska mesta uvedejo pasico privolitve, tudi če implementacija za to pasico ni vedno popolnoma skladna. Nakazuje zavest o obveznosti tudi tam, kjer izvedba zaostaja.

3. raven: Zahodna Evropa -- Francija, Nizozemska, Belgija, Španija, Italija

Pet zahodnoevropskih držav se tesno gručira med 42,1 % in 44,6 % visokega tveganja: Belgija (42,1 %), Nizozemska (43,5 %), Francija (44,1 %), Španija (44,1 %) in Italija (44,6 %). Ta gruča leži blizu celoevropskega povprečja 41 % in morda predstavlja izhodiščno raven skladnosti -- raven, ki jo dosežete, ko uveljavljanje obstaja, a ni dovolj pogosto ali usmerjeno, da bi bistveno premaknilo kazalec.

Francija: paradoks odmevnega uveljavljanja

Francija je omembe vredna, ker je CNIL verjetno mednarodno najbolj viden organ za varstvo podatkov v Evropi. Izdal je rekordne globe Googlu (150 milijonov evrov za kršitve privolitve leta 2022), Amazonu (35 milijonov evrov) in Microsoftu (60 milijonov evrov). Objavil je podrobne smernice o piškotkih in privolitvi leta 2020 ter francoskim spletnim mestom dal šestmesečni rok za uskladitev. Izvedel je usklajene valove uveljavljanja, usmerjene v mesta, ki niso implementirala možnosti zavrnitve.

Kljub temu Francija leži pri 44,1 % visokega tveganja -- točno na povprečju za Zahodno Evropo. Kako lahko najaktivnejši uveljavljalec proizvede le povprečno skladnost?

Odgovor verjetno tiči v strukturi francoskega spleta. Francija ima veliko, raznoliko digitalno gospodarstvo s stotisoči spletnih mest, ki jih upravljajo mala in srednja podjetja, lokalni vladni subjekti in organizacije, ki morda ne sledijo pozorno novicam o uveljavljanju CNIL. Odmevni ukrepi CNIL proti tehnološkim velikanom ustvarjajo mednarodne naslove, a morda ne spremenijo vedenja med tisočimi spletnimi mesti malih podjetij, ki uporabljajo privzete namestitve WordPress z nekonfiguriranimi vtičniki za privolitev. Uveljavljanje, ki cilja na vrh porazdelitve, ne premakne nujno repa.

To je pomemben uvid za vse organe za varstvo podatkov: odmevne globe odvrnejo velika podjetja, a morda ne premaknejo agregatne stopnje skladnosti, ki jo obvladuje dolg rep malih in srednjih mest. Široka vedenjska sprememba zahteva bodisi množično uveljavljanje (nepraktično z obstoječimi viri organov) bodisi orodja, ki skladnost naredijo za privzeto stanje namesto izjeme.

Nizozemska: nizka stopnja pasic, zmerno tveganje

Nizozemska kaže zanimiv vzorec: 43,5-odstotna stopnja visokega tveganja (zmerna), a le 40,3-odstotna stopnja zaznave pasice -- najnižja med državami, za katere imamo ta podatek. To pomeni, da je manj verjetno, da nizozemska mesta uvedejo pasico privolitve, a med tistimi, ki jo uvedejo, je kakovost implementacije morda nekoliko boljša. Morda tudi odraža nizozemski spletni ekosistem, ki vključuje mnoga mesta z minimalnim sledenjem (pasica ni potrebna) ob mestih, ki intenzivno sledijo brez da bi se utrujevala s pasico.

Nizozemski AP (Autoriteit Persoonsgegevens) je bil na splošno aktiven pri uveljavljanju GDPR, a je izdal manj odločb, specifičnih za privolitev, v primerjavi z nemškimi organi za varstvo podatkov ali CNIL. Prednostne naloge uveljavljanja AP so bile osredotočene na vladano obdelavo podatkov, zdravstvene podatke in obsežen nadzor, pri čemer so kršitve privolitve prejele razmeroma manj pozornosti.

4. raven: Vzhodna in Južna Evropa -- Grčija, Poljska, Romunija, Češka, Madžarska

Dno razvrstitve obvladujejo srednjeevropske in vzhodnoevropske države s stopnjami visokega tveganja od 52,5 % (Grčija) do 58,8 % (Madžarska). V teh državah več kot polovica pregledanih spletnih mest izkazuje visoko tvegan profil skladnosti.

Skupna nit ni pomanjkanje pravne obveznosti -- GDPR se uporablja enako -- temveč vzorec podfinanciranih organov za varstvo podatkov z manj ukrepi uveljavljanja, specifično usmerjenimi v privolitev. Madžarski NAIH, poljski UODO, romunski ANSPDCP in češki UOOU so vsi usmerili svoje omejene proračune za uveljavljanje na področja, kot so obveščanje o kršitvah podatkov, zahteve za dostop posameznikov in odmevne pritožbe, namesto proaktivnih revizij privolitve s piškotki.

To je razumno vedenje za podfinancirane regulatorje. Ko imate majhno ekipo in veliko gospodarstvo za nadzor, dajete prednost pritožbam pred proaktivnim uveljavljanjem, pritožbe glede privolitve s piškotki pa so razmeroma redke v primerjavi s pritožbami o kršitvah podatkov ali zavrnitvah dostopa posameznikov. Rezultat je, da kršitve privolitve ostanejo pretežno nenadzorovane, upravljavci spletnih mest pa ne nosijo nobenega smiselnega tveganja uveljavljanja.

Ti podatki ne odražajo usposobljenosti ali predanosti teh organov za varstvo podatkov. Več srednjeevropskih in vzhodnoevropskih organov deluje z razmerjem osebja do prebivalstva, ki je le delček tistega, kar uživajo nemški deželni organi. Madžarski NAIH na primer nadzoruje državo z 10 milijoni ljudi. Bavarski BayLDA, ki nadzoruje prebivalstvo podobne velikosti znotraj ene nemške zvezne dežele, je zgodovinsko imel več virov in bolj osredotočen mandat.

Ključna ugotovitev je strukturna: enotna uredba brez enotnega uveljavljanja proizvede neenotno skladnost. To je pomembna ugotovitev v podatkih na ravni držav.

Korelacija uveljavljanja

Če narišete intenzivnost uveljavljanja organov za varstvo podatkov v primerjavi s stopnjami skladnosti (opisno, saj tukaj ne objavljamo grafa), je razmerje vidno. Države z največ ukrepi uveljavljanja, specifično usmerjenimi v privolitev -- Nemčija, Avstrija -- imajo najnižje stopnje visokega tveganja. Države z odmevnim, a koncentriranim uveljavljanjem (Francija) kažejo povprečno skladnost. Države z minimalnim uveljavljanjem, specifičnim za privolitev, kažejo najvišje stopnje kršitev.

Ta korelacija ne dokazuje vzročnosti -- kulturni dejavniki, tržna struktura in zrelost lokalnega tehnološkega sektorja igrajo svojo vlogo. A moč vzorca čez 25 držav je težko pojasniti brez uveljavljanja kot primarnega gonila.

Nekateri opazni ukrepi uveljavljanja, ki so po vsej verjetnosti premaknili kazalec:

• Nemčija (2020-2022): Več deželnih organov za varstvo podatkov je izvedlo usklajene revizije privolitve s piškotki, stotine spletnih mest je poslalo formalna pisma. BayLDA je objavil pogosta vprašanja o privolitvi, ki so postala de facto standard skladnosti.
• Avstrija (2022): Odločba DSB o Google Analytics je bila široko pokrita v avstrijskih tehnoloških in poslovnih medijih, kar je spodbudilo vidni val migracij z GA na Matomo.
• Francija (2021-2022): Val uveljavljanja CNIL glede piškotkov je ciljal na več kot 100 spletnih mest z neskladnimi implementacijami privolitve, čeprav se učinek zdi skoncentriran med večjimi upravljavci.
• Italija (2022): Garante je izdal posodobljene smernice o piškotkih, ki so spodbudile aktivnost skladnosti med večjimi italijanskimi spletnimi mesti, čeprav 44,6-odstotna stopnja visokega tveganja nakazuje, da se učinek ni široko razširil.

Stopnje zaznave pasic po državah

Stopnja zaznave pasice -- odstotek mest, kjer je naš pregledovalnik zaznal mehanizem privolitve -- se med državami bistveno razlikuje:

Danska vodi s 57,0 %, kar nakazuje, da je najverjetneje, da danska spletna mesta uvedejo kakršno koli obliko mehanizma privolitve, tudi če je njihova skupna kakovost skladnosti (42,1 % visoko tveganje) povprečna. Nemška 46,1 % je nižja, kot bi pričakovali glede na njeno nizko stopnjo kršitev, a to je skladno: nemška mesta, ki sledijo, to bolj verjetno počnejo z ustrezno privolitvijo, medtem ko nemška mesta, ki ne sledijo, razumno delujejo brez pasice.

Nizozemska 40,3 % je najnižja vrednost, ki jo imamo, kar se ujema z zgoraj opaženim nizozemskim vzorcem: manj pasic na splošno, a ne nujno slabša skladnost med tistimi, ki jih uvedejo.

Te stopnje odražajo tudi metodološko resničnost. Mesto, ki ne nastavlja nobenih nebistvenih piškotkov in ne kontaktira nobenih sledilnih domen tretjih oseb, resnično ne potrebuje pasice privolitve v skladu z izjemo direktive o zasebnosti in elektronskih komunikacijah za nujno potrebne piškotke. Nekaj razlik v stopnjah pasic je torej pričakovanih in legitimnih.

Kaj to pomeni za čezmejna podjetja

Če upravljate spletno mesto ali digitalno storitev, ki služi uporabnikom v več državah EU, imajo ti podatki neposredne praktične posledice.

Vaše tveganje skladnosti določa vaš trg z najstrožjim uveljavljanjem. Če vaše mesto služi nemškim uporabnikom, je lestvica dejansko postavljena po pričakovanjih nemških organov za varstvo podatkov, ne glede na to, kje ima vaše podjetje sedež. Po mehanizmu GDPR za enotno kontaktno točko je vaš vodilni nadzorni organ morda v vaši matični državi, a vsak organ za varstvo podatkov lahko ukrepa na podlagi pritožb svojih prebivalcev. Madžarsko spletno mesto, ki služi nemškim obiskovalcem, se lahko sooči s pregledom nemških organov za varstvo podatkov. Primerjava s povprečjem vaše lastne države je nezadostna. Če ste poljski upravljavec spletnega mesta in je 53,3 % vaših kolegov visoko tveganih, biti "povprečen" še vedno pomeni, da ste neskladni po črki GDPR. Uredba ne prilagaja svojih zahtev po državah. Le verjetnost uveljavljanja se razlikuje -- in trendi uveljavljanja se premikajo v eno smer. Organi za varstvo podatkov, ki privolitve še niso postavili na prednostno mesto, bodo to verjetno storili, ko se bo povečalo usklajevanje na evropski ravni. EDPB si prizadeva za konvergenco. Smernice Evropskega odbora za varstvo podatkov, specifične za piškotke, aktivnosti delovnih skupin in mnenja o skladnosti so zasnovani za zmanjšanje vrzeli v uveljavljanju med državami članicami. Poročilo delovne skupine EDPB o pasicah privolitve iz leta 2023 je identificiralo pogoste kršitve in pozvalo k usklajenemu uveljavljanju, več prej manj aktivnih organov za varstvo podatkov pa je kot odziv signaliziralo povečano pozornost do privolitve. Nizko uveljavljanje na katerem koli trgu verjetno ne bo ostalo status quo neskončno.

Problem harmonizacije GDPR

Podatki na ravni držav v tej študiji so v nekaterih pogledih izziv za cilj harmonizacije GDPR. Uredba naj bi ustvarila enoten standard po vsej EU in nadomestila mozaik nacionalnih zakonov o varstvu podatkov. Kar zadeva pravno besedilo, je to uspelo. Kar zadeva resničnost skladnosti, to še ni uspelo.

Spletno mesto v Avstriji je trikrat manj verjetno visoko tvegano kot spletno mesto na Madžarskem. Francoski uporabnik, ki klikne "Zavrni", se sooča z enako 80,4-odstotno stopnjo neuspeha kot poljski uporabnik. Pasica privolitve se bolj verjetno pojavi na Danskem kot na Nizozemskem. Nobena od teh razlik nima pravne podlage -- vse so posledice diferencialnega uveljavljanja.

To odpira zahtevno vprašanje: ali lahko regulatorni okvir, ki je odvisen od nacionalnih organov za uveljavljanje z zelo različnimi viri in prednostnimi nalogami, zagotovi enotno zaščito? Podatki nakazujejo, da je trenutni odgovor ne. Vrzel med Nemčijo/Avstrijo in Madžarsko/Češko se ne zmanjšuje -- in se ne bo zmanjšala brez bodisi znatnega prerazporejanja virov organov za varstvo podatkov bodisi premika k uveljavljanju na ravni EU za pogoste, tehnično merljive kršitve, kot je sledenje pred privolitvijo.

Privolitev s piškotki je ironično ena najlažjih obveznosti GDPR za preverjanje v velikem obsegu. Za razliko od ocenjevanja zakonitosti dejavnosti obdelave podatkov ali ustreznosti ocene učinka na zasebnost je preverjanje, ali spletno mesto nastavlja sledilne piškotke pred privolitvijo, objektivna, avtomatizirana meritev. Če EU ne more doseči konvergence uveljavljanja pri tej najbolj merljivi kršitvi, so obeti za konvergenco pri zahtevnejših vprašanjih slabi.

Metodološka opomba

Izbor spletnih mest je bil pridobljen iz seznama Tranco Top 1M, filtriranega po povezanosti z državo. Pripis državi je kot primarni signal uporabljal domene najvišje ravni s kodo države, dopolnjeno z registracijskimi in gostovalniškimi podatki, kjer so bile domene najvišje ravni dvoumne (npr. domene `.com`). Mesta z nejasno državno pripadnostjo so bila izključena iz analize na ravni držav, a vključena v agregatne podatke na ravni EU.

Vsako mesto je bilo pregledano z enakimi kriteriji: vedenje pred privolitvijo, zaznava pasice, testiranje toka zavrnitve (kjer je bil identificiran gumb za zavrnitev), analiza življenjske dobe piškotkov in ocena dostopnosti. Pregledovalnik ni prilagajal glede na državo izvora -- madžarsko mesto je bilo ocenjeno z enako metodologijo in enakimi pragi kot nemško.

Velikosti vzorcev se razlikujejo po državah in odražajo porazdelitev spletnih mest EU na seznamu Tranco. Države z večjimi digitalnimi gospodarstvi (Nemčija, Francija, Nizozemska) prispevajo več mest. Vsi odstotki so izračunani glede na vzorec posamezne države, ne glede na celoten vzorec EU.

---

Poglejte, kje stoji vaše spletno mesto. Zaženite brezplačen pregled na gdprprivacymonitor.eu, da dobite enako oceno skladnosti, kot smo jo uporabili za vsako mesto v tej študiji -- s popolnimi dokazi, oceno tveganja in uporabnimi ugotovitvami.