Какво представлява глобалният контрол на поверителността?

Глобалният контрол на поверителността (GPC) е сигнал на ниво браузър, който позволява на хората автоматично да съобщават на всеки уебсайт, който посещават, да не продава и да не споделя личните им данни. Вместо да щракват върху "отказ" в банера за бисквитки на всеки сайт поотделно, потребителят активира GPC веднъж — в браузъра си или в разширение — и това предпочитание го придружава из целия уеб.

Мислете за него като за универсален превключвател за отказ. Когато GPC е включен, браузърът прикачва сигнал към всяка заявка и го предоставя на JavaScript. Очаква се вашият уебсайт да прочете този сигнал и да го третира като валиден, правно обвързващ избор за поверителност, без да е необходимо взаимодействие с банера.

Защо GPC е важен от правна гледна точка

GPC не е просто любезност. Във все по-голям брой юрисдикции зачитането му е правно задължение, а регулаторите вече предприеха действия по налагане на санкции срещу компании, които го пренебрегнаха.

Калифорния (CCPA/CPRA)

Съгласно CCPA, изменен от CPRA, предприятията трябва да третират сигнала за предпочитание за отказ като искане за отказ от продажба или споделяне на лична информация. Главният прокурор на Калифорния и Калифорнийската агенция за защита на поверителността потвърдиха, че GPC е валиден сигнал за отказ, който трябва да бъде зачитан, а неговото неспазване вече доведе до публично налагане на санкции.

Други щати на САЩ

Колорадо, Кънектикът, Тексас, Орегон, Монтана и няколко други щата вече изискват признаване на универсални механизми за отказ. Списъкът расте всяка година, а GPC е де факто стандартът, към който сочат тези закони — изграждането на поддръжка веднъж ви привежда в съответствие с всички тях.

Европа и GDPR

GDPR не назовава GPC изрично, но изисква съгласието да бъде дадено свободно и оттеглянето му да бъде също толкова лесно, колкото и даването му. Ясен, автоматизиран сигнал за отказ се вписва изцяло в този принцип, а регулаторите в ЕС проявяват нарастващ интерес към машинночетими сигнали за предпочитания.

Как GPC работи технически

GPC е умишлено опростен. Когато потребителят го активира, браузърът съобщава предпочитанието по три допълващи се начина:

• HTTP заглавка — всяка заявка включва Sec-GPC: 1, така че вашият сървър може да открие сигнала, преди да се изпълни и един ред JavaScript на страницата.
• Свойство на JavaScript — navigator.globalPrivacyControl връща true, което позволява на скриптовете от страна на клиента и инструментите за съгласие да реагират в браузъра.
• Откриваема политика — сайтовете могат да публикуват файл /.well-known/gpc.json, описващ как интерпретират сигнала.

Тъй като сигналът е достъпен както от страна на сървъра, така и от страна на клиента, можете да го налагате на онзи слой, който най-добре отговаря на вашия технологичен стек.

Как да откривате и зачитате GPC на вашия сайт

Зачитането на GPC означава автоматично прилагане на отказа на потребителя, без да го карате да докосва вашия банер. Една стабилна реализация изглежда така:

• Откривайте рано. Прочетете заглавката Sec-GPC на сървъра или проверете navigator.globalPrivacyControl веднага щом се зареди вашият скрипт за съгласие.
• Приложете отказа. Потиснете по подразбиране несъществените бисквитки, рекламните и аналитичните тагове и всякаква продажба или споделяне на данни за този посетител.
• Отразете състоянието. Покажете банера в състояние на отказ, така че потребителят да види, че изборът му е разбран, и все пак да може да даде съгласие, ако наистина желае.
• Регистрирайте го. Запишете, че решението е било обусловено от сигнал GPC, с времеви печат, така че да имате проверимо доказателство за съответствие.

GPC срещу банери за бисквитки: все още ли са ви необходими и двете?

Да. GPC и банерите за съгласие решават припокриващи се, но различни проблеми. GPC е сигнал за отказ, който основно адресира правилата от американски тип "не продавай и не споделяй", докато ЕС работи по модел на съгласие, при който трябва да съберете утвърдително съгласие, преди да зададете несъществени бисквитки. Съвместимият сайт използва GPC, за да приложи предварително глобалното предпочитание на потребителя, и банер, за да улови изрично съгласие там, където законът го изисква. Двете трябва да се подсилват взаимно, а не да си противоречат.

Често срещани грешки, които да избягвате

• Пълно игнориране на заглавката и проверка само от страна на клиента, така че данните напускат, преди GPC изобщо да бъде оценен.
• Откриване на GPC, но бездействие по отношение на него — разпознаването без налагане не е съответствие.
• Пренебрегване волята на потребителя, като посетителите с GPC се запитват повторно с банер, който ги тласка обратно към проследяване.
• Забравяне на документацията — без регистри не можете да докажете пред регулатор, че сигналът е бил зачетен.

Как FlexyConsent обработва GPC

FlexyConsent открива сигнала GPC автоматично както на сървъра, така и на клиента, прилага съответния отказ, преди да се задейства какъвто и да е несъществен скрипт, и записва проверим регистър на съгласието за всеки посетител. Получавате универсална поддръжка на отказ, покритие за множество юрисдикции и доказателство за съответствие в готов вид — без сами да пишете логиката за откриване. Зачитането на глобалния контрол на поверителността бързо се превръща в задължителен минимум, а сайтовете, които го правят правилно, изграждат трайно доверие с потребителите си.