Co je Global Privacy Control?

Global Privacy Control (GPC) je signál na úrovni prohlížeče, který lidem umožňuje automaticky sdělit každému navštívenému webu, aby neprodával ani nesdílel jejich osobní údaje. Místo toho, aby na každém webu zvlášť klikali na "odmítnout" v cookie liště, uživatel GPC jednou aktivuje — ve svém prohlížeči nebo v rozšíření — a tato předvolba ho provází napříč celým webem.

Představte si to jako univerzální vypínač odmítnutí. Když je GPC zapnutý, prohlížeč připojí signál ke každému požadavku a zpřístupní jej JavaScriptu. Od vašeho webu se očekává, že tento signál přečte a bude jej považovat za platnou, právně závaznou volbu ochrany soukromí, bez nutnosti jakékoli interakce s lištou.

Proč na GPC právně záleží

GPC není pouhá zdvořilost. V rostoucím počtu jurisdikcí je jeho respektování zákonnou povinností a regulační orgány již podnikly vymáhací kroky proti společnostem, které jej ignorovaly.

Kalifornie (CCPA/CPRA)

Podle zákona CCPA ve znění CPRA musí podniky považovat signál preference odmítnutí za žádost o odmítnutí prodeje nebo sdílení osobních údajů. Kalifornský generální prokurátor a Kalifornská agentura pro ochranu soukromí potvrdili, že GPC je platný signál odmítnutí, který musí být respektován, a jeho nerespektování již vedlo k veřejnému vymáhání.

Další státy USA

Colorado, Connecticut, Texas, Oregon, Montana a několik dalších států nyní vyžaduje uznání univerzálních mechanismů odmítnutí. Seznam každým rokem roste a GPC je de facto standardem, na který tyto zákony odkazují — jednorázové vybudování podpory vás uvádí do souladu se všemi.

Evropa a GDPR

GDPR GPC výslovně nejmenuje, ale vyžaduje, aby byl souhlas udělen svobodně a aby jeho odvolání bylo stejně snadné jako jeho udělení. Jasný, automatizovaný signál odmítnutí přesně zapadá do této zásady a regulační orgány EU projevují rostoucí zájem o strojově čitelné signály preferencí.

Jak GPC funguje technicky

GPC je záměrně jednoduchý. Když jej uživatel aktivuje, prohlížeč sděluje preferenci třemi vzájemně se doplňujícími způsoby:

• Hlavička HTTP — každý požadavek obsahuje Sec-GPC: 1, takže váš server může signál detekovat dříve, než se spustí jediný řádek JavaScriptu stránky.
• Vlastnost JavaScriptu — navigator.globalPrivacyControl vrací true, což umožňuje skriptům na straně klienta a nástrojům pro souhlas reagovat v prohlížeči.
• Zjistitelná politika — weby mohou zveřejnit soubor /.well-known/gpc.json popisující, jak signál interpretují.

Protože je signál dostupný jak na straně serveru, tak na straně klienta, můžete jej vynutit na té vrstvě, která nejlépe vyhovuje vašemu technologickému stacku.

Jak detekovat a respektovat GPC na vašem webu

Respektovat GPC znamená automaticky uplatnit odmítnutí uživatele, aniž byste ho nutili dotknout se vaší lišty. Robustní implementace vypadá takto:

• Detekujte včas. Přečtěte hlavičku Sec-GPC na serveru, nebo zkontrolujte navigator.globalPrivacyControl, jakmile se načte váš skript pro souhlas.
• Uplatněte odmítnutí. U tohoto návštěvníka ve výchozím nastavení potlačte nepodstatné soubory cookie, reklamní a analytické značky a jakýkoli prodej či sdílení dat.
• Odrazte stav. Zobrazte lištu ve stavu odmítnutí, aby uživatel viděl, že jeho volba byla pochopena, a přesto mohl udělit souhlas, pokud to skutečně chce.
• Zaznamenejte to. Zaznamenejte s časovým razítkem, že rozhodnutí bylo řízeno signálem GPC, abyste měli auditovatelný důkaz souladu.

GPC vs. cookie lišty: potřebujete stále obojí?

Ano. GPC a lišty souhlasu řeší překrývající se, ale odlišné problémy. GPC je signál odmítnutí, který řeší především pravidla amerického typu "neprodávat ani nesdílet", zatímco EU funguje na modelu udělení souhlasu, kde musíte před nastavením nepodstatných cookies získat výslovný souhlas. Vyhovující web používá GPC k předběžnému uplatnění globální preference uživatele a lištu k zachycení výslovného souhlasu tam, kde to zákon vyžaduje. Oba by se měly vzájemně posilovat, nikdy si neprotiřečit.

Časté chyby, kterým se vyhnout

• Úplné ignorování hlavičky a kontrola pouze na straně klienta, takže data odejdou dříve, než je GPC vůbec vyhodnocen.
• Detekce GPC, ale nečinnost ve vztahu k němu — rozpoznání bez vynucení není soulad.
• Přehlížení vůle uživatele opětovným dotazováním návštěvníků s GPC lištou, která je tlačí zpět ke sledování.
• Zapomenutí na dokumentaci — bez záznamů nemůžete regulačnímu orgánu prokázat, že signál byl respektován.

Jak FlexyConsent zpracovává GPC

FlexyConsent detekuje signál GPC automaticky jak na serveru, tak na klientovi, uplatní odpovídající odmítnutí dříve, než se spustí jakýkoli nepodstatný skript, a pro každého návštěvníka zaznamená auditovatelný protokol souhlasu. Získáte univerzální podporu odmítnutí, pokrytí napříč více jurisdikcemi a důkaz souladu hned po vybalení — aniž byste museli logiku detekce psát sami. Respektování Global Privacy Control se rychle stává základním standardem a weby, které jej zvládnou správně, budují u svých uživatelů trvalou důvěru.