Co je signál Global Privacy Control?

Global Privacy Control je signál na úrovni prohlížeče, který sděluje uživatelovu preferenci odmítnout prodej nebo sdílení jeho osobních údajů. Přenáší se dvěma způsoby: jako HTTP hlavička požadavku (Sec-GPC: 1) odeslaná s každým odchozím požadavkem, a jako vlastnost JavaScriptu (navigator.globalPrivacyControl), která vrací booleovskou hodnotu. Pokud je některá z nich přítomna a nastavena, uživatel vyjádřil právně závažnou preferenci, jejíž respektování vyžadují určité zákony o ochraně osobních údajů.

GPC byl navržen jako náhrada neúspěšného experimentu Do Not Track (DNT). DNT neměl žádné právní zakotvení, což znamenalo, že inzerenti a vydavatelé jej bez následků ignorovali. GPC je jiný, protože kalifornští regulátoři jej přímo zapracovali do předpisů CPRA a následné státní zákony tento krok napodobily.

Které prohlížeče dnes odesílají GPC?

Od roku 2026 je GPC nativně podporován nebo dostupný prostřednictvím rozšíření ve všech hlavních prohlížečích:

• Firefox — nativní, přepínatelné v nastavení soukromí
• Brave — ve výchozím nastavení povoleno pro všechny uživatele
• DuckDuckGo — prohlížeč a mobilní aplikace, ve výchozím nastavení povoleno
• Safari — dostupné prostřednictvím rozšíření a konfigurace soukromí v iOS
• Chrome a Edge — dostupné prostřednictvím oficiálního rozšíření GPC a několika doplňků pro soukromí

Odhady naznačují, že mezi 8 a 15 procenty amerického webového provozu nyní nese signál GPC, přičemž výrazně vyšší míry jsou zaznamenány v demografických skupinách zaměřených na soukromí. Pro středně velkého vydavatele to představuje nezanedbatelný podíl inventáře, který nelze monetizovat prostřednictvím tradičního behaviorálního cílení bez porušení práv na odhlášení.

Které zákony o ochraně soukromí činí GPC právně závazným?

GPC není jedním federálním požadavkem. Jeho vymahatelnost je rozložena napříč státními zákony, každý s mírně odlišným rozsahem a sankcemi.

Kalifornie — CPRA a CCPA

Konečné předpisy generálního prokurátora Kalifornie podle CCPA výslovně vyžadují, aby podniky zacházely s GPC jako s platným odmítnutím prodeje a sdílení. Dohoda Sephora z roku 2022, jejímž výsledkem byla pokuta 1,2 milionu dolarů, konkrétně citovala selhání při zpracování GPC jako signálu pro odhlášení jako jedno z klíčových porušení. Californská agentura pro ochranu soukromí pokračuje v agresivním vymáhání v průběhu let 2024 a 2025, přičemž zpracování GPC je nyní standardním auditorním zaměřením.

Zákon o ochraně soukromí Colorada

CPA vyžaduje, aby kontroloři uznali Universal Opt-Out Mechanism (UOOM) počínaje 1. červencem 2024. Generální prokurátor Colorada ve svých technických specifikacích výslovně označil GPC jako schválený UOOM.

Zákon o ochraně osobních údajů Connecticutu

CTDPA vstoupil v platnost 1. ledna 2025 s požadavkem na uznání UOOM, který je svým duchem totožný s Coloradem. Podniky působící v Connecticutu musí respektovat GPC pro odmítnutí cílené reklamy a prodeje osobních údajů.

Další americké státy v roce 2026

• Oregon — oregonský zákon o ochraně soukromí spotřebitelů uznává mechanismy univerzálního odmítnutí
• Texas — TDPSA vyžaduje uznání univerzálního odhlášení do 1. ledna 2025
• Delaware, New Jersey, New Hampshire — podobná ustanovení UOOM v platnosti nebo postupně zaváděná
• Montana — účinná od října 2024, zahrnuje požadavky na uznání GPC

Co evropský GDPR?

GPC není výslovně vyžadován podle EU GDPR ani směrnice o ePrivacy. Někteří evropští regulátoři nicméně neformálně naznačili, že respektování jasného odhlášení na úrovni prohlížeče je v souladu s duchem zákona. V praxi by vydavatelé obsluhující globální publikum měli zacházet se signálem GPC od uživatelů z EU jako přinejmenším se silným signálem k potlačení sledovacích pixelů, které nemají zákonný základ.

Jak GPC interaguje s vaší CMP a režimem souhlasu

Správná implementace GPC vyžaduje integraci s vaší platformou pro správu souhlasů, systémem správy tagů a infrastrukturou sledování na straně serveru. Naivní integrace, která pouze blokuje soubory cookie na straně klienta, nesplní požadavky většiny státních zákonů, které se vztahují také na sdílení dat ze serveru na server.

Čtyři kroky správného toku GPC

1. Detekujte signál při načítání stránky čtením navigator.globalPrivacyControl a na straně serveru kontrolou hlavičky požadavku Sec-GPC.
2. Potlačte banner pro americké obyvatele, u nichž GPC funguje jako předběžné odhlášení, nebo zobrazte banner s již aplikovanými příslušnými odhlášeními.
3. Propagujte odhlášení do správce tagů, konfigurace režimu souhlasu, sledovacích koncových bodů na straně serveru a jakýchkoli partnerství pro sdílení dat (reklamní sítě, SSP, analytičtí dodavatelé).
4. Zaznamenejte signál jako záznamy o shodě s časovým razítkem, identifikátorem uživatele tam, kde je to relevantní, a konkrétními odhlášeními, která byla aplikována.

GPC a Google Consent Mode v2

Google Consent Mode v2 zavedl dva signály, které se čistě mapují na GPC: ad_user_data a ad_personalization. Když je detekován signál GPC, oba by měly být nastaveny na denied po dobu uživatelské relace. Tím je zajištěno, že data dosahující vlastností Google jsou degradována na modelování bez cookies místo použití pro personalizovanou reklamu. Nepropagování GPC do Consent Mode je jednou z nejčastějších implementačních mezer, které vidíme při auditech vydavatelů.

Serverová strana a měřicí API

GPC se vztahuje na veškeré zpracování, nejen na soubory cookie prohlížeče. Pokud váš stack používá Meta Conversions API, TikTok Events API nebo Google Measurement Protocol, musí tato volání respektovat odhlášení. Běžný vzorec selhání: banner na straně klienta blokuje Meta Pixel, ale integrace na straně serveru pokračuje v odesílání událostí s hashovanými e-mailovými daty. To je učebnicové porušení práva CCPA na odhlášení z prodeje.

Běžné implementační chyby

Nejčastější selhání shody s GPC, která vidíme při auditech vydavatelů, spadají do předvídatelných kategorií.

Chyba 1: Zacházení s GPC pouze jako s odhlášením od souborů cookie

Mnoho CMP deaktivuje při detekci GPC pouze nepodstatné soubory cookie. Státní zákony však definují „prodej” a „sdílení” tak, aby zahrnovaly přenosy dat ze strany serveru, profilování věrnostních programů a syndikaci dat první strany. Pokud váš banner cookie respektuje GPC, ale váš backend nadále zasílá uživatelské profily datovému brokerovi, nejste ve shodě.

Chyba 2: Ignorování GPC u ověřených uživatelů

Pokud je uživatel přihlášen, signál GPC stále platí. Někteří vydavatelé zacházejí s ověřenými vztahy jako s implicitním přepsáním. Regulátoři nesouhlasí. Odhlášení se přenáší do exportů CRM, sdílení e-mailových seznamů a nahrávání cílových skupin pro retargeting.

Chyba 3: Žádná geografická ohraničovací logika

GPC je v současné době právně závazný pouze pro uživatele ve státech se zákony o odhlášení. Pokud jej aplikujete globálně jako tvrdou blokaci, ztratíte monetizaci provozu z jurisdikcí, kde nemá žádný právní účinek. Správně ohraničená implementace používá IP geolokaci jako prvotní filtr, aplikuje GPC pro obyvatele států, kde je závazný, a zobrazuje standardní tok souhlasů jinde.

Chyba 4: Zapomenutí potvrdit odhlášení

Některé zákony, zejména v Kalifornii, očekávají, že uživatelé obdrží potvrzení, že jejich odhlášení bylo zpracováno. Malá zpráva — „Zjistili jsme signál Global Privacy Control a odhlásili vás z prodeje vašich osobních informací” — je nízkonákladový artefakt shody s nadměrnou regulační hodnotou.

Dopad na výnosy z reklamy

Dopad GPC na příjmy závisí do značné míry na vašem mixu provozu, monetizační strategii a na tom, jak elegantně váš stack zpracovává inventář bez cookies. U vydavatelů, se kterými pracujeme, uživatelé se signálem GPC typicky monetizují na 40 až 70 procent plně souhlasících uživatelů při obsluze kontextními, nepersonalizovanými reklamami. Vydavatelé se silnými strategiemi dat první strany, příhozy záhlaví na straně serveru a diverzifikovanými partnery poptávky tuto mezeru dále uzavírají.

Špatnou odpovědí na GPC je ho ignorovat, protože regulační nevýhoda — multimilionové pokuty, civilní hromadné žaloby podle práva CCPA na soukromé jednání a reputační škoda — dalece překonává krátkodobou ztrátu RPM. Správnou odpovědí je vybudovat monetizační trasu bez cookies, která zachází s uživateli GPC jako s prémiovým kontextovým publikem, nikoli se ztraceným inventářem.

Kontrolní seznam akcí pro vydavatele v roce 2026

• Auditujte svou CMP, abyste potvrdili, že detekuje jak navigator.globalPrivacyControl, tak HTTP hlavičku Sec-GPC
• Namapujte propagaci GPC do Google Consent Mode v2, Meta Conversions API a všech sledovacích koncových bodů na straně serveru
• Aplikujte geografické ohraničení tak, aby byl GPC považován za závazný v příslušných amerických státech a za silný signál jinde
• Zaznamenávejte každou detekci GPC a aplikovaná odhlášení, uchovávejte záznamy po dobu vyžadovanou příslušným zákonem (obvykle 24 měsíců)
• Zobrazujte viditelnou potvrzovací zprávu, když je GPC detekován a respektován
• Zkontrolujte svůj reklamní stack pro záložní příjmy bez cookies: kontextní cílení, audience definované prodávajícím, ID obchodů s kontextními parametry
• Zahrňte zpracování GPC do svého ročního přezkumu zásad ochrany osobních údajů a DPIA tam, kde je to použitelné

GPC nepůjde pryč. Trajektorie je jasná: více amerických států přijme požadavky na univerzální odhlášení, prohlížeče budou nadále ve výchozím nastavení odesílat GPC a regulátoři budou nadále zacházet s nerespektováním signálu jako s prioritou vymáhání první kategorie. Vydavatelé, kteří v roce 2026 integrují zpracování GPC do jádra svého zásobníku souhlasů a monetizace, budou dobře připraveni na příští vlnu legislativy o ochraně soukromí. Ti, kteří k tomu přistupují jako k okrajové záležitosti, se ocitnou v situaci, kdy budou čelit vykonávacím opatřením, jimž bylo možné předejít jen několika dny technické práce.