מהו Global Privacy Control?

Global Privacy Control (GPC) הוא אות ברמת הדפדפן המאפשר לאנשים להודיע אוטומטית לכל אתר שהם מבקרים בו שלא למכור או לשתף את הנתונים האישיים שלהם. במקום ללחוץ על "דחה" בבאנר עוגיות באתר אחר אתר, המשתמש מפעיל את GPC פעם אחת — בדפדפן שלו או בתוסף — וההעדפה הזו נוסעת איתו ברחבי כל הרשת.

חשבו על כך כעל מתג ביטול-הסכמה אוניברסלי. כאשר GPC פעיל, הדפדפן מצרף אות לכל בקשה וחושף אותו ל-JavaScript. מצופה מהאתר שלכם לקרוא את האות הזה ולהתייחס אליו כאל בחירת פרטיות תקפה ומחייבת מבחינה משפטית, ללא צורך באינטראקציה כלשהי עם הבאנר.

מדוע GPC חשוב מבחינה משפטית

GPC אינו רק עניין של נימוס. במספר הולך וגדל של תחומי שיפוט, כיבודו הוא חובה חוקית, והרגולטורים כבר נקטו צעדי אכיפה נגד חברות שהתעלמו ממנו.

קליפורניה (CCPA/CPRA)

תחת CCPA כפי שתוקן על ידי CPRA, על עסקים להתייחס לאות העדפה לביטול הסכמה כבקשה לבטל את ההסכמה למכירה או לשיתוף של מידע אישי. התובע הכללי של קליפורניה ו-California Privacy Protection Agency אישרו כי GPC הוא אות ביטול-הסכמה תקף שיש לכבדו, ואי-כיבודו כבר הוביל לאכיפה פומבית.

מדינות אחרות בארה"ב

קולורדו, קונטיקט, טקסס, אורגון, מונטנה וכמה מדינות נוספות דורשות כעת הכרה במנגנונים אוניברסליים לביטול הסכמה. הרשימה גדלה מדי שנה, ו-GPC הוא הסטנדרט בפועל שאליו חוקים אלה מפנים — בניית תמיכה פעם אחת מיישרת אתכם עם כולם.

אירופה ו-GDPR

GDPR אינו נוקב בשם GPC במפורש, אך הוא אכן דורש שההסכמה תינתן מרצון חופשי ושביטולה יהיה קל כמו נתינתה. אות ביטול-הסכמה ברור ואוטומטי מתאים היטב לעיקרון הזה, והרגולטורים באיחוד האירופי מגלים עניין גובר באותות העדפה הניתנים לקריאה על ידי מכונה.

כיצד GPC עובד מבחינה טכנית

GPC פשוט במכוון. כאשר משתמש מפעיל אותו, הדפדפן מעביר את ההעדפה בשלוש דרכים משלימות:

• כותרת HTTP — כל בקשה כוללת Sec-GPC: 1, כך שהשרת שלכם יכול לזהות את האות עוד לפני שמופעלת שורה אחת של JavaScript בדף.
• מאפיין JavaScript — navigator.globalPrivacyControl מחזיר true, ומאפשר לסקריפטים בצד הלקוח ולכלי הסכמה להגיב בדפדפן.
• מדיניות הניתנת לגילוי — אתרים יכולים לפרסם קובץ /.well-known/gpc.json המתאר כיצד הם מפרשים את האות.

מכיוון שהאות זמין הן בצד השרת והן בצד הלקוח, תוכלו לאכוף אותו בשכבה המתאימה ביותר ל-stack שלכם.

כיצד לזהות ולכבד GPC באתר שלכם

כיבוד GPC משמעו החלת ביטול ההסכמה של המשתמש אוטומטית מבלי לאלץ אותו לגעת בבאנר שלכם. מימוש איתן נראה כך:

• זהו מוקדם. קראו את הכותרת Sec-GPC בשרת, או בדקו את navigator.globalPrivacyControl ברגע שסקריפט ההסכמה שלכם נטען.
• החילו את ביטול ההסכמה. דכאו כברירת מחדל עוגיות לא חיוניות, תגיות פרסום ואנליטיקה, וכל מכירה או שיתוף של נתונים עבור אותו מבקר.
• שקפו את המצב. הציגו את הבאנר במצב של ביטול הסכמה כדי שהמשתמש יראה שבחירתו הובנה, ועדיין יוכל להעניק הסכמה אם הוא באמת רוצה בכך.
• תעדו זאת. רשמו שההחלטה הונעה על ידי אות GPC, בצירוף חותמת זמן, כך שתהיה לכם הוכחת ציות הניתנת לביקורת.

GPC לעומת באנרים של עוגיות: האם עדיין צריך את שניהם?

כן. GPC ובאנרים של הסכמה פותרים בעיות חופפות אך שונות. GPC הוא אות לביטול הסכמה המתייחס בעיקר לכללים בסגנון אמריקאי של "אל תמכרו או תשתפו", בעוד שהאיחוד האירופי פועל לפי מודל הסכמה-מראש שבו עליכם לאסוף הסכמה חיובית לפני הצבת עוגיות לא חיוניות. אתר תואם משתמש ב-GPC כדי להחיל מראש את ההעדפה הגלובלית של המשתמש ובבאנר כדי לקבל הסכמה מפורשת היכן שהחוק דורש זאת. השניים צריכים לחזק זה את זה, ולעולם לא לסתור.

טעויות נפוצות שכדאי להימנע מהן

• התעלמות מוחלטת מהכותרת ובדיקה רק בצד הלקוח, כך שהנתונים יוצאים עוד לפני ש-GPC נבדק בכלל.
• זיהוי GPC אך אי-עשייה של דבר איתו — הכרה ללא אכיפה אינה ציות.
• עקיפת המשתמש על ידי הצגה חוזרת של באנר למבקרים עם GPC, באנר הדוחף אותם בחזרה אל המעקב.
• שכחת התיעוד — ללא יומנים לא תוכלו להוכיח לרגולטור שהאות כובד.

כיצד FlexyConsent מטפל ב-GPC

FlexyConsent מזהה את אות ה-GPC אוטומטית הן בשרת והן בלקוח, מחיל את ביטול ההסכמה התואם לפני שמופעל כל סקריפט לא חיוני, ומתעד יומן הסכמה הניתן לביקורת עבור כל מבקר. אתם מקבלים תמיכה אוניברסלית בביטול הסכמה, כיסוי של תחומי שיפוט מרובים, והוכחת ציות מהקופסה — מבלי לכתוב בעצמכם את לוגיקת הזיהוי. כיבוד Global Privacy Control הופך במהירות לדרישת בסיס, והאתרים שעושים זאת נכון בונים אמון בר-קיימא עם המשתמשים שלהם.