Što je signal Global Privacy Control?

Global Privacy Control je signal temeljen na pregledniku koji prenosi korisničku preferencu za odjavu od prodaje ili dijeljenja osobnih podataka. Prenosi se na dva načina: kao HTTP zaglavlje zahtjeva (Sec-GPC: 1) koje se šalje uz svaki odlazni zahtjev i kao JavaScript svojstvo (navigator.globalPrivacyControl) koje vraća logičku vrijednost. Kada je jedno od toga prisutno i postavljeno, korisnik je izrazio pravno relevantnu preferencu koju određeni zakoni o privatnosti zahtijevaju da poštujete.

GPC je osmišljen kao zamjena za neuspjeli eksperiment Do Not Track (DNT). DNT nije imao pravnu potporu, što je značilo da su oglašivači i izdavači ignorirali signal bez posljedica. GPC je drugačiji jer su kalifornijski regulatori zapisali to izravno u normativni okvir CPRA-e, a kasniji zakoni saveznih država slijedili su taj pristup.

Koji preglednici danas šalju GPC?

Od 2026. GPC je nativno podržan ili dostupan putem proširenja u svim glavnim preglednicima:

• Firefox — nativno, može se uključiti u postavkama privatnosti
• Brave — zadano uključeno za sve korisnike
• DuckDuckGo preglednik i mobilne aplikacije — zadano uključeno
• Safari — dostupno putem proširenja i iOS konfiguracije privatnosti
• Chrome i Edge — dostupno putem službenog GPC proširenja i nekoliko privatnosnih dodataka

Procjene sugeriraju da između 8 i 15 posto web prometa u SAD-u sada nosi GPC signal, sa znatno višim stopama u demografskim skupinama koje cijene privatnost. Za izdavača srednje veličine to predstavlja neznatan udio inventara koji se ne može unovčiti tradicionalnim bihevioralnim ciljanjem bez kršenja prava na odjavu.

Koji zakoni o privatnosti čine GPC pravno obvezujućim?

GPC nije jedinstven savezni zahtjev. Njegova je provedivost raspoređena po zakonima saveznih država, svaka s malo drugačijim opsegom i kaznama.

Kalifornija — CPRA i CCPA

Konačni propisi CCPA-e državnog odvjetnika Kalifornije izričito zahtijevaju od tvrtki da GPC tretiraju kao valjanu odjavu od prodaje i dijeljenja. Nagodba s tvrtkom Sephora iz 2022., koja je rezultirala kaznom od 1,2 milijuna dolara, posebno je navela propust obrade GPC-a kao signala odjave kao jednu od ključnih povreda. Agencija za zaštitu privatnosti Kalifornije nastavila je s agresivnom provedbom kroz 2024. i 2025., a rukovanje GPC-om sada je standardni fokus revizije.

Colorado Privacy Act

CPA zahtijeva od voditelja obrade da od 1. srpnja 2024. prepoznaju Universal Opt-Out Mechanism (UOOM). Državni odvjetnik Colorada izričito je označio GPC kao odobren UOOM u tehničkim specifikacijama.

Connecticut Data Privacy Act

CTDPA je stupio na snagu 1. siječnja 2025. sa zahtjevom za prepoznavanje UOOM-a identičnim po duhu Coloradu. Tvrtke koje posluju u Connecticutu moraju poštovati GPC za odjave od ciljanog oglašavanja i prodaje osobnih podataka.

Dodatne savezne države SAD-a u 2026.

• Oregon — Zakon o privatnosti potrošača Oregona prepoznaje univerzalne mehanizme odjave
• Texas — TDPSA zahtijeva prepoznavanje univerzalne odjave od 1. siječnja 2025.
• Delaware, New Jersey, New Hampshire — slične odredbe o UOOM-u na snazi ili u postupnoj primjeni
• Montana — na snazi od listopada 2024., uključuje zahtjeve za prepoznavanje GPC-a

Što je s Europom i GDPR-om?

GPC nije izričito zahtjevan prema EU GDPR-u ili Direktivi o e-privatnosti. Međutim, neki europski regulatori neformalno su naznačili da poštovanje jasne odjave na razini preglednika odgovara duhu zakona. U praksi, izdavači koji opslužuju globalne publike trebali bi GPC signal od EU korisnika tretirati kao, u najmanju ruku, snažan signal za uklanjanje piksela za praćenje koji nemaju zakonitu osnovu.

Kako GPC komunicira s vašim CMP-om i načinom pristanka

Ispravna implementacija GPC-a zahtijeva integraciju s platformom za upravljanje pristankom, sustavom za upravljanje oznakama i infrastrukturom za praćenje na strani poslužitelja. Naivna integracija koja blokira samo kolačiće na strani klijenta neće zadovoljiti zahtjeve većine zakona saveznih država, koji se primjenjuju i na dijeljenje podataka između poslužitelja.

Četiri koraka usklađenog GPC toka

1. Otkrijte signal pri učitavanju stranice čitanjem navigator.globalPrivacyControl i, na strani poslužitelja, pregledom zaglavlja zahtjeva Sec-GPC.
2. Uklonite banner za rezidente SAD-a gdje GPC djeluje kao prethodna odjava ili prikažite banner s već primijenjenim relevantnim odjavama.
3. Propagirajte odjavu u upravitelja oznaka, konfiguraciju načina pristanka, krajnje točke praćenja na strani poslužitelja i sve partnerske odnose za dijeljenje podataka (reklamne mreže, SSP-ovi, dobavljači analitike).
4. Zabilježite signal kao artefakt usklađenosti s vremenskom oznakom, identifikatorom korisnika prema potrebi i primijenjenim specifičnim odjavama.

GPC i Google Consent Mode v2

Google Consent Mode v2 uveo je dva signala koji se jasno preslikavaju na GPC: ad_user_data i ad_personalization. Kada se otkrije GPC signal, oba treba postaviti na odbijeno za trajanje korisničke sesije. To osigurava da se podaci koji stižu do Googleovih usluga degradiraju na modeliranje bez kolačića umjesto da se koriste za personalizirano oglašavanje. Nepropagiranje GPC-a u Consent Mode jedna je od najčešćih praznina implementacije koje vidimo u revizijama izdavača.

API-ji na strani poslužitelja i mjerenja

GPC se primjenjuje na svu obradu, a ne samo na kolačiće preglednika. Ako vaš stog koristi Meta Conversions API, TikTok Events API ili Googleov Measurement Protocol, ti pozivi moraju također poštovati odjavu. Uobičajeni obrazac neuspjeha: banner na strani klijenta blokira Meta Pixel, ali integracija na strani poslužitelja nastavlja slati događaje s hashiranim podacima e-pošte. To je udžbenička povreda prava CCPA-e na odjavu od prodaje.

Uobičajene pogreške implementacije

Najčešći propusti usklađenosti s GPC-om koje vidimo u revizijama izdavača spadaju u predvidive kategorije.

Pogreška 1: Tretiranje GPC-a samo kao odjave od kolačića

Mnogi CMP-ovi samo onemogućuju nebitne kolačiće kada se otkrije GPC. No zakoni saveznih država definiraju „prodaju” i „dijeljenje” tako da uključuju prijenose podataka na strani poslužitelja, profiliranje programa lojalnosti i sindikaciju podataka prve strane. Ako vaš banner za kolačiće poštuje GPC, ali vaš backend nastavlja slati korisničke profile brokeru podataka, niste usklađeni.

Pogreška 2: Ignoriranje GPC-a za autenticirane korisnike

Ako je korisnik prijavljen, GPC signal se i dalje primjenjuje. Neki izdavači tretiraju autenticirane odnose kao implicitno nadjačavanje. Regulatori se ne slažu. Odjava se proteže na CRM izvoze, dijeljenje popisa e-pošte i učitavanja publike za retargeting.

Pogreška 3: Nema logike geografskog opsega

GPC je trenutno pravno obvezujući samo za korisnike u saveznim državama sa zakonima o odjavi. Ako ga primjenjujete globalno kao tvrdo blokiranje, gubite monetizaciju prometa iz jurisdikcija gdje nema pravnog učinka. Ispravno ograničena implementacija koristi IP geolokaciju kao filtar prvog prolaza, primjenjuje GPC za rezidente saveznih država gdje je obvezujući i predstavlja normalan tok pristanka na drugim mjestima.

Pogreška 4: Zaborav potvrditi odjavu

Neki zakoni, posebno u Kaliforniji, očekuju da korisnici dobiju potvrdu da je njihova odjava obrađena. Mala obavijest — „Otkrili smo signal Global Privacy Control i odjavili smo vas od prodaje vaših osobnih podataka” — jeftin je artefakt usklađenosti s iznimnom regulatornom vrijednošću.

Utjecaj na prihode od oglašavanja

Prihodni utjecaj GPC-a uvelike ovisi o vašem mješovitom prometu, strategiji monetizacije i koliko elegantno vaš stog rukuje inventarom bez kolačića. Kod izdavača s kojima radimo, korisnici s GPC signalom obično se unovčuju na 40 do 70 posto potpuno pristajućih korisnika kada im se prikazuju kontekstualni, nepersonalizirani oglasi. Izdavači s jakim strategijama podataka prve strane, header biddingom na strani poslužitelja i raznolikim partnerima potražnje dodatno smanjuju tu razliku.

Pogrešan odgovor na GPC je ignorirati ga, jer regulatorna negativna strana — kazne od nekoliko milijuna dolara, civilne kolektivne tužbe prema pravu na privatnu tužbu CCPA-e i reputacijska šteta — daleko nadmašuje kratkoročni gubitak RPM-a. Pravi odgovor je izgraditi monetizacijski put bez kolačića koji korisnike s GPC-om tretira kao vrhunsku kontekstualnu publiku, a ne kao izgubljeni inventar.

Kontrolni popis akcija za izdavače u 2026.

• Revidirajte vaš CMP kako biste potvrdili da otkriva i navigator.globalPrivacyControl i HTTP zaglavlje Sec-GPC
• Mapiranje propagacije GPC-a u Google Consent Mode v2, Meta Conversions API i sve krajnje točke praćenja na strani poslužitelja
• Primijenite geografsko opsegovanje tako da se GPC tretira kao obvezujući u primjenjivim saveznim državama SAD-a i kao snažan signal drugdje
• Zabilježite svako otkrivanje GPC-a i primijenjene odjave, zadržite zapise za trajanje koje zahtijeva primjenjivi zakon (obično 24 mjeseca)
• Prikažite vidljivu poruku potvrde kada je GPC otkriven i poštovan
• Pregledajte vaš reklamni stog za rezervni prihod bez kolačića: kontekstualno ciljanje, publike definirane od strane prodavača, ID-ovi dogovora s kontekstualnim parametrima
• Uključite rukovanje GPC-om u godišnji pregled politike privatnosti i DPIA-u gdje je primjenjivo

GPC ne odlazi nigdje. Putanja je jasna: više saveznih država SAD-a usvojit će zahtjeve za univerzalnu odjavu, preglednici će nastaviti isporučivati GPC po zadanome, a regulatori će nastaviti tretirati propust poštivanja signala kao prioritetnu provedbenu mjeru. Izdavači koji u 2026. ugrade rukovanje GPC-om u samu jezgru svog stoga za pristanak i monetizaciju bit će dobro pozicionirani za sljedeći val zakona o privatnosti. Oni koji to budu tretirali kao naknadnu misao naći će se u obrani od provedbenih mjera koje su se mogle izbjeći s nekoliko dana inženjerskog rada.