Mi a Global Privacy Control?

A Global Privacy Control (GPC) egy böngészőszintű jel, amely lehetővé teszi az emberek számára, hogy automatikusan közöljék minden meglátogatott webhellyel, hogy ne adják el és ne osszák meg személyes adataikat. Ahelyett, hogy minden egyes oldalon a cookie-banneren az „elutasítás”-ra kattintanának, a felhasználó egyszer engedélyezi a GPC-t — a böngészőjében vagy egy bővítményben —, és ez a preferencia végigkíséri őt az egész weben.

Gondoljon rá úgy, mint egy univerzális leiratkozási kapcsolóra. Amikor a GPC be van kapcsolva, a böngésző minden kéréshez jelet csatol, és elérhetővé teszi azt a JavaScript számára. Webhelyétől elvárt, hogy beolvassa ezt a jelet, és érvényes, jogilag kötelező érvényű adatvédelmi döntésként kezelje, a bannerrel való bármilyen interakció nélkül.

Miért számít a GPC jogi szempontból

A GPC nem pusztán udvariasság kérdése. Egyre több joghatóságban a tiszteletben tartása jogi kötelezettség, és a szabályozók már léptek fel végrehajtási intézkedéssel azon vállalatok ellen, amelyek figyelmen kívül hagyták.

Kalifornia (CCPA/CPRA)

A CPRA által módosított CCPA értelmében a vállalkozásoknak a leiratkozási preferenciajelet a személyes adatok értékesítéséről vagy megosztásáról való leiratkozás iránti kérelemként kell kezelniük. Kalifornia főügyésze és a California Privacy Protection Agency megerősítette, hogy a GPC érvényes leiratkozási jel, amelyet tiszteletben kell tartani, és a tiszteletben tartásának elmulasztása már nyilvános végrehajtáshoz vezetett.

Más amerikai államok

Colorado, Connecticut, Texas, Oregon, Montana és számos más állam mostantól megköveteli az univerzális leiratkozási mechanizmusok elismerését. A lista évről évre bővül, és a GPC az a de facto szabvány, amelyre ezek a törvények hivatkoznak — ha egyszer kiépíti a támogatását, az mindegyikkel összhangba hozza Önt.

Európa és a GDPR

A GDPR nem nevezi meg kifejezetten a GPC-t, de megköveteli, hogy a hozzájárulást szabadon adják meg, és hogy a visszavonása ugyanolyan egyszerű legyen, mint a megadása. Egy egyértelmű, automatizált leiratkozási jel tökéletesen illeszkedik ehhez az elvhez, és az EU szabályozói egyre nagyobb érdeklődést mutatnak a géppel olvasható preferenciajelek iránt.

Hogyan működik a GPC technikailag

A GPC szándékosan egyszerű. Amikor egy felhasználó engedélyezi, a böngésző három egymást kiegészítő módon közvetíti a preferenciát:

• Egy HTTP fejléc — minden kérés tartalmazza a Sec-GPC: 1 értéket, így a kiszolgálója már azelőtt észlelheti a jelet, hogy az oldal JavaScriptjének egyetlen sora is lefutna.
• Egy JavaScript-tulajdonság — a navigator.globalPrivacyControl a true értéket adja vissza, lehetővé téve az ügyféloldali szkriptek és a hozzájárulási eszközök számára, hogy a böngészőben reagáljanak.
• Egy felfedezhető szabályzat — a webhelyek közzétehetnek egy /.well-known/gpc.json fájlt, amely leírja, hogyan értelmezik a jelet.

Mivel a jel a kiszolgáló oldalán és az ügyfél oldalán egyaránt elérhető, azon a rétegen érvényesítheti, amelyik a legjobban illik a stackjéhez.

Hogyan észlelje és tartsa tiszteletben a GPC-t a webhelyén

A GPC tiszteletben tartása azt jelenti, hogy automatikusan alkalmazza a felhasználó leiratkozását anélkül, hogy hozzá kellene érnie a bannerhez. Egy robusztus megvalósítás így néz ki:

• Észlelje korán. Olvassa be a Sec-GPC fejlécet a kiszolgálón, vagy ellenőrizze a navigator.globalPrivacyControl tulajdonságot, amint a hozzájárulási szkriptje betöltődik.
• Alkalmazza a leiratkozást. Alapértelmezés szerint tiltsa le az adott látogató esetében a nem nélkülözhetetlen cookie-kat, a hirdetési és analitikai címkéket, valamint az adatok bárminemű értékesítését vagy megosztását.
• Tükrözze az állapotot. Jelenítse meg a bannert leiratkozott állapotban, hogy a felhasználó lássa, választását megértették, és továbbra is megadhassa hozzájárulását, ha valóban szeretné.
• Naplózza. Rögzítse, hogy a döntést egy GPC-jel váltotta ki, időbélyeggel együtt, hogy auditálható bizonyítéka legyen a megfelelőségről.

GPC kontra cookie-bannerek: szüksége van-e még mindkettőre?

Igen. A GPC és a hozzájárulási bannerek átfedő, de eltérő problémákat oldanak meg. A GPC egy leiratkozási jel, amely főként az amerikai stílusú „ne adja el vagy ossza meg” szabályokat kezeli, míg az EU egy hozzájárulási modellen működik, ahol a nem nélkülözhetetlen cookie-k elhelyezése előtt megerősítő hozzájárulást kell gyűjtenie. Egy megfelelő webhely a GPC-t a felhasználó globális preferenciájának előzetes alkalmazására, a bannert pedig a kifejezett hozzájárulás megszerzésére használja ott, ahol a törvény ezt megköveteli. A kettőnek erősítenie kell egymást, soha nem szabad ellentmondaniuk.

Gyakori hibák, amelyeket kerülni kell

• A fejléc teljes figyelmen kívül hagyása és csak az ügyfélen való ellenőrzés, így az adatok azelőtt távoznak, hogy a GPC-t egyáltalán kiértékelnék.
• A GPC észlelése, de semmittevés vele kapcsolatban — az elismerés érvényesítés nélkül nem megfelelőség.
• A felhasználó felülbírálása azzal, hogy a GPC-vel rendelkező látogatóknak újra felugró bannert mutatnak, amely visszatereli őket a követés felé.
• A dokumentáció elfelejtése — naplók nélkül nem tudja bizonyítani egy szabályozónak, hogy a jelet tiszteletben tartották.

Hogyan kezeli a GPC-t a FlexyConsent

A FlexyConsent a kiszolgálón és az ügyfélen egyaránt automatikusan észleli a GPC-jelet, alkalmazza a megfelelő leiratkozást, mielőtt bármilyen nem nélkülözhetetlen szkript lefutna, és minden látogató esetében auditálható hozzájárulási naplót rögzít. Univerzális leiratkozási támogatást, több joghatóságra kiterjedő lefedettséget és megfelelőségi bizonyítékot kap azonnal — anélkül, hogy magának kellene megírnia az észlelési logikát. A Global Privacy Control tiszteletben tartása gyorsan alapvető követelménnyé válik, és azok a webhelyek, amelyek jól csinálják, tartós bizalmat építenek ki felhasználóikkal.