Čo je Global Privacy Control?

Global Privacy Control (GPC) je signál na úrovni prehliadača, ktorý ľuďom umožňuje automaticky povedať každej navštívenej webovej stránke, aby nepredávala ani nezdieľala ich osobné údaje. Namiesto klikania na „odmietnuť“ na cookie banneri na každej stránke zvlášť používateľ povolí GPC raz — vo svojom prehliadači alebo rozšírení — a táto predvoľba ho sprevádza po celom webe.

Predstavte si to ako univerzálny prepínač na odmietnutie. Keď je GPC zapnutý, prehliadač pripojí signál ku každej požiadavke a sprístupní ho jazyku JavaScript. Od vašej webovej stránky sa očakáva, že tento signál prečíta a bude ho považovať za platnú, právne záväznú voľbu súkromia, bez potreby interakcie s bannerom.

Prečo na GPC záleží z právneho hľadiska

GPC nie je len zdvorilosť. V rastúcom počte jurisdikcií je jeho rešpektovanie právnou povinnosťou a regulátori už podnikli donucovacie kroky voči spoločnostiam, ktoré ho ignorovali.

Kalifornia (CCPA/CPRA)

Podľa CCPA v znení zmien CPRA musia podniky považovať signál preferencie odmietnutia za žiadosť o odmietnutie predaja alebo zdieľania osobných údajov. Generálny prokurátor Kalifornie a California Privacy Protection Agency potvrdili, že GPC je platný signál odmietnutia, ktorý musí byť rešpektovaný, a jeho nerešpektovanie už viedlo k verejnému vymáhaniu.

Ďalšie štáty USA

Colorado, Connecticut, Texas, Oregon, Montana a niekoľko ďalších štátov teraz vyžaduje uznávanie univerzálnych mechanizmov odmietnutia. Tento zoznam každý rok rastie a GPC je de facto štandardom, na ktorý tieto zákony poukazujú — jedno zabudovanie podpory vás zosúladí so všetkými.

Európa a GDPR

GDPR výslovne nemenuje GPC, ale vyžaduje, aby bol súhlas udelený slobodne a aby jeho odvolanie bolo rovnako jednoduché ako jeho udelenie. Jasný, automatizovaný signál odmietnutia presne zapadá do tejto zásady a regulátori EÚ prejavujú rastúci záujem o strojovo čitateľné signály preferencií.

Ako GPC funguje technicky

GPC je zámerne jednoduchý. Keď ho používateľ povolí, prehliadač komunikuje predvoľbu tromi vzájomne sa dopĺňajúcimi spôsobmi:

• Hlavička HTTP — každá požiadavka obsahuje Sec-GPC: 1, takže váš server dokáže zistiť signál ešte predtým, než sa spustí jediný riadok JavaScript stránky.
• Vlastnosť JavaScript — navigator.globalPrivacyControl vracia true, čo umožňuje skriptom na strane klienta a nástrojom súhlasu reagovať v prehliadači.
• Zistiteľná politika — stránky môžu zverejniť súbor /.well-known/gpc.json opisujúci, ako interpretujú signál.

Keďže je signál dostupný na strane servera aj na strane klienta, môžete ho presadzovať na ktorejkoľvek vrstve, ktorá najlepšie vyhovuje vašej architektúre.

Ako zisťovať a rešpektovať GPC na vašej stránke

Rešpektovanie GPC znamená automatické uplatnenie odmietnutia používateľa bez toho, aby sa musel dotknúť vášho banneru. Robustná implementácia vyzerá takto:

• Zisťujte včas. Prečítajte hlavičku Sec-GPC na serveri alebo skontrolujte navigator.globalPrivacyControl hneď po načítaní vášho skriptu súhlasu.
• Uplatnite odmietnutie. Predvolene potlačte nepodstatné súbory cookie, reklamné a analytické značky a akýkoľvek predaj alebo zdieľanie údajov pre daného návštevníka.
• Odzrkadlite stav. Zobrazte banner v stave odmietnutia, aby používateľ videl, že jeho voľba bola pochopená, a aby mohol stále udeliť súhlas, ak o to naozaj stojí.
• Zaznamenajte to. Zaznamenajte, že rozhodnutie bolo vyvolané signálom GPC, spolu s časovou pečiatkou, aby ste mali auditovateľný dôkaz o súlade.

GPC verzus cookie bannery: potrebujete stále oba?

Áno. GPC a bannery súhlasu riešia prekrývajúce sa, no odlišné problémy. GPC je signál odmietnutia, ktorý sa zaoberá najmä pravidlami typu „nepredávať ani nezdieľať“ amerického štýlu, zatiaľ čo EÚ funguje na modeli súhlasu, pri ktorom musíte získať výslovný súhlas pred nastavením nepodstatných súborov cookie. Vyhovujúca stránka používa GPC na vopred uplatnenie globálnej predvoľby používateľa a banner na získanie výslovného súhlasu tam, kde to zákon vyžaduje. Tieto dve veci by sa mali navzájom posilňovať, nikdy si neprotirečiť.

Časté chyby, ktorým sa treba vyhnúť

• Úplné ignorovanie hlavičky a kontrolovanie len na klientovi, takže údaje odídu skôr, než sa GPC vôbec vyhodnotí.
• Zistenie GPC, ale nečinnosť s ním — rozpoznanie bez presadzovania nie je súlad.
• Prebíjanie vôle používateľa opätovným zobrazovaním banneru návštevníkom s GPC, ktorý ich nabáda späť k sledovaniu.
• Zabúdanie na dokumentáciu — bez záznamov nedokážete regulátorovi preukázať, že signál bol rešpektovaný.

Ako FlexyConsent narába s GPC

FlexyConsent zisťuje signál GPC automaticky na serveri aj na klientovi, uplatní zodpovedajúce odmietnutie predtým, než sa spustí akýkoľvek nepodstatný skript, a zaznamená auditovateľný záznam súhlasu pre každého návštevníka. Získate univerzálnu podporu odmietnutia, pokrytie viacerých jurisdikcií a dôkaz o súlade ihneď — bez toho, aby ste logiku zisťovania písali sami. Rešpektovanie Global Privacy Control sa rýchlo stáva základným predpokladom a stránky, ktoré to robia správne, si budujú trvalú dôveru svojich používateľov.