Шта је Global Privacy Control?

Global Privacy Control (GPC) је сигнал на нивоу прегледача који омогућава људима да аутоматски кажу сваком сајту који посете да не продаје и не дели њихове личне податке. Уместо да кликну на „одбиј“ на банеру за колачиће на сваком сајту понаособ, корисник укључи GPC једном — у свом прегледачу или екстензији — и та жеља га прати кроз цео веб.

Замислите га као универзални прекидач за одустајање. Када је GPC укључен, прегледач прикачи сигнал уз сваки захтев и излаже га језику JavaScript. Од вашег сајта се очекује да прочита тај сигнал и да га третира као важећи, правно обавезујући избор у вези са приватношћу, без потребе за интеракцијом са банером.

Зашто је GPC важан са правне стране

GPC није само љубазност. У све већем броју јурисдикција, његово поштовање је правна обавеза, а регулатори су већ предузели мере спровођења против компанија које су га игнорисале.

Калифорнија (CCPA/CPRA)

Према CCPA, измењеном законом CPRA, предузећа морају да третирају сигнал жеље за одустајањем као захтев за одустајање од продаје или дељења личних података. Главни тужилац Калифорније и California Privacy Protection Agency потврдили су да је GPC важећи сигнал за одустајање који се мора поштовати, а његово непоштовање је већ довело до јавног спровођења.

Друге америчке државе

Колорадо, Конектикат, Тексас, Орегон, Монтана и неколико других држава сада захтевају препознавање универзалних механизама за одустајање. Списак расте сваке године, а GPC је де факто стандард на који ови закони указују — једно уграђивање подршке усклађује вас са свима њима.

Европа и GDPR

GDPR изричито не именује GPC, али захтева да сагласност буде дата слободно и да њено повлачење буде једнако лако као и њено давање. Јасан, аутоматизован сигнал за одустајање савршено се уклапа у то начело, а регулатори ЕУ показују све веће интересовање за машински читљиве сигнале жеља.

Како GPC технички функционише

GPC је намерно једноставан. Када га корисник укључи, прегледач саопштава жељу на три комплементарна начина:

• HTTP заглавље — сваки захтев укључује Sec-GPC: 1, тако да ваш сервер може да открије сигнал пре него што се изврши и једна линија JavaScript кода странице.
• Својство JavaScript — navigator.globalPrivacyControl враћа true, што скриптама на страни клијента и алаткама за сагласност омогућава да реагују у прегледачу.
• Откривљива политика — сајтови могу објавити датотеку /.well-known/gpc.json која описује како тумаче сигнал.

Пошто је сигнал доступан и на страни сервера и на страни клијента, можете га спроводити на оном слоју који најбоље одговара вашем технолошком склопу.

Како открити и поштовати GPC на свом сајту

Поштовање GPC значи аутоматску примену корисниковог одустајања без приморавања да дотакне ваш банер. Робусна имплементација изгледа овако:

• Откривајте рано. Прочитајте заглавље Sec-GPC на серверу, или проверите navigator.globalPrivacyControl чим се учита ваша скрипта за сагласност.
• Примените одустајање. Подразумевано потисните небитне колачиће, рекламне и аналитичке ознаке и сваку продају или дељење података за тог посетиоца.
• Одразите стање. Прикажите банер у стању одустајања како би корисник видео да је његов избор схваћен и да и даље може да да сагласност ако то заиста жели.
• Забележите то. Забележите да је одлуку покренуо GPC сигнал, заједно са временском ознаком, како бисте имали доказ о усклађености који се може ревизорски проверити.

GPC наспрам банера за колачиће: да ли вам и даље требају оба?

Да. GPC и банери за сагласност решавају преклапајуће, али различите проблеме. GPC је сигнал за одустајање који се углавном бави правилима америчког типа „немој продавати ни делити“, док ЕУ функционише по моделу пристанка, где морате прикупити изричиту сагласност пре постављања небитних колачића. Усклађен сајт користи GPC да унапред примени глобалну жељу корисника и банер да прибави изричиту сагласност тамо где то закон захтева. Њих два треба да се међусобно појачавају, а никада да се противрече.

Честе грешке које треба избегавати

• Потпуно игнорисање заглавља и провера само на клијенту, тако да подаци одлазе пре него што се GPC уопште процени.
• Откривање GPC, али неделовање у вези са њим — препознавање без спровођења није усклађеност.
• Прегласавање корисника поновним приказивањем банера посетиоцима са GPC који их гура назад ка праћењу.
• Заборављање документације — без записа не можете доказати регулатору да је сигнал поштован.

Како FlexyConsent поступа са GPC

FlexyConsent аутоматски открива GPC сигнал и на серверу и на клијенту, примењује одговарајуће одустајање пре него што се покрене било која небитна скрипта и бележи запис о сагласности који се може ревизорски проверити за сваког посетиоца. Добијате универзалну подршку за одустајање, покривеност више јурисдикција и доказ о усклађености одмах — без да сами пишете логику откривања. Поштовање Global Privacy Control брзо постаје основни услов, а сајтови који то ураде како треба граде трајно поверење својих корисника.