Що таке Global Privacy Control?

Global Privacy Control (GPC) — це сигнал на рівні браузера, який дозволяє людям автоматично повідомляти кожен вебсайт, який вони відвідують, не продавати і не передавати їхні особисті дані. Замість того щоб натискати "відхилити" на банері cookie сайт за сайтом, користувач вмикає GPC один раз — у своєму браузері чи розширенні — і ця перевага супроводжує його по всій мережі.

Уявіть це як універсальний перемикач відмови. Коли GPC увімкнено, браузер додає сигнал до кожного запиту і надає його JavaScript. Очікується, що ваш вебсайт зчитає цей сигнал і трактуватиме його як дійсний, юридично обов'язковий вибір щодо конфіденційності, без потреби у будь-якій взаємодії з банером.

Чому GPC важливий з юридичної точки зору

GPC — це не просто ввічливість. У дедалі більшій кількості юрисдикцій його дотримання є юридичним обов'язком, і регулятори вже вживали примусових заходів проти компаній, які його ігнорували.

Каліфорнія (CCPA/CPRA)

Відповідно до CCPA зі змінами, внесеними CPRA, підприємства повинні розглядати сигнал переваги відмови як запит на відмову від продажу чи передачі особистої інформації. Генеральний прокурор Каліфорнії та California Privacy Protection Agency підтвердили, що GPC є дійсним сигналом відмови, який має бути дотриманий, і недотримання його вже призвело до публічних примусових заходів.

Інші штати США

Колорадо, Коннектикут, Техас, Орегон, Монтана та кілька інших штатів тепер вимагають визнання універсальних механізмів відмови. Список зростає щороку, і GPC є фактичним стандартом, на який вказують ці закони — створення підтримки один раз узгоджує вас з усіма ними.

Європа та GDPR

GDPR прямо не називає GPC, але він вимагає, щоб згода надавалася вільно і щоб відкликати її було так само легко, як і надати. Чіткий, автоматизований сигнал відмови повністю вписується в цей принцип, і регулятори ЄС виявляють зростаючий інтерес до машинозчитуваних сигналів переваг.

Як GPC працює технічно

GPC навмисно простий. Коли користувач його вмикає, браузер передає перевагу трьома взаємодоповнюючими способами:

• HTTP-заголовок — кожен запит містить Sec-GPC: 1, тож ваш сервер може виявити сигнал ще до того, як виконається хоча б один рядок JavaScript сторінки.
• Властивість JavaScript — navigator.globalPrivacyControl повертає true, дозволяючи скриптам на стороні клієнта та інструментам згоди реагувати в браузері.
• Виявна політика — сайти можуть публікувати файл /.well-known/gpc.json, що описує, як вони інтерпретують сигнал.

Оскільки сигнал доступний як на стороні сервера, так і на стороні клієнта, ви можете застосовувати його на тому рівні, який найкраще відповідає вашому стеку.

Як виявляти та дотримуватися GPC на вашому сайті

Дотримання GPC означає автоматичне застосування відмови користувача без необхідності взаємодіяти з вашим банером. Надійна реалізація виглядає так:

• Виявляйте рано. Зчитуйте заголовок Sec-GPC на сервері або перевіряйте navigator.globalPrivacyControl, щойно завантажиться ваш скрипт згоди.
• Застосовуйте відмову. За замовчуванням придушуйте несуттєві cookie, рекламні та аналітичні теги, а також будь-який продаж чи передачу даних для цього відвідувача.
• Відображайте стан. Показуйте банер у стані відмови, щоб користувач бачив, що його вибір зрозуміли, і все ще міг надати згоду, якщо він справді цього хоче.
• Реєструйте це. Записуйте, що рішення було зумовлене сигналом GPC, із позначкою часу, щоб у вас був придатний для аудиту доказ відповідності.

GPC проти банерів cookie: чи потрібні вам обидва?

Так. GPC та банери згоди вирішують перекривні, але різні проблеми. GPC — це сигнал відмови, який переважно стосується правил у стилі США "не продавати чи передавати", тоді як ЄС працює за моделлю згоди, де ви повинні зібрати ствердну згоду перед встановленням несуттєвих cookie. Сайт, що дотримується вимог, використовує GPC для попереднього застосування глобальної переваги користувача та банер для отримання явної згоди там, де цього вимагає закон. Обидва мають підсилювати один одного, а не суперечити.

Поширені помилки, яких слід уникати

• Повне ігнорування заголовка та перевірка лише на клієнті, через що дані залишають сайт ще до того, як GPC взагалі оцінено.
• Виявлення GPC, але бездіяльність щодо нього — розпізнавання без застосування не є відповідністю.
• Нехтування вибором користувача через повторне показування відвідувачам із GPC банера, що підштовхує їх назад до відстеження.
• Забування про документацію — без журналів ви не зможете довести регулятору, що сигнал було дотримано.

Як FlexyConsent обробляє GPC

FlexyConsent автоматично виявляє сигнал GPC як на сервері, так і на клієнті, застосовує відповідну відмову до того, як спрацює будь-який несуттєвий скрипт, і записує придатний для аудиту журнал згоди для кожного відвідувача. Ви отримуєте підтримку універсальної відмови, охоплення кількох юрисдикцій та доказ відповідності з коробки — не пишучи логіку виявлення самостійно. Дотримання Global Privacy Control швидко стає базовою вимогою, і сайти, які роблять це правильно, вибудовують міцну довіру зі своїми користувачами.