Skip to main content

Opt-in vs. opt-out: Pochopení dvou modelů souhlasu

Svět má dva zásadně odlišné přístupy k souhlasu s cookies. Evropská unie vyžaduje opt-in: žádné cookies, dokud uživatel neřekne ano. Spojené státy (ve většině států) umožňují opt-out: cookies se umísťují ve výchozím nastavení a uživatel může říct ne. Pochopení těchto dvou modelů — jejich právního základu, jejich důsledků a toho, kde se každý z nich uplatňuje — je nezbytné pro každý web s globálním publikem.

Model opt-in

V modelu opt-in nesmějí být nezbytné cookies umístěny, dokud uživatel neudělí výslovný, aktivní souhlas. Žádná akce ze strany uživatele znamená žádné cookies. Jde o model vyžadovaný evropskou směrnicí ePrivacy (článek 5 odst. 3), jak je vykládán prostřednictvím definice souhlasu podle GDPR (článek 4 odst. 11).

Jak opt-in funguje v praxi

  1. Uživatel navštíví web poprvé.
  2. Aktivní jsou pouze nezbytně nutné cookies. Analytické, marketingové a preferenční cookies jsou zablokovány.
  3. Zobrazí se mechanismus souhlasu, který prezentuje kategorie cookies a žádá uživatele, aby si vybral.
  4. Uživatel aktivně vybere, které kategorie přijme (nebo klikne na „Přijmout vše" či „Odmítnout vše").
  5. Načtou se pouze skripty odpovídající přijatým kategoriím.
  6. Pokud uživatel neprovede žádnou akci, nenastaví se žádné cookies mimo nezbytně nutné. Mechanismus souhlasu zůstává viditelný (nebo dostupný), dokud uživatel neprovede volbu.

Právní základ

Požadavek na opt-in vyplývá ze dvou zdrojů:

  • Směrnice ePrivacy, článek 5 odst. 3: Vyžaduje „souhlas" před uložením informací do zařízení uživatele.
  • GDPR, článek 4 odst. 11: Definuje souhlas jako vyžadující „jasný souhlasný projev" — což vylučuje nečinnost, předem zaškrtnutá políčka a předpokládaný souhlas.
  • Rozhodnutí SDEU ve věci Planet49 (C-673/17): Potvrdilo, že je vyžadován aktivní souhlas a že předem zaškrtnutá políčka nepředstavují platný souhlas.

Kde se opt-in uplatňuje

Ve všech členských státech EU/EHP (27 zemí EU plus Norsko, Island a Lichtenštejnsko) a ve Spojeném království (které si pravidla ePrivacy po brexitu zachovalo prostřednictvím Privacy and Electronic Communications Regulations, neboli PECR).

Důsledky pro provozovatele webů

  • Počítejte s výrazným podílem odmítnutí souhlasu. Data z oboru naznačují, že 30–50 % evropských návštěvníků odmítá nezbytné cookies, když dostanou skutečnou volbu.
  • Analytická data budou neúplná. Budete mít data pouze od uživatelů, kteří souhlasili. Není to chyba — je to zamýšlený výsledek regulace.
  • Načítání skriptů musí být podmíněné. Potřebujete technický mechanismus, který skripty blokuje, dokud není zaznamenán souhlas. Toho nelze dosáhnout samotnou lištou — vyžaduje to skutečnou správu skriptů.

Model opt-out

V modelu opt-out lze cookies umístit ve výchozím nastavení. Uživatel má právo odmítnout nebo se odhlásit, ale pokud nepodnikne žádnou akci, sledování je povoleno. Jde o model používaný ve Spojených státech a v několika dalších jurisdikcích.

Jak opt-out funguje v praxi

  1. Uživatel navštíví web.
  2. Všechny cookies — včetně analytických a marketingových — se umístí okamžitě.
  3. Oznámení informuje uživatele, že se cookies používají, a nabízí způsob, jak se odhlásit.
  4. Pokud uživatel neprovede žádnou akci, cookies zůstávají aktivní.
  5. Pokud se uživatel odhlásí, jsou jeho preference respektovány do budoucna (a v některých jurisdikcích může být nutné dříve shromážděná data smazat).

Právní základ

Model opt-out najdeme v:

  • CCPA/CPRA (Kalifornie): Kalifornští spotřebitelé mají právo odhlásit se z „prodeje" nebo „sdílení" osobních údajů. Cookies používané pro behaviorální reklamu napříč kontexty představují „sdílení" podle CPRA. Povinností je poskytnout mechanismus odhlášení (často prostřednictvím odkazu „Do Not Sell or Share My Personal Information"), nikoli získat předchozí souhlas.
  • CAN-SPAM Act a pokyny FTC: Federální přístup USA k online sledování historicky spočíval spíše v oznámení a volbě než v aktivním souhlasu.
  • Různé zákony států USA: Virginie (VCDPA), Colorado (CPA), Connecticut (CTDPA) a další se řídí variacemi modelu opt-out pro cílenou reklamu a prodej dat.

Kde se opt-out uplatňuje

Ve Spojených státech (s variacemi podle jednotlivých států), v Kanadě (PIPEDA — i když se to může s navrhovanými reformami změnit), v Austrálii (podle Privacy Act — rovněž v přezkumu) a v několika dalších jurisdikcích mimo EU/EHP.

Důsledky pro provozovatele webů

  • Ve výchozím nastavení více shromažďování dat. Protože se cookies umísťují, pokud uživatel nevznese námitku, jsou analytická a reklamní data úplnější.
  • Musíte poskytnout jasný mechanismus odhlášení. Podle CCPA/CPRA to znamená odkaz „Do Not Sell or Share My Personal Information", který lze snadno najít a použít.
  • Musíte respektovat Global Privacy Control (GPC). Kalifornský zákon vyžaduje, aby firmy zacházely se signálem prohlížeče GPC jako s platnou žádostí o odhlášení.

Podrobné srovnání

Aspekt Opt-in (EU/GDPR) Opt-out (US/CCPA)
Výchozí stav Cookies zablokovány do souhlasu Cookies aktivní ve výchozím nastavení
Vyžadovaná akce uživatele Musí jednat, aby cookies povolil Musí jednat, aby cookies zastavil
Mlčení / nečinnost Znamená žádný souhlas (žádné cookies) Znamená předpokládaný souhlas (cookies aktivní)
Mechanismus souhlasu Podrobná volba podle kategorií Odkaz nebo přepínač pro odhlášení
Předem zaškrtnutá políčka Nepovolena (rozhodnutí Planet49) Povolena (model opt-out)
Dopad na analytiku Ztráta 30–50 % dat kvůli nesouhlasu Minimální ztráta dat (málokdo se odhlásí)
Odvolání Stejně snadné jako udělení souhlasu (GDPR čl. 7 odst. 3) Musí být poskytnuto, bez požadavku na stejnou snadnost
Děti Souhlas rodičů do 13–16 let (liší se) COPPA se vztahuje na osoby mladší 13 let
Klíčová regulace Směrnice ePrivacy + GDPR CCPA/CPRA + zákony států
Maximální pokuty 20 mil. EUR nebo 4 % globálního obratu 7 500 USD za úmyslné porušení (CCPA)

Můžete používat různé modely pro různé regiony?

Ano a mnoho globálních webů to dělá. Tento přístup se nazývá geograficky cílená správa souhlasu. Web zjistí polohu návštěvníka (obvykle prostřednictvím IP geolokace) a předloží příslušný model souhlasu:

  • Návštěvníci z EU/EHP/Velké Británie: Model opt-in s podrobným souhlasem.
  • Návštěvníci z Kalifornie: Model opt-out s odkazem „Do Not Sell or Share".
  • Ostatní návštěvníci z USA: Pouze oznámení (v závislosti na použitelnosti zákona daného státu).
  • Ostatní jurisdikce: Podle platného místního práva.

Výzvy geografického cílení

  • IP geolokace není dokonalá. Uživatelé VPN mohou být lokalizováni chybně. Mobilní uživatelé se mohou pohybovat mezi jurisdikcemi.
  • Zátěž údržby. Musíte sledovat regulatorní vývoj v každé jurisdikci, které sloužíte, a odpovídajícím způsobem aktualizovat své toky souhlasu.
  • Složitost testování. Musíte ověřit, že každá regionální varianta funguje správně — jiné lišty, jiné výchozí stavy, jiné chování při blokování skriptů.
  • GDPR platí extrateritoriálně. Pokud cílíte na uživatele z EU (článek 3 odst. 2), GDPR platí bez ohledu na to, kde se vaše firma nachází. „Cílení" zahrnuje nabízení zboží nebo služeb rezidentům EU nebo sledování jejich chování.

Osvědčený postup: Výchozí model opt-in

Pokud se vám správa více modelů souhlasu zdá zdrcující, existuje jednodušší cesta: nastavit model opt-in jako výchozí globálně.

Zde je důvod, proč to funguje:

  1. Soulad všude. Model opt-in splňuje nejpřísnější požadavky. Pokud vyhovíte požadavkům GDPR na souhlas, automaticky překročíte požadavky CCPA, LGPD a většiny dalších rámců.
  2. Jednoduchost. Jeden mechanismus souhlasu, jedna implementace, jedna sada testů. Žádná geodetekce, žádné regionální varianty, žádné okrajové případy.
  3. Odolnost do budoucna. Globální trend směřuje k přísnějším požadavkům na souhlas. Navrhované reformy v USA, Kanadě, Austrálii a Indii se všechny ubírají směrem k výslovnějšímu souhlasu. Budování pro opt-in nyní znamená, že později nebudete muset nic dodatečně upravovat.
  4. Důvěra uživatelů. Uživatelé po celém světě reagují pozitivně na transparentní a ohleduplné postupy souhlasu. Nabídka skutečné volby — i tam, kde to zákon striktně nevyžaduje — buduje důvěru a věrohodnost značky.
  5. Kvalita dat. Data se souhlasem jsou čistší, lépe obhajitelná a hodnotnější než data shromážděná v právní nejednoznačnosti.

Kompromis je reálný: globálně budete shromažďovat méně dat. Ale data, která shromáždíte, budou právně podložená, eticky čistá a stále hodnotnější, jak se data třetích stran stávají méně dostupnými.

Nový vývoj

Prostředí souhlasu není statické. Několik trendů stojí za sledování:

  • Nařízení ePrivacy. EU pracuje na náhradě směrnice ePrivacy od roku 2017. Až bude schváleno, stane se přímo použitelným nařízením (jako GDPR) namísto směrnice vyžadující národní transpozici. Očekává se, že pravidla souhlasu pro cookies zůstanou podobná nebo přísnější než současný rámec.
  • Global Privacy Control (GPC). Tento signál na úrovni prohlížeče automaticky sděluje preference uživatele v oblasti soukromí. Kalifornský zákon již vyžaduje respektování GPC. Colorado a Connecticut rovněž. Toto se může stát standardním mechanismem pro sdělování preferencí odhlášení.
  • Modely „souhlas nebo zaplať". Stanovisko EDPB z roku 2024 k „souhlasu nebo platbě" (zejména v kontextu přístupu Mety) utváří, jak regulátoři vnímají vztah mezi souhlasem a přístupem ke službám.
  • Souhlas na úrovni prohlížeče. Některé návrhy by přesunuly správu souhlasu z jednotlivých webů do samotného prohlížeče, přičemž uživatelé by nastavovali své preference jednou, nikoli na každém webu. To by zásadně změnilo, jak souhlas funguje v praxi.

Passiro vám pomáhá implementovat správný model souhlasu pro vaše publikum, s automatickou detekcí a kategorizací všech cookies na vašem webu — ať už si zvolíte opt-in, opt-out, nebo geograficky cílený přístup.

V naší poslední části se podíváme na osvědčené postupy souhlasu — praktické a použitelné pokyny pro implementaci souhlasu, který je zároveň v souladu s předpisy i uživatelsky přívětivý.

Splňuje váš web pravidla pro cookies?

Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.

Skenovat cookies zdarma