Skip to main content

Opt-in nasuprot opt-out: razumijevanje dvaju modela privole

U svijetu postoje dva iz temelja različita pristupa privoli za kolačiće. Europska unija zahtijeva opt-in: nema kolačića dok korisnik ne pristane. Sjedinjene Američke Države (u većini saveznih država) dopuštaju opt-out: kolačići se postavljaju prema zadanim postavkama, a korisnik ih može odbiti. Razumijevanje tih dvaju modela — njihove pravne osnove, implikacija i područja primjene — ključno je za svaku web-stranicu s globalnom publikom.

Opt-in model

Kod opt-in modela nenužni kolačići ne smiju se postaviti dok korisnik ne da izričitu, potvrdnu privolu. Ako korisnik ne poduzme nikakvu radnju, nema kolačića. To je model koji zahtijeva EU-ova ePrivacy Direktiva (članak 5. stavak 3.) u tumačenju kroz definiciju privole iz GDPR-a (članak 4. stavak 11.).

Kako opt-in funkcionira u praksi

  1. Korisnik prvi put posjeti web-stranicu.
  2. Aktivni su samo strogo nužni kolačići. Analitički, marketinški i kolačići postavki blokirani su.
  3. Pojavljuje se mehanizam za privolu koji prikazuje kategorije kolačića i traži od korisnika da donese odluku.
  4. Korisnik aktivno odabire koje kategorije prihvaća (ili klikne „Prihvati sve” ili „Odbij sve”).
  5. Učitavaju se samo skripte koje odgovaraju prihvaćenim kategorijama.
  6. Ako korisnik ne poduzme nikakvu radnju, ne postavljaju se nenužni kolačići. Mehanizam za privolu ostaje vidljiv (ili dostupan) dok korisnik ne donese odluku.

Pravna osnova

Zahtjev za opt-in proizlazi iz dvaju izvora:

  • ePrivacy Direktiva, članak 5. stavak 3.: zahtijeva „privolu” prije pohrane informacija na korisnikov uređaj.
  • GDPR, članak 4. stavak 11.: definira privolu kao onu koja zahtijeva „jasnu potvrdnu radnju” — čime se isključuju neaktivnost, unaprijed označeni okviri i podrazumijevani pristanak.
  • Presuda Suda EU-a Planet49 (C-673/17): potvrdila je da je potrebna aktivna privola te da unaprijed označeni okviri ne predstavljaju valjanu privolu.

Gdje se opt-in primjenjuje

U svim državama članicama EU-a/EGP-a (27 zemalja EU-a te Norveška, Island i Lihtenštajn), kao i u Ujedinjenoj Kraljevini (koja je nakon Brexita zadržala ePrivacy pravila putem Privacy and Electronic Communications Regulations, odnosno PECR-a).

Implikacije za operatore web-stranica

  • Očekujte znatne stope odbijanja privole. Podaci iz industrije upućuju na to da 30–50 % europskih posjetitelja odbija nenužne kolačiće kada im se ponudi stvaran izbor.
  • Analitički podaci bit će nepotpuni. Imat ćete podatke samo o korisnicima koji su dali privolu. To nije greška — to je namjeravan ishod propisa.
  • Učitavanje skripti mora biti uvjetno. Potreban vam je tehnički mehanizam koji blokira skripte dok se privola ne zabilježi. To se ne može postići samo bannerom — zahtijeva stvarno upravljanje skriptama.

Opt-out model

Kod opt-out modela kolačići se mogu postaviti prema zadanim postavkama. Korisnik ima pravo odbiti ih ili se isključiti, ali dok god ne poduzme radnju, praćenje je dopušteno. To je model koji se koristi u Sjedinjenim Državama i nekoliko drugih jurisdikcija.

Kako opt-out funkcionira u praksi

  1. Korisnik posjeti web-stranicu.
  2. Svi kolačići — uključujući analitičke i marketinške — postavljaju se odmah.
  3. Obavijest informira korisnika o upotrebi kolačića i pruža mogućnost isključivanja.
  4. Ako korisnik ne poduzme nikakvu radnju, kolačići ostaju aktivni.
  5. Ako se korisnik isključi, njegove se postavke poštuju ubuduće (a u nekim jurisdikcijama možda će biti potrebno izbrisati prethodno prikupljene podatke).

Pravna osnova

Opt-out model nalazimo u:

  • CCPA/CPRA (Kalifornija): potrošači u Kaliforniji imaju pravo isključiti se iz „prodaje” ili „dijeljenja” osobnih podataka. Kolačići koji se koriste za bihevioralno oglašavanje u različitim kontekstima predstavljaju „dijeljenje” prema CPRA-i. Obveza je pružiti mehanizam za isključivanje (često putem poveznice „Do Not Sell or Share My Personal Information”), a ne dobiti prethodnu privolu.
  • CAN-SPAM Act i smjernice FTC-a: američki savezni pristup online praćenju povijesno se temeljio na obavijesti i izboru, a ne na potvrdnoj privoli.
  • Razni zakoni američkih saveznih država: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) i drugi slijede varijacije opt-out modela za ciljano oglašavanje i prodaju podataka.

Gdje se opt-out primjenjuje

U Sjedinjenim Državama (uz varijacije po saveznim državama), Kanadi (PIPEDA — iako se to može promijeniti predloženim reformama), Australiji (prema Privacy Actu — također u fazi revizije) te nekoliko drugih jurisdikcija izvan EU-a/EGP-a.

Implikacije za operatore web-stranica

  • Više prikupljanja podataka prema zadanim postavkama. Budući da se kolačići postavljaju osim ako se korisnik ne usprotivi, analitički i oglašivački podaci potpuniji su.
  • Morate pružiti jasan mehanizam za isključivanje. Prema CCPA/CPRA-i to znači poveznicu „Do Not Sell or Share My Personal Information” koju je lako pronaći i upotrijebiti.
  • Morate poštovati Global Privacy Control (GPC). Kalifornijski zakon zahtijeva od tvrtki da preglednički GPC signal tretiraju kao valjan zahtjev za isključivanje.

Detaljna usporedba

Aspekt Opt-in (EU/GDPR) Opt-out (SAD/CCPA)
Zadano stanje Kolačići blokirani do privole Kolačići aktivni prema zadanim postavkama
Potrebna radnja korisnika Mora djelovati da dopusti kolačiće Mora djelovati da zaustavi kolačiće
Šutnja / neaktivnost Znači nedostatak privole (nema kolačića) Znači pretpostavljenu privolu (kolačići aktivni)
Mehanizam privole Detaljan izbor po kategorijama Poveznica ili prekidač za isključivanje
Unaprijed označeni okviri Nisu dopušteni (presuda Planet49) Dopušteni (opt-out model)
Utjecaj na analitiku Gubitak 30–50 % podataka zbog uskraćene privole Minimalan gubitak podataka (rijetki se isključuju)
Povlačenje Jednostavno kao i davanje privole (GDPR čl. 7. st. 3.) Mora se osigurati, bez zahtjeva jednake jednostavnosti
Djeca Roditeljska privola ispod 13–16 godina (varira) COPPA se primjenjuje na mlađe od 13 godina
Ključni propis ePrivacy Direktiva + GDPR CCPA/CPRA + zakoni saveznih država
Najviše kazne 20 mil. EUR ili 4 % globalnog prometa 7500 USD po namjernom kršenju (CCPA)

Možete li koristiti različite modele za različite regije?

Da, i mnoge globalne web-stranice to čine. Taj se pristup naziva geografski ciljano upravljanje privolom. Web-stranica prepoznaje lokaciju posjetitelja (obično putem IP geolokacije) i prikazuje odgovarajući model privole:

  • Posjetitelji iz EU-a/EGP-a/UK-a: opt-in model s detaljnom privolom.
  • Posjetitelji iz Kalifornije: opt-out model s poveznicom „Do Not Sell or Share”.
  • Ostali američki posjetitelji: samo obavijest (ovisno o primjenjivosti zakona savezne države).
  • Ostale jurisdikcije: prema primjenjivom lokalnom zakonu.

Izazovi geografskog ciljanja

  • IP geolokacija nije savršena. Korisnici VPN-a mogu biti pogrešno locirani. Mobilni korisnici mogu se kretati između jurisdikcija.
  • Teret održavanja. Morate pratiti regulatorna kretanja u svakoj jurisdikciji koju opslužujete i u skladu s time ažurirati svoje tokove privole.
  • Složenost testiranja. Morate provjeriti da svaka regionalna varijanta ispravno funkcionira — različiti banneri, različita zadana stanja, različito ponašanje blokiranja skripti.
  • GDPR se primjenjuje ekstrateritorijalno. Ako ciljate korisnike iz EU-a (članak 3. stavak 2.), GDPR se primjenjuje bez obzira na to gdje se vaše poslovanje nalazi. „Ciljanje” uključuje nuđenje robe ili usluga stanovnicima EU-a ili praćenje njihova ponašanja.

Najbolja praksa: zadano na opt-in

Ako vam se upravljanje s više modela privole čini preteškim, postoji jednostavniji put: zadano postavite opt-in model na globalnoj razini.

Evo zašto to funkcionira:

  1. Usklađenost posvuda. Opt-in model zadovoljava najstrože zahtjeve. Ako ispunjavate zahtjeve GDPR-a za privolu, automatski nadmašujete zahtjeve CCPA-e, LGPD-a i većine drugih okvira.
  2. Jednostavnost. Jedan mehanizam privole, jedna implementacija, jedan skup testova. Bez geografskog prepoznavanja, regionalnih varijanti i rubnih slučajeva.
  3. Otpornost na budućnost. Globalni trend ide prema strožim zahtjevima za privolu. Predložene reforme u SAD-u, Kanadi, Australiji i Indiji sve idu u smjeru izričitije privole. Gradnja na opt-in modelu sada znači da ga kasnije nećete morati naknadno prilagođavati.
  4. Povjerenje korisnika. Korisnici diljem svijeta pozitivno reagiraju na transparentne i respektabilne prakse privole. Nuđenje stvarnog izbora — čak i ondje gdje to zakon ne zahtijeva strogo — gradi povjerenje i vjerodostojnost marke.
  5. Kvaliteta podataka. Podaci temeljeni na privoli čišći su, lakše obranjivi i vredniji od podataka prikupljenih u pravnoj neizvjesnosti.

Kompromis je stvaran: globalno ćete prikupljati manje podataka. No podaci koje prikupite bit će pravno utemeljeni, etički čisti i sve vredniji kako podaci trećih strana postaju sve manje dostupni.

Novosti u razvoju

Krajolik privole nije statičan. Vrijedi pratiti nekoliko kretanja:

  • ePrivacy Uredba. EU od 2017. radi na zamjeni za ePrivacy Direktivu. Kada bude usvojena, postat će izravno primjenjiva uredba (poput GDPR-a), a ne direktiva koja zahtijeva nacionalno prenošenje. Očekuje se da će pravila privole za kolačiće ostati slična ili stroža od trenutačnog okvira.
  • Global Privacy Control (GPC). Taj signal na razini preglednika automatski prenosi korisnikove preferencije privatnosti. Kalifornijski zakon već zahtijeva poštovanje GPC-a. To čine i Colorado i Connecticut. To bi moglo postati standardni mehanizam za priopćavanje preferencija isključivanja.
  • Modeli „privola ili plaćanje”. Mišljenje EDPB-a iz 2024. o „privoli ili plaćanju” (osobito u kontekstu Metina pristupa) oblikuje način na koji regulatori gledaju na odnos između privole i pristupa uslugama.
  • Privola na razini preglednika. Neki prijedlozi premjestili bi upravljanje privolom s pojedinačnih web-stranica na sam preglednik, pri čemu bi korisnici svoje preferencije postavljali jednom umjesto na svakoj stranici. To bi iz temelja promijenilo način na koji privola funkcionira u praksi.

Passiro vam pomaže implementirati pravi model privole za vašu publiku, uz automatsko prepoznavanje i kategorizaciju svih kolačića na vašoj stranici — bilo da odaberete opt-in, opt-out ili geografski ciljani pristup.

U našem posljednjem odjeljku pogledajmo najbolje prakse za privolu — praktične, primjenjive smjernice za provedbu privole koja je istodobno usklađena i prilagođena korisnicima.

Je li vaša web stranica usklađena s propisima o kolačićima?

Besplatno skenirajte svoju web stranicu i pronađite sve kolačiće u nekoliko minuta.

Besplatno skenirajte svoje kolačiće