Skip to main content

Opt-in vs. opt-out: Pochopenie dvoch modelov súhlasu

Vo svete existujú dva zásadne odlišné prístupy k súhlasu s cookies. Európska únia vyžaduje opt-in: žiadne cookies, kým používateľ nepovie áno. Spojené štáty (vo väčšine štátov) umožňujú opt-out: cookies sa umiestňujú predvolene a používateľ môže povedať nie. Pochopenie týchto dvoch modelov — ich právneho základu, dôsledkov a toho, kde sa každý z nich uplatňuje — je nevyhnutné pre každú webovú stránku s globálnym publikom.

Model opt-in

Podľa modelu opt-in nie je možné umiestniť nepodstatné cookies, kým používateľ neposkytne výslovný, aktívny súhlas. Žiadna akcia zo strany používateľa znamená žiadne cookies. Ide o model, ktorý vyžaduje smernica EÚ o súkromí a elektronických komunikáciách (ePrivacy, článok 5 ods. 3), tak ako sa vykladá prostredníctvom definície súhlasu v GDPR (článok 4 ods. 11).

Ako funguje opt-in v praxi

  1. Používateľ navštívi webovú stránku prvýkrát.
  2. Aktívne sú len nevyhnutne potrebné cookies. Analytické, marketingové a preferenčné cookies sú zablokované.
  3. Zobrazí sa mechanizmus súhlasu, ktorý predstaví kategórie cookies a požiada používateľa, aby urobil voľbu.
  4. Používateľ aktívne vyberie, ktoré kategórie prijme (alebo klikne na „Prijať všetko" alebo „Odmietnuť všetko").
  5. Načítajú sa len skripty zodpovedajúce prijatým kategóriám.
  6. Ak používateľ nevykoná žiadnu akciu, nenastavia sa žiadne nepodstatné cookies. Mechanizmus súhlasu zostáva viditeľný (alebo dostupný), kým používateľ neurobí voľbu.

Právny základ

Požiadavka opt-in vyplýva z dvoch zdrojov:

  • Smernica ePrivacy, článok 5 ods. 3: Vyžaduje „súhlas" pred uložením informácií na zariadenie používateľa.
  • GDPR, článok 4 ods. 11: Definuje súhlas ako vyžadujúci „jednoznačný prejav aktívnej vôle" — čím sa vylučuje nečinnosť, vopred zaškrtnuté políčka a implikovaný súhlas.
  • Rozhodnutie Súdneho dvora EÚ vo veci Planet49 (C-673/17): Potvrdilo, že sa vyžaduje aktívny súhlas a vopred zaškrtnuté políčka nepredstavujú platný súhlas.

Kde sa uplatňuje opt-in

Vo všetkých členských štátoch EÚ/EHP (27 krajín EÚ plus Nórsko, Island a Lichtenštajnsko), ako aj v Spojenom kráľovstve (ktoré si po Brexite ponechalo pravidlá ePrivacy prostredníctvom Privacy and Electronic Communications Regulations, teda PECR).

Dôsledky pre prevádzkovateľov webových stránok

  • Očakávajte významnú mieru odmietnutia súhlasu. Údaje z odvetvia naznačujú, že 30 – 50 % európskych návštevníkov odmieta nepodstatné cookies, keď dostanú skutočnú možnosť voľby.
  • Analytické údaje budú neúplné. Budete mať údaje len od používateľov, ktorí súhlasili. Nejde o chybu — je to zamýšľaný výsledok regulácie.
  • Načítavanie skriptov musí byť podmienené. Potrebujete technický mechanizmus, ktorý blokuje skripty, kým sa nezaznamená súhlas. To nie je možné dosiahnuť len banerom — vyžaduje si to skutočnú správu skriptov.

Model opt-out

Podľa modelu opt-out je možné umiestňovať cookies predvolene. Používateľ má právo odmietnuť ich alebo sa odhlásiť, ale pokiaľ nevykoná žiadnu akciu, sledovanie je povolené. Ide o model, ktorý sa používa v Spojených štátoch a niekoľkých ďalších jurisdikciách.

Ako funguje opt-out v praxi

  1. Používateľ navštívi webovú stránku.
  2. Všetky cookies — vrátane analytických a marketingových — sa umiestnia okamžite.
  3. Oznámenie informuje používateľa, že sa používajú cookies, a poskytuje spôsob, ako sa odhlásiť.
  4. Ak používateľ nevykoná žiadnu akciu, cookies zostávajú aktívne.
  5. Ak sa používateľ odhlási, jeho preferencie sa odteraz rešpektujú (a v niektorých jurisdikciách môže byť potrebné vymazať predtým zhromaždené údaje).

Právny základ

Model opt-out sa nachádza v:

  • CCPA/CPRA (Kalifornia): Kalifornskí spotrebitelia majú právo odhlásiť sa z „predaja" alebo „zdieľania" osobných údajov. Cookies používané na behaviorálnu reklamu naprieč kontextmi predstavujú „zdieľanie" podľa CPRA. Povinnosťou je poskytnúť mechanizmus odhlásenia (často prostredníctvom odkazu „Do Not Sell or Share My Personal Information"), nie získať predchádzajúci súhlas.
  • Zákon CAN-SPAM a usmernenia FTC: Federálny prístup USA k online sledovaniu bol historicky založený na oznámení a voľbe (notice-and-choice) namiesto aktívneho súhlasu.
  • Rôzne štátne zákony USA: Virgínia (VCDPA), Colorado (CPA), Connecticut (CTDPA) a ďalšie sa riadia variáciami modelu opt-out pre cielenú reklamu a predaj údajov.

Kde sa uplatňuje opt-out

V Spojených štátoch (s variáciami podľa štátu), Kanade (PIPEDA — hoci sa to môže zmeniť s navrhovanými reformami), Austrálii (podľa Privacy Act — tiež v štádiu revízie) a niekoľkých ďalších jurisdikciách mimo EÚ/EHP.

Dôsledky pre prevádzkovateľov webových stránok

  • Predvolene sa zhromažďuje viac údajov. Keďže cookies sa umiestňujú, pokiaľ používateľ nenamietne, analytické a reklamné údaje sú úplnejšie.
  • Musíte poskytnúť jasný mechanizmus odhlásenia. Podľa CCPA/CPRA to znamená odkaz „Do Not Sell or Share My Personal Information", ktorý sa dá ľahko nájsť a použiť.
  • Musíte rešpektovať Global Privacy Control (GPC). Kalifornský zákon vyžaduje, aby podniky považovali signál prehliadača GPC za platnú žiadosť o odhlásenie.

Podrobné porovnanie

Aspekt Opt-in (EÚ/GDPR) Opt-out (USA/CCPA)
Predvolený stav Cookies zablokované do udelenia súhlasu Cookies predvolene aktívne
Vyžadovaná akcia používateľa Musí konať, aby povolil cookies Musí konať, aby zastavil cookies
Mlčanie / nečinnosť Znamená žiadny súhlas (žiadne cookies) Znamená predpokladaný súhlas (cookies aktívne)
Mechanizmus súhlasu Podrobná voľba podľa jednotlivých kategórií Odkaz alebo prepínač na odhlásenie
Vopred zaškrtnuté políčka Nepovolené (rozhodnutie Planet49) Povolené (model opt-out)
Vplyv na analytiku 30 – 50 % strata údajov z dôvodu nesúhlasu Minimálna strata údajov (málo odhlásení)
Odvolanie súhlasu Rovnako jednoduché ako udelenie súhlasu (GDPR čl. 7 ods. 3) Musí byť poskytnuté, bez požiadavky na rovnakú jednoduchosť
Deti Súhlas rodičov pod 13 – 16 rokov (líši sa) COPPA sa vzťahuje na deti do 13 rokov
Kľúčová regulácia Smernica ePrivacy + GDPR CCPA/CPRA + štátne zákony
Maximálne pokuty 20 mil. EUR alebo 4 % celosvetového obratu 7 500 USD za úmyselné porušenie (CCPA)

Môžete používať rôzne modely pre rôzne regióny?

Áno, a mnohé globálne webové stránky to robia. Tento prístup sa nazýva geograficky cielená správa súhlasu. Webová stránka zistí polohu návštevníka (zvyčajne prostredníctvom IP geolokácie) a predstaví príslušný model súhlasu:

  • Návštevníci z EÚ/EHP/Spojeného kráľovstva: Model opt-in s podrobným súhlasom.
  • Návštevníci z Kalifornie: Model opt-out s odkazom „Do Not Sell or Share".
  • Ostatní návštevníci z USA: Len oznámenie (v závislosti od uplatniteľnosti štátneho zákona).
  • Ostatné jurisdikcie: Na základe uplatniteľného miestneho práva.

Výzvy geografického cielenia

  • IP geolokácia nie je dokonalá. Používatelia VPN môžu byť nesprávne lokalizovaní. Mobilní používatelia sa môžu pohybovať medzi jurisdikciami.
  • Záťaž údržby. Musíte sledovať regulačný vývoj v každej jurisdikcii, ktorej slúžite, a podľa toho aktualizovať svoje toky súhlasu.
  • Zložitosť testovania. Musíte overiť, či každý regionálny variant funguje správne — rôzne banery, rôzne predvolené stavy, rôzne správanie pri blokovaní skriptov.
  • GDPR sa uplatňuje extrateritoriálne. Ak cielite na používateľov z EÚ (článok 3 ods. 2), GDPR sa uplatňuje bez ohľadu na to, kde sídli vaša firma. „Cielenie" zahŕňa ponúkanie tovaru alebo služieb obyvateľom EÚ alebo monitorovanie ich správania.

Osvedčený postup: Predvolene používajte opt-in

Ak sa vám správa viacerých modelov súhlasu zdá príliš náročná, existuje jednoduchšia cesta: predvolene používajte model opt-in globálne.

Prečo to funguje:

  1. Súlad všade. Model opt-in spĺňa najprísnejšie požiadavky. Ak spĺňate požiadavky GDPR na súhlas, automaticky prekonávate požiadavky CCPA, LGPD a väčšiny ostatných rámcov.
  2. Jednoduchosť. Jeden mechanizmus súhlasu, jedna implementácia, jedna sada testov. Žiadna geodetekcia, žiadne regionálne varianty, žiadne okrajové prípady.
  3. Odolnosť voči budúcnosti. Globálny trend smeruje k prísnejším požiadavkám na súhlas. Navrhované reformy v USA, Kanade, Austrálii a Indii sa všetky pohybujú smerom k výslovnejšiemu súhlasu. Budovanie na opt-in už teraz znamená, že to neskôr nebudete musieť dodatočne prispôsobovať.
  4. Dôvera používateľov. Používatelia na celom svete pozitívne reagujú na transparentné a rešpektujúce postupy súhlasu. Ponúkanie skutočnej voľby — aj keď to zákon striktne nevyžaduje — buduje dôveru a dôveryhodnosť značky.
  5. Kvalita údajov. Údaje so súhlasom sú čistejšie, lepšie obhájiteľné a hodnotnejšie než údaje zhromaždené prostredníctvom právnej nejednoznačnosti.

Kompromis je reálny: globálne zhromaždíte menej údajov. Ale údaje, ktoré zhromaždíte, budú právne bezchybné, eticky čisté a čoraz hodnotnejšie s tým, ako sa údaje tretích strán stávajú menej dostupnými.

Vznikajúce trendy

Prostredie súhlasu nie je statické. Niekoľko vývojových trendov stojí za sledovanie:

  • Nariadenie ePrivacy. EÚ pracuje na náhrade za smernicu ePrivacy od roku 2017. Keď bude prijaté, stane sa priamo uplatniteľným nariadením (ako GDPR) namiesto smernice vyžadujúcej transpozíciu do vnútroštátneho práva. Očakáva sa, že pravidlá súhlasu pre cookies zostanú podobné alebo prísnejšie ako súčasný rámec.
  • Global Privacy Control (GPC). Tento signál na úrovni prehliadača automaticky komunikuje preferencie ochrany súkromia používateľa. Kalifornský zákon už vyžaduje rešpektovanie GPC. Rovnako aj Colorado a Connecticut. Môže sa to stať štandardným mechanizmom na komunikáciu preferencií odhlásenia.
  • Modely „súhlas alebo platba". Stanovisko EDPB z roku 2024 k modelu „súhlas alebo platba" (najmä v kontexte prístupu spoločnosti Meta) formuje spôsob, akým regulátori vnímajú vzťah medzi súhlasom a prístupom k službám.
  • Súhlas na úrovni prehliadača. Niektoré návrhy by presunuli správu súhlasu z jednotlivých webových stránok na samotný prehliadač, pričom používatelia by nastavovali svoje preferencie raz namiesto na každej stránke. To by zásadne zmenilo spôsob, akým súhlas v praxi funguje.

Passiro vám pomáha implementovať správny model súhlasu pre vaše publikum s automatickou detekciou a kategorizáciou všetkých cookies na vašej stránke — či už si zvolíte opt-in, opt-out, alebo geograficky cielený prístup.

V našej záverečnej časti sa pozrime na osvedčené postupy pri súhlase — praktické a použiteľné usmernenia na implementáciu súhlasu, ktorý je zároveň v súlade s predpismi aj používateľsky prívetivý.

Je váš web v súlade s pravidlami cookies?

Skenujte svoj web zadarmo a nájdite všetky cookies za pár minút.

Skenovať cookies zadarmo