Skip to main content

Opt-in vs. opt-out: razumevanje dveh modelov privolitve

Svet pozna dva temeljno različna pristopa k privolitvi za piškotke. Evropska unija zahteva opt-in: nobenega piškotka, dokler uporabnik ne reče da. Združene države (v večini zveznih držav) dovoljujejo opt-out: piškotki se nastavijo privzeto, uporabnik pa jih lahko zavrne. Razumevanje teh dveh modelov — njune pravne podlage, posledic in področij uporabe — je ključno za vsako spletno mesto z globalnim občinstvom.

Model opt-in

Pri modelu opt-in se piškotki, ki niso nujno potrebni, ne smejo nastaviti, dokler uporabnik ne poda izrecne, potrdilne privolitve. Če uporabnik ne stori ničesar, ni piškotkov. To je model, ki ga zahteva Direktiva o zasebnosti in elektronskih komunikacijah (ePrivacy) EU (člen 5(3)), kot ga razlaga opredelitev privolitve v GDPR (člen 4(11)).

Kako opt-in deluje v praksi

  1. Uporabnik prvič obišče spletno mesto.
  2. Aktivni so le nujno potrebni piškotki. Analitični, tržni in preferenčni piškotki so blokirani.
  3. Pojavi se mehanizem za privolitev, ki predstavi kategorije piškotkov in uporabnika prosi za izbiro.
  4. Uporabnik aktivno izbere, katere kategorije sprejme (ali klikne »Sprejmi vse« oziroma »Zavrni vse«).
  5. Naložijo se le skripte, ki ustrezajo sprejetim kategorijam.
  6. Če uporabnik ne stori ničesar, se ne nastavijo nobeni piškotki, ki niso nujno potrebni. Mehanizem za privolitev ostane viden (ali dostopen), dokler uporabnik ne opravi izbire.

Pravna podlaga

Zahteva po opt-in izhaja iz dveh virov:

  • Direktiva ePrivacy, člen 5(3): zahteva »privolitev« pred shranjevanjem informacij v napravo uporabnika.
  • GDPR, člen 4(11): opredeljuje privolitev kot zahtevo po »jasnem pritrdilnem dejanju« — kar izključuje nedejavnost, vnaprej označena polja in domnevno soglasje.
  • Sodba Sodišča EU Planet49 (C-673/17): potrdila je, da je potrebna aktivna privolitev in da vnaprej označena polja ne pomenijo veljavne privolitve.

Kje velja opt-in

Vse države članice EU/EGP (27 držav EU ter Norveška, Islandija in Lihtenštajn), poleg tega tudi Združeno kraljestvo (ki je po brexitu ohranilo pravila ePrivacy prek Privacy and Electronic Communications Regulations oziroma PECR).

Posledice za upravljavce spletnih mest

  • Pričakujte visoke stopnje zavrnitve privolitve. Podatki iz panoge kažejo, da 30–50 % evropskih obiskovalcev zavrne piškotke, ki niso nujno potrebni, kadar imajo resnično izbiro.
  • Analitični podatki bodo nepopolni. Imeli boste le podatke uporabnikov, ki so privolili. To ni napaka — to je predvideni rezultat predpisa.
  • Nalaganje skript mora biti pogojno. Potrebujete tehnični mehanizem, ki blokira skripte, dokler privolitev ni zabeležena. Tega ni mogoče doseči zgolj s pasico — zahteva dejansko upravljanje skript.

Model opt-out

Pri modelu opt-out se piškotki lahko nastavijo privzeto. Uporabnik ima pravico do zavrnitve ali izključitve, a dokler ne ukrepa, je sledenje dovoljeno. To je model, ki ga uporabljajo Združene države in več drugih jurisdikcij.

Kako opt-out deluje v praksi

  1. Uporabnik obišče spletno mesto.
  2. Vsi piškotki — vključno z analitičnimi in tržnimi — se nastavijo takoj.
  3. Obvestilo uporabnika seznani, da se uporabljajo piškotki, in ponuja način za izključitev.
  4. Če uporabnik ne stori ničesar, piškotki ostanejo aktivni.
  5. Če uporabnik izbere izključitev, se njegove nastavitve upoštevajo v prihodnje (v nekaterih jurisdikcijah pa je treba morda izbrisati že zbrane podatke).

Pravna podlaga

Model opt-out najdemo v:

  • CCPA/CPRA (Kalifornija): kalifornijski potrošniki imajo pravico do izključitve iz »prodaje« ali »deljenja« osebnih podatkov. Piškotki, ki se uporabljajo za vedenjsko oglaševanje med konteksti, pomenijo »deljenje« po CPRA. Obveznost je zagotoviti mehanizem za izključitev (pogosto prek povezave »Ne prodajajte ali delite mojih osebnih podatkov«), ne pa pridobiti predhodne privolitve.
  • Zakon CAN-SPAM in smernice FTC: zvezni pristop ZDA k spletnemu sledenju je bil zgodovinsko temeljil na obvestilu in izbiri, ne na pritrdilni privolitvi.
  • Različni zakoni ameriških zveznih držav: Virginia (VCDPA), Kolorado (CPA), Connecticut (CTDPA) in drugi sledijo različicam modela opt-out za ciljano oglaševanje in prodajo podatkov.

Kje velja opt-out

Združene države (z razlikami med zveznimi državami), Kanada (PIPEDA — čeprav se to lahko spremeni s predlaganimi reformami), Avstralija (po Privacy Act — prav tako v pregledu) in več drugih jurisdikcij zunaj EU/EGP.

Posledice za upravljavce spletnih mest

  • Več zbiranja podatkov privzeto. Ker se piškotki nastavijo, razen če uporabnik ne ugovarja, so analitični in oglaševalski podatki popolnejši.
  • Zagotoviti morate jasen mehanizem za izključitev. Po CCPA/CPRA to pomeni povezavo »Ne prodajajte ali delite mojih osebnih podatkov«, ki jo je enostavno najti in uporabiti.
  • Upoštevati morate Global Privacy Control (GPC). Kalifornijski zakon zahteva, da podjetja obravnavajo brskalnikov signal GPC kot veljavno zahtevo za izključitev.

Podrobna primerjava

Vidik Opt-in (EU/GDPR) Opt-out (ZDA/CCPA)
Privzeto stanje Piškotki blokirani do privolitve Piškotki privzeto aktivni
Potrebno dejanje uporabnika Za dovolitev piškotkov mora ukrepati Za ustavitev piškotkov mora ukrepati
Molk / nedejavnost Pomeni brez privolitve (brez piškotkov) Pomeni domnevno privolitev (piškotki aktivni)
Mehanizem privolitve Podrobna izbira po kategorijah Povezava ali stikalo za izključitev
Vnaprej označena polja Niso dovoljena (sodba Planet49) Dovoljena (model opt-out)
Vpliv na analitiko 30–50 % izgube podatkov zaradi nezaprivolitve Minimalna izguba podatkov (le redki izključijo)
Preklic Tako enostaven kot podaja privolitve (GDPR člen 7(3)) Mora biti omogočen, brez zahteve po enaki enostavnosti
Otroci Privolitev staršev pod 13–16 let (spremenljivo) COPPA velja za mlajše od 13 let
Ključni predpis Direktiva ePrivacy + GDPR CCPA/CPRA + zakoni zveznih držav
Najvišje globe 20 mio. EUR ali 4 % globalnega prometa 7.500 USD na namerno kršitev (CCPA)

Ali lahko za različne regije uporabljate različne modele?

Da, in številna globalna spletna mesta to počnejo. Ta pristop se imenuje geografsko ciljano upravljanje privolitve. Spletno mesto zazna lokacijo obiskovalca (običajno prek geolokacije IP) in predstavi ustrezen model privolitve:

  • Obiskovalci iz EU/EGP/ZK: model opt-in s podrobno privolitvijo.
  • Obiskovalci iz Kalifornije: model opt-out s povezavo »Ne prodajajte ali delite«.
  • Drugi obiskovalci iz ZDA: zgolj obvestilo (odvisno od veljavnosti zakonodaje zvezne države).
  • Druge jurisdikcije: na podlagi veljavne lokalne zakonodaje.

Izzivi geografskega ciljanja

  • Geolokacija IP ni popolna. Uporabniki VPN so lahko napačno locirani. Mobilni uporabniki se lahko premikajo med jurisdikcijami.
  • Breme vzdrževanja. Spremljati morate zakonodajni razvoj v vsaki jurisdikciji, ki jo pokrivate, in ustrezno posodabljati postopke privolitve.
  • Kompleksnost testiranja. Preveriti morate, da vsaka regionalna različica deluje pravilno — različne pasice, različna privzeta stanja, različno vedenje pri blokiranju skript.
  • GDPR velja eksteritorialno. Če ciljate na uporabnike v EU (člen 3(2)), GDPR velja ne glede na to, kje ima vaše podjetje sedež. »Ciljanje« vključuje ponujanje blaga ali storitev prebivalcem EU ali spremljanje njihovega vedenja.

Najboljša praksa: privzeto uporabite opt-in

Če se vam upravljanje več modelov privolitve zdi preveč zapleteno, obstaja enostavnejša pot: privzeto uporabite model opt-in globalno.

Zakaj to deluje:

  1. Skladnost povsod. Model opt-in izpolnjuje najstrožje zahteve. Če izpolnjujete zahteve GDPR glede privolitve, samodejno presegate zahteve CCPA, LGPD in večine drugih okvirov.
  2. Enostavnost. En mehanizem privolitve, ena izvedba, en niz testov. Brez geografskega zaznavanja, brez regionalnih različic, brez robnih primerov.
  3. Pripravljenost na prihodnost. Globalni trend gre v smeri strožjih zahtev glede privolitve. Predlagane reforme v ZDA, Kanadi, Avstraliji in Indiji se vse premikajo v smeri bolj izrecne privolitve. Če že zdaj gradite za opt-in, pomeni, da vam pozneje ne bo treba naknadno prilagajati.
  4. Zaupanje uporabnikov. Uporabniki po vsem svetu se pozitivno odzivajo na pregledne in spoštljive prakse privolitve. Ponujanje resnične izbire — tudi tam, kjer zakon tega izrecno ne zahteva — gradi zaupanje in verodostojnost blagovne znamke.
  5. Kakovost podatkov. Podatki, pridobljeni s privolitvijo, so čistejši, laže zagovorljivi in dragocenejši od podatkov, zbranih v pravni negotovosti.

Kompromis je resničen: globalno boste zbrali manj podatkov. A podatki, ki jih boste zbrali, bodo pravno neoporečni, etično čisti in vse dragocenejši, ko postajajo podatki tretjih oseb manj dostopni.

Novi razvoj

Področje privolitve ni statično. Vredno je spremljati več sprememb:

  • Uredba ePrivacy. EU od leta 2017 pripravlja nadomestilo za Direktivo ePrivacy. Ko bo sprejeta, bo postala neposredno uporabljiva uredba (kot GDPR) in ne direktiva, ki zahteva nacionalni prenos. Pričakuje se, da bodo pravila o privolitvi za piškotke ostala podobna trenutnemu okviru ali celo strožja.
  • Global Privacy Control (GPC). Ta signal na ravni brskalnika samodejno sporoča uporabnikove nastavitve zasebnosti. Kalifornijski zakon že zahteva upoštevanje GPC. Enako velja za Kolorado in Connecticut. To bi lahko postalo standardni mehanizem za sporočanje preferenc glede izključitve.
  • Modeli »privolitev ali plačilo«. Mnenje EDPB iz leta 2024 o »privolitvi ali plačilu« (zlasti v okviru pristopa Meta) oblikuje, kako regulatorji gledajo na razmerje med privolitvijo in dostopom do storitev.
  • Privolitev na ravni brskalnika. Nekateri predlogi bi upravljanje privolitve prenesli s posameznih spletnih mest na sam brskalnik, kjer bi uporabniki nastavili svoje preference enkrat namesto na vsakem spletnem mestu. To bi temeljito spremenilo, kako privolitev deluje v praksi.

Passiro vam pomaga uvesti pravi model privolitve za vaše občinstvo, s samodejnim zaznavanjem in kategorizacijo vseh piškotkov na vašem spletnem mestu — ne glede na to, ali izberete opt-in, opt-out ali geografsko ciljani pristop.

V zadnjem razdelku si oglejmo najboljše prakse privolitve — praktične in uporabne smernice za uvedbo privolitve, ki je hkrati skladna in uporabniku prijazna.

Je vaše spletno mesto skladno s pravili o piškotkih?

Brezplačno skenirajte svoje spletno mesto in odkrijte vse piškotke v nekaj minutah.

Brezplačno skenirajte piškotke