Praćenje prije privole: što je to i zašto ga regulatori tretiraju kao povredu

Praćenje prije privole je kategorija nalaza u našem skeneru. Aktivira se kada, između početka svježeg učitavanja stranice i trenutka u kojem korisnik poduzme bilo kakvu radnju na banneru privole, preglednik pošalje jedan ili više mrežnih zahtjeva koji nose identifikatore, sadrže payloade analitike koji nisu nužni ili postavljaju kolačiće koji nisu nužni.

Ovo je najčešći nedostatak koji otkrivamo. U našem skeniranju 97.000 EU web-mjesta, većina klasifikacija visokog rizika bila je uzrokovana praćenjem prije privole, a ne nedostatkom bannera ili neispravnim gumbima za odbijanje.

Što skener traži

Detektor promatra mrežu od trenutka kada preglednik izda zahtjev za dokumentom do jednog od tri događaja:

1. Korisnik klikne gumb na banneru privole (prihvati, odbij, postavke).
2. Zapisuje se mjerljiv kolačić stanja privole ili unos u localStorage.
3. Istekne timeout (zadano 8 sekundi) bez ikakvog signala privole.

Svaki zahtjev koji se okine u tom prozoru ispituje se na tri signala:

• Otisak poznatog pratitelja. Odredišna domena, putanja zahtjeva ili uzorak payloada odgovara unosu u našoj bazi pratitelja. To uključuje Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, X conversion pixels i mnoge druge.
• Payload koji nosi identifikator. Zahtjev nosi stabilni klijentski identifikator (kolačić, hash otiska ili query parametar koji opstaje kroz stranice).
• Upis kolačića koji nije nužan. Odgovor postavlja kolačić koji prema klasifikaciji nije strogo nužan za funkcionalnost web-mjesta.

Bilo koji od ovih dovoljan je da se okine nalaz. Sva tri zajedno tipičan su uzorak za Google Tag Manager kontejner koji se okida prije vrata privole.

Pravni okvir, ukratko

Nismo vaš odvjetnik. Gola činjenice:

• GDPR Art. 6(1)(a) zahtijeva valjanu pravnu osnovu za obradu osobnih podataka. Za pratitelje koji nisu nužni, to je privola.
• GDPR Art. 7 postavlja standard za to kako izgleda valjana privola: slobodno dana, specifična, informirana, nedvosmislena i opoziva.
• ePrivacy Directive Art. 5(3) izričito zahtijeva privolu prije pohrane ili pristupa informacijama na korisnikovoj terminalnoj opremi — to jest, prije čitanja ili pisanja kolačića i sličnih identifikatora. Prelazi li pojedinačni mrežni zahtjev prije privole u povredu ovisi o tome čita li ili piše informacije na uređaju, nosi li identifikatore i može li se opravdati kao „strogo nužan" — to su pitanja koja regulatori vaganju.

Nacionalne provedbe razlikuju se u detaljima. Njemački TTDSG (sada TDDDG) i francuska transpozicija kroz Loi Informatique et Libertés koju provodi CNIL proizveli su najvidljiviju provedbu. DPAs diljem EU-a upozoravale su na obrasce praćenja prije privole; konkretni pragovi provedbe razlikuju se po jurisdikciji. Temeljno načelo je svugdje isto: najprije privola, potom pratitelj.

Što su regulatori zaista učinili

Kratka, djelomična kronologija odluka u kojima je praćenje prije privole bilo središnji nalaz:

• CNIL protiv Googlea (prosinac 2020.): 100 milijuna EUR za postavljanje oglašivačkih kolačića na google.fr bez prethodne privole.
• CNIL protiv Amazon Europe Core (prosinac 2020.): 35 milijuna EUR za isti obrazac na amazon.fr.

To nisu jedini slučajevi — oni su nosivi. Obrazac je dosljedan: regulator je izmjerio ponašanje mreže i tehničku stvarnost tretirao kao odlučujuću, bez obzira na tekst politike.

Skripte koje to najčešće uzrokuju

Okvirno po redoslijedu učestalosti kojom ih vidimo kao primarni uzrok u skeniranju visokog rizika:

• Google Tag Manager kontejneri konfigurirani bez gatinga preko consent-modea, ili s consent-modeom pogrešno konfiguriranim tako da je zadano stanje „granted".
• Meta Pixel učitan izravno preko <script src> umjesto da bude iza consent callbacka.
• Hotjar snimanje sesije započeto prije nego što je banner zatvoren.
• LinkedIn Insight za B2B retargeting, osobito na agencijskim i SaaS stranicama.
• TikTok Pixel na potrošačkom ecommerceu.
• First-party analitičke implementacije koje čitaju svojstva navigator objekta ili postavljaju fingerprinting kolačiće prije bilo kakve korisničke radnje.

Zajednički činitelj gotovo nikad nije sama skripta — to je način postavljanja. Svaki od ovih dobavljača objavljuje dokumentirani način da se okidanje uvjetuje signalom privole; zadane upute za instalaciju, međutim, često to ne spominju.

Kako izgleda čisto skeniranje

Web-mjesto koje prolazi našu provjeru prije privole čini jedno od sljedećeg:

1. Ne učitava nikakvo praćenje trećih strana dok privola nije dana. Funkcionalni kolačići (sesija, postavka jezika, CSRF) u redu su.
2. Učitava tag manager u stanju „denied", sa svim nenužnim oznakama iza eksplicitnih signala privole, i ažurira stanje kroz Google Consent Mode v2 ili istovjetan mehanizam nakon što korisnik djeluje.
3. Učitava stubove pratitelja koji ne prenose identifikatore dok se ne postavi zastavica privole.

U našem Q1 2026 korpusu od 97.000 EU stranica, 68% imalo je aktivnu uslugu praćenja prije bilo kakve odluke o privoli. Manjina stranica koje prolaze provjeru prije privole dijeli profil: mreža u prozoru prije privole dominirana je samim dokumentom, CSS i font datotekama te faviconom — ničim što nosi identifikator izvan uređaja.

Kako to popraviti

Iskrena verzija: nema prečaca. Svaka oznaka mora biti revidirana je li se okida prije postavljanja signala privole. Koraci koji funkcioniraju u praksi:

1. Otvorite stranicu u čistom profilu preglednika s otvorenim dev alatima.
2. Filtrirajte mrežu na „treća strana" i osvježite.
3. Sve što se okida prije klika na gumb bannera je kandidat.
4. Za svakog kandidata pronađite loader (obično script tag, tag manager okidač ili inline isječak) i uvjetujte ga signalom privole.
5. Ponovite test. Ponavljajte dok prozor prije privole ne bude bez pratitelja.

Ako koristite platformu za upravljanje privolom, njezin način „blokiraj do privole" nužan je, ali nedovoljan — mnoge CMP-ovi blokiraju samo upis kolačića, ne i zahtjev. Article 5(3) ePrivacy Directive zahtijeva privolu prije pohrane ili pristupa informacijama na korisnikovom uređaju (kolačići, local storage, slični identifikatori). Aktivira li određeni mrežni zahtjev prije privole tu obvezu ovisi o tome što zahtjev čita ili piše na uređaju — pitanje koje ovisi o činjenicama.

Za obrađeni primjer na vlastitoj domeni, pokrenite skeniranje i pogledajte panel „mreža prije privole" u izvještaju. Svaki problematičan zahtjev naveden je sa svojim initiator stackom, tako da ga možete pratiti do izvorne datoteke u vašem kodu.