Sledenje pred privolitvijo: kaj je in zakaj ga regulatorji obravnavajo kot kršitev

Sledenje pred privolitvijo je razred ugotovitev v našem skenerju. Sproži se, kadar med začetkom svežega nalaganja strani in trenutkom, ko uporabnik izvede kakršno koli dejanje na pasici za privolitev, brskalnik pošlje eno ali več omrežnih zahtev, ki nosijo identifikatorje, vsebujejo nebistveno analitično vsebino ali nastavljajo nebistvene piškotke.

To je najpogostejša napaka, ki jo zaznamo. V našem skeniranju 97.000 evropskih spletnih mest je bila večina razvrstitev z visokim tveganjem posledica sledenja pred privolitvijo, ne pa manjkajočih pasic ali pokvarjenih gumbov za zavrnitev.

Kaj išče skener

Detektor opazuje omrežje od trenutka, ko brskalnik izda zahtevo za dokument, do enega od treh dogodkov:

1. Uporabnik klikne gumb na pasici za privolitev (sprejmi, zavrni, nastavitve).
2. Zapiše se merljiv piškotek stanja privolitve ali vnos v localStorage.
3. Poteče časovna omejitev (privzeto 8 sekund) brez kakršnega koli signala privolitve.

Vsaka zahteva, ki se sproži v tem oknu, se preuči glede treh signalov:

• Znan prstni odtis sledilca. Ciljna domena, pot zahteve ali vzorec vsebine se ujema z vnosom v naši bazi sledilcev. To vključuje Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, X-ove konverzijske piksle in mnoge druge.
• Vsebina z identifikatorjem. Zahteva nosi stabilen odjemalski identifikator (piškotek, zgoščeno vrednost prstnega odtisa ali poizvedovalni parameter, ki preživi med stranmi).
• Zapis nebistvenega piškotka. Odgovor nastavi piškotek, ki po klasifikaciji ni nujno potreben za delovanje strani.

Katera koli od teh treh stvari zadostuje za sprožitev ugotovitve. Vse tri skupaj so tipičen vzorec za vsebnik Google Tag Managerja, ki se sproži pred vrati za privolitev.

Pravni okvir, na kratko

Nismo vaš odvetnik. Gola dejstva:

• GDPR Art. 6(1)(a) zahteva veljavno pravno podlago za obdelavo osebnih podatkov. Za nebistvene sledilce je to privolitev.
• GDPR Art. 7 določa standard, kakšna je veljavna privolitev: prostovoljna, specifična, informirana, nedvoumna in preklicna.
• ePrivacy Directive Art. 5(3) posebej zahteva privolitev pred shranjevanjem ali dostopom do informacij na uporabnikovi terminalski opremi — torej pred branjem ali pisanjem piškotkov in podobnih identifikatorjev. Ali določena omrežna zahteva pred privolitvijo predstavlja kršitev, je odvisno od tega, ali bere ali piše informacije na napravi, ali nosi identifikatorje in ali jo je mogoče upravičiti kot "nujno potrebno" — to so vprašanja, o katerih so regulatorji presojali.

Nacionalne implementacije se v podrobnostih razlikujejo. Nemški TTDSG (zdaj TDDDG) in francoski prenos prek Loi Informatique et Libertés, kakor ga uveljavlja CNIL, sta proizvedla najbolj vidno izvrševanje. DPAs po vsej EU so opozarjali na vzorce sledenja pred privolitvijo; specifični pragovi izvrševanja se razlikujejo glede na pristojnost. Temeljno načelo je povsod enako: najprej privolitev, šele nato sledilec.

Kaj so regulatorji dejansko storili

Kratka, delna časovnica odločitev, kjer je bilo sledenje pred privolitvijo osrednja ugotovitev:

• CNIL v. Google (december 2020): 100 milijonov EUR za nameščanje oglaševalskih piškotkov na google.fr brez predhodne privolitve.
• CNIL v. Amazon Europe Core (december 2020): 35 milijonov EUR za enak vzorec na amazon.fr.

To niso edini primeri — gre za nosilne. Vzorec je v vseh dosleden: regulator je izmeril omrežno vedenje in tehnično resničnost obravnaval kot odločilno, ne glede na besedilo politike.

Skripte, ki to najpogosteje povzročijo

V grobem vrstnem redu, kako pogosto jih vidimo kot glavni vzrok pri skeniranju z visokim tveganjem:

• Google Tag Manager vsebniki, konfigurirani brez vrat za privolitev (consent mode), ali z napačno konfiguriranim consent mode, tako da je privzeto stanje "granted".
• Meta Pixel, naložen neposredno prek <script src> namesto za povratnim klicem privolitve.
• Hotjar snemanje seje, zagnano pred zaprtjem pasice.
• LinkedIn Insight za B2B retargeting, zlasti na agencijskih in SaaS straneh.
• TikTok Pixel na potrošniški e-trgovini.
• Implementacije lastne (first-party) analitike, ki berejo lastnosti navigator ali nastavljajo piškotke za prstne odtise pred kakršnim koli uporabniškim dejanjem.

Skupni dejavnik skoraj nikoli ni sama skripta — gre za način uvedbe. Vsak od teh ponudnikov objavlja dokumentiran način za omejitev sprožitve glede na signal privolitve; privzeta navodila za namestitev pa tega pogosto ne omenjajo.

Kako izgleda čisto skeniranje

Stran, ki opravi naše preverjanje pred privolitvijo, naredi eno od naslednjega:

1. Ne naloži nobenega tretjeosebnega sledenja, dokler ni dana privolitev. Funkcionalni piškotki (seja, jezikovne nastavitve, CSRF) so v redu.
2. Naloži tag manager v stanju "denied", z vsemi nebistvenimi oznakami za vrati eksplicitnih signalov privolitve in posodablja stanje prek Google Consent Mode v2 ali enakovrednega mehanizma, potem ko uporabnik ukrepa.
3. Naloži tihe verzije sledilcev (stube), ki ne prenašajo identifikatorjev, dokler ni nastavljen zastavica privolitve.

V našem korpusu Q1 2026 z 97.000 EU-strani je 68 % imelo aktivno sledilno storitev pred kakršno koli odločitvijo o privolitvi. Manjšina strani, ki opravijo preverjanje pred privolitvijo, deli profil: omrežje v oknu pred privolitvijo prevladuje sam dokument, datoteke CSS in pisave ter favicon — nič, kar bi z naprave odneslo identifikator.

Kako to popraviti

Iskreno: bližnjice ni. Vsako oznako je treba pregledati glede tega, ali se sproži pred nastavitvijo signala privolitve. Koraki, ki delujejo v praksi:

1. Stran odprite v čistem profilu brskalnika z odprtimi razvijalskimi orodji.
2. Filtrirajte omrežje na "third-party" in znova naložite.
3. Vse, kar se sproži, preden kliknete gumb pasice, je kandidat.
4. Za vsakega kandidata poiščite nalagalnik (običajno script tag, sprožilec v tag managerju ali vrstični izrezek) in ga omejite na signal privolitve.
5. Ponovno preverite. Ponavljajte, dokler okno pred privolitvijo ni prazno sledilcev.

Če uporabljate platformo za upravljanje privolitev (CMP), je njen način "blokiraj do privolitve" potreben, vendar ne zadosten — mnoge CMP blokirajo le zapis piškotka, ne pa tudi zahteve. Article 5(3) ePrivacy Directive zahteva privolitev pred shranjevanjem ali dostopom do informacij na uporabnikovi napravi (piškotki, lokalni pomnilnik, podobni identifikatorji). Ali specifična omrežna zahteva pred privolitvijo sproži to obveznost, je odvisno od tega, kaj zahteva bere z naprave ali piše nanjo — to je vprašanje, ki je odvisno od dejstev.

Za obdelan primer na vaši lastni domeni zaženite skeniranje in si oglejte ploščo "omrežje pred privolitvijo" v poročilu. Vsaka sporna zahteva je navedena s svojim sklicnim skladom (initiator stack), tako da jo lahko sledite do izvorne datoteke v svoji kodni bazi.