Naşirlər üçün AB-ABŞ Məlumat Məxfiliyi Çərçivəsi (DPF) Çərəz Razılığı Bələdçisi 2026
AB-ABŞ Məlumat Məxfiliyi Çərçivəsi (DPF) — çərəz identifikatorları, IP ünvanları, hashed e-poçtlar və reklam sorğusu yükləri daxil olmaqla — Avropa şəxsi məlumatlarının ABŞ-da yerləşən satıcılara hər naşirin öz Standart Müqavilə Bəndlərini ayrıca danışıqsız göndərilməsinə imkan verən hüquqi infrastrukturdur. Avropa Komissiyası tərəfindən 2023-cü ilin iyulunda qəbul edilmiş və artıq bir neçə ildir real dünyada tətbiq edilən DPF, etibarsız sayılan Privacy Shield-i əvəz etməyin üçüncü cəhdidir və Avropa İttifaqı Ədalət Məhkəməsində yenidən hüquqi mübahisə ilə üzləşir. ABŞ-da baş qərargahı olan SSP-lər, DSP-lər, analitika alətləri və CMP-lər vasitəsilə AB trafiki keçirən naşirlər üçün DPF-i — və onun üstündə dayanan razılıq qatını — anlamaq artıq könüllü deyil. Bu bələdçi DPF-in əslində nəyə icazə verdiyini, çərəz razılığının bu sistemə necə uyduğunu və çərçivənin yenidən ləğv edilməsi halında ötürmələrinizi müdafiə edilə biləcək vəziyyətdə saxlayan əməliyyat addımlarını izah edir.
DPF-in Əslində Nə Etdiyi
DPF, GDPR-ın 45-ci maddəsi əsasında Avropa Komissiyası tərəfindən verilmiş bir adekvatlıq qərarıdır. Adekvatlıq qərarı, üçüncü ölkənin — bu halda ABŞ-ın — yalnız müəyyən bir çərçivəyə qoşulan təşkilatlar üçün AB-yə mahiyyətcə bərabər şəxsi məlumat mühafizəsi səviyyəsi təmin etdiyini bildirir. DPF, könüllü qoşulma mexanizmidir. ABŞ şirkətləri Ticarət Departamenti ilə özünü sertifikatlandırır, bir sıra Məxfilik Prinsiplərini öhdəsinə götürür və bu öhdəliklər üzrə FTC və ya DOT tərəfindən tənzimlənməyə tabe olur.
AB naşiri üçün praktiki nəticə ondan ibarətdir ki, şəxsi məlumatlar ayrıca Standart Müqavilə Bəndləri (SCCs), həmin satıcıya uyğunlaşdırılmış Ötürmə Təsir Qiymətləndirmələri və ya Schrems II qərarından sonra tələb olunan əlavə tədbirlər olmadan DPF sertifikatlaşdırılmış ABŞ satıcısına ötürülə bilər. DPF hüquqi əsas qatında ağır işi görür.
DPF-in etmədiyi üç şey var ki, naşirlər bunları daim səhv başa düşür:
- Razılığı əvəz etmir. AB ziyarətçisinə qeyri-zəruri çərəz yerləşdirmək, məlumatların hara getməsindən asılı olmayaraq hələ də GDPR/ePrivacy səviyyəsində razılıq tələb edir.
- Sertifikatlaşdırılmamış ABŞ satıcılarına ötürmələri əhatə etmir. SSP-niz və ya analitika provayderiniz aktiv DPF siyahısında deyilsə, hələ də SCCs və TIA-ya ehtiyacınız var.
- Sertifikatlaşdırılmış əhatədən kənarda fəaliyyət göstərən ABŞ törəmələrinə ötürmələri əhatə etmir. Bir çox böyük satıcı yalnız müəyyən iş xətlərini sertifikatlaşdırır.
Çərəz Razılığı Hələ də Ön Qapıdır
DPF yolçuluğun ötürmə tərəfini həll edir. Çərəzin yerləşdirildiyi, reklam ID-sinin oxunduğu və ya hadisənin teqə göndərildiyi an ilə əlaqədar heç nə etmir. Bu an ePrivacy Direktivi (5(3) maddəsi) və GDPR (6 və 7-ci maddələr) tərəfindən tənzimlənir. Hər ikisi terminal avadanlığı yaddaşına hər hansı qeyri-ciddi zəruri giriş üçün əvvəlcədən, məlumatlı, konkret və azad şəkildə verilmiş razılıq tələb edir.
Başqa sözlə, stackinizdəki hər satıcı DPF sertifikatlaşdırılmış olsa belə, sizə aşağıdakıları edən Razılıq İdarəetmə Platforması (CMP) lazımdır:
- Razılıq alınmadan əvvəl qeyri-zəruri çərəzlər və teqleri bloklayır.
- EDPB-nin 2022-ci ildən bəri açıq şəkildə tələb etdiyi kimi hamısını qəbul et seçiminə bərabər hamısını rədd et imkanı ilə aydın seçim təqdim edir.
- Razılıq hadisəsini müdaxiləyə davamlı zaman möhürü və istifadəçinin faktiki gördüyü bildirişin surəti ilə qeyd edir.
- Razılıq vəziyyətini TCF v2.3, Google Consent Mode v2 və ya satıcı-doğma API-lər vasitəsilə hər bir aşağı axın alətinə ötürür.
DPF ötürmə üçün hüquqi əsası əvəz edir; CMP isə toplama üçün hüquqi əsas təmin edir. Hər iki tərəfi atlamaq sizi risk altına salır.
Satıcının DPF Statusunu Necə Yoxlamaq Olar
ABŞ Ticarət Departamenti rəsmi DPF siyahısını dataprivacyframework.gov saytında saxlayır. Satıcının DPF iddiasına etibar etməzdən əvvəl, onların siyahısında üç şeyi yoxlayın.
Aktiv Sertifikatlaşdırma Statusu
Sertifikatlar hər il yenilənməlidir. Statusu Qeyri-aktiv, Geri çəkilmiş və ya Müddəti keçmiş olan satıcıya ötürmə mexanizmi kimi etibar edilə bilməz, hətta marketing səhifələrində hələ DPF nişanı göstərsələr də. Siyahını satıcı inventarınıza əlavə edin və rüblük yenidən yoxlayın.
Əhatə Olunan Qurumlar və Törəmə Şirkətlər
Bir çox holdinq şirkəti bəzi törəmələri sertifikatlaşdırır, digərlərini isə yox. DPA-nızdakı müqavilə qurumu sertifikatlaşdırılmış qurumla üst-üstə düşməlidir. Ümumi bir səhv — DPF sertifikatı Delaverdəki Acme Inc. tərəfindən saxlanılarkən Acme Marketing UK Ltd ilə müqavilə imzalamaq — bu zaman məlumat axını sertifikatlaşdırılmış əhatəni tərk edir.
Əhatə Olunan Məlumat Kateqoriyaları
DPF yalnız İK məlumatları, yalnız qeyri-İK məlumatları və ya hər ikisini əhatə edən sertifikatlaşdırmalara icazə verir. Qeyri-İK-only sertifikat reklam və analitika məlumatlarınızı əhatə edir; yalnız İK sertifikatı isə etmir. Siyahını diqqətlə oxuyun.
Satıcı DPF Sertifikatlaşdırılmamışsa Nə Etmeli
Bir çox faydalı ABŞ satıcısı — xüsusilə kiçik reklam-texnologiya oyunçuları və niş analitika alətləri — heç vaxt sertifikatlaşdırmamış və ya sertifikatını ödənişsiz qoymağa icazə vermişdir. Onlar üçün DPF əhəmiyyətsizdir və 2023-dən əvvəlki alət dəstinə qayıdırsınız:
- Standart Müqavilə Bəndləri (SCCs) — 2021-ci ilin modul 2 və ya modul 3 versiyaları, hər iki tərəf tərəfindən imzalanmış və DPA-ya daxil edilmiş.
- Ötürmə Təsir Qiymətləndirməsi (TIA) — ABŞ nəzarət qanununun, risk altındakı məlumat kateqoriyalarının və məruzəliyi azaldan texniki və təşkilati tədbirlərin satıcıya xas təhlili.
- Əlavə tədbirlər — tranzitdə və istirahətdə şifrələmə, psevdonimləşdirmə, müqavilə şəffaflıq öhdəlikləri və ABŞ hökumət giriş sorğuları üçün sənədləşdirilmiş cavab planı.
Stackinizdəki hər ABŞ satıcısını, hər biri üçün istifadə edilən hüquqi əsası (DPF, SCCs, istisnalar) və ən son baxışın tarixini siyahıya alan bir reyestr aparın. Tənzimləyicilər və auditorlar bu reyestri istəyəcək; onu əldə etməmək özlüyündə bir tapıntıdır.
Schrems III Riski və Gələcəyə Hazırlıq
Məxfilik müdafiəçisi Max Schrems və onun NOYB təşkilatı DPF-ə qarşı qəbulundan qısa müddət sonra iddia qaldıraraq, EO 14086 İcraçı Əmri çərçivəsindəki ABŞ nəzarət islahatının hələ AB əsas hüquqları standartlarından geri qaldığını müdafiə etdi. CJEU-ya istinad geniş şəkildə gözlənilir və çərçivənin ləğv edilmə ehtimalı az deyil — iyirmi ildə üçüncüsü.
2020-ci ildə Privacy Shield-i yeganə ötürmə mexanizmi kimi qəbul edən naşirlər, Schrems II onu etibarsız sayanda gecə ərzində çaşmaq məcburiyyətində qaldı. Eyni çaşqınlıq bu dəfə DPF-i hazır bir ehtiyatla birincil mexanizm kimi qəbul etməklə qarşısı alına bilər.
Hər DPA-da SCCs-i Saxlayın
DPA-larınızın DPF adekvatlıq qərarı etibarsız sayılarsa və ya satıcının sertifikatı ödənişsiz qalarsa avtomatik olaraq aktivləşən bir ehtiyat bəndi kimi 2021-ci ilin SCCs-ini əhatə etdiyini tələb edin. Bu artıq standart dildir; bir satıcı bunu rədd edərsə, bu sarı bir xəbərdarlıq işarəsidir.
Yenə də TIA Keçirin
DPF TIA üçün qanuni tələbi aradan qaldırır, lakin həssas reklam siqnallarını və ya böyük AB əhalisini idarə edən satıcılar üçün xüsusilə yüngül bir TIA keçirmək, çərçivə çökürsə, sizə müdafiə edilə bilən sənəd verir. Xərcləri aşağı saxlamaq üçün satıcılar arasında eyni şablondan yenidən istifadə edin.
Rəqəmlərin İşlədiyi Yerlərdə Lokallaşdırın
Bir neçə istifadə halı üçün — birinci tərəf analitikası, qeydiyyatlı istifadəçilər haqqında davranış məlumatları və ya həssas məzmun saytları — AB-də yerləşdirilmiş, AB-nin nəzarəti altındakı bir satıcıya keçid ötürmə sualını tamamilə aradan qaldırır. Xərc-fayda yalnız yüksək riskli və ya yüksək həcmli axınlar üçün hesablanır, lakin bir seçenek kimi yol xəritəsində olmalıdır.
DPF-i CMP-nızə Bağlamaq
Müasir CMP DPF-i birbaşa tətbiq etmir — GPP-də və ya TCF-də "bu ötürmə DPF-lə örtülmüşdür" deyən bir sahə yoxdur. CMP-nin etməli olduğu şey hər satıcı üçün tənzimləyicinin nəticədə tələb edəcəyi sənədləri dəstəkləyən şəkildə razılıq toplamaktır.
Satıcı Başına Dəqiqlik
Bütün ABŞ reklam-texnologiya satıcılarını tək bir "Marketing" açarına paketləmək artıq müdafiə edilə bilmir. Əksər sertifikatlaşdırılmış CMP-lərin sinxronlaşdırdığı TCF v2.3 satıcı siyahısı satıcı başına məqsədlər və hüquqi əsaslar təqdim edir. Onu istifadə edin. Tənzimləyici "Y tarixində şəxsi məlumatlar X Satıcısına hansı əsasla axdı" deyə soruşduqda, TCF sətrinə, DPF sertifikat qeydəsinə və DPA-ya işarə edə bilməlisiniz.
Bannerdə Məxfilik Bildirişini Əks Etdirin
Məxfilik bildirişinizdəki alıcıların siyahısı razılıqdan sonra yüklənən satıcıların siyahısı ilə tam olaraq üst-üstə düşməlidir. Uyğunsuzluqlar ən asan icra hədəfidir — İspaniyalı AEPD və Fransız CNIL hər ikisi 2024-cü ildə aktiv ortaqları buraxan satıcı siyahılarına görə naşirləri cərimələdi.
Razılıq Zamanı Satıcı Vəziyyətini Qeyd Edin
Hər razılıq hadisəsi üçün TCF GVL-da hansı satıcıların olduğunun, hansılarının DPF sertifikatlaşdırılmış olduğunun və hər birinin hansı hüquqi əsasa arxalandığının anlıq görüntüsünü saxlayın. Bu, stressli bir tənzimləyici məktubunu rutin bir cavaba çevirən audit izi. FlexyConsent və digər Google sertifikatlaşdırılmış CMP-lər bu qeydiyyatı qutudan kənarda təklif edir; bir çox köhnə banner bunu etmir.
Praktik Miqrasiya Yoxlama Siyahısı
Mövcud bir saytı DPF öncəsi və ya qismən DPF qurulumundan təmiz 2026 konfiqurasiyasına keçirirsinizsə, bu siyahıdan keçin:
- Teq menecerinizdə, reklam stackinizdə və server tərəfi konteynerinizdə hər ABŞ satıcısını inventarizasiya edin.
- Hər birini aktiv DPF siyahısı ilə çaprazlaşdırın. DPF-lə örtülmüş, SCC-lə örtülmüş və ya tədbirə ehtiyac var kimi kateqoriyalara ayırın.
- 2021-ci ilin SCCs-ini avtomatik ehtiyat kimi daxil etmək üçün DPA-ları yeniləyin.
- DPF statusundan asılı olmayaraq yüksək riskli satıcılar üçün TIA keçirin.
- CMP-nizin satıcı başına razılıq UI-si göstərdiyini və TCF v2.3-ü dəstəklədiyini təsdiqləyin.
- Google Consent Mode v2-nin GA4, Ads və hər hansı siqnal itkisi alətlərinə bağlı olduğunu yoxlayın.
- Sertifikatları, GVL üzvlüyünü və DPA versiyalarını yenidən yoxlamaq üçün rüblük bir baxış planlaşdırın.
- Hüquq və reklam əməliyyatlarını DPF etibarsız sayılarsa nəyin dəyişdiyini birlikdə izah etmək üçün toplantı keçirin ki, cavab planı təzyiq altında icad edilməsin.
Ümumi Yanlış Fikirlər
Naşir auditlərindəki bir neçə səhv dönür-dönür çıxır və açıq düzəliş tələb edir.
"DPF sertifikatlaşdırması bizə razılığa ehtiyac olmadığını bildirir." Xeyr. DPF ötürmə mexanizmidir. Razılıq isə toplama tələbidir. Onlar fərqli hüquqi qatlarda dayanır.
"CDN-imiz ABŞ-a əsaslıdır, buna görə DPF onu əhatə edir." Yalnız CDN-in özü müvafiq məlumat kateqoriyaları üçün DPF sertifikatlaşdırılmışsa. Bir çox infrastruktur provayderi suala tam olaraq cavab verməyən AB bölgələri təklif edir.
"X Satıcısı DPF-ə hazır olduqlarını söyləyir." Marketing dili. Rəsmi siyahını, sertifikatlaşdırılmış qurum adını və məlumat kateqoriyalarını yoxlayın.
"DPF çərəz bannerini əvəz edir." Xeyr. ePrivacy Direktivinin əvvəlcədən razılıq qaydası GDPR-ın ötürmə qaydalarından müstəqildir. Hər ikisi tətbiq olunur.
Son Xülasə
DPF 2026-cı il transatlantik reklam-texnologiyasını 2021-ci ilə nisbətən əməliyyat baxımından daha sadə edir, lakin naşirləri çərəz razılığından, satıcı araşdırmasından və ya ötürmə sənədlərindən azad etmir. DPF-ə bir neçəsindən birinin etibarlı ötürmə mexanizmi kimi yanaşın, SCCs-i müqavilə ehtiyatı kimi saxlayın, saxlanan satıcı inventarına qarşı satıcı başına razılığı qeyd edən bir CMP işə salın və çərçivənin hüquqi sabitliyinin şərtli olduğunu qəbul edin. Bu davamlılığı indi quran naşirlər, Schrems III qərarı əvvəlki ikisi kimi enirsə gecəlik yenidən memarlıq etmək məcburiyyətində qalmayacaq. DPF-ə daimi cavab kimi yanaşanlar isə Privacy Shield-in etibarsız sayılmasından sonra yaşanan eyni çaşqınlığa hazır edirlər — yalnız bu dəfə tənzimləyicilər daha az səbirli və cərimələr daha böyükdür.