Што такое GDPR?

GDPR — гэта ўсёабдымны закон аб ахове даных, які дае жыхарам ЕС кантроль над іх персанальнымі данымі. Ён прымяняецца да любой арганізацыі — дзе б яна ні знаходзілася, — якая апрацоўвае даныя жыхароў ЕС. Рэгламент ахоплівае збор, захоўванне, апрацоўку і перадачу даных.

Ключавыя прынцыпы GDPR

Да каго прымяняецца GDPR?

GDPR прымяняецца да любой арганізацыі, якая апрацоўвае персанальныя даныя асоб у ЕС, незалежна ад таго, дзе базуецца арганізацыя. Гэта ўключае кампаніі ў ЗША, Азіі або дзе-небудзь яшчэ, у якіх ёсць кліенты, наведвальнікі сайта або супрацоўнікі з ЕС.

Правы асобы ў рамках GDPR

• Права на доступ: карыстальнікі могуць запытаць копію сваіх даных.
• Права на выпраўленне: карыстальнікі могуць выправіць недакладныя даныя.
• Права на выдаленне: «права быць забытым».
• Права на пераноснасць даных: карыстальнікі могуць перадаваць свае даныя іншаму сэрвісу.
• Права на пярэчанне: карыстальнікі могуць пярэчыць супраць пэўных відаў апрацоўкі.
• Права на абмежаванне апрацоўкі: карыстальнікі могуць абмяжоўваць выкарыстанне сваіх даных.

Штрафы за невыкананне

GDPR і Закон аб лічбавых рынках (DMA)

З 2024 года Закон ЕС аб лічбавых рынках працуе разам з GDPR, рэгулюючы тое, як буйныя платформы апрацоўваюць даныя карыстальнікаў. DMA патрабуе, каб прызначаныя «прыватнікі доступу» (такія як Google, Apple і Meta) атрымлівалі відавочную згоду перад аб'яднаннем даных карыстальнікаў паміж сэрвісамі. Гэта мае прамыя наступствы для таго, як згода збіраецца і перадаецца па рэкламным ланцужку паставак.

GDPR і файлы cookie: роля кіравання згодай

У адпаведнасці з GDPR і Дырэктывай аб прыватнасці ў электронных камунікацыях вэб-сайты павінны атрымліваць відавочную згоду перад размяшчэннем неасноўных файлаў cookie. Гэта азначае, што адпаведны банер cookie не з'яўляецца неабавязковым — гэта юрыдычнае патрабаванне. Ключавыя аспекты ўключаюць:

• Неасноўныя файлы cookie (аналітыка, маркетынг, рэклама) павінны быць заблакіраваны да таго часу, пакуль карыстальнік не дасць відавочную згоду
• Згода павінна быць дадзена свабодна — ніякіх загадзя адзначаных сцяжкоў або cookie-сцен, якія прымушаюць да прыняцця
• Карыстальнікі павінны мець магчымасць адклікаць згоду так жа лёгка, як яны яе далі
• Запісы аб згодзе павінны захоўвацца і быць даступныя для аўдыту

Google Consent Mode V2 і GDPR

З сакавіка 2024 года Google патрабуе, каб вэб-сайты, якія паказваюць рэкламу ў Еўрапейскай эканамічнай зоне (ЕЭЗ), выкарыстоўвалі сертыфікаваную Google CMP і рэалізавалі Consent Mode V2. Гэтая інтэграцыя гарантуе, што сігналы згоды правільна перадаюцца сэрвісам Google, забяспечваючы адпаведны паказ рэкламы пры захаванні магчымасцей вымярэння за кошт бяспечнага для прыватнасці мадэлявання.

IAB TCF 2.3 і адпаведнасць GDPR

Версія 2.3 Framework празрыстасці і згоды IAB (TCF) прадастаўляе стандартызаваны спосаб збору і перадачы згоды па ўсёй экасістэме лічбавай рэкламы. Выкарыстанне CMP, сумяшчальнай з TCF 2.3, такой як FlexyConsent, гарантуе, што сігналы згоды правільна фарматуюцца і перадаюцца ўсім рэкламным пастаўшчыкам у ланцужку паставак.

Як адпавядаць GDPR у 2026 годзе

• Правядзіце аўдыт вашай дзейнасці па зборы і апрацоўцы даных
• Укараніце сертыфікаваную Google CMP, такую як FlexyConsent
• Пераканайцеся, што ваша CMP падтрымлівае IAB TCF 2.3 і Google Consent Mode V2
• Стварыце зразумелыя, даступныя палітыкі прыватнасці і выкарыстання файлаў cookie
• Забяспечце апрацоўку запытаў на доступ суб'ектаў даных (DSAR)
• Навучыце сваю каманду абавязкам па ахове даных
• Прызначце супрацоўніка па ахове даных (DPO), калі гэта патрабуецца
• Укараніце працэдуры апавяшчэння аб уцечках даных (правіла 72 гадзін)
• Праводзьце рэгулярныя ацэнкі ўздзеяння на ахову даных (DPIA)