Чэк-ліст адпаведнасці GDPR 2026: 15 крокаў, якія павінен выканаць кожны сайт
Адпаведнасць GDPR — гэта не разавы праект, а пастаянная практыка. Рэгламенты развіваюцца, ваш сайт змяняецца, дадаюцца новыя інструменты. Гэты чэк-ліст дае вам 15 канкрэтных крокаў для праверкі і падтрымання адпаведнасці GDPR у 2026 годзе, незалежна ад таго, ці пачынаеце вы з нуля, ці правяраеце існуючую наладку.
Чэк-ліст з 15 крокаў
1. Усталюйце сертыфікаваную CMP
Ваша платформа кіравання згодай павінна быць сертыфікавана Google і зарэгістравана ў IAB Europe. Гэта забяспечвае адпаведнасць як Consent Mode V2, так і TCF 2.3.
2. Правядзіце аўдыт усіх cookie-файлаў і трэкераў
Прасканіруйце ваш сайт на кожны cookie-файл, піксель, SDK і элемент лакальнага сховішча. Класіфікуйце кожны як строга неабходны, аналітычны ці рэкламны. Выдаліце ўсё, што не можаце абгрунтаваць.
3. Наладзьце банер згоды
Забяспечце раўнацэнныя кнопкі «Прыняць»/«Адхіліць», зразумелую мову на роднай мове наведвальніка і адсутнасць папярэдне адзначаных сцяжкоў. Банер павінен з'яўляцца да спрацоўвання любога неістотнага адсочвання.
4. Усталюйце згоду па змаўчанні на «Адхілена»
Для наведвальнікаў з ЕЭЗ усе неістотныя катэгорыі згоды павінны па змаўчанні быць адхілены. Без згоды могуць спрацоўваць толькі строга неабходныя cookie-файлы.
5. Апублікуйце палітыку канфідэнцыяльнасці
Ваша палітыка канфідэнцыяльнасці павінна тлумачыць, якія даныя вы збіраеце, навошта, прававую падставу, хто іх атрымлівае, тэрміны захоўвання і як карыстальнікі могуць ажыццяўляць свае правы.
6. Апублікуйце палітыку выкарыстання cookie-файлаў
Пералічыце кожны cookie-файл, яго прызначэнне, працягласць і ці з'яўляецца ён першай ці трэцяй стараной. Звяжыце гэта з вашым банерам згоды.
7. Уключыце Google Consent Mode V2
Наладзьце пашыраны рэжым, каб тэгі Google спрацоўвалі ў абмежаваным рэжыме да згоды, а потым пераключаліся на поўнае адсочванне пасля згоды.
8. Уключыце IAB TCF 2.3
Калі вы запускаеце праграматык-рэкламу, ваша CMP павінна генераваць сапраўдныя TC Strings. Праверце з дапамогай інструмента валідатара TCF ад IAB.
9. Падпішыце пагадненні аб апрацоўцы даных
Кожнай трэцяй старане, якая атрымлівае персанальныя даныя з вашага сайта, патрэбна DPA. Google, Meta, пастаўшчыкі аналітыкі, email-платформы — усе яны.
10. Вядзіце рэестр аперацый па апрацоўцы
Дакументуйце кожную аперацыю па апрацоўцы даных: якія даныя, якая мэта, якая прававая падстава, якія атрымальнікі, які тэрмін захоўвання.
11. Рэалізуйце правы суб'ектаў даных
Наладзьце працэсы для запытаў на доступ, запытаў на выдаленне, пераноснасці даных і пярэчанняў. Адказвайце на працягу 30 дзён.
12. Наладзьце захоўванне даных
Не захоўвайце персанальныя даныя даўжэй неабходнага. Усталюйце тэрміны захоўвання ў Google Analytics, вашай CRM, email-платформе і базах даных.
13. Абараніце вашы даныя
HTTPS усюды, зашыфраваныя базы даных, кантроль доступу, рэгулярныя праверкі бяспекі. Пра парушэнні даных трэба паведамляць у ваш нагляднага орган на працягу 72 гадзін.
14. Навучыце вашу каманду
Кожнаму, хто працуе з персанальнымі данымі, патрэбна навучанне па GDPR — маркетынг, продажы, падтрымка, распрацоўка. Дакументуйце навучанне.
15. Плануйце рэгулярныя аўдыты
Правярайце вашу адпаведнасць штоквартальна. Новыя cookie-файлы з'яўляюцца, калі вы дадаеце інструменты. Палітыкі трэба абнаўляць. За паказчыкамі згоды трэба сачыць.
Цана неадпаведнасці
- Штрафы: да 20 мільёнаў еўра ці 4% ад сусветнага гадавога абароту
- Рэпутацыя: парушэнні даных і штрафы публічныя — кліенты заўважаюць
- Даход: несапраўдная згода азначае страчаны даход ад рэкламы і ненадзейныя даныя
FlexyConsent аўтаматычна пакрывае крокі 1–8
- Сертыфікаваная Google + зарэгістраваная ў IAB Europe CMP
- Аўтаматычнае сканіраванне і класіфікацыя cookie-файлаў
- Убудаваныя Consent Mode V2 + TCF 2.3
- 43+ мовы з аўтавызначэннем
- Па змаўчанні адхілена для наведвальнікаў з ЕЭЗ
- Запісы доказу згоды з меткамі часу
- Ад €0/месяц — адпаведнасць з першага дня