Какво е GDPR?

GDPR е всеобхватен закон за защита на данните, който дава на жителите на ЕС контрол върху личните им данни. Той се прилага за всяка организация — навсякъде в света — която обработва данни на жители на ЕС. Регламентът обхваща събирането, съхранението, обработването и споделянето на данни.

Основни принципи на GDPR

За кого се прилага GDPR?

GDPR се прилага за всяка организация, която обработва лични данни на физически лица в ЕС, независимо от местоположението на организацията. Това включва компании в САЩ, Азия или навсякъде другаде, които имат клиенти, посетители на уебсайтове или служители в ЕС.

Индивидуални права съгласно GDPR

• Право на достъп: Потребителите могат да поискат копие от данните си.
• Право на коригиране: Потребителите могат да коригират неточни данни.
• Право на изтриване: "Правото да бъдеш забравен".
• Право на преносимост на данните: Потребителите могат да прехвърлят данните си към друга услуга.
• Право на възражение: Потребителите могат да се противопоставят на определени видове обработване.
• Право на ограничаване на обработването: Потребителите могат да ограничат начина, по който се използват данните им.

Санкции за неспазване

GDPR и Законът за цифровите пазари (DMA)

От 2024 г. Законът за цифровите пазари на ЕС работи заедно с GDPR за регулиране на начина, по който големите платформи обработват потребителски данни. DMA изисква определените "портиери" (като Google, Apple и Meta) да получат изрично съгласие, преди да комбинират потребителски данни между услугите. Това има преки последици за начина, по който се събира съгласие и се предава през веригата за доставка на реклами.

GDPR и бисквитките: Ролята на управлението на съгласието

Съгласно GDPR и Директивата за електронна поверителност, уебсайтовете трябва да получат изрично съгласие преди поставянето на несъществени бисквитки. Това означава, че съответстващ банер за бисквитки не е по избор — той е законово изискване. Основните аспекти включват:

• Несъществените бисквитки (анализи, маркетинг, реклама) трябва да бъдат блокирани, докато потребителят не даде изрично съгласие
• Съгласието трябва да бъде дадено свободно — без предварително отметнати квадратчета или стени от бисквитки, които принуждават към приемане
• Потребителите трябва да могат да оттеглят съгласието толкова лесно, колкото са го дали
• Записите за съгласие трябва да се съхраняват и да са достъпни за одит

Google Consent Mode V2 и GDPR

От март 2024 г. Google изисква уебсайтовете, показващи реклами в Европейското икономическо пространство (ЕИП), да използват сертифициран от Google CMP и да внедряват Consent Mode V2. Тази интеграция гарантира, че сигналите за съгласие се предават правилно на услугите на Google, позволявайки съответстващо показване на реклами при запазване на измервателните възможности чрез моделиране, щадящо поверителността.

IAB TCF 2.3 и съответствие с GDPR

Рамката за прозрачност и съгласие на IAB (TCF) версия 2.3 предоставя стандартизиран начин за събиране и предаване на съгласие в цялата екосистема на дигиталната реклама. Използването на CMP, съвместим с TCF 2.3, като FlexyConsent, гарантира, че сигналите за съгласие са правилно форматирани и предадени на всички рекламни доставчици в веригата за доставки.

Как да спазвате GDPR през 2026 г.

• Одитирайте дейностите си по събиране и обработване на данни
• Внедрете сертифициран от Google CMP като FlexyConsent
• Уверете се, че вашият CMP поддържа IAB TCF 2.3 и Google Consent Mode V2
• Създайте ясни, достъпни политики за поверителност и бисквитки
• Активирайте заявки за достъп на субектите на данни (DSAR)
• Обучете екипа си относно отговорностите за защита на данните
• Назначете Длъжностно лице по защита на данните (DPO), ако е необходимо
• Внедрете процедури за уведомяване при нарушения на данни (правило 72 часа)
• Провеждайте редовни оценки на въздействието върху защитата на данните (DPIA)