GDPR چیست؟

GDPR یک قانون جامع حفاظت از داده است که به ساکنان اتحادیه اروپا کنترل بر داده‌های شخصی‌شان را می‌دهد. این قانون برای هر سازمانی -- در هر کجای جهان -- که داده‌های ساکنان اتحادیه اروپا را پردازش می‌کند اعمال می‌شود. این مقررات جمع‌آوری، ذخیره‌سازی، پردازش و به اشتراک‌گذاری داده را پوشش می‌دهد.

اصول کلیدی GDPR

GDPR برای چه کسانی اعمال می‌شود؟

GDPR برای هر سازمانی اعمال می‌شود که داده‌های شخصی افراد در اتحادیه اروپا را پردازش می‌کند، صرف نظر از محل استقرار سازمان. این شامل شرکت‌های آمریکا، آسیا یا هر جای دیگری می‌شود که مشتریان، بازدیدکنندگان وب‌سایت یا کارمندانی در اتحادیه اروپا دارند.

حقوق فردی در چارچوب GDPR

• حق دسترسی: کاربران می‌توانند نسخه‌ای از داده‌هایشان درخواست کنند.
• حق اصلاح: کاربران می‌توانند داده‌های نادرست را تصحیح کنند.
• حق حذف: «حق فراموش شدن.»
• حق انتقال داده: کاربران می‌توانند داده‌هایشان را به سرویس دیگری منتقل کنند.
• حق اعتراض: کاربران می‌توانند به انواع خاصی از پردازش اعتراض کنند.
• حق محدود کردن پردازش: کاربران می‌توانند نحوه استفاده از داده‌هایشان را محدود کنند.

جریمه‌های عدم رعایت

GDPR و قانون بازارهای دیجیتال (DMA)

از سال ۲۰۲۴، قانون بازارهای دیجیتال اتحادیه اروپا در کنار GDPR برای تنظیم نحوه مدیریت داده‌های کاربران توسط پلتفرم‌های بزرگ کار می‌کند. DMA از «دروازه‌بانان» تعیین‌شده (مانند Google، Apple و Meta) می‌خواهد قبل از ترکیب داده‌های کاربران در سراسر سرویس‌ها، رضایت صریح بگیرند.

GDPR و کوکی‌ها: نقش مدیریت رضایت

تحت GDPR و دستورالعمل ePrivacy، وب‌سایت‌ها باید قبل از قرار دادن کوکی‌های غیرضروری، رضایت صریح دریافت کنند. این به این معنی است که یک بنر کوکی مطابق مقررات اختیاری نیست -- یک الزام قانونی است. جنبه‌های کلیدی عبارتند از:

• کوکی‌های غیرضروری (تحلیل‌گر، بازاریابی، تبلیغات) باید تا زمانی که کاربر رضایت صریح می‌دهد مسدود شوند
• رضایت باید آزادانه داده شود -- بدون چک‌باکس‌های از پیش علامت‌گذاری‌شده یا دیوارهای کوکی که قبول کردن را اجبار می‌کنند
• کاربران باید بتوانند رضایت را به همان راحتی که دادند پس بگیرند
• سوابق رضایت باید ذخیره شده و برای حسابرسی در دسترس باشند

Google Consent Mode V2 و GDPR

از مارس ۲۰۲۴، Google از وب‌سایت‌هایی که در منطقه اقتصادی اروپا (EEA) تبلیغات ارائه می‌دهند می‌خواهد از یک CMP دارای گواهینامه Google استفاده کنند و Consent Mode V2 را پیاده‌سازی کنند. این یکپارچه‌سازی اطمینان می‌دهد که سیگنال‌های رضایت به درستی به سرویس‌های Google منتقل می‌شوند.

IAB TCF 2.3 و انطباق با GDPR

نسخه ۲.۳ چارچوب شفافیت و رضایت IAB (TCF) یک روش استاندارد برای جمع‌آوری و انتقال رضایت در اکوسیستم تبلیغات دیجیتال فراهم می‌کند. استفاده از یک CMP سازگار با TCF 2.3 مانند FlexyConsent اطمینان می‌دهد که سیگنال‌های رضایت به درستی قالب‌بندی شده و به همه فروشندگان تبلیغاتی در زنجیره تامین منتقل می‌شوند.

چگونه در سال ۲۰۲۶ با GDPR انطباق داشته باشید

• فعالیت‌های جمع‌آوری و پردازش داده‌هایتان را حسابرسی کنید
• یک CMP دارای گواهینامه Google مانند FlexyConsent پیاده‌سازی کنید
• اطمینان حاصل کنید که CMP شما از IAB TCF 2.3 و Google Consent Mode V2 پشتیبانی می‌کند
• سیاست‌های حریم خصوصی و کوکی واضح و قابل دسترس ایجاد کنید
• درخواست‌های دسترسی موضوع داده (DSAR) را فعال کنید
• تیم خود را در زمینه مسئولیت‌های حفاظت از داده آموزش دهید
• در صورت نیاز یک مسئول حفاظت از داده (DPO) منصوب کنید
• رویه‌های اطلاع‌رسانی نقض داده را پیاده‌سازی کنید (قانون ۷۲ ساعت)
• ارزیابی‌های تأثیر حفاظت از داده (DPIA) را به‌طور منظم انجام دهید