Usklađenost25. svibnja 2026. | FlexyConsent

Vodič za pristanak na kolačiće EU-US Data Privacy Framework (DPF) za izdavače u 2026.

The EU-US Data Privacy Framework (DPF) je pravni okvir koji europskim osobnim podacima — uključujući identifikatore kolačića, IP adrese, hashirane e-mail adrese i sadržaje zahtjeva za oglase — omogućuje tijek prema dobavljačima sa sjedištem u SAD-u bez da svaki izdavač mora pregovarati o vlastitim Standard Contractual Clauses. Europska komisija usvojila ga je u srpnju 2023., a već je nekoliko godina u stvarnoj upotrebi. DPF je treći pokušaj zamjene invalidiranog Privacy Shielda i opet je pred pravnim izazovom pred Sudom pravde Europske unije. Za izdavače koji usmjeravaju EU promet kroz SSP-ove, DSP-ove, alate za analitiku i CMP-ove sa sjedištem u SAD-u, razumijevanje DPF-a — i sloja pristanka koji se nalazi iznad njega — više nije neobavezno. Ovaj vodič objašnjava što DPF zapravo dopušta, kako pristanak na kolačiće uklapa u sliku i operativne korake koji vaše prijenose čine obranjivima ako okvir bude opet ukinut.

Što DPF zapravo radi

DPF je odluka o primjerenosti koju je Europska komisija donijela temeljem članka 45. GDPR-a. Odluka o primjerenosti znači da treća zemlja — u ovom slučaju Sjedinjene Americke Države — osigurava razinu zaštite osobnih podataka koja je u osnovi jednaka onoj u EU-u, ali samo za organizacije koje se pridružuju specifičnom okviru. DPF je taj mehanizam pristupanja. Tvrtke iz SAD-a samocertificiraju se pri Ministarstvu trgovine, obvezuju se na skup načela privatnosti i podvrgavaju izvršavanju FTC-a ili DOT-a tih obveza.

Za EU izdavača, praktični učinak je da se osobni podaci mogu prenijeti DPF-certificiranom dobavljaču iz SAD-a bez zasebnih Standard Contractual Clauses (SCCs), procjena utjecaja prijenosa prilagođenih tom dobavljaču ni dodatnih mjera kakve su bile potrebne nakon presude Schrems II. DPF obavlja teški posao na razini pravne osnove.

Tri stvari koje DPF ne radi, a u kojima se izdavači dosljedno griješe:

Ne zamjenjuje pristanak. Postavljanje nebitnog kolačića EU posjetitelju i dalje zahtijeva pristanak razine GDPR/ePrivacy bez obzira na to gdje podaci završe.
Ne pokriva prijenose necertificiranim dobavljačima iz SAD-a. Ako vaš SSP ili pružatelj analitike nije na aktivnom DPF popisu, i dalje vam trebaju SCCs i TIA.
Ne pokriva prijenose podružnicama iz SAD-a koje posluju izvan certificiranog opsega. Mnogi veliki dobavljači certificiraju samo određene poslovne linije.

Pristanak na kolačiće i dalje je glavna vrata

DPF rješava dio prijenosa putovanja. Ne čini ništa u trenutku kada se postavi kolačić, pročita ID oglasa ili pošalje događaj oznaci. Taj trenutak reguliran je Direktivom o ePrivacy (članak 5(3)) i GDPR-om (članci 6 i 7). Oba zahtijevaju prethodni, informirani, specifični i slobodno dani pristanak za svaki pristup pohrani terminalske opreme koji nije strogo neophodan.

Drugim riječima, čak i ako je svaki dobavljač u vašem stacku DPF-certificiran, i dalje vam treba platforma za upravljanje pristankom koja:

Blokira nebitne kolačiće i oznake prije prikupljanja pristanka.
Prikazuje jasan izbor s jednakovrijednošću odbijanja-svega i prihvaćanja-svega (EDPB je o tome jasan od 2022.).
Bilježi događaj pristanka s vremenskom oznakom otpornom na neovlaštene izmjene i kopijom obavijesti koju je korisnik stvarno vidio.
Prosljeđuje stanje pristanka svakom nizvodnom alatu putem TCF v2.3, Google Consent Mode v2 ili nativnih API-ja dobavljača.

DPF zamjenjuje pravnu osnovu za prijenos; CMP osigurava pravnu osnovu za prikupljanje. Izostavljanje bilo koje strane ostavlja vas izloženima.

Kako provjeriti DPF status dobavljača

Ministarstvo trgovine SAD-a vodi službeni DPF popis na dataprivacyframework.gov. Prije nego što se oslonite na DPF tvrdnju dobavljača, provjerite tri stvari u njihovom unosu.

Status aktivne certifikacije

Certifikacije se moraju obnavljati godišnje. Dobavljač čiji status glasi Neaktivan, Povučen ili Istekao ne može se koristiti kao vaš mehanizam prijenosa, čak i ako njihove marketinške stranice i dalje prikazuju DPF oznaku. Unesite unos u inventar dobavljača i provjerite svako tromjesečje.

Obuhvaćeni entiteti i podružnice

Mnoge holding kompanije certificiraju neke podružnice, a ne druge. Ugovorni entitet u vašem DPA-u mora odgovarati certificiranom entitetu. Uobičajena pogreška je potpisivanje s Acme Marketing UK Ltd dok DPF certifikaciju posjeduje Acme Inc. u Delawareu — tijek podataka tada izlazi iz certificiranog opsega.

Obuhvaćene kategorije podataka

DPF dopušta certifikacije ograničene na samo HR podatke, samo ne-HR podatke ili oboje. Ne-HR certifikacija pokriva vaše oglašivačke i analitičke podatke; certifikacija samo za HR to ne čini. Pažljivo pročitajte unos.

Što učiniti kada dobavljač nije DPF-certificiran

Mnogi korisni dobavljači iz SAD-a — posebno manji igrači u ad-tech industriji i specijalizirani alati za analitiku — nikada se nisu certificirali ili su dopustili da im certifikacija istekne. Za njih je DPF irelevantan i vraćate se na alatni komplet iz razdoblja prije 2023.:

Standard Contractual Clauses (SCCs) — verzije modula 2 ili modula 3 iz 2021., potpisane od obje strane i ugrađene u DPA.
Transfer Impact Assessment (TIA) — analiza specifična za dobavljača o pravu nadzora SAD-a, kategorijama podataka izloženim riziku i tehničkim i organizacijskim mjerama koje smanjuju izloženost.
Dopunske mjere — enkripcija u tranzitu i u mirovanju, pseudonimizacija, ugovorni obvezi transparentnosti i dokumentirani plan odgovora na zahtjeve za pristup vlade SAD-a.

Vodite registar koji navodi svakog dobavljača iz SAD-a u vašem stacku, pravnu osnovu korištenu za svakog (DPF, SCCs, derogacija) i datum najrecentijeg pregleda. Regulatori i revizori tražit će ovaj registar; nepostojanje ga samo po sebi je nalaz.

Rizik Schrems III i kako se pripremiti za budućnost

Zagovornik privatnosti Max Schrems i njegova organizacija NOYB podnijeli su tužbu protiv DPF-a ubrzo nakon njegovog usvajanja, tvrdeći da reforma nadzora SAD-a prema Izvršnoj naredbi EO 14086 još uvijek ne dostiže standarde temeljnih prava EU-a. CJEU upućivanje se široko očekuje, a okvir ima netrivijalnu vjerojatnost da bude ukinut — treći put za dvadeset godina.

Izdavači koji su 2020. tretirali Privacy Shield kao jedini mehanizam prijenosa morali su se kroz noć prestrukturirati kada ga je Schrems II invalidirao. Ista panika može se izbjeći ovaj put tretiranjem DPF-a kao primarnog mehanizma s rezervom spremnom za aktiviranje.

Držite SCCs u svakom DPA-u

Inzistirajte da vaši DPA-ovi uključuju SCCs iz 2021. kao rezervnu klauzulu koja se automatski aktivira ako odluka o primjerenosti DPF-a bude invalidirana ili certifikacija dobavljača istekne. Ovo je sada standardni jezik; ako se dobavljač odbije, to je žuta zastava.

Pokrenite TIA ionako

DPF uklanja zakonsku obvezu TIA-e, ali pokretanje lagane — posebno za dobavljače koji rukuju osjetljivim signalima oglasa ili velikim EU populacijama — daje vam obranjivi dokaz ako okvir propadne. Ponovno koristite isti predložak kod dobavljača kako biste troškove zadržali niskim.

Lokalizirajte gdje matematika funkcionira

Za nekoliko slučajeva upotrebe — analitika prve strane, bihevioralni podaci o prijavljenim korisnicima ili stranice s osjetljivim sadržajem — prelazak na dobavljača smještenog i kontroliranog u EU-u u potpunosti eliminira pitanje prijenosa. Omjer troškova i koristi isplati se samo za tokove visokog rizika ili velikog volumena, ali bi trebao biti na planu kao opcija.

Spajanje DPF-a s vašim CMP-om

Moderni CMP ne provodi DPF izravno — ne postoji GPP ili TCF polje koje kaže "ovaj prijenos je DPF-pokriven". Što CMP mora učiniti jest prikupiti pristanak za svakog dobavljača na način koji podupire dokumentaciju koju će regulatni organ eventualno zatražiti.

Granularnost po dobavljaču

Grupiranje svih dobavljača ad-tech iz SAD-a u jedan "Marketing" prekidač više nije obranjivo. TCF v2.3 popis dobavljača, koji sinkronizira većina certificiranih CMP-ova, pruža svrhe i pravne osnove po dobavljaču. Koristite ga. Kada regulatni organ upita "na kojoj osnovi su osobni podaci protekli dobavljaču X na datum Y", trebali biste moći ukazati na TCF niz, zapis DPF certifikacije i DPA.

Zrcalite obavijest o privatnosti u banneru

Popis primatelja u vašoj obavijesti o privatnosti treba se točno podudarati s popisom dobavljača učitanih nakon pristanka. Nepodudarnosti su najlakša meta izvršavanja — španjolski AEPD i francuski CNIL novčano su kaznili izdavače 2024. za popise dobavljača koji su izostavili aktivne partnere.

Bilježite stanje dobavljača u trenutku pristanka

Pohranjujte, za svaki događaj pristanka, snimak koji dobavljači su bili na TCF GVL-u, koji su bili DPF-certificirani i na kojoj se pravnoj osnovi svaki oslanjao. To je trag revizije koji stresno pismo regulatnog organa pretvara u rutinski odgovor. FlexyConsent i drugi Google-certificirani CMP-ovi nude ovo bilježenje iz kutije; mnogi stariji banneri ne nude.

Praktični popis provjere za migraciju

Ako prelazite s postojeće stranice iz postavki prije DPF-a ili djelomičnog DPF-a na čistu konfiguraciju za 2026., prođite kroz ovaj popis:

Inventarizirajte svakog dobavljača iz SAD-a u vašem upravitelju oznaka, oglasnom stacku i serverskom kontejneru.
Usporedite svakoga s aktivnim DPF popisom. Kategorizirajte kao DPF-pokriveno, SCC-pokriveno ili potrebna akcija.
Ažurirajte DPA-ove da uključuju SCCs iz 2021. kao automatski rezervni plan.
Pokrenite TIA za dobavljače visokog rizika bez obzira na DPF status.
Potvrdite da vaš CMP izlaže korisničko sučelje za pristanak po dobavljaču i podržava TCF v2.3.
Provjerite da je Google Consent Mode v2 spojen na GA4, Ads i sve alate za gubitak signala.
Postavite tromjesečni pregled na kalendar za ponovnu provjeru certifikacija, članstva u GVL-u i verzija DPA-a.
Zajednički informirajte pravni tim i ad ops o tome što se mijenja ako DPF bude invalidiran, kako plan odgovora ne bi bio izmišljan pod pritiskom.

Uobičajene zablude

Nekoliko pogrešaka ponavlja se u revizijama izdavača i zahtijeva eksplicitnu ispravku.

"DPF-certificiran znači da nam ne treba pristanak." Ne. DPF je mehanizam prijenosa. Pristanak je zahtjev prikupljanja. Nalaze se na različitim pravnim slojevima.

"Naš CDN je sa sjedištem u SAD-u, dakle DPF ga pokriva." Samo ako je CDN sam DPF-certificiran za relevantne kategorije podataka. Mnogi pružatelji infrastrukture nude EU regije koje u potpunosti izbjegavaju pitanje.

"Dobavljač X kaže da su DPF-spremni." Marketinški jezik. Provjerite službeni popis, naziv certificiranog entiteta i kategorije podataka.

"DPF zamjenjuje banner kolačića." Ne. Pravilo prethodnog pristanka Direktive o ePrivacy neovisno je o pravilima prijenosa GDPR-a. Oba se primjenjuju.

Zaključak

DPF čini transatlantski ad-tech operativno jednostavnijim u 2026. nego što je bio 2021., ali ne oslobađa izdavače od pristanka na kolačiće, marljivosti prema dobavljačima ni dokumentacije prijenosa. Tretirajte DPF kao jedan valjani mehanizam prijenosa među nekoliko, držite SCCs kao ugovorni rezervni plan, pokrenite CMP koji bilježi pristanak po dobavljaču u odnosu na održavani inventar dobavljača i pretpostavite da je pravna stabilnost okvira uvjetna. Izdavači koji sada izgrade tu otpornost neće morati prestrukturirati sustav preko noći ako presuda Schrems III padne kao što su pale prethodne dvije. Oni koji DPF tretiraju kao trajni odgovor pripremaju se za istu paniku koja je uslijedila nakon invalidacije Privacy Shielda — samo što ovaj put regulatori imaju manje strpljenja, a kazne su veće.