შესაბამისობა25 მაისი, 2026 | FlexyConsent

EU-US მონაცემთა კონფიდენციალურობის ჩარჩო (DPF) — Cookie-ის თანხმობის სახელმძღვანელო გამომცემლებისთვის 2026 წელს

EU-US მონაცემთა კონფიდენციალურობის ჩარჩო (DPF) არის სამართლებრივი სტრუქტურა, რომელიც ევროპულ პერსონალურ მონაცემებს — cookie-ის იდენტიფიკატორების, IP-მისამართების, ჰეშირებული ელფოსტების და სარეკლამო მოთხოვნის პაკეტების ჩათვლით — აძლევს სა,შუალებას, გადაეცეს აშშ-ში დაფუძნებულ ვენდორებს, ყოველი გამომცემლის მიერ ინდივიდუალური Standard Contractual Clauses-ის მოლაპარაკების გარეშე. მიღებული ევროპის კომისიის მიერ 2023 წლის ივლისში და რეალურ გამოყენებაში რამდენიმე წლის მქონე, DPF არის მესამე მცდელობა გაუქმებული Privacy Shield-ის შეცვლისა, და კვლავ სამართლებრივ გამოწვევას ექვემდებარება ევროკავშირის მართლმსაჯულების სასამართლოში. EU-ტრაფიკს აშშ-ში დაფუძნებული SSP-ების, DSP-ების, ანალიტიკის ინსტრუმენტებისა და CMP-ების მეშვეობით მიმღები გამომცემლებისთვის DPF-ის გაგება — და მის თავზე განლაგებული თანხმობის ფენა — აღარ არის სურვილისამებრ. ეს სახელმძღვანელო განმარტავს, რას ნამდვილად ანიჭებს DPF ნებართვას, როგორ ჯდება cookie-ის თანხმობა, და რა ოპერაციული ნაბიჯები ინარჩუნებს თქვენს გადაცემებს დამცველ მდგომარეობაში, თუ ჩარჩო კვლავ გაუქმდება.

რას ნამდვილად აკეთებს DPF

DPF არის ადეკვატურობის გადაწყვეტილება, გამოცემული ევროპის კომისიის მიერ GDPR-ის 45-ე მუხლის საფუძველზე. ადეკვატურობის გადაწყვეტილება ამბობს, რომ მესამე ქვეყანა — ამ შემთხვევაში შეერთებული შტატები — უზრუნველყოფს პერსონალური მონაცემების დაცვის დონეს, რომელიც არსებითად ეკვივალენტია EU-ის, მაგრამ მხოლოდ იმ ორგანიზაციებისთვის, რომლებიც ირჩევენ კონკრეტულ ჩარჩოში ჩართვას. DPF არის ეს opt-in მექანიზმი. აშშ-ის კომპანიები თვით-სერტიფიცირებას ახდენენ Commerce-ის დეპარტამენტში, ვალდებულებას კისრულობენ კონფიდენციალურობის პრინციპების ნაკრების მიმართ და ხდებიან FTC-ის ან DOT-ის მიერ ამ ვალდებულებების აღსრულების ქვეშ.

EU-ის გამომცემლისთვის პრაქტიკული შედეგია ის, რომ პერსონალური მონაცემები შეიძლება გადაეცეს DPF-სერტიფიცირებულ აშშ-ის ვენდორს ცალკე Standard Contractual Clauses (SCCs)-ის, ამ ვენდორზე მორგებული Transfer Impact Assessment-ების ან Schrems II-ის გადაწყვეტილების შემდეგ საჭირო სახის დამატებითი ღონისძიებების გარეშე. DPF სამართლებრივი საფუძვლის ფენაზე ახდენს მძიმე სამუშაოს.

სამი რამ, რასაც DPF არ აკეთებს და რაც გამომცემლებს სისტემატურად ეშლებათ:

ის არ ცვლის თანხმობას. EU-ს ვიზიტორზე არასაჭირო cookie-ის განთავსება კვლავ მოითხოვს GDPR/ePrivacy-ის დონის თანხმობას, განურჩევლად იმისა, სად მთავრდება მონაცემები.
ის არ მოიცავს სერტიფიცირებულ ვენდორებზე გადაცემებს. თუ თქვენი SSP ან ანალიტიკის პროვაიდერი აქტიური DPF-ის სიაში არ არის, თქვენ კვლავ გჭირდებათ SCCs და TIA.
ის არ მოიცავს სერტიფიცირებული სფეროს გარეთ მოქმედ აშშ-ის შვილობილ კომპანიებზე გადაცემებს. მრავალი დიდი ვენდორი მხოლოდ გარკვეულ ბიზნეს-ხაზებს სერტიფიცირებს.

Cookie-ის თანხმობა კვლავ მთავარი კარია

DPF გადაადგილების სამართლებრივ ნაწილს წყვეტს. ის არაფერს აკეთებს იმ მომენტის გამო, როდესაც cookie განთავსდება, სარეკლამო ID იკითხება ან ივენტი ეგზავნება ტეგს. ეს მომენტი რეგულირდება ePrivacy-ის დირექტივით (5(3) მუხლი) და GDPR-ით (6 და 7 მუხლები). ორივე მოითხოვს წინასწარ, ინფორმირებულ, სპეციფიკურ და თავისუფლად მოცემულ თანხმობას ტერმინალური მოწყობილობის მეხსიერებაზე ნებისმიერი არასტრიქტად საჭირო წვდომისთვის.

სხვა სიტყვებით, მაშინაც კი, თუ თქვენს სტეკში ყველა ვენდორი DPF-სერტიფიცირებულია, კვლავ გჭირდებათ Consent Management Platform, რომელიც:

ბლოკავს არასაჭირო cookie-ებსა და ტეგებს თანხმობის მიღებამდე.
წარუდგენს მკაფიო არჩევანს ყველაფრის-უარყოფა/ყველაფრის-მიღება პარიტეტით (EDPB ამაზე 2022 წლიდან ნათლად საუბრობს).
ჩაიწერს თანხმობის ივენტს გამძლე ტაიმსტამპით და მომხმარებლის რეალურად დანახული შეტყობინების ასლით.
გადასცემს თანხმობის სტატუსს ყველა downstream ინსტრუმენტს TCF v2.3, Google Consent Mode v2 ან ვენდორ-ნატივ API-ების მეშვეობით.

DPF ცვლის გადაცემის სამართლებრივ საფუძველს; CMP უზრუნველყოფს შეგროვების სამართლებრივ საფუძველს. რომელიმე მხარის გამოტოვება გიქმნით სისუსტეს.

ვენდორის DPF-სტატუსის შემოწმება

აშშ-ის Commerce-ის დეპარტამენტი ინარჩუნებს ოფიციალურ DPF-სიას dataprivacyframework.gov-ზე. ვენდორის DPF-მტკიცებაზე დაყრდნობამდე, მათ ჩანაწერში სამ რამეს შეამოწმეთ.

სერტიფიკაციის აქტიური სტატუსი

სერტიფიკაციები ყოველწლიურად უნდა განახლდეს. ვენდორი, რომლის სტატუსი Inactive, Withdrawn ან Lapsed-ს ამბობს, არ შეიძლება სანდო გადაცემის მექანიზმად ჩაითვალოს, მაშინაც კი, თუ მათი მარქეთინგული გვერდები კვლავ DPF-ბეჯს აჩვენებს. ჩანაწერი შეიტანეთ ვენდორის ინვენტარში და კვარტალურად კვლავ შეამოწმეთ.

დაფარული ერთეულები და შვილობილი კომპანიები

მრავალი ჰოლდინგ-კომპანია ზოგიერთ შვილობილ კომპანიას სერტიფიცირებს და სხვებს — არა. თქვენს DPA-ში სახელშეკრულებო ერთეული უნდა შეესაბამებოდეს სერტიფიცირებულ ერთეულს. ჩვეულებრივი შეცდომა არის Acme Marketing UK Ltd-თან ხელშეკრულება, როდესაც DPF-სერტიფიკატი Acme Inc.-ს უჭირავს Delaware-ში — მონაცემთა ნაკადი მაშინ სერტიფიცირებული სფეროდან გადის.

დაფარული მონაცემების კატეგორიები

DPF საშუალებას იძლევა, სერტიფიკაციები შეიზღუდოს მხოლოდ HR მონაცემებით, მხოლოდ არა-HR მონაცემებით ან ორივეთი. მხოლოდ არა-HR სერტიფიკაცია მოიცავს თქვენს სარეკლამო და ანალიტიკის მონაცემებს; მხოლოდ HR სერტიფიკაცია — არა. ჩანაწერი ყურადღებით წაიკითხეთ.

რა გავაკეთოთ, როდესაც ვენდორი DPF-სერტიფიცირებული არ არის

ბევრი სასარგებლო აშშ-ის ვენდორი — განსაკუთრებით პატარა ad-tech-მოთამაშეები და ნიშ-ანალიტიკის ინსტრუმენტები — არასდროს სერტიფიცირებულა ან გაანება სერტიფიკაციის ვადა. მათთვის DPF შეუსაბამოა და 2023 წლამდელ ინსტრუმენტებს უბრუნდებით:

Standard Contractual Clauses (SCCs) — 2021 წლის მოდული-2 ან მოდული-3 ვერსიები, ორივე მხარის მიერ ხელმოწერილი და DPA-ში ჩართული.
Transfer Impact Assessment (TIA) — ვენდორ-სპეციფიკური ანალიზი აშშ-ის სათვალთვალო კანონმდებლობის, რისკის ქვეშ მყოფი მონაცემების კატეგორიებისა და ექსპოზიციის შემარბილებელი ტექნიკური და ორგანიზაციული ღონისძიებების შესახებ.
დამატებითი ღონისძიებები — ტრანსფერის და შენახვის დროს დაშიფვრა, ფსევდო-ანონიმიზაცია, სახელშეკრულებო გამჭვირვალობის ვალდებულებები და აშშ-ის მთავრობის წვდომის მოთხოვნებზე დოკუმენტირებული პასუხის გეგმა.

შეინახეთ რეგისტრი, სადაც ჩამოთვლილია თქვენს სტეკში ყველა აშშ-ის ვენდორი, თითოეულისთვის გამოყენებული სამართლებრივი საფუძველი (DPF, SCCs, გამონაკლისი) და ბოლო მიმოხილვის თარიღი. რეგულატორები და აუდიტორები ამ რეგისტრს მოიხმობენ; მისი არარსებობა თავისთავად დასკვნაა.

Schrems III-ის რისკი და მომავლისთვის გამძლეობა

კონფიდენციალურობის ადვოკატი Max Schrems-მა და მის ორგანიზაციამ NOYB-მა DPF-ის მიღებიდან მალევე სარჩელი შეიტანა, ამტკიცებს, რომ აშშ-ის სათვალთვალო რეფორმა Executive Order 14086-ის ფარგლებში კვლავ ჩამოუვარდება EU-ის ფუნდამენტური უფლებების სტანდარტებს. CJEU-ზე გადაგზავნა ფართოდ მოსალოდნელია, და ჩარჩოს გაუქმების ალბათობა უმნიშვნელო არ არის — ეს იქნება მესამე ოცი წლის განმავლობაში.

გამომცემლები, რომლებმაც 2020 წელს Privacy Shield ერთადერთ გადაცემის მექანიზმად მიიჩნიეს, ერთ ღამეში მომუშავე გახდნენ, როდესაც Schrems II-მ ის გააუქმა. იგივე სირბილი ამჯერად თავიდან ასაცილებელია, თუ DPF-ს მთავარ მექანიზმად გავიხილავთ მზადმყოფ სარეზერვო ვარიანტთან ერთად.

SCCs-ის შენარჩუნება ყველა DPA-ში

დაჟინებით მოითხოვეთ, რომ თქვენს DPA-ებს 2021 წლის SCCs-ი ჰქონდეთ, როგორც სარეზერვო კლაუზა, რომელიც ავტომატურად ამოქმედდება, თუ DPF-ის ადეკვატურობის გადაწყვეტილება გაუქმდება ან ვენდორის სერტიფიკაცია ამოიწურება. ეს ახლა სტანდარტული ენა გახდა; თუ ვენდორი უარს ამბობს, ეს გამაფრთხილებელი სიგნალია.

TIA-ს ჩატარება მიუხედავად ამისა

DPF TIA-ს სამართლებრივ მოთხოვნას გამორიცხავს, მაგრამ მსუბუქი ვარიანტის ჩატარება — განსაკუთრებით მგრძნობიარე სარეკლამო სიგნალებთან ან EU-ს დიდ პოპულაციებთან მომუშავე ვენდორებისთვის — გაძლევთ დაცულ დოკუმენტაციას, თუ ჩარჩო დაინგრა. გამოიყენეთ ერთი და იგივე შაბლონი ვენდორებზე, რათა ხარჯი დაბალი შეინარჩუნოთ.

ლოკალიზება, სადაც ანგარიში გამოდის

რამდენიმე სამოყენებლო შემთხვევისთვის — პირველი მხარის ანალიტიკა, შესული მომხმარებლების ქცევის მონაცემები, ან მგრძნობიარე შინაარსის საიტები — EU-ში განთავსებული, EU-ის კონტროლს დაქვემდებარებული ვენდორზე გადასვლა სრულად გამორიცხავს გადაცემის კითხვას. ხარჯ-სარგებლის ანგარიში მხოლოდ მაღალი რისკის ან მაღალი მოცულობის ნაკადებისთვის გამოდის, მაგრამ ის გეგმაში ვარიანტად უნდა იყოს.

DPF-ის თქვენს CMP-ში ინტეგრაცია

თანამედროვე CMP DPF-ს პირდაპირ არ ახდენს — GPP ან TCF ველი, რომელიც ეტყვის "ეს გადაცემა DPF-ით არის დაფარული", არ არსებობს. CMP-ს გასაკეთებელია თანხმობის შეგროვება თითოეული ვენდორისთვის ისე, რომ მხარი დაუჭიროს იმ დოკუმენტაციას, რომელსაც რეგულატორი საბოლოოდ მოითხოვს.

ვენდორ-გრანულარობა

ყველა აშშ-ის ad-tech ვენდორის ერთ "Marketing" ღილაკში გაერთიანება აღარ არის დასაცველი. TCF v2.3-ის ვენდორების სია, რომელიც CMP-ის უმეტესობა სინქრონიზებს, ვენდორ-დონის მიზნებს და სამართლებრივ საფუძვლებს იძლევა. გამოიყენეთ. როდესაც რეგულატორი ეკითხება "რა საფუძველზე გადავიდა პერსონალური მონაცემები X ვენდორთან Y თარიღს", TCF სტრინგზე, DPF სერტიფიკაციის ჩანაწერსა და DPA-ზე მითითება უნდა შეეძლოთ.

კონფიდენციალურობის შეტყობინება ბანერში ასახეთ

თქვენი კონფიდენციალურობის შეტყობინებაში მიმღებების სია ზუსტად უნდა ემთხვეოდეს თანხმობის შემდეგ ჩატვირთული ვენდორების სიას. შეუსაბამობა ყველაზე მარტივი სამიზნეა — ესპანეთის AEPD-მა და საფრანგეთის CNIL-მა ორივემ 2024 წელს გამომცემლები დააჯარიმეს ვენდორების სიებისთვის, რომლებიც აქტიურ პარტნიორებს გამოტოვებდა.

ვენდორის სტატუსის ლოგი თანხმობის დროს

შეინახეთ, თითოეული თანხმობის ივენტისთვის, სნეპშოტი — რომელი ვენდორები იყო TCF GVL-ში, რომელი იყო DPF-სერტიფიცირებული და რომელ სამართლებრივ საფუძველს ეყრდნობოდა თითოეული. ეს არის სარევიზიო ბილიკი, რომელიც სტრესულ რეგულატორის წერილს ჩვეულებრივ პასუხად გარდაქმნის. FlexyConsent და სხვა Google-სერტიფიცირებული CMP-ები ამ ლოგინგს out-of-the-box გვთავაზობენ; ბევრი ძველი ბანერი — არ სთავაზობს.

პრაქტიკული მიგრაციის ჩეკლისტი

თუ არსებულ საიტს გადაჰყავხართ DPF-წინარე ან ნაწილობრივ DPF-კონფიგურაციიდან სუფთა 2026 კონფიგურაციაში, ამ სიას გაიარეთ:

ჩათვლეთ ყველა აშშ-ის ვენდორი თქვენი ტეგ-მენეჯერში, სარეკლამო სტეკში და სერვერ-სიდ კონტეინერში.
ყველა შეადარეთ აქტიური DPF-სიასთან. კლასიფიცირეთ, როგორც DPF-დაფარული, SCC-დაფარული ან საჭიროებს მოქმედებას.
განაახლეთ DPA-ები 2021 წლის SCCs-ის ავტომატური სარეზერვო სახით შესართავად.
ჩაატარეთ TIA მაღალი რისკის ვენდორებისთვის DPF-სტატუსის მიუხედავად.
დაადასტურეთ, რომ თქვენი CMP ვენდორ-დონის თანხმობის UI-ს გამოავლენს და TCF v2.3-ს მხარს უჭერს.
შეამოწმეთ, რომ Google Consent Mode v2 GA4-ში, Ads-ში და ნებისმიერ სიგნალ-დანაკლის ინსტრუმენტში არის ჩართული.
დანიშნეთ კვარტალური მიმოხილვა კალენდარში სერტიფიკაციების, GVL-წევრობისა და DPA-ვერსიების ხელახალი შემოწმებისთვის.
სამართლებრივი გუნდი და ad ops გუნდი ერთად გააცანით, რა შეიცვლება DPF-ის გაუქმების შემთხვევაში, რათა პასუხის გეგმა ზეწოლის ქვეშ არ გამომუშავდეს.

გავრცელებული მცდარი შეხედულებები

გამომცემლების აუდიტებში რამდენიმე შეცდომა მეორდება და პირდაპირ გასწორებას საჭიროებს.

„DPF-სერტიფიცირება ნიშნავს, რომ ჩვენ თანხმობა არ გვჭირდება." არა. DPF გადაცემის მექანიზმია. თანხმობა შეგროვების მოთხოვნაა. ისინი სხვადასხვა სამართლებრივ ფენაზე სხედან.

„ჩვენი CDN აშშ-ზეა დაფუძნებული, ამიტომ DPF მოიცავს." მხოლოდ თუ CDN თავად DPF-სერტიფიცირებულია შესაბამისი მონაცემების კატეგორიებისთვის. ბევრი ინფრასტრუქტურის პროვაიდერი EU-რეგიონებს სთავაზობს, რომლებიც კითხვას სრულად გვერდს გვაივლის.

„X ვენდორი ამბობს, რომ ისინი DPF-ready-ნი არიან." მარქეთინგული ენა. შეამოწმეთ ოფიციალური სია, სერტიფიცირებული ერთეულის სახელი და მონაცემების კატეგორიები.

„DPF cookie-ბანერს ანაცვლებს." არა. ePrivacy-ის დირექტივის წინასწარი-თანხმობის წესი GDPR-ის გადაცემის წესებისგან დამოუკიდებელია. ორივე ვრცელდება.

საბოლოო დასკვნა

DPF 2026 წლის ატლანტიკური ad-tech-ის ოპერაციებს 2021 წელთან შედარებით უფრო მარტივს ხდის, მაგრამ გამომცემლებს cookie-ის თანხმობის, ვენდორის გამოკვლევის ან გადაცემის დოკუმენტაციისგან არ ათავისუფლებს. მოეკიდეთ DPF-ს, როგორც ერთ მოქმედ გადაცემის მექანიზმს სხვათა შორის, შეინახეთ SCCs, როგორც სახელშეკრულებო სარეზერვო, გაუშვით CMP, რომელიც შენარჩუნებული ვენდორის ინვენტარის საწინააღმდეგოდ ვენდორ-დონის თანხმობას ლოგავს, და დაუშვათ, რომ ჩარჩოს სამართლებრივი სტაბილურობა პირობადებულია. გამომცემლები, რომლებიც ახლა ამ გამძლეობას ააშენებენ, ერთ ღამეში ხელახლა არ დაარქიტექტებენ, თუ Schrems III-ის გადაწყვეტილება ისე დაეშვება, როგორც წინა ორი. ვინც DPF-ს მუდმივ პასუხად მიიჩნევს, Privacy Shield-ის გაუქმების შემდეგ სიამხანაგისთვის ამზადებს — მხოლოდ ამჯერად რეგულატორები ნაკლებად მომთმენნი არიან, ხოლო ჯარიმები — უფრო დიდი.