2026 жылы келісім журналдары мен аудит іздері: реттеушілер тергеу кезінде нені көруді сұрайтыны туралы баспагерлер нұсқаулығы
Cookie келісімінің сәйкестігі дерлік әрқашан баннер дизайны мәселесі ретінде талқыланады: «Қабылдау» және «Қабылдамау» түймелерінің орналасуы, мақсат деңгейіндегі ауыстырып-қосқыштардың сыртқы түрі, құпиялылық туралы хабарламаның мазмұны. Мұның бәрі маңызды — бірақ 2026 жылға қарай сәйкестіктің дәлел іздерінің жағы кем дегенде бірдей маңызды болды және нақты тергеуге тап болатын баспагерлер үшін бұл жиі шешуші фактор болып табылады. Пайдаланушы интерфейсі деңгейінде келісімді мінсіз алатын, бірақ пайдаланылатын келісім журналын немесе аудит ізін қалдырмайтын келісім баннері реттеуші дәлелдерге ресми сұрау жіберген кезде іс жүзінде мәнсіз болып табылады. 2024–2025 жылдардағы еуропалық мәжбүрлеу шараларының толқыны реттеушілердің қазір бұл дәлелдерді әдепкі бойынша сұрайтынын айқын етті — нақты шағым болған кезде ғана емес, жүйелі тексерулердің, кездейсоқ тексерулердің және салалық тексерулердің бөлігі ретінде де. Бұл нұсқаулық 2026 жылы келісім журналдарының шын мәнінде нені қамтуы керектігін, тергеу кезінде аудиторлардың нені сұрайтынын, тексеруге төтеп беретін нақты дәлел форматтарын, конфиденциалдылық мәселесіне айналмай қажетті дәлелдерді жасайтын журналдау жүйесін қалай жасақтауды, сондай-ақ сәйкес келетін бағдарламаларды мәжбүрлеу іс-әрекеттерінде тек дәлел негіздерінде жеңіліске ұшырататын жалпы сәтсіздік режимдерін қарастырады.
Келісім журналдары неге кенеттен маңызды болды
Реттеушінің дәлел күтулері 2024 және 2025 жылдары көп баспагерді таңғалдырған жолмен артты. Үш нақты тенденция өзгерісті түсіндіреді.
Дизайнды қарастырудан дәлелді қарастыруға ауысу
GDPR-дің алғашқы орындалуы (шамамен 2018–2022) баннер дизайнына баса назар аударды: баннер «Қабылдау» мен «Қабылдамауды» бірдей айқын ұсынатынына, құпиялылық хабарламасының жеткіліктілігіне, мақсаттардың жеткілікті егжей-тегжейлілігіне. 2023–2025 жылдардағы кезең дәлелді қарастыруға маңызды ауысты: белгілі бір күні белгілі бір юрисдикция үшін жинаған келісім сигналдарының үлгісін көрсете аласыз ба, кіру өтінімін берген нақты пайдаланушының келісім жазбасын ұсына аласыз ба, келісім күйінің төменгі ағын жеткізушілерге дұрыс берілгенін дәлелдей аласыз ба.
EDPB-нің 2024 жылғы нұсқаулығы
EDPB-нің есептілік пен жазбаларды сақтау туралы 2024 жылғы нұсқаулығы бақылаушылар сұраныс бойынша сәйкестікті дәлелдеу үшін жеткілікті дәлелдерді сақтауы керек екенін нақтылады. Келісімге негізделген өңдеу үшін бұл әрбір өңдеу қызметі үшін жарамды келісімнің алынғанын дәлелдеуге жеткілікті дәлелдерді білдіреді. Нұсқаулық келісімді журналдауды «болса жақсы» жедел мүмкіндіктен нақты реттеуші күтуге дейін жоғарылатты.
Деректер субъектісінің құқықтары көлемінің артуы
Деректер субъектісіне кіру өтінімдері мен жою өтінімдері 2024 және 2025 жылдары айтарлықтай өсті. Мұндай өтінімдердің үлкен көлемін алатын баспагерлерге пайдаланушы идентификаторы, күн ауқымы және өңдеу мақсаты бойынша сұрауға болатын келісім журналдары қажет — ал сұрау өнімділігі 30 күндік жауап мерзімін қолдауы керек.
Реттеуші шын мәнінде нені сұрайды
Тергеу кезінде реттеушілердің нені сұрайтынын түсіну журналдың нені қамтуы керектігін түсінудің ең таза жолы болып табылады.
Стандартты дәлел сұрауы
Тергеу кезінде типтік дәлел сұрауы, басқа нәрселермен қатар, мыналарды сұрайды:
- Белгілі бір күн ауқымын, әдетте 30-дан 90 күнге дейін қамтитын келісім жазбаларының үлгісі
- Сол күн ауқымы кезінде қолданыста болған құпиялылық хабарламасының мәтіні
- Сол күн ауқымы кезінде қолданыста болған CMP конфигурациясы, соның ішінде жеткізушілер тізімі, мақсаттар тізімі және баннер дизайны
- Келісім күйінен төменгі ағын жеткізушісінің тегін іске қосуға дейінгі картографиялау
- Кіру немесе шағым өтінімдерін берген нақты пайдаланушылардың келісім жазбалары
- Келісім жылдамдықтарының юрисдикция, құрылғы түрі және мақсат бойынша бөліністері
- Келісімнен бас тарту оқиғаларының төменгі ағын процессорларына таратылғанының дәлелі
Сот-сараптамалық тереңдік сұрауы
Жоғарылаған тергеулерде реттеушілер сот-сараптамалық деңгейдегі мәліметтерді сұрайды, оның ішінде: нақты әсерлер үшін шикі TCF жолы, сол кездегі жеткізушілердің толық тізімі, CMP конфигурациясының өзгерістерінің аудит журналы, нақты уақыт белгілері үшін төменгі ағын тегін іске қосу журналдары және нақты деректер ағындары үшін шекарааралық аударым жазбалары. Журналдау бұл егжей-тегжей деңгейін қолдамайтын баспагерлерге сендіруші жауап беру қиын.
Уақыт қысымы
Дәлел сұраулары әдетте қысқа жауап мерзімдерімен келеді — бастапқы жауаптар үшін 14-тен 30 күнге дейін типтік, кейінгі сұраулар жиі қысқа мерзімдерде. Сұралған дәлелдерді жасау үшін арнайы инженерия қажет ететін журналдау архитектурасы бұл мерзімге қатысты айтарлықтай жағымсыз жағдайда.
Журнал нені қамтуы керек
2026 жылғы деңгейдегі келісім журналы деректердің бірнеше нақты санатын қамтиды, олардың әрқайсысы әртүрлі реттеуші сұрақты шешеді.
Пайдаланушы бойынша келісім жазбасы
Келісім баннерімен өзара әрекеттескен әрбір пайдаланушы үшін журнал мыналарды жазуы керек: субъектіге кіру өтінімімен салыстыруға болатын анонимдендірілген пайдаланушы идентификаторы, келісім шешімінің уақыт белгісі, өзара әрекеттесу кезінде анықталған юрисдикция, баннерде ұсынылған тіл, қабылданған және қабылданбаған нақты мақсаттар, қолданыста болған жеткізушілер тізімі, қолданыста болған құпиялылық хабарламасының нұсқасы, қолданыста болған CMP нұсқасы және қолданылатын жерде алынған TCF немесе GPP жолы.
Конфигурация тарихы
Пайдаланушы жазбаларымен қатар журнал конфигурация контекстін жазуы керек: әрбір нүктеде қандай баннер дизайны белсенді болды, қандай жеткізушілер тізімі, қандай мақсаттар тізімі, құпиялылық хабарламасының қандай нұсқасы. Бұл тергеушілерге нақты келісімнің нақты конфигурация астында жазылғанын конфигурацияны сыртқы көздерден қалпына келтірмей растауға мүмкіндік береді.
Төменгі ағын таралу жазбасы
Журнал әрбір келісім күйінің төменгі ағын жеткізушілеріне — TCF беру, сервер жағындағы келісім API шақырулары немесе балама механизмдер арқылы — сәтті таратылғанын жазуы керек. Тарату олқылықтары тергеулердегі ең жалпы тұжырымдардың бірі болып табылады.
Бас тарту жазбасы
Келісімнен бас тарту оқиғалары келісімді жазумен бірдей қаталдықпен журналдануы керек: уақыт белгісі, пайдаланушы идентификаторы, бұрынғы келісім күйі және төменгі ағын жеткізушілеріне тарату. Бас тарту оқиғалары жиі шағымға негізделген тергеулердің назарында болады.
Шекарааралық аударым журналы
Жеке деректер пайдаланушының туған юрисдикциясынан тыс юрисдикцияларға ағатын жерде журнал қолданыста болған аударым механизмін (SCCs, жеткіліктілік, BCRs, келісімге негізделген ерекшелік), қарсы тарапты және мақсатты жазуы керек.
Журналдау жүйесін жобалау
Келісімді журналдау жүйесінің өзі жеке деректерді өңдеу қызметі болып табылады және архитектура дәлел талаптарына да, конфиденциалдылыққа байланысты салдарларға да жауап беруі керек.
Жалған есімдендірілген пайдаланушы идентификаторы
Пайдаланушы бойынша журнал жазулары шикі жеке идентификатордың орнына жалған есімдендірілген идентификаторды пайдалануы керек. Жалған есімнен нақты идентификаторға дейінгі картографиялау бөлек, қатаң кіру-бақыланатын кестеде сақталады және тек нақты деректер субъектісі сұрауы талап еткенде біріктіріледі.
Тек қосу жазбасы
Келісім журналы жазулары тұтастықты қамтамасыз ету үшін сақтау деңгейінде тек қосу болуы керек. Өзгертулер немесе жоюлар бар жазбалардың мутацияларының орнына жаңа оқиғалар ретінде жазылуы керек. Бұл post-hoc бұрмалауды болдырмайды және журналдың дәлел салмағын сақтайды.
Сақтаудың кернеуі
Келісім жазбалары тергеулерді қолдау үшін жеткілікті уақыт сақталуы керек (әдетте кемінде 2–3 жыл, шектеу мерзімдері ұзағырақ жерде ұзағырақ сақтаумен), бірақ сақтаудың өзі деректерді қорғау мәселесіне айналатындай ұзаққа созылмауы керек. 2026 жылғы прагматикалық үлгі — бірінші бір-екі жыл ішінде толық жазбаны сақтау, содан кейін жазбалар ескерген сайын бірте-бірте одан әрі жалған есімдендіру және жинақтау.
Экспорт және сұрату мүмкіндіктері
Журнал құрылымдалған форматтарға (әдетте JSON, CSV немесе Parquet) экспорттауды және пайдаланушы идентификаторы, күн ауқымы, юрисдикция және мақсат сияқты жалпы өлшемдер бойынша сұрауды қолдауы керек. Тек арнайы инженерия арқылы ғана сұралатын журналдар тергеу кезінде айтарлықтай жағымсыз жағдайда.
Кіруді басқару ұстанымы
Келісім журналына кіру өзі де сезімтал болып табылады. Тек уәкілетті қызметкерлер ғана журналды сұрай алатындай болуы керек, барлық сұраулардың өзі де журналдануы керек, ал кіру үнемі журналдануы және тексерілуі керек.
Жалпы сәтсіздік режимдері
Келісімді журналдаудың сәтсіздіктері болжамды үлгілерді ұстанады.
- Конфигурация контекстінің болмауы — пайдаланушы жазбалары бар, бірақ сол кезде қолданыста болған құпиялылық хабарламасы мен баннер конфигурациясы сенімді түрде қайта жасалынбайды
- Жеткіліксіз егжей-тегжейлілік — жазбалар мақсат бойынша бөліністің немесе жеткізушілер тізімінің логикалық булевтік мәнін ғана жазады
- Төменгі ағын таралу дәлелі жоқ — келісім жазылды, бірақ оның төменгі ағын жеткізушілеріне дұрыс жеткені туралы жазба жоқ
- CMP миграциялары кезіндегі олқылықтар — CMP жеткізушісі өзгергенде тарихи журнал дұрыс ауысуы орындалмады, бұрынғы кезеңде дәлел олқылықтарын қалдырды
- Деректер субъектісінің өтінімдері үшін кері айналдыруға болмайтын жалған есімдендіру — журнал дұрыс жалған есімдендірілген, бірақ нақты идентификаторларға картографиялау сақталмаған, сондықтан журналдан кіру өтінімдеріне жауап беруге болмайды
- Сақтау мерзімі тым қысқа — журналдар 90 күн немесе одан аз сақталады, баспагер бұрын болған келісім туралы сұрақтарға жауап бере алмайды
- Минимизациясыз тым ұзақ сақтау — толық егжей-тегжейлі журналдар жалған есімдендіру немесе минимизациясыз жылдар бойы сақталады, бұл өз алдына деректерді қорғау мәселесін туғызады
- Бас тарту журналданбаған — келісімді жазу журналданады, бірақ келісімнен бас тарту журналданбайды, сондықтан аудит ізі толық емес
CMP интеграциясы мәселесі
Баспагерлердің көпшілігі келісімді журналдау үшін CMP провайдеріне сенеді, ал CMP журналдауының сапасы жиі дәлел дайындығындағы шешуші фактор болып табылады.
CMP-де нені іздеу керек
2026 жылғы күтулерге сай CMP мыналарды ұсынады: толық мақсат деңгейіндегі егжей-тегжеймен пайдаланушы бойынша келісім жазбалары, уақыт белгісімен нұсқалау арқылы конфигурация тарихы, төменгі ағын таралуының растамасы, стандартты форматтарда экспорт, пайдаланушы идентификаторы бойынша сұрауды қолдау және реттеуші күтулерге сай сақтау саясаттары.
Тасымалдаушылық мәселесі
Егер CMP провайдерін ауыстырсаңыз, тарихи келісім журналын жаңа CMP қабылдай алатын форматта немесе кем дегенде өз бетіңізше мұрағаттай алатын форматта экспорттай аласыз ба? Журнал форматы оларды платформаларына байлайтын CMP провайдермен қарым-қатынас даулы болған жағдайда тергеу кезінде тәуекел болып табылады.
Google сертификациясымен қабаттасу
Google-дің CMP сертификациялау процесі журналдау талаптарының кейбірін, бірақ барлығын емес, шешеді. Сертификация CMP-нің жарамды TCF жолдарын жасайтынын және Google Consent Mode v2-мен интеграцияланатынын қамтамасыз етеді, бірақ келісім журналын сақтаудың тереңдігі, экспорт форматын қолдау және төменгі ағын таралуының растамасы сертификатталған CMP арасында өзгереді.
Деректер субъектісінің өтінімдерін интеграциялау
Келісім журналдары деректер субъектісінің құқықтары жұмыс процестеріне негізгі кіріс болып табылады. Кіру өтінімдері келісім тарихын қайтаруы, жою өтінімдері келісім жазбаларын жоюы (жоюдың өзінің дәлел жазбасын сақтай отырып), ал тасымалдаушылық өтінімдері келісім деректерін құрылымдалған форматта экспорттауы керек.
Сақтаудың парадоксы
Қайталанатын шиеленіс бар: жою өтінімі жеке деректерді жоюды талап етеді, бірақ келісім шешімінің дәлел журналының өзі жеке деректер болып табылады. 2026 жылғы жұмыс үлгісі — енді қажет емес анықтаушы мәліметтерді жойып, жалған есімдендірілген дәлел жазбасын (келісімнің бар болғанын және кейіннен кері қайтарылғанын дәлелдейтін) сақтау.
30 күндік мерзім
Деректер субъектісінің өтінімдері әдетте 30 күн ішінде жауап беруді талап етеді, ал келісім журналы сол мерзімде қажетті дәлелдерді жасайтын сұрауларды қолдауы керек. Сұрау үшін бірнеше күндік қолмен инженерия қажет болатын журналдар жетілген бағдарлама үшін операциялық тұрғыдан жеткіліксіз.
2026 жылғы аудит тізімі
- Пайдаланушы бойынша келісім жазбалары пайдаланушы идентификаторын, уақыт белгісін, юрисдикцияны, тілді, қабылданған және қабылданбаған мақсаттарды, жеткізушілер тізімін, құпиялылық хабарламасының нұсқасын және CMP нұсқасын жазады
- Конфигурация тарихы баннер дизайнының, жеткізушілер тізімінің, мақсаттар тізімінің және құпиялылық хабарламасының уақыт белгісімен нұсқалауымен сақталады
- Жеткізушілерге төменгі ағын таралуы әрбір келісім шешімі үшін расталады және журналданады
- Келісімнен бас тарту оқиғалары келісімді жазумен бірдей қаталдықпен журналданады
- Шекарааралық аударым механизмдері деректер ағыны жазбаларымен бірге журналданады
- Журналдар бұрмалаудан қорғанышты сақтаумен тек қосу болып табылады
- Жалған есімдендірілген пайдаланушы идентификаторлары бөлек, қатаң бақыланатын кері картографиялаумен пайдаланылады
- Сақтау саясаты тергеуді қолдау талаптарын деректерді минимизациялау күтулерімен теңестіреді
- Құрылымдалған форматтарға (JSON, CSV, Parquet) экспорт қолдаулы
- Пайдаланушы идентификаторы бойынша сұрау 30 күндік мерзімде деректер субъектісінің құқықтары жұмыс процестерін қолдайды
- Келісім журналына кірудің өзі журналданады және тексеріледі
- CMP провайдері журналдың тереңдігін, сақтауын және экспорт талаптарын қолдайды — ал тасымалдаушылық провайдер ауысулары үшін құжатталған
2026 жылғы болжам
Келісім журналдары 2026 жылғы орындалу ландшафтында операциялық егжей-тегжейден шешуші дәлелге ауысты. 2024 және 2025 жылдары қатаң журналдауға инвестиция жасаған баспагерлер келісім баннерін дербес сәйкестік артефакты ретінде қарастырғандарға қарағанда айтарлықтай жақсы жағдайда. Журналдау архитектурасын дұрыс жасақтау қымбат емес, ал мүмкіндікке инвестиция жасаған CMP провайдерлері жұмысты одан да қолжетімді етеді. Айтарлықтай қымбат болатыны — сәтсіз тергеуден кейінгі түзету жұмысы: конфигурация тарихын кейін жасақтау, жазбадағы олқылықтарды түсіндіру және скептикалық реттеушіге қарсы жеткіліксіз таралу дәлелін қорғау. 2026 жылғы тәртіп — келісімді журналдауды CMP-нің операциялық бүйірлік өнімі ретінде емес, бірінші класты сәйкестік артефакты ретінде қарастыру. Реттеушілер бүйірлік өнім тұжырымын қабылдауды тоқтатты, ал ерте бейімделген баспагерлер 2026 жылғы орындалу циклін әлі де жетіп жатқандарға қарағанда айтарлықтай аз ауыр деп санайды.