Сәйкестік25 мамыр 2026 ж. | FlexyConsent

Баспагерлерге арналған EU-US деректер құпиялылығы шеңбері (DPF) Cookie келісімі бойынша 2026 жылғы нұсқаулық

EU-US деректер құпиялылығы шеңбері (DPF) — европалық жеке деректерге — cookie идентификаторларын, IP-мекенжайларды, хэштелген электрондық пошталарды және жарнама сұрауы пакеттерін қоса алғанда — әрбір баспагер жеке Standard Contractual Clauses келіссөздерін жүргізбестен АҚШ-тағы жеткізушілерге берілуіне мүмкіндік беретін заңды құрылым. 2023 жылдың шілдесінде Еуропалық комиссия қабылдаған және нақты қолданыста бірнеше жыл болған DPF — жарамсыз деп танылған Privacy Shield-ты ауыстыруға арналған үшінші әрекет, ол қайтадан Еуропалық Одақтың Сот Палатасында заңды талапқа тап болып отыр. EU трафигін АҚШ-тағы SSP, DSP, аналитика құралдары мен CMP арқылы өңдейтін баспагерлер үшін DPF-ті — және оның үстіне орналасқан келісім қабатын — түсіну міндетті болып қалды. Бұл нұсқаулық DPF-тің нені ресми рұқсат ететінін, cookie келісімінің онда қалай орын алатынын және шеңбер қайтадан жойылса да деректер берулерін қорғаулы ұстап тұратын оперативтік қадамдарды түсіндіреді.

DPF іс жүзінде не жасайды

DPF — GDPR-дың 45-бабы бойынша Еуропалық комиссия шығарған жеткіліктілік туралы шешім. Жеткіліктілік туралы шешім үшінші ел — бұл жағдайда Америка Құрама Штаттары — негізінен EU-мен теңдес деңгейде жеке деректер қорғауын қамтамасыз ететінін белгілейді, бірақ тек белгілі бір шеңберге қосылуды таңдаған ұйымдар үшін ғана. DPF сол opt-in механизмі болып табылады. АҚШ компаниялары Commerce департаментінде өздігінен сертификаттайды, Құпиялылық қағидаттары жиынтығын сақтауға міндеттенеді және осы міндеттемелерді орындауда FTC немесе DOT бақылауына тұрады.

EU баспагері үшін практикалық нәтиже: жеке деректерді DPF-сертификатталған АҚШ жеткізушісіне жеке Standard Contractual Clauses (SCCs), сол жеткізушіге арнайы Transfer Impact Assessment немесе Schrems II шешімінен кейін қажет болған қосымша шаралар арқылы бермей-ақ беруге болады. DPF заңды негіз қабатындағы ауыр жұмысты атқарады.

DPF жасамайтын үш нәрсе, баспагерлер жүйелі түрде дұрыс түсінбейтін тұстар:

Ол келісімді алмастырмайды. EU келушісіне қажет емес cookie орнату деректер қайда барса да әлі де GDPR/ePrivacy деңгейіндегі келісімді талап етеді.
Ол сертификатталмаған АҚШ жеткізушілеріне берулерді қамтымайды. SSP немесе аналитика провайдеріңіз белсенді DPF тізімінде болмаса, сізге SCCs мен TIA қажет.
Ол сертификатталған ауқымнан тыс жұмыс істейтін АҚШ еншілес компанияларына берулерді қамтымайды. Көптеген ірі жеткізушілер тек белгілі бизнес желілерін ғана сертификаттайды.

Cookie келісімі әлі де алдыңғы есік

DPF деректер берудің заңды тарапын шешеді. Ол cookie орнатылған, жарнама идентификаторы оқылған немесе оқиға тегке жіберілген сәтпен ешнәрсе жасамайды. Бұл сәтті ePrivacy директивасы (5(3)-бап) мен GDPR (6 және 7-баптар) реттейді. Екеуі де терминалдық жабдықтың жадына кез келген қатаң қажет емес қатынас үшін алдын ала, хабардар, нақты және еркін берілген келісімді талап етеді.

Басқаша айтқанда, стегіңіздегі барлық жеткізушілер DPF-сертификатталған болса да, сізге әлі де мыналарды жасайтын Consent Management Platform қажет:

Келісімді алғанға дейін қажет емес cookie мен тегтерді блоктайды.
Барлығын қабылдауға баламалы барлығын қабылдамау мүмкіндігімен айқын таңдауды ұсынады (EDPB бұл жөнінде 2022 жылдан бері айқын айтып келеді).
Бұзылмайтын уақыт белгісімен және пайдаланушы шын мәнінде көрген хабарламаның көшірмесімен келісім оқиғасын тіркейді.
TCF v2.3, Google Consent Mode v2 немесе жеткізуші-нативті API арқылы барлық ағыс бойы инструменттерге келісім күйін жеткізеді.

DPF берудің заңды негізін алмастырады; CMP жинаудың заңды негізін қамтамасыз етеді. Кез келген жақты алып тастасаңыз, тәуекелге ұшырайсыз.

Жеткізушінің DPF мәртебесін қалай тексеруге болады

АҚШ Commerce департаменті ресми DPF тізімін dataprivacyframework.gov сайтында жүргізеді. Жеткізушінің DPF талабына сүйенер алдында олардың тізімдемесінде үш нәрсені тексеріңіз.

Белсенді сертификат мәртебесі

Сертификаттар жыл сайын жаңартылуы керек. Мәртебесі Белсенді емес, Алынып тасталды немесе Мерзімі өтті деп оқылатын жеткізушіге беру механизмі ретінде сенуге болмайды, тіпті маркетинг беттерінде DPF белгісі әлі де тұрса да. Тізімдемені жеткізушілер тізіміне енгізіп, тоқсан сайын қайта тексеріңіз.

Қамтылған ұйымдар мен еншілес компаниялар

Көптеген холдинг компаниялар кейбір еншілес компанияларды сертификаттайды, ал кейбіреулерін — жоқ. DPA-дағы шарттық ұйым сертификатталған ұйыммен сәйкес болуы керек. Жиі кездесетін қателік: DPF сертификаты Delaware штатындағы Acme Inc. компаниясында тұрғанда Acme Marketing UK Ltd компаниясымен шарт жасасу — деректер ағыны сонда сертификатталған ауқымнан шығып кетеді.

Қамтылған деректер санаттары

DPF тек HR деректеріне, тек HR емес деректерге немесе екеуіне де шектелген сертификаттарға мүмкіндік береді. Тек HR емес деректер сертификаты жарнама мен аналитика деректерін қамтиды; тек HR деректер сертификаты қамтымайды. Тізімдемені мұқият оқыңыз.

Жеткізуші DPF-сертификатталмаған болса не істеу керек

Пайдалы АҚШ жеткізушілерінің — әсіресе кіші ad-tech ойыншылары мен тар мамандандырылған аналитика құралдарының — көпшілігі ешқашан сертификаттамады немесе сертификатының мерзімін өткізіп алды. Олар үшін DPF маңызды емес және 2023 жылға дейінгі жинаққа оралу қажет:

Standard Contractual Clauses (SCCs) — 2021 жылғы 2 немесе 3 модуль нұсқалары, екі тарап та қол қойып, DPA-ға енгізілген.
Transfer Impact Assessment (TIA) — АҚШ бақылау заңнамасы, тәуекелге ұшыраған деректер санаттары және ауқымды төмендететін техникалық және ұйымдастырушылық шаралар туралы жеткізушіге тән талдау.
Қосымша шаралар — транзит кезінде және тыныштықта шифрлеу, жалған атпен қолдану, шарттық ашықтық міндеттемелері және АҚШ үкіметінің қатынас сұрауларына арналған құжатталған жауап жоспары.

Стегіңіздегі барлық АҚШ жеткізушілерін, әрқайсысы үшін қолданылатын заңды негізді (DPF, SCCs, ерекшелік) және соңғы тексеру күнін тізімдейтін тізілімді жүргізіңіз. Реттеушілер мен аудиторлар бұл тізілімді сұрайды; оны жоқтың өзі де олжа болып табылады.

Schrems III тәуекелі және болашаққа дайындық

Құпиялылық жақтаушысы Max Schrems пен оның NOYB ұйымы DPF қабылданғаннан кейін көп ұзамай оған қарсы шағым берді, Executive Order 14086 бойынша АҚШ-тың бақылау реформасы EU-дың негізгі құқықтар стандарттарынан әлі де қысқа қалатынын алға тартты. CJEU жолдамасы кеңінен күтілуде және шеңбер жойылу ықтималдығы жоғары — жиырма жылда үшінші рет.

2020 жылы Privacy Shield-ты жалғыз беру механизмі ретінде қарастырған баспагерлер Schrems II оны жойғанда бір түнде қайта жинақталуға мәжбүр болды. Бірдей ахуалды DPF-ті дайын резервтік жоспармен негізгі механизм ретінде қарау арқылы бұл жолы болдырмауға болады.

Барлық DPA-да SCCs-ті сақтаңыз

DPF жеткіліктілік шешімі жарамсыз деп танылса немесе жеткізуші сертификаты мерзімі өтсе автоматты түрде іске қосылатын 2021 жылғы SCCs-ті резервтік тармақ ретінде DPA-ларыңызда болуын талап етіңіз. Бұл енді стандартты тіл; жеткізуші бас тартса, бұл сары жалау.

TIA-ны бәрібір жүргізіңіз

DPF TIA үшін заңды талапты алып тастайды, бірақ жеңіл нұсқасын жүргізу — әсіресе нәзік жарнама сигналдарын немесе үлкен EU халқын өңдейтін жеткізушілер үшін — шеңбер құлдырасашеңбер құласа қорғалған құжаттаманы береді. Шығынды төменде ұстап тұру үшін бірдей үлгіні жеткізушілерде қайта пайдаланыңыз.

Математика жұмыс істейтін жерде жергіліктілендіру

Бірнеше қолданыс жағдайы үшін — бірінші тараптың аналитикасы, кіріп отырған пайдаланушылардың мінез-құлық деректері немесе сезімтал мазмұн сайттары — EU-да орналастырылған, EU-мен бақыланатын жеткізушіге ауысу беру мәселесін толығымен жойды. Шығын-пайда тек жоғары тәуекелді немесе жоғары көлемді ағындар үшін ғана шығады, бірақ бұл жол картасында опция ретінде болуы тиіс.

DPF-ті CMP-ге енгізу

Заманауи CMP DPF-ті тікелей қолданбайды — "бұл беру DPF-пен қамтылған" деп айтатын GPP немесе TCF өрісі жоқ. CMP жасауы тиіс — реттеуші ақырында сұрайтын құжаттаманы қолдайтын жолмен әрбір жеткізуші үшін келісім жинау.

Жеткізуші бойынша бөлшектілік

Барлық АҚШ ad-tech жеткізушілерін бір "Маркетинг" ауыстырғышқа топтастыру енді қорғалмайды. Сертификатталған CMPs-тің көпшілігі синхрондайтын TCF v2.3 жеткізушілер тізімі жеткізуші бойынша мақсаттар мен заңды негіздерді береді. Оны пайдаланыңыз. Реттеуші "Y күні X жеткізушіге жеке деректер қандай негізде берілді" деп сұраған кезде, TCF жолына, DPF сертификаттау жазбасына және DPA-ға сілтей алуыңыз керек.

Баннердегі құпиялылық хабарламасын шағылдырыңыз

Құпиялылық хабарламаңыздағы алушылар тізімі келісімнен кейін жүктелген жеткізушілер тізімімен дәл сәйкес болуы керек. Сәйкессіздіктер ең оңай орындау нысанасы — Испанияның AEPD мен Францияның CNIL 2024 жылы белсенді серіктестерді алып тастаған жеткізушілер тізімдері үшін баспагерлерді айыппұлмен жазалады.

Келісім кезіндегі жеткізуші күйін тіркеу

Әрбір келісім оқиғасы үшін TCF GVL-дегі жеткізушілердің суреттемесін, DPF-сертификатталғандарын және әрқайсысы сүйенген заңды негізді сақтаңыз. Бұл реттеушінің стресстік хатын күнделікті жауапқа айналдыратын аудит ізі. FlexyConsent және Google-сертификатталған басқа CMP-лер бұл журналдауды қораптан ұсынады; ескі баннерлердің көпшілігі ұсынбайды.

Практикалық көшу тізімі

Бар сайтты DPF-ке дейінгі немесе ішінара DPF конфигурациясынан таза 2026 конфигурациясына ауыстырсаңыз, мына тізімді орындаңыз:

Тег менеджеріңіздегі, жарнама стегіңіздегі және сервер жақтағы контейнеріңіздегі барлық АҚШ жеткізушісін тізімдеңіз.
Әрқайсысын белсенді DPF тізімімен салыстырыңыз. DPF-пен қамтылды, SCC-мен қамтылды немесе шара қажет деп санаттаңыз.
DPA-ларды автоматты резервтік ретінде 2021 жылғы SCCs-ті қосу үшін жаңартыңыз.
DPF мәртебесіне қарамастан жоғары тәуекелді жеткізушілер үшін TIA жүргізіңіз.
CMP-іңіздің жеткізуші бойынша келісім UI-ын ашатынын және TCF v2.3 қолдайтынын растаңыз.
Google Consent Mode v2-нің GA4-ке, жарнамаларға және кез келген сигнал жоғалту құралдарына қосылғанын тексеріңіз.
Сертификаттарды, GVL мүшелігін және DPA нұсқаларын қайта тексеру үшін күнтізбеге тоқсандық тексеру орнатыңыз.
Заң және жарнама операциялары топтарын DPF жарамсыз болса не өзгеретінін бірге брифинг жүргізіңіз, жауап жоспары қысым астында ойдан шығарылмасын.

Жиі кездесетін түсінік қателері

Баспагер аудиттерінде бірнеше қате қайталанады және нақты түзетуді қажет етеді.

«DPF-сертификатталған дегеніміз бізге келісім қажет емес». Жоқ. DPF — беру механизмі. Келісім — жинау талабы. Олар әртүрлі заңды қабаттарда орналасқан.

«Біздің CDN АҚШ-та, сондықтан DPF қамтиды». Тек CDN өзі тиісті деректер санаттары үшін DPF-сертификатталған болса ғана. Инфрақұрылым провайдерлерінің көпшілігі мәселені толығымен болдырмайтын EU аймақтарын ұсынады.

«X жеткізуші DPF-ке дайын екенін айтады». Маркетинг тілі. Ресми тізімді, сертификатталған ұйым атауын және деректер санаттарын тексеріңіз.

«DPF cookie баннерін алмастырады». Жоқ. ePrivacy директивасының алдын ала келісім ережесі GDPR беру ережелерінен тәуелсіз. Екеуі де қолданылады.

Қорытынды

DPF 2026 жылғы трансатлантикалық ad-tech операцияларын 2021 жылғыдан оңайырақ етеді, бірақ баспагерлерді cookie келісімінен, жеткізуші тексеруінен немесе беру құжаттамасынан босатпайды. DPF-ті бірнеше механизмнің ішіндегі бір жарамды беру механизмі ретінде қараңыз, SCCs-ті шарттық резервтік ретінде ұстаңыз, жеткізуші бойынша келісімді сақталған жеткізушілер тізіліміне қарсы тіркейтін CMP іске қосыңыз және шеңбердің заңды тұрақтылығы шарттылығын болжаңыз. Бұл тұрақтылықты қазір қалыптастыратын баспагерлер Schrems III шешімі алдыңғы екеуі сияқты болса, бір түнде қайта сәулеттемейді. DPF-ті тұрақты жауап деп санайтындар Privacy Shield жарамсыздығынан кейін болған аттас дүрбелеңге дайын болып жатыр — бұл жолы реттеушілер азырақ шыдамды, айыппұлдар да ірірек.