Что такое GDPR?

GDPR — это всеобъемлющий закон о защите данных, который даёт жителям ЕС контроль над их персональными данными. Он применяется к любой организации — где бы она ни находилась, — которая обрабатывает данные жителей ЕС. Регламент охватывает сбор, хранение, обработку и передачу данных.

Ключевые принципы GDPR

К кому применяется GDPR?

GDPR применяется к любой организации, обрабатывающей персональные данные лиц в ЕС, независимо от того, где базируется организация. Это включает компании в США, Азии или где-либо ещё, у которых есть клиенты, посетители сайта или сотрудники из ЕС.

Права личности в рамках GDPR

• Право на доступ: пользователи могут запросить копию своих данных.
• Право на исправление: пользователи могут исправить неточные данные.
• Право на удаление: «право быть забытым».
• Право на переносимость данных: пользователи могут передавать свои данные другому сервису.
• Право на возражение: пользователи могут возражать против определённых видов обработки.
• Право на ограничение обработки: пользователи могут ограничивать использование своих данных.

Штрафы за несоблюдение

GDPR и Закон о цифровых рынках (DMA)

С 2024 года Закон ЕС о цифровых рынках работает вместе с GDPR, регулируя то, как крупные платформы обрабатывают данные пользователей. DMA требует, чтобы назначенные «контролёры доступа» (такие как Google, Apple и Meta) получали явное согласие перед объединением данных пользователей между сервисами. Это имеет прямые последствия для того, как согласие собирается и передаётся по рекламной цепочке поставок.

GDPR и файлы cookie: роль управления согласием

В соответствии с GDPR и Директивой о конфиденциальности в электронных коммуникациях веб-сайты должны получать явное согласие перед размещением неосновных файлов cookie. Это означает, что соответствующий баннер cookie не является опциональным — это юридическое требование. Ключевые аспекты включают:

• Неосновные файлы cookie (аналитика, маркетинг, реклама) должны быть заблокированы до тех пор, пока пользователь не даст явное согласие
• Согласие должно быть дано свободно — никаких заранее отмеченных флажков или cookie-стен, принуждающих к принятию
• Пользователи должны иметь возможность отозвать согласие так же легко, как они его дали
• Записи о согласии должны храниться и быть доступны для аудита

Google Consent Mode V2 и GDPR

С марта 2024 года Google требует, чтобы веб-сайты, показывающие рекламу в Европейской экономической зоне (ЕЭЗ), использовали сертифицированную Google CMP и реализовали Consent Mode V2. Эта интеграция гарантирует, что сигналы согласия правильно передаются сервисам Google, обеспечивая соответствующий показ рекламы при сохранении возможностей измерения за счёт безопасного для конфиденциальности моделирования.

IAB TCF 2.3 и соответствие GDPR

Версия 2.3 Framework прозрачности и согласия IAB (TCF) предоставляет стандартизированный способ сбора и передачи согласия по всей экосистеме цифровой рекламы. Использование CMP, совместимой с TCF 2.3, такой как FlexyConsent, гарантирует, что сигналы согласия правильно форматируются и передаются всем рекламным поставщикам в цепочке поставок.

Как соответствовать GDPR в 2026 году

• Проведите аудит вашей деятельности по сбору и обработке данных
• Внедрите сертифицированную Google CMP, такую как FlexyConsent
• Убедитесь, что ваша CMP поддерживает IAB TCF 2.3 и Google Consent Mode V2
• Создайте понятные, доступные политики конфиденциальности и использования файлов cookie
• Обеспечьте обработку запросов на доступ субъектов данных (DSAR)
• Обучите свою команду обязанностям по защите данных
• Назначьте сотрудника по защите данных (DPO), если это требуется
• Внедрите процедуры уведомления об утечках данных (правило 72 часов)
• Проводите регулярные оценки воздействия на защиту данных (DPIA)