Чек-лист соответствия GDPR 2026: 15 шагов, которые должен выполнить каждый сайт
Соответствие GDPR — это не разовый проект, а постоянная практика. Регламенты развиваются, ваш сайт меняется, добавляются новые инструменты. Этот чек-лист даёт вам 15 конкретных шагов для проверки и поддержания соответствия GDPR в 2026 году, независимо от того, начинаете ли вы с нуля или проверяете существующую настройку.
Чек-лист из 15 шагов
1. Установите сертифицированную CMP
Ваша платформа управления согласием должна быть сертифицирована Google и зарегистрирована в IAB Europe. Это обеспечивает соответствие как Consent Mode V2, так и TCF 2.3.
2. Проведите аудит всех cookie-файлов и трекеров
Просканируйте ваш сайт на каждый cookie-файл, пиксель, SDK и элемент локального хранилища. Классифицируйте каждый как строго необходимый, аналитический или рекламный. Удалите всё, что не можете обосновать.
3. Настройте баннер согласия
Обеспечьте равноценные кнопки «Принять»/«Отклонить», понятный язык на родном языке посетителя и отсутствие предварительно отмеченных флажков. Баннер должен появляться до срабатывания любого несущественного отслеживания.
4. Установите согласие по умолчанию на «Отклонено»
Для посетителей из ЕЭЗ все несущественные категории согласия должны по умолчанию быть отклонены. Без согласия могут срабатывать только строго необходимые cookie-файлы.
5. Опубликуйте политику конфиденциальности
Ваша политика конфиденциальности должна объяснять, какие данные вы собираете, зачем, правовое основание, кто их получает, сроки хранения и как пользователи могут осуществлять свои права.
6. Опубликуйте политику использования cookie-файлов
Перечислите каждый cookie-файл, его назначение, продолжительность и является ли он первой или третьей стороной. Свяжите это с вашим баннером согласия.
7. Включите Google Consent Mode V2
Настройте расширенный режим, чтобы теги Google срабатывали в ограниченном режиме до согласия, а затем переключались на полное отслеживание после согласия.
8. Включите IAB TCF 2.3
Если вы запускаете программатик-рекламу, ваша CMP должна генерировать действительные TC Strings. Проверьте с помощью инструмента валидатора TCF от IAB.
9. Подпишите соглашения об обработке данных
Каждой третьей стороне, которая получает персональные данные с вашего сайта, нужно DPA. Google, Meta, поставщики аналитики, email-платформы — все они.
10. Ведите реестр операций по обработке
Документируйте каждую операцию по обработке данных: какие данные, какая цель, какое правовое основание, какие получатели, какой срок хранения.
11. Реализуйте права субъектов данных
Настройте процессы для запросов на доступ, запросов на удаление, переносимости данных и возражений. Отвечайте в течение 30 дней.
12. Настройте хранение данных
Не храните персональные данные дольше необходимого. Установите сроки хранения в Google Analytics, вашей CRM, email-платформе и базах данных.
13. Защитите ваши данные
HTTPS везде, зашифрованные базы данных, контроль доступа, регулярные проверки безопасности. О нарушениях данных нужно сообщать в ваш надзорный орган в течение 72 часов.
14. Обучите вашу команду
Каждому, кто работает с персональными данными, нужно обучение по GDPR — маркетинг, продажи, поддержка, разработка. Документируйте обучение.
15. Планируйте регулярные аудиты
Проверяйте ваше соответствие ежеквартально. Новые cookie-файлы появляются, когда вы добавляете инструменты. Политики нужно обновлять. За показателями согласия нужно следить.
Цена несоответствия
- Штрафы: до 20 миллионов евро или 4% от мирового годового оборота
- Репутация: нарушения данных и штрафы публичны — клиенты замечают
- Доход: недействительное согласие означает потерянный доход от рекламы и ненадёжные данные
FlexyConsent автоматически покрывает шаги 1–8
- Сертифицированная Google + зарегистрированная в IAB Europe CMP
- Автоматическое сканирование и классификация cookie-файлов
- Встроенные Consent Mode V2 + TCF 2.3
- 43+ языка с автоопределением
- По умолчанию отклонено для посетителей из ЕЭЗ
- Записи доказательства согласия с метками времени
- От €0/месяц — соответствие с первого дня