Згода на cookie для мобільних додатків: Посібник GDPR та CCPA
Коли ми говоримо про згоду на cookie, вебсайти отримують всю увагу. Але мобільні додатки обробляють стільки ж — часто більше — персональних даних, що й вебсайти. І правила застосовуються однаково. GDPR не розрізняє між cookie вебсайту та SDK додатку, який збирає ідентифікатори пристроїв, дані про місцезнаходження або рекламні ідентифікатори.
Як мобільна згода відрізняється від веб-згоди
Вебсайти використовують cookies. Додатки використовують SDK, ідентифікатори пристроїв (IDFA/GAID), локальне сховище та виклики API. Технологія різна, але правова вимога однакова: вам потрібна інформована, добровільно надана згода перед збором персональних даних для несуттєвих цілей.
- Вебсайти: Банери cookie, Consent Mode, рядки TCF
- Додатки: Діалоги згоди в додатку, підказки ATT (iOS), шлюзи ініціалізації SDK
- Обидва: Повинні отримати згоду перед відстеженням, повинні дозволяти відкликання, повинні вести записи
Apple ATT проти згоди GDPR
App Tracking Transparency (ATT) від Apple — це не те саме, що згода GDPR. ATT є вимогою платформи Apple — контролює доступ до IDFA. GDPR є правовою вимогою — контролює обробку всіх персональних даних. Вам потрібні обидва. Погодження ATT не задовольняє GDPR, а згода GDPR не обходить ATT.
Що вимагає згоди в мобільних додатках
- Рекламні SDK — AdMob, Meta Audience Network, AppLovin
- Аналітичні SDK — Firebase Analytics, Mixpanel, Amplitude
- SDK атрибуції — Adjust, AppsFlyer, Branch
- Ідентифікатори пристрою — IDFA (iOS), GAID (Android)
- Дані про місцезнаходження — GPS, геолокація на основі IP
- Токени push-сповіщень — коли пов'язані з профілями користувачів
Найкращі практики реалізації
- Показуйте згоду перед ініціалізацією SDK — не завантажуйте SDK відстеження, поки користувач не надасть згоду
- Надавайте детальні варіанти — аналітика та реклама повинні бути окремими перемикачами
- Підтримуйте відкликання згоди — користувачі повинні мати можливість змінити свою думку в налаштуваннях додатку
- Зберігайте записи про згоду — ведіть серверні журнали з мітками часу та обсягом згоди
- Обробляйте ATT та GDPR окремо — одного погодження ATT недостатньо для GDPR
CCPA для мобільних додатків
Каліфорнійський CCPA/CPRA застосовується до додатків, які збирають дані від мешканців Каліфорнії. На відміну від GDPR, CCPA використовує модель відмови — користувачі можуть вимагати, щоб їхні дані не продавалися та не передавалися. Вашому додатку потрібен механізм "Do Not Sell or Share My Personal Information".
FlexyConsent для мобільних пристроїв
Легкий JavaScript FlexyConsent працює в гібридних додатках (Cordova, Ionic, React Native WebView) та мобільному вебі. Для нативних додатків наш API згоди надає ті самі сигнали TCF 2.3 та Consent Mode V2, які забезпечують веб-рішення.