Що таке GDPR?

GDPR — це всеохоплюючий закон про захист даних, який надає мешканцям ЄС контроль над їхніми персональними даними. Він поширюється на будь-яку організацію — в будь-якій точці світу — яка обробляє дані мешканців ЄС. Регламент охоплює збір, зберігання, обробку та передачу даних.

Ключові принципи GDPR

На кого поширюється GDPR?

GDPR поширюється на будь-яку організацію, яка обробляє персональні дані осіб у ЄС, незалежно від місця знаходження організації. Це включає компанії в США, Азії або будь-де ще, які мають клієнтів, відвідувачів веб-сайту або співробітників з ЄС.

Права осіб за GDPR

• Право на доступ: Користувачі можуть запросити копію своїх даних.
• Право на виправлення: Користувачі можуть виправити неточні дані.
• Право на стирання: «Право бути забутим».
• Право на перенесення даних: Користувачі можуть передати свої дані до іншого сервісу.
• Право на заперечення: Користувачі можуть заперечити проти певних видів обробки.
• Право на обмеження обробки: Користувачі можуть обмежити спосіб використання їхніх даних.

Санкції за недотримання

GDPR та Закон про цифрові ринки (DMA)

З 2024 року Закон ЄС про цифрові ринки діє поряд із GDPR для регулювання обробки даних користувачів великими платформами. DMA зобов'язує визначених «воротарів» (таких як Google, Apple та Meta) отримувати явну згоду перед об'єднанням даних користувачів між сервісами. Це безпосередньо впливає на те, як збирається та передається згода в рекламному ланцюжку постачання.

GDPR та файли cookie: роль управління згодою

Відповідно до GDPR та Директиви про електронну конфіденційність, веб-сайти повинні отримати явну згоду перед розміщенням необов'язкових файлів cookie. Це означає, що відповідний банер cookie — це не опція, а законодавча вимога. Ключові аспекти включають:

• Необов'язкові файли cookie (аналітика, маркетинг, реклама) мають бути заблоковані до отримання явної згоди користувача
• Згода повинна бути добровільною — без попередньо відзначених прапорців або «стін cookie», що примушують до прийняття
• Користувачі повинні мати змогу відкликати згоду так само легко, як вони її надали
• Записи про згоду мають зберігатися та бути доступними для аудиту

Google Consent Mode V2 та GDPR

З березня 2024 року Google вимагає від веб-сайтів, що розміщують рекламу в Європейській економічній зоні (ЄЕЗ), використовувати сертифіковану Google CMP та впроваджувати Consent Mode V2. Ця інтеграція забезпечує належну передачу сигналів згоди сервісам Google, що дозволяє показувати рекламу у відповідності з вимогами, зберігаючи можливості вимірювання завдяки моделюванню з урахуванням конфіденційності.

IAB TCF 2.3 та відповідність GDPR

IAB Transparency and Consent Framework (TCF) версії 2.3 забезпечує стандартизований спосіб збору та передачі згоди в екосистемі цифрової реклами. Використання CMP, яка відповідає TCF 2.3, як-от FlexyConsent, гарантує належне форматування та передачу сигналів згоди всім рекламним постачальникам у ланцюжку постачання.

Як забезпечити відповідність GDPR у 2026 році

• Проведіть аудит діяльності зі збору та обробки даних
• Впровадьте сертифіковану Google CMP, як-от FlexyConsent
• Переконайтеся, що ваша CMP підтримує IAB TCF 2.3 та Google Consent Mode V2
• Створіть чіткі та доступні політики конфіденційності та файлів cookie
• Увімкніть запити на доступ суб'єктів даних (DSAR)
• Навчіть команду відповідальності у сфері захисту даних
• Призначте Уповноваженого із захисту даних (DPO), якщо це необхідно
• Впровадьте процедури повідомлення про витоки даних (правило 72 годин)
• Регулярно проводьте оцінки впливу на захист даних (DPIA)