15-крокова перевірка

1. Встановіть сертифіковану CMP

Ваша платформа управління згодою повинна бути сертифікована Google і зареєстрована в IAB Europe. Це забезпечує відповідність як Consent Mode V2, так і TCF 2.3.

2. Перевірте всі файли cookie та трекери

Проскануйте свій сайт на наявність кожного файлу cookie, пікселя, SDK і елемента локального сховища. Класифікуйте кожен як суворо необхідний, аналітичний або рекламний. Видаліть усе, що ви не можете обґрунтувати.

3. Налаштуйте банер згоди

Забезпечте рівноцінні кнопки Прийняти/Відхилити, зрозумілу мову рідною мовою відвідувача та жодних попередньо встановлених прапорців. Банер повинен з'являтися до того, як запускається будь-яке несуттєве відстеження.

4. Встановіть згоду за замовчуванням на Відхилено

Для відвідувачів з ЄЕЗ усі несуттєві категорії згоди повинні бути за замовчуванням відхилені. Лише суворо необхідні файли cookie можуть активуватися без згоди.

5. Опублікуйте політику конфіденційності

Ваша політика конфіденційності повинна пояснювати, які дані ви збираєте, навіщо, правову основу, хто їх отримує, терміни зберігання та як користувачі можуть реалізувати свої права.

6. Опублікуйте політику щодо файлів cookie

Перелічіть кожен файл cookie, його призначення, тривалість і чи є він першо- чи третьосторонній. Додайте посилання на нього з банера згоди.

7. Активуйте Google Consent Mode V2

Налаштуйте режим Advanced так, щоб теги Google запускалися в обмеженому режимі до надання згоди, а потім переходили до повного відстеження після отримання згоди.

8. Активуйте IAB TCF 2.3

Якщо ви ведете програматичну рекламу, ваша CMP повинна генерувати дійсні рядки TC. Перевірте за допомогою інструменту перевірки TCF від IAB.

9. Підпишіть угоди про обробку даних

Кожна третя сторона, яка отримує персональні дані з вашого сайту, потребує DPA. Google, Meta, постачальники аналітики, поштові платформи — всі вони.

10. Ведіть реєстр діяльності з обробки

Документуйте кожну операцію з обробки даних: які дані, яка мета, яка правова основа, які одержувачі, який термін зберігання.

11. Реалізуйте права суб'єктів даних

Налаштуйте процеси для запитів на доступ, запитів на видалення, переносимість даних та заперечення. Відповідайте протягом 30 днів.

12. Налаштуйте зберігання даних

Не зберігайте персональні дані довше, ніж необхідно. Встановіть терміни зберігання в Google Analytics, вашій CRM, поштовій платформі та базах даних.

13. Захистіть свої дані

HTTPS скрізь, зашифровані бази даних, контроль доступу, регулярні аудити безпеки. Про витоки даних необхідно повідомляти наглядовому органу протягом 72 годин.

14. Навчіть свою команду

Кожен, хто обробляє персональні дані, потребує навчання з GDPR — маркетинг, продажі, підтримка, інженерія. Задокументуйте навчання.

15. Заплануйте регулярні аудити

Переглядайте відповідність щоквартально. Нові файли cookie з'являються, коли ви додаєте інструменти. Політики потребують оновлення. Рівні згоди потребують моніторингу.

Вартість невідповідності

FlexyConsent автоматично охоплює кроки 1–8