15个步骤个检查清单

1. 安装经认证个CMP

侬个同意管理平台必须经过Google认证并在IAB Europe注册。这能确保符合Consent Mode V2和TCF 2.3两个标准。

2. 审查所有Cookie和追踪器

扫描侬个网站上每个cookie、像素、SDK和本地存储项目。将每个分类为严格必要、分析或广告。删除所有无法证明合理性的项目。

3. 配置侬个同意横幅

确保接受/拒绝按钮对等、使用访客母语的清晰语言，而且没有预先勾选的复选框。横幅必须在任何非必要追踪启动之前出现。

4. 将默认同意设置为拒绝

对于EEA访客，所有非必要同意类别必须默认为拒绝。只有严格必要的cookie才可以在没有同意的情况下启动。

5. 发布隐私政策

侬个隐私政策必须说明侬收集什么数据、为什么、法律依据、谁接收数据、保留期限，以及用户如何行使其权利。

6. 发布Cookie政策

列出每个cookie、其目的、持续时间以及是否为第一方或第三方。从侬个同意横幅链接到这份文件。

7. 启用Google Consent Mode V2

配置高级模式，使Google标签在同意之前以受限模式启动，然后在同意之后切换到完整追踪。

8. 启用IAB TCF 2.3

如果侬运行程序化广告，侬个CMP必须生成有效的TC字符串。使用IAB的TCF验证工具进行验证。

9. 签署数据处理协议

从侬网站接收个人数据的每个第三方都需要DPA。Google、Meta、分析提供商、电子邮件平台——所有这些。

10. 维护处理活动记录

记录每项数据处理操作：什么数据、什么目的、什么法律依据、什么接收方、什么保留期限。

11. 实施数据主体权利

为访问请求、删除请求、数据可携性和异议建立流程。在30天内回应。

12. 配置数据保留

不要将个人数据保留超过必要时间。在Google Analytics、CRM、电子邮件平台和数据库中设置保留期限。

13. 保护侬个数据

到处使用HTTPS、加密数据库、访问控制、定期安全审计。数据泄露必须在72小时内向侬个监管机构报告。

14. 培训侬个团队

每个处理个人数据的人都需要GDPR培训——营销、销售、支持、工程。记录培训情况。

15. 安排定期审计

每季度审查侬个合规情况。添加工具时会出现新的cookie。政策需要更新。需要监控同意率。

不合规的代价

FlexyConsent自动覆盖第1–8步