GH GambleHub

GDPR: istifadəçilərin razılığını idarə etmək

1) Məqsəd və sahə

GDPR və ePrivacy ilə uyğun, bütün səthlərə tətbiq olunan vahid, yoxlanıla bilən və istifadəçi dostu razılıq və kommunikasiya üstünlükləri idarəetmə prosesi yaradın: veb, mobil proqramlar/SDK, e-mail/SMS/push, affiliated lendinqlər, axınlar/sosial şəbəkələr, satıcı etiketlər.

2) Əsas prinsiplər

Sərbəst, konkret, məlumatlı və birmənalı iradə ifadəsi (mətbuat/giriş şərtləri olmadan).
Məqsədlərin ayrılığı: analitika, personallaşdırma, marketinq, geolokasiya, A/B testləri, üçüncü tərəf etiketləri - ayrı-ayrı tumbler.
Rəy razılıq kimi sadədir. Imtina etmək üçün «axtarışlar» yoxdur.
Qaranlıq nümunələrin olmaması. Heç bir vizual qüsurları/yerləri.
Sübut oluna bilər. Logi, mətn versiyaları, UI variantının ekran görüntüləri, hash siyasətçi.
Minimallaşdırma və məxfilik.

3) Hüquqi əsaslar (qısa məlumat kitabı)

Art. 6 (1) (a) Razılıq: marketinq, personallaşdırma, identifikatorlu analitika, şərti olmayan cookies/SDK.
Art. 6 (1) (b) Müqavilə: Xidmət göstərmək üçün zəruri olan əməliyyatlar (ciddi zəruri cookies).
Art. 6 (1) (f) Qanuni maraq (LIA): güclü zəmanət və etiraz hüququ ilə məhdud performans ölçmələri.
Art. 8 Uşaqlar: uşağın razılığı üçün yaş - ölkə üzrə hədd; yetkinlik yaşına çatmayanlar üçün - marketinq qadağası.
Art. 9 Xüsusi kateqoriyalar: biometrik/sağlamlıq - marketinq xaricində; ayrı-ayrı hüquqi əsaslar/qadağalar.
ePrivacy: saxlama/cihaza giriş (cookies/local storage/SDK) - yalnız razılığı olmadan «ciddi zəruri»; qalanları - razılıq əsasında.

4) Rollar və RACI

DPO/Head of Compliance - siyasət, DPIA, şikayət/risk nəzarəti. (A)

Legal - mətnlər, tələblərin lokalizasiyası, baza matrisi. (R)

Product/UX - bannerlər/üstünlük mərkəzi, anti-dark-patterns. (R)

Engineering/CMP Owner - CMP/SDK, API, versiyalar, GPC/DNT inteqrasiyası. (R)

CRM/Marketing - razılıq bayraqları üzrə seqmentasiya, suppression. (R)

Data/Analytics - de-identifikasiya rejimləri, izləmə məhdudiyyətləri. (C)

InfoSec - şifrələmə, açarlar, RBAC/ABAC razılıq loqlarına. (C)

Beynəlxalq Audit - sübut nümunələri, CAPA. (C)

5) Razılıq və üstünlüklərin taksonomiyası

Funksional (razılıq olmadan): ciddi zəruri (autentifikasiya, səbət, balans, frod qorunması).

Razılıq (ayrı tumbler):

1. Analitika (identifikatorlar/cross-device)

2. Məzmun/oyunların personallaşdırılması

3. Marketinq (e-mail/SMS/push/in-arr/telematika) - ayrı-ayrılıqda kanallar

4. Remarketinq/Ads (üçüncü şəxslərin pikselləri/SDK daxil olmaqla)

5. Geolokasiya (şəhər/region)

6. A/B testi (identifikatorları istifadə edirsə)

7. Bağlı etiketlər/tərəfdaş piksellər

6) CMP UX nümunələri (veb/mobil)

Birinci qat (banner): qısa hədəf + «Hər şeyi qəbul et», «Hər şeyi rədd et», «Konfiqurasiya» - eyni görünürlük.
İkinci qat (panel): kateqoriyalar üzrə tumbler və «Ətraflı» dönüşü (satıcılar, hədəflər, şərtlər).
Üstünlük mərkəzi (hesabda): marketinq kanalları (e-mail/SMS/push/telefon) - ayrıca; link «Hər şeydən imtina et».
Baxış/dəyişiklik: hər hansı bir ekrandan 1-2 klik; məcburi funksiyalara girişi dəyişdirmir.
Əlçatanlıq: kontrast, klaviatura, screen-reader, lokallar.
GPC/» Do Not Track»: Qlobal siqnal ciddi zəruri istisna olmaqla, hər şeyi rədd etmək kimi şərh olunur.
Mobil SDK: in-app CMP + sistem icazələri (OS prompts) → server profili ilə sinxronizasiya.

7) IAB TCF 2. 2 (tətbiqi çərçivə)

Müştəri tərəfində məqsədlər/xüsusiyyətlər yığını, satıcıların siyahısı, TC string dəstək.
TC-sətir, versiyası, satıcı siyahısı saxlamaq; bizim bayraqlara mapping.
TC (prior consent) alınana qədər etiketlərin/SDK kilidlənməsi.
«Deny All» statusuna və permissiyalara hörmət.
Qeyri-TCF bazarları üçün - eyni UX və jurnallaşdırma ilə «xüsusi» CMP.

8) Yetkinlik yaşına çatmayanlar və həssas

Yaş <bazar həddi varsa - marketinq kanalları və personalizasiya yoxdur; analitika - yalnız ciddi zəruri/PII-free.
Marketinq SDK/piksel download qədər yaş yoxlama.
SE/RG bayraqları: özünü istisna edərkən - razılığından asılı olmayaraq məcburi marketinq suppression.

9) Gizlilik, saxlama və retensiya

Minimallaşdırma modeli: faktları saxlamaq (accept/deny/withdraw), mətn versiyaları, TC-string/hash, «xam» cookie id deyil.
Retance: məqsəd/münasibətlər etibarlı olarkən + bazar şərtləri (adətən marketinq üçün aktivlik olmadan 24 ay ≤).
Giriş: RBAC, dəyişməz jurnallar (WORM), vaxt - UTC.
Çıxarılması: baxış → dərhal stop-processing; cron istifadə olunmayan id/SDK caches təmizləyir.

10) Məlumatlar və sübutlar (minimum model)


consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, lawful_basis{consent    contract    legit_interest},
status{accept    deny    withdraw}, source{web    app    email    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Artefaktlar: siyasət mətni və banner hash, variantın ekran görüntüsü, razılaşma anında aktiv etiketlərin/SDK siyahısı.
Əlaqə: 'consent _ id' CRM/Ads hadisələri suppression izlənilebilirlik üçün.

11) API/SDK və kilid etiketləri

Edge/CMP-SDK: seçimdən əvvəl - yalnız ciddi tələb olunan skriptləri yükləyin.

Server-Side API:
  • `GET /consents? user_id=...`
  • `POST /consents` (create/withdraw)
  • 'POST/marketing/preferences' (kanal bayraqları)
  • `POST /gpc/signal`
  • Tag Manager Guards: qaydalar "fire if consent. purpose. marketing == true».
  • E-mail/SMS: poçt yalnız 'marketing. email = = true 'və «double opt-in» (lazım olduqda bazar).

12) CRM/Ads/Affiliates ilə uyğunluq

Suppression-streams: review → CRM, Ads, affiliate-fieds (batch + near-real-time) suppression yeniləmə.
UTM/postbeklər: yalnız texniki parametrləri ötürmək; razılıq ayrı hüquqi bazası olmadan tərəfdaşlara «atılmır».
Affiliates: Eyni SMR/Disclamer göstərməlidir; onsuz lidlər ixtisaslaşmır.

13) Proseslər və hallar

E-poçt vasitəsilə geri çağırış: hər e-poçt «Unsubscribe all» və «Konfiqurasiya». Abunə - dərhal, səhifədə/məktubda təsdiq.
DSAR/müraciətlər: cari razılıq bayraqları, fəaliyyət jurnalı göstərmək; üçüncü tərəflərin PII olmadan ixrac.
Məqsədlərin dəyişdirilməsi: yeni məqsəd → yeni razılıq sorğusu («retroaktiv» deyil).
A/B testi: CMP UI-nin dəyişdirilməsi - variant/ekran artefaktları, qaranlıq nümunələrin olmaması üçün audit.
Hadisələr: razılığı olmadan yanlış etiket yükləmə → dərhal takedown, log auditi, CAPA.

14) KPI/KRI və dashboard

Məqsədlər/bazarlar/cihazlar üzrə Opt-in Rate

Withdraw/Change Rate və «Time-to-Withdraw-Apply» medianı

GPC Honor Rate (düzgün işlənmiş GPC siqnallarının payı)

Tag Firing Violations (razılıq olmadıqda buraxılışlar)

Suppression Integrity (marketinq = 0 geri çağırılır)

Complaint Rate и Regulatory Findings

Auditability Score (artefaktların tam paketi ilə% qeydlər)

15) Çek vərəqləri

Başlamazdan əvvəl

  • Əsaslar və məqsədlər matrisi razılaşdırılmışdır (Legal/DPO).
  • CMP «Hamısını rədd et», GPC, lokalları dəstəkləyir.
  • Tag Manager razılaşmadan əvvəl lazım olmayan bütün etiketləri bloklayır.
  • Kanalları ilə üstünlük mərkəzi (e-mail/SMS/push/telefon).
  • Suppression üçün CRM/Ads/Affiliates ilə əlaqə.
  • WORM mətn versiyaları/ekran görüntüləri.

Əməliyyatlarda

  • Firing qaydaları və GPC pozuntularının monitorinqi.
  • DSAR cari bayraqlar və jurnal cavab verir.
  • Şikayət və hadisələr - SLA və CAPA.

Audit/təkmilləşdirmə

  • Sübutların tamlığı üçün qeydlərin rüblük nümunələri.
  • A/B-review CMP qara nümunələr.
  • Lokal/hüquqi mətnlərin yenilənməsi.

16) Şablonlar (sürətli əlavələr)

A) Birinci təbəqənin mətni (banner):
💡 Biz analitik, personallaşdırma və marketinq üçün fayl və identifikatorlardan istifadə edirik. Sizə uyğun olanı seçin. Seçiminizi istənilən vaxt dəyişə bilərsiniz.
[Hamısını rədd et] [Qurmaq] [Hamısını qəbul et]
B) İkinci təbəqənin mətni («Marketinq» məqsədi):
💡 Promosyonlar və xəbərlər haqqında e-mail/SMS/push icazə. Sizin icazəniz olmadan promo materialları göndərməyəcəyik.
C) Cavab məktubu (təsdiq):
💡 Marketinq mesajlarından imtina edirsiniz. Siz hələ də xidmət bildirişləri (əməliyyatlar/təhlükəsizlik) ala bilərsiniz. Parametrlər - profildə.
D) «imtina etmək çətindir» şikayətinə cavab:
💡 Razılıq geri çağırılması hər hansı bir ekrandan 1-2 klik mövcuddur («Privacy Settings»). Biz yoxlamaq və düzəltmək... Üzr istəyirik. Seçimləriniz yenilənib.

17) Texniki çərçivə və hadisələr

События: `consent_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.
Fici: Avtomatik GPC oxunması; SDK geytaları; server-side consent cache; Tag Manager integrity-check; analitika üçün «PII-free» ixracı.
CI/CD testləri: tag kilidi linter, versiya sxemlərinin miqrasiyası, CMP ekran testləri.

18) Risklər və profilaktika

Tag Manager-da «deny by default» qaydaları.
Satıcılardan asılılıq. → Satıcıların/məqsədlərin/yurisdiksiyaların siyahısı, DPA və audit.
Tünd naxışlar. → Düymələrin dizaynı və bərabərliyinə nəzarət.
Sübut yoxdur. → Ekran görüntüləri, Hash mətnləri, WORM jurnalları.
CRM/Ads-də status uyğunsuzluğu. → Vahid suppression xidməti + gündəlik yoxlamalar.

19) 30 günlük tətbiq planı

Həftə 1

1. Məqsədlər/əsaslar matrisini və mətnləri (lokallar) təsdiq edin.
2. Seçin/CMP (TCF 2. 2 + xüsusi məqsədlər).
3. Məlumat və artefaktların modelini spesifikləşdirin, WORM-i daxil edin.

Həftə 2

4. CMP/SDK inteqrasiya, Tag Manager «deny by default», GPC.
5. CRM/Ads üçün üstünlük mərkəzi və API suppression qurun.
6. A/B banner variantları, ekran fiksasiya hazırlamaq.

Həftə 3

7. Pilot 10-20% trafik: Opt-in/Withdraw/GPC Honor ölçülür.
8. Şikayətlər/insidentlər üzrə retro; UX/mətn düzəlişləri.
9. İştirakçıları məcburi CMP qatına bağlayın.

Həftə 4

10. Tam buraxılış; KPI/KRI dashboard və alert daxil.
11. Auditlərin rüblük planı və CAPA.
12. Plan v1. 1: server consent cache, avtomatik bazar hesabatları.

20) Əlaqəli bölmələr

Yaş testi və yaş filtrləri

Reklam standartları və qadağalar/Reklam diskleymerləri və doğruluğu

Bonus şərtlərinin şəffaflığı

Affiliatların və tərəfdaşların uyğunluğu

Yurisdiksiyalar üzrə məlumatların lokallaşdırılması

Məsuliyyətli oyun və limitlər/Özünü istisna/Reality Checks

Tənzimləyici hesabatlar və məlumat formatları/Daxili və xarici audit

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.