Cookies και CMP System Policy

1) Σκοπός και περιοχή

Θέσπιση ενιαίων κανόνων για τη νόμιμη αποθήκευση/ανάγνωση των αναγνωριστικών (cookies, τοπική αποθήκευση, SDK) και τη διαχείριση της συγκατάθεσης μέσω CMP σε όλες τις επιφάνειες: ιστός, iOS/Android, ηλεκτρονικό ταχυδρομείο/SMS/ώθηση, σελίδες προσγείωσης θυγατρικών, ροές. Το έγγραφο συμπληρώνει: «GDPR: Consent Management», «Age Verification», «Advertising Standards».

2) Νομική βάση (συνοπτικά)

ePrivacy: οποιαδήποτε μη αυστηρά απαραίτητα cookies/SDK - μόνο μετά από συγκατάθεση. «Απολύτως αναγκαία» (επαλήθευση ταυτότητας, καλάθι/ισορροπία, ασφάλεια/καταπολέμηση της απάτης) - επιτρέπεται χωρίς συγκατάθεση.
GDPR: συναίνεση ως νομική βάση για την επεξεργασία [άρθρο 6 παράγραφος 1 στοιχείο α)]· για τις δραστηριότητες παροχής υπηρεσιών - συμβατική ανάγκη [άρθρο 6 παράγραφος 1 στοιχείο β)]· έννομο συμφέρον - περιορισμένο και με δικαίωμα αντίρρησης.
Παιδιά/ευάλωτα: ταυτότητες εμπορίας/εξατομίκευσης - απαγορευμένες.

3) Αρχές

1. Δεν υπάρχουν περιττές ετικέτες πριν από την επιλογή σε CMP.
2. Διαχωρισμός στόχων: αναλυτική, εξατομίκευση, μάρκετινγκ, remarketing, geolocation, A/B - ξεχωριστοί διακόπτες εναλλαγής.
3. Ανατροφοδότηση = σε κλικ: τόσο απλή όσο η συναίνεση; στιγμιαία παύση της επεξεργασίας.
4. Χωρίς σκοτεινά μοτίβα: ίση ορατότητα «Αποδοχή όλων «/» Απόρριψη όλων «/» Προσαρμογή ».
5. Δυνατότητα απόδειξης: εκδόσεις κειμένου, hashes, στιγμιότυπα οθόνης UI, αρχεία καταγραφής κανόνων πυροδότησης.
6. Ελαχιστοποίηση/τοπικοποίηση: βάζουμε και αποθηκεύουμε μόνο ό, τι χρειάζεται σε αποδεκτές περιοχές.

4) Ρόλοι και ΠΓΣ

DPO/Συμμόρφωση (ιδιοκτήτης) - πολιτική, DPIA, απαντήσεις σε καταγγελίες. (A)

Νομικά κείμενα, τοπικές απαιτήσεις και περίοδοι διατήρησης. (R)

Προϊόν/UX - πανό/πάνελ, διαθεσιμότητα και τοποθεσίες. (R)

Μηχανική/Ιδιοκτήτης CMP - κλειδαριές ετικετών, SDK, API, εκδόσεις. (R)

Δεδομένα/Ανάλυση - τρόποι αποπροσδιορισμού, μέτρηση λαμβανομένων υπόψη των συναινέσεων. Γ)

CRM/Ads - καταστολή με την ανάκληση της συγκατάθεσης. (R)

InfoSec - κρυπτογράφηση, κλειδιά, πρόσβαση σε αρχεία καταγραφής συναίνεσης. Γ)

Εσωτερικός έλεγχος - δείγματα αποδεικτικών στοιχείων, CAPA. Γ)

5) Ταξινόμηση cookie/SDK

• Συνεδρία/εξακρίβωση ταυτότητας, ισορροπία/καλάθι, προστασία της απάτης και διανομή φορτίου, επιλογή απορρήτου.

• Αναλυτική (αναγνωριστικό επιπέδου χρήστη, διασταυρούμενης συσκευής).
• Εξατομίκευση (περιεχόμενο/παιχνίδια, συστάσεις).
• Μάρκετινγκ (ηλεκτρονικό ταχυδρομείο/SMS/push - κανάλια ξεχωριστά).
• Remarketing/Ads (pixels/SDK τρίτων).
• Δοκιμή A/B (εάν χρησιμοποιούνται αναγνωριστικά).
• Γεωτοπισμός «πόλη/περιφέρεια» (μη αυστηρή).

6) CMP: Πρότυπα και κείμενα UX

Πρώτο στρώμα (banner): σύντομο γκολ, 3 ισοδύναμα κουμπιά: Απορρίψτε όλα/Προσαρμόστε/Αποδέξτε όλα.
Δεύτερο στρώμα (πάνελ): στοχευόμενοι διακόπτες εναλλαγής, κατάλογος προμηθευτών και διάρκεια ζωής, σύνδεση με την πολιτική.
Κέντρο προτίμησης: στο προφίλ του παίκτη - σημαίες μάρκετινγκ καναλιών (e-mail/SMS/push/phone), «unsubscribe from everything».
Προσβασιμότητα: αντίθεση AA +, παγίδα εστίασης, οθόνη ανάγνωσης, εντοπισμός, κινητή προσαρμογή.
GPC/Do Not Track: παγκόσμιο σήμα = απόρριψη όλων (εκτός από απολύτως απαραίτητο).
Εφαρμογές: in-app CMP + system OS-progts. Συγχρονισμός με το προφίλ εξυπηρετητή.

7) IAB TCF 2. 2 (πλαίσιο)

Παραγωγή και αποθήκευση γραμμών TC, έκδοση καταλόγου πωλητών, χαρτογράφηση στόχων ↔ σημαίες μας.
Φραγή τρίτων ετικετών έως ότου ληφθεί TC (προηγούμενη συγκατάθεση).
Τήρηση αδειών/απαγορεύσεων για κάθε πωλητή και στόχο.
Για αγορές εκτός TCF - προσαρμοσμένη CMP με παρόμοια υλοτομία.

8) Ετικέτες, διαχειριστής ετικετών και Server-side

Απόρριψη εξ ορισμού: οι κανόνες σε TM μπλοκάρουν όλες τις περιττές ετικέτες μέχρι τη συγκατάθεση.
Διακομιστής-πλευρική σήμανση: διαμεσολαβητής βρόχου με μηδενισμό/συγκάλυψη αναγνωριστικών, ελλείψει συγκατάθεσης. η διάταξη αποθηκεύεται στην επιτρεπόμενη περιοχή.
SDK Gates - Αρχικοποίηση Marketing/Analytics SDK μόνο όταν ο στόχος είναι αληθινός.
Αρχεία καταγραφής πυρός: ποιος/τι/πότε «πυροβόλησε», υπό ποιά κατάσταση συναίνεσης.

9) Δεδομένα, τεχνουργήματα και κατακράτηση (ελάχιστο μοντέλο)

consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, status{accept    deny    withdraw}, source{web    app    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Αρχεία καταγραφής συναινέσεων/ανασκοπήσεων, εκδόσεις κειμένων, στιγμιότυπα οθόνης των παραλλαγών UI.
Διατήρηση: ενώ ο στόχος/σχέση είναι έγκυρος + τοπικές προθεσμίες. εμπορία - περιορισμένη (συχνά ≤ 24 μηνών αδράνειας).

10) Ενοποιήσεις: CRM/διαφημίσεις/συνδεόμενες επιχειρήσεις

Καταστολή: ανάκληση → άμεση απενεργοποίηση των διαύλων και ανακαίνιση (σχεδόν σε πραγματικό χρόνο + νυχτερινές παρτίδες).
Ηλεκτρονικό ταχυδρομείο/SMS: αποστολή μόνο όταν ισχύει ρητά για το κανάλι (διπλή επιλογή από την αγορά).
Θυγατρικές: επικεφαλής χωρίς CIW/έγκυρο καθεστώς συγκατάθεσης - δεν πληρούν τις προϋποθέσεις. συνθήκες έκδοσης/hash - απαιτούμενες.

11) Περιφερειακά προφίλ (υπόδειγμα)

Market: ______
Required banner elements:...
Retention and localization:...
Requirements for TCF/vendor lists:...
GPC/DNT status:...
Documents/mandatory links:...

12) Έλεγχος, δοκιμές και λογιστικός έλεγχος

Χιτώνιο CI: ελέγξτε για απόρριψη όλων, επεξεργασία GPC, μπλοκάρισμα ετικετών μέχρι τη συγκατάθεση.
δοκιμές: αποδοχή/άρνηση/εντός σεναρίων έλεγχος αρχείων καταγραφής πυροδότησης και καταστολή σε CRM.
Δείγματα: τριμηνιαίος έλεγχος των αρχείων συγκατάθεσης και των στιγμιότυπων οθόνης UI. την έκδοση κειμένων.
Περιστατικά: οιαδήποτε εκτόξευση ετικέτας χωρίς συγκατάθεση → άμεση αφαίρεση, λογική/διόρθωση, CAPA.

13) KPI/KRI και ταμπλό

Ποσοστό προαιρετικής συμμετοχής ανά στόχο/αγορά/συσκευή.
Ποσοστό απόσυρσης και Χρόνος Εφαρμογής (διάμεσος).
GPC Honor Rate (ορθή επεξεργασία σφαίρας. σήμα).
Παραβάσεις πυροδότησης ετικετών (ανά 1k λήψης).
Καταστολή Ακεραιότητα (Ανάκληση Εμπορίας = 0).
Ποσοστό καταγγελίας/πορίσματα Reg.
Βαθμολογία ακουστικότητας (% των εγγραφών με πλήρη συσκευασία αντικειμένων).

14) Κατάλογοι ελέγχου

Πριν την εκτόξευση

• Απορρίψτε όλα τα πανό, τοπικά, AA + διαθεσιμότητα.
• Κατηγορίες-στόχοι και κατάλογος πωλητών που έχουν συμφωνηθεί (Νομικός/ΥΠΔ).
• Διαχειριστής ετικετών: άρνηση εξ ορισμού. Πύλες SDK.
• Το GPC αναγνωρίζεται και εφαρμόζεται.
• Κέντρο προτίμησης με σημαίες καναλιών και «μη εγγραφή από τα πάντα».
• Ενεργοποιείται η αποθήκευση αποδεικτικών στοιχείων του WORM.

Σε πράξεις

• Παρακολουθεί τις παραβιάσεις των απολύσεων και τους GPC.
• Συμφωνία καταστολής CRM/Ads.
• Το DSAR επιστρέφει την τρέχουσα κατάσταση και το ημερολόγιο.

Έλεγχος/Βελτίωση

• Τριμηνιαία δείγματα συγκαταθέσεων και στιγμιότυπα οθόνης UI.
• Α/Β επανεξέταση του πανό για την απουσία σκοτεινών μοτίβων.
• Επικαιροποίηση περιφερειακών προφίλ και κειμένων.

15) Υποδείγματα (ταχεία εισαγωγή)

A) Banner (πρώτο στρώμα)

B) Ομάδα (στόχος «Remarketing/Ads»)

Κλειδί> Επιτρέψτε στις ταυτότητες να εμφανίζουν εξατομικευμένες διαφημίσεις σε εξωτερικούς ιστότοπους. Χωρίς αυτό, δεν θα χρησιμοποιήσουμε pixels/SDK τρίτων.

C) Ανάκληση της συγκατάθεσης (επιβεβαίωση)

κλειδιά> Οι ρυθμίσεις σας έχουν ενημερωθεί. Οι εξατομικευμένες διαφημίσεις και οι ταυτότητες μάρκετινγκ είναι απενεργοποιημένες. Μπορείτε ακόμα να παίξετε και να χρησιμοποιήσετε την υπηρεσία.

Δ) Απάντηση στην καταγγελία «αδύνατον να απορριφθεί»

16) Τεχνικό πλαίσιο και εκδηλώσεις

: 'cmp _ banner _ show События,' consent _ gived/reserved ',' gpc _ docted ',' tag _ fired _ blocked ',' sdk _ inicalized/blocked ',' marketing _ unsubscribed ',' dsar _ fulled '.

• 'GET/συναινέσεις user_id=...'
• 'POST/άδειες' (δημιουργία/ανάκληση/ενημέρωση)
• «ΤΑΧΥΔΡΟΜΕΙΑ/εμπορία/προτιμήσεις»
• 'POST/gpc/σήμα'
• Υποδομή: μνήμη συγκατάθεσης εξυπηρετητή, γεωγραφική σύνδεση κορμών, απόκρυψη αναγνωριστικών όταν αρνείται.

17) Κίνδυνοι και πρόληψη

Εκτελέστε ετικέτες πριν από τη συγκατάθεση. → Αρνητική εξ ορισμού, δοκιμές E2E, συναγερμοί.
Σκοτεινά μοτίβα στο πανό. → Ανασκόπηση σχεδιασμού, ίση ορατότητα κουμπιών.
Αναντιστοιχία κατάστασης σε CRM/Ads. → μια ενιαία υπηρεσία καταστολής και καθημερινές συμφωνίες.
Συλλογή περιττών αναγνωριστικών. → Ελαχιστοποίηση, κάλυψη, περιφερειακά προφίλ.
Έλλειψη αποδεικτικών στοιχείων. → Στιγμιότυπα/hashes/κούτσουρα στο WORM.

18) σχέδιο εφαρμογής 30 ημερών

Εβδομάδα 1

1. να εγκρίνει την ταξινόμηση των cookies/στόχων και των κειμένων (τοπικών)· DPIA.
2. Επιλογή/ρύθμιση CMP (TCF 2. 2 + προσαρμοσμένοι στόχοι), ενεργοποιήστε το GPC.
3. Προσδιορίστε το μοντέλο δεδομένων/τεχνουργήματος, αποθήκευση WORM.

Εβδομάδα 2

4) Εφαρμογή άρνησης εξ ορισμού σε διαχειριστή ετικετών, μνήμη συγκατάθεσης εξυπηρετητή, πύλες SDK.
5) Χτίστε ένα κέντρο προτίμησης (σημαίες καναλιών, «μη εγγραφείτε από τα πάντα»).
6) Καθιέρωση καταστολής σε CRM/Ads και συνδεόμενες ζωοτροφές.

Εβδομάδα 3

7) Πιλότος για το 10-20% της κυκλοφορίας: Opt-in/Remaw/GPC Honor, δοκιμή καταγραφής πυρός.
8) Διορθώνει τους κανόνες UX/Copyright/TM Fidbeck και περιστατικών.

Εβδομάδα 4

9) Πλήρης απελευθέρωση. Ενεργοποίηση ταμπλό KPI/KRI και ειδοποιήσεων.
10) Τριμηνιαίος έλεγχος και σχέδιο CAPA.
11) Σχέδιο v1. 1: σήμανση από την πλευρά του εξυπηρετητή για όλες τις αγορές, αυτόματη αναφορά με συγκατάθεση.

• GDPR: διαχείριση συναίνεσης χρήστη
• Επαλήθευση ηλικίας και φίλτρα ηλικίας
• Διαφημιστικά πρότυπα και απαγορεύσεις/Αποποίηση ευθύνης και ειλικρίνεια της διαφήμισης
• Διαφάνεια των όρων πριμοδότησης
• Εντοπισμός δεδομένων ανά δικαιοδοσία
• Πίνακας συμμόρφωσης και παρακολούθηση/εσωτερικός και εξωτερικός έλεγχος