GDPR 'Օգտագործողների համաձայն կառավարումը
1) Նպատակը և տարածքը
Ստեղծել մեկ, ստուգված և հարմար գործընթաց օգտագործողի համար համաձայնություն և հաղորդակցման նախասիրություններ կառավարելու համար, որը համատեղելի է GDPR և ePrivacy-ի հետ, որը կիրառելի է բոլոր մակերեսներին 'վեբ, բջջային ծրագրեր/SDK, e-mail/SMS/push, աֆիլիատիկ լենդինգներ, strims/սոցիալական ցանցեր, Wende teorgy
2) Հիմնական սկզբունքները
Ազատ, կոնկրետ, տեղեկացված և միանշանակ կամքի արտահայտություն (առանց մամուլի/մուտքի պայմանականության)։
Նպատակների բաշխումը 'վերլուծություն, կերպարացում, մարքեթինգ, երկրաբանություն, A/B թեստեր, կողմնակի թեստեր' առանձին մառախուղներ։
Վերանայումը նույնքան պարզ է, որքան համաձայնությունը։ Ոչ մի «որոնում» հրաժարվելու համար։
Մութ պաթուլների բացակայությունը։ Ոչ մի տեսողական խաչմերուկ/լոկեր։
Ապացուցումը։ Լոգները, տեքստերի տարբերակները, UI տարբերակը, հեշը։
Նվազագույն և սեփականատիրությունը լռելյայն է։
3) Իրավական հիմքերը (կարճ տեղեկատու)
Art. 6 (1) (a) Համաձայնություն ՝ մարքեթինգը, կերպարը, վերլուծությունը բաղադրիչների հետ, ոչ պայմանական cookies/PPK։
Art. 6 (1) (b) Պայմանագիրը 'վիրահատություններ, որոնք անհրաժեշտ են ռուսական ծառայությունների համար (խստորեն անհրաժեշտ cookies)։
Art. 6 (1) (f) Օրինական հետաքրքրություն (LIA) 'արտադրողականության սահմանափակ չափումներ ուժեղ հանդիպումների և փորձարկման իրավունքի դեպքում։
Art. 8 Երեխա 'երեխա համաձայնելու տարիքը երկրում շեմն է։ անչափահասների դեպքում մարքեթինգի արգելք է։
Art. 9 հատուկ կատեգորիաներ 'կենսաչափություն/առողջություն' մարքեթինգից դուրս։ որոշակի իրավական հիմքեր/արգելքներ։
Eprivacy: սարքի պահպանումը/հասանելիությունը (cookies/wwww.al storage/MSK) միայն «խստորեն անհրաժեշտ» է առանց համաձայնության։ մյուսները համաձայն են։
4) Դերեր և RACI
DPO/Head of Compliance-ը, DPIA-ն, բողոքների վերահսկումը/ռիսկերը։ (A)
Legal-ը տեքստերն են, պահանջների տեղայնացումը, հիմքերի մատրիցը։ (R)
Cort/UX-ը բաններ/նախադեպային կենտրոն է, anti-dark-patterns։ (R)
Engineering/CMS Owner - www.CBS/MSK, APK, տարբերակները, GPC/DNT։ (R)
CRM/Marketing - համաձայնությունների դրոշների, supression։ (R)
System/Analytics - de-նույնականացման ռեժիմներ, թրքինգի սահմանափակումներ։ (C)
Windows Sec-ը կոդավորումն է, բանալիները, RBAC/ABAC-ը համաձայնության լոգարներին։ (C)
Audit-ը ապացույցների նմուշն է, CAPA-ն։ (C)
5) Ներդաշնակությունների և նախասիրությունների տաքսոնոմիա
Ֆունկցիոնալ (առանց համաձայնության) 'խիստ անհրաժեշտ (վավերացում, զամբյուղ, հավասարակշռություն, պաշտպանություն ֆրոդից)։
Համաձայն (առանձին մառախուղներ)
1. Վերլուծություն (ազդանշաններ/cross-devis)
2. Բովանդակության/խաղերի կերպարը
3. Մարքեթինգը (e-mail/SMS/push/in-arr/telematica) - ալիքները առանձին
4. Remarketing/Ads (ներառյալ պիքսելները/MSK երրորդ դեմքերը)
5. Երկրաչափությունը ոչ խիստ է (քաղաքը/տարածաշրջանը)
6. A/B թեստավորում (եթե օգտագործում է բաղադրիչները)
7. Աֆֆիլիատ թեգեր/գործընկերային պիքսել
6) UX patterns CBS (վեբ/web)
Առաջին շերտը (դրոշը) 'հակիրճ նպատակը + «Ընդունել ամեն ինչ», «Շեղել ամեն ինչ», «Կարգավորել» -ը նույն նկատողությունն է։
Երկրորդ շերտը (վահանակ) 'մառախուղներ կատեգորիաներով և «Ավելին» (գենդերներ, նպատակներ, ժամկետներ)։
Նախապատվության կենտրոն (հաշվում) 'մարքեթինգի ալիքները (e-mail/SMS/push/հեռախոսը) - առանձին; հղում «Գրեք ամեն ինչից»։
Ակնարկ/փոփոխություն ՝ 1-2 կտոր ցանկացած էկրանից; չի փոխում հասանելիությունը ֆունկցիաներին։
Հասանելիություն 'հակադրություն, ստեղնաշար, screen-reader, lokali։
GPC/» Do Cort Track», գլոբալ ազդանշանը մեկնաբանվում է որպես շեղել ամեն ինչ, բացառությամբ խիստ անհրաժեշտ։
Բջջային SDK: In-ap CMS + ռուսական լուծումը (OS promp.ru) համապատասխանում է սերվերի մոդելի հետ։
7) IAB TCF 2. 2 (ներդրման շրջանակ)
Նպատակների ապակու աջակցությունը/հատկությունները, գողերի ցանկը, string TC-ը հաճախորդի կողմում։
TC տողերի պահպանումը, տարբերակները, վենդոր թերթերը։ մապինգը մեր դրոշներին։
Թեգերի/PPK-ի արգելափակումը մինչև TC (prior consent)։
Հարգանք «Deny All» կարգավիճակի և վենդերների մասին։
Non-TCF շուկաների համար «կաստոմային» CBS-ն նույն UX-ով և ամսագրերով։
8) Անչափահաս և խոցելի
Եթե տարիքը <շուկայի շեմն է, չկա մարքեթինգային ալիքներ և կերպարներ։ վերլուծությունը միայն խիստ անհրաժեշտ/PII-free է։
Տարիքային ստուգումը մինչև մարքեթինգային SDK/պիքսելների բեռնումը։
SE/RG դրոշները 'ինքնազարգացման դեպքում' հարկադիր marketing supression, անկախ համաձայնությունից։
9) Գաղտնիությունը, պահպանումը և վերականգնումը
Նվազեցման մոդել 'պահպանել գործողությունների փաստերը (accept/deny/withdr.ru), տեքստերի տարբերակները, TC-տողը/hashi, ոչ թե «հում» cookie-id։
Ռոտենցիա 'մինչ նպատակը/հարաբերությունները + շուկայի ժամանակահատվածը (սովորաբար 2424 մեզ առանց մարքեթինգի ակտիվության)։
Հասանելիություն ՝ RBAC, անփոփոխ ամսագրեր (WORM), ժամանակը UTC-ում։
Հեռացում 'վերանայված stop-processing; cast մաքրում է չօգտագործված id/MSK-kashi-ը։
10) Տվյալները և ապացույցները (նվազագույն մոդել)
consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, lawful_basis{consent contract legit_interest},
status{accept deny withdraw}, source{web app email sdk api},
captured_at_utc, ip_hash, ua_hash, gpc{true false},
evidence{banner_screenshot_id, copy_hash}, expires_atԱրտեֆակտներ ՝ քաղաքականության և բանների տեքստի հեշ, սկրինշոտ տարբերակ, ակտիվ թեգերի ցուցակը/SDK-ը համաձայնության պահին։
Կապեր ՝ "CRM/Ads-ի իրադարձությունները supression-ի համար։
11) API/PPK և թեգերի արգելափակումը
Edge/CMS-MSK-ն, մինչ ընտրությունը, միայն խիստ անհրաժեշտ ջութակներ ենք բեռնում։
Server-Side API:- `GET /consents? user_id=...`
- `POST /consents` (create/withdraw)
- «POST/marketing/wwww.ferences» (կանոնական դրոշներ)
- `POST /gpc/signal`
- Intel Guards: «fire if consent» կանոնները։ purpose. marketing == true».
- E-mail/SMS 'հաղորդագրությունները միայն' marketing։ email = = com "և" double opt-in "(անհրաժեշտության դեպքում շուկայի)։
12) CRM/Ads/Affiliats
Suppression-հոսքերը 'վերանայելով suppression-ը CRM, Ads, affiliat-fidach (batch + near-real-time)։
UTM/հետբեկներ 'փոխանցել միայն տեխնարամետրերը։ համաձայնությունը չի փոխվում առանց առանձին իրավական հիմքի։
Աֆֆիլիատներ 'պետք է ցույց տալ նույն SMR/դիսլեյմերը։ առանց դրա լիդերը չեն որակավորվում։
13) Գործընթացներ և դեպքեր
Նամակի միջոցով վերանայումը 'յուրաքանչյուր e-mail «Unsubscribe all» և «Տեղադրեք»։ Հուղարկավորությունը ակնթարթորեն հաստատվում է էջում/նամակում։
DSAR/կոչը 'ցույց տալ ռուսական դրոշները, գործողությունների ամսագիրը։ էքսպորտը առանց PII երրորդ դեմքերի։
Նպատակների փոփոխությունը 'նոր նպատակը նոր համաձայնության հարցումն է (ոչ «ռետրո»)։
A/B-թեստը 'UI CBS-ի փոփոխությունը - տարբերակը/սկրինը արտեֆակտների մեջ, մութ պաթուլների բացակայությունը։
Միջադեպերը 'թեգի սխալ բեռնումը առանց համաձայնության հաստատվում է takedown, լոգարանների աուդիտ, CAPA։
14) KPI/KRI և dashbord
Opt-in Rate նպատակների/շուկաների/սարքերի վրա
Withdrance/Change Rate-ը և մեդիան «Time-to-Withdrance-Appy»
GPC Honor Rate (GPC ազդանշանների մասնաբաժինը)
Express Firing Violics (սկսելը համաձայնության բացակայության դեպքում)
Supression Integrity (մարքեթինգը հետ կանչելիս = 0)
Complaint Rate и Regulatory Findings
Auditability Score (ձայնագրությունների տոկոսը արտեֆակտների ամբողջական փաթեթով)
15) Չեկ թերթերը
Գործարկումից առաջ
- Հիմքերի և նպատակների մատրիցը համաձայնեցված է (Legal/DPO)։
- CBS-ն աջակցում է «Շեղել ամեն ինչ», GPC, լոկալի։
- Donald Tramp-ը արգելափակում է բոլոր անհրաժեշտ թեստերը մինչև համաձայնության։
- Նախաճաշ կենտրոն ալիքներով (e-mail/SMS/push/հեռախոս)։
- Կապը CRM/Ads/affiliats supresion-ի համար։
- Տեքստերի/սկրինշոտների տարբերակները WORM-ում։
Վիրահատություններում
- Firing-կանոնների խախտումները և GPC-ը։
- DSAR-ը համապատասխանում է ներկա դրոշներին և ամսագրին։
- Բողոքներ և միջադեպեր - SLA և CAPA։
Աուդիտ/բարելավում
- Ձայնագրությունների եռամսյակային նմուշները ամբողջ ապացույցների վրա։
- A/B-reve CBS մութ փամփուշտների վրա։
- Լոկալների/իրավական տեքստերի նորարարությունը։
16) Ձևանմուշներ (արագ շարժիչներ)
A) Առաջին շերտի տեքստը (դրոշը)
[Մերժեք ամեն ինչ] [Կարգավորել] [Ընդունել ամեն ինչ]]
B) Երկրորդ շերտի տեքստը («Մարքեթինգի» նպատակը)
C) Նամակի ապացույց (ապացույց)
D) Բողոքի պատասխանը «դժվար է հրաժարվել»
17) Մոսկովյան շրջանակը և իրադարձությունները
События: `consent_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.
Ֆիչին 'ավտոմատ կարդալը GPC; MSK գեյթ; server-side consent cache; Ռուսաստանի Ֆեդեգրաֆիկայի integrity ստուգումները; «PII-free» էքսպորտը վերլուծության համար։
Թեստերը CI/CD-ում 'թեգերի արգելափակման ոսպնյակներ, տարբերակների սխեմաներ, CBS սկրինի թեստեր։
18) Ռիսկերը և կանխարգելումը
Թեգերի թերի արգելափակում։
Կախվածությունը գողերից. Wendors/նպատակների/խմբակցությունների, DPA և աուդիտ։
Մութ փամփուշտներ։ - Դիզայն-ռևե և կոճակների հավասարության վերահսկում։
Ապացույցների բացակայությունը։ WORM ամսագրերը։
Կարգավիճակների անհամապատասխանությունը CRM/Ads-ում։
19) 30-օրյա իրականացման պլան
Շաբաթը 1
1. Հաստատել նպատակների/հիմքերի մատրիցը և տեքստերը (լոկալի)։
2. Ընտրել/տեղադրել CBS (TCF 2։ 2 + կաստոմային նպատակներ)։
3. Ճշգրտել տվյալների և արտեֆակտների մոդելը, ներառել WORM-ը։
Շաբաթ 2
4. Ինտեգրել CBS/MSK, DIV «deny by no no», GPC։
5. Կառուցել նախապատվության կենտրոն և API supression CRM/Ads-ի համար։
6. Պատրաստել A/B տարբերակները, սկրինային ամրագրումը։
Շաբաթ 3
7. Օդաչուն 10-20 տոկոսն է 'Opt-in/Withdrance/GPC Honor-ը։
8. Ռետրոն բողոքների/միջադեպերի մասին։ UX/տեքստերի ուղղությունները։
9. Կապել աֆֆիլիատներին պարտադիր CBS շերտին։
Շաբաթ 4
10. Ամբողջական ռելիզը; միացրեք KPI/KRI և ալերտները։
11. Աուդիտի և CAPA-ի եռամսյակային պլանը։
12. Պլանը v1։ 1: սերվերային cache, շուկայի ավտոմատ հաշվետվություններ։
20) Կապված հատվածներ
Տարիքի և տարիքային ֆիլտրերի ստուգում
Գովազդային ստանդարտները և արգելքները/Դիսկլեյմերը և գովազդի ճշմարտացիությունը
Բոնուսային պայմանների թափանցիկությունը
Affiliats և գործընկերներ
Տվյալների տեղայնացումը միգրացիաների վրա
Պատասխանատու խաղը և սահմանները/Ինքնաբուխ/Reality Disks
Կարգավորող հաշվետվություններ և տվյալների գրանցումներ/Ներքին և արտաքին աուդիտ