RODO: zarządzanie zgodą użytkownika

1) Cel i obszar

Utwórz jednolity, weryfikowalny i przyjazny dla użytkownika proces zarządzania preferencjami zgody i komunikacji, kompatybilny z RODO i ePrivacy, mający zastosowanie do wszystkich powierzchni: stron internetowych, aplikacji mobilnych/SDK, e-mail/SMS/push, lądowań partnerskich, strumieni/serwisów społecznościowych, znaczników sprzedawcy.

2) Podstawowe zasady

Wolny, specyficzny, świadomy i jednoznaczny wyraz woli (brak konwencji prasy/dostępu).
Rozdzielenie celów: analityka, personalizacja, marketing, geolokalizacja, testy A/B, tagi firm trzecich - oddzielne przełączniki przełącznikowe.
Informacje zwrotne są tak proste jak zgoda. Żadnych „pytań” o odrzucenie.
Brak ciemnych wzorów. Brak zniekształceń wizualnych/szafek.
Niezawodność. Dzienniki, wersje tekstowe, zrzuty ekranu wersji interfejsu użytkownika, hasła zasad.
Domyślna minimalizacja i prywatność.

3) Podstawy prawne (krótkie odniesienie)

Art. 6 ust. 1 lit. a) Zgoda: marketing, personalizacja, analityka z identyfikatorami, bezwarunkowe pliki cookie/SDK.
Art. 6 ust. 1 lit. b) Umowy: operacje niezbędne do świadczenia usługi (ściśle niezbędne pliki cookie).
Art. 6 ust. 1 lit. f) Uzasadniony interes (LIA): Ograniczone pomiary wydajności w ramach silnych zabezpieczeń i prawa do sprzeciwu.
Art. 8 Dzieci: wiek dla zgody dziecka - próg kraju; z małoletnimi - zakaz wprowadzania do obrotu.
art. 9 Kategorie specjalne: biometria/zdrowie - marketing zewnętrzny; odrębne podstawy prawne/zakazy.
ePrywatność: przechowywanie/dostęp do urządzenia (pliki cookie/lokalne przechowywanie/SDK) - tylko „ściśle konieczne” bez zgody; reszta za zgodą.

4) Role i RACI

Inspektor ochrony danych/szef ds. zgodności - polityka, DPIA, kontrola skarg/ryzyka. A)

Prawo - teksty, lokalizacja wymagań, matryca fundamentowa. (R)

Produkt/UX - banery/centrum preferencji, anty-ciemne wzory. (R)

Engineering/CMP Owner - integracje CMP/SDK, API, wersje, GPC/DNT. (R)

CRM/Marketing - segmentacja za pomocą flag zgody, tłumienie. (R)

Dane/Analityka - tryby odinstalowania, ograniczenia śledzenia. (C)

InfoSec - szyfrowanie, klawisze, RBAC/ABAC do logów zgody. (C)

Audyt wewnętrzny - próbki dowodów, CAPA. (C)

5) Taksonomia zgody i preferencji

Funkcjonalne (bez zgody): bezwzględnie konieczne (uwierzytelnianie, koszyk, równowaga, ochrona przed oszustwami).

1. Analityka (identyfikatory/urządzenie krzyżowe)

2. Spersonalizuj zawartość/gry

3. Marketing (e-mail/SMS/push/in-app/telematics) - kanały oddzielnie

4. Remarketing/reklamy (w tym piksele/SDK osób trzecich)

5. Geolokacja nie jest ścisła (miasto/region)

6. Badanie A/B (jeżeli używa się identyfikatorów)

7. Tagi partnerskie/Piksele partnerskie

6) wzory CMP UX (web/mobile)

Pierwsza warstwa (baner): krótki cel + „Zaakceptuj wszystkie”, „Odrzuć wszystkie”, „Dostosuj” - ta sama widoczność.
Druga warstwa (panel): przełączniki przełączania według kategorii i rozpowszechniania „Więcej” (sprzedawcy, cele, terminy).
Centrum preferencji (na koncie): kanały marketingowe (e-mail/SMS/push/phone) - oddzielnie; Link „Opuść wszystko”.
Przegląd/zmiana: w 1-2 kliknięć z dowolnego ekranu; nie zmienia dostępu do wymaganych funkcji.
Dostępność: kontrast, klawiatura, czytnik ekranu, lokalizacje.
GPC/” Nie śledź”: światowy sygnał jest interpretowany jako odrzucający wszystko poza koniecznością.
Mobile SDK: w aplikacji Uprawnienia systemowe CMP + (OS prompts) → synchronizacja z profilem serwera.

7) IAB TCF 2. 2 (ramy wbudowania)

Obsługa stosu docelowego/funkcji, lista dostawców, TC łańcucha po stronie klienta.
Zapisywanie linii TC, wersji, listy sprzedawców; mapowanie na nasze flagi.
Blokowanie znaczników/SDK do momentu otrzymania TC (uprzedniej zgody).
Szacunek dla statusu „Deny All” i zwolenników sprzedaży.
Dla rynków innych niż TCF - „niestandardowe” CMP z tym samym UX i rejestrowania.

8) małoletni i podatni na zagrożenia

Jeśli wiek <próg rynkowy - brak kanałów marketingowych i personalizacji; analityka - wyłącznie konieczna/wolna od PII.
Weryfikacja wieku przed wprowadzeniem SDK/pikseli do obrotu.
Flagi SE/RG: self-exclusion - przymusowe tłumienie marketingu bez względu na zgodę.

9) Prywatność, przechowywanie i przechowywanie

Model minimalizacji: przechowywać fakty działań (akceptować/zaprzeczać/wycofać), wersje tekstowe, TC-string/hashes, a nie „surowe” pliki cookie.
Zatrzymanie: podczas gdy docelowe/relacje + terminy rynkowe obowiązują (zwykle ≤ 24 miesiące bez aktywności marketingowej).
Dostęp: RBAC, dzienniki immutable (WORM), czas - w UTC.
Usuwanie: przypomnieć → natychmiastowe zatrzymanie przetwarzania; cron czyści niewykorzystane pamięci podręczne id/SDK.

10) Dane i dowody (minimalny model)

consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, lawful_basis{consent    contract    legit_interest},
status{accept    deny    withdraw}, source{web    app    email    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Artefakty: hash tekstu zasad i banera, zrzut ekranu opcji, lista aktywnych znaczników/SDK w momencie wyrażenia zgody.
Skojarzenia: 'consent _ id' na zdarzenia CRM/Ads służące do śledzenia tłumienia.

11) API/SDK i blokowanie znaczników

Krawędź/CMP-SDK: przed wyborem - załadujemy tylko ściśle niezbędne skrypty.

• "GET/zgody? user_id=...'
• „POST/zgody” (tworzenie/wycofywanie)
• „POST/marketing/preferencje” (flagi kanałów)
• „POST/gpc/signal”
• Ogień straży menedżera tagu, jeśli się zgodzi. cel. marketing = = true"
• E-mail/SMS: maile tylko przez 'markketing. e-mail = = true'i „double opt-in” (jeśli potrzebuje rynku).

12) Zgodność z CRM/Ads/Affiliates

Strumienie tłumienia: przypomnij → aktualizacja tłumienia w CRM, Reklamy, kanały partnerskie (batch + near-real-time).
UTM/postbacks: przenoszenie tylko parametrów technicznych; zgoda nie jest „wyrzucana” partnerom bez odrębnych ram prawnych.
Podmioty zależne: są zobowiązane do wyświetlania tego samego CIW/zastrzeżenia; bez niego, tropy nie kwalifikują się.

13) Procesy i przypadki

Informacje zwrotne za pośrednictwem poczty e-mail: w każdym e-mailu "Zrezygnuj z subskrypcji" i "Konfiguracja. "Zrezygnuj z subskrypcji - natychmiast, potwierdzenie na stronie/w liście.
DSAR/dostęp: pokaż aktualne flagi zgody, dziennik aktywności; wywóz bez strony trzeciej PII.
Zmieniające się cele: nowy cel → nowe żądanie zgody (nie „wsteczne”).
Test A/B: zmiana interfejsu CMP - wersja/ekran na artefakty, audyt za brak ciemnych wzorów.
Incydenty: nieprawidłowe załadowanie znacznika bez zgody → natychmiastowe przejęcie, dzienniki audytu, CAPA.

14) KPI/KRI i deska rozdzielcza

Stawka opt-in według celu/rynku/urządzenia

Współczynnik wycofania/zmiany i mediana „Czas do wycofania się”

Stawka honorowa GPC

Tag łamanie ognia

Integralność tłumienia (Recall Marketing = 0)

Wskaźnik skarg - ustalenia regulacyjne

Wynik Auditability (% rekordów z pełnym pakietem artefaktów)

15) Listy kontrolne

Przed uruchomieniem

• Matryca podstawowa i celowa uzgodniona (Legal/DPO).
• CMP obsługuje Reject All, GPC, locales.
• Tag Manager blokuje wszystkie niepotrzebne znaczniki, dopóki nie wyrażasz na to zgody.
• Centrum preferencji z kanałami (e-mail/SMS/push/phone).
• Link do CRM/Ads/affiliates for suppression.
• WORM wersje tekstowe/zrzuty ekranu.

W operacjach

• Monitorowanie naruszeń przepisów dotyczących zwolnień i GPC.
• DSAR odpowiada bieżącymi flagami i dziennikiem.
• Skargi i incydenty - SLA i CAPA.

Audyt/Poprawa

• Kwartalne rejestry próbek dla kompletności dowodów.
• Przegląd ciemnych wzorów CMP A/B.
• Aktualizuj lokalizacje/teksty prawne.

16) Szablony (szybkie wkładki)

17) Ramy techniczne i wydarzenia

Состиа: 'consent _ banner _ shown', 'consent _ given/denied/withdrawn',' gpc _ detected ',' tag _ fired _ blocked ',' marketing _ unsubscribed ',' dsar _ met '.
Funkcja: automatyczny odczyt GPC; bramki SDK; pamięć podręczna po stronie serwera; Kontrola integralności eksportu Tag Manager „PII-free” dla analityki.
Testy w CI/CD: linter blokujący znacznik, migracje schematów wersji, testy ekranu CMP.

18) Zagrożenia i zapobieganie

Niekompletne blokowanie znaczników. → Zasady w Menedżerze tagów „domyślnie zaprzeczają”.
Zależność dostawcy → Sprzedawca/Docelowy/Lista jurysdykcji, DPA i Audyt.
Ciemne wzory. → Przegląd projektu i kontrola równoważności przycisków.
Brak dowodów. → Zrzuty ekranu, hasła tekstowe, dzienniki WORM.
Niedopasowanie stanu w CRM/Ads. → Tłumienie pojedynczej usługi + codzienne uzgodnienia.

19) 30-dniowy plan realizacji

Tydzień 1

1. Zatwierdzanie celów/przyczyn macierzy i tekstów (locales).
2. Wybierz/skonfiguruj CMP (TCF 2. 2 + niestandardowe cele).
3. Określić model danych i artefaktów, włączyć WORM.

Tydzień 2

4. Zintegruj CMP/SDK, Tag Manager „domyślnie odmówić”, GPC.
5. Zbuduj centrum preferencji i tłumienie API dla CRM/Ads.
6. Przygotuj wersje A/B banera, mocowanie ekranu.

Tydzień 3

7. Pilot 10-20% ruchu: Środek Opt-in/Wycofaj/GPC Honor.
8. Retro w sprawie skarg/incydentów; UX/edytuje tekst.
9. Podłącz podmioty stowarzyszone do obowiązkowej warstwy CMP.

Tydzień 4

10. Pełne zwolnienie; włącz deskę rozdzielczą KPI/KRI i wpisy.
11. Kwartalny audyt i plan CAPA.
12. Plan v1. 1: pamięć podręczna po stronie serwera, automatyczne raportowanie rynku.

20) Sekcje powiązane

Weryfikacja wieku i filtry wiekowe

Standardy i zakazy reklamowe/Zastrzeżenia i prawdziwość reklam

Przejrzystość warunków premiowych

Zgodność podmiotów stowarzyszonych i partnerów

Lokalizacja danych według jurysdykcji

Odpowiedzialna gra i limity/Samodzielne wykluczenie/Kontrola rzeczywistości

Sprawozdania regulacyjne i formaty danych/audyty wewnętrzne i zewnętrzne