GDPR: Ulanyjy razylygyny dolandyrmak

1) Maksady we sebiti

GDPR we ePrivacy bilen gabat gelýän, ähli ýüzlere: web, ykjam programmalar/SDK, e-mail/SMS/push, affiliatly lendingler, akymlar/sosial ulgamlar, wendor bellikleri üçin ýeke-täk, barlanylýan we ulanyjy üçin amatly razylyk we aragatnaşyk isleglerini dolandyrmak prosesini döretmek.

2) Esasy ýörelgeler

Erkiň erkin, anyk, habarly we birmeňzeş beýan edilmegi (metbugat/şertsiz elýeterlilik).
Maksatlaryň bölünmegi: analitika, şahsylaşdyrma, marketing, geolokasiýa, A/B synaglary, üçünji tarap bellikleri - aýry-aýry tumbler.
Yzyna almak razylyk ýaly ýönekeý. Ret etmek üçin "gözlegler" ýok.
Gara nagyşlaryň ýoklugy. Wizual ýoýulmalar/lokerler ýok.
Subut edilmegi. Loglar, tekstleriň wersiýalary, UI görnüşiniň skrinşotlary, syýasatçynyň heşleri.
Iň az we gizlinlik.

3) Hukuk esaslary (gysga gollanma)

Art. 6 (1) (a) Razylyk: marketing, şahsylaşdyrma, kesgitleýjiler bilen seljerme, şertsiz cookies/SDK.
Art. 6 (1) (b) Şertnama: hyzmat etmek üçin zerur amallar (berk zerur cookies).
Art. 6 (1) (f) Kanuny gyzyklanma (LIA): güýçli kepillikler we garşylyk hukugy bolan ýagdaýynda öndürijiligiň çäkli ölçegleri.
Art. 8 Çagalar: çaganyň razylygy üçin ýaş - ýurt boýunça çäk; kämillik ýaşyna ýetmediklerde - marketingiň gadagan edilmegi.
Art. 9 Aýratyn kategoriýalar: biometriýa/saglyk - marketingden daşary; aýry-aýry hukuk esaslary/gadaganlyklary.
ePrivacy: enjamy saklamak/oňa girmek (cookies/local storage/SDK) - diňe razylygy bolmazdan "gaty zerur"; galanlary - razylyk boýunça.

4) Rollar we RACI

DPO/Head of Compliance - syýasat, DPIA, şikaýatlara/töwekgelçiliklere gözegçilik. (A)

Legal - tekstler, talaplaryň lokalizasiýasy, esaslar matrisi. (R)

Product/UX - bannerler/preferens merkezi, anti-dark-patterns. (R)

Engineering/CMP Owner - CMP/SDK, API, wersiýalar, GPC/DNT integrasiýalary. (R)

CRM/Marketing - razylyk baýdaklary boýunça segmentasiýa, suppression. (R)

Data/Analytics - de-identifikasiýa, treking çäklendirmeleri. (C)

InfoSec - şifrlemek, açarlar, razylyk ýazgylaryna RBAC/ABAC. (C)

Internal Audit - subutnamanyň nusgalary, CAPA. (C)

5) Ylalaşyklaryň we islegleriň taksonomiýasy

Funksional (razylyksyz): berk zerur (autentifikasiýa, sebet, balans, froddan goramak).

1. Analitika (kesgitleýjiler/kross-enjam)

2. Mazmuny/oýunlary şahsylaşdyrmak

3. Marketing (e-mail/SMS/push/in-arr/telematika) - aýratyn kanallar

4. Remarketing/Ads (üçünji taraplaryň piksellerini/SDK-ny goşmak bilen)

5. Titremeýän geolokasiýa (şäher/sebit)

6. A/B-synag (eger kesgitleýjileri ulansa)

7. Affiliates bellikleri/partnýor pikselleri

6) CMP UX-patternleri (web/mobil)

Birinji gatlak (banner): gysga maksat + "Hemme zady kabul et", "Hemme zady ret et", "Sazla" - birmeňzeş görnüklilik.
Ikinji gatlak (panel): kategoriýalar boýunça tumbler we "Has giňişleýin" öwrüm (wendorlar, maksatlar, möhletler).
Preferens-merkezi (hasabynda): marketing kanallary (e-mail/SMS/push/telefon) - aýratynlykda; "Hemme zatdan abuna ýazylma" baglanyşygy.
Yzyna almak/üýtgetmek: islendik ekrandan 1-2 gezek basmak; hökmany wezipelere elýeterliligi üýtgetmeýär.
Elýeterlilik: kontrast, klawiatura, ekran reader, lokallar.
GPC/" Do Not Track": global signal, düýbünden zerur bolanlardan başga hemme zady nädip ret etmelidigi bilen düşündirilýär.
Mobil SDK: in-app CMP + ulgam rugsatlary (OS prompts) → serwer profili bilen sinhronizasiýa.

7) IAB TCF 2. 2 (giriş çarçuwasy)

Maksatlaryň/aýratynlyklaryň, wendorlaryň sanawynyň, TC stringiniň müşderi tarapynda saklanmagy.
TC-setirini, wersiýasyny, wendor-sanawyny saklamak; baýdaklarymyza mapping.
TC (prior consent) alynýança taglary/SDK blokirlemek.
"Deny All" statusyna we wendorlar boýunça permissiýalara hormat goýmak.
TCF däl bazarlar üçin - şol bir UX we magazineurnallaşdyrma bilen "aýratyn" CMP.

8) Kämillik ýaşyna ýetmedikler we ejizler

Eger bazar ýaşy <bosagasy bolsa - marketing kanallary we şahsylaşdyrma ýok; analitika - diňe berk zerur/PII-free.
Marketing SDK/piksel ýüklenýänçä ýaşyny barlamak.
SE/RG-baýdaklar: öz-özünden aýrylanda - razylyga garamazdan mejbury marketing suppression.

9) Gizlinlik, saklamak we retensiýa

Minimallaşdyryş modeli: hereketleriň faktlaryny (accept/deny/withdraw), tekstleriň wersiýalaryny, "çig" cookie-id däl-de, TC-setirini/hashlaryny saklamak.
Retensiýa: şu wagta çenli hereket edýän maksat/gatnaşyklar + bazar möhletleri (adatça marketing üçin işjeňlik bolmazdan 24 aý ≤).
Giriş: RBAC, üýtgewsiz magazinesurnallar (WORM), wagt - UTC.
Aýyrmak: jogap → derrew stop-processing; cron ulanylmaýan id/SDK keşlerini arassalaýar.

10) Maglumatlar we subutnamalar (iň pes model)

consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, lawful_basis{consent    contract    legit_interest},
status{accept    deny    withdraw}, source{web    app    email    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Artefaktlar: syýasatyň we banneriň tekstiniň heşi, wariantyň skrinshoty, razylyk pursatynda işjeň bellikleriň/SDK sanawy.
Aragatnaşyklar: 'consent _ id' suppression yzarlamak üçin CRM/Ads wakalary.

11) API/SDK we bellikleri blokirlemek

Edge/CMP-SDK: saýlamazdan ozal - diňe zerur skriptleri ýükleýäris.

• `GET /consents? user_id=...`
• `POST /consents` (create/withdraw)
• 'POST/marketing/preferences' (kanal baýdaklary)
• `POST /gpc/signal`
• Tag Manager Guards: "fire if consent. purpose. marketing == true».
• E-mail/SMS: diňe 'marketing' arkaly iberilýär. email = = true 'i "double opt-in" (zerur bolsa bazar).

12) CRM/Ads/Affiliates bilen gabat gelmek

Suppression-akymlar: CRM, Ads, affiliates-fiedlerde (batch + near-real-time) jogap → täzelenme suppression.
UTM/postbekler: diňe tehniki parametrleri geçirmek; razylyk aýratyn hukuk binýady bolmazdan hyzmatdaşlara "zyňylmaýar".
Affiliates: şol bir SMR/diskleýmeri görkezmäge borçludyrlar; onsuz lidler kwalifikasiýa edilmeýär.

13) Prosesler we ýagdaýlar

Hat arkaly seslenme: her e-poçtada "Unsubscribe all" we "Sazlamak". Jogap - derrew, sahypadaky/hatdaky tassyklama.
DSAR/ýüz tutmalar: ylalaşyklaryň häzirki baýdaklaryny, hereketleriň žurnalyny görkezmek; üçünji taraplaryň PII-si bolmazdan eksport.
Maksatlary üýtgetmek: täze maksat → täze razylyk haýyşy ("retroaktiw däl").
A/B-synagy: CMP UI-ni üýtgetmek - artefaktlara wersiýa/ekran, gara nagyşlaryň ýoklugyna audit.
Wakalar: rugsatsyz nädogry bellik ýüklemek → derrew takedown, loglaryň barlagy, CAPA.

14) KPI/KRI we daşbord

Opt-in Rate maksatlar/bazarlar/enjamlar boýunça

"Withdraw/Change Rate" we "Time-to-Withdraw-Apply" mediany

GPC Honor Rate (dogry işlenilen GPC signallarynyň paýy)

Tag Firing Violations

Suppression Integrity (yzyna çagyrylanda marketing = 0)

Complaint Rate и Regulatory Findings

Auditability Score (artefaktlaryň doly bukjasy bilen% ýazgylar)

15) Çek-listler

Başlamazdan ozal

• Esaslar we maksatlar matrisi ylalaşyldy (Legal/DPO).
• CMP "Hemme zady ret et", GPC, lokallary goldaýar.
• Tag Manager, ähli zerur däl bellikleri razy bolýança bloklaýar.
• Kanally preferens merkezi (e-mail/SMS/push/telefon).
• Suppression üçin CRM/Ads/Affiliates bilen aragatnaşyk.
• WORM-daky tekst/ekran suratlary.

Amallarda

• Firing düzgünleriniň we GPC düzgünleriniň bozulmagyna gözegçilik etmek.
• DSAR häzirki baýdaklar we magazineurnal bilen jogap berýär.
• Şikaýatlar we hadysalar - SLA we CAPA.

Audit/gowulaşmalar

• Subutnamalaryň dolulygyna çärýekleýin ýazgylar.
• A/B-rewyu CMP gara nagyşlara.
• Lokallary/hukuk tekstlerini täzelemek.

16) Şablonlar (çalt goşmalar)

17) Tehniki çarçuwa we wakalar

События: `consent_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.
Fiçler: GPC awtomatiki okamak; SDK-geýtlar; server-side consent cache; integrity-check Tag Manager; analitika üçin "PII-free" eksporty.
CI/CD-de synaglar: bellikleri blokirlemek linteri, wersiýa shemalarynyň göçmegi, CMP ekran synaglary.

18) Töwekgelçilikler we öňüni alyş

Tag Manager-daky düzgünler "deny by default".
Satyjylara garaşlylyk. → Satyjylaryň/maksatlaryň/ýurisdiksiýalaryň sanawy, DPA we audit.
Garaňky nagyşlar. → Dizaýn-rewew we düwmeleriň deňligine gözegçilik.
Subutnamanyň ýoklugy. → Skrinshotlar, tekst heşleri, WORM magazinesurnallary.
CRM/Ads. → Bitewi suppression hyzmaty + gündelik barlyşyklar.

19) 30 günlük durmuşa geçirmek meýilnamasy

1-nji hepde

1. Maksatlaryň/esaslaryň matrisini we tekstleri (lokallary) tassyklamak.
2. CMP (TCF 2 saýla/sazla. 2 + aýratyn maksatlar).
3. Maglumatlaryň we artefaktlaryň modelini aýratynlaşdyrmak, WORM-i goşmak.

2-nji hepde

4. CMP/SDK, Tag Manager "deny by default", GPC integrirlemek.
5. CRM/Ads üçin maslahat merkezini we API üpjünçiligini guruň.
6. Banneriň A/B görnüşlerini, ekran düzedişini taýýarlamak.

3-nji hepde

7. 10-20% traffigiň piloty: Opt-in/Withdraw/GPC Honor.
8. Şikaýatlar/hadysalar boýunça retro; UX/tekstleri düzetmek.
9. Dahyllylary hökmany CMP gatlagyna birikdirmek.

4-nji hepde

10. Doly goýberiş; KPI/KRI daşborduny we alertleri öz içine alyň.
11. Çärýek audit meýilnamasy we CAPA.
12. Meýilnama v1. 1: serwer consent cache, bazarlar boýunça awtomatiki hasabatlar.

20) Baglanyşykly bölümler

Ýaş we ýaş süzgüçlerini barlamak

Mahabat standartlary we gadaganlyklar/Mahabatyň dogrulygy we disklemerleri

Bonus şertleriniň aç-açanlygy

Affiliatlaryň we hyzmatdaşlaryň utgaşmasy

Ýurisdiksiýalar boýunça maglumatlaryň lokalizasiýasy

Jogapkär oýun we çäkler/Öz-özüňi aýyrmak/Reality Checks

Düzgünleşdiriji hasabatlar we maglumatlaryň formatlary/Içerki we daşarky audit