GDPR: kullanıcı onayı yönetimi

1) Amaç ve alan

Onay ve iletişim tercihlerini yönetmek için GDPR ve ePrivacy ile uyumlu, tüm yüzeylere uygulanabilir birleşik, doğrulanabilir ve kullanıcı dostu bir süreç oluşturun: Web, mobil uygulamalar/SDK, e-posta/SMS/push, bağlı kuruluş inişleri, akışlar/sosyal ağlar, satıcı etiketleri.

2) Temel ilkeler

Özgür, spesifik, bilgili ve açık irade ifadesi (basın/erişim sözleşmesi yok).
Hedeflerin ayrılması: analitik, kişiselleştirme, pazarlama, coğrafi konum, A/B testleri, üçüncü taraf etiketleri - ayrı geçiş anahtarları.
Geri bildirim, onay kadar basittir. Reddedilmek için "arayış" yok.
Karanlık desen eksikliği. Görsel bozulma/dolap yok.
Kanıtlanabilirlik. Günlükler, metin sürümleri, UI sürümünün ekran görüntüleri, politika karmaları.
Varsayılan küçültme ve gizlilik.

3) Yasal gerekçeler (kısa referans)

Madde 6 (1) (a) Onay: pazarlama, kişiselleştirme, tanımlayıcılar ile analiz, koşulsuz çerezler/SDK.
Madde 6 (1) (b) Anlaşma: hizmetin sağlanması için gerekli işlemler (kesinlikle gerekli çerezler).
Madde 6 (1) (f) Meşru Menfaat (LIA): Güçlü güvenceler ve itiraz hakkı kapsamında sınırlı performans ölçümleri.
Madde 8 Çocuklar: çocuğun rızası için yaş - ülke eşiği; küçüklerle - pazarlama yasağı.
Madde 9 Özel kategoriler: biyometri/sağlık - dış pazarlama; Ayrı yasal dayanaklar/yasaklar.
E-Gizlilik: depolama/cihaza erişim (çerezler/yerel depolama/SDK) - sadece "kesinlikle gerekli" rızası olmadan; Gerisi rızasıyla.

4) Roller ve RACI

DPO/Uyum Başkanı - politika, DPIA, şikayetlerin/risklerin kontrolü. (A)

Yasal - metinler, gereksinimlerin yerelleştirilmesi, temel matris. (R)

Ürün/UX - afişler/tercih merkezi, anti-karanlık desenler. (R)

Mühendislik/CMP Sahibi - CMP/SDK entegrasyonları, API, sürümler, GPC/DNT. (R)

CRM/Pazarlama - rıza bayrakları ile segmentasyon, bastırma. (R)

Veri/Analitik - tanımlama modları, izleme kısıtlamaları. (C)

InfoSec - şifreleme, anahtarlar, günlükleri onaylamak için RBAC/ABAC. (C)

İç Denetim - kanıt örnekleri, CAPA. (C)

5) Onay ve tercihlerin taksonomisi

İşlevsel (izinsiz): kesinlikle gerekli (kimlik doğrulama, sepet, denge, sahtekarlık koruması).

1. Analytics (kimlikler/cihazlar arası)

2. İçeriği/oyunları kişiselleştirin

3. Pazarlama (e-posta/SMS/push/in-app/telematik) - kanallar ayrı ayrı

4. Yeniden pazarlama/Reklamlar (üçüncü taraf pikselleri/SDK'lar dahil)

5. Coğrafi konum katı değildir (şehir/bölge)

6. A/B testi (ID'ler kullanılıyorsa)

7. Bağlı Kuruluş Etiketleri/Bağlı Kuruluş Pikselleri

6) CMP UX desenleri (web/mobil)

İlk katman (banner): kısa hedef + "Tümünü Kabul Et", "Tümünü Reddet", "Özelleştir" - aynı görünürlük.
İkinci katman (panel): Anahtarları kategoriye göre değiştirin ve "Daha Fazla'yı (satıcılar, hedefler, son tarihler) yayın.
Tercih merkezi (hesapta): pazarlama kanalları (e-posta/SMS/push/telefon) - ayrı olarak; Bağlantı "Her şeyi takip et".
İnceleme/değişiklik: Herhangi bir ekrandan 1-2 tıklamayla; Gerekli özelliklere erişimi değiştirmez.
Kullanılabilirlik: kontrast, klavye, ekran okuyucu, yerel ayarlar.
GPC/" Do Not Track": Küresel bir sinyal kesinlikle gerekli dışında her şeyi reddetme olarak yorumlanır.
Mobil SDK: Uygulama içi CMP + sistem izinleri (OS istemleri) - sunucu profili ile senkronizasyon.

7) IAB TCF 2. 2 (çerçeve gömme)

Hedef/özellik yığını, satıcı listesi, istemci tarafında dize TC desteği.
TC-hattı, sürüm, satıcı listesini kaydetme; Bayraklarımıza işleniyor.
TC (önceden izin) alınana kadar etiketleri/SDK'ları engelleme.
"Hepsini Reddet" statüsüne ve satıcı izinlerine saygı.
TCF dışı pazarlar için - aynı UX ve günlük kaydı ile "özel" CMP.

8) Küçükler ve savunmasız

Yaş <pazar eşiği ise - pazarlama kanalları ve kişiselleştirme yok; Analytics - sadece kesinlikle gerekli/PII-free.
Pazarlama SDK'larını/piksellerini yüklemeden önce yaş doğrulaması.
SE/RG bayrakları: kendi kendini dışlama - rızadan bağımsız olarak zorla pazarlama baskısı.

9) Gizlilik, depolama ve saklama

Küçültme modeli: eylemlerin gerçeklerini (kabul et/reddet/geri çek), metin sürümlerini, TC-string/hash'leri ve "ham" çerezleri saklayın.
Tutma: Hedef/ilişki + pazar son tarihleri geçerliyken (genellikle pazarlama faaliyeti olmadan 24 ay ≤).
Erişim: RBAC, değişmez günlükler (WORM), zaman - UTC'de.
Kaldırma: geri çağırma - derhal durdurma işlemi; Cron kullanılmayan id/SDK önbelleklerini temizler.

10) Veri ve kanıt (minimal model)

consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, lawful_basis{consent    contract    legit_interest},
status{accept    deny    withdraw}, source{web    app    email    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

Dışlayıcılar: ilke metni ve banner karması, seçeneğin ekran görüntüsü, onay sırasında etkin etiketlerin/SDK'ların listesi.
Dernekler: 'consent _ id' ↔ CRM/Ads baskılama izlenebilirliği için etkinlikler.

11) API/SDK ve etiket engelleme

Kenar/CMP-SDK: seçmeden önce - sadece kesinlikle gerekli komut dosyalarını yüklüyoruz.

• 'GET/onaylar? user_id=...'
• 'POST/consents' (oluştur/geri çek)
• 'POST/pazarlama/tercihler' (kanal bayrakları)
• 'POST/gpc/signal'
• Tag Manager Guards "Onay verilirse ateş edin. amaç. pazarlama = doğru"
• E-posta/SMS: Yalnızca 'pazarlama'ile postalar. E-posta = = true've "double opt-in" (pazarın ihtiyacı varsa).

12) CRM/Reklamlar/İştirakler ile Uyumluluk

Baskılama akışları: CRM, Reklamlar, bağlı kuruluş beslemelerinde (parti + gerçek zamana yakın) hatırlama - güncelleme bastırması.
UTM/postbacks: transfer sadece teknik parametreler; Ayrı bir yasal çerçeve olmadan ortaklara "atılmaz".
Bağlı kuruluşlar: aynı CIW/feragatnameyi göstermeleri gerekmektedir; O olmadan, potansiyel müşteriler yeterli olmaz.

13) Süreçler ve davalar

E-posta yoluyla geri bildirim: Her e-postada "Tüm abonelikten çık've" Yapılandır. "Abonelikten çık - anında, sayfada/mektupta onay.
DSAR/erişimler: geçerli onay bayraklarını, etkinlik günlüğünü gösterir; Üçüncü taraf PII olmadan dışa aktarma.
Değişen hedefler: yeni hedef - yeni onay talebi ("geriye dönük'değil).
A/B testi: CMP UI'yi değiştirin - sürüm/ekran yapaylara, karanlık desenlerin yokluğu için denetim.
Olaylar: Etiketin izinsiz yanlış yüklenmesi - derhal kaldırılması, denetim günlükleri, CAPA.

14) KPI/KRI ve gösterge tablosu

Hedef/Pazar/Cihaza Göre Katılım Oranı

Geri Çekme/Değiştirme Oranı ve medyan "Geri Çekme-Başvuru Süresi"

GPC Onur Oranı

Etiket ateşleme ihlalleri

Bastırma Bütünlüğü (Pazarlama Geri Çağırma = 0)

Şikayet Oranı и Düzenleyici Bulgular

Denetlenebilirlik Puanı (tam eser paketine sahip kayıtların yüzdesi)

15) Kontrol listeleri

Lansmandan önce

• Temel ve Amaç Matrisi kabul edildi (Yasal/DPO).
• CMP, Tümünü Reddet, GPC, yerel ayarlarını destekler.
• Etiket Yöneticisi, siz kabul edene kadar tüm gereksiz etiketleri engeller.
• Kanallarla tercih merkezi (e-posta/SMS/push/telefon).
• Bastırma için CRM/Reklamlar/bağlı kuruluşlara bağlantı.
• WORM metin sürümleri/ekran görüntüleri.

Operasyonlarda

• Ateşleme kuralları ve GPC ihlallerini izleyin.
• DSAR geçerli bayraklar ve günlük ile yanıt verir.
• Şikayetler ve Olaylar - SLA'lar ve CAPA'lar.

Denetim/İyileştirme

• Kanıtların bütünlüğü için üç aylık örnek kayıtlar.
• CMP A/B karanlık desenlerin gözden geçirilmesi.
• Yerel/yasal metinleri güncelleyin.

16) Şablonlar (hızlı ekler)

17) Teknik çerçeve ve etkinlikler

События: 'consent _ banner _ showed', 'consent _ given/denied/retroved', 'gpc _ detected', 'tag _ fired _ blocked', 'marketing _ unsubscribed', 'dsar _ fulfilled'.
Özellik: otomatik GPC okuma; SDK kapıları; Sunucu tarafı onay önbelleği; Etiket Yöneticisi'nin bütünlük kontrolleri, analizler için "PII'siz" dışa aktarır.
CI/CD testleri: etiket engelleme linter, sürüm şeması geçişleri, CMP ekran testleri.

18) Riskler ve önleme

Tamamlanmamış etiket engelleme. - Etiket Yöneticisi'ndeki kurallar "varsayılan olarak reddeder".
Satıcı Bağımlılığı - Satıcı/Hedef/Yargı Listesi, DPA ve Denetim.
Karanlık desenler. - Tasarım incelemesi ve düğme eşdeğerliği kontrolü.
Kanıt eksikliği. - Ekran görüntüleri, metin karmaları, WORM günlükleri.
CRM/Reklamlarda durum uyumsuzluğu. - Tek servis bastırma + günlük mutabakatlar.

19) 30 günlük uygulama planı

Hafta 1

1. Hedefler/nedenler matrisini ve metinleri (yerelleri) onaylayın.
2. CMP'yi seçin/yapılandırın (TCF 2. 2 + özel hedefler).
3. Veri ve yapayların modelini belirleyin, WORM'u etkinleştirin.

2. hafta

4. CMP/SDK, Etiket Yöneticisi "varsayılan olarak reddet", GPC'yi entegre edin.
5. CRM/Reklamlar için bir tercih merkezi ve API bastırma oluşturun.
6. Afişin A/B versiyonlarını hazırlayın, ekran sabitleme.

3. hafta

7. Pilot Trafiğin %10-20'si: Opt-in/Withdraw/GPC Honor'u ölçün.
8. Şikayetler/olaylar üzerine Retro; UX/metin düzenlemeleri.
9. Bağlı kuruluşları zorunlu CMP katmanına bağlayın.

4. hafta

10. Tam sürüm; KPI/KRI panosunu ve uyarılarını etkinleştirin.
11. Üç aylık denetim ve CAPA planı.
12. Plan v1. 1: sunucu tarafı onay önbelleği, otomatik pazar raporlama.

20) İlgili bölümler

Yaş doğrulama ve yaş filtreleri

Reklam standartları ve yasakları/Feragatnameler ve reklamın doğruluğu

Bonus koşullarının şeffaflığı

Bağlı kuruluşların ve ortakların uyumu

Verilerin yargı alanlarına göre yerelleştirilmesi

Sorumlu Oyun ve Sınırlar/Kendini Dışlama/Gerçeklik Kontrolleri

Düzenleyici Raporlar ve Veri Formatları/İç ve Dış Denetimler