GH GambleHub

Управління згодою на обробку даних

1) Навіщо потрібно управління згодою

Згода - це один із законних способів обробки персональних даних і запуску необов'язкових трекерів (аналітика/маркетинг). В iGaming/фінтехе грамотне управління згодою знижує юридичні ризики, впорядковує обмін з вендорами і зберігає конверсію за рахунок прозорості та контролю для користувача.

Ключові цілі:
  • Законність і доказовість (підзвітність).
  • Прозорість і контроль (opt-in/opt-out/відгук).
  • Мінімізація даних і «privacy by default».
  • Безшовна синхронізація статусу згоди між фронтом, беком і партнерами.

2) Коли потрібна згода (і коли - ні)

Потрібно (приклади):
  • Маркетингові комунікації (email/SMS/push) і персоналізована реклама.
  • Необов'язкова аналітика/атрибуція, A/B-тести, афіліатні пікселі.
  • Обробка біометрії (в ряді юрисдикцій) і чутливих даних.
  • Профілювання для маркетингу.
Зазвичай не потрібно (спираючись на інші підстави):
  • Виконання договору (аккаунт, транзакції, виплати).
  • Юридичний обов'язок (KYC/AML/податки, віковий контроль).
  • Легітимний інтерес (anti-fraud/безпека) - при перевірці балансу інтересів.
💡 Якщо ви обираєте згоду, вона повинна бути вільною, конкретною, інформованою та однозначною, з простою процедурою відкликання.

3) Життєвий цикл згоди

1. Запит - коректний контекст, зрозуміла мета і наслідки відмови.
2. Вибір - granular: категорії та/або вендори, рівна помітність «Прийняти все «/« Відхилити все «/« Налаштувати ».
3. Фіксація - журнал згоди: хто, що, коли, версія політики, регіон, канал (веб/мобайл/API).
4. Застосування - активація/блокування трекерів і потоків даних.
5. Синхронізація - поширення статусу в усі системи/вендорам.
6. Оновлення - при зміні політики або цілей: запит re-consent.
7. Відгук/зміна - в 1 клік з центру переваг; негайне застосування.
8. Зберігання/видалення - терміни для журналів згоди, експорт по DSR.

4) Архітектура Consent Management Platform (CMP)

Компоненти:
  • UI-шар: банер/центр переваг (веб), системні екрани (iOS/Android), локалізація.
  • Consent API: запис/читання статусу, валідація регіону/версії політики, device↔user зв'язування.
  • Policy Service: версії текстів і категорій, правила гео-юрисдикцій.
  • Tag/SDK Gate: інтеграція з тег-менеджером і мобільними SDK (prior-blocking до отримання статусу).
  • Event Bus: події'consent. granted/updated/withdrawn'для бека і партнерів.
  • Consent Ledger: незмінний журнал (WORM), звіти і аудит.
  • Vendor Sync: канали передачі статусу в рекламні/аналітичні платформи і до афіліатів.
Інтеграції:
  • Web: CMP + Tag Manager → умовне підключення пікселів.
  • Mobile: ініціалізація SDK після статусу; deferred consent при офлайн-старті.
  • Server-side: прокидання статусу в серверну аналітику/постбеки; Фільтрація подій.

5) Категорії згоди (рекомендована схема)

КатегоріяПрикладиТиповий режим
Обов'язкові (Strictly Necessary)сесія/безпека/anti-botБез opt-in, але з інформуванням
Функціональнімова/тема/доступністьOpt-in (ЄС )/opt-out (ряд регіонів)
Аналітикавимірювання трафіку, A/BOpt-in (ЄС), notice/opt-out (США)
Маркетинг/Sharingретаргетинг, look-alikeOpt-in (ЕС), opt-out + GPC (CA)
Афіліатипост-клік/пост-в'юOpt-in (ЄС), opt-out (США)

6) UX-патерни і тексти

Банер (ЄС, короткий):
  • "Ми використовуємо cookies та аналогічні технології для роботи сайту, аналітики та персоналізованої реклами. Виберіть категорії. Вибір можна змінити в будь-який час"

Кнопки: «Прийняти все»· «Відхилити все»· «Налаштувати» (рівна помітність).

Центр переваг: тумблери за категоріями, (опц.) за вендорами; посилання на політику; відображення активності GPC і «Do Not Sell or Share» (CA).

Маркетинг opt-in (email/SMS/push):
  • Чекбокси незалежно від загальних cookie-налаштувань; подвійне підтвердження, де виправдане (double opt-in).

7) Регіональні особливості (коротко)

ЄС/ЄЕЗ (ePrivacy + GDPR): opt-in на аналітику/маркетинг; легкий відгук; «privacy by default».
Каліфорнія (CCPA/CPRA): права opt-out від «sale» і sharing; обов'язкова підтримка GPC; посилання «Do Not Sell or Share»... і «Limit Use of Sensitive PI».
Бразилія (LGPD): згода для маркетингу, відгук так само легко, як надання; інформування про цілі/одержувачів.

8) Дитячі та вразливі групи

🚨 13 років: згода батька/опікуна (верифіковані механізми), заборона агресивного профілювання.

13–16: самостійний opt-in (у ряді юрисдикцій).
Робіть мову зрозумілою, уникайте темних патернів; зберігайте докази згоди.

9) GPC і «Do Not Sell or Share» (США)

При сигналі Global Privacy Control автоматично відключайте маркетинг/sharing і фіксуйте подію в журналі.
Реалізуйте видиме посилання «Do Not Sell or Share My Personal Information» і окремий потік для обмеження використання Sensitive PI.

10) Журнали згоди та звітність

Зберігайте:
  • Ідентифікатор користувача/пристрою (псевдонімізований), час, регіон, версію політики, канал (веб/мобайл), категорію/вендора, дію (grant/update/withdraw).
  • Історію змін і джерела (банер, центр, профіль, API).
  • Експорт для аудиту та докази законності.

Терміни зберігання журналів - по ретеншн-матриці (зазвичай термін дії відносин + N місяців).

11) Вендори та договірні обмеження

Перекласифікуйте контрагентів: service provider / processor / third party.
У договорах заборонити вторинне використання даних при opt-out/withdraw; вимагати підтримку статусів і каскадну передачу вниз по ланцюжку.
Синхронізувати статуси з рекламними платформами (restricted data processing, LDU-режими і аналоги).

12) Техконтур блокування та розповсюдження

1. Prior-blocking: не завантажувати не-обов'язкові теги/SDK до згоди.
2. Server-side filtering: відкидати події і параметри, якщо немає згоди.
3. Edge/Tag rules: правила запуску за категоріями; «kill-switch» при помилках.
4. Partner webhooks: оповіщення'consent. withdrawn`/`sharing. optout'для вендорів.
5. Міграції версій політики: re-consent при зміні цілей/вендорів/термінів.

13) Зв'язок з профілюванням та автоматизованими рішеннями

Для ризикових автоматизованих рішень (фрод/RG-скоринг) надайте значущу інформацію про логіку, право на перегляд людиною і канали апеляції.
Розводьте згоду на маркетинг і правові підстави для безпеки - не змішуйте.

14) Метрики та SLO

Consent Rate (загальний/по регіонах/каналах/джерелах трафіку).
Reject/Adjust Rate, Time-to-Consent.
GPC Honor Rate, Post-Consent Firing Accuracy (коректність включення тегів).
Re-consent Completion після оновлень політики.
Opt-out Propagation Time до партнерів.
Incident Rate (несанкціоновані firing/витоки ідентифікаторів).
Вплив на конверсію (реєстрація, FTD, депозит) і ROI маркетингу.

15) Чек-листи (операційні)

Старт/проектування

  • Визначені цілі та підстави; розділені «обов'язково» vs «за згодою».
  • Сформована таксономія категорій і список вендорів/SDK.
  • Підготовлені тексти банера/політики, локалі, версія.

Техніка

  • CMP підключений до будь-яких необов'язкових тегів.
  • Tag/SDK gating налаштований (веб/мобайл), серверна аналітика фільтрує події.
  • Журнали згоди з версіонуванням та георегулами.
  • GPC підтриманий; посилання «Do Not Sell or Share «.../» Limit Sensitive PI» активні для США.

Операції

  • Процес re-consent при зміні цілей/політики.
  • DSR-канали для видачі/видалення, експорт журналів.
  • Квартальний аудит вендорів/SDK і firing-логів.
  • Навчання саппорту та маркетингу, плейбуки помилок.

16) Шаблони формулювань (фрагменти)

Маркетинговий opt-in:
  • "Хочу отримувати персоналізовані пропозиції та новини по [канал]: email/SMS/push. Я можу відмовитися в будь-який момент в центрі уподобань або за посиланням в повідомленні"
Відкликання згоди:
  • "Ви відключили [категорія]. Ми припинили збір і передачу даних для цієї мети. Змінити вибір можна в будь-який момент в центрі переваг
Re-consent (зміна цілей):
  • "Ми оновили Політику: додана мета [опис] і постачальник [назва]. Будь ласка, оновіть ваш вибір"

17) Ретеншн і видалення

Визначте терміни зберігання для журналів згоди, маркетингових ідентифікаторів та cookie-міток.
Реалізуйте пайплайн видалення/анонімізації при відкликанні і після закінчення терміну, включаючи бекапи (відкладена очищення за графіком).

18) Дорожня карта впровадження (6 кроків)

1. Інвентаризація трекерів/вендорів, карта даних і цілей.
2. Дизайн CMP: категорії, тексти, геоправила, версії.
3. Інтеграція: prior-blocking, Tag/SDK gating, серверна аналітика, веб-хуки для партнерів.
4. Юридичний пакет: політика/банер, DPA і обмеження використання у вендорів.
5. Запуск та моніторинг: A/B банера, метрики Consent/GPC, коректність firing.
6. Операції: re-consent при змінах, квартальні аудити, звіти керівництву.

Підсумок

Управління згодою - це не один банер, а узгоджений контур політики, інтерфейсів, журналів та інтеграцій. Чітка таксономія, prior-blocking, підтримка GPC, швидкий відгук і надійна синхронізація з вендорами створюють правову стійкість і зберігають довіру користувачів - без втрат для швидкості продукту і якості UX.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.