Ogólnie sprawa jest prosta.
Przetwarzasz dane użytkowników musisz mieć okienko. Nie przetwarzasz wcale to nie musisz.
Dla małych serwisów prawdopodobnie wystarczy Ci proste okienko z informacją. Nie w każdym przypadku musisz mieć zarejestrowane CMP_ID czy listy współpracujących partnerów.
Są też "self hosted consent manager" - wówczas za darmo możesz to na swojej stronie zaimplementować.
Większość przepisów w tych wszystkich krajach sprowadza się do tego, że nie możesz odpalić skryptów śledzących / analizujących do momentu aż wyraźnie poinformowany użytkownik strony nie wyrazi na to zgody. Czyli najpierw pokazuje się komunikat z informacja co robią skrypty. Dopiero po tym jak klient oznacza i klika, że zgadza się na uruchomienie tych skryptów,
Dołączasz je do strony. Dynamicznie , ajaxem czy innymi sposobami uruchamiasz skrypty GTAG, Facebook pixel itp.
Zaimplementowanie czegoś takiego to parę godzin roboty w JS ale masz rozwiązanie dla wszystkich pozostałych klientów i nie musisz za to nikomu płacić.
Dodatkowo musisz dać możliwość cofania zgody oraz musisz przechowywać informacje o wyrażonych i cofniętych zgodach na potrzeby kontroli.
Owszem są przypadki kiedy łatwiej skorzystać z gotowych rozwiązań ale jak sam pisałeś - w małym serwisie pewnie nie będziesz wyświetlać profilowanych reklam.
Jeśli serwis wymaga logowania to o wszystkich sposobach przetwarzania informujesz w regulaminie, który użytkownik musi zaakceptować podczas zakładania konta. Wówczas wyskakujące okienka nie są niezbędne.
Tu znajdziesz wytyczne i sugestie UE w tym temacie:
https://turserwis.pl/seoContent_pl/self-hosted-consent-manager/edpb_guidelines_202005_consent_pl.pdf
Bełkot straszliwy ale to jedynie świadczy o tym jakie "osoby" się tym zajmują.
Warto przejrzeć całe ale najciekawsze masz w okolicy punktu 80.
Najogólniej rzecz ujmując. Nie kantuj, nie cwaniakuj, poinformuj użytkownika o tym co faktycznie robisz, zbierz zgody, daj możliwość cofnięcia zgody i po kłopocie.
Masz też różne rozwiązania darmowe np.:
https://www.freeprivacypolicy.com/free-cookie-consent/
Choć tu skrypt wywołuje zewn., serwer a to też przetwarzanie danych... więc lepiej poszukać self hosted.