Чому було створено ці правила й де вони застосовуються?
Ці правила відображають певні вимоги двох європейських законів про захист персональних даних — Загального регламенту захисту даних (GDPR) та Директиви про конфіденційність і електронні засоби звʼязку (ePrivacy Directive), а також схожих законів Великої Британії. Ці правила поширюються на користувачів у ЄЕЗ, Великій Британії і Швейцарії. До складу ЄЕЗ входять країни – учасниці ЄС, а також Ісландія, Ліхтенштейн і Норвегія.
Оригінальну версію цих правил було опубліковано у 2015 році й оновлено 25 травня 2018 року, коли набув чинності Загальний регламент захисту даних (GDPR). Правила востаннє оновилися 31 липня 2024, а їх дія поширилася на користувачів у Швейцарії.
Чи потрібно мені дотримуватися цих правил для показу реклами всім користувачам, якщо я видавець або рекламодавець із ЄЕЗ, Великої Британії чи Швейцарії?
Правила Google щодо отримання згоди користувачів із ЄС поширюються лише на кінцевих користувачів у ЄЕЗ, Великій Британії і Швейцарії.
Як Google забезпечуватиме дотримання цих правил?
З 2015 року, коли було опубліковано першу версію правил, ми періодично вручну перевіряємо сайти й додатки, які використовують рекламні сервіси Google. Наші спеціалісти заходять на сайти і в додатки як звичайні користувачі й оцінюють наведену там інформацію, а також спосіб отримання згоди.
Для нас дуже важливо, щоб наші партнери дотримувалися цих правил. Якщо ми виявимо, що партнер не дотримується наших правил, спершу ми зв’яжемося з ним і повідомимо про проблему. Після цього ми спільними зусиллями спробуємо забезпечити відповідність вимогам.
З моменту публікації цих правил у 2015 році ми даємо сайтам і додаткам достатньо часу, щоб внести потрібні зміни. Однак якщо партнер не співпрацює з нами або не докладає достатньо зусиль, щоб виконати вимоги впродовж відведеного часу, ми можемо вжити заходів щодо його облікового запису, зокрема заблокувати доступ до функцій залучення аудиторії, таких як персоналізація реклами (наприклад, ремаркетингу) і відстеження конверсій для рекламодавців. Видавцям буде дозволено лише обмежений показ реклами чи обмежений показ алгоритмічної реклами (якщо його ввімкнено).
На додаток до перевірки сайтів і додатків, ми вимагаємо, щоб видавці користувалися сертифікованими платформами керування згодою, показуючи рекламу користувачам у ЄЕЗ, Великій Британії і Швейцарії. Google продовжуватиме проводити перевірки сайтів і додатків наших партнерів-видавців, які використовують сертифіковану платформу керування згодою.
Рекламодавці, які показують рекламу користувачам у ЄЕЗ, повинні передавати Google статуси згоди користувачів (наприклад, за допомогою режиму згоди чи фреймворку TCF), якщо вони відстежують поведінку користувачів із ЄЕЗ, що використовують сайт або додаток, за допомогою тегів Google чи SDK та/або користуються функціями залучення аудиторії чи персоналізації реклами. Якщо ви завантажуєте тег Google, але не використовуєте останню версію режиму згоди, рекомендуємо скористатися платформою керування згодою з CMP Partner Program від Google. Цей список містить не всі доступні платформи керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою керування згодою від CMP Partners Program.
Яку інформацію я маю повідомляти кінцевим користувачам?
За нашими правилами, ви повинні надавати кінцевим користувачам інформацію про кожну сторону, яка отримує їхні персональні дані внаслідок використання продукту Google, а також чітко й доступно пояснити, як саме використовуються ці дані. Ми опублікували інформацію про те, як Google використовує дані. Щоб дотримуватися зобов’язань щодо розкриття інформації про використання даних компанією Google, видавці й рекламодавці повинні розмістити посилання на цю сторінку. Ми також просимо інших постачальників рекламних технологій, з якими інтегруються продукти Google, надавати інформацію про власні способи використання персональних даних.
Контрольний список, що допоможе уникнути поширених помилок під час застосування механізму отримання згоди користувачів
Список містить лише приклади й не є вичерпним. Завжди перевіряйте, чи ви реалізація рішення відповідає всім правилам Google.
- Чи реалізували ви спосіб надання згоди? Якщо ви видавець-партнер, чи пройшов ваш спосіб надання згоди сертифікацію Google?
- Чи пояснили ви користувачам, як використовуватимуться їхні персональні дані у вас на сайті чи в додатку (наприклад, чи знають вони, що на основі цих даних персоналізуватимуться оголошення, а файли cookie й ідентифікатори мобільних пристроїв можуть застосовуватися для підбору персоналізованої й неперсоналізованої реклами)?
- Ви впевнені, що користувачі з усіх країн ЄЕЗ, Великої Британії і Швейцарії бачать запит на надання згоди, коли відкривають ваш сайт чи додаток?
- Чи мали користувачі змогу підтвердити свою згоду, наприклад, натиснувши кнопку "OK" або "Прийняти"?
- Чи вказали ви, які треті особи (зокрема Google) також матимуть доступ до даних користувачів, що збираються на вашому сайті або в додатку?
- Чи повідомили ви користувачів, як Google застосовуватиме їхні персональні дані, коли отримає згоду для вашого сайту або додатка (наприклад, чи додали ви посилання на сайт Google про відповідальність щодо даних компаній? Чи вказали ви, як ці дані використовуватимуть треті особи?
- Чи надсилаєте ви як рекламодавець із користувачами в ЄЕЗ перевірені сигнали про згоду користувача, що відображають налаштування кінцевих користувачів? Чи правильно ви впровадили останню версію режиму згоди або фреймворку TCF?
- Чи переконалися ви, що файли cookie не встановлюються без згоди користувача, у ситуаціях, коли ця згода потрібна? Зверніть увагу, що для показу неперсоналізованої реклами на вебсайтах усе одно потрібні файли cookie.
- Для видавців: чи впровадили ви сертифіковану Google платформу керування згодою відповідно до вимог TCF? Якщо вам потрібно запитувати додаткову згоду, чи правильно ви це робите?
Що таке обмежений показ реклами?
Якщо ви видавець і розміщуєте лише рекламу з обмеженим показом, Google вимикає не лише функції збирання, передавання й використання персональних даних для персоналізації реклами, але й функції, які вимагають використання локального ідентифікатора, як-от обмеження частоти показів. Тільки коли ввімкнено автоматизований обмежений показ реклами, для захисту від шахрайства й зловживань використовуватимуться файли cookie, призначені лише для виявлення недійсного трафіку, і локальне сховище. Однак засоби розміщення оголошень (як-от теги JavaScript і/або код пакета SDK) усе одно кешуватимуться або встановлюватимуться для належної роботи вебпереглядачів і операційних систем мобільних пристроїв. Ви повинні самостійно визначити, яких правил вам потрібно дотримуватися відповідно до місцевого законодавства у вашій юрисдикції, зокрема чи потрібно вам сповіщати користувачів і отримувати їхню згоду. Докладнішу інформацію про цю функцію можна знайти в довідкових центрах Ad Manager, AdMob і Adsense.
Які вказівки я маю надати кінцевим користувачам, якщо вони хочуть відкликати свою згоду?
Згідно з цими правилами, ви повинні надати кінцевим користувачам інформацію про те, як відкликати згоду. Відкликати згоду має бути так само легко, як надати її. Кінцеві користувачі мають щонайменше отримати достатню інформацію про те, де знайти функції, за допомогою яких можна контролювати, яку рекламу вони бачать на вашому сайті чи в додатку, щоб вони могли змінити свій вибір щодо надання згоди.
Які ще продукти Google регулюються цими правилами?
Окрім продуктів для реклами й аналізу, ці правила також стосуються інших продуктів Google, зокрема вони згадуються в Умовах використання платформи Карт Google, Умовах використання YouTube API, Умовах використання reCAPTCHA та Blogger.
Які типи рекламних оголошень вважаються персоналізованими відповідно до цих правил?
Персоналізована реклама дає змогу покращити взаємодію як для користувачів (наприклад, через показ доречніших оголошень), так і для рекламодавців і видавців. У Google персоналізованою вважається та реклама, яка показується відповідно до персональних даних користувача, на основі яких підбираються оголошення. Докладнішу інформацію можна знайти тут.
Під час перевірки мій банер для надання згоди було позначено як невідповідний. Як краще вирішити цю проблему?
Якщо ми виявимо невідповідність цим правилам, пріоритетним завданням буде допомогти нашим партнерам відновити відповідність вимогам. Наша команда аудиторів надасть детальну інформацію про невідповідність і заходи, яких необхідно вжити, щоб ваш сайт або додаток відповідав правилам.
Щоб переконатися, що банер налаштовано правильно відповідно до вибору користувача, ми заохочуємо рекламодавців співпрацювати зі своєю сторонньою платформою керування згодою або переглянути відповідну документацію стосовно керування налаштуваннями згоди й переконатися в належній інтеграції з режимом згоди.
Видавцям рекомендуємо спробувати сертифіковану Google платформи керування згодою і скористатися цим засобом вирішення проблем, якщо потрібно усунути невідповідність вимогам.
Чому ці правила вимагають отримувати згоду користувача на використання файлів cookie, навіть якщо вони застосовуються для інших цілей, ніж персоналізація, наприклад для вимірювання ефективності реклами?
Персоналізована й неперсоналізована реклама, яка розміщується на платформі Google, використовує файли cookie або ідентифікатори мобільних пристроїв для обмеження частоти показів і створення зведених звітів. Згідно з цими правилами, у країнах, де вимагається згода користувачів на використання файлів cookie або ідентифікаторів мобільних пристроїв, ви повинні отримати таку згоду.
Чи застосовується ця вимога, якщо я рекламодавець і використовую продукти Google на своєму сайті чи в додатку?
Якщо ви застосовуєте на своїх сторінках чи в додатках теги для рекламних продуктів, таких як Google Ads або Google Marketing Platform, ви маєте отримати згоду користувачів із ЄЕЗ, Великої Британії і Швейцарії. Згідно з нашими правилами, згода користувача потрібна для файлів cookie, ідентифікаторів мобільних пристроїв або інших локальних сховищ, якщо це вимагається законом, а також для обробки особистих даних для персоналізованої реклами (наприклад, якщо у вас на сторінках чи в додатках установлено теги ремаркетингу).
Що має бути вказано в запиті згоди користувача?
У такому разі радимо ознайомитися з наведеним вище контрольним списком, щоб уникнути поширених помилок у реалізації способу/банера надання згоди й забезпечити його відповідність цим правилам.
Політика Google не визначає, які варіанти вибору потрібно пропонувати користувачам, оскільки текст вашого запиту на згоду залежатиме від того, як ви використовуєте дані (наприклад, якщо ви застосовуєте дані для власних цілей або підтримки інших сервісів, з якими працюєте).
Чи вимагає Google використовувати певну форму запиту на отримання згоди на обробку персональних даних для додатків?
У випадку видавців, так. Видавці Google повинні перейти на сертифіковану Google платформу керування згодою, щоб показувати персоналізовану рекламу користувачам у ЄЕЗ, Великій Британії і Швейцарії.
Рекламні партнери Google, що показують оголошення користувачам із ЄЕЗ, повинні надсилати в Google сигнали, що відображають налаштування кінцевих користувачів, за допомогою режиму згоди чи фреймворку TCF. Рекламодавці можуть створити й налаштувати банери для надання згоди за допомогою CMP Partner Program. Зауважте, що цей список містить не всі доступні платформи керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою керування згодою від CMP Partners Program.
Як партнери мають вибирати постачальника платформи керування згодою?
Для рекламних партнерів ми розробили програму CMP Partner Program, щоб допомогти рекламодавцям створювати й налаштовувати банери для надання згоди. Зверніть увагу, що цей список доступних платформ керування згодою не є вичерпним. Використання перелічених платформ не гарантує дотримання Правил Google щодо отримання згоди користувачів із ЄС, оскільки відповідність вимогам залежить від використання платформи керування згодою і конкретного запиту на отримання згоди, який бачать користувачі (щоб дізнатися більше, вище перегляньте пункт "Контрольний список для партнерів, що допоможе уникнути помилок під час застосування механізму отримання згоди користувачів").
Видавці-партнери повинні перейти на сертифіковану Google платформу керування згодою, інтегровану з фреймворком Transparency and Consent Framework (TCF) від IAB Europe, щоб показувати персоналізовану рекламу користувачам у ЄЕЗ, Великій Британії і Швейцарії.
Які треті сторони збирають персональні дані кінцевих користувачів і як їх ідентифікувати?
Багато рекламодавців і видавців, які використовують рекламні системи Google, розміщують оголошення на сторонніх ресурсах, а також застосовують їх для вимірювання ефективності своїх рекламних кампаній на вебсайтах чи в додатках. Згідно з нашими правилами, ви повинні чітко вказати кожну особу, яка може збирати, отримувати та/або обробляти персональні дані кінцевих користувачів, коли ви користуєтеся продуктами Google.
Мій вебсайт чи додаток зареєстровано не в Європі. Чи поширюються ці правила на мене?
Так, якщо ви використовуєте продукти Google, що регулюються цими правилами. Ці правила поширюються лише на кінцевих користувачів із ЄЕЗ, Великої Британії і Швейцарії.
Я видавець і не націлюю свої кампанії на користувачів із ЄЕЗ, Великої Британії чи Швейцарії. Чи поширюються ці вимоги на мене?
Ці правила поширюються на користувачів у ЄЕЗ, Великій Британії і Швейцарії. Ці правила не застосовуються, якщо сервіси Google було вилучено з вебсайту або додатка для користувачів у цих країнах.
Наша організація по-іншому трактує закон і хоче застосовувати інший підхід до розголошення й отримання згоди користувачів. Це можливо?
Google дотримується вимог регламенту захисту даних (GDPR), зокрема в межах, установлених законодавством Великої Британії, у всіх сервісах, які ми надаємо в Європі. Наші Правила щодо отримання згоди користувачів із ЄС відображають це зобов’язання й вказівки європейських органів захисту даних. Хоч наші партнери й можуть тлумачити закони по-різному, ми вимагаємо від них обов'язково дотримуватися цих правил. Ми продовжимо оцінювати цей закон і галузеві стандарти й відповідно оновлюватимемо наші рекомендації та вимоги.
Чому потрібно отримувати згоду на вимірювання ефективності реклами? Хіба це не законний інтерес?
Google використовує файли cookie й різноманітні рекламні ідентифікатори для вимірювання ефективності реклами. Згідно із законом "Про конфіденційність і електронні засоби зв’язку", для цього потрібно отримати згоду користувачів із країн, де це вимагається. Тому наші правила передбачають отримання згоди на персоналізацію і вимірювання ефективності реклами, якщо це вимагається законодавством.
Коли потрібно отримати згоду: перед додаванням тегів рекламодавця Google чи після?
Перш ніж ми додамо теги рекламодавця на ваші сторінки чи в додатки, ви маєте отримати згоду на персоналізовану рекламу й використання файлів cookie або інших локальних сховищ, якщо це вимагається законом.
Чи поширюються ці правила на відстеження кліків?
Якщо рекламодавці використовують сторонні технології відстеження кліків (коли клік оголошення спрямовує користувача на цільову сторінку рекламодавця через стороннього постачальника послуг аналізу), вони мають дотримуватися вимог відповідних законів. Елементи керування постачальниками Google для видавців не призначені для технологій відстеження кліків.
Які записи потрібно зберігати?
Відповідно до наших правил, клієнти повинні зберігати записи про згоду користувачів, у яких міститься принаймні її текст і варіанти вибору, запропоновані користувачам, а також дата й час отримання згоди.
Чому платформу керування згодою мого видавця було визнано такою, що не відповідає вимогам? Я використовую платформу, сертифіковану Бюро інтерактивної реклами (IAB).
Перехід на одну із сертифікованих платформ керування згодою не гарантує відповідність Правилам Google щодо отримання згоди користувачів із ЄС, оскільки ми оцінюємо реалізацію платформи керування згодою і конкретний запит на отримання згоди, який бачать користувачі (щоб дізнатися більше, вище перегляньте пункт "Контрольний список для партнерів, що допоможе уникнути помилок під час реалізації механізму отримання згоди користувачів").
Чому мій сайт або додаток було визнано таким, що не відповідає вимогам? Я користуюся платформою керування згодою для партнерів Google.
Рекламні партнери можуть скористатися програмою CMP Partner Program. Ми створили її, щоб допомагати рекламодавцям розробляти й налаштовувати банери для надання згоди на сайтах і в додатках та надавати їм підтримку під час інтеграції режиму згоди. Перехід на одну з перелічених платформ не гарантує відповідність Правилам Google щодо отримання згоди користувачів із ЄС, оскільки ми оцінюємо реалізацію платформи керування згодою і конкретний запит на отримання згоди, який бачать користувачі (щоб дізнатися більше, вище перегляньте пункт "Контрольний список для партнерів, що допоможе уникнути помилок під час реалізації механізму отримання згоди користувачів").
Чи потрібно мені дотримуватися цих правил, якщо я користуюся продуктами, які використовують Privacy Sandbox API?
Так. Працюючи з Privacy Sandbox API (Topics, Protected Audience і Attribution Reporting), ви можете використовувати персональні дані для персоналізації реклами та/або доступу до локального сховища. Відповідно до Правил щодо отримання згоди користувачів із ЄС, у таких випадках вам потрібно отримати дійсну згоду користувачів за тією самою процедурою, яка зараз застосовується для дозволів на персоналізацію реклами й використання другорядного локального сховища. Докладніше про Privacy Sandbox.
Чи мають рекламодавці надсилати сигнали про підтвердження згоди (за допомогою фреймворку TCF чи режиму згоди) для користувачів у Великій Британії і Швейцарії?
Ми не вимагаємо від рекламодавців надсилати сигнал про підтвердження згоди користувачів у Великій Британії і Швейцарії (за допомогою режиму згоди або фреймворку TCF). Примітка: вимога надсилати сигнал про підтвердження згоди застосовується до рекламовадців, що показують оголошення кінцевим користувачам у Європейській економічній зоні (ЄЕЗ). Радимо скористатися партнерською платформою для керування згодою від Google, якщо вам потрібна допомога з реалізацією. Зауважте, що цей список містить не всі доступні платформи керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою керування згодою від CMP Partners Program.
Оновлення цих правил
Оригінальну версію правил Google щодо отримання згоди користувачів із ЄС оновлено 25 травня 2018 року. Щоб відобразити розвиток відносин між Великою Британією і ЄС, ми внесли незначні зміни 31 жовтня 2019 року.
Після змін, запроваджених у липні 2024 року, дія Правил щодо отримання згоди користувачів із ЄС також поширюється на Швейцарію.
Наразі подальші зміни в правилах не передбачаються. Однак ми продовжимо оцінювати цей закон і галузеві стандарти й відповідно оновлюватимемо наші рекомендації та вимоги.