Miksi tämä käytäntö luotiin, ja mihin sitä sovelletaan?
Käytäntö vastaa kahden eurooppalaisen tietosuojalain, yleisen tietosuoja-asetuksen (GDPR) ja sähköisen viestinnän tietosuojadirektiivin, vaatimuksiin sekä näitä vastaaviin Yhdistyneen kuningaskunnan lakeihin. Sähköisen viestinnän tietosuojadirektiiviä ei pidä sekoittaa sähköisen viestinnän tietosuoja-asetukseen, jota valmistellaan parhaillaan. Näitä lakeja sovelletaan Euroopan talousalueella (ETA) ja Yhdistyneessä kuningaskunnassa asuviin loppukäyttäjiin. ETA-alueeseen kuuluvat EU:n jäsenvaltiot sekä Islanti, Liechtenstein ja Norja.
Tämän käytännön alkuperäisversio otettiin käyttöön vuonna 2015, ja sitä päivitettiin 25.5.2018 yleisen tietosuoja-asetuksen (GDPR) tullessa voimaan.
Onko minun noudatettava tätä käytäntöä kaikkien käyttäjien kohdalla, jos olen Euroopan talousalueella tai Yhdistyneessä kuningaskunnassa toimiva julkaisija tai mainostaja?
Googlen EU-alueella asuvan käyttäjän suostumuskäytäntö koskee vain Euroopan talousalueella tai Yhdistyneessä kuningaskunnassa asuvia loppukäyttäjiä.
Miten Google valvoo tämän käytännön noudattamista?
Tarkistamme mainospalveluitamme käyttäviä sivustoja ja sovelluksia – olemme tehneet näin siitä asti, kun käytäntö otettiin käyttöön vuonna 2015. Tarkastajamme käyttävät sivustoa tai sovellusta tavallisen kuluttajan tapaan ja kiinnittävät huomiota annettuihin tietoihin ja pyydettyihin suostumuksiin.
Meille tärkeintä on se, että käytäntöä noudatetaan, ja huolehdimmekin siitä yhdessä kumppaniemme kanssa. Jos käytännön noudattamisessa havaitaan ongelmia, asiasta ilmoitetaan ensin kumppanille ja tilanne yritetään korjata yhdessä tämän kanssa.
Kuten on tehty jo vuodesta 2015, sivustoille ja sovelluksille annetaan kohtuullinen aika tarvittavien muutosten tekemiseen. Jos yhteistyökumppani ei kuitenkaan ryhdy yhteistyöhön tai osoita vilpittömästi pyrkivänsä noudattamaan käytäntöä kohtuullisessa ajassa, asiaankuuluvat tilit voidaan jäädyttää tai niihin voidaan kohdistaa muita toimenpiteitä.
Sivustojen ja sovellusten tarkastusten lisäksi ilmoitimme toukokuussa 2023, että 16.1.2024 alkaen julkaisijoiden täytyy käyttää sertifioitua CMP:tä näyttäessään mainoksia käyttäjille ETA-alueella ja Yhdistyneessä kuningaskunnassa, jotta käytännön vaatimukset täyttyvät. Google tarkastaa jatkossakin julkaisijakumppaneiden sivustoja ja sovelluksia, joissa on otettu käyttöön sertifioitu CMP.
Mitä tietoja minun on annettava loppukäyttäjille?
Käytäntömme mukaan sinun on kerrottava, mitkä tahot saavat loppukäyttäjien henkilökohtaista dataa Google-tuotteen käytön johdosta. Lisäksi sinun on kerrottava näkyvästi ja helposti saatavilla olevassa muodossa, miten loppukäyttäjien henkilökohtaista dataa käytetään. Olemme kertoneet julkisesti, miten Google käyttää tietoja. Julkaisijoiden ja mainostajien täytyy lisätä linkki kyseiselle sivulle kertoakseen asianmukaisesti siitä, miten Google käyttää dataa. Myös muita mainosteknologian tarjoajia, joiden palveluihin Googlen tuotteita on integroitu, pyydetään kertomaan siitä, miten ne käyttävät henkilökohtaista dataa.
Muistilista yleisten virheiden välttämiseksi suostumusmekanismin käytössä
Nämä ovat vain esimerkkejä, eikä listan ole tarkoitus olla täydellinen. Jos olet julkaisija ja olet ottanut sertifioidun CMP:n käyttöön asianmukaisesti, listan ehtojen pitäisi jo täyttyä osaltasi. Varmista aina, että noudatat Googlen käytäntöjen vaatimuksia.
- Oletko kertonut käyttäjille, miten heidän henkilökohtaista dataansa käytetään, jos he suostuvat niiden keräämiseen sivustolla/sovelluksessa? Tietävätkö he, että henkilökohtaista dataa käytetään mainosten personointiin ja että personoidussa ja personoimattomassa mainonnassa voidaan käyttää evästeitä?
- Oletko varmistanut, että suostumusilmoitus näkyy sivuston/sovelluksen käyttäjille kaikissa ETA-maissa?
- Onko käyttäjille annettu mahdollisuus ilmaista suostumus konkreettisella toimenpiteellä, kuten klikkaamalla OK- tai Hyväksyn-painiketta?
- Oletko ilmoittanut, millä kolmansilla osapuolilla (Google mukaan lukien) on pääsy sivustolla/sovelluksessa keräämääsi käyttäjädataan?
- Oletko kertonut käyttäjille, miten Google käyttää heidän henkilökohtaista dataansa, jos he antavat suostumuksensa sivustolla/sovelluksessa? Voit esimerkiksi lisätä linkin Googlen Vastuu yritysdatasta ‑sivustolle. Entä tietävätkö käyttäjät, miten muut kolmannet osapuolet käyttävät henkilökohtaista dataa?
- Jos käytät kaupallistamiseen vain personoimattomia mainoksia, oletko varmistanut, että pyydät käyttäjien suostumuksen evästeiden ja muiden paikallisten tallenteiden (kuten mobiililaitteiden tunnisteiden) käyttöön lain niin vaatiessa? Huomaa, että verkkosivustoilla näkyvät personoimattomat mainokset edellyttävät silti evästeiden käyttöä.
- Jos kaupallistat impressioita vain rajoitetulla mainonnalla ja lisäksi poistat käytöstä henkilökohtaisen datan keräämisen, jakamisen ja käytön mainosten personointia varten, Google estää sellaisten ominaisuuksien (esim. näyttötiheyden rajoitustoiminnon) käytön, jotka edellyttävät paikallista tunnistetta. Kelpaamattoman liikenteen havaitsemiseen tarkoitettuja evästeitä ja paikallista tallennustilaa käytetään petoksilta ja väärinkäytöksiltä suojautumiseen vain, kun ohjelmallinen rajoitettu mainonta on päällä. Huomaa, että mainosten näyttöteknologiat (JavaScript-tagimme ja/tai SDK-koodimme) tallennetaan kuitenkin välimuistiin tai asennetaan osana käyttäjien selainten ja mobiilikäyttöjärjestelmien normaalia toimintaa. Sinun on arvioitava itse käytäntöön liittyvät velvollisuutesi, esimerkiksi vaadittavat ilmoitukset ja suostumukset, oikeudenkäyttöalueesi paikallisten lakien perusteella. Lisätietoa tästä ominaisuudesta on Ad Managerin ja AdMobin ohjekeskuksessa ja AdSensessa.
- Jos käytät IAB:n sertifioimaa CMP:tä, oletko lisännyt "Googlen mainontatuotteet" palveluntarjoajaksi?
- Oletko varmistanut, että suostumuksen puuttuessa Google Ads ‑evästeitä ei käytetä ja NPA:n oletustilaa ei muuteta?
Entä jos en halua, että käyttäjien henkilökohtaista dataa käytetään mainosten personointiin?
Voit valita, haluatko hyödyntää loppukäyttäjien henkilökohtaista dataa mainosten personointiin. Huomaa kuitenkin, että myös personoimattomat mainokset, joita näytetään verkkosivustoilla tai sovelluksissa, edellyttävät evästeiden tai mobiilitunnisteiden käyttöä. Sinun on saatava suostumus evästeiden tai mobiilitunnisteiden käyttöön lain niin vaatiessa.
Voit halutessasi kaupallistaa Ad Manager-, AdSense- ja AdMob-impressioita myös rajoitetulla mainonnalla. Sinun on arvioitava itse käytäntöön liittyvät velvollisuutesi, esimerkiksi rajoitettuun ja personoituun mainontaan vaadittavat ilmoitukset ja suostumukset, oikeudenkäyttöalueesi paikallisten lakien perusteella.
Mitä suostumuksen peruuttamiseen liittyviä ohjeita minun on annettava loppukäyttäjille?
Käytännön mukaan loppukäyttäjille on kerrottava, miten personoitujen mainosten sallimisen voi perua. Suostumuksen perumisen täytyy olla yhtä helppoa kuin sen antamisen. Loppukäyttäjien on vähintään tiedettävä, mistä he löytävät helposti sivuston tai sovelluksen mainosasetukset, joiden kautta suostumusvalintoja voi muuttaa.
Mitkä muut Googlen tuotteet kuuluvat tämän käytännön piiriin?
Mainos- ja mittaustuotteiden lisäksi tämä käytäntö mainitaan esimerkiksi Google Maps Platformin käyttöehdoissa, YouTube API Servicesin käyttöehdoissa, reCAPTCHAn käyttöehdoissa ja Bloggerissa.
Millaisia mainoksia pidetään personoituina tämän käytännön puitteissa?
Personoitu mainonta (aiemmalta nimeltään kiinnostuksiin perustuva mainonta) on tehokas työkalu, joka parantaa käyttäjille näytettävien mainosten osuvuutta ja mainostajien sijoitetun pääoman tuottoprosenttia (ROI). Julkaisijatuotteemme (riippuen niiden käyttötavasta) voivat tehdä päätelmiä käyttäjien kiinnostuksen kohteista sivustojen ja sovellusten käytön perusteella, jolloin mainostajat voivat kohdistaa kampanjansa niiden mukaan. Näin tarjotaan parempi kokemus sekä käyttäjille että mainostajille. Voit lukea lisää personoitujen mainosten mainostuskäytännöistä.
Google määrittelee mainoksen personoiduksi, jos mainoksen valinta perustuu aiemmin kerättyyn tai muuhun aiempaan dataan joko täysin tai osittain. Tällaista dataa voivat olla esimerkiksi käyttäjän aiemmat hakulausekkeet, käyttäjän toiminta, käynnit sivustoilla tai sovelluksissa, demografiset tiedot tai sijainti. Tämä kattaa esimerkiksi seuraavat: demografinen kohdistus, uudelleenmarkkinointi sekä kohdistus kiinnostuksen kohteiden, asiakaskohdistuslistojen tai Google Marketing Platformiin ladattujen kohdeyleisölistojen perusteella.
Suostumusbannerini on merkitty tarkastuksessa käytännön vastaiseksi. Mikä on paras tapa korjata asia?
Jos havaitsemme, että käytäntöä ei noudateta, prioriteettinamme on auttaa kumppaneitamme noudattamaan sitä. Saat tarkastustiimiltä lisätietoa virheestä ja siitä, miten teet sivustosta tai sovelluksesta käytännön mukaisen.
Mainostajat voivat varmistaa, että banneri on määritetty oikein kunnioittamaan käyttäjien valintoja, yhdessä kolmannen osapuolen CMP:n kanssa tai lukemalla asianmukaisen suostumuksenhallinta-asetusten dokumentaation ja varmistamalla, että ne on integroitu oikeinsuostumustilan kanssa.
Miksi tässä käytännössä edellytetään suostumusta evästeiden käyttöön, vaikka niitä ei käytettäisi personointiin vaan esimerkiksi mainosmittaukseen?
Evästeitä ja mobiilitunnisteita käytetään Googlen näyttämien personoitujen ja personoimattomien mainosten yhteydessä petosten ja väärinkäytösten estämiseen, näyttötiheyden rajoittamiseen ja mainosraporttien koostamiseen. Käytäntömme edellyttävät suostumuksen saamista evästeiden tai mobiilitunnisteiden käyttöön sellaisilta käyttäjiltä, joiden asuinmaan lainsäädännössä suostumusta vaaditaan
Entä jos olen mainostaja ja käytän Googlen tuotteita sivustollani?
Jos käytät sivustollasi Google Adsin, Google Marketing Platformin tai muiden mainontatuotteiden tageja, sinun on pyydettävä suostumus Euroopan talousalueella ja Yhdistyneessä kuningaskunnassa asuvilta käyttäjiltä Googlen EU-käyttäjäsuostumuskäytännön mukaisesti. Käytäntömme edellyttävät suostumuksen saamista, jos sivustolla käytetään evästeitä mittaustarkoituksiin tai henkilökohtaista dataa mainosten personointiin (esim. jos sivustolla on uudelleenmarkkinointitageja).
Mitä suostumusilmoituksessa pitäisi lukea?
Googlen käytännössä ei määrätä, mitä vaihtoehtoja käyttäjille tulee tarjota, sillä suostumusilmoituksen teksti riippuu datankäyttötavoistasi (esim. käytätkö dataa omiin tarkoituksiisi vai tukemaan muita käyttämiäsi palveluita).
Onko Googlella vaatimuksia sovelluksessa näkyvän suostumusviestin muotoilun suhteen?
Kyllä. Ilmoitimme toukokuussa 2023, että 16.1.2024 alkaen julkaisijoiden täytyy käyttää sertifioitua CMP:tä näyttäessään mainoksia käyttäjille ETA-alueella ja Yhdistyneessä kuningaskunnassa. Jos käyttämäsi CMP ei ole tällä listalla, suosittelemme, että sille pyritään saamaan sertifiointi.
CMP Partner Program luotiin mainontakumppaneiden tueksi suostumusbannereiden kehittämiseen ja määrittämiseen. Huom. Tämä ei ole kattava lista kaikista saatavilla olevista CMP:istä.
Miten kumppanien tulee valita käytettävä suostumustenkäsittelyalustan (CMP) tarjoaja?
CMP Partner Program luotiin mainontakumppaneiden tueksi suostumusbannereiden kehittämiseen ja määrittämiseen. Huom. Tämä ei ole kattava lista kaikista saatavilla olevista CMP:istä. Listalla olevan CMP:n käyttöönotto ei takaa Googlen EU-käyttäjäsuostumuskäytännön noudattamista, sillä siihen vaikuttaa myös CMP:n käyttöönottotapa ja käyttäjille näkyvä suostumusviesti (lisäohjeita tästä on "Muistilista kumppaneille yleisten virheiden välttämiseksi suostumusmekanismin käytössä" ‑kohdan yllä olevan kysymyksen yhteydessä).
Mitkä muut osapuolet keräävät loppukäyttäjien henkilötietoja, ja millä tavalla minun on kerrottava käyttäjille tällaisista kolmansista osapuolista?
Monet Googlen mainontajärjestelmiä hyödyntävät mainostajat ja julkaisijat käyttävät kolmannen osapuolen palveluja mainosten näyttämiseen ja mainoskampanjoiden tehokkuuden mittaamiseen sivustoilla ja sovelluksissa. Käytännön mukaan sinun on ilmoitettava selkeästi kaikki osapuolet (Google mukaan lukien), jotka voivat kerätä, vastaanottaa ja/tai käyttää loppukäyttäjien henkilötietoja Google-tuotteiden käyttösi seurauksena. AdSensen, Google Ad Managerin ja AdMobin asetuksilla voit valita, millä palveluntarjoajilla on oikeus kerätä dataa sivustollasi tai sovelluksessasi.
Sivustoni ei sijaitse Euroopassa. Koskeeko tämä käytäntö minua?
Kyllä, jos käytät käytännön piiriin kuuluvia Googlen tuotteita ja aiot antaa Euroopan talousalueella tai Yhdistyneessä kuningaskunnassa asuville käyttäjille pääsyn palveluihisi.
Olen julkaisija enkä kohdista kampanjoitani Euroopan talousalueelle tai Yhdistyneeseen kuningaskuntaan. Koskeeko suostumusvaatimus silti minua?
Suostumusta ei vaadita, jos Googlen palvelut poistetaan sivustolta näissä maissa olevien käyttäjien osalta. Suostumusta kuitenkin edellytetään, jos sivustolla käytetään Googlen palveluja, vaikka sillä ei näytettäisi mainoksia. Tämä johtuu siitä, että Google AdMob, AdSense ja Google Ad Manager käyttävät evästeitä ja käytäntömme edellyttää suostumusta evästeisiin, joita käytetään mittaustarkoitukseen. Google Ad Manager kerää myös henkilökohtaista dataa, ellei pyyntö koske personoimattomia mainoksia ja ellei tätä määritetä EU-käyttäjän suostumusasetuksissa tai itse pyynnössä.
Organisaatiomme on eri mieltä lain tulkinnasta, ja haluaisimme lähestyä tietojen antamista ja suostumuksia omalla tavallamme. Onko se mahdollista?
Google on sitoutunut noudattamaan GDPR:ää (mukaan lukien siltä osin kuin se on saatettu osaksi Yhdistyneen kuningaskunnan lainsäädäntöä) kaikkien Euroopassa tarjoamiemme palvelujen osalta. EU-käyttäjäsuostumuskäytäntömme kuvastaa tätä sitoumusta ja eurooppalaisten tietosuojaviranomaisten ohjeistusta. Jatkamme lainsäädännön ja alan käytäntöjen arviointia ja päivitämme suosituksiamme ja vaatimuksiamme sen mukaisesti.
Miksi tarvitsemme suostumusta mainosmittausta varten – eikö se sisälly oikeutettuihin etuihin?
Google käyttää mainosmittauksessa evästeitä ja erilaisia mainostunnisteita. Nykyiset sähköisen viestinnän tietosuojalait edellyttävät tällaisissa tapauksissa suostumusta käyttäjiltä, joiden maan lainsäädännössä vaaditaan suostumusta. Tämän vuoksi käytännössämme edellytetään suostumusta mainosten personointia ja mittausta varten. Tämä koskee myös offline-käyttötapausten (esim. ostot kaupasta) mittauksia.
Täytyykö minun saada suostumus ennen tagien käynnistymistä, vai voinko pyytää sitä jälkikäteen?
Suostumus mainosten personointiin tulee saada ennen Googlen tagien käynnistymistä sivustolla.
Entä klikkausseurannan käyttö?
Mainostajien tulee noudattaa sovellettavia lakeja, kun he käyttävät mahdollisia kolmannen osapuolen klikkaustenseurantateknologioita (eli työkaluja, jotka ohjaavat mainosta klikanneen käyttäjän selaimen kolmannen osapuolen mittauspalveluun ennen mainostajan laskeutumissivun avaamista). Googlen julkaisijoita koskevat palveluntarjoaja-asetukset eivät kata klikkausten seurantateknologioita.
Mitä tietoja minun tulee säilyttää?
Käytäntömme mukaan asiakkaidemme on säilytettävä tiedot käyttäjien antamista suostumuksista. Vähimmäisvaatimuksena tietojen tulee sisältää teksti ja vaihtoehdot, jotka suostumusmekanismi näytti käyttäjälle, sekä käyttäjän antaman suostumuksen päivämäärä ja kellonaika.
Miksi julkaisija-CMP:ni katsotaan käytäntöjen vastaiseksi, vaikka käyttämäni CMP on mm. IAB:n sertifioima?
Sertifioidun CMP:n käyttöönotto ei takaa Googlen EU-käyttäjäsuostumuskäytännön noudattamista, sillä siihen vaikuttaa myös CMP:n käyttöönottotapa ja käyttäjille näkyvä suostumusviesti (lisäohjeita tästä on "Muistilista kumppaneille yleisten virheiden välttämiseksi suostumusmekanismin käytössä" ‑kohdan yllä olevan kysymyksen yhteydessä).
Tarvitseeko minun noudattaa tätä käytäntöä, jos käyttämäni tuotteet käyttävät Privacy Sandbox ‑ohjelmointirajapintoja?
Kyllä. Kun käytät Privacy Sandbox ‑ohjelmointirajapintoja (API), (Topics, Protected Audience ja Attribution Reporting) saatat käyttää henkilökohtaista dataa mainosten personointiin ja/tai pääsyn saamiseen paikalliseen tallennustilaan. EU-käyttäjäsuostumuskäytäntö edellyttää, että pyydät käyttäjiltä kelvollisen suostumuksen näitä toimintoja varten samalla tavalla kuin nykyään mainosten personointia ja ei-välttämätöntä paikallisen tallennustilan käyttöä varten Euroopan talousalueella ja Yhdistyneessä kuningaskunnassa. Lisätietoa Privacy Sandboxista.
Tämän käytännön päivitykset
Googlen alkuperäistä EU-alueella asuvan käyttäjän suostumuskäytäntöä päivitettiin 25.5.2018. Pieniä muutoksia tehtiin 31.10.2019 kuvastamaan Yhdistyneen kuningaskunnan muuttuvaa suhdetta Euroopan unioniin. Tällä hetkellä käytäntöön ei ole odotettavissa muutoksia, mutta kuten yllä todetaan, lainsäädännön ja alan käytäntöjen arviointia jatketaan ja suosituksia ja vaatimuksia päivitetään sen mukaisesti.