Varför finns denna policy och när gäller den?
Policyn återspeglar särskilda krav i två europeiska integritetslagar: Allmänna dataskyddsförordningen (GDPR) och ePrivacy-direktivet, samt eventuella motsvarande lagar i Förenade kungariket. ePrivacy-direktivet bör inte förväxlas med den föreslagna förordningen om integritet och elektronisk kommunikation som diskuteras för närvarande. Dessa lagar gäller slutanvändare i Europeiska ekonomiska samarbetsområdet (EES) och i Förenade kungariket. EES inbegriper medlemsstaterna i EU samt Island, Liechtenstein och Norge.
Den ursprungliga versionen av policyn presenterades 2015 och uppdaterades den 25 maj 2018, då den allmänna dataskyddsförordningen (GDPR) trädde i kraft.
Behöver jag följa denna policy för alla användare om jag är en utgivare eller annonsör baserad i EES eller Förenade kungariket?
Googles policy för användares medgivande inom EU gäller endast slutanvändare baserade i EES eller Förenade kungariket.
Hur säkerställer Google efterlevnaden av denna policy?
Vårt tillvägagångssätt gällande efterlevnad är att utföra granskningar av webbplatser och appar som använder våra annonseringstjänster, vilket vi har gjort sedan policyn presenterades 2015. Våra granskare besöker en webbplats eller app på samma sätt som en konsument gör och vi granskar informationen som tillhandahålls och vilka samtycken som hämtas in.
I första hand försöker vi alltid arbeta tillsammans med våra partners för att se till att policyerna efterlevs. Om vi upptäcker att en partner inte följer vår policy kontaktar vi först partnern för att påvisa problemet. Sedan försöker vi arbeta med partnern i fråga för att uppnå efterlevnad.
Sedan 2015 ges webbplatser och appar möjlighet att inom en rimlig tid genomföra nödvändiga ändringar. Om våra partner inte lyckas visa att de gjort rimliga ansträngningar för att uppnå efterlevnad inom den uppsatta tiden kan det leda till att vi vidtar åtgärder mot kontot eller kontona i fråga, inklusive avstängning.
I maj 2023 genomförde vi granskningar av webbplatser och appar. Dessutom tillkännagav vi att utgivare från och med den 16 januari 2024 måste börja använda en certifierad CMP när de visar annonser för användare i EES och Förenadekungariket för att efterleva denna policy. Google fortsätter att granska våra utgivarpartners webbplatser och appar där en certifierad CMP har börjat användas.
Vilken information behöver jag delge slutanvändarna?
Enligt vår policy måste varje part som får slutanvändares personuppgifter till följd av användningen av en produkt från Google identifieras. Det är även ett krav att delge tydlig och lättillgänglig information om hur slutanvändarnas personuppgifter används. Vi har publicerat information om Googles användning av uppgifterna. När det gäller Googles dataanvändning måste utgivare och annonsörer länka till sidan där uppgifterna finns för att uppfylla upplysningsskyldigheterna. Vi ber även andra annonsteknikleverantörer som har integrerats i produkter från Google att publicera information om hur de använder personuppgifter.
Checklista över vanliga fel när funktioner för samtyckesinhämtning implementeras
Detta är inte en fullständig lista utan endast exempel. Om du har börjat använda och korrekt implementerat en certifierad CMP på utgivarsidan bör du redan efterleva den här checklistan. Se noga till att implementeringen efterlever alla krav i Googles policyer.
- Har du förklarat för användarna hur deras personuppgifter ska användas när de ger sitt samtycke till insamling på din webbplats eller i din app? Med andra ord, är de medvetna om att deras personuppgifter används för anpassning av annonser och att cookies kan komma att användas för anpassade och icke-anpassade annonser?
- Har du kontrollerat att samtyckesmeddelandet visas för användare från alla länder inom EES när de använder din webbplats eller app?
- Får användarna möjlighet att aktivt ge samtycke, till exempel genom att klicka på en knapp där det står OK eller Jag godkänner?
- Har du meddelat vilka tredje parter (Google inbegripet) som också får åtkomst till de användaruppgifter du samlar in på webbplatsen eller i appen?
- Har du informerat användarna om hur deras personuppgifter används av Google när de samtycker på din webbplats eller i din app, till exempel genom att inkludera en länk till Googles webbplats för ansvar för företagsinformation? Glöm inte att ange hur alla tredje parter kommer att använda personuppgifterna.
- Om du endast genererar intäkter via icke-anpassade annonser: Har du kontrollerat att du får användarens samtycke till att använda cookies och annat lokalt lagringsutrymme (som mobila identifierare) där så krävs enligt lag? Observera att icke-anpassade annonser som vi visar på webbplatser fortfarande kräver cookies för att fungera.
- Om du enbart genererar intäkter med begränsade annonser och inaktiverar insamling, delning och användning av personuppgifter i syfte att anpassa annonser inaktiverar Google funktionen som kräver att en lokal identifierare som frekvenstak används. Det är bara när programmatiska begränsade annonser har aktiverats som cookies för enbart identifiering av ogiltig trafik och lokal lagring används för att skydda mot bedrägeri och otillåten användning. Observera att annonsvisningsteknik (våra JavaScript-taggar och/eller vår SDK-kod) fortfarande cachelagras eller installeras som en del av användarens normala användning av webbläsare och mobila operativsystem. Du ska själv bedöma om du uppfyller förbindelserna, inklusive de meddelanden och det samtycke som krävs, utifrån lokal lagstiftning i ditt rättskipningsområde. Mer information om den här funktionen finns i hjälpcentren för Ad Manager, AdMob och AdSense.
- Om du använder en IAB-certifierad CMP ska du inte glömma att ange Googles annonseringsprodukter (Google Advertising Products) som leverantör.
- Har du kontrollerat att inga Google Ads-cookies används utan samtycke och att standardläget för IAA inte har ändrats utan samtycke?
Vad händer om jag inte vill använda slutanvändarnas personuppgifter för annonsanpassning?
Du kan välja om du vill att slutanvändares personuppgifter ska användas för annonsanpassning. Observera att de icke-anpassade annonser som vi visar på webbplatser eller i appar fortfarande behöver cookies eller mobila identifierare för att fungera. Du måste inhämta samtycke till användning av cookies eller mobila identifierare där så krävs enligt lag.
För Ad Manager-, AdSense- och AdMob-exponeringar kan du välja att generera intäkter med begränsade annonser. För visning av begränsade annonser och icke-anpassade annonser ska du själv bedöma om du uppfyller dina skyldigheter, inklusive de meddelanden och det samtycke som krävs, utifrån lokal lagstiftning i ditt rättskipningsområde.
Vilka anvisningar om återkallande av samtycke ska jag ge till slutanvändarna?
Enligt policyn måste du meddela slutanvändarna hur de kan återkalla samtycke till annonsanpassning. Det måste vara lika enkelt för användaren att återkalla samtycke som det var att ursprungligen ge samtycke. Minimikravet är att slutanvändarna får tillräckligt med information för att enkelt kunna nå annonsinställningarna för din webbplats eller app för att kunna ändra sitt samtycke.
Vilka andra produkter från Google omfattas av policyn?
Förutom annons- och mätningsprodukter omfattar denna policy andra produkter från Google, t.ex. användarvillkoren för Google Maps Platform, användarvillkoren för YouTubes API-tjänster, användarvillkoren för reCAPTCHA och Blogger.
Vilka annonstyper räknas som anpassade i den här policyn?
Anpassad annonsering (kallades tidigare intressebaserad annonsering) är ett effektivt verktyg som gör annonserna intressantare för användarna och ökar avkastningen på investeringen för annonsörerna. I våra utgivarprodukter går det, beroende på hur de används, att dra slutsatser om användarnas intressen utifrån de webbplatser de besöker eller apparna de använder, vilket ger annonsörerna möjlighet att skapa inriktningar för kampanjer baserat på dessa intressen. Detta ger såväl användare som annonsörer en bättre upplevelse. Läs våra annonseringspolicyer för anpassade annonser om du vill veta mer.
Google räknar annonser som anpassade när de är baserade på tidigare insamlad eller historisk data som avgör eller påverkar valet av annonser. Detta omfattar en användares tidigare sökfrågor, aktiviteter, besök på sidor eller i appar, demografisk information eller plats. Några specifika exempel är demografisk inriktning, inriktning mot intressekategori, remarketing, inriktning utifrån kundmatchningslistor och inriktning mot målgruppslistor som laddats upp på Google Marketing Platform.
Min samtyckesbanner har markerats för bristande efterlevnad i granskningen. Hur löser jag detta på bästa sätt?
Om vi identifierar att denna policy inte efterlevs prioriterar vi att hjälpa våra partners att återgå till efterlevnad. Vårt granskningsteam ger dig detaljer om den bristande efterlevnaden och information om vad som behöver åtgärdas för att webbplatsen eller appen ska följa policyn.
För att se till att en banner har konfigurerats på ett lämpligt sätt för att respektera användarnas val rekommenderar vi att annonsörer samarbetar med sina tredjeparts-CMP:er eller läser relevant dokumentation om hantering av samtyckesinställningar och kontrollerar att de har integrerat samtyckesläget korrekt.
Varför kräver policyn medgivande för cookies även om de används i andra syften än anpassning, exempelvis annonsmätning?
Cookies eller mobila identifierare används till stöd för anpassade och icke-anpassade annonser som visas av Google i syfte att förhindra bedrägerier och otillåten användning och för frekvenstak och sammanställd annonsrapportering. I vår policy kräver vi också samtycke till användningen av cookies eller mobila identifierare för användare i länder där samtycke till cookies eller mobila identifierare krävs enligt lag.
Vad gör jag om jag är annonsör och använder Googles produkter på min webbplats?
Om du använder taggar för annonseringsprodukter som Google Ads eller Google Marketing Platform på sidorna måste du inhämta samtycke från användarna inom EES-området och i Förenade kungariket i enlighet med Googles policy för användares medgivande inom EU. I vår policy kräver vi samtycke till cookies som används i mätningssyfte och samtycke till användning av personuppgifter för anpassade annonser, till exempel om du använder remarketingtaggar på dina sidor.
Vad ska jag skriva i samtyckesmeddelandet?
Googles policy bestämmer inte vilka val du ska erbjuda användarna eftersom texten i samtyckesmeddelandet beror din dataanvändning (t.ex. om du använder data för egna syften eller till stöd för andra tjänster som du arbetar med).
Kräver Google en viss typ av samtyckesmeddelande för appar?
Ja. I maj 2023 tillkännagav vi att utgivare från och med den 16 januari 2024 måste börja använda en certifierad CMP när de visar annonser för användare i EES och Förenade kungariket. Om din CMP inte finns med på listan rekommenderar vi att du samarbetar med CMP:n för att erhålla certifiering.
CMP Partner Program skapades för annonseringspartners för att hjälpa annonsörer att skapa och konfigurera samtyckesbanners. Obs! Detta är ingen fullständig lista över alla tillgängliga CMP:er.
Hur ska partner välja vilken leverantör av plattformar för samtyckeshantering (CMP) de ska använda?
CMP Partner Program skapades för annonseringspartners för att hjälpa annonsörer att skapa och konfigurera samtyckesbanners. Obs! Detta är ingen fullständig lista över alla tillgängliga CMP:er. Användningen av någon av dessa CMP:er är ingen garanti för efterlevnad av Googles policy för användares medgivande inom EU, eftersom detta beror på det specifika samtyckesmeddelande som visas för användarna (om du behöver mer hjälp med detta kan du läsa frågan ovanför Checklista för partner över vanliga fel när mekanismer för samtyckesinhämtning implementeras).
Vilka andra parter samlar in slutanvändares personuppgifter och hur identifierar jag dessa?
Många annonsörer och utgivare som använder Googles annonseringssystem använder även en tredje part för att visa annonser och mäta annonskampanjernas effektivitet på webbplatser och i appar. I enlighet med policyn måste du tydligt identifiera varje enskild part utöver Google som kan samla in, ta emot och/eller använda slutanvändarnas personuppgifter till följd av din användning av Googles produkter. Det finns kontroller i AdSense, Google Ad Manager och AdMob där du kan välja vilka leverantörer som ska tillåtas att samla in data på webbplatsen eller appen.
Min webbplats är inte baserad i Europa. Gäller policyn ändå för mig?
Ja. Om du använder produkter från Google som omfattas av policyn och har för avsikt att låta användare inom EES eller i Förenade kungariket få åtkomst till dina tjänster.
Jag är utgivare och inga av mina kampanjer är inriktade på EES eller Förenade kungariket. Omfattas jag ändå av samtyckeskravet?
Samtycke krävs inte om Googles tjänster tas bort från webbplatsen för användare i dessa länder. Däremot krävs samtycke om Googles tjänster fortfarande används, även om inga annonser visas. Det beror på att Google AdMob, AdSense och Google Ad Manager använder cookies, och enligt vår policy krävs det fortfarande samtycke för cookies som används i mätningssyfte. Google Ad Manager samlar dessutom in personuppgifter, såvida begäran inte gäller en icke-anpassad annons och indikeras i inställningarna för användares medgivande inom EU eller i själva begäran.
I vår organisation har vi en annan syn på vad lagen innebär och vi vill tillämpa vårt synsätt gällande yppande och samtycke. Får vi det?
På Google har vi för avsikt att följa GDPR, inklusive i den omfattning som lagen införlivas i Förenade kungarikets lagstiftning, i alla de tjänster vi tillhandahåller i Europa. Vår policy för användares medgivande inom EU speglar dessa avsikter och riktlinjerna från europeiska dataskyddsmyndigheter. Vi fortsätter att utvärdera lagen och branschpraxis och uppdaterar våra rekommendationer och krav om det behövs.
Varför behöver vi samtycke för annonsmätning? Räknas inte det som berättigade intressen?
Google använder cookies eller olika annonsidentifierare för att kunna erbjuda annonsmätning. Befintliga lagar gällande digital integritet kräver samtycke för sådan användning för användare i länder där lokal lag kräver ett sådant samtycke. På samma sätt kräver vår policy samtycke för anpassade annonser och annonsmätning. Detta omfattar offlineanvändningsfall (t.ex. mätning av butiksförsäljning).
Måste jag inhämta samtycke innan taggarna aktiveras eller räcker det att samtycket kommer in i efterhand?
Samtycke för anpassade annonser ska inhämtas innan Googles taggar aktiveras på sidorna.
Vad gäller om jag använder klickspårare?
I de fall då annonsörer väljer att använda klickspårningsteknik från tredje part (d.v.s. i de fall då ett annonsklick dirigerar användarens webbläsare till en mätningsleverantör från tredje part på vägen till annonsörens målsida) måste detta ske i enlighet med gällande lag. Googles leverantörskontroller för utgivare har inte utformats för att omfatta klickspårningsteknik.
Vilka register måste jag spara?
I vår policy kräver vi att kunder sparar register över inhämtade samtycken. Som minst ska dessa innehålla den text och de val som ges användaren som en del av mekanismen för samtyckesinhämtning, och ett register över datumet och tiden då användaren gav sitt samtycke.
Varför bedöms min utgivar-CMP inte efterleva policyn när jag använder en certifierad CMP som även har certifierats av IAB?
Användningen av en certifierad CMP är ingen garanti för efterlevnad av Googles policy för användares medgivande inom EU, eftersom detta beror på det specifika samtyckesmeddelande som visas för användarna (om du behöver mer hjälp med detta kan du läsa frågan ovanför Checklista för partner över vanliga fel när mekanismer för samtyckesinhämtning implementeras).
Behöver jag följa denna policy om jag använder produkter som använder Privacy Sandbox API:er?
Ja. När du använder Privacy Sandbox API:er (Topics, Protected Audience och Attribution Reporting) kanske du använder personuppgifter för annonsanpassning och/eller har åtkomst till lokal lagring. Enligt policyn för användares medgivande inom EU krävs det att du får giltigt samtycke till dessa åtgärder från användarna på samma sätt som du i dag måste få samtycke för anpassning av annonser och användning av nödvändig lokal lagring inom det Europeiska ekonomiska samarbetsområdet och i Förenade kungariket. Mer information om Privacy Sandbox.
Policyuppdateringar
Googles ursprungliga policy för användares medgivande inom EU uppdaterades den 25 maj 2018. Mindre ändringar gjordes den 31 oktober 2019 i syfte att spegla Förenade kungarikets ändrade förhållande till EU. Vi förutspår inga ytterligare ändringar i policyn i dagsläget, men i enlighet med vad som nämnts ovan fortsätter vi att utvärdera lagen och branschpraxis och uppdaterar våra rekommendationer och krav om det behövs.