Защо съществуват тези правила и къде важат?
Правилата отразяват определени изисквания на два европейски закона за поверителността: Общия регламент относно защитата на данните (ОРЗД) и Директивата за правото на неприкосновеност на личния живот и електронни комуникации, както и на еквивалентните закони на Обединеното кралство. Директивата не бива да се бърка с предложения Регламент за правото на неприкосновеност на личния живот и електронни комуникации, който се обсъжда. Тези закони важат за крайните потребители в Европейското икономическо пространство (ЕИП) и Обединеното кралство. ЕИП включва държавите – членки на ЕС, Исландия, Лихтенщайн и Норвегия.
Тези правила бяха въведени в първоначалния си вид през 2015 г. и актуализирани на 25 май 2018 г., когато влезе в сила Общият регламент относно защитата на данните (ОРЗД).
Трябва ли да спазвам тези правила за всички потребители, ако съм издател или рекламодател в ЕИП или Обединеното кралство?
Правилата на Google за съгласие на потребителите в ЕС важат само за крайните потребители в ЕИП или Обединеното кралство.
Как Google гарантира спазването на тези правила?
За целта преглеждаме сайтовете и приложенията, които използват рекламните ни услуги, както правим от въвеждането на правилата през 2015 г. Проверяващите посещават даден сайт или приложение като потребители и разглеждат предоставената информация и получаваните съгласия.
Първият ни приоритет винаги ще бъде да работим съвместно с партньорите си за изясняване на изискванията, които трябва да се спазват. Ако установим, че даден партньор не спазва правилата ни, първата ни стъпка ще бъде да се свържем с него, за да посочим проблема, след което ще се опитаме да работим заедно за покриване на критериите.
От 2015 г. насам даваме на сайтовете и приложенията разумен срок за извършване на необходимите промени. Ако обаче партньорът не успее да взаимодейства с нас или да демонстрира добросъвестно усилие за покриване на изискванията в рамките на този срок, може да приложим мерки спрямо засегнатия профил или съответно профили, включително спиране.
В допълнение към извършените проверки на сайтове и приложения през май 2023 г. съобщихме, че от 16 януари 2024 г., за да спазват правилата, издателите ще трябва да използват сертифицирана платформа за управление на получаването на съгласие (CMP), когато показват реклами на потребители в Европейското икономическо пространство и Обединеното кралство. Google ще продължи да извършва проверки на сайтовете и приложенията на партньорите ни издатели, в които се използва сертифицирана CMP.
Каква информация трябва да бъде разкривана пред крайните потребители?
Правилата ни изискват да бъде идентифицирана всяка страна, която получава лични данни на крайните потребители като следствие от това, че потребителите използват продукт на Google. Също така изискват добре видима и леснодостъпна информация за използването на тези лични данни. Публикували сме информация за начините, по които Google използва данните. За да спазят задълженията за разкриване по отношение на тези начини, издателите и рекламодателите трябва да добавят връзка към тази страница. Също така искаме от другите доставчици на рекламни технологии, с които се интегрират продуктите на Google, да направят достъпна информацията за използването на лични данни от тяхна страна.
Контролен списък за избягване на често срещани грешки при внедряването на механизъм за получаване на съгласие
Списъкът съдържа само примери и няма за цел да бъде изчерпателен. Ако като издател използвате правилно внедрена сертифицирана CMP, значи вече спазвате изискванията в този контролен списък. Погрижете се внедреният от вас механизъм винаги да отговаря на всички изисквания в правилата на Google.
- Обяснили ли сте на потребителите как ще се използват личните им данни, когато дадат съгласието си да ги събирате в сайта или приложението си, например знаят ли, че личните им данни ще служат за персонализиране на рекламите и че „бисквитките“ може да се използват за персонализирани и неперсонализирани реклами?
- Проверихте ли дали съобщението ви за получаване на съгласие се показва при достъп до сайта/приложението ви от потребители от всички държави в ЕИП?
- Дали ли сте възможност на потребителите да извършат изрично действие за потвърждаване на съгласието си, например да кликнат върху бутон OK или „Приемам“?
- Разкрили ли сте кои трети страни (включително Google) също ще имат достъп до потребителските данни, които събирате в сайта/приложението си?
- Информирали ли сте потребителите за начина, по който Google ще използва личните им данни, когато дадат съгласието си в сайта/приложението ви, например като включите връзка към нашия сайт за отговорност за бизнес данните? А за начина, по който ще се използват от други трети страни?
- Ако си осигурявате приходи само от неперсонализирани реклами – проверихте ли дали получавате съгласието на потребителите за използването на „бисквитки“ или друго локално хранилище (като например идентификатори на мобилното устройство), където това се изисква по закон? Моля, обърнете внимание, че неперсонализираните реклами, които показваме на уебсайтове, също изискват „бисквитки“, за да функционират.
- Ако си осигурявате приходи от импресии само чрез ограничени реклами, освен че деактивира събирането, споделянето и използването на лични данни за персонализиране на рекламите, Google деактивира и функциите, които изискват използването на локален идентификатор, като например ограничаване на честотата. Когато е включена функцията за програмни ограничени реклами, за защита срещу злоупотреби и измами ще се използват „бисквитки“ само за откриване на невалиден трафик и локално хранилище. Имайте предвид, че технологиите за показване на реклами (маркерите ни за JavaScript и/или кодът ни за SDK) пак ще бъдат кеширани или инсталирани като част от нормалното функциониране на браузърите или мобилните операционни системи на потребителите. Трябва да прецените самостоятелно какви задължения имате във връзка със спазването на правилата, включително необходимото известяване и получаване на съгласие, според местните закони в юрисдикцията ви. За повече подробности относно тази функция вижте Помощния център на Ad Manager, Помощния център на AdMob и този на AdSense.
- Ако използвате платформа за управление на получаването на съгласие, сертифицирана от Бюрото за интерактивна реклама (IAB) – включихте ли рекламните продукти на Google като доставчик?
- Сигурни ли сте, че при липса на съгласие не се задават „бисквитки“ на Google Ads и че стандартното състояние на NPA не се променя?
А ако не искам личните данни на потребителите да се използват за персонализиране на реклами?
Можете да изберете дали личните данни на крайните потребители да се използват за персонализирането на рекламите. Моля, обърнете внимание, че неперсонализираните реклами, които показваме в уебсайтове или приложения, изискват „бисквитки“ или мобилни идентификатори, за да функционират. Трябва да получите съгласие за използването на „бисквитки“ или мобилни идентификатори, където това се изисква по закон.
За импресии в Ad Manager, AdSense и AdMob може да изберете да си осигурявате приходи и чрез ограничени реклами. Трябва да прецените самостоятелно какви задължения имате във връзка със спазването на правилата, включително необходимото известяване и получаване на съгласие, според местните закони в юрисдикцията ви за показването на ограничени и неперсонализирани реклами.
Какви инструкции да дам на крайните потребители относно оттеглянето на съгласието?
Правилата изискват на крайните потребители да се обясни как да оттеглят съгласието си относно персонализирането на рекламите. Потребителите трябва да могат да оттеглят съгласието си толкова лесно, колкото са го предоставили. Най-малкото те трябва да имат достатъчно информация, за да достигнат лесно до контролите за рекламите за сайта или приложението ви, така че да променят предпочитанията си за съгласието.
Кои са другите продукти на Google, които включват тези правила?
В допълнение към продуктите за реклами и измерване тези правила са включени в други наши продукти, като например в Общите условия на Платформата на Google Карти, Общите условия на услугите за API на YouTube, Общите условия за reCAPTCHA, както и в Blogger.
Кои типове реклами се считат за „персонализирани“ за целите на тези правила?
Персонализираното рекламиране (по-рано наричано „рекламиране въз основа на интереси“) е мощен инструмент за подобряване уместността на рекламите за потребителите и увеличаване на ROI за рекламодателите. В зависимост от начина, по който се използват продуктите ни за издатели, можем да правим заключения за интересите на потребителите въз основа на посещаваните от тях сайтове или приложенията, които използват. Това дава възможност на рекламодателите да насочват кампаниите си съобразно с тях. Така осигуряваме по-добра практическа работа както на потребителите, така и на рекламодателите. За да научите повече, можете да прегледате правилата ни за рекламодатели относно персонализираните реклами.
Google приема рекламите за персонализирани, когато се основават на предварително събрани данни или такива от минали периоди, за да се определи или повлияе изборът на реклами, включително предишни заявки за търсене, дейността на потребителя, посещения на сайтове или приложения, демографска информация или местоположение. По-конкретно това включва например насочване по демографски признак, насочване по категории по интереси, ремаркетинг, насочване към списъци с клиенти и насочване към списъци с аудитории, качени в Google Marketing Platform.
При проверката банерът ми за получаване на съгласие бе означен като неспазващ правилата. Кой е най-добрият начин за решаване на този проблем?
Ако установим, че тези правила не са спазени, приоритетът ни ще бъде да помогнем на партньорите ни да покрият изискванията. Екипът ни за проверка ще ви предостави подробности за неспазените изисквания и информация за стъпките, които трябва да предприемете, за да приведете сайта/приложението си в съответствие с правилата.
За да се гарантира, че банерът е конфигуриран така, че да зачита избора на потребителите, препоръчваме рекламодателите да работят с използваната от тях CMP на трета страна или да прегледат съответната документация за управление на настройките за получаване на съгласие и да се уверят, че са интегрирали правилно режима на получаване на съгласие.
Защо правилата изискват получаването на съгласие за „бисквитки“, дори те да се използват за други цели, а не за персонализиране (например за измерване на рекламите)?
„Бисквитките“ или мобилните идентификатори се използват за поддръжка на показваните от Google персонализирани и неперсонализирани реклами с цел предотвратяване на измами и злоупотреба, ограничаване на честотата и обобщено отчитане на рекламите. Правилата ни изискват получаването на съгласие за използването на „бисквитки“ или мобилни идентификатори за потребителите в държавите, в които получаването на такова съгласие се изисква по закон.
А ако съм рекламодател, който използва продукти на Google на сайта си?
Ако използвате на страниците си маркери за продукти за рекламиране, като например Google Ads или Google Marketing Platform, ще трябва да получите съгласие от потребителите си в ЕИП и Обединеното кралство, за да спазвате съответните ни правила. Те изискват получаването на съгласие за „бисквитки“, които се използват за измерване, както и съгласие за използването на лични данни за персонализираните реклами – ако например страниците ви съдържат маркери за ремаркетинг.
Как да формулирам съобщението си за получаване на съгласие?
Правилата на Google не определят възможностите за избор, които да бъдат предложени на потребителите, тъй като текстът на съобщението ви за получаване на съгласие ще зависи от начините, по които ползвате данните (напр. за собствени цели или за поддръжка на други услуги, с които работите).
Google изисква ли конкретен вид съобщение за получаване на съгласие за приложенията?
Да, през май 2023 г. съобщихме, че от 16 януари 2024 г. издателите ще трябва да използват сертифицирана платформа за управление на получаването на съгласие (CMP), когато показват реклами на потребители в Европейското икономическо пространство и Обединеното кралство. Ако вашата CMP не е в съответния списък, ви препоръчваме да работите съвместно с нея за получаването на сертификат.
За рекламните партньори създадохме CMP Partner Program, за да помагаме на рекламодателите при изготвянето и конфигурирането на банери за получаване на съгласие. Забележка: Списъкът не включва всички налични CMP.
Как партньорите да изберат кой доставчик на платформа за управление на получаването на съгласие (CMP) да използват?
За рекламните партньори създадохме CMP Partner Program, за да помагаме на рекламодателите при изготвянето и конфигурирането на банери за получаване на съгласие. Забележка: Списъкът не включва всички налични CMP. Използването на някоя от тези CMP не гарантира спазването на Правилата за съгласие на потребителите в ЕС, тъй като това зависи от внедряването на CMP и конкретното съобщение за получаване на съгласие, показвано на потребителите (за повече указания разгледайте въпроса по-горе – „Контролен списък за партньори за избягване на често срещани грешки при внедряването на механизъм за получаване на съгласие“).
Какви други страни събират лични данни на крайните потребители и как трябва да идентифицирам тези трети страни?
Много рекламодатели и издатели, които си служат с рекламните системи на Google, използват трети страни, за да показват реклами и да измерват ефикасността на рекламните си кампании в уебсайтовете и приложенията. Правилата изискват да идентифицирате ясно всяка страна в допълнение към Google, която може да събира, получава и/или използва лични данни на крайните потребители като следствие от вашето използване на продуктите ни. В AdSense, Google Ad Manager и AdMob има контроли, които ви дават възможност да изберете доставчиците с разрешение да събират данни в сайта или приложението ви.
Сайтът ми не е базиран в Европа. Тези правила отнасят ли се за мен?
Да, ако използвате продукти на Google, които включват правилата, и планирате потребители в ЕИП или Обединеното кралство да имат достъп до услугите ви.
Като издател нито една от кампаниите ми не е насочена към ЕИП или Обединеното кралство. Изискването за получаване на съгласие важи ли за мен?
Не е необходимо съгласие, ако услугите на Google са премахнати от сайта за потребителите в тези държави. Ако обаче услугите ни се използват, без да се показват реклами, пак ще е нужно получаване на съгласие. Причината е, че Google AdMob, AdSense и Google Ad Manager работят с „бисквитки“, а правилата ни изискват съгласие за „бисквитки“, които се използват с цел измерване. Google Ad Manager също така събира лични данни, освен ако заявката не е за неперсонализирана реклама и това е посочено в настройките за съгласие на потребителите в ЕС или в самата заявка.
Организацията ни има различно разбиране за закона и би искала да приложи друг подход към разкриването на информация и получаването на съгласие. Възможно ли е това?
Google се ангажира да спазва Общия регламент относно защитата на данните (ОРЗД), включително доколкото е транспониран в законодателството на Обединеното кралство, във всички услуги, които предоставя в Европа. Правилата ни за съгласие на потребителите в ЕС отразяват този ангажимент и указанията от европейските органи по защита на данните. Ще продължим да преценяваме законите и отрасловите практики и да актуализираме препоръките и изискванията си съобразно с тях.
Защо се нуждаем от съгласие за измерване на рекламите – това не е ли законен интерес?
Google използва „бисквитки“ и различни рекламни идентификатори, за да поддържа измерване на рекламите. В държавите, където са приложими законите за електронна поверителност, се изисква получаването на съгласие за подобни начини на ползване. Съответно правилата ни изискват съгласие за персонализиране на рекламите и за измерването им. Това включва случаите на употреба, при които измерването се извършва офлайн (напр. продажби в магазини).
Имам ли нужда от съгласието, преди да се задействат маркерите, или е възможно да го получа след това?
Съгласието за персонализирани реклами трябва да бъде получено, преди маркерите на Google да се задействат на страниците ви.
Как стои въпросът с инструментите за проследяване на кликванията?
Когато рекламодателите изберат да използват технологии за проследяване на кликванията от трети страни (т.е. когато кликването върху реклама насочва браузъра на потребителя към доставчик на функция за измерване (трета страна) по пътя към целевата страница на рекламодателя), те трябва да направят това в съответствие с приложимото законодателство. Контролите ни за доставчици, които предоставяме на издателите, не обхващат технологиите за проследяване на кликванията.
Какви данни трябва да пазя?
Правилата ни изискват клиентите да съхраняват данни за съгласието. Те трябва да включват поне текста и възможностите за избор, предложени на потребителите като част от механизма за получаване на съгласие, както и датата и часа на предоставянето на съгласие.
Защо смятате, че платформата за управление на получаването на съгласие, използвана от мен като издател, не спазва правилата – ползвам сертифицирана CMP, която е сертифицирана и от Бюрото за интерактивна реклама (IAB)?
Използването на сертифицирана платформа за управление на получаването на съгласие не гарантира спазването на Правилата ни за съгласие на потребителите в ЕС, тъй като това зависи от внедряването на CMP и конкретното съобщение за получаване на съгласие, показвано на потребителите (за повече указания разгледайте въпроса по-горе – „Контролен списък за партньори за избягване на често срещани грешки при внедряването на механизъм за получаване на съгласие“).
Трябва ли да спазвам тези правила, ако използвам продукти, коитo работят с API на Privacy Sandbox?
Да. Когато използвате API на Privacy Sandbox (API за теми, Protected Audience API и API за отчитане на приписването), може да използвате лични данни с цел персонализиране на рекламите и/или достъп до локално хранилище. Правилата за съгласие на потребителите в ЕС изискват да получите валидното съгласие на потребителя за тези действия по същия начин, по който понастоящем разчитате на съгласие за персонализирането на рекламите и използването на локално хранилище за несъществени данни в Европейското икономическо пространство и Обединеното кралство. Още информация за Privacy Sandbox.
Актуализации на правилата
Първоначалните ни Правила за съгласие на потребителите в ЕС бяха актуализирани на 25 май 2018 г. За да отразим развитието на отношенията между Обединеното кралство и Европейския съюз, направихме малки промени на 31 октомври 2019 г. Понастоящем не се очакват други промени в правилата, но както е посочено по-горе, ще продължим да преценяваме законите и отрасловите практики и да актуализираме препоръките и изискванията си съобразно с тях.