Hvorfor har vi disse retningslinjene, og hvor gjelder de?
Retningslinjene gjenspeiler visse krav i to europeiske lover om personvern: EUs personvernforordning (GDPR) og EUs kommunikasjonsverndirektiv, samt eventuelle tilsvarende lover i Storbritannia. Det er viktig at EUs kommunikasjonsverndirektiv ikke forveksles med den foreslåtte kommunikasjonsvernforordningen, som er under drøfting. Disse lovene gjelder for brukere i EØS og Storbritannia. EØS består av medlemslandene i EU, samt Island, Liechtenstein og Norge.
Den opprinnelige versjonen av disse retningslinjene ble innført i 2015 og oppdatert 25. mai, som er datoen da EUs personvernforordning (GDPR) trådte i kraft.
Må jeg følge disse retningslinjene for alle brukere hvis jeg er en publisist eller annonsør som holder til i EØS-området eller Storbritannia?
Googles retningslinjer for brukersamtykke i EU gjelder bare for brukere som holder til i EØS-området eller Storbritannia.
Hvordan sikrer Google at disse retningslinjene overholdes?
Vi sikrer at retningslinjene overholdes ved å gjennomgå nettsteder og apper som bruker annonsetjenestene våre. Dette har vi gjort siden retningslinjene ble introdusert i 2015. Kontrollørene våre besøker nettsteder og apper på samme måte som forbrukere, og ser på informasjonen som oppgis, og samtykkene som innhentes.
Hovedprioriteten vår er alltid å samarbeide med partnerne våre om riktig overholdelse av retningslinjene. Hvis vi finner ut at en partner ikke følger retningslinjene, kontakter vi partneren for å informere om problemet og prøver å samarbeide med dem for å hjelpe dem med å overholde retningslinjene.
Vi gir en rimelig tidsramme for å gjøre nødvendige endringer i apper og på nettsteder, noe vi har gjort siden 2015. Men hvis partneren ikke kommuniserer med oss eller ikke prøver å sikre at retningslinjene overholdes – i god tro og innen rimelig tid – kan vi iverksette tiltak mot de aktuelle kontoene, blant annet ved å suspendere dem.
I tillegg til å gjennomgå nettsteder og apper kunngjorde vi i mai 2023 at fra og med 16. januar 2024 må publisister bruke en sertifisert CMP når de viser annonser til brukere i EØS og Storbritannia, for å overholde disse retningslinjene. Google kommer til å fortsette med å utføre gjennomganger av nettstedene og appene til publisistpartnere som har tatt i bruk en sertifisert CMP.
Hvilke opplysninger må jeg gi til brukerne?
I henhold til retningslinjene våre kreves det at du identifiserer alle parter som mottar brukeres personlige data som følge av bruk av et Google-produkt. De krever også at du oppgir tydelig og lett tilgjengelig informasjon om hvordan brukernes personlige data brukes. Vi har publisert informasjon om Googles bruk av informasjon. For å overholde opplysningsforpliktelsene i forbindelse med Googles bruk av data må publisister og annonsører linke til den siden. Vi ber også andre leverandører av annonseteknologi som Googles produkter kan integreres med, om å publisere informasjon om deres egen bruk av personlige data.
Sjekkliste for å unngå vanlige feil ved implementering av samtykkemekanismer
Dette er bare eksempler og ikke en fullstendig liste. Hvis du som publisist har tatt i bruk og implementert en sertifisert CMP på riktig måte, etterlever du allerede denne sjekklisten. Sørg alltid for at implementeringen din overholder alle kravene i Googles retningslinjer.
- Har du forklart brukerne hvordan de personlige dataene deres brukes når de gir samtykke til at du kan samle dem inn på nettstedet ditt / i appen din? Vet de for eksempel at personlige data brukes i personlig tilpasning av annonser, og at informasjonskapsler kan bli brukt både til personlig tilpasset annonsering og til annonsering som ikke er personlig tilpasset?
- Har du sjekket at samtykkevarselet vises når brukere fra EØS-land åpner nettstedet ditt / appen din?
- Har brukerne fått mulighet til å bekrefte at de samtykker, f.eks. ved å klikke på en «OK»- eller «Enig»-knapp?
- Har du opplyst om hvilke tredjeparter (inkludert Google) som også får tilgang til brukerdataene du samler inn på nettstedet / i appen?
- Har du informert brukerne om hvordan Google bruker personlige data, når brukerne gir samtykke på nettstedet ditt / i appen din, f.eks. ved å legge ved en link til Googles nettsted om ansvar for bedriftsdata? Hva med hvordan andre tredjeparter bruker de personlige dataene deres?
- Hvis du bare genererer inntekt ved bruk av annonser som ikke er personlig tilpasset: Har du sjekket at du innhenter brukernes samtykke til bruk av informasjonskapsler og annen lokal lagring (som mobilenhetsidentifikatorer) der dette er lovpålagt? Vær oppmerksom på at annonser som vi viser på nettsteder, men som ikke er personlig tilpasset, også er avhengige av informasjonskapsler for å fungere.
- Hvis du bare bruker begrensede annonser til å tjene penger på visninger, slår Google av innsamling, deling og bruk av personlige data til personlig tilpasning av annonser, og vi slår også av funksjoner som krever lokale identifikatorer, som frekvenstak. Først når programmatisk begrensede annonser er slått på, brukes informasjonskapsler som bare registrerer ugyldig trafikk, og lokal lagring, til å motarbeide svindel og uriktig bruk. Merk at teknologier for annonselevering (JavaScript-tagger og SDK-kode) fortsatt bufres eller installeres som en del av den normale driften av brukernes nettlesere og mobiloperativsystemer. Vurder hvilke forpliktelser du har til å overholde retningslinjene, inkludert påkrevde varsler og samtykker, basert på lokal lov og rett i virkekretsen din. Se brukerstøtten for Ad Manager, AdMob og AdSense for å få mer informasjon om denne funksjonen.
- Hvis du bruker en IAB-sertifisert CMP, har du tatt med «Google-annonseprodukter» som leverandør?
- Har du sikret at det ikke angis noen informasjonskapsler for Google Ads der det ikke foreligger samtykke, og at standardtilstanden til annonser som ikke er personlig tilpasset, ikke er endret der det ikke foreligger samtykke?
Hva om jeg ikke vil at brukeres personlige data skal brukes til personlig tilpasning av annonser?
Du kan velge om du vil bruke brukernes personlige data til å tilpasse annonser til dem. Vær oppmerksom på at annonser vi viser på nettsteder eller i apper, men som ikke er personlig tilpasset, fremdeles trenger informasjonskapsler eller mobilidentifikatorer for å fungere. Du må innhente samtykke til bruk av informasjonskapsler eller mobilidentifikatorer der det finnes juridiske krav om dette.
For Ad Manager-, AdSense- og AdMob-visninger kan du også generere inntekt med begrensede annonser. Vurder hvilke forpliktelser du har til å overholde retningslinjene, inkludert påkrevde varsler og samtykker i forbindelse med visning av begrensede annonser og annonser som ikke er personlig tilpasset, basert på lokal lov og rett i virkekretsen din.
Hvilken veiledning må jeg gi brukere om tilbaketrekking av samtykke?
Retningslinjene krever at brukere får informasjon om hvordan de kan trekke tilbake samtykket de har gitt til personlig tilpasning av annonser. Det må være like enkelt for brukerne å trekke samtykket som det var å gi det. Minstekravet er at brukerne får informasjon som gjør at de enkelt finner annonsekontrollene for nettstedet ditt eller appen din, slik at de kan endre samtykkeinnstillingene.
Hvilke andre Google-produkter omfattes av disse retningslinjene?
I tillegg til annonse- og målingsprodukter henvises det til disse retningslinjene i andre Google-produkter som vilkårene for bruk av Google Maps Platform, vilkårene for bruk av YouTube API-tjenester, vilkårene for bruk av reCAPTCHA samt i Blogger.
Hvilke annonsetyper anses som «personlig tilpasset» i disse retningslinjene?
Personlig tilpasset annonsering (tidligere kalt interessebasert annonsering) er et effektivt annonseringsverktøy som bidrar til at brukerne får presentert mer relevante annonser, og at annonsørene får høyere avkastning. I publisistproduktene våre, avhengig av hvordan de brukes, gjør vi antakelser om hva ulike brukere er interessert i, basert på nettstedene de besøker eller appene de bruker, noe som gjør at annonsører kan målrette kampanjene sine deretter. Dette fører til en bedre opplevelse for både brukere og annonsører. Du kan finne ut mer i retningslinjene våre for personlig tilpassede annonser.
Google betegner annonser som personlig tilpassede når vi bruker tidligere innsamlede eller historiske data til å velge annonser eller påvirke valget av annonser. Eksempler på slike data er brukerens tidligere søkeord, aktivitet, besøk på nettsteder, bruk av apper, demografisk informasjon og stedet der brukeren er. Spesifikt tilpasses annonseringen ved hjelp av blant annet demografisk målretting, målretting mot interessekategorier, remarketing, målretting mot Kundematch-lister og bruk av målgruppelister som er lastet opp i Google Marketing Platform.
Samtykkebanneret mitt ble rapportert for å ikke overholde retningslinjene i gjennomgangen. Hvordan kan jeg løse det?
Hvis vi oppdager at retningslinjene ikke overholdes, prioriterer vi å følge opp partnerne, slik at de får rettet opp bruddet. Gjennomgangsteamet vårt gir deg informasjon om feilen og hva du må gjøre for å få nettstedet/appen til å overholde retningslinjene igjen.
For å sikre at bannere er konfigurert slik at de ivaretar brukernes valg, oppmuntrer vi annonsører til å samarbeide med tredjeparts-CMP-en sin eller gå gjennom den relevante dokumentasjonen om administrering av samtykkeinnstillinger og sikre at de er riktig integrert med samtykkemodus.
Hvorfor krever retningslinjene samtykke til bruk av informasjonskapsler også hvis de brukes til noe annet enn personlig tilpasning – for eksempel annonsemåling?
Informasjonskapsler og mobilidentifikatorer brukes som støtte for annonser Google leverer – enten de er personlig tilpasset eller ikke – for å bekjempe svindel og uriktig bruk, for frekvenstak og for samlet annonserapportering. Retningslinjene våre krever samtykke til bruk av informasjonskapsler eller mobilidentifikatorer for brukere i land der samtykke til informasjonskapsler eller mobilidentifikatorer er lovpålagt.
Hva om jeg er en annonsør som bruker Google-produkter på nettstedet mitt?
Hvis du bruker tagger for annonseringsprodukter som Google Ads eller Google Marketing Platform på sidene dine, må du innhente samtykke fra brukere i EØS-området og Storbritannia for å overholde Googles retningslinjer for brukersamtykke i EU. Retningslinjene våre krever samtykke for informasjonskapsler som brukes til målinger, og samtykke for bruk av personlige data til personlig tilpassede annonser – for eksempel hvis du har remarketing-tagger på sidene dine.
Hva må stå i samtykkevarsler?
Googles retningslinjer spesifiserer ikke hvilke valg du må gi brukerne, da teksten i samtykkevarselet må tilpasses måten du bruker data på (f.eks. om du bruker dem til egne formål eller i andre tjenester du jobber med).
Krever Google en bestemt type samtykkemelding for apper?
Ja. I mai 2023 kunngjorde vi at fra og med 16. januar 2024 må publisister bruke en sertifisert CMP når de viser annonser til brukere i EØS og Storbritannia. Hvis CMP-en du bruker, ikke står på denne listen, anbefaler vi at du samarbeider med CMP-en om å få den sertifisert.
CMP Partner Program ble utviklet for å hjelpe annonseringspartnere med å lage og konfigurere samtykkebannere. Merk: Denne listen inneholder ikke alle tilgjengelige CMP-er.
Hvordan kan partnere finne ut hvilken plattform for samtykkestyring (CMP) de bør bruke?
CMP Partner Program ble utviklet for å hjelpe annonseringspartnere med å lage og konfigurere samtykkebannere. Merk: Denne listen inneholder ikke alle tilgjengelige CMP-er. Bruk av disse CMP-ene garanterer ikke overholdelse av Googles retningslinjer for brukersamtykke i EU, da dette avhenger av implementeringen av CMP-en og samtykkemeldingen som vises til brukerne (for mer veiledning om dette, se spørsmålet over «Sjekkliste for partnere for å unngå vanlige feil ved implementering av samtykkemekanismer»).
Hvilke andre parter samler inn brukernes personopplysninger, og hvordan identifiserer jeg disse tredjepartene?
Mange annonsører og publisister som benytter seg av Googles annonseringssystemer, bruker tredjeparter til å vise annonser og måle virkningen av annonsekampanjene sine på nettsteder og i apper. Retningslinjene krever at du tydelig identifiserer alle parter – i tillegg til Google – som kan samle inn, motta og/eller benytte seg av brukeres personopplysninger som følge av at du bruker Google-produkter. Det finnes kontroller i AdSense, Google Ad Manager og AdMob som du kan bruke til å velge hvilke leverandører som kan samle inn data på nettstedet ditt eller i appen din.
Nettstedet mitt er ikke basert i Europa. Gjelder disse retningslinjene for meg likevel?
Ja, hvis du bruker Google-produkter som omfattes av retningslinjene, og formålet ditt er at brukere i EØS eller Storbritannia skal kunne bruke tjenestene dine.
Jeg er publisist, og ingen av kampanjene mine er målrettet mot EØS eller Storbritannia. Gjelder dette samtykkekravet for meg likevel?
Det kreves ikke samtykke hvis alle Google-tjenester fjernes fra nettstedet for brukere i disse landene. Men det kreves likevel samtykke hvis Google-tjenester brukes, selv om det ikke vises noen annonser. Det er fordi det brukes informasjonskapsler i Google AdMob, AdSense og Google Ad Manager, og i henhold til retningslinjene våre kreves det samtykke til informasjonskapsler som brukes til målinger. Google Ad Manager samler også inn personlige data – med mindre det bes om annonser som ikke er personlig tilpasset, eller noe annet er angitt i innstillingene for brukersamtykke i EU eller i selve forespørselen.
Organisasjonen vår har et annet syn på gjeldende lov og rett, og vi ønsker å bruke en annen tilnærming til opplysning og samtykke. Kan vi gjøre det?
Google er svært opptatt av å overholde personvernforordningen, også i den grad dette er inkludert i lov og rett i Storbritannia, i alle tjenestene vi tilbyr i Europa. Retningslinjene våre for brukersamtykke i EU gjenspeiler denne forpliktelsen og viser at vi følger veiledningen fra europeiske datatilsyn. Vi fortsetter å vurdere gjeldende lov og rett samt det som er praksis i bransjen, og vi oppdaterer anbefalingene og kravene våre i henhold til dette.
Hvorfor trenger vi samtykke til annonsemåling? Er ikke det en berettiget interesse?
Google bruker informasjonskapsler og forskjellige annonseidentifikatorer som støtte for annonsemåling. Eksisterende lover om personvern på nettet krever samtykke for slik bruk for brukere i land hvor lokal lov og rett krever slikt samtykke. I tråd med dette krever retningslinjene våre samtykke til personlig tilpasning av annonser og annonsemåling. Dette inkluderer bruk til måling utenfor nettet (f.eks. butikksalg).
Trenger jeg samtykke før taggene utløses, eller kan jeg innhente det etterpå?
Samtykke for personlig tilpassede annonser skal innhentes før Googles tagger utløses på sidene dine.
Hva med bruk av klikksporing?
Der annonsører velger å bruke tredjepartsteknologi for klikksporing (dvs. når et klikk på en annonse viderekobler brukerens nettleser til en tredjepartsleverandør av målingstjenester når brukeren er på vei til annonsørens landingsside), må annonsørene overholde gjeldende lov og rett. Googles leverandørkontroller for publisister er ikke laget for å skjule teknologi for klikksporing.
Hvilken informasjon må jeg ta vare på?
Retningslinjene våre krever at kunder beholder informasjonen som dokumenterer brukernes samtykke. Denne informasjonen skal bestå av minst teksten og valgene som vises til brukerne som en del av mekanismer for innhenting av samtykke, samt datoene og klokkeslettene brukerne eventuelt gir samtykke.
Hvorfor har publisist-CMP-en jeg bruker, blitt vurdert til å være i strid med retningslinjene, selv om jeg bruker en sertifisert CMP som også er sertifisert av IAB?
Bruk av en sertifisert CMP garanterer ikke overholdelse av Googles retningslinjer for brukersamtykke i EU, siden dette avhenger av implementeringen av CMP-en og samtykkemeldingen som vises til brukerne (for mer veiledning om dette, se spørsmålet over «Sjekkliste for partnere for å unngå vanlige feil ved implementering av samtykkemekanismer»).
Må jeg følge disse retningslinjene hvis jeg bruker produkter som bruker Privacy Sandbox API-er?
Ja. Når du bruker Privacy Sandbox API-er (Topics, Protected Audience og Attribution Reporting), kan det hende du bruker personopplysninger til å tilpasse annonser personlig og/eller få tilgang til lokal lagring. I henhold til retningslinjene for brukersamtykke i EU må du innhente gyldig brukersamtykke for disse handlingene på samme måte som du i dag trenger samtykke til personlig tilpasning av annonser og bruk av ikke-essensiell lokal lagring i EØS og Storbritannia. Mer informasjon om Privacy Sandbox.
Oppdateringer av disse retningslinjene
Googles opprinnelige retningslinjer for brukersamtykke i EU ble oppdatert 25. mai 2018. For å gjenspeile Storbritannias endrede forhold til EU ble det gjort mindre endringer 31. oktober 2019. Det er foreløpig ikke forventet noen andre endringer i retningslinjene, men som nevnt ovenfor, fortsetter vi å vurdere gjeldende lov og rett samt det som er praksis i bransjen, og å oppdatere anbefalingene og kravene våre basert på dette.