Справка по Правилам в отношении согласия пользователей из ЕС

Зачем нужны эти правила и к чему они относятся?

Правила Google в отношении согласия пользователей из ЕС отражают ряд требований таких европейских законов, как Генеральный регламент ЕС о защите персональных данных (GDPR) и Директива ЕС о конфиденциальности и электронных средствах связи (ePrivacy Directive), а также аналогичных законов Великобритании. Эту директиву не следует путать с соответствующим Регламентом ЕС (ePrivacy Regulation), принятие которого в настоящее время находится на стадии обсуждения. Перечисленные выше законы распространяются на конечных пользователей из Великобритании и Европейской экономической зоны (ЕЭЗ), В ЕЭЗ входят страны Европейского союза, а также Исландия, Лихтенштейн и Норвегия.

Исходная версия этих правил была опубликована в 2015 г., а затем обновлена 25 мая 2018 г. после вступления в силу Генерального регламента ЕС о защите персональных данных.

Должны ли издатели и рекламодатели из ЕЭЗ или Великобритании следовать этим правилам при показе рекламы всем пользователям?

Правила Google в отношении согласия пользователей из ЕС распространяются только на показы рекламы конечным пользователям из ЕЭЗ или Великобритании.

Как компания Google будет обеспечивать соблюдение этих правил?

С момента создания этих правил в 2015 году мы регулярно проверяем сайты и приложения, где используются наши рекламные сервисы. Специалисты Google открывают сайты и приложения так же, как это делают обычные посетители, и выясняют, какая информация представлена на этих ресурсах и как организован процесс получения согласия пользователей.

Помогать партнерам в соблюдении действующего законодательства – важная часть нашей работы. Обнаружив, что тот или иной партнер нарушает наши правила, мы свяжемся с ним и поможем обеспечить их соблюдение.

Мы всегда предоставляем владельцам сайтов и приложений достаточный срок для внесения необходимых изменений. Если партнер не отвечает на наши запросы и не демонстрирует готовность обеспечить соблюдение правил за установленное время, в отношении его аккаунтов могут быть применены меры вплоть до блокировки.

Мы проверяем сайты и приложения, а в мае 2023 г. сообщили, что с 16 января 2024 г. издателям для соответствия этим правилам необходимо будет использовать сертифицированную платформу для запросов согласия (CMP) при показе рекламы в ЕЭЗ и Великобритании. При этом специалисты Google будут по-прежнему проверять сайты и приложения издателей, использующих сертифицированные CMP.

Какую информацию нужно предоставлять конечным пользователям?

Как указано в наших правилах, вы должны предоставлять конечным пользователям информацию обо всех сторонах, которые получают доступ к их персональным данным в результате использования продукта Google. Также необходимо в явной и доступной форме сообщать конечным пользователям, как обрабатываются их персональные данные. Мы опубликовали разъяснение, из которого можно узнать, как компания Google использует персональную информацию. Чтобы соблюдать обязательства по раскрытию информации в отношении использования данных компанией Google, издатели и рекламодатели должны публиковать у себя ссылку на это разъяснение. Аналогичные сведения должны предоставлять пользователям и поставщики рекламных технологий, интегрированных с нашими продуктами.

Контрольный список для правильного внедрения процедуры получения согласия

Рекомендации ниже приведены в качестве примера и не являются исчерпывающими. Если издатель правильно внедрил сертифицированную CMP, значит он выполнил их. Напоминаем, что ваш процесс реализации должен соответствовать всем правилам Google.

  • Сообщаете ли вы пользователям, как будут использоваться их персональные данные, для сбора которых на сайте или в приложении запрашивается согласие? В частности, проинформированы ли пользователи о том, что их данные будут применяться при персонализации рекламы и что файлы cookie могут служить для подбора персонализированных и неперсонализированных объявлений?
  • Появляется ли ваш запрос согласия, когда с сайтом или приложением работают пользователи из любой страны ЕЭЗ?
  • Предусмотрена ли для пользователей возможность подтвердить согласие определенным действием, например нажатием кнопки "ОК" или "Соглашаюсь"?
  • Опубликовали ли вы список сторонних организаций (включая Google), которые будут иметь доступ к пользовательским данным, собираемым на вашем сайте или в приложении?
  • Сообщаете ли вы пользователям о том, как их персональная информация будет применяться компанией Google после того, как они дадут согласие на сбор таких данных на вашем сайте или в приложении, и предоставляете ли вы им ссылку на сайт Google, посвященный защите коммерческих данных? Информируете ли вы пользователей о том, как их данные будут обрабатываться другими компаниями?
  • Если вы размещаете только неперсонализированную рекламу, то получаете ли вы согласие пользователей на использование файлов cookie или иных локальных хранилищ (например, идентификаторов мобильных устройств) в регионах, где такое согласие предписывается законодательством? Обратите внимание, что при размещении неперсонализированной рекламы Google на сайтах все равно используются файлы cookie.
  • Если вы используете только ограниченный показ рекламы, то, помимо отключения сбора, передачи и использования персональных данных для персонализации объявлений, Google отключает функции, требующие локальных идентификаторов (например, ограничение частоты показа). Локальные хранилища и файлы cookie, применяемые только для обнаружения недействительного трафика, используются исключительно тогда, когда включен алгоритмический ограниченный показ рекламы. Это нужно для защиты от мошенничества и злоупотреблений. Обратите внимание, что технологии показа рекламы (наши теги JavaScript и/или код SDK) по-прежнему будут сохраняться в кеше или устанавливаться в рамках нормальной работы браузеров и мобильных ОС пользователей. Вы должны сами оценить, какие требования местного законодательства в вашей юрисдикции вы должны соблюдать, и нужно ли вам уведомлять пользователей об обработке их личной информации или запрашивать у них согласие на это. Подробнее об этой функции рассказывается в материалах, опубликованных в Справочных центрах Менеджера рекламы, AdMob и AdSense.
  • Если вы используете платформу для управления получением согласия пользователей, сертифицированную организацией IAB, включили ли вы компанию Google в список сторонних поставщиков?
  • Вы гарантируете, что без согласия вашего посетителя для него не устанавливаются файлы cookie Google Рекламы и не изменяется заданный по умолчанию выбор неперсонализированной рекламы?

Что нужно предпринять, если я не хочу использовать личные данные конечных пользователей для персонализации рекламы?

Вы можете указать, будете ли вы использовать персональные данные пользователей для показа им подходящих объявлений. Обратите внимание, что при размещении неперсонализированной рекламы Google на сайтах или в приложениях все равно используются файлы cookie или мобильные идентификаторы. Вам необходимо получать согласие посетителей на использование файлов cookie и мобильных идентификаторов в регионах, где это предписывается законодательством.

Если вы используете Менеджер рекламы, AdSense или AdMob, то можете применять для монетизации ограниченный показ рекламы. Вы должны сами понять, какие требования местного законодательства в вашей юрисдикции вы должны соблюдать при ограниченном показе рекламы и показе неперсонализированных объявлений и нужно ли вам уведомлять пользователей об обработке их личной информации или запрашивать у них согласие на это.

Что нужно указывать в инструкциях для пользователей, которые хотят отозвать свое согласие на персонализацию рекламы?

В соответствии с нашими правилами вы должны подробно рассказать конечным пользователям о том, как отозвать согласие на персонализацию рекламы. Пользователям должно быть так же легко отозвать согласие, как и дать его. Как минимум нужно предоставить им информацию о функциях, позволяющих контролировать показ рекламы на вашем сайте или в приложении.

К каким ещё продуктам Google относятся эти правила?

Помимо продуктов, предназначенных для показа и отслеживания рекламы, эти правила относятся к ряду других наших решений. В частности, они упомянуты в Условиях использования платформы Google Карт, YouTube API, reCAPTCHA и Blogger.

Какие объявления считаются персонализированными в контексте этих правил?

Персонализированная реклама (ранее известная как реклама на основе интересов) более привлекательна и полезна для пользователей, а рекламодателям она позволяет повысить рентабельность инвестиций. Наши продукты для издателей (в зависимости от того, как они используются) дают возможность составить представление об интересах конечного пользователя по его взаимодействию с сайтами и приложениями. Рекламодатели могут настраивать таргетинг на основе таких данных, от чего выигрывают не только они сами, но и потенциальные клиенты. Более подробную информацию можно найти в наших правилах размещения персонализированной рекламы.

Реклама считается персонализированной, если при ее подборе учитывается собранная ранее информация или статистика. К такой информации относятся поисковые запросы пользователей, их действия в интернете, история посещения сайтов и работы с приложениями, а также демографические данные и местоположение. В частности, к персонализированной относится реклама с демографическим таргетингом, таргетингом на категории интересов, списки ремаркетинга или электронных адресов, а также на списки целевой аудитории, загруженные в Google Платформу для маркетинга.

Проверка показала, что мой баннер с запросом согласия не соответствует требованиям Google. Что мне следует предпринять для решения этой проблемы?

Обнаружив несоответствие этим правилам, мы постараемся помочь партнеру соблюсти их. Наши специалисты предоставят вам информацию об ошибке и мерах, которые нужно принять, чтобы сайт или приложение соответствовали правилам Google.

Чтобы баннер был правильно настроен, рекламодателям следует начать работу со своей сторонней CMP или изучить эту документацию и проверить, правильно ли реализован на их ресурсах режим согласия.

Почему нужно запрашивать у пользователей согласие на использование файлов cookie, даже если эти файлы нужны не для персонализации рекламы, а для других целей, например оценки ее эффективности?

Google использует файлы cookie и мобильные идентификаторы при показе персонализированной и неперсонализированной рекламы, чтобы противодействовать мошенничеству и злоупотреблениям, ограничивать частоту показа и собирать данные для сводных отчетов об эффективности рекламы. Наши правила также требуют получать согласие на использование файлов cookie и мобильных идентификаторов в странах, где это согласие нужно по закону.

Я рекламодатель и использую на сайте продукты Google. Что мне нужно предпринять?

Если вы используете на сайте теги рекламных сервисов, таких как Google Реклама или Google Платформа для маркетинга, то вам следует запрашивать согласие у каждого посетителя из ЕЭЗ и Великобритании в целях соблюдения правил Google в отношении согласия пользователей из ЕС. Вы должны получать у пользователей согласие на использование файлов cookie для оценки эффективности рекламы и на обработку личных данных при персонализации рекламы (например, если на вашей веб-странице размещены теги ремаркетинга).

Что должно быть указано в запросе согласия?

Правила Google не указывают, какие варианты выбора вы должны предлагать пользователям, поскольку текст запроса согласия будет зависеть от того, как вы используете данные (например, для собственных целей или для поддержки других сервисов, с которыми вы работаете).

Требуется ли в соответствии с правилами Google использовать определенную форму запроса согласия для приложений?

Да. В мае 2023 г. мы сообщили, что с 16 января 2024 г. начнем требовать от издателей, показывающих рекламу пользователям в ЕЭЗ или Великобритании, применять сертифицированную платформу для запросов согласия (CMP). Если вашей CMP нет в этом списке, советуем начать работу с ней, чтобы пройти сертификацию.

Для наших партнеров по рекламе мы подготовили программу CMP Partner Program, которая упростит им создание и настройку баннеров с запросом согласия. Примечание: этот список доступных CMP не является исчерпывающим.

Как выбрать платформу для управления получением согласия пользователей?

Для наших партнеров по рекламе мы подготовили программу CMP Partner Program, которая упростит им создание и настройку баннеров с запросом согласия. Примечание: этот список доступных CMP не является исчерпывающим. Внедрение любой из этих платформ не гарантирует соблюдение правил Google в отношении согласия пользователей из ЕС, поскольку это зависит от реализации CMP и текста запроса согласия, который вы показываете пользователям. Советуем ознакомиться с разделом "Как избежать типичных ошибок при реализации запроса согласия: контрольный список для партнеров" в этом же документе.

Какие третьи стороны собирают личные данные и как необходимо уведомлять об этом пользователей?

Многие рекламодатели и издатели используют для показа объявлений и оценки эффективности кампаний не только рекламные сервисы Google, но и инструменты третьих сторон. Как указано в наших правилах, вы должны привести на своем ресурсе сведения обо всех, кто может собирать, получать или использовать личные данные конечных пользователей в результате использования вами продуктов Google. В сервисах AdSense, "Google Менеджер рекламы", Ad Exchange и "Реклама в приложении" реализованы настройки, позволяющие выбирать поставщиков, которым разрешается собирать данные на вашем сайте или в приложении.

Мой сайт размещен не на европейских серверах. Касаются ли меня эти правила?

Да, если вы используете продукты Google, на которые распространяются эти правила, и предназначаете свои сервисы для пользователей в ЕЭЗ или Великобритании.

Я являюсь издателем. Таргетинг моих кампаний не настроен ни на ЕЭЗ, ни на Великобританию. Необходимо ли мне получать согласие пользователей?

Запрос согласия не требуется, если вы отключили на своем сайте сервисы Google для пользователей из этих стран. Если сервисы Google используются, вы все равно должны будете запрашивать согласие, даже если реклама не показывается. Причина в том, что Google AdMob, AdSense и Google Менеджер рекламы используют файлы cookie, а по нашим правилам требуется получать согласие на использование файлов cookie для оценки эффективности рекламы. Кроме того, Google Менеджер рекламы также собирает персональные данные. Исключение составляют случаи, когда выполняется запрос неперсонализированной рекламы и это указано в настройках согласия пользователей из ЕС или самом запросе.

Наша организация трактует закон иным образом, и мы хотели бы применить другой подход к публикации сведений об обработке данных и запросу согласия у пользователей. Можно ли это сделать?

Компания Google стремится обеспечивать соблюдение требований Генерального регламента ЕС о защите персональных данных (GDPR), в том числе перенесенных в законодательство Великобритании, во всех наших сервисах, доступных в Европе. Наши правила в отношении согласия пользователей из ЕС подтверждают это стремление, а также то, что компания Google следует европейским законам о защите данных. Мы продолжим следить за изменениями в законодательстве и отраслевой практике и корректировать свои правила в соответствии с ними.

Почему требуется получать согласие на оценку эффективности рекламы? Разве оно не относится к сфере законных интересов?

Google использует файлы cookie и различные рекламные идентификаторы, чтобы оценивать эффективность рекламы. В законах о конфиденциальности в интернете, которые приняты в некоторых странах, говорится, что такие действия допустимы только с согласия пользователей. Поэтому наши правила требуют получать у пользователей согласие на персонализацию и оценку эффективности рекламы. Помимо прочего, это касается оценки эффективности офлайн, например продаж в магазинах.

Обязательно ли получать согласие до того, как активируются теги?

Согласие на персонализацию рекламы необходимо получить до того, как теги Google сработают на вашем сайте.

Касаются ли изменения средств отслеживания кликов?

Некоторые рекламодатели используют сторонние технологии отслеживания кликов, которые предусматривают, что после нажатия на объявление происходит переадресация браузера пользователя в сервис отслеживания и только потом – на целевую страницу рекламодателя. В этом случае также должны соблюдаться все применимые требования законодательства. В инструментах, предоставляемых нами издателям для работы со сторонними поставщиками, не предусмотрено использование сторонних решений для отслеживания кликов, которые не разработаны компанией Google.

Какую информацию о согласии пользователей необходимо сохранять?

Наши правила требуют, чтобы клиенты сохраняли данные о разрешениях, полученных от пользователей, – как минимум текст согласия и представленные пользователю варианты, а также дату и время согласия пользователя.

Я использую платформу для запросов согласия, сертифицированную организацией IAB. Почему считается, что она не соответствует требованиям?

Внедрение сертифицированной CMP не гарантирует соблюдение правил Google в отношении согласия пользователей из ЕС, поскольку это зависит от реализации CMP и текста запроса согласия, который вы показываете пользователям. Советуем ознакомиться с разделом "Как избежать типичных ошибок при реализации запроса согласия: контрольный список для партнеров" в этом же документе.

Следует ли мне соблюдать эти правила, если я работаю с продуктами, которые используют Privacy Sandbox API?

Да. При работе с Privacy Sandbox API (Topics, Protected Audience и Attribution Reporting) вы можете использовать личные данные для персонализации рекламы и/или доступа к локальному хранилищу. Правила в отношении согласия пользователей из ЕС требуют, чтобы вы получили от своей аудитории согласие на совершение этих действий (аналогично тому, как вам требуется разрешение пользователей из Европейской экономической зоны и Великобритании на персонализацию рекламы и использование второстепенного локального хранилища). Подробнее о Privacy Sandbox

Обновления текущих правил

Правила Google в отношении согласия пользователей из ЕС были обновлены 25 мая 2018 г. Поскольку в отношениях между Великобританией и ЕС произошли изменения, 31 октября 2019 г. в правила был внесен ряд незначительных исправлений. В ближайшее время мы не планируем корректировать свои правила, но продолжим следить за изменениями в законах и за отраслевой практикой и при необходимости будем вносить поправки в этот документ.