Чому було створено ці правила й де вони застосовуються?
Ці правила відображають певні вимоги двох європейських законів про конфіденційність: Загального регламенту захисту даних (GDPR) і Директиви про конфіденційність і електронні засоби зв'язку (ePrivacy Directive), а також схожих законів Великої Британії. Цю Директиву не варто плутати із запропонованим Регламентом конфіденційності в Інтернеті (ePrivacy Regulation), що зараз перебуває на обговоренні. Ці закони стосуються кінцевих користувачів із Великої Британії та Європейської економічної зони (ЄЕЗ), до якої входять країни-члени ЄС, а також Ісландія, Ліхтенштейн і Норвегія.
Оригінальну версію цих правил було опубліковано у 2015 році й оновлено 25 травня 2018 року, коли набув чинності Загальний регламент захисту даних (GDPR).
Чи потрібно мені дотримуватися цих правил для показу реклами всім користувачам, якщо я видавець або рекламодавець із ЄЕЗ чи Великої Британії?
Правила Google щодо отримання згоди користувачів із ЄС поширюються лише на кінцевих користувачів із ЄЕЗ і Великої Британії.
Як Google забезпечуватиме дотримання цих правил?
З 2015 року, коли було опубліковано першу версію правил, ми вручну перевіряємо сайти й додатки, які використовують рекламні сервіси Google. Наші спеціалісти відкривають сайти або додатки так само, як звичайні користувачі, і перевіряють, яка інформація представлена на цих ресурсах та як саме відбувається процес отримання згоди.
Для нас дуже важливо, щоб наші партнери дотримувалися цих правил. Якщо ми виявимо, що партнер не дотримується наших правил, спершу ми зв’яжемося з ним і повідомимо про проблему. Після цього ми спільними зусиллями спробуємо забезпечити відповідність вимогам.
З 2015 року ми даємо сайтам і додаткам достатньо часу, щоб внести потрібні зміни. Однак якщо партнер не співпрацює з нами або не докладає достатньо зусиль, щоб виконати вимоги впродовж відведеного часу, ми можемо вжити заходів, зокрема заблокувати його обліковий запис.
Крім проведення перевірок сайтів і додатків, у травні 2023 року ми оголосили, що із 16 січня 2024 року видавці повинні будуть використовувати Сертифіковану платформу керування згодою під час показу оголошень користувачам із ЄЕЗ і Великої Британії, шоб дотримуватися цих правил. Google продовжуватиме проводити перевірки сайтів і додатків наших партнерів-видавців, які використовують сертифіковану платформу керування згодою.
Яку інформацію я маю повідомляти кінцевим користувачам?
За нашими правилами, ви повинні надавати кінцевим користувачам інформацію про кожну особу, яка отримує їхні персональні дані внаслідок використання продукту Google, а також чітко й доступно пояснити, як саме використовуються ці дані. Ми опублікували інформацію про те, як Google використовує інформацію. Щоб дотримуватися зобов’язань щодо розкриття інформації про використання даних компанією Google, видавці й рекламодавці повинні розмістити посилання на цю сторінку. Ми також просимо інших постачальників рекламних технологій, з якими інтегруються продукти Google, надавати інформацію про власні способи використання персональних даних.
Контрольний список, що допоможе уникнути поширених помилок під час застосування механізму отримання згоди користувачів
Список містить лише приклади й не є вичерпним. Якщо видавець прийняв і правильно впровадив сертифіковану платформу керування згодою, він уже має відповідати вимогам цього контрольного списку. Завжди перевіряйте, чи ви застосовуєте цей механізм відповідно до всіх правил Google.
- Чи пояснили ви користувачам, як використовуватимуться їхні персональні дані, коли вони дадуть згоду на їх збирання для вашого сайту чи додатка (наприклад, чи знають вони, що на основі цих даних персоналізуватимуться оголошення, а файли cookie можуть застосовуватися для підбору персоналізованої і неперсоналізованої реклами)?
- Ви впевнені, що користувачі з усіх країн ЄЕЗ бачать сповіщення про надання згоди, коли відкривають ваш сайт чи додаток?
- Чи мали користувачі змогу підтвердити свою згоду, наприклад, натиснувши кнопку "OK" або "Приймаю"?
- Чи вказали ви, які треті особи (зокрема, Google) також матимуть доступ до даних користувачів, які ви збираєте на своєму сайті чи в додатку?
- Чи повідомили ви користувачів, як Google застосовуватиме їхні персональні дані, коли отримає згоду для вашого сайту або додатка (наприклад, чи додали ви посилання на Сайт Google про відповідальність щодо даних компаній? Чи вказали ви, як ці дані використовуватимуть треті особи?
- Якщо ви монетизуєте лише неперсоналізовану рекламу: чи отримали ви згоду користувачів на використання файлів cookie або інших локальних даних, таких як ідентифікатори мобільних пристроїв (якщо це вимагається законом)? Зверніть увагу, що для показу неперсоналізованої реклами на веб-сайтах усе одно потрібні файли cookie.
- Якщо ви розміщуєте рекламу лише з обмеженим показом, крім вимкнення функцій збирання, передавання й використання персональних даних для персоналізації реклами, Google вимикає функції, які вимагають використання локального ідентифікатора, як-от обмеження частоти показів. Тільки коли ввімкнено автоматизований обмежений показ реклами, для захисту від шахрайства й зловживань використовуватимуться файли cookie лише для виявлення недійсного трафіку й локальне сховище. Однак засоби розміщення оголошень (як-от теги JavaScript і/або код пакета SDK) усе одно кешуватимуться або встановлюватимуться для належної роботи веб-переглядачів і операційних систем мобільних пристроїв. Ви повинні самостійно визначити, яких правил вам потрібно дотримуватися відповідно до місцевого законодавства у вашій юрисдикції, зокрема чи потрібно вам сповіщати користувачів і отримувати їхню згоду. Щоб дізнатися більше про цю функцію, перегляньте Довідкові центри Ad Manager, AdMob і AdSense.
- Якщо ви користуєтеся платформою для керування згодою користувачів, сертифікованою організацією IAB: чи додали ви "Рекламні продукти Google" у список постачальників?
- Чи переконалися ви, що без згоди не було встановлено файли cookie Google Ads і змінено стан неперсоналізованої реклами за замовчуванням?
Що робити, якщо я не хочу, щоб персональні дані кінцевих користувачів використовувалися для персоналізації оголошень?
Ви можете вибрати, чи хочете використовувати особисті дані кінцевих користувачів для персоналізації реклами. Зауважте: для показу неперсоналізованих оголошень на веб-сайтах чи в додатках потрібні файли cookie або ідентифікатори мобільних пристроїв. Ви повинні отримати згоду на їх використання (якщо це вимагається законом).
Використовуючи для монетизації Ad Manager, AdSense і AdMob, ви також можете вибрати функцію обмеженого показу реклами. Ви повинні самостійно визначити, яких правил вам потрібно дотримуватися відповідно до місцевого законодавства у вашій юрисдикції, зокрема чи потрібно вам сповіщати користувачів і отримувати їхню згоду на обмежений показ реклами й неперсоналізованих оголошень.
Які вказівки я маю надати кінцевим користувачам, якщо вони хочуть відкликати свою згоду?
Згідно з цими правилами, ви повинні надати кінцевим користувачам інформацію про те, як відкликати згоду на персоналізацію реклами. Відкликати згоду має бути так само легко, як надати її. Кінцеві користувачі мають щонайменше отримати достатню інформацію про те, де знайти функції, за допомогою яких можна контролювати, яку рекламу вони бачать на вашому сайті чи в додатку, щоб вони могли змінити свій вибір щодо надання згоди.
Які ще продукти Google регулюються цими правилами?
Окрім продуктів для реклами й аналізу, ці правила також стосуються інших продуктів Google, зокрема вони згадуються в Умовах використання платформи Карт Google, Умовах використання YouTube API, Умовах використання reCAPTCHA та Blogger.
Які типи рекламних оголошень вважаються персоналізованими відповідно до цих правил?
Персоналізована реклама (попередня назва – "реклама на основі інтересів") релевантніша й дає змогу підвищити рентабельність інвестицій (ROI). У наших продуктах для видавців (залежно від їх застосування) ми визначаємо інтереси користувачів на основі додатків, які вони використовують, і відвіданих сайтів. Завдяки цьому рекламодавці можуть націлювати свої кампанії максимально ефективно. Щоб дізнатися більше, перегляньте наші правила розміщення персоналізованої реклами.
У Google персоналізованою вважається та реклама, яка показується відповідно до історичних даних або попередньо зібраної інформації про пошукові запити користувача, його дії, відвідані сайти й використані додатки. Також до такої інформації належать демографічні дані й відомості про місцезнаходження користувача. Відповідно до цих даних застосовуються, наприклад, демографічне націлювання, націлювання за категоріями інтересів, ремаркетинг, списки цільових електронних адрес, а також списки цільових аудиторій, додані в Google Marketing Platform.
Під час перевірки мій банер для надання згоди було позначено як невідповідний. Як краще вирішити цю проблему?
Якщо ми виявимо невідповідність цим правилам, пріоритетним завданням буде допомогти нашим партнерам відновити відповідність вимогам. Наша команда аудиторів надасть детальну інформацію про невідповідність і заходи, яких необхідно вжити, щоб ваш сайт або додаток відповідав правилам.
Щоб переконатися, що банер налаштовано правильно відповідно до вибору користувача, ми заохочуємо рекламодавців співпрацювати зі своєю сторонньою платформою керування згодою або переглянути відповідну документацію стосовно керування налаштуваннями згоди й переконатися в належній інтеграції з режимом згоди.
Чому ці правила вимагають отримувати згоду користувача на використання файлів cookie, навіть якщо вони застосовуються для інших цілей, ніж персоналізація, наприклад для вимірювання ефективності реклами?
Персоналізована й неперсоналізована реклама, яка розміщується на платформі Google, використовує файли cookie або ідентифікатори мобільних пристроїв для боротьби із шахрайством і порушеннями, обмеження частоти показів, а також створення зведених звітів. Згідно з цими правилами, у країнах, де вимагається згода користувачів на використання файлів cookie або ідентифікаторів мобільних пристроїв, ви повинні отримати таку згоду.
Чи застосовується ця вимога, якщо я рекламодавець і використовую продукти Google на своєму сайті?
Якщо ви застосовуєте на своїх сторінках теги для рекламних продуктів, таких як Google Ads або Google Marketing Platform, ви маєте отримати згоду користувачів із ЄЕЗ і Великої Британії. Згідно з нашими правилами, згода користувача потрібна для файлів cookie, які використовуються для аналізу, а також для обробки особистих даних для персоналізованої реклами (наприклад, якщо на ваших сторінках є теги ремаркетингу).
Що має бути вказано в запиті на згоду?
Політика Google не визначає, які варіанти вибору потрібно пропонувати користувачам, оскільки текст вашого запиту на згоду залежатиме від того, як ви використовуєте дані (наприклад, якщо ви застосовуєте дані для власних цілей або підтримки інших сервісів, з якими працюєте).
Чи вимагає Google використовувати певну форму запиту на отримання згоди на обробку персональних даних для додатків?
Так, у травні 2023 року ми оголосили, що із 16 січня 2024 року видавці повинні будуть використовувати Сертифіковану платформу керування згодою під час показу оголошень користувачам у ЄЕЗ і Великій Британії. Якщо вашої платформи керування згодою немає в цьому списку, радимо спробувати отримати сертифікацію спільними зусиллями з постачальником такої платформи.
Для рекламних партнерів було створено CMP Partner Program, щоб допомогти рекламодавцям створити й налаштувати банери для надання згоди. Примітка. Цей список містить не всі доступні платформи керування згодою.
Як партнери мають вибирати постачальника платформи керування згодою?
Для рекламних партнерів було створено CMP Partner Program, щоб допомогти рекламодавцям створити й налаштувати банери для надання згоди. Примітка. Цей список містить не всі доступні платформи керування згодою. Використання перелічених платформ не гарантує дотримання Правил Google щодо отримання згоди користувачів із ЄС, оскільки відповідність вимогам залежить від використання платформи керування згодою і конкретного запиту на отримання згоди, який бачать користувачі (щоб дізнатися більше, вище перегляньте пункт "Контрольний список для партнерів, що допоможе уникнути помилок під час застосування механізму отримання згоди користувачів").
Які треті сторони збирають персональні дані кінцевих користувачів і як їх ідентифікувати?
Багато рекламодавців і видавців, які використовують рекламні системи Google, розміщують оголошення на ресурсах третіх осіб та застосовують їх для аналізу ефективності своїх рекламних кампаній на веб-сайтах чи в додатках. Згідно з нашими правилами, ви повинні чітко вказати кожну особу, яка може збирати, отримувати та/або обробляти персональні дані кінцевих користувачів під час використання вами продуктів Google. В AdSense, Google Ad Manager і AdMob є елементи керування, що дають змогу вибрати постачальників, які можуть збирати дані на вашому сайті чи в додатку.
Мій сайт зареєстровано не в Європі. Чи поширюються ці правила на мене?
Так, якщо ви використовуєте продукти Google, що регулюються цими правилами, а ваші сервіси мають бути доступні для користувачів із ЄЕЗ або Великої Британії.
Я видавець і не націлюю свої кампанії на користувачів із ЄЕЗ і Великої Британії. Чи поширюються ці вимоги на мене?
Якщо ви видалили сервіси Google із сайту для користувачів із цих країн, їхня згода не потрібна. Однак ви повинні отримати згоду, якщо сервіси Google використовуються, але оголошення не показуються. Це пояснюється тим, що Google AdMob, AdSense і Google Ad Manager застосовують файли cookie, а наші правила вимагають згоди на файли cookie, які використовуються для вимірювання. Google Ad Manager також збирає персональні дані, за винятком випадків, коли запит стосується неперсоналізованої реклами й зазначений у налаштуваннях згоди користувачів із ЄС чи в самому запиті.
Наша організація по-іншому трактує закон і хоче застосовувати інший підхід до розголошення й отримання згоди користувачів. Це можливо?
Google дотримується вимог регламенту захисту даних (GDPR), зокрема в межах, установлених законодавством Великої Британії, у всіх сервісах, які ми надаємо в Європі. Наші Правила щодо отримання згоди користувачів із ЄС відображають це зобов’язання й вказівки європейських органів захисту даних. Ми продовжимо оцінювати цей закон і галузеві стандарти й відповідно оновлюватимемо наші рекомендації і вимоги.
Чому потрібно отримувати згоду на вимірювання ефективності реклами? Хіба це не законний інтерес?
Google використовує файли cookie й різноманітні рекламні ідентифікатори для вимірювання ефективності реклами. Згідно із законом "Про конфіденційність і електронні засоби зв’язку", для цього потрібно отримати згоду користувачів із країн, де це вимагається. Тому наші правила вимагають отримувати згоду на персоналізацію і вимірювання ефективності реклами, навіть якщо такий аналіз стосується офлайнових показників (наприклад, продажі в магазині).
Коли потрібно отримати згоду: перед додаванням тегів чи після?
Ви маєте отримати згоду користувачів на показ персоналізованої реклами, перш ніж на ваші сторінки буде додано теги Google.
Чи поширюються ці правила на відстеження кліків?
Якщо рекламодавці використовують сторонні технології відстеження кліків (коли клік оголошення спрямовує користувача на цільову сторінку рекламодавця через стороннього постачальника послуг аналізу), вони мають дотримуватися вимог відповідних законів. Елементи керування постачальниками Google для видавців не призначені для технологій відстеження кліків.
Які записи потрібно зберігати?
Відповідно до наших правил, клієнти повинні зберігати записи про згоду користувачів, у яких міститься принаймні її текст і варіанти вибору, запропоновані користувачам, а також дата й час отримання згоди.
Чому платформу керування згодою мого видавця було визнано такою, що не відповідає вимогам? Я використовую платформу, сертифіковану Бюро інтерактивної реклами (IAB).
Використання сертифікованої платформи не гарантує дотримання Правил Google щодо отримання згоди користувачів із ЄС, оскільки відповідність вимогам залежить від використання платформи керування згодою і конкретного запиту на отримання згоди, який бачать користувачі (щоб дізнатися більше, вище перегляньте пункт "Контрольний список для партнерів, що допоможе уникнути помилок під час застосування механізму отримання згоди користувачів").
Чи потрібно мені дотримуватися цих правил, якщо я користуюся продуктами, які використовують Privacy Sandbox API?
Так. Працюючи з Privacy Sandbox API (Topics, Protected Audience і Attribution Reporting), ви можете використовувати персональні дані для персоналізації реклами та/або доступу до локального сховища. Відповідно до Правил щодо отримання згоди користувачів із ЄС, у таких випадках вам потрібно отримати дійсну згоду користувачів за тією самою процедурою, яка зараз застосовується для дозволів на персоналізацію реклами й використання другорядного локального сховища в Європейській економічній зоні й Великій Британії. Докладніше про Privacy Sandbox.
Оновлення цих правил
Оригінальну версію правил Google щодо отримання згоди користувачів із ЄС оновлено 25 травня 2018 року. Щоб відобразити розвиток відносин між Великою Британією та ЄС, ми внесли незначні зміни 31 жовтня 2019 року. Наразі подальші зміни в правилах не передбачаються. Однак ми продовжимо оцінювати цей закон і галузеві стандарти й відповідно оновлюватимемо наші рекомендації та вимоги.