Hjelp med EUs retningslinjer for brukersamtykke
Hvorfor har vi disse retningslinjene, og hvor gjelder de?
Retningslinjene gjenspeiler visse krav i to europeiske lover om personvern: EUs personvernforordning (GDPR) og EUs kommunikasjonsverndirektiv, samt eventuelle tilsvarende lover i Storbritannia. Disse retningslinjene gjelder for brukere i EØS, Storbritannia eller Sveits. EØS består av medlemslandene i EU samt Island, Liechtenstein og Norge.
Den opprinnelige versjonen av disse retningslinjene ble innført i 2015 og oppdatert 25. mai 2018, da EUs personvernforordning trådte i kraft. Retningslinjene ble sist oppdatert 31. juli 2024 for å gjelde for brukere som holder til i Sveits.
Må jeg følge disse retningslinjene for alle brukere hvis jeg er en publisist eller annonsør i EØS, Storbritannia eller Sveits?
Googles retningslinjer for brukersamtykke i EU gjelder bare for brukere i EØS, Storbritannia eller Sveits.
Hvordan sikrer Google at disse retningslinjene overholdes?
Vi sikrer at retningslinjene overholdes, ved å gjennomføre jevnlige kontroller av nettsteder og apper som bruker annonseringstjenestene våre. Dette har vi gjort siden retningslinjene ble innført i 2015. Kontrollørene våre besøker nettsteder og apper som om de var brukere, og vi ser på informasjonen som vises, og samtykkene som innhentes.
Førsteprioriteten vår er alltid å samarbeide med partnerne våre for å sikre riktig samsvar. Hvis vi finner ut at en partner ikke følger retningslinjene, kontakter vi først partneren for å informere om problemet. Deretter prøver vi å samarbeide med hen for å hjelpe hen med å overholde retningslinjene.
Siden 2015 har vi gitt nettsteder og apper en rimelig tidsfrist til å gjøre eventuelle nødvendige endringer. Men hvis partneren ikke samarbeider med oss eller ikke viser innsats i god tro for å overholde retningslinjene innen en rimelig tidsfrist, kan dette føre til tiltak mot de aktuelle kontoene, inkludert suspensjon av målgruppefunksjoner, deriblant personlig tilpasning av annonser (f.eks. remarketing) og konverteringsmåling for annonsører. For publisister kan bare begrensede annonser / programmatisk begrensede annonser vises (hvis programmatisk begrensede annonser er slått på).
I tillegg til å gjennomføre revisjoner av nettsteder og apper krever vi at publisister bruker en sertifisert CMP når de viser annonser til brukere i EØS, Storbritannia og Sveits, for å overholde disse retningslinjene. Google fortsetter å gjennomgå nettsteder og apper til publisistpartnere som har tatt i bruk en sertifisert CMP.
For annonsører med trafikk fra EØS gjelder følgende: Hvis en person fra EØS bruker appen din eller nettstedet ditt og du måler brukeratferd via Google-tagger eller -SDK-er og/eller du bruker funksjonalitet for målgrupper / personlig tilpasning av annonser, må du sende brukersamtykkevalg til Google (f.eks. via samtykkemodus eller TCF). Hvis du laster inn Google-taggen og ikke har implementert den nyeste versjonen av samtykkemodusen, anbefaler vi å samarbeide med en CMP i Googles CMP Partner Program. Denne listen inneholder ikke alle tilgjengelige CMP-er, og Google krever ikke at annonsører bruker en CMP fra partnerprogrammet.
Hvilke opplysninger må jeg gi til brukerne?
I henhold til retningslinjene våre kreves det at du identifiserer alle parter som mottar brukeres personlige data som følge av bruk av et Google-produkt. De krever også at du oppgir tydelig og lett tilgjengelig informasjon om hvordan brukernes personlige data brukes. Vi har publisert informasjon om Googles bruk av informasjon. For å overholde opplysningsforpliktelsene i forbindelse med Googles bruk av data må publisister og annonsører linke til den siden. Vi ber også andre leverandører av annonseteknologi som Googles produkter kan integreres med, om å publisere informasjon om deres egen bruk av personlige data.
Apputviklere bør oppmuntre brukerne til å laste ned den nyeste versjonen av appen, slik at de får den nyeste brukerinformasjonen.
Sjekkliste for å unngå vanlige feil ved implementering av samtykkemekanismer
Dette er bare eksempler og ikke en fullstendig liste. Sørg alltid for at implementeringen din overholder alle kravene i Googles retningslinjer.
- Implementert samtykkemekanisme eller samtykkebanner: Har du implementert en samtykkemekanisme eller et samtykkebanner? For publisistpartnere: Er samtykkemekanismen eller samtykkebanneret sertifisert av Google? Har du sjekket at samtykkemekanismen din eller samtykkebanneret ditt vises når nettstedet/appen åpnes av brukere fra alle EØS-land samt fra Storbritannia og Sveits?
- Bekjentgjørelse om bruk av personopplysninger: Har du forklart brukerne hvordan personopplysningene deres brukes på nettstedet ditt eller i appen din? Vet de for eksempel at personopplysningene deres brukes i personlig tilpasning av annonser – spesielt med tanke på «personlig tilpasning av annonser» i det første laget i samtykkemekanismen/-banneret – og at informasjonskapsler / identifikatorer for mobilannonser kan bli brukt både til personlig tilpasset annonsering og til annonsering som ikke er personlig tilpasset?
- Aktivt brukersamtykkevalg: Har brukerne fått muligheten til å bekrefte samtykket aktivt, for eksempel ved å klikke på en «OK»- eller «Godta»-knapp?
- Bekjentgjørelse om datadeling: Har du opplyst om hvilke tredjeparter (inkludert Google) som også får tilgang til brukerdataene du samler inn på nettstedet ditt / i appen din?
- Link til Googles nettsted om ansvar for bedriftsdata: Har du informert brukerne om hvordan Google bruker personopplysninger, når brukerne gir samtykke på nettstedet / i appen, f.eks. ved å legge ved en link til Googles nettsted om ansvar for bedriftsdata? Du bør ha linker til nettstedet om ansvar for bedriftsdata enten direkte i samtykkevarselet, via en link til siden din for personvernregler (linken må være synlig på det første laget av den siden) eller under «Mer informasjon» eller en lignende link i samtykkevarselet. Har du informert brukerne om hvordan andre tredjeparter bruker de personlige dataene deres?
- Riktig konfigurering av samtykkesignaler: For annonsører med brukere i EØS: Sender du validerte samtykkesignaler til Google som gjenspeiler brukernes preferanser? Har du implementert den nyeste versjonen av samtykkemodus eller TCF (rammeverket for åpenhet og samtykke) på riktig måte?
- Samtykke til bruk av informasjonskapsler: Har du sikret at det ikke lagres noen informasjonskapsler uten at det er gitt samtykke, i den grad samtykke er påkrevd? Vær oppmerksom på at annonser vi viser på nettsteder, men som ikke er personlig tilpasset, også er avhengige av informasjonskapsler for å fungere.
- Plattformen for samtykkestyring er riktig konfigurert: Publisister: Har du tatt i bruk en Google-sertifisert CMP i tråd med TCF-kravene? Hvis du bruker ekstra samtykke, har du implementert dette på riktig måte?
Du finner mer informasjon om hvordan du løser problemer med revisjonen av retningslinjene for brukersamtykke i EU for annonsører her og for publisister her.
Hva er begrensede annonser?
Hvis du er publisist og tjener penger bare på visninger med begrensede annonser, deaktiverer Google funksjoner som krever bruk av en lokal identifikator, for eksempel frekvenstak, i tillegg til at innsamling, deling og bruk av personlige data til personlig tilpasning av annonser deaktiveres. Kun når programmatisk begrensede annonser er slått på, brukes lokal lagring og informasjonskapsler som bare registrerer ugyldig trafikk, til å motarbeide svindel og uriktig bruk. Merk at teknologier for annonselevering (JavaScript-tagger og SDK-kode) fortsatt bufres eller installeres som en del av den normale driften av brukernes nettlesere og mobiloperativsystemer. Vurder hvilke forpliktelser du har til å overholde retningslinjene, inkludert påkrevde varsler og samtykker, basert på lokal lov og rett i jurisdiksjonen din. Se brukerstøtten for Ad Manager, AdMob og AdSense for mer informasjon om denne funksjonen.
Hvilken veiledning må jeg gi brukere om oppheving av samtykke?
Retningslinjene krever at brukere får vite hvordan de kan oppheve samtykket. Det må være like enkelt for brukerne å oppheve samtykket som det var å gi det. Minstekravet er at brukerne får informasjon som gjør at de enkelt finner annonsekontrollene for nettstedet ditt eller appen din, slik at de kan endre samtykkeinnstillingene.
Hvilke andre Google-produkter omfattes av disse retningslinjene?
I tillegg til Googles annonse- og måleprodukter henvises det til disse retningslinjene i andre Google-produkter, for eksempel vilkårene for bruk av Google Maps Platform, vilkårene for bruk av YouTube API-tjenester, vilkårene for bruk av reCAPTCHA samt i Blogger.
Hvilke annonsetyper anses som «personlig tilpasset» i disse retningslinjene?
Med personlig tilpassede annonser får brukere en bedre opplevelse (mer relevante annonser), og det samme gjelder for annonsører/publisister. Google betrakter annonser som personlig tilpassede når vi bruker tidligere innsamlede eller historiske data for å velge annonser eller påvirke valget av annonser. Eksempler på slike data er brukerens tidligere søkeord, aktivitet, besøk på nettsteder og bruk av apper, demografisk informasjon samt stedet der brukeren er. Spesifikt kan dette inkludere annonsering som tilpasses av demografisk målretting, målretting mot interessekategorier, remarketing, målretting mot Kundematch-lister og bruk av målgruppelister som er lastet opp i Google Marketing Platform. Du finner mer informasjon her.
Samtykkebanneret mitt ble rapportert for ikke å overholde retningslinjene i kontrollen. Hvordan kan jeg løse dette?
Hvis vi oppdager at retningslinjene ikke overholdes, prioriterer vi å følge opp partnerne, slik at de får rettet opp bruddet. Gjennomgangsteamet vårt gir deg informasjon om feilen og hva du må gjøre for å få nettstedet/appen til å overholde retningslinjene igjen.
For å sikre at bannere er konfigurert slik at de ivaretar brukernes valg, oppmuntrer vi annonsører til å samarbeide med tredjeparts-CMP-en sin eller gå gjennom den relevante dokumentasjonen om administrering av samtykkeinnstillinger og sikre at de er riktig integrert med samtykkemodus.
Vi oppfordrer publisister til å samarbeide med en Google-sertifisert CMP og å sjekke dette feilsøkingsprogrammet for å løse problemer med manglende overholdelse.
Hvorfor krever retningslinjene samtykke til bruk av informasjonskapsler også hvis de brukes til noe annet enn personlig tilpasning – for eksempel annonsemåling?
Informasjonskapsler og mobilidentifikatorer brukes som støtte for annonser Google leverer – enten de er personlig tilpasset eller ikke – for frekvenstak og for samlet annonserapportering. Retningslinjene våre krever samtykke til bruk av informasjonskapsler eller mobilidentifikatorer for brukere i land med juridiske krav om å innhente samtykke for informasjonskapsler eller mobilidentifikatorer.
Hva om jeg er en annonsør som bruker Google-produkter på nettstedet mitt eller i appen min?
Hvis du bruker tagger for annonseringsprodukter, for eksempel Google Ads eller Google Marketing Platform, på sidene dine eller i appen din, må du innhente samtykke fra brukere i EØS, Storbritannia og Sveits for å overholde Googles retningslinjer for brukersamtykke i EU. Retningslinjene våre krever samtykke for informasjonskapsler, mobilidentifikatorer eller annen lokal lagring hvis det er juridiske krav om det, og samtykke for bruk av personlige data i personlig tilpassede annonser – for eksempel hvis du har remarketing-tagger på sidene dine eller i appen din.
Hva bør det stå i samtykkemekanismen/-banneret?
Vi oppfordrer deg til å gjennomgå sjekklisten ovenfor for å unngå vanlige feil ved implementering av en samtykkemekanisme eller et samtykkebanner, siden du kan bruke denne sjekklisten for å sikre at du overholder disse retningslinjene.
Googles retningslinjer spesifiserer ikke hvilke valg du må gi brukerne, da teksten i samtykkevarselet må tilpasses måten du bruker data på (f.eks. om du bruker dem til egne formål eller i andre tjenester du jobber med).
Krever Google en bestemt type samtykkemelding for apper?
For publisister er svaret ja. Googles publisister må ta i bruk en Google-sertifisert CMP når de viser personlig tilpassede annonser til brukere i EØS, Storbritannia og Sveits.
For Googles annonseringspartnere: For trafikk i EØS må annonsører sende signaler som gjenspeiler brukernes valg, til Google via samtykkemodus eller TCF. Hensikten med CMP Partner Program er å forenkle arbeidet med å lage og konfigurere samtykkebannere. Merk: Denne listen inneholder ikke alle tilgjengelige CMP-er, og Google krever ikke at annonsører bruker en CMP fra partnerprogrammet.
Hvordan kan partnere finne ut hvilken plattform for samtykkestyring (CMP) de bør bruke?
For annonseringspartnere: CMP Partner Program er laget for å hjelpe annonsører med å konfigurere samtykkebannere på nettet og i apper, og det kan også brukes som en hjelp ved integrering av samtykkemodus eller TCF. Merk: Denne listen inneholder ikke alle tilgjengelige CMP-er, og Google krever ikke at annonsører bruker en CMP fra partnerprogrammet. Bruk av disse CMP-ene garanterer ikke overholdelse av Googles retningslinjer for brukersamtykke i EU, siden det avhenger av implementeringen av CMP-en og samtykkemeldingen som vises til brukerne (hvis du vil ha mer veiledning om dette, kan du se spørsmålet over «Sjekkliste for partnere for å unngå vanlige feil ved implementering av samtykkemekanismer»).
For publisistpartnere: Publisister må ta i bruk en Google-sertifisert CMP som er integrert med rammeverket for åpenhet og samtykke (TCF) fra IAB Europe, når de viser personlig tilpassede annonser til brukere i EØS, Storbritannia og Sveits.
Hvilke andre parter samler inn brukernes personopplysninger, og hvordan identifiserer jeg disse tredjepartene?
Mange annonsører og publisister som bruker Googles annonseringssystemer, bruker tredjeparter til å vise annonser og måle virkningen av annonsekampanjene sine på nettsteder og i apper. Retningslinjene krever at du tydelig identifiserer alle parter – i tillegg til Google – som kan samle inn, motta og/eller benytte seg av brukeres personopplysninger som følge av at du bruker Google-produkter.
Nettstedet mitt eller appen min er ikke basert i Europa. Gjelder disse retningslinjene for meg likevel?
Ja, hvis du bruker Google-produkter som innlemmer disse retningslinjene. Retningslinjene gjelder bare for brukere i EØS, Storbritannia og Sveits.
Jeg er publisist, og ingen av kampanjene mine er målrettet mot EØS, Storbritannia eller Sveits. Gjelder dette samtykkekravet for meg likevel?
Disse retningslinjene gjelder for brukere i EØS, Storbritannia og Sveits. Retningslinjene gjelder ikke hvis Google-tjenester fjernes fra nettstedet/appen for brukere i de aktuelle landene.
Organisasjonen vår har et annet syn på gjeldende lov og rett, og vi ønsker å bruke en annen tilnærming til opplysning og samtykke. Kan vi gjøre det?
Google prioriterer overholdelse av personvernforordningen svært høyt, også i den grad den er inkludert i lov og rett i Storbritannia, i alle tjenestene vi tilbyr i Europa. Retningslinjene våre for brukersamtykke i EU gjenspeiler denne forpliktelsen og viser at vi følger veiledningen fra europeiske datatilsyn. Selv om partnere kan ha ulik tolkning av lov og rett, krever vi at partnerne våre oppfyller forventningene i disse retningslinjene. Vi fortsetter å vurdere gjeldende lov og rett samt det som er praksis i bransjen, og å oppdatere anbefalingene og kravene våre i henhold til dette.
Hvorfor trenger vi samtykke til annonsemåling?
Google bruker informasjonskapsler og forskjellige annonseidentifikatorer som støtte for annonsemåling. Eksisterende lover om personvern på nettet krever samtykke for slik bruk for brukere i land hvor lokal lov og rett krever slikt samtykke. I tråd med dette krever retningslinjene våre samtykke til personlig tilpasning av annonser og samtykke til annonsemåling der det finnes juridiske krav om dette.
Trenger jeg samtykke før Googles annonsørtagger utløses, eller kan jeg innhente det etterpå?
Du må innhente samtykke til personlig tilpassede annonser, bruk av informasjonskapsler eller annen lokal lagring der det finnes juridiske krav om dette. Dette må gjøres før Googles annonsørtagger utløses på nettsidene eller i appene dine.
Hva med bruk av klikksporing?
Der annonsører velger å bruke tredjepartsteknologi for klikksporing (dvs. når et klikk på en annonse viderekobler brukerens nettleser til en tredjepartsleverandør av målingstjenester når brukeren er på vei til annonsørens landingsside), må annonsørene overholde gjeldende lov og rett. Googles leverandørkontroller for publisister er ikke laget for å skjule teknologi for klikksporing.
Hvilken informasjon må jeg ta vare på?
Retningslinjene våre krever at kunder beholder informasjonen som dokumenterer brukernes samtykke. Denne informasjonen skal bestå av minst teksten og valgene som vises til brukerne som en del av mekanismer for innhenting av samtykke, samt datoene og klokkeslettene brukerne eventuelt gir samtykke.
Hvorfor er publisist-CMP-en min blitt ansett som ikke-kompatibel når jeg bruker en Google-sertifisert CMP som også er sertifisert av IAB?
Selv om du tar i bruk en Google-sertifisert CMP, er det ikke garantert at du overholder Googles retningslinjer for brukersamtykke i EU, siden dette avhenger av implementeringen av CMP-en og den spesifikke samtykkemeldingen brukere får se. (Hvis du vil ha mer veiledning om dette, kan du se spørsmålet over «Sjekkliste for partnere for å unngå vanlige feil ved implementering av samtykkemekanismer».)
Hvorfor er nettstedet mitt eller appen min vurdert til å være i strid med retningslinjene, selv om jeg bruker en CMP i programmet for Google-partnere?
For annonseringspartnere: CMP Partner Program er laget for å hjelpe annonsører med å lage og konfigurere samtykkebannere på nettet og i apper, og det kan også brukes som en hjelp ved integrering av samtykkemodusen. Samarbeid med disse CMP-ene garanterer ikke overholdelse av Googles retningslinjer for brukersamtykke i EU, siden det avhenger av implementeringen av CMP-en og samtykkemeldingen som vises til brukerne. Hvis du vil ha mer veiledning om dette, kan du se spørsmålet over «Sjekkliste for partnere for å unngå vanlige feil ved implementering av samtykkemekanismer». Du bør også snakke med leverandøren av CMP-en din.
Må jeg følge disse retningslinjene hvis jeg bruker produkter som bruker Privacy Sandbox-API-er?
Ja. Når du bruker Privacy Sandbox-API-er (inkludert Topics, Protected Audience og Attribution Reporting), får du tilgang til lokal lagring. Siden lov og rett om personvern på nett ikke skiller mellom personopplysninger og andre opplysninger, må du innhente samtykke uansett hva slags data du mener det er. I henhold til retningslinjene for brukersamtykke i EU må du innhente gyldig brukersamtykke for disse handlingene på samme måte som du i dag trenger samtykke til personlig tilpasning av annonser og bruk av ikke-essensiell lokal lagring i den grad det finnes juridiske krav om det. Mer informasjon om Privacy Sandbox.
Må annonsører innhente et signal om gyldig samtykke (via TCF eller samtykkemodusen) for brukere i Storbritannia og Sveits?
Nei, vi har ingen forventninger om at annonsører sender signaler om verifisert samtykke til Google for trafikk fra Storbritannia eller Sveits (via samtykkemodusen eller TCF). Merk: Kravet om å sende signaler om verifisert samtykke gjelder for annonsører med trafikk fra brukere i EØS. Vi anbefaler å samarbeide med en CMP i programmet for Google-partnere for å få veiledning om implementeringen. Merk: Denne listen inneholder ikke alle tilgjengelige CMP-er, og Google krever ikke at annonsører bruker en CMP fra partnerprogrammet.
Hvilke typer lokal lagring gjelder retningslinjene for brukersamtykke i EU for?
Googles retningslinjer for brukersamtykke i EU har lenge krevd at kunder som bruker annonseringsproduktene våre, må innhente juridisk gyldig samtykke til bruk av informasjonskapsler eller annen lokal lagring der det finnes juridiske krav om dette. Merk at denne forpliktelsen ikke er begrenset til informasjonskapsler og mobil-ID-er. Basert på vår forståelse av gjeldende lov og rett i EØS og Storbritannia gjelder denne forpliktelsen blant annet også for bruk av IP-adresser eller fingeravtrykk til måling eller personlig tilpasning av annonser.
Vi anbefaler at du hører med det juridiske teamet ditt for å forstå hvilke forpliktelser du har i henhold til gjeldende regulatoriske veiledninger for databeskyttelse, generelt personvern og personvern på nett samt retningslinjene for brukersamtykke i EU, slik de gjelder for bruken din av lokal lagring. Dette inkluderer å gi brukerne nødvendig informasjon for å sikre at de forstår hvordan data kan samles inn, og hvordan disse dataene blir brukt. Dette inkluderer for eksempel å forklare brukerne i samtykkemekanismen/banneret at du planlegger å bruke IP-adresser til personlig tilpasning av annonser eller måling av annonser, hvis det er aktuelt.
I den grad du er avhengig av rammeverket for åpenhet og samtykke (TCF) for å sende samtykkesignaler til Google, kan disse ressursene også være nyttige for å forstå hvordan TCF kan støtte deg med samsvar.
Bruker Google IP-adresser til annonsemåling og personlig tilpasning av annonser i EØS, Storbritannia og Sveits?
Ja. Fra og med august 2026 begynner Google å lansere sine IP-baserte løsninger for annonsemåling og personlig tilpasning av annonser i disse regionene. For å støtte disse løsningene bruker Google IP-adressene vi mottar via SDK-er, HTTP-kall, kundetagger, opplastinger eller lignende metoder, til måling og personlig tilpasning av annonser. Google oppdaterer også registreringen sin i listen over globale leverandører til TCF for å registrere seg for Funksjon 3 for å «Identifisere enheter basert på informasjon som overføres automatisk». På denne siden av Googles personvernregler finner du mer informasjon om hvordan Google bruker IP-adresser.
Hvilke åpenhetsforpliktelser gjelder for denne endringen?
Husk at du må vise en fremtredende link i informasjonen du videreformidler, for å opplyse tydelig om hvordan Google behandler brukerdata. Se denne siden i Googles personvernregler for mer informasjon om hvordan Google bruker IP-adresser. Vi anbefaler at du hører med det juridiske teamet ditt for å forstå hvilke forpliktelser du har i henhold til gjeldende lover og forskrifter om databeskyttelse og personvern.
Oppdateringer av disse retningslinjene
Googles opprinnelige retningslinjer for brukersamtykke i EU ble oppdatert 25. mai 2018. For å gjenspeile Storbritannias endrede forhold til EU ble det gjort mindre endringer 31. oktober 2019.
I juli 2024 oppdaterte og utvidet vi retningslinjene for brukersamtykke i EU til å inkludere Sveits.
Det er foreløpig ikke forventet noen andre endringer i retningslinjene, men som nevnt ovenfor, fortsetter vi å vurdere gjeldende lov og rett samt det som er praksis i bransjen, og å oppdatere anbefalingene og kravene våre basert på dette.