Довідка про політику щодо згоди користувачів у ЄС
Чому було створено ці правила й де вони застосовуються?
Ці правила відображають певні вимоги двох європейських законів про захист персональних даних — Загального регламенту захисту даних (GDPR) та Директиви про конфіденційність і електронні засоби звʼязку (ePrivacy Directive), а також схожих законів Великої Британії. Ці правила поширюються на користувачів у ЄЕЗ, Великій Британії і Швейцарії. До складу ЄЕЗ входять країни – учасниці ЄС, а також Ісландія, Ліхтенштейн і Норвегія.
Оригінальну версію цих правил було опубліковано у 2015 році й оновлено 25 травня 2018 року, коли набув чинності Загальний регламент захисту даних (GDPR). Правила востаннє оновилися 31 липня 2024, а їх дія поширилася на користувачів у Швейцарії.
Чи потрібно мені дотримуватися цих правил для показу реклами всім користувачам, якщо я видавець або рекламодавець із ЄЕЗ, Великої Британії чи Швейцарії?
Правила Google щодо отримання згоди користувачів із ЄС поширюються лише на кінцевих користувачів у ЄЕЗ, Великій Британії і Швейцарії.
Як Google забезпечуватиме дотримання цих правил?
З 2015 року, коли було опубліковано першу версію правил, ми періодично вручну перевіряємо сайти й додатки, які використовують рекламні сервіси Google. Наші спеціалісти заходять на сайти й у додатки як звичайні користувачі й оцінюють наведену там інформацію, а також спосіб отримання згоди.
Для нас дуже важливо, щоб наші партнери дотримувалися цих правил. Якщо ми виявимо, що партнер не дотримується наших правил, спершу ми зв’яжемося з ним і повідомимо про проблему. Після цього ми спільними зусиллями спробуємо забезпечити відповідність вимогам.
З моменту публікації цих правил у 2015 році ми даємо сайтам і додаткам достатньо часу, щоб внести потрібні зміни. Однак якщо партнер не співпрацює з нами або не докладає достатньо зусиль, щоб виконати вимоги впродовж відведеного часу, ми можемо вжити заходів щодо його облікового запису, зокрема заблокувати доступ до функцій залучення аудиторії, таких як персоналізація реклами (наприклад, ремаркетинг) і відстеження конверсій для рекламодавців. Видавцям буде дозволено лише обмежений показ реклами чи автоматизований обмежений показ реклами (якщо його ввімкнено).
До того ж ми вимагаємо, щоб видавці використовували сертифіковані платформи для керування згодою, коли показують рекламу користувачам у ЄЕЗ, Великій Британії і Швейцарії. Google продовжуватиме проводити перевірки сайтів і додатків наших партнерів-видавців, які використовують сертифіковану платформу для керування згодою.
Інформація для рекламодавців, які показують рекламу в ЄЕЗ: якщо користувачі з ЄЕЗ відвідують ваш вебсайт або користуються вашим додатком, а ви відстежуєте їхню поведінку за допомогою тегів Google чи SDK та/або використовуєте функції залучення аудиторії чи персоналізації реклами, ви мусите передавати Google статуси згоди таких користувачів (наприклад, за допомогою режиму згоди чи фреймворку TCF). Якщо ви завантажуєте тег Google, але не використовуєте останню версію режиму згоди, рекомендуємо скористатися платформою для керування згодою із CMP Partner Program від Google. Цей список містить не всі доступні платформи для керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою для керування згодою від CMP Partners Program.
Яку інформацію я маю повідомляти кінцевим користувачам?
За нашими правилами, ви повинні надавати кінцевим користувачам інформацію про кожну сторону, яка отримує їхні персональні дані внаслідок використання продукту Google, а також чітко й доступно пояснити, як саме використовуються ці дані. Ми опублікували інформацію про те, як Google використовує дані. Щоб дотримуватися зобов’язань щодо розкриття інформації про використання даних компанією Google, видавці й рекламодавці повинні розмістити посилання на цю сторінку. Ми також просимо інших постачальників рекламних технологій, з якими інтегруються продукти Google, надавати інформацію про власні способи використання персональних даних.
Розробники додатків мають заохочувати користувачів завантажувати найновішу версію свого додатка, щоб вони завжди отримували актуальну інформацію.
Контрольний список, що допоможе уникнути поширених помилок під час застосування механізму отримання згоди користувачів
Список містить лише приклади й не є вичерпним. Завжди перевіряйте, чи ви застосовуєте цей механізм відповідно до всіх правил Google.
- Реалізація способу надання згоди. Чи реалізували ви спосіб надання згоди? Якщо ви партнер-видавець, чи пройшов ваш спосіб надання згоди сертифікацію Google? Ви впевнені, що користувачі з усіх країн ЄЕЗ, Великої Британії і Швейцарії бачать запит на надання згоди, коли відкривають ваш сайт чи додаток?
- Розкриття інформації про використання персональних даних. Чи пояснили ви користувачам, як застосовуватимуться їхні персональні дані у вас на сайті чи в додатку? Наприклад, чи знають вони, що на основі цих даних персоналізуватимуться оголошення (слід особливо підкреслити термін "персоналізація реклами" на першому рівні вашого способу надання згоди або відповідного банера), а файли cookie й рекламні ідентифікатори мобільних пристроїв можуть застосовуватися для підбору персоналізованих і неперсоналізованих оголошень?
- Підтвердження статусу згоди користувача. Чи мали користувачі змогу підтвердити свою згоду, наприклад, натиснувши кнопку "OK" або "Прийняти"?
- Розкриття інформації про передавання даних. Чи вказали ви, які треті особи (зокрема Google) також матимуть доступ до даних користувачів, які ви збираєте на своєму сайті чи в додатку?
- Посилання на сайт Google про відповідальність щодо даних компаній. Чи повідомили ви користувачів, як Google використовуватиме їхні персональні дані після того, як вони нададуть згоду на збирання даних у вас на сайті чи в додатку (зокрема, чи додали ви посилання на сайт Google про відповідальність щодо даних компаній)? Посилання на цей сайт можна додати безпосередньо в запиті на згоду. Крім того, його можна розмістити на сторінці політики конфіденційності (якщо посилання добре видно вгорі цієї сторінки), у розділі з додатковою інформацією або в будь-якому схожому розділі в запиті на згоду. Чи повідомили ви користувачів, як треті особи застосовуватимуть їхні персональні дані?
- Правильне налаштування сигналу про згоду. Для рекламодавців із користувачами в ЄЕЗ: чи надсилаєте ви перевірені сигнали про згоду, що відображають налаштування кінцевих користувачів? Ви правильно впровадили останню версію режиму згоди або фреймворку TCF?
- Згода на встановлення файлів cookie. Чи переконалися ви, що файли cookie не встановлюються без згоди користувача в ситуаціях, коли ця згода потрібна? Зверніть увагу, що для показу неперсоналізованої реклами на вебсайтах усе одно потрібні файли cookie.
- Правильне налаштування платформи для керування згодою. Для видавців: чи впровадили ви сертифіковану компанією Google платформу для керування згодою відповідно до вимог TCF? Якщо вам потрібно запитувати додаткову згоду, переконайтеся, що ви робите це правильно.
Дізнатися більше про те, як виправити проблеми, виявлені під час перевірки відповідності Правилам щодо отримання згоди користувачів із ЄС, можна на цих сторінках для рекламодавців і видавців.
Що таке обмежений показ реклами?
Якщо ви видавець і розміщуєте лише рекламу з обмеженим показом, Google вимикає не лише функції збирання, передавання й використання персональних даних для персоналізації реклами, але й функції, які вимагають використання локального ідентифікатора, як-от обмеження частоти показів. Тільки коли ввімкнено автоматизований обмежений показ реклами, для захисту від шахрайства й порушень використовуватимуться файли cookie, призначені лише для виявлення недійсного трафіку, а також локальне сховище. Однак засоби розміщення оголошень (як-от теги JavaScript і/або код пакета SDK) усе одно кешуватимуться або встановлюватимуться для належної роботи вебпереглядачів і операційних систем мобільних пристроїв. Ви повинні самостійно визначити, яких правил вам потрібно дотримуватися відповідно до місцевого законодавства у вашій юрисдикції, зокрема чи потрібно вам сповіщати користувачів і отримувати їхню згоду. Докладнішу інформацію про цю функцію можна знайти в довідкових центрах Ad Manager, AdMob і AdSense.
Які вказівки я маю надати кінцевим користувачам, якщо вони хочуть відкликати свою згоду?
Згідно з цими правилами, ви повинні надати кінцевим користувачам інформацію про те, як відкликати згоду. Відкликати згоду має бути так само легко, як надати її. Кінцеві користувачі мають щонайменше отримати достатню інформацію про те, де знайти функції, за допомогою яких можна контролювати, яку рекламу вони бачать на вашому сайті чи в додатку, щоб вони могли змінити свій вибір щодо надання згоди.
Які ще продукти Google регулюються цими правилами?
Окрім продуктів Google для реклами й вимірювання ефективності, ці правила стосуються й інших наших продуктів, зокрема вони згадуються в Умовах використання платформи Карт Google, а також сервісів YouTube API, reCAPTCHA й Blogger.
Які типи рекламних оголошень вважаються персоналізованими відповідно до цих правил?
Персоналізована реклама дає змогу покращити досвід як для користувачів (наприклад, завдяки показу доречніших оголошень), так і для рекламодавців та видавців. У Google персоналізованою вважається та реклама, яка показується відповідно до історичних даних або попередньо зібраної інформації про пошукові запити користувача, його дії, відвідані сайти й використані додатки. Також до такої інформації належать демографічні дані й відомості про місцезнаходження користувача. Відповідно до цих даних застосовуються, наприклад, демографічне націлювання, націлювання за категоріями інтересів, ремаркетинг, списки цільових електронних адрес, а також списки цільових аудиторій, додані в Google Marketing Platform. З додатковою інформацією можна ознайомитися тут.
Під час перевірки мій банер для надання згоди було позначено як невідповідний. Як краще вирішити цю проблему?
Якщо ми виявимо невідповідність цим правилам, пріоритетним завданням буде допомогти нашим партнерам відновити відповідність вимогам. Наша команда аудиторів надасть детальну інформацію про невідповідність і заходи, яких необхідно вжити, щоб ваш сайт або додаток відповідав правилам.
Щоб переконатися, що банер налаштовано правильно відповідно до вибору користувача, ми заохочуємо рекламодавців співпрацювати зі своєю сторонньою платформою керування згодою або переглянути відповідну документацію стосовно керування налаштуваннями згоди й переконатися в належній інтеграції з режимом згоди.
Видавцям рекомендуємо спробувати сертифіковану Google платформи керування згодою і скористатися цим засобом вирішення проблем, якщо потрібно усунути невідповідність вимогам.
Чому ці правила вимагають отримувати згоду на використання файлів cookie, навіть якщо вони застосовуються для інших цілей, ніж персоналізація, наприклад для вимірювання ефективності реклами?
Персоналізована й неперсоналізована реклама, яка розміщується на платформі Google, використовує файли cookie або рекламні ідентифікатори мобільних пристроїв для обмеження частоти показів і створення зведених звітів. Згідно з нашими правилами, у країнах, де вимагається згода користувачів на використання файлів cookie або рекламних ідентифікаторів мобільних пристроїв, ви повинні її отримати.
Чи застосовується ця вимога, якщо я рекламодавець і використовую продукти Google на своєму сайті чи в додатку?
Відповідно до Правил Google щодо отримання згоди користувачів із ЄС, якщо ви застосовуєте на своїх сторінках чи в додатках теги для рекламних продуктів, таких як Google Ads або Google Marketing Platform, ви маєте отримувати згоду користувачів із ЄЕЗ, Великої Британії і Швейцарії. Згідно з нашими правилами, згода користувача потрібна для використання файлів cookie, рекламних ідентифікаторів мобільних пристроїв або інших локальних сховищ, якщо це вимагається законом, а також для обробки особистих даних з метою показу персоналізованої реклами (наприклад, якщо у вас на сторінках чи в додатку встановлено теги ремаркетингу).
Що має бути вказано в запиті згоди користувача?
У такому разі радимо ознайомитися з наведеним вище контрольним списком, щоб уникнути поширених помилок у реалізації способу/банера надання згоди й забезпечити його відповідність цим правилам.
Політика Google не визначає, які варіанти вибору потрібно пропонувати користувачам, оскільки текст вашого запиту на згоду залежатиме від того, як ви використовуєте дані (наприклад, якщо ви застосовуєте дані для власних цілей або підтримки інших сервісів, з якими працюєте).
Чи вимагає Google використовувати певну форму запиту на отримання згоди на обробку персональних даних для додатків?
Так, від видавців. Щоб показувати персоналізовану рекламу користувачам у Великій Британії, ЄЕЗ або Швейцарії, видавці Google мають перейти на сертифіковану Google платформу для керування згодою.
Рекламні партнери Google, що показують оголошення користувачам із ЄЕЗ, повинні надсилати в Google сигнали, що відображають налаштування кінцевих користувачів, за допомогою режиму згоди або фреймворку TCF. Програму CMP Partner Program було започатковано, щоб допомагати рекламодавцям створювати й налаштовувати банери для надання згоди. Зауважте, що цей список містить не всі доступні платформи для керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою для керування згодою від CMP Partners Program.
Як партнери мають вибирати постачальника платформи керування згодою?
Рекламні партнери можуть скористатися програмою CMP Partner Program. Ми створили її, щоб допомагати рекламодавцям налаштовувати банери для надання згоди на сайтах і в додатках, а також підтримувати їх у процесі інтеграції режиму згоди або фреймворку TCF. Зауважте, що цей список містить не всі доступні платформи для керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою для керування згодою від CMP Partners Program. Перехід на одну з перелічених платформ для керування згодою не гарантує відповідність Правилам Google щодо отримання згоди користувачів із ЄС, оскільки ми оцінюємо реалізацію платформи й конкретний запит згоди на обробку персональних даних, який бачать користувачі (щоб дізнатися більше, перегляньте підрозділ "Контрольний список, що допоможе уникнути поширених помилок під час застосування механізму отримання згоди користувачів").
Щоб показувати персоналізовану рекламу користувачам у ЄЕЗ, Великій Британії і Швейцарії, видавці-партнери повинні перейти на сертифіковану Google платформу для керування згодою, інтегровану з фреймворком Transparency and Consent Framework (TCF) від IAB Europe.
Які треті сторони збирають персональні дані кінцевих користувачів і як їх ідентифікувати?
Багато рекламодавців і видавців, які використовують рекламні системи Google, розміщують оголошення на сторонніх ресурсах, а також застосовують їх для вимірювання ефективності своїх рекламних кампаній на вебсайтах чи в додатках. Згідно з нашими правилами, ви повинні чітко вказати кожну особу, яка може збирати, отримувати та/або обробляти персональні дані кінцевих користувачів, коли ви користуєтеся продуктами Google.
Мій вебсайт чи додаток зареєстровано не в Європі. Чи поширюються ці правила на мене?
Так, якщо ви використовуєте продукти Google, що регулюються цими правилами. Ці правила поширюються лише на кінцевих користувачів із ЄЕЗ, Великої Британії і Швейцарії.
Я видавець і не націлюю свої кампанії на користувачів із ЄЕЗ, Великої Британії чи Швейцарії. Чи поширюються ці вимоги на мене?
Ці правила поширюються на користувачів у ЄЕЗ, Великій Британії і Швейцарії. Ці правила не застосовуються, якщо сервіси Google було вилучено з вебсайту або додатка для користувачів у цих країнах.
Наша організація по-іншому трактує закон і хоче застосовувати інший підхід до розголошення й отримання згоди користувачів. Це можливо?
Google дотримується вимог регламенту захисту даних (GDPR), зокрема в межах, установлених законодавством Великої Британії, у всіх сервісах, які ми надаємо в Європі. Наші Правила щодо отримання згоди користувачів із ЄС відображають це зобов’язання й вказівки європейських органів захисту даних. Хоч наші партнери й можуть тлумачити закони по-різному, ми вимагаємо від них обов'язково дотримуватися цих правил. Ми продовжимо оцінювати цей закон і галузеві стандарти й відповідно оновлюватимемо наші рекомендації та вимоги.
Чому потрібно отримувати згоду на вимірювання ефективності реклами?
Google використовує файли cookie й різноманітні рекламні ідентифікатори для вимірювання ефективності реклами. Згідно із чинними законами про конфіденційність в Інтернеті, на такі дії потрібно отримати згоду користувачів із країн, де це вимагається. Тому наші правила передбачають отримання згоди на персоналізацію і вимірювання ефективності реклами, якщо цього вимагає законодавство.
Коли потрібно отримати згоду: перед додаванням тегів рекламодавця Google чи після?
Перш ніж ми додамо теги рекламодавця на ваші сторінки чи в додатки, ви маєте отримати згоду на показ персоналізованої реклами й використання файлів cookie або інших локальних сховищ, якщо це вимагається законом.
Чи поширюються ці правила на відстеження кліків?
Якщо рекламодавці використовують сторонні технології відстеження кліків (коли клік оголошення спрямовує користувача на цільову сторінку рекламодавця через стороннього постачальника послуг аналізу), вони мають дотримуватися вимог відповідних законів. Елементи керування постачальниками Google для видавців не призначені для технологій відстеження кліків.
Які записи потрібно зберігати?
Відповідно до наших правил, клієнти повинні зберігати записи про згоду користувачів, у яких міститься принаймні її текст і варіанти вибору, запропоновані користувачам, а також дата й час отримання згоди.
Чому платформу для керування згодою мого видавця було визнано такою, що не відповідає вимогам? Я використовую платформу, сертифіковану Google і Бюро інтерактивної реклами (IAB).
Перехід на платформу для керування згодою, сертифіковану Google, не гарантує відповідність Правилам Google щодо отримання згоди користувачів із ЄС, оскільки ми оцінюємо реалізацію платформи й конкретний запит згоди на обробку персональних даних, який бачать користувачі (щоб дізнатися більше, перегляньте підрозділ "Контрольний список, що допоможе уникнути поширених помилок під час застосування механізму отримання згоди користувачів").
Чому мій сайт або додаток було визнано таким, що не відповідає вимогам? Я користуюся платформою для керування згодою для партнерів Google.
Рекламні партнери можуть скористатися програмою CMP Partner Program. Ми створили її, щоб допомагати рекламодавцям розробляти й налаштовувати банери для надання згоди на сайтах і в додатках, а також підтримувати їх у процесі інтеграції режиму згоди. Перехід на одну з перелічених платформ для керування згодою не гарантує відповідність Правилам Google щодо отримання згоди користувачів із ЄС, оскільки ми оцінюємо реалізацію платформи й конкретний запит згоди на обробку персональних даних, який бачать користувачі. Щоб дізнатися більше, перегляньте "Контрольний список, що допоможе уникнути поширених помилок під час застосування механізму отримання згоди користувачів" і зверніться до адміністраторів своєї платформи для керування згодою.
Чи потрібно мені дотримуватися цих правил, якщо я користуюся продуктами, які працюють із Privacy Sandbox API?
Так. Під час використання Privacy Sandbox API (зокрема Topics, Protected Audience і Attribution Reporting) ви отримуватимете доступ до локального сховища. Оскільки закони про конфіденційність в Інтернеті не розрізняють персональні й неперсональні дані, вам потрібно буде отримати згоду незалежно від того, як ви оцінюєте характер даних. Відповідно до Правил щодо отримання згоди користувачів із ЄС, у таких випадках (якщо цього вимагає законодавство) вам потрібно отримати дійсну згоду користувачів за тією самою процедурою, яка зараз застосовується для дозволів на персоналізацію реклами й використання другорядного локального сховища. Докладніше про Privacy Sandbox.
Чи мають рекламодавці надсилати сигнали про підтвердження згоди (за допомогою фреймворку TCF чи режиму згоди) для користувачів у Великій Британії і Швейцарії?
Ми не вимагаємо від рекламодавців надсилати сигнал про підтвердження згоди користувачів у Великій Британії і Швейцарії (за допомогою режиму згоди або фреймворку TCF). Примітка: вимога надсилати сигнал про підтвердження згоди застосовується до рекламовадців, що показують оголошення кінцевим користувачам у Європейській економічній зоні (ЄЕЗ). Радимо скористатися партнерською платформою для керування згодою від Google, якщо вам потрібна допомога з реалізацією. Зауважте, що цей список містить не всі доступні платформи керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою керування згодою від CMP Partners Program.
До яких типів локальних сховищ застосовуються Правила щодо отримання згоди користувачів із ЄС?
Правила Google щодо отримання згоди користувачів із ЄС уже довгий час вимагають, щоб клієнти, які користуються нашими рекламними продуктами, отримували юридично дійсну згоду на використання файлів cookie або інших засобів локального зберігання даних, якщо це передбачено законодавством. Зверніть увагу, що це зобов’язання не обмежується файлами cookie й ідентифікаторами мобільних пристроїв. Згідно з нашим розумінням відповідного законодавства, у ЄЕЗ і Великій Британії це зобов’язання поширюватиметься, зокрема, на використання IP-адрес і створення цифрових відбитків для персоналізації реклами або вимірювання її ефективності.
Радимо проконсультуватися з юридичним відділом, щоб з’ясувати, яких зобов’язань вам необхідно дотримуватися відповідно до чинного законодавства про захист даних і нормативної документації про конфіденційність в Інтернеті, а також Правил щодо отримання згоди користувачів із ЄС, якщо ви використовуєте локальне сховище. Зокрема, це стосується надання користувачам необхідної інформації, щоб вони розуміли, як дані можуть збиратися і як їх використовуватимуть. Наприклад, поясніть користувачам у способі надання згоди або відповідному банері, що ви плануєте використовувати IP-адреси для персоналізації реклами або вимірювання її ефективності (якщо це доречно).
Якщо ви надсилаєте сигнали про згоду в Google через фреймворк Transparency and Consent Framework (TCF), рекомендуємо також переглянути ці ресурси, щоб дізнатися, як TCF може допомогти вам дотримуватися правил.
Чи використовує Google IP-адреси для вимірювання ефективності й персоналізації реклами в ЄЕЗ, Великій Британії і Швейцарії?
Так. Починаючи із серпня 2026 року, Google почне запускати свої рішення для вимірювання ефективності й персоналізації реклами на основі IP-адрес у цих регіонах. Для роботи цих рішень Google використовуватиме IP-адреси, отримані через теги клієнтів, пакети SDK, виклики HTTP, завантаження або інші подібні інтеграції для персоналізації і вимірювання ефективності реклами. Крім того, Google оновить свій статус у глобальному списку постачальників рекламних технологій TCF, щоб зареєструвати функцію 3 – "Ідентифікація пристроїв на основі автоматично переданої інформації". Щоб дізнатися більше про те, як Google використовує IP-адреси, перегляньте цю сторінку нашої Політики конфіденційності.
Які зобов’язання щодо прозорості виникають у зв’язку із цією зміною?
Нагадуємо, що у відомостях про оголошення ви повинні розмістити помітне посилання на інформацію про те, як Google обробляє дані кінцевих користувачів. Дізнатися більше про те, як Google використовує IP-адреси, можна на цій сторінці нашої Політики конфіденційності. Радимо проконсультуватися з юридичним відділом, щоб з’ясувати, яких зобов’язань вам необхідно дотримуватися відповідно до чинних законів і нормативних актів про захист даних.
Оновлення цих правил
Оригінальну версію Правил Google щодо отримання згоди користувачів із ЄС оновлено 25 травня 2018 року. Щоб відобразити розвиток відносин між Великою Британією і ЄС, ми внесли незначні зміни 31 жовтня 2019 року.
Після змін, запроваджених у липні 2024 року, дія Правил щодо отримання згоди користувачів із ЄС також поширюється на Швейцарію.
Зараз подальші зміни в правилах не передбачаються. Однак ми продовжимо оцінювати законодавство та галузеві стандарти й відповідно оновлюватимемо наші рекомендації і вимоги.