Зачем нужны эти правила и к чему они относятся?
Правила Google в отношении согласия пользователей из ЕС отражают ряд требований таких европейских законов, как Генеральный регламент ЕС о защите персональных данных (GDPR) и Директива ЕС о конфиденциальности и электронных средствах связи, а также аналогичных законов Великобритании. Данные правила распространяются на показы рекламы конечным пользователям из ЕЭЗ, Великобритании и Швейцарии. В ЕЭЗ входят страны Европейского союза, а также Исландия, Лихтенштейн и Норвегия.
Исходная версия этих правил была опубликована в 2015 г., а затем обновлена 25 мая 2018 г. после вступления в силу Генерального регламента ЕС о защите персональных данных. В последний раз эти правила обновлялись 31 июля 2024 г., когда их область применения была расширена на Швейцарию.
Должны ли издатели и рекламодатели из ЕЭЗ, Великобритании и Швейцарии следовать этим правилам при показе рекламы всем пользователям?
Правила Google в отношении согласия пользователей из ЕС распространяются только на показы рекламы конечным пользователям из ЕЭЗ, Великобритании и Швейцарии.
Как компания Google будет обеспечивать соблюдение этих правил?
С момента создания этих правил в 2015 г. мы регулярно проверяем сайты и приложения, где используются наши рекламные сервисы. Специалисты Google открывают сайты и приложения так же, как это делают обычные посетители, и выясняют, какая информация представлена на этих ресурсах и как организовано получение согласия пользователей.
Помогать партнерам в соблюдении действующего законодательства – важная часть нашей работы. Обнаружив, что тот или иной партнер нарушает наши правила, мы свяжемся с ним и поможем обеспечить их соблюдение.
С момента создания этих правил в 2015 г. мы всегда предоставляем владельцам сайтов и приложений достаточный срок для внесения необходимых изменений. Если партнер не отвечает нам и не демонстрирует готовность обеспечить соблюдение правил в обоснованный срок, в отношении его аккаунтов могут быть применены меры вплоть до блокировки функций аудиторий, включая возможности персонализации рекламы (например, путем размещения тегов ремаркетинга) и отслеживания конверсий для рекламодателей; издателям будет разрешен только ограниченный показ рекламы/ограниченный показ рекламы с алгоритмической продажей (если такой показ рекламы включен).
Помимо проверки сайтов и приложений мы требуем, чтобы при показе рекламы пользователям из ЕЭЗ, Великобритании и Швейцарии издатели использовали сертифицированную CMP для обеспечения соблюдения настоящих правил. При этом специалисты Google будут по-прежнему проверять сайты и приложения издателей, использующих сертифицированные CMP.
Рекламодатели, отслеживающие поведение пользователей из ЕЭЗ на сайте или в приложении при помощи тегов Google или SDK и/или использующие функции аудиторий/персонализации рекламы, должны передавать Google данные о том, получили ли они согласие конечного пользователя на это (например, при помощи режима согласия или спецификации TCF). Если вы загружаете тег Google, но не внедрили последнюю версию режима согласия, мы рекомендуем использовать CMP из списка CMP Partner Program. Этот список доступных CMP не является исчерпывающим, и Google не требует, чтобы рекламодатели использовали CMP из перечня Партнерской программы.
Какую информацию нужно предоставлять конечным пользователям?
Как указано в наших правилах, вы должны предоставлять конечным пользователям информацию обо всех сторонах, которые получают доступ к их персональным данным в результате использования продукта Google. Также необходимо в явной и доступной форме сообщать конечным пользователям, как применяются их персональные данные. Мы опубликовали разъяснение, из которого можно узнать, как компания Google обрабатывает принадлежащие пользователям данные. Чтобы соблюдать обязательства по раскрытию информации об использовании данных компанией Google, издатели и рекламодатели должны публиковать у себя ссылку на это разъяснение. Аналогичные сведения должны предоставлять пользователям и поставщики рекламных технологий, интегрированных с нашими продуктами.
Контрольный список для правильного внедрения процедуры получения согласия
Рекомендации ниже приведены в качестве примера и не являются исчерпывающими. Помните, что ваше решение всегда должно соответствовать всем правилам Google.
- Вы внедрили процедуру получения согласия или баннер с запросом согласия? Сертифицированы ли компанией Google процедура получения согласия или баннер с запросом согласия, реализованные нашими партнерами, которые работают с продуктами Google для издателей?
- Сообщаете ли вы пользователям, как будут использоваться их персональные данные на вашем сайте или в приложении? В частности, проинформированы ли пользователи о том, что их данные будут применяться при персонализации рекламы и что файлы cookie или рекламные идентификаторы мобильных устройств могут служить для подбора персонализированных и неперсонализированных объявлений?
- Запускается ли реализованная вами процедура получения согласия/появляется ли баннер с запросом согласия, когда сайт или приложение открывают пользователи из любой страны ЕЭЗ, в том числе Великобритании и Швейцарии?
- Предусмотрена ли для пользователей возможность подтвердить согласие определенным действием, например нажатием кнопки "ОК" или "Соглашаюсь"?
- Опубликовали ли вы список сторонних организаций (включая Google), которые будут иметь доступ к пользовательским данным, собираемым на вашем сайте или в приложении?
- Сообщаете ли вы пользователям о том, как их персональная информация будет применяться компанией Google после того, как они дадут согласие на сбор таких данных на вашем сайте или в приложении, и предоставляете ли вы им ссылку на сайт Google, посвященный защите коммерческих данных? Информируете ли вы пользователей о том, как их данные будут обрабатываться другими компаниями?
- При показе рекламы пользователям из ЕЭЗ отправляют ли рекламодатели в Google сигналы подтверждения согласия, отражающие предпочтения конечных пользователей? Реализовали ли вы должным образом последнюю версию режима согласия или спецификации TCF?
- Вы гарантируете, что файлы cookie не устанавливаются без согласия вашего посетителя (в той степени, в которой это требует закон)? Обратите внимание, что при размещении неперсонализированной рекламы Google на сайтах все равно используются файлы cookie.
- Внедрили ли издатели сертифицированную Google платформу для запросов согласия в соответствии с требованиями TCF? Правильно ли вы реализовали дополнительное согласие, если вы его используете?
Что такое ограниченный показ рекламы?
Если издатель использует только ограниченный показ рекламы, то, помимо отключения сбора, передачи и использования личных данных для персонализации объявлений, Google отключает функции, требующие использования локального идентификатора, например ограничение частоты показа. Если ограниченный показ рекламы с алгоритмической продажей включен, файлы cookie и локальное хранилище будут использоваться только для обнаружения недействительного трафика. Это нужно для защиты от мошенничества и злоупотреблений. Обратите внимание, что технологии показа рекламы (наши теги JavaScript и/или код SDK) по-прежнему будут сохраняться в кеше или устанавливаться в рамках нормальной работы браузеров и мобильных ОС пользователей. Вы должны сами оценить, каким требованиям в рамках местного законодательства в вашей юрисдикции необходимо соответствовать и нужно ли запрашивать согласие. Более подробную информацию о данной функции можно найти в Справочных центрах Менеджера рекламы, AdMob и Adsense.
Что нужно указывать в инструкциях для пользователей, которые хотят отозвать свое согласие на персонализацию рекламы?
В соответствии с нашими правилами вы должны подробно рассказать конечным пользователям о том, как отозвать согласие. Пользователям должно быть так же легко отозвать согласие, как и дать его. Как минимум нужно предоставить им информацию о функциях, позволяющих контролировать показ рекламы на вашем сайте или в приложении.
К каким ещё продуктам Google относятся эти правила?
Помимо продуктов, предназначенных для показа и отслеживания рекламы, эти правила относятся к ряду других наших решений. В частности, они упомянуты в Условиях использования платформы Google Карт, YouTube API, reCAPTCHA и Blogger.
Какие объявления считаются персонализированными в контексте этих правил?
Персонализированная реклама не только более привлекательна и полезна для пользователей, но также несет преимущества для рекламодателей и издателей. Реклама считается персонализированной, если при ее подборе и показе учитываются персональные данные. Более подробную информацию можно найти здесь.
Проверка показала, что мой баннер с запросом согласия не соответствует требованиям Google. Что мне следует предпринять для решения этой проблемы?
Обнаружив несоответствие этим правилам, мы постараемся помочь партнеру соблюсти их. Наши специалисты предоставят вам информацию об ошибке и мерах, которые нужно принять, чтобы сайт или приложение соответствовали правилам Google.
Чтобы баннер был правильно настроен, рекламодателям следует начать работу со своей сторонней CMP или изучить документацию по управлению запросами согласия и проверить, правильно ли реализован на их ресурсах режим согласия.
Мы рекомендуем издателям начать работу с сертифицированной Google платформой для запросов согласия и использовать этот инструмент, чтобы устранить возможные нарушения правил.
Почему нужно запрашивать у пользователей согласие на использование файлов cookie, даже если эти файлы нужны не для персонализации рекламы, а для других целей, например оценки ее эффективности?
Google использует файлы cookie и мобильные идентификаторы при показе персонализированной и неперсонализированной рекламы, чтобы ограничивать частоту показа и собирать данные для сводных отчетов об эффективности рекламы. Наши правила также требуют получать согласие на использование файлов cookie и мобильных идентификаторов в странах, где это согласие нужно по закону.
Я рекламодатель и использую на своем сайте/в приложении продукты Google. Что мне нужно предпринять?
Если на сайте или в приложении вы используете теги рекламных сервисов, таких как Google Реклама или Google Платформа для маркетинга, то вам следует запрашивать согласие у каждого посетителя из ЕЭЗ, Великобритании и Швейцарии в целях соблюдения правил Google в отношении согласия пользователей из ЕС. Вы должны получать у пользователей согласие на использование файлов cookie, мобильных идентификаторов или других файлов в локальном хранилище, где такое согласие предписывается законодательством, и на обработку личных данных при персонализации рекламы (например, если на вашей веб-странице или в приложении размещены теги ремаркетинга).
Что должно быть указано в запросе согласия?
Мы рекомендуем вам ознакомиться с контрольным списком, приведенным выше, чтобы избежать типичных ошибок при реализации процедуры получения согласия (например, путем размещения баннера) и гарантировать соблюдение настоящих правил.
Правила Google не указывают, какие варианты выбора вы должны предлагать пользователям, поскольку текст запроса согласия будет зависеть от того, как вы используете данные (например, для собственных целей или для поддержки других сервисов, с которыми вы работаете).
Требуется ли в соответствии с правилами Google использовать определенную форму запроса согласия для приложений?
Для издателей, да. Издатели Google должны перейти на сертифицированную Google CMP при показе персонализированной рекламы пользователям из ЕЭЗ, Великобритании и Швейцарии.
Партнеры Google по рекламе при показе рекламы пользователям из ЕЭЗ должны отправлять в Google сигналы, отражающие предпочтения конечных пользователей, при помощи режима согласия или спецификации TCF. Кроме того, мы запустили программу CMP Partner Program, чтобы помочь рекламодателям в создании и настройке баннеров с запросом согласия. Примечание. Этот список доступных CMP не является исчерпывающим, и Google не требует, чтобы рекламодатели использовали CMP из перечня Партнерской программы.
Как выбрать платформу для управления получением согласия пользователей?
Для наших партнеров по рекламе мы подготовили программу CMP Partner Program, которая упростит им создание и настройку баннеров с запросом согласия. Примечание: этот список доступных CMP не является исчерпывающим. Даже если вы внедрите любую из этих платформ, это не будет гарантировать соблюдение вами правил Google в отношении согласия пользователей из ЕС, поскольку мы также учитываем реализацию CMP и текст запроса согласия, который вы показываете пользователям. Советуем ознакомиться с разделом "Как избежать типичных ошибок при реализации запроса согласия: контрольный список для партнеров" в этом же документе.
Наши партнеры, показывающие рекламу в странах ЕЭЗ, Великобритании и Швейцарии с помощью наших продуктов для издателей, должны использовать сертифицированную Google платформу для запросов согласия, которая поддерживает спецификацию Transparency and Consent Framework (TCF) от IAB.
Какие третьи стороны собирают личные данные и как необходимо уведомлять об этом пользователей?
Многие рекламодатели и издатели используют для показа объявлений и оценки эффективности кампаний на сайтах и в приложениях не только рекламные сервисы Google, но и инструменты от сторонних партнеров. Как указано в наших правилах, вы должны опубликовать на своем ресурсе информацию обо всех, кто может собирать, получать или использовать личные данные конечных пользователей в результате использования вами продуктов Google.
Мой сайт/приложение не относится к Европе. Касаются ли меня эти правила?
Да, если вы используете продукты Google, на которые распространяются эти правила. Настоящие правила распространяются только на показы рекламы конечным пользователям из ЕЭЗ, Великобритании или Швейцарии.
Я издатель. Таргетинг моих кампаний не настроен на ЕЭЗ/Великобританию/Швейцарию. Необходимо ли мне получать согласие пользователей?
Данные правила распространяются на показы рекламы конечным пользователям из ЕЭЗ, Великобритании и Швейцарии. Соблюдать эти правила не требуется, если вы отключили на своем сайте или в приложении сервисы Google для пользователей из этих стран.
Наша организация трактует закон иным образом, и мы хотели бы применить другой подход к публикации сведений об обработке данных и запросу согласия у пользователей. Можно ли это сделать?
Компания Google стремится к тому, чтобы все наши сервисы, доступные в Европе, соответствовали требованиям Генерального регламента ЕС о защите персональных данных (GDPR), в том числе перенесенным в законодательство Великобритании. Наши правила в отношении согласия пользователей из ЕС подтверждают это намерение, а также свидетельствуют о том, что компания Google следует европейским законам о защите данных. Несмотря на то что наши партнеры могут по-разному интерпретировать законы, мы требуем, чтобы они соблюдали настоящие правила. Мы продолжим следить за изменениями в законодательстве и отраслевой практике и корректировать свои правила в соответствии с ними.
Почему требуется получать согласие на оценку эффективности рекламы? Разве оно не относится к сфере законных интересов?
Google использует файлы cookie и различные рекламные идентификаторы, чтобы оценивать эффективность рекламы. В законодательстве некоторых стран указано, что такие действия допустимы только с согласия посетителей. Поэтому наши правила требуют получать у пользователей согласие на персонализацию и оценку эффективности рекламы в случаях, предусмотренных законом.
Обязательно ли получать согласие до того, как активируются теги Google, загруженные рекламодателем?
Согласие на персонализацию рекламы и использование файлов cookie или других локальных хранилищ в случаях, предусмотренных законом, необходимо получить до того, как теги Google, загруженные рекламодателем, сработают на вашем сайте или в приложении.
Касаются ли изменения средств отслеживания кликов?
Некоторые рекламодатели используют сторонние технологии отслеживания кликов, которые предусматривают, что после нажатия на объявление происходит переадресация браузера пользователя в сервис отслеживания и только потом – на целевую страницу рекламодателя. В этом случае также должны соблюдаться все применимые требования законодательства. В инструментах, предоставляемых нами издателям для работы со сторонними поставщиками, не предусмотрено использование сторонних решений для отслеживания кликов, которые не разработаны компанией Google.
Какую информацию о согласии пользователей необходимо сохранять?
Наши правила требуют, чтобы клиенты сохраняли данные о разрешениях, полученных от пользователей, – как минимум текст согласия и представленные пользователю варианты, а также дату и время согласия пользователя.
Я использую платформу для запросов согласия, сертифицированную организацией IAB. Почему считается, что она не соответствует требованиям?
Внедрение сертифицированной CMP не гарантирует соблюдение правил Google в отношении согласия пользователей из ЕС, поскольку это зависит от реализации CMP и текста запроса согласия, который вы показываете пользователям. Советуем ознакомиться с разделом "Как избежать типичных ошибок при реализации запроса согласия: контрольный список для партнеров" в этом же документе.
Я использую CMP из списка Партнерской программы Google. Почему специалисты Google пришли к выводу, что мой сайт/приложение не соответствует требованиям?
Для партнеров по рекламе была создана программа CMP Partner Program, цель которой – помогать рекламодателям создавать и настраивать баннеры с запросом согласия. Даже если вы внедрите любую из этих платформ, это не будет гарантировать соблюдение вами правил Google в отношении согласия пользователей из ЕС, поскольку мы также учитываем реализацию CMP и текст запроса согласия, который вы показываете пользователям. Советуем ознакомиться с разделом "Как избежать типичных ошибок при реализации запроса согласия: контрольный список для партнеров" в этом же документе.
Следует ли мне соблюдать эти правила, если я работаю с продуктами, которые используют Privacy Sandbox API?
Да. При работе с Privacy Sandbox API (Topics, Protected Audience и Attribution Reporting) вы можете использовать личные данные для персонализации рекламы и/или доступа к локальному хранилищу. Правила в отношении согласия пользователей из ЕС требуют, чтобы вы получали от своей аудитории согласие на совершение этих действий – так же, как сейчас вы получаете разрешение на персонализацию рекламы и использование второстепенного локального хранилища в той степени, в которой это требуется по закону. Подробнее о Privacy Sandbox…
Нужно ли рекламодателям отправлять сигнал подтверждения согласия (при помощи спецификации TCF или режима согласия) при показе рекламы пользователям из Великобритании и Швейцарии?
Нет, мы не требуем от рекламодателей отправлять сигнал подтверждения согласия пользователей из Великобритании и Швейцарии (в рамках режима согласия или спецификации TCF). Примечание. Требование об отправке сигнала подтверждения согласия распространяется на рекламодателей, которые показывают рекламу конечным пользователям из Европейской экономической зоны (ЕЭЗ). Мы рекомендуем обратиться к нашим партнерам, которые помогут вам быстро реализовать решение для получения согласия. Примечание. Этот список доступных CMP не является исчерпывающим, и Google не требует, чтобы рекламодатели использовали CMP из перечня Партнерской программы.
Обновления текущих правил
Правила Google в отношении согласия пользователей из ЕС были обновлены 25 мая 2018 г. Поскольку в отношениях между Великобританией и ЕС произошли изменения, 31 октября 2019 г. в правила был внесен ряд незначительных исправлений.
В июле 2024 года мы обновили и расширили правила в отношении согласия пользователей из ЕС, поскольку эти правила теперь также распространяются на пользователей из Швейцарии.
В ближайшее время мы не планируем корректировать свои правила, но продолжим следить за изменениями в законах и отраслевой практикой и при необходимости вносить поправки в этот документ.