Hjälp med policyn för användarmedgivande inom EU

Varför finns denna policy och när gäller den?

Policyn återspeglar särskilda krav i två europeiska integritetslagar: den allmänna dataskyddsförordningen (GDPR) och direktivet om digital integritet, samt eventuella motsvarande lagar i Förenade kungariket. Policyn gäller för slutanvändare baserade i EES, Förenade kungariket eller Schweiz. EES inbegriper medlemsstaterna i EU samt Island, Liechtenstein och Norge.

Den ursprungliga versionen av policyn presenterades 2015 och uppdaterades den 25 maj 2018, då den allmänna dataskyddsförordningen trädde i kraft. Policyn uppdaterades senast den 31 juli 2024 till att omfatta användare baserade i Schweiz.

Behöver jag följa denna policy för alla användare om jag är en utgivare eller annonsör baserad i EES, Förenade kungariket eller Schweiz?

Googles policy för användares medgivande inom EU gäller endast slutanvändare baserade i EES, Förenade kungariket eller Schweiz.

Hur säkerställer Google efterlevnaden av denna policy?

Vårt tillvägagångssätt gällande efterlevnad är att utföra regelbundna granskningar av webbplatser och appar som använder våra annonseringstjänster, vilket vi har gjort sedan policyn presenterades 2015. Våra granskare besöker en webbplats eller app på samma sätt som en användare gör och vi granskar informationen som tillhandahålls och vilka samtycken som hämtas in.

I första hand försöker vi alltid arbeta tillsammans med våra partners för att se till att policyerna efterlevs. Om vi upptäcker att en partner inte följer vår policy kontaktar vi först partnern för att påvisa problemet. Sedan försöker vi arbeta med partnern i fråga för att uppnå efterlevnad.

Sedan 2015 ges webbplatser och appar möjlighet att inom en rimlig tid genomföra nödvändiga ändringar. Om våra partners inte lyckas visa att de gjort rimliga ansträngningar för att uppnå efterlevnad inom den uppsatta tiden kan det leda till att vi vidtar åtgärder mot kontot eller kontona i fråga, inklusive avstängning av målgruppsfunktionalitet inklusive annonsanpassning (t.ex. remarketing) och konverteringsmätning för annonsörer. Vad gäller utgivare kan endast begränsade annonser/programmatiska begränsade annonser visas (om programmatiska begränsade annonser har aktiverats).

Vi genomför granskningar av webbplatser och appar och kräver dessutom att utgivare använder en certifierad CMP när de visar annonser för användare i EES, Förenade kungariket och Schweiz i syfte att efterleva denna policy. Google fortsätter att granska våra utgivarpartners webbplatser och appar där en certifierad CMP har börjat användas.

För annonsörer med trafik i EES gäller följande: Om en användare från EES använder din webbplats eller app och du mäter användarbeteendet med Google-taggar eller SDK:er och/eller du använder målgruppsfunktioner/funktioner för annonsanpassning måste du skicka vidare slutanvändarens alternativ för användarsamtycke till Google (t.ex. via samtyckesläget eller TCF). Om du läser in Google-taggen och inte har implementerat den senaste versionen av samtyckesläget rekommenderar vi att du samarbetar med en CMP i Googles CMP Partner Program. Detta är ingen fullständig lista över alla tillgängliga CMP:er. Google kräver inte att annonsörer använder en CMP från partnerprogrammet.

Vilken information behöver jag delge slutanvändarna?

Enligt vår policy måste varje part som får slutanvändares personuppgifter till följd av användningen av en produkt från Google identifieras. Det är även ett krav att delge tydlig och lättillgänglig information om hur slutanvändarnas personuppgifter används. Vi har publicerat information om Googles användning av uppgifterna. När det gäller Googles dataanvändning måste utgivare och annonsörer länka till sidan där uppgifterna finns för att uppfylla upplysningsskyldigheterna. Vi ber även andra annonsteknikleverantörer som har integrerats i produkter från Google att publicera information om hur de använder personuppgifter.

Checklista över vanliga fel när funktioner för samtyckesinhämtning implementeras

Detta är inte en fullständig lista utan endast exempel. Se noga till att implementeringen efterlever alla krav i Googles policyer.

  • Har du implementerat en mekanism för samtyckesinhämtning eller en samtyckesbanner? Om du är utgivarpartner, har mekanismen för samtyckesinhämtning eller samtyckesbannern certifierats av Google?
  • Har du förklarat för användarna hur deras personuppgifter ska användas på din webbplats eller i din app? Med andra ord, är de medvetna om att deras personuppgifter används för anpassning av annonser och att cookies/mobilannonsidentifierare kan komma att användas för anpassade och icke-anpassade annonser?
  • Har du kontrollerat att mekanismen för samtyckesinhämtning eller samtyckesbannern visas för användare från alla länder inom EES samt från Förenade kungariket eller Schweiz när de använder din webbplats eller app?
  • Får användarna möjlighet att aktivt ge samtycke, till exempel genom att klicka på en knapp där det står OK eller Jag godkänner?
  • Har du meddelat vilka tredje parter (Google inbegripet) som också får åtkomst till de användaruppgifter du samlar in på webbplatsen eller i appen?
  • Har du informerat användarna om hur deras personuppgifter används av Google när de samtycker på din webbplats eller i din app, till exempel genom att inkludera en länk till Googles webbplats för ansvar för företagsinformation? Glöm inte att ange hur alla tredje parter kommer att använda personuppgifterna.
  • Skickar du som annonsör validerade samtyckessignaler till Google som speglar slutanvändares inställningar för dina användare i EES? Har du implementerat den senaste versionen av samtyckesläget eller TCF?
  • Har du kontrollerat att inga cookies används utan samtycke i den utsträckning samtycke krävs? Observera att icke-anpassade annonser som vi visar på webbplatser fortfarande kräver cookies för att fungera.
  • Använder du som utgivare en Google-certifierad CMP i enlighet med TCF:s krav? Har du implementerat Ytterligare samtycke på rätt sätt om du använder det?

Vad är begränsade annonser?

Om du är utgivare inaktiverar Google funktionen som kräver att en lokal identifierare som frekvenstak används om du enbart genererar intäkter med begränsade annonser och inaktiverar insamling, delning och användning av personuppgifter i syfte att anpassa annonser. Det är bara när programmatiska begränsade annonser har aktiverats som cookies för enbart identifiering av ogiltig trafik och lokal lagring används för att skydda mot bedrägeri och otillåten användning. Observera att annonsvisningsteknik (våra JavaScript-taggar och/eller vår SDK-kod) fortfarande cachelagras eller installeras som en del av användarens normala användning av webbläsare och mobila operativsystem. Du ska själv bedöma om du uppfyller förbindelserna, inklusive de meddelanden och det samtycke som krävs, utifrån lokal lagstiftning i ditt rättskipningsområde. Mer information om den här funktionen finns i hjälpcentren för Ad Manager, AdMob och Adsense.

Vilka anvisningar om återkallande av samtycke ska jag ge till slutanvändarna?

Enligt policyn måste du meddela slutanvändarna hur de kan återkalla samtycke. Det måste vara lika enkelt för användaren att återkalla samtycke som det var att ursprungligen ge samtycke. Minimikravet är att slutanvändarna får tillräckligt med information för att enkelt kunna nå annonsinställningarna för din webbplats eller app för att kunna ändra sitt samtycke.

Vilka andra produkter från Google omfattas av policyn?

Förutom annons- och mätningsprodukter omfattar denna policy andra produkter från Google, t.ex. användarvillkoren för Google Maps Platform, användarvillkoren för YouTubes API-tjänster, användarvillkoren för reCAPTCHA och Blogger.

Vilka annonstyper räknas som anpassade i den här policyn?

Anpassad annonsering gör upplevelsen bättre för användare (genom att till exempel göra annonserna intressantare för användarna) såväl som för annonsörer och utgivare. Google räknar annonser som anpassade när de är baserade på personuppgifter som avgör eller påverkar annonsvisning. Ytterligare information hittar du i här.

Min samtyckesbanner har markerats för bristande efterlevnad i granskningen. Hur löser jag detta på bästa sätt?

Om vi identifierar att denna policy inte efterlevs prioriterar vi att hjälpa våra partners att återgå till efterlevnad. Vårt granskningsteam ger dig detaljer om den bristande efterlevnaden och information om vad som behöver åtgärdas för att webbplatsen eller appen ska följa policyn.

För att se till att en banner har konfigurerats på ett lämpligt sätt för att respektera användarnas val rekommenderar vi att annonsörer samarbetar med sina tredjeparts-CMP:er eller läser relevant dokumentation om hantering av samtyckesinställningar och kontrollerar att de har integrerat samtyckesläget.

Vi rekommenderar utgivare att samarbeta med sina Google-certifierade CMP:er och att använda det här felsökningsverktyget för att åtgärda eventuella överträdelser.

Varför kräver policyn medgivande för cookies även om de används i andra syften än anpassning, exempelvis annonsmätning?

Cookies eller mobila identifierare används till stöd för anpassade och icke-anpassade annonser som visas av Google för frekvenstak och sammanställd annonsrapportering. I vår policy kräver vi också samtycke till användningen av cookies eller mobila identifierare för användare i länder där samtycke till cookies eller mobila identifierare krävs enligt lag.

Vad gör jag om jag är annonsör och använder Googles produkter på min webbplats i min app?

Om du använder taggar för annonseringsprodukter som Google Ads eller Google Marketing Platform på sidorna eller i appen måste du inhämta samtycke från användarna i EES, Förenade kungariket och Schweiz i enlighet med Googles policy för användares medgivande inom EU. I vår policy kräver vi samtycke till cookies, mobila identifierare eller annan lokalt lagrad data om det krävs enligt lag och samtycke till användning av personuppgifter för anpassade annonser, till exempel om du använder remarketingtaggar på dina sidor eller i din app.

Vad ska jag skriva i min mekanism för samtyckesinhämtning eller samtyckesbanner?

För att undvika vanliga misstag vid implementeringen av en mekanism för samtyckesinhämtning eller samtyckesbanner rekommenderar vi att du läser igenom checklistan ovan eftersom den hjälper dig att följa den här policyn.

Googles policy bestämmer inte vilka val du ska erbjuda användarna eftersom texten i samtyckesmeddelandet beror din dataanvändning (t.ex. om du använder data för egna syften eller till stöd för andra tjänster som du arbetar med).

Kräver Google en viss typ av samtyckesmeddelande för appar?

För utgivare, ja. Googles utgivare måste börja använda en Google-certifierad CMP när de visar anpassade annonser för användare i EES, Förenade kungariket och Schweiz.

För Googles annonsörspartners gäller följande: För trafik i EES krävs att annonsörer skickar signaler till Google som speglar slutanvändarnas inställningar via samtyckesläget eller TCF. CMP Partner Program skapades för annonseringspartners för att hjälpa annonsörer att skapa och ställa in samtyckesbanners. Obs! Detta är ingen fullständig lista över alla tillgängliga CMP:er. Google kräver inte att annonsörer använder en CMP från partnerprogrammet.

Hur ska partner välja vilken leverantör av plattformar för samtyckeshantering (CMP) de ska använda?

CMP Partner Program skapades för annonseringspartners för att hjälpa annonsörer att skapa och konfigurera samtyckesbanners. Obs! Detta är ingen fullständig lista över alla tillgängliga CMP:er. Användningen av någon av dessa CMP:er är ingen garanti för efterlevnad av Googles policy för användares medgivande inom EU, eftersom detta beror på det specifika samtyckesmeddelande som visas för användarna (om du behöver mer hjälp med detta kan du läsa frågan ovanför Checklista för partner över vanliga fel när mekanismer för samtyckesinhämtning implementeras).

För utgivarpartners gäller följande: Utgivare måste använda en CMP som har certifierats av Google och integrerats med IAB:s Transparency and Consent Framework (TCF). Detta gäller när de visar anpassade annonser för användare i Europeiska ekonomiska samarbetsområdet, Förenade kungariket eller Schweiz.

Vilka andra parter samlar in slutanvändares personuppgifter och hur identifierar jag dessa?

Många annonsörer och utgivare som använder Googles annonseringssystem använder även en tredje part för att visa annonser och mäta annonskampanjernas effektivitet på webbplatser och i appar. I enlighet med policyn måste du tydligt identifiera varje enskild part utöver Google som kan samla in, ta emot och/eller använda slutanvändarnas personuppgifter till följd av din användning av Googles produkter.

Min webbplats eller app ligger inte i Europa. Gäller policyn ändå för mig?

Ja. Om du använder produkter från Google som omfattas av policyn. Policyn gäller endast slutanvändare baserade i EES, Förenade kungariket eller Schweiz.

Jag är utgivare och inga av mina kampanjer är inriktade på EES, Förenade kungariket eller Schweiz. Omfattas jag ändå av samtyckeskravet?

Policyn gäller för slutanvändare i EES, Förenade kungariket eller Schweiz. Policyn gäller inte om Googles tjänster tas bort från webbplatsen eller appen för användare i dessa länder.

I vår organisation har vi en annan syn på vad lagen innebär och vi vill tillämpa vårt synsätt gällande yppande och samtycke. Får vi det?

På Google har vi för avsikt att följa GDPR, inklusive i den omfattning som lagen införlivas i Förenade kungarikets lagstiftning, i alla de tjänster vi tillhandahåller i Europa. Vår policy för användares medgivande inom EU speglar dessa avsikter och riktlinjerna från europeiska dataskyddsmyndigheter. Även om partners kan tolka lagar olika kräver vi att våra partners följer policyn i dess helhet. Vi fortsätter att utvärdera lagen och branschpraxis och uppdaterar våra rekommendationer och krav om det behövs.

Varför behöver vi samtycke för annonsmätning? Räknas inte det som berättigade intressen?

Google använder cookies eller olika annonsidentifierare för att kunna erbjuda annonsmätning. Befintliga lagar gällande digital integritet kräver samtycke för sådan användning för användare i länder där lokal lag kräver ett sådant samtycke. På samma sätt kräver vår policy samtycke för anpassade annonser och annonsmätning där så krävs enligt lag.

Måste jag inhämta samtycke innan Googles annonsörstaggar aktiveras eller räcker det att samtycket kommer in i efterhand?

Samtycke för anpassade annonser och användningen av cookies eller annan lokalt lagrad data om det krävs enligt lag ska inhämtas innan Googles annonsörstaggar aktiveras på webbsidorna eller i appar.

Vad gäller om jag använder klickspårare?

I de fall då annonsörer väljer att använda klickspårningsteknik från tredje part (d.v.s. i de fall då ett annonsklick dirigerar användarens webbläsare till en mätningsleverantör från tredje part på vägen till annonsörens målsida) måste detta ske i enlighet med gällande lag. Googles leverantörskontroller för utgivare har inte utformats för att omfatta klickspårningsteknik.

Vilka register måste jag spara?

I vår policy kräver vi att kunder sparar register över inhämtade samtycken. Som minst ska dessa innehålla den text och de val som ges användaren som en del av mekanismen för samtyckesinhämtning, och ett register över datumet och tiden då användaren gav sitt samtycke.

Varför bedöms min utgivar-CMP inte efterleva policyn när jag använder en certifierad CMP som även har certifierats av IAB?

Användningen av en certifierad CMP är ingen garanti för efterlevnad av Googles policy för användares medgivande inom EU, eftersom detta beror på det specifika samtyckesmeddelande som visas för användarna (om du behöver mer hjälp med detta kan du läsa frågan ovanför Checklista för partner över vanliga fel när mekanismer för samtyckesinhämtning implementeras).

Varför bedöms min webbplats eller app inte efterleva policyn när jag använder en Google Partner CMP?

För annonseringspartners gäller följande: CMP-partnerprogrammet skapades för att hjälpa annonsörer att skapa och konfigurera samtyckesbanners för webben/appar och kan hjälpa till med integrering av samtyckesläget. Att arbeta med någon av dessa CMP:er är ingen garanti för efterlevnad av Googles policy för användares medgivande inom EU, eftersom detta beror på det specifika samtyckesmeddelande som visas för användarna (om du behöver mer hjälp med detta kan du läsa frågan ovanför Checklista för partner över vanliga fel när mekanismer för samtyckesinhämtning implementeras).

Behöver jag följa denna policy om jag använder produkter som använder Privacy Sandbox API:er?

Ja. När du använder Privacy Sandbox API:er (Topics, Protected Audience och Attribution Reporting) kanske du använder personuppgifter för annonsanpassning och/eller har åtkomst till lokal lagring. Enligt policyn för användares medgivande inom EU krävs det att du får giltigt samtycke till dessa åtgärder från användarna på samma sätt som du i dag måste få samtycke för anpassning av annonser och användning av nödvändig lokal lagring i den utsträckning det krävs enligt lag. Mer information om Privacy Sandbox.

Tillhandahåller du som annonsör en giltig samtyckessignal (via TCF eller samtyckesläget) för användare i Förenade kungariket eller Schweiz?

Nej. Annonsörer förväntas inte skicka en verifierad samtyckessignal till Google för trafiken i Förenade kungariket eller Schweiz (vare sig via samtyckesläge eller TCF). Obs! Kravet att skicka verifierade samtyckessignaler gäller inte annonsörer med trafik från slutanvändare i det Europeiska ekonomiska samarbetsområdet (EES). Vi rekommenderar att du samarbetar med en Google CMP Partner för att få hjälp med implementeringen. Obs! Detta är ingen fullständig lista över alla tillgängliga CMP:er. Google kräver inte att annonsörer använder en CMP från partnerprogrammet.

Policyuppdateringar

Googles ursprungliga policy för användares medgivande inom EU uppdaterades den 25 maj 2018. Mindre ändringar gjordes den 31 oktober 2019 i syfte att spegla Förenade kungarikets ändrade förhållande till EU.

I juli 2024 uppdaterade och utökade vi policyn för användares medgivande inom EU till att omfatta Schweiz.

Vi förutspår inga ytterligare ändringar i policyn i dagsläget, men i enlighet med vad som nämnts ovan fortsätter vi att utvärdera lagen och branschpraxis och uppdaterar våra rekommendationer och krav om det behövs.