Hvorfor har vi disse retningslinjene, og hvor gjelder de?
Retningslinjene gjenspeiler visse krav i to europeiske lover om personvern: EUs personvernforordning (GDPR) og EUs kommunikasjonsverndirektiv, samt eventuelle tilsvarende lover i Storbritannia. Disse retningslinjene gjelder for brukere i EØS, Storbritannia eller Sveits. EØS består av medlemslandene i EU samt Island, Liechtenstein og Norge.
Den opprinnelige versjonen av disse retningslinjene ble innført i 2015 og oppdatert 25. mai 2018, da EUs personvernforordning trådte i kraft. Retningslinjene ble sist oppdatert 31. juli 2024 for å gjelde for brukere som holder til i Sveits.
Må jeg følge disse retningslinjene for alle brukere hvis jeg er en publisist eller annonsør i EØS, Storbritannia eller Sveits?
Googles retningslinjer for brukersamtykke i EU gjelder bare for brukere i EØS, Storbritannia eller Sveits.
Hvordan sikrer Google at disse retningslinjene overholdes?
Vi sikrer at retningslinjene overholdes, ved å gjennomføre jevnlige kontroller av nettsteder og apper som bruker annonseringstjenestene våre. Dette har vi gjort siden retningslinjene ble innført i 2015. Kontrollørene våre besøker nettsteder og apper som om de var brukere, og vi ser på informasjonen som vises, og samtykkene som innhentes.
Hovedprioriteten vår er alltid å samarbeide med partnerne våre om riktig overholdelse av retningslinjene. Hvis vi finner ut at en partner ikke følger retningslinjene, kontakter vi partneren for å informere om problemet og prøver å samarbeide med dem for å hjelpe dem med å overholde retningslinjene.
Vi gir en rimelig tidsramme for å gjøre nødvendige endringer i apper og på nettsteder, noe vi har gjort siden 2015. Men hvis partnere ikke kommuniserer med oss eller ikke prøver å sikre at retningslinjene overholdes – i god tro og innen rimelig tid – kan vi iverksette tiltak mot de aktuelle kontoene, inkludert sperring av målgruppefunksjonalitet som personlig tilpasning av annonser (f.eks. remarketing) og funksjonalitet for konverteringsmåling for annonsører. For publisister kan bare begrensede annonser / programmatiske begrensede annonser leveres (hvis programmatiske begrensede annonser er aktivert).
I tillegg til å gjennomføre kontroller av nettsteder og apper krever vi at publisister tar i bruk en sertifisert CMP ved visning av annonser til brukere i EØS, Storbritannia og Sveits, for å overholde disse retningslinjene. Google kommer til å fortsette å gjennomgå nettsteder og apper til publisistpartnere som har tatt i bruk en sertifisert CMP.
For annonsører med trafikk fra EØS: Hvis en bruker fra EØS bruker nettstedet ditt eller appen din og du måler brukeratferd med Googles tagger eller SDK-er og/eller du bruker funksjonalitet for målgrupper / personlig tilpasning av annonser, må du videresende brukersamtykkevalg til Google (f.eks. via samtykkemodusen eller TCF). Hvis du laster inn Google-taggen og ikke har implementert den nyeste versjonen av samtykkemodusen, anbefaler vi å samarbeide med en CMP i Googles CMP Partner Program. Denne listen inneholder ikke nødvendigvis alle CMP-er som er tilgjengelige, og Google krever ikke at annonsører bruker en CMP fra partnerprogrammet.
Hvilke opplysninger må jeg gi til brukerne?
I henhold til retningslinjene våre kreves det at du identifiserer alle parter som mottar brukeres personlige data som følge av bruk av et Google-produkt. De krever også at du oppgir tydelig og lett tilgjengelig informasjon om hvordan brukernes personlige data brukes. Vi har publisert informasjon om Googles bruk av informasjon. For å overholde opplysningsforpliktelsene i forbindelse med Googles bruk av data må publisister og annonsører linke til den siden. Vi ber også andre leverandører av annonseteknologi som Googles produkter kan integreres med, om å publisere informasjon om deres egen bruk av personlige data.
Sjekkliste for å unngå vanlige feil ved implementering av samtykkemekanismer
Dette er bare eksempler og ikke en fullstendig liste. Sørg alltid for at implementeringen din overholder alle kravene i Googles retningslinjer.
- Har du implementert en samtykkemekanisme eller et samtykkebanner? For publisistpartnere: Er samtykkemekanismen/-banneret for publisistpartnere sertifisert av Google?
- Har du forklart brukerne hvordan de personlige dataene deres brukes på nettstedet ditt eller i appen din? Vet de for eksempel at personlige data brukes i personlig tilpasning av annonser, og at informasjonskapsler / identifikatorer for mobilannonser kan bli brukt både til personlig tilpasset annonsering og til annonsering som ikke er personlig tilpasset?
- Har du sjekket at samtykkemekanismen din eller samtykkebanneret ditt vises når nettstedet/appen åpnes av brukere fra alle EØS-land samt fra Storbritannia og Sveits?
- Har brukerne fått mulighet til å bekrefte at de samtykker, f.eks. ved å klikke på en «OK»- eller «Godta»-knapp?
- Har du opplyst om hvilke tredjeparter (inkludert Google) som også får tilgang til brukerdataene du samler inn på nettstedet ditt eller i appen din?
- Har du informert brukerne om hvordan Google bruker de personlige dataene deres, når brukerne gir samtykke på nettstedet ditt eller i appen din, f.eks. ved å legge ved en link til Googles nettsted om ansvar for bedriftsdata? Hva med hvordan andre tredjeparter bruker de personlige dataene deres?
- For annonsører med brukere i EØS: Sender du signaler om validert samtykke til Google som gjenspeiler brukernes preferanser? Har du implementert den nyeste versjonen av samtykkemodusen eller TCF riktig?
- Har du sikret at det ikke angis noen informasjonskapsler hvis nødvendig samtykke ikke er gitt? Vær oppmerksom på at annonser vi viser på nettsteder, men som ikke er personlig tilpasset, også er avhengige av informasjonskapsler for å fungere.
- For publisister: Har du tatt i bruk en Google-sertifisert CMP i samsvar med TCF-kravene? Har du implementert ekstra samtykke riktig, i den grad du benytter det?
Hva er begrensede annonser?
Hvis du er publisist og tjener penger bare på visninger med begrensede annonser, deaktiverer Google funksjoner som krever bruk av en lokal identifikator, for eksempel frekvenstak, i tillegg til at innsamling, deling og bruk av personlige data til personlig tilpasning av annonser deaktiveres. Kun når programmatisk begrensede annonser er slått på, brukes lokal lagring og informasjonskapsler som bare registrerer ugyldig trafikk, til å motarbeide svindel og uriktig bruk. Merk at teknologier for annonselevering (JavaScript-tagger og SDK-kode) fortsatt bufres eller installeres som en del av den normale driften av brukernes nettlesere og mobiloperativsystemer. Vurder hvilke forpliktelser du har til å overholde retningslinjene, inkludert obligatoriske varsler og samtykker, basert på lokal lov og rett i virkekretsen din. Se brukerstøtten for Ad Manager, AdMob og Adsense hvis du vil ha mer informasjon om denne funksjonen.
Hvilken veiledning må jeg gi brukere om oppheving av samtykke?
Retningslinjene krever at brukere får vite hvordan de kan oppheve samtykket. Det må være like enkelt for brukerne å oppheve samtykket som det var å gi det. Minstekravet er at brukerne får informasjon som gjør at de enkelt finner annonsekontrollene for nettstedet ditt eller appen din, slik at de kan endre samtykkeinnstillingene.
Hvilke andre Google-produkter omfattes av disse retningslinjene?
I tillegg til annonse- og målingsprodukter henvises det til disse retningslinjene i andre Google-produkter som vilkårene for bruk av Google Maps Platform, vilkårene for bruk av YouTube API-tjenester, vilkårene for bruk av reCAPTCHA samt i Blogger.
Hvilke annonsetyper anses som «personlig tilpasset» i disse retningslinjene?
Med personlig tilpassede annonser får brukere en bedre opplevelse (mer relevante annonser), og det samme gjelder for annonsører/publisister. Google anser annonser for å være personlig tilpasset når de er basert på personlige data som brukes til å avgjøre eller påvirke annonselevering. Du finner mer informasjon her.
Samtykkebanneret mitt ble rapportert for ikke å overholde retningslinjene i kontrollen. Hvordan kan jeg løse dette?
Hvis vi oppdager at retningslinjene ikke overholdes, prioriterer vi å følge opp partnerne, slik at de får rettet opp bruddet. Gjennomgangsteamet vårt gir deg informasjon om feilen og hva du må gjøre for å få nettstedet/appen til å overholde retningslinjene igjen.
For å sikre at bannere er konfigurert slik at de ivaretar brukernes valg, oppmuntrer vi annonsører til å samarbeide med tredjeparts-CMP-en sin eller gå gjennom den relevante dokumentasjonen om administrering av samtykkeinnstillinger og sikre at de er riktig integrert med samtykkemodus.
Vi oppfordrer publisister til å samarbeide med en Google-sertifisert CMP og å sjekke dette feilsøkingsprogrammet for å løse problemer med manglende overholdelse.
Hvorfor krever retningslinjene samtykke til bruk av informasjonskapsler også hvis de brukes til noe annet enn personlig tilpasning – for eksempel annonsemåling?
Informasjonskapsler og mobilidentifikatorer brukes som støtte for annonser Google leverer – enten de er personlig tilpasset eller ikke – for frekvenstak og for samlet annonserapportering. Retningslinjene våre krever samtykke til bruk av informasjonskapsler eller mobilidentifikatorer for brukere i land med juridiske krav om å innhente samtykke for informasjonskapsler eller mobilidentifikatorer.
Hva om jeg er en annonsør som bruker Google-produkter på nettstedet mitt eller i appen min?
Hvis du bruker tagger for annonseringsprodukter, for eksempel Google Ads eller Google Marketing Platform, på sidene dine eller i appen din, må du innhente samtykke fra brukere i EØS, Storbritannia og Sveits for å overholde Googles retningslinjer for brukersamtykke i EU. Retningslinjene våre krever samtykke for informasjonskapsler, mobilidentifikatorer eller annen lokal lagring hvis det er juridiske krav om det, og samtykke for bruk av personlige data i personlig tilpassede annonser – for eksempel hvis du har remarketing-tagger på sidene dine eller i appen din.
Hva bør det stå i samtykkemekanismen/-banneret?
Vi oppfordrer deg til å gjennomgå sjekklisten ovenfor for å unngå vanlige feil ved implementering av en samtykkemekanisme eller et samtykkebanner, siden du kan bruke denne sjekklisten for å sikre at du overholder disse retningslinjene.
Googles retningslinjer spesifiserer ikke hvilke valg du må gi brukerne, da teksten i samtykkevarselet må tilpasses måten du bruker data på (f.eks. om du bruker dem til egne formål eller i andre tjenester du jobber med).
Krever Google en bestemt type samtykkemelding for apper?
For publisister er svaret ja. Googles publisister må ta i bruk en Google-sertifisert CMP ved visning av personlig tilpassede annonser til brukere i EØS, Storbritannia og Sveits.
For Googles annonseringspartnere: For EØS-trafikk må annonsører sende signaler til Google som gjenspeiler brukernes preferanser, via samtykkemodusen eller TCF (rammeverket for åpenhet og samtykke). CMP Partner Program ble laget for å hjelpe annonsører med å lage og konfigurere samtykkebannere. Merk: Denne listen inneholder ikke alle tilgjengelige CMP-er, og Google krever ikke at annonsører bruker en CMP fra partnerprogrammet.
Hvordan kan partnere finne ut hvilken plattform for samtykkestyring (CMP) de bør bruke?
CMP Partner Program ble utviklet for å hjelpe annonseringspartnere med å lage og konfigurere samtykkebannere. Merk: Denne listen inneholder ikke alle tilgjengelige CMP-er. Bruk av disse CMP-ene garanterer ikke overholdelse av Googles retningslinjer for brukersamtykke i EU, siden det avhenger av implementeringen av CMP-en og samtykkemeldingen som vises til brukerne (hvis du vil ha mer veiledning om dette, kan du se spørsmålet over «Sjekkliste for partnere for å unngå vanlige feil ved implementering av samtykkemekanismer»).
For publisistpartnere: Publisister må ta i bruk en CMP som er sertifisert av Google og integrert med IAB Europes rammeverk for åpenhet og samtykke (TCF) når de viser personlig tilpassede annonser til brukere i EØS, Storbritannia og Sveits.
Hvilke andre parter samler inn brukernes personopplysninger, og hvordan identifiserer jeg disse tredjepartene?
Mange annonsører og publisister som bruker Googles annonseringssystemer, bruker tredjeparter til å vise annonser og måle virkningen av annonsekampanjene sine på nettsteder og i apper. Retningslinjene krever at du tydelig identifiserer alle parter – i tillegg til Google – som kan samle inn, motta og/eller benytte seg av brukeres personopplysninger som følge av at du bruker Google-produkter.
Nettstedet mitt eller appen min er ikke basert i Europa. Gjelder disse retningslinjene for meg likevel?
Ja, hvis du bruker Google-produkter som innlemmer disse retningslinjene. Retningslinjene gjelder bare for brukere i EØS, Storbritannia og Sveits.
Jeg er publisist, og ingen av kampanjene mine er målrettet mot EØS, Storbritannia eller Sveits. Gjelder dette samtykkekravet for meg likevel?
Disse retningslinjene gjelder for brukere i EØS, Storbritannia og Sveits. Retningslinjene gjelder ikke hvis Google-tjenester fjernes fra nettstedet/appen for brukere i de aktuelle landene.
Organisasjonen vår har et annet syn på gjeldende lov og rett, og vi ønsker å bruke en annen tilnærming til opplysning og samtykke. Kan vi gjøre det?
Google prioriterer overholdelse av personvernforordningen svært høyt, også i den grad den er inkludert i lov og rett i Storbritannia, i alle tjenestene vi tilbyr i Europa. Retningslinjene våre for brukersamtykke i EU gjenspeiler denne forpliktelsen og viser at vi følger veiledningen fra europeiske datatilsyn. Selv om partnere kan ha ulik tolkning av lov og rett, krever vi at partnerne våre oppfyller forventningene i disse retningslinjene. Vi fortsetter å vurdere gjeldende lov og rett samt det som er praksis i bransjen, og å oppdatere anbefalingene og kravene våre i henhold til dette.
Hvorfor trenger vi samtykke til annonsemåling? Er ikke det en berettiget interesse?
Google bruker informasjonskapsler og forskjellige annonseidentifikatorer som støtte for annonsemåling. Eksisterende lover om personvern på nettet krever samtykke for slik bruk for brukere i land hvor lokal lov og rett krever slikt samtykke. I tråd med dette krever retningslinjene våre samtykke til personlig tilpasning av annonser og samtykke til annonsemåling der det finnes juridiske krav om dette.
Trenger jeg samtykke før Googles annonsørtagger utløses, eller kan jeg innhente det etterpå?
Du må innhente samtykke til personlig tilpassede annonser, bruk av informasjonskapsler eller annen lokal lagring der det finnes juridiske krav om dette. Dette må gjøres før Googles annonsørtagger utløses på nettsidene eller i appene dine.
Hva med bruk av klikksporing?
Der annonsører velger å bruke tredjepartsteknologi for klikksporing (dvs. når et klikk på en annonse viderekobler brukerens nettleser til en tredjepartsleverandør av målingstjenester når brukeren er på vei til annonsørens landingsside), må annonsørene overholde gjeldende lov og rett. Googles leverandørkontroller for publisister er ikke laget for å skjule teknologi for klikksporing.
Hvilken informasjon må jeg ta vare på?
Retningslinjene våre krever at kunder beholder informasjonen som dokumenterer brukernes samtykke. Denne informasjonen skal bestå av minst teksten og valgene som vises til brukerne som en del av mekanismer for innhenting av samtykke, samt datoene og klokkeslettene brukerne eventuelt gir samtykke.
Hvorfor er publisist-CMP-en min vurdert til å være i strid med retningslinjene, selv om jeg bruker en sertifisert CMP som også er sertifisert av IAB?
Selv om du tar i bruk en sertifisert CMP, er det ikke garantert at du overholder Googles retningslinjer for brukersamtykke i EU, siden dette avhenger av implementeringen av CMP-en og den spesifikke samtykkemeldingen brukere får se. (Hvis du vil ha mer veiledning om dette, kan du se spørsmålet over «Sjekkliste for partnere for å unngå vanlige feil ved implementering av samtykkemekanismer».)
Hvorfor er nettstedet mitt eller appen min vurdert til å være i strid med retningslinjene, selv om jeg bruker en CMP i programmet for Google-partnere?
For annonseringspartnere: CMP Partner Program er laget for å hjelpe annonsører med å lage og konfigurere samtykkebannere på nettet og i apper, og det kan også brukes som en hjelp ved integrering av samtykkemodusen. Samarbeid med disse CMP-ene garanterer ikke overholdelse av Googles retningslinjer for brukersamtykke i EU, siden det avhenger av implementeringen av CMP-en og samtykkemeldingen som vises til brukerne. (Hvis du vil ha mer veiledning om dette, kan du se spørsmålet over «Sjekkliste for partnere for å unngå vanlige feil ved implementering av samtykkemekanismer».)
Må jeg følge disse retningslinjene hvis jeg bruker produkter som bruker Privacy Sandbox API-er?
Ja. Når du bruker Privacy Sandbox API-er (Topics, Protected Audience og Attribution Reporting), kan det hende du bruker personopplysninger til å tilpasse annonser personlig og/eller få tilgang til lokal lagring. I henhold til retningslinjene for brukersamtykke i EU må du innhente gyldig brukersamtykke for disse handlingene på samme måte som du i dag trenger samtykke til personlig tilpasning av annonser og bruk av ikke-essensiell lokal lagring i den grad det finnes juridiske krav om det. Mer informasjon om Privacy Sandbox.
Må annonsører innhente et signal om gyldig samtykke (via TCF eller samtykkemodusen) for brukere i Storbritannia og Sveits?
Nei, vi har ingen forventninger om at annonsører sender signaler om verifisert samtykke til Google for trafikk fra Storbritannia eller Sveits (via samtykkemodusen eller TCF). Merk: Kravet om å sende signaler om verifisert samtykke gjelder for annonsører med trafikk fra brukere i EØS. Vi anbefaler å samarbeide med en CMP i programmet for Google-partnere for å få veiledning om implementeringen. Merk: Denne listen inneholder ikke alle tilgjengelige CMP-er, og Google krever ikke at annonsører bruker en CMP fra partnerprogrammet.
Oppdateringer av disse retningslinjene
Googles opprinnelige retningslinjer for brukersamtykke i EU ble oppdatert 25. mai 2018. For å gjenspeile Storbritannias endrede forhold til EU ble det gjort mindre endringer 31. oktober 2019.
I juli 2024 oppdaterte og utvidet vi retningslinjene for brukersamtykke i EU til å inkludere Sveits.
Det er foreløpig ikke forventet noen andre endringer i retningslinjene, men som nevnt ovenfor fortsetter vi å vurdere gjeldende lov og rett samt det som er praksis i bransjen, og vi oppdaterer anbefalingene og kravene våre basert på dette.