Miksi tämä käytäntö luotiin, ja mihin sitä sovelletaan?
Käytäntö vastaa kahden eurooppalaisen tietosuojalain, yleisen tietosuoja-asetuksen (GDPR) ja sähköisen viestinnän tietosuojadirektiivin, vaatimuksiin sekä näitä vastaaviin Yhdistyneen kuningaskunnan lakeihin. Käytäntö koskee loppukäyttäjiä Euroopan talousalueella, Yhdistyneessä kuningaskunnassa ja Sveitsissä. Euroopan talousalueeseen kuuluvat EU:n jäsenvaltiot sekä Islanti, Liechtenstein ja Norja.
Tämän käytännön alkuperäisversio otettiin käyttöön vuonna 2015, ja sitä päivitettiin 25.5.2018 yleisen tietosuoja-asetuksen tullessa voimaan. Käytäntö päivitettiin viimeksi 31.7.2024 sisältämään Sveitsissä olevat käyttäjät.
Onko minun noudatettava tätä käytäntöä kaikkien käyttäjien kohdalla, jos olen Euroopan talousalueella, Yhdistyneessä kuningaskunnassa tai Sveitsissä toimiva julkaisija tai mainostaja?
Googlen EU-käyttäjäsuostumuskäytäntö koskee vain käyttäjiä Euroopan talousalueella, Yhdistyneessä kuningaskunnassa tai Sveitsissä.
Miten Google valvoo tämän käytännön noudattamista?
Tarkistamme säännöllisin väliajoin mainospalveluitamme käyttäviä sivustoja ja sovelluksia. Olemme tehneet näin siitä asti, kun käytäntö otettiin käyttöön vuonna 2015. Tarkastajamme käyvät sivustolla tai sovelluksessa tavallisen käyttäjän tavoin. Tutkimme annettuja tietoja ja saatuja suostumuksia.
Meille tärkeintä on se, että käytäntöä noudatetaan, ja huolehdimmekin siitä yhdessä kumppaniemme kanssa. Jos käytännön noudattamisessa havaitaan ongelmia, asiasta ilmoitetaan ensin kumppanille ja tilanne yritetään korjata yhdessä tämän kanssa.
Kuten on tehty jo vuodesta 2015, sivustoille ja sovelluksille annetaan kohtuullisesti aikaa tarvittavien muutosten tekemiseen. Jos yhteistyökumppani ei kuitenkaan ryhdy yhteistyöhön tai osoita vilpittömästi pyrkivänsä noudattamaan käytäntöä kohtuullisessa ajassa, asiaankuuluviin tileihin voidaan kohdistaa toimenpiteitä. Mainostajien tapauksessa voidaan esimerkiksi jäädyttää yleisötoimintoja, mukaan lukien mainosten personointiominaisuuksia (esim. uudelleenmarkkinointi) ja konversiomittausominaisuuksia. Julkaisijoiden tapauksessa vain rajoitettu mainonta / ohjelmallinen rajoitettu mainonta sallitaan (jos ohjelmallinen rajoitettu mainonta on otettu käyttöön).
Sivustojen ja sovellusten tarkastamisen lisäksi vaadimme, että julkaisijat ottavat käyttöön sertifioidun CMP:n näyttäessään mainoksia Euroopan talousalueella, Yhdistyneessä kuningaskunnassa ja Sveitsissä oleville käyttäjille, jotta käytännön ehdot täyttyvät. Google tarkastaa jatkossakin julkaisijakumppaneiden sivustoja ja sovelluksia, joissa on otettu käyttöön sertifioitu CMP.
Mainostajat, joilla on liikennettä Euroopan talousalueella: Jos Euroopan talousalueella oleva käyttäjä käyttää sivustoasi tai sovellustasi ja mittaat käyttäjätoimintaa Google-tagien tai SDK:iden avulla ja/tai hyödynnät yleisöominaisuutta / mainosten personointiominaisuutta, sinun on välitettävä loppukäyttäjän suostumusvalinnat Googlelle (esim. suostumustilan tai TCF:n kautta). Jos lataat Google-tagin etkä ole ottanut käyttöön suostumustilan uusinta versiota, suosittelemme käyttämään CMP:tä, joka on Googlen CMP Partner Programissa. Lista ei kata kaikkia saatavilla olevia CMP-palveluita, eikä Google vaadi mainostajia käyttämään Partner Programin CMP:tä.
Mitä tietoja minun on annettava loppukäyttäjille?
Käytäntömme mukaan sinun on kerrottava, mitkä tahot saavat loppukäyttäjien henkilökohtaista dataa Google-tuotteen käytön johdosta. Lisäksi sinun on kerrottava näkyvästi ja helposti saatavilla olevassa muodossa, miten loppukäyttäjien henkilökohtaista dataa käytetään. Olemme kertoneet julkisesti, miten Google käyttää tietoja. Julkaisijoiden ja mainostajien täytyy lisätä linkki kyseiselle sivulle kertoakseen asianmukaisesti siitä, miten Google käyttää dataa. Myös muita mainosteknologian tarjoajia, joiden palveluihin Googlen tuotteita on integroitu, pyydetään kertomaan siitä, miten ne käyttävät henkilökohtaista dataa.
Muistilista yleisten virheiden välttämiseksi suostumusmekanismin käytössä
Nämä ovat vain esimerkkejä, eikä listan ole tarkoitus olla tyhjentävä. Varmista aina, että noudatat Googlen käytäntöjen vaatimuksia.
- Oletko ottanut käyttöön suostumusmekanismin/-bannerin? Julkaisijakumppaneille: onko suostumusmekanismi/-banneri Googlen sertifioima?
- Oletko kertonut käyttäjille, miten heidän henkilökohtaista dataansa käytetään sivustolla/sovelluksessa? Tietävätkö he esimerkiksi, että henkilökohtaista dataa käytetään mainosten personointiin ja että personoidussa ja personoimattomassa mainonnassa voidaan käyttää evästeitä / mobiilimainosten tunnisteita?
- Oletko varmistanut, että suostumusmekanismi/-banneri näkyy sivuston/sovelluksen käyttäjille kaikissa Euroopan talousalueen maissa sekä Yhdistyneessä kuningaskunnassa ja Sveitsissä?
- Onko käyttäjille annettu mahdollisuus ilmaista suostumus konkreettisella toimenpiteellä, kuten klikkaamalla OK- tai Hyväksyn-painiketta?
- Oletko ilmoittanut, millä kolmansilla osapuolilla (Google mukaan lukien) on myös pääsy sivustolla/sovelluksessa keräämääsi käyttäjädataan?
- Oletko kertonut käyttäjille, miten Google käyttää heidän henkilökohtaista dataansa, jos he antavat suostumuksensa sivustolla/sovelluksessa, lisäämällä linkin Googlen Vastuu yritysdatasta ‑sivustolle? Entä tietävätkö käyttäjät, miten muut kolmannet osapuolet käyttävät henkilökohtaista dataa?
- Jos olet mainostaja ja sinulla on käyttäjiä Euroopan talousalueella: lähetätkö Googlelle vahvistettuja suostumussignaaleja, jotka heijastavat loppukäyttäjän valintoja? Oletko ottanut käyttöön suostumustilan tai TCF:n uusimman version?
- Oletko varmistanut, että suostumuksen puuttuessa evästeitä ei käytetä siltä osin kuin suostumusta vaaditaan? Huomaa, että verkkosivustoilla näkyvät personoimattomat mainokset edellyttävät silti evästeiden käyttöä.
- Julkaisijoille: oletko ottanut käyttöön Googlen sertifioiman CMP:n TCF:n vaatimusten mukaisesti? Jos hyödynnät Lisäsuostumusta, oletko ottanut sen käyttöön oikein?
Mitä on rajoitettu mainonta?
Jos olet julkaisija ja kaupallistat impressioita vain rajoitetun mainonnan avulla, Google estää henkilökohtaisen datan keräämisen, jakamisen ja käytön mainosten personointia varten sekä poistaa käytöstä ominaisuudet, jotka edellyttävät paikallisen tunnisteen, kuten näyttötiheyden rajoitustoiminnon, käyttöä. Kelpaamattoman liikenteen havaitsemiseen tarkoitettuja evästeitä ja paikallista tallennustilaa käytetään petoksilta ja väärinkäytöksiltä suojautumiseen vain, kun ohjelmallinen rajoitettu mainonta on päällä. Huomaa, että mainosten näyttöteknologiat (JavaScript-tagimme ja/tai SDK-koodimme) tallennetaan kuitenkin välimuistiin tai asennetaan osana käyttäjien selainten ja mobiilikäyttöjärjestelmien normaalia toimintaa. Sinun on arvioitava itse käytäntöön liittyvät velvollisuutesi, esimerkiksi vaadittavat ilmoitukset ja suostumukset, oikeudenkäyttöalueesi paikallisten lakien perusteella. Lue lisää tästä ominaisuudesta Ad Managerin, AdMobin ja Adsense ohjekeskuksista.
Mitä suostumuksen perumiseen liittyviä ohjeita minun on annettava loppukäyttäjille?
Käytännön mukaan loppukäyttäjille on kerrottava, miten suostumuksen voi perua. Suostumuksen perumisen täytyy olla yhtä helppoa kuin sen antamisen. Loppukäyttäjien on vähintään tiedettävä, mistä he löytävät helposti sivuston tai sovelluksen mainosasetukset, joiden kautta suostumusvalintoja voi muuttaa.
Mitkä muut Googlen tuotteet kuuluvat tämän käytännön piiriin?
Mainos- ja mittaustuotteiden lisäksi tämä käytäntö mainitaan esimerkiksi Google Maps Platformin käyttöehdoissa, YouTube API Servicesin käyttöehdoissa, reCAPTCHAn käyttöehdoissa ja Bloggerissa.
Millaisia mainoksia pidetään personoituina tämän käytännön puitteissa?
Personoidut mainokset tarjoavat paremman kokemuksen sekä käyttäjille (parantaen mainonnan relevanssia) että mainostajille/julkaisijoille. Google määrittelee mainoksen personoiduksi, jos se perustuu henkilökohtaiseen dataan, jonka avulla määritetään mainosten näyttäminen kokonaan tai osittain. Lisätietoja löytyy täältä.
Suostumusbannerini on merkitty tarkastuksessa käytännön vastaiseksi. Mikä on paras tapa korjata asia?
Jos havaitsemme, että käytäntöä ei noudateta, prioriteettinamme on auttaa kumppaneitamme noudattamaan sitä. Saat tarkastustiimiltä lisätietoa virheestä ja siitä, miten teet sivustosta/sovelluksesta käytännön mukaisen.
Mainostajat voivat varmistaa, että banneri on määritetty oikein kunnioittamaan käyttäjien valintoja, yhdessä kolmannen osapuolen CMP:n kanssa tai lukemalla asianmukaisen suostumuksenhallinta-asetusten dokumentaation ja varmistamalla, että ne on integroitu oikein suostumustilan kanssa.
Kannustamme julkaisijoita käyttämään Googlen sertifioimaa CMP:tä ja tutustumaan tähän vianetsintäominaisuuteen vaatimustenvastaisuutta selvittäessään.
Miksi tässä käytännössä edellytetään suostumusta evästeiden käyttöön, vaikka niitä ei käytettäisi personointiin vaan esimerkiksi mainosmittaukseen?
Evästeitä ja mobiilitunnisteita käytetään Googlen näyttämien personoitujen ja personoimattomien mainosten yhteydessä näyttötiheyden rajoittamiseen ja mainosraporttien koostamiseen. Käytäntömme edellyttävät suostumuksen saamista evästeiden tai mobiilitunnisteiden käyttöön sellaisilta käyttäjiltä, joiden maan lainsäädännössä suostumusta vaaditaan.
Entä jos olen mainostaja ja käytän Googlen tuotteita sivustollani/sovelluksessani?
Jos käytät sivuillasi/sovelluksessasi Google Adsin, Google Marketing Platformin tai muiden mainontatuotteiden tageja, sinun on pyydettävä suostumus Euroopan talousalueella, Yhdistyneessä kuningaskunnassa ja Sveitsissä olevilta käyttäjiltä Googlen EU-käyttäjäsuostumuskäytännön mukaisesti. Käytäntömme edellyttää suostumuksen saamista, jos sivustolla tai sovelluksessa käytetään evästeitä, mobiilitunnisteita tai muuta paikallista tallennustilaa lain niin vaatiessa tai jos henkilökohtaista dataa käytetään mainosten personointiin (esim. jos sivuilla/sovelluksessa on uudelleenmarkkinointitageja).
Mitä suostumusmekanismissa/-bannerissa pitäisi lukea?
Suosittelemme käymään läpi yllä olevan muistilistan, jotta voit välttää yleiset virheet ottaessasi käyttöön suostumusmekanismia/-banneria. Muistilista auttaa noudattamaan tätä käytäntöä.
Googlen käytännössä ei määrätä, mitä vaihtoehtoja käyttäjille tulee tarjota, sillä suostumusilmoituksen teksti riippuu datankäyttötavoistasi (esim. käytätkö dataa omiin tarkoituksiisi vai tukemaan muita käyttämiäsi palveluita).
Onko Googlella vaatimuksia sovelluksessa näkyvän suostumusviestin muotoilun suhteen?
Kyllä, jos olet julkaisija. Googlen julkaisijoiden on otettava käyttöön Googlen sertifioima CMP näyttäessään personoituja mainoksia Euroopan talousalueella, Yhdistyneessä kuningaskunnassa ja Sveitsissä oleville käyttäjille.
Googlen mainontakumppaneiden täytyy lähettää Euroopan talousalueen liikenteen osalta Googlelle signaaleja, jotka heijastavat loppukäyttäjien suostumustilan tai TCF:n kautta tekemiä valintoja. CMP Partner Program luotiin auttamaan mainostajia suostumusbannereiden rakentamisessa ja määrittämisessä. Huom. Lista ei kata kaikkia saatavilla olevia CMP-palveluita, eikä Google vaadi mainostajia käyttämään Partner Programin CMP:tä.
Miten kumppanien tulee valita käytettävä suostumustenkäsittelyalustan (CMP) tarjoaja?
CMP Partner Program luotiin mainontakumppaneiden tueksi suostumusbannereiden kehittämiseen ja määrittämiseen. Huom. Lista ei kata kaikkia CMP-kumppaneita. Listalla olevan CMP:n käyttöönotto ei takaa Googlen EU-käyttäjäsuostumuskäytännön noudattamista, sillä siihen vaikuttaa myös CMP:n käyttöönottotapa ja käyttäjille näkyvä suostumusviesti (lisäohjeita tästä on "Muistilista kumppaneille yleisten virheiden välttämiseksi suostumusmekanismin käytössä" ‑kohdan yllä olevan kysymyksen yhteydessä).
Julkaisijakumppanit: julkaisijoiden täytyy käyttää CMP:tä, joka on Googlen sertifioima ja joka on integroitu IAB Europen läpinäkyvyys- ja suostumuskehykseen (TCF) näytettäessä personoituja mainoksia käyttäjille Euroopan talousalueella, Yhdistyneessä kuningaskunnassa ja Sveitsissä.
Mitkä muut osapuolet keräävät loppukäyttäjien henkilötietoja, ja millä tavalla minun on kerrottava käyttäjille tällaisista kolmansista osapuolista?
Monet Googlen mainontajärjestelmiä hyödyntävät mainostajat ja julkaisijat käyttävät kolmannen osapuolen palveluja mainosten näyttämiseen ja mainoskampanjoiden tehokkuuden mittaamiseen sivustoilla ja sovelluksissa. Käytännön mukaan sinun on ilmoitettava selkeästi kaikki osapuolet (Google mukaan lukien), jotka voivat kerätä, vastaanottaa ja/tai käyttää loppukäyttäjien henkilökohtaista dataa Google-tuotteiden käyttösi seurauksena.
Sivustoni/sovellukseni ei sijaitse Euroopassa. Koskeeko tämä käytäntö minua?
Kyllä, jos käytät käytännön piiriin kuuluvia Googlen tuotteita. Käytäntö koskee vain loppukäyttäjiä Euroopan talousalueella, Yhdistyneessä kuningaskunnassa ja Sveitsissä.
Olen julkaisija enkä kohdista kampanjoitani Euroopan talousalueelle, Yhdistyneeseen kuningaskuntaan tai Sveitsiin. Koskeeko suostumusvaatimus silti minua?
Käytäntö koskee loppukäyttäjiä Euroopan talousalueella, Yhdistyneessä kuningaskunnassa ja Sveitsissä. Käytäntö ei koske sinua, jos Googlen palvelut poistetaan sivustolta/sovelluksesta näissä maissa olevien käyttäjien osalta.
Organisaatiomme on eri mieltä lain tulkinnasta, ja haluaisimme lähestyä tietojen antamista ja suostumuksia omalla tavallamme. Onko se mahdollista?
Google on sitoutunut noudattamaan GDPR:ää (mukaan lukien siltä osin kuin se on saatettu osaksi Yhdistyneen kuningaskunnan lainsäädäntöä) kaikkien Euroopassa tarjoamiemme palvelujen osalta. EU-käyttäjäsuostumuskäytäntömme kuvastaa tätä sitoumusta ja eurooppalaisten tietosuojaviranomaisten ohjeistusta. Vaikka yhteistyökumppanit voivat tulkita lakeja eri tavalla, edellytämme kumppaneilta tämän käytännön noudattamista. Jatkamme lainsäädännön ja alan käytäntöjen arviointia ja päivitämme suosituksiamme ja vaatimuksiamme sen mukaisesti.
Miksi tarvitsemme suostumusta mainosmittausta varten – eikö se sisälly oikeutettuihin etuihin?
Google käyttää mainosmittauksessa evästeitä ja erilaisia mainostunnisteita. Nykyiset sähköisen viestinnän tietosuojalait edellyttävät tällaisissa tapauksissa suostumusta käyttäjiltä, joiden maan lainsäädännössä vaaditaan suostumusta. Tämän vuoksi käytännössämme edellytetään suostumusta mainosten personointia ja mittausta varten, kun laki sitä edellyttää.
Täytyykö minun saada suostumus ennen Googlen mainostajatagien käynnistymistä, vai voinko pyytää sitä jälkikäteen?
Suostumus personoituihin mainoksiin ja evästeiden tai muun paikallisen tallennustilan käyttöön lain edellyttämissä tilanteissa tulee saada ennen Googlen mainostajatagien käynnistymistä verkkosivuillasi tai sovelluksissasi.
Entä klikkausseurannan käyttö?
Mainostajien tulee noudattaa sovellettavia lakeja, kun he käyttävät mahdollisia kolmannen osapuolen klikkaustenseurantateknologioita (eli työkaluja, jotka ohjaavat mainosta klikanneen käyttäjän selaimen kolmannen osapuolen mittauspalveluun ennen mainostajan laskeutumissivun avaamista). Googlen julkaisijoita koskevat palveluntarjoaja-asetukset eivät kata klikkausten seurantateknologioita.
Mitä tietoja minun tulee säilyttää?
Käytäntömme mukaan asiakkaidemme on säilytettävä tiedot käyttäjien antamista suostumuksista. Vähimmäisvaatimuksena tietojen tulee sisältää teksti ja vaihtoehdot, jotka suostumusmekanismi näytti käyttäjälle, sekä käyttäjän antaman suostumuksen päivämäärä ja kellonaika.
Miksi julkaisija-CMP:ni katsotaan käytäntöjen vastaiseksi, vaikka käyttämäni sertifioitu CMP on myös IAB:n sertifioima?
Sertifioidun CMP:n käyttöönotto ei takaa Googlen EU-käyttäjäsuostumuskäytännön noudattamista, koska se riippuu CMP:n käyttöönotosta ja tarkasta käyttäjille näytetystä suostumusviestistä (lisätietoja on yllä kohdassa "Muistilista kumppaneille yleisten virheiden välttämiseksi suostumusmekanismin käytössä").
Miksi sivustoni/sovellukseni katsotaan käytäntöjen vastaiseksi, vaikka käytän Google-kumppanin CMP:tä?
CMP Partner Program on luotu mainostajien avuksi suostumusbannereiden kehittämiseen ja määrittämiseen sivustolla/sovelluksessa, ja se voi tukea suostumustilan integraatiota. Listalla olevan CMP:n käyttö ei takaa Googlen EU-käyttäjäsuostumuskäytännön noudattamista, sillä siihen vaikuttaa myös CMP:n käyttöönottotapa ja käyttäjille näkyvä suostumusviesti (lisätietoja on yllä kohdassa "Muistilista kumppaneille yleisten virheiden välttämiseksi suostumusmekanismin käytössä").
Tarvitseeko minun noudattaa tätä käytäntöä, jos käyttämäni tuotteet käyttävät Privacy Sandbox ‑ohjelmointirajapintoja?
Kyllä. Kun käytät Privacy Sandbox ‑ohjelmointirajapintoja (API) (Topics, Protected Audience ja Attribution Reporting), saatat käyttää henkilökohtaista dataa mainosten personointiin ja/tai pääsyn saamiseen paikalliseen tallennustilaan. EU-käyttäjäsuostumuskäytäntö edellyttää, että pyydät käyttäjiltä hyväksyttävän suostumuksen näitä tarkoituksia varten samalla tavalla kuin pyydät tällä hetkellä suostumuksen mainosten personointia ja muuta kuin välttämätöntä paikallisen tallennustilan käyttöä varten lain vaatimilta osin. Lue lisää Privacy Sandboxista.
Vaaditaanko mainostajilta ehdot täyttävää suostumussignaalia (TCF:n tai suostumustilan kautta) Yhdistyneessä kuningaskunnassa ja Sveitsissä olevien käyttäjien osalta?
Ei, emme odota, että mainostajat lähettävät vahvistetun suostumussignaalin Googlelle liikenteestä Yhdistyneessä kuningaskunnassa tai Sveitsissä (suostumustilan tai TCF:n kautta). Huom. Vaatimus lähettää vahvistettuja suostumussignaaleja koskee mainostajia, joilla on liikennettä Euroopan talousalueella olevilta loppukäyttäjiltä. Suosittelemme pyytämään käyttöönottoapua Googlen CMP-kumppanilta. Huom. Lista ei kata kaikkia saatavilla olevia CMP-palveluita, eikä Google vaadi mainostajia käyttämään Partner Programin CMP:tä.
Tämän käytännön päivitykset
Googlen alkuperäistä EU-käyttäjäsuostumuskäytäntöä päivitettiin 25.5.2018. Pieniä muutoksia tehtiin 31.10.2019 kuvastamaan Yhdistyneen kuningaskunnan muuttuvaa suhdetta Euroopan unioniin.
Päivitimme heinäkuussa 2024 EU-käyttäjäsuostumuskäytäntöä ja laajensimme sen koskemaan Sveitsiä.
Tällä hetkellä käytäntöön ei ole odotettavissa muutoksia, mutta kuten yllä todetaan, lainsäädännön ja alan käytäntöjen arviointia jatketaan ja suosituksia ja vaatimuksia päivitetään sen mukaisesti.