Защо съществуват тези правила и къде важат?
Правилата отразяват определени изисквания на два европейски закона за поверителността: Общия регламент относно защитата на данните (ОРЗД) и Директивата за правото на неприкосновеност на личния живот и електронни комуникации, както и на еквивалентните закони на Обединеното кралство. Тези правила са в сила за крайните потребители в ЕИП, Обединеното кралство и Швейцария. ЕИП включва държавите – членки на ЕС, Исландия, Лихтенщайн и Норвегия.
Тези правила бяха въведени в първоначалния си вид през 2015 г. и актуализирани на 25 май 2018 г., когато влезе в сила Общият регламент относно защитата на данните. Правилата бяха актуализирани за последно на 31 юли 2024 г., за да бъдат обхванати и потребителите в Швейцария.
Трябва ли да спазвам тези правила за всички потребители, ако съм издател или рекламодател в ЕИП, Обединеното кралство или Швейцария?
Правилата на Google за съгласие на потребителите в ЕС важат само за крайните потребители в ЕИП, Обединеното кралство или Швейцария.
Как Google гарантира спазването на тези правила?
За целта периодично проверяваме уебсайтовете и приложенията, които използват рекламните ни услуги, както правим от въвеждането на правилата през 2015 г. Проверяващите посещават даден уебсайт или приложение като потребители и разглеждат предоставената информация и получаваните съгласия.
Първият ни приоритет винаги ще бъде да работим съвместно с партньорите си за изясняване на изискванията, които трябва да се спазват. Ако установим, че даден партньор не спазва правилата ни, първата ни стъпка ще бъде да се свържем с него, за да посочим проблема, след което ще се опитаме да работим заедно за покриване на критериите.
От 2015 г. насам даваме на уебсайтовете и приложенията разумен срок за извършване на необходимите промени. Ако обаче партньорът не успее да взаимодейства с нас или да демонстрира добросъвестно усилие за покриване на изискванията в рамките на този срок, може да приложим мерки спрямо засегнатия профил или съответно профили, включително спиране на функции за аудиторията, в т.ч. персонализиране на рекламите (напр. ремаркетинг), и ограничаване на възможностите за измерване на реализациите за рекламодателите. За издателите само ограничените реклами или програмните ограничени реклами (ако са активирани) ще отговарят на условията за показване.
Освен че проверяваме уебсайтовете и приложенията, изискваме издателите да използват сертифицирана CMP, когато показват реклами на потребители в ЕИП, Обединеното кралство и Швейцария, за да спазват тези правила. Google ще продължи да извършва проверки на сайтовете и приложенията на партньорите ни издатели, в които се използва сертифицирана CMP.
За рекламодателите с трафик в ЕИП – ако потребител от ЕИП използва уебсайта или приложението ви и измервате поведението на потребителите чрез маркери или SDK на Google и/или използвате функции за аудиторията или персонaлизиране на рекламите, трябва да предавате на Google избора на крайните потребители относно съгласието (напр. чрез режима на получаване на съгласие или TCF). Ако зареждате маркера на Google и не сте внедрили най-новата версия на режима на получаване на съгласие, препоръчваме да работите със CMP в CMP Partner Program на Google. Списъкът не включва всички налични CMP и Google не задължава рекламодателите да използват CMP от партньорската програма.
Каква информация трябва да бъде разкривана пред крайните потребители?
Правилата ни изискват да бъде идентифицирана всяка страна, която получава лични данни на крайните потребители като следствие от това, че потребителите използват продукт на Google. Също така изискват добре видима и леснодостъпна информация за използването на тези лични данни. Публикували сме информация за начините, по които Google използва данните. За да спазят задълженията за разкриване по отношение на тези начини, издателите и рекламодателите трябва да добавят връзка към тази страница. Също така искаме от другите доставчици на рекламни технологии, с които се интегрират продуктите на Google, да направят достъпна информацията за използването на лични данни от тяхна страна.
Контролен списък за избягване на често срещани грешки при внедряването на механизъм за получаване на съгласие
Списъкът съдържа само примери и няма за цел да бъде изчерпателен. Погрижете се внедреният от вас механизъм винаги да отговаря на всички изисквания в правилата на Google.
- Внедрили ли сте механизъм/банер за получаване на съгласие? Ако сте партньор издател – механизмът/банерът за получаване на съгласие сертифициран ли е от Google?
- Обяснили ли сте на потребителите как ще се използват личните им данни в уебсайта или приложението ви, например знаят ли, че личните им данни ще служат за персонализиране на рекламите и че „бисквитките“/идентификаторите за мобилни реклами може да се използват за персонализирани и неперсонализирани реклами?
- Проверили ли сте дали механизмът/банерът ви за получаване на съгласие се показва при достъп до уебсайта/приложението ви от потребители от всички държави в ЕИП, както и от Обединеното кралство и Швейцария?
- Дали ли сте възможност на потребителите да извършат изрично действие за потвърждаване на съгласието си, например да кликнат върху бутон OK или „Приемам“?
- Разкрили ли сте кои трети страни (включително Google) също ще имат достъп до потребителските данни, които събирате в уебсайта/приложението си?
- Информирали ли сте потребителите за начина, по който Google ще използва личните им данни, когато дадат съгласието си в сайта/приложението ви, като включите връзка към нашия сайт за отговорност за бизнес данните? А за начина, по който ще се използват от други трети страни?
- Ако сте рекламодател – изпращате ли на Google потвърдени сигнали за получаване на съгласие, които отразяват предпочитанията на крайните ви потребители в ЕИП? Внедрили ли сте правилно най-новата версия на режима на получаване на съгласие или TCF?
- Сигурни ли сте, че при липса на съгласие, доколкото такова се изисква по закон, не се задават „бисквитки“? Моля, обърнете внимание, че неперсонализираните реклами, които показваме на уебсайтове, също изискват „бисквитки“, за да функционират.
- Ако сте издател – използвате ли сертифицирана от Google CMP в съответствие с изискванията на TCF? Внедрили ли сте правилно режима за получаване на допълнително сългасие в степента, в която го използвате?
Какво представляват ограничените реклами?
Ако сте издател, когато си осигурявате приходи от импресии единствено чрез ограничени реклами, Google деактивира не само събирането, споделянето и използването на лични данни с цел персонализиране на рекламите, а и функциите, които изискват използването на локален идентификатор, като например ограничаването на честотата. Само когато е включена функцията за програмни ограничени реклами, „бисквитки“ и локално хранилище ще се използват единствено за откриване на невалиден трафик с цел защита срещу злоупотреби и измами. Имайте предвид, че технологиите за показване на реклами (маркерите ни за JavaScript и/или кодът ни за SDK) пак ще бъдат кеширани или инсталирани като част от нормалното функциониране на браузърите или мобилните операционни системи на потребителите. Трябва да прецените самостоятелно какви задължения имате във връзка със спазването на правилата, включително необходимото известяване и получаване на съгласие, според местните закони в юрисдикцията ви. За повече подробности относно тази функция разгледайте Помощните центрове на Ad Manager, AdMob и Adsense.
Какви инструкции да дам на крайните потребители относно оттеглянето на съгласието?
Правилата изискват на крайните потребители да се обясни как да оттеглят съгласието си. Потребителите трябва да могат да оттеглят съгласието си толкова лесно, колкото са го предоставили. Най-малкото те трябва да имат достатъчно информация, за да достигнат лесно до контролите за рекламите за уебсайта или приложението ви, така че да променят предпочитанията си за съгласието.
Кои са другите продукти на Google, които включват тези правила?
В допълнение към продуктите за реклами и измерване тези правила са включени в други наши продукти, като например в Общите условия на Платформата на Google Карти, Общите условия на услугите за API на YouTube, Общите условия за reCAPTCHA, както и в Blogger.
Кои типове реклами се считат за „персонализирани“ за целите на тези правила?
Персонализираните реклами подобряват практическата работа както на потребителите (т.е. подобряват уместността на рекламите), така и на рекламодателите и издателите. Google приема рекламите за персонализирани, когато се основават на лични данни, които се използват, за да се определи или повлияе показването на реклами. Повече информация можете да намерите тук.
При проверката банерът ми за получаване на съгласие бе означен като неспазващ правилата. Кой е най-добрият начин за решаване на този проблем?
Ако установим, че тези правила не са спазени, приоритетът ни ще бъде да помогнем на партньорите ни да покрият изискванията. Екипът ни за проверка ще ви предостави подробности за неспазените изисквания и информация за стъпките, които трябва да предприемете, за да приведете уебсайта/приложението си в съответствие с правилата.
За да се гарантира, че банерът е конфигуриран така, че да зачита избора на потребителите, препоръчваме рекламодателите да работят с използваната от тях CMP на трета страна или да прегледат съответната документация за управление на настройките за получаване на съгласие и да се уверят, че са интегрирали правилно режима на получаване на съгласие.
Препоръчваме на издателите да работят със сертифицираната от Google CMP и да разгледат този инструмент за отстраняване на неизправности, за да отстранят нарушенията на правилата.
Защо правилата изискват получаването на съгласие за „бисквитки“, дори те да се използват за други цели, а не за персонализиране (например за измерване на рекламите)?
„Бисквитките“ или мобилните идентификатори се използват за поддръжка на показваните от Google персонализирани и неперсонализирани реклами, ограничаване на честотата и обобщено отчитане на рекламите. Правилата ни изискват получаването на съгласие за използването на „бисквитки“ или мобилни идентификатори за потребителите в държавите, в които получаването на такова съгласие се изисква по закон.
А ако съм рекламодател, който използва продукти на Google в уебсайта/приложението си?
Ако използвате маркери за продукти за рекламиране, като например Google Ads или Google Marketing Platform, в страниците или приложението си, ще трябва да получите съгласие от потребителите си в ЕИП, Обединеното кралство и Швейцария, за да спазвате съответните ни правила. Те изискват получаването на съгласие за „бисквитки“, мобилни идентификатори или друго локално хранилище, където това се изисква по закон, както и съгласие за използването на лични данни за персонализираните реклами – ако например страниците или приложението ви съдържат маркери за ремаркетинг.
Как да формулирам съобщението си в механизма/банера за получаване на съгласие?
Съветваме ви да прегледате контролния списък по-горе, за да избегнете често срещаните грешки при внедряването на механизъм/банер за получаване на съгласие. Списъкът ще ви помогне със спазването на изискванията на тези правила.
Правилата на Google не определят възможностите за избор, които да бъдат предложени на потребителите, тъй като текстът на съобщението ви за получаване на съгласие ще зависи от начините, по които ползвате данните (напр. за собствени цели или за поддръжка на други услуги, с които работите).
Google изисква ли конкретен вид съобщение за получаване на съгласие за приложенията?
Да, ако сте издател. Издателите, които си партнират с Google, трябва да използват сертифицирана от нас CMP, когато показват персонализирани реклами на потребители в ЕИП, Обединеното кралство и Швейцария.
За трафика в ЕИП рекламодателите, които са рекламни партньори на Google, трябва да ни изпращат сигнали, които отразяват предпочитанията на крайните потребители, чрез режима на получаване на съгласие или TCF. Създадохме CMP Partner Program, за да помагаме на рекламодателите да изготвят и конфигурират банери за получаване на съгласие. Забележка: Списъкът не включва всички налични CMP и Google не задължава рекламодателите да използват CMP от партньорската програма.
Как партньорите да изберат кой доставчик на платформа за управление на получаването на съгласие (CMP) да използват?
За рекламните партньори създадохме CMP Partner Program, за да помагаме на рекламодателите при изготвянето и конфигурирането на банери за получаване на съгласие. Забележка: Списъкът не включва всички налични CMP. Използването на някоя от тези CMP не гарантира спазването на Правилата за съгласие на потребителите в ЕС, тъй като това зависи от внедряването на CMP и конкретното съобщение за получаване на съгласие, показвано на потребителите (за повече указания разгледайте въпроса по-горе – „Контролен списък за партньори за избягване на често срещани грешки при внедряването на механизъм за получаване на съгласие“).
Партньорите издатели трябва да използват CMP, която е сертифицирана от Google и интегрирана с Рамката за прозрачност и съгласие (TCF) на Бюрото за интерактивна реклама (IAB) за Европа, когато показват персонализирани реклами на потребители в ЕИП, Обединеното кралство и Швейцария.
Какви други страни събират лични данни на крайните потребители и как трябва да идентифицирам тези трети страни?
Много рекламодатели и издатели, които си служат с рекламните системи на Google, използват трети страни, за да показват реклами и да измерват ефикасността на рекламните си кампании в уебсайтовете и приложенията. Правилата изискват да идентифицирате ясно всяка страна в допълнение към Google, която може да събира, получава и/или използва лични данни на крайните потребители като следствие от вашето използване на продуктите ни.
Уебсайтът/приложението ми не са базирани в Европа. Тези правила отнасят ли се за мен?
Да, ако използвате продукти на Google, които включват правилата. Тези правила важат само за крайните потребители в ЕИП, Обединеното кралство и Швейцария.
Като издател нито една от кампаниите ми не е насочена към ЕИП, Обединеното кралство или Швейцария. Изискването за получаване на съгласие важи ли за мен?
Тези правила са в сила за крайните потребители в ЕИП, Обединеното кралство и Швейцария. Те не важат, ако услугите на Google са премахнати от уебсайта/приложението за потребителите в тези държави.
Организацията ни има различно разбиране за закона и би искала да приложи друг подход към разкриването на информация и получаването на съгласие. Възможно ли е това?
Google се ангажира да спазва Общия регламент относно защитата на данните (ОРЗД), включително доколкото е транспониран в законодателството на Обединеното кралство, във всички услуги, които предоставя в Европа. Правилата ни за съгласие на потребителите в ЕС отразяват този ангажимент и указанията от европейските органи по защита на данните. Въпреки че партньорите може да тълкуват законите по различен начин, ние изискваме те да спазват изискванията на тези правила. Ще продължим да преценяваме законите и отрасловите практики и да актуализираме препоръките и изискванията си съобразно с тях.
Защо се нуждаем от съгласие за измерване на рекламите – това не е ли законен интерес?
Google използва „бисквитки“ и различни рекламни идентификатори, за да поддържа измерване на рекламите. В държавите, където са приложими законите за електронна поверителност, се изисква получаването на съгласие за подобни начини на ползване. Съответно правилата ни изискват съгласие за персонализиране на рекламите и за измерването им, където това се изисква по закон.
Имам ли нужда от съгласието, преди да се задействат маркерите на Google за рекламодатели, или е възможно да го получа след това?
Съгласието за персонализирани реклами и за използване на „бисквитки“ или друго локално хранилище, където това се изисква по закон, трябва да бъде получено, преди маркерите на Google за рекламодатели да се задействат в уеб страниците или приложенията ви.
Как стои въпросът с инструментите за проследяване на кликванията?
Когато рекламодателите изберат да използват технологии за проследяване на кликванията от трети страни (т.е. когато кликването върху реклама насочва браузъра на потребителя към доставчик на функция за измерване (трета страна) по пътя към целевата страница на рекламодателя), те трябва да направят това в съответствие с приложимото законодателство. Контролите ни за доставчици, които предоставяме на издателите, не обхващат технологиите за проследяване на кликванията.
Какви данни трябва да пазя?
Правилата ни изискват клиентите да съхраняват данни за съгласието. Те трябва да включват поне текста и възможностите за избор, предложени на потребителите като част от механизма за получаване на съгласие, както и датата и часа на предоставянето на съгласие.
Защо смятате, че платформата за управление на получаването на съгласие, използвана от мен като издател, не спазва правилата – ползвам сертифицирана CMP, която е сертифицирана и от Бюрото за интерактивна реклама (IAB)?
Използването на сертифицирана CMP не гарантира спазването на Правилата за съгласие на потребителите в ЕС, тъй като това зависи от внедряването на CMP и конкретното съобщение за получаване на съгласие, показвано на потребителите (за повече указания разгледайте въпроса по-горе – „Контролен списък за партньори за избягване на често срещани грешки при внедряването на механизъм за получаване на съгласие“).
Защо смятате, че уебсайтът/приложението ми не спазва правилата – ползвам CMP от партньорската програма на Google?
За рекламните партньори създадохме CMP Partner Program, за да помагаме на рекламодателите да изготвят и конфигурират банери за получаване на съгласие в уебсайтове/приложения и да осигурим поддръжка за интегриране на режима на получаване на съгласие. Работата с някоя от тези CMP не гарантира спазването на Правилата за съгласие на потребителите в ЕС, тъй като това зависи от внедряването на CMP и конкретното съобщение за получаване на съгласие, показвано на потребителите (за повече указания разгледайте въпроса по-горе – „Контролен списък за партньори за избягване на често срещани грешки при внедряването на механизъм за получаване на съгласие“).
Трябва ли да спазвам тези правила, ако използвам продукти, коитo работят с API на Privacy Sandbox?
Да. Когато използвате API на Privacy Sandbox (API за теми, Protected Audience API и API за отчитане на приписването), може да използвате лични данни с цел персонализиране на рекламите и/или достъп до локално хранилище. Правилата за съгласие на потребителите в ЕС изискват да получите валидно съгласие на потребителя за тези действия по същия начин, по който понастоящем разчитате на съгласие за персонализирането на рекламите и използването на локално хранилище за несъществени данни, доколкото това се изисква по закон. Още информация за Privacy Sandbox.
Трябва ли рекламодателите да изпращат валидни сигнали за получаване на съгласие (чрез TCF или режима на получаване на съгласие) за потребителите в Обединеното кралство и Швейцария?
Не, не очакваме рекламодателите да изпращат на Google потвърден сигнал за получаване на съгласие за трафика в Обединеното кралство или Швейцария (чрез режима на получаване на съгласие или TCF). Забележка: Изискването за изпращане на потвърдени сигнали за получаване на съгласие е в сила за рекламодателите с трафик от крайни потребители в Европейското икономическо пространство (ЕИП). Препоръчваме да работите със CMP от партньорската програма на Google относно указанията за внедряване. Забележка: Списъкът не включва всички налични CMP и Google не задължава рекламодателите да използват CMP от партньорската програма.
Актуализации на правилата
Първоначалните ни Правила за съгласие на потребителите в ЕС бяха актуализирани на 25 май 2018 г. За да отразим развитието на отношенията между Обединеното кралство и Европейския съюз, направихме малки промени на 31 октомври 2019 г.
През юли 2024 г. актуализирахме и разширихме Правилата за съгласие на потребителите в ЕС, така че да включват и Швейцария.
Понастоящем не се очакват други промени в правилата, но както е посочено по-горе, ще продължим да преценяваме законите и отрасловите практики и да актуализираме препоръките и изискванията си съобразно с тях.