Ці правила відображають певні вимоги двох європейських законів про захист персональних даних — Загального регламенту захисту даних (GDPR) та Директиви про конфіденційність і електронні засоби звʼязку (ePrivacy Directive), а також схожих законів Великої Британії. Ці правила поширюються на користувачів у ЄЕЗ, Великій Британії і Швейцарії. До складу ЄЕЗ входять країни – учасниці ЄС, а також Ісландія, Ліхтенштейн і Норвегія.

Оригінальну версію цих правил було опубліковано у 2015 році й оновлено 25 травня 2018 року, коли набув чинності Загальний регламент захисту даних (GDPR). Правила востаннє оновилися 31 липня 2024, а їх дія поширилася на користувачів у Швейцарії.

Правила Google щодо отримання згоди користувачів із ЄС поширюються лише на кінцевих користувачів у ЄЕЗ, Великій Британії і Швейцарії.

З 2015 року, коли було опубліковано першу версію правил, ми періодично вручну перевіряємо сайти й додатки, які використовують рекламні сервіси Google. Наші спеціалісти заходять на сайти і в додатки як звичайні користувачі й оцінюють наведену там інформацію, а також спосіб отримання згоди.

Для нас дуже важливо, щоб наші партнери дотримувалися цих правил. Якщо ми виявимо, що партнер не дотримується наших правил, спершу ми зв’яжемося з ним і повідомимо про проблему. Після цього ми спільними зусиллями спробуємо забезпечити відповідність вимогам.

З моменту публікації цих правил у 2015 році ми даємо вебсайтам і додаткам достатньо часу, щоб внести потрібні зміни. Однак якщо партнер не співпрацює з нами або не докладає достатньо зусиль, щоб добросовісно виконати вимоги впродовж відведеного часу, ми можемо вжити заходів щодо його облікового запису, зокрема заблокувати доступ до функцій залучення аудиторії, таких як персоналізація реклами (наприклад, ремаркетинг) і відстеження конверсій для рекламодавців. Видавцям буде дозволено лише обмежений показ реклами чи автоматизований обмежений показ реклами (якщо його ввімкнено).

На додаток до перевірки сайтів і додатків, ми вимагаємо, щоб видавці користувалися сертифікованими платформами керування згодою, показуючи рекламу користувачам у ЄЕЗ, Великій Британії і Швейцарії. Google продовжуватиме проводити перевірки сайтів і додатків наших партнерів-видавців, які використовують сертифіковану платформу керування згодою.

Рекламодавці, які показують рекламу користувачам у ЄЕЗ, повинні передавати Google статуси згоди користувачів (наприклад, за допомогою режиму згоди чи фреймворку TCF), якщо вони відстежують поведінку користувачів із ЄЕЗ, що використовують сайт або додаток, за допомогою тегів Google чи SDK та/або користуються функціями залучення аудиторії чи персоналізації реклами. Якщо ви завантажуєте тег Google, але не використовуєте останню версію режиму згоди, рекомендуємо скористатися платформою керування згодою з CMP Partner Program від Google. Цей список містить не всі доступні платформи керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою керування згодою від CMP Partners Program.

За нашими правилами, ви повинні надавати кінцевим користувачам інформацію про кожну сторону, яка отримує їхні персональні дані внаслідок використання продукту Google, а також чітко й доступно пояснити, як саме використовуються ці дані. Ми опублікували інформацію про те, як Google використовує дані. Щоб дотримуватися зобов’язань щодо розкриття інформації про використання даних компанією Google, видавці й рекламодавці повинні розмістити посилання на цю сторінку. Ми також просимо інших постачальників рекламних технологій, з якими інтегруються продукти Google, надавати інформацію про власні способи використання персональних даних.

Розробники додатків мають заохочувати користувачів завантажувати найновішу версію свого додатка, щоб вони завжди отримували актуальну інформацію.

Список містить лише приклади й не є вичерпним. Завжди перевіряйте, чи ви застосовуєте цей механізм відповідно до всіх правил Google.

1. Реалізація способу надання згоди. Чи реалізували ви спосіб надання згоди? Якщо ви партнер-видавець, чи пройшов ваш спосіб надання згоди сертифікацію Google? Ви впевнені, що користувачі з усіх країн ЄЕЗ, Великої Британії і Швейцарії бачать запит на надання згоди, коли відкривають ваш сайт чи додаток?
   
2. Розкриття інформації про використання персональних даних. Чи пояснили ви користувачам, як використовуватимуться їхні персональні дані у вас на сайті чи в додатку? Наприклад, чи знають вони, що на основі цих даних персоналізуватимуться оголошення (слід особливо підкреслити термін "персоналізація реклами" на першому рівні вашого способу надання згоди або банера), а файли cookie й рекламні ідентифікатори мобільних пристроїв можуть застосовуватися для підбору персоналізованих і неперсоналізованих оголошень?
   
3. Підтвердження статусу згоди користувача. Чи мали користувачі змогу підтвердити свою згоду, наприклад, натиснувши кнопку "OK" або "Прийняти"?
   
4. Розкриття інформації про передавання даних. Чи вказали ви, які треті особи (зокрема Google) також матимуть доступ до даних користувачів, які ви збираєте на своєму сайті чи в додатку?
   
5. Посилання на сайт Google про відповідальність щодо даних компаній. Чи повідомили ви користувачів, як Google використовуватиме їхні персональні дані після того, як вони нададуть згоду на збирання даних для вашого сайту чи додатка (зокрема, чи додали ви посилання на сайт Google про відповідальність щодо даних компаній)? Посилання на цей сайт можна додати безпосередньо в запиті на згоду. Крім того, його можна розмістити на сторінці політики конфіденційності (якщо посилання добре видно вгорі цієї сторінки), у розділі з додатковою інформацією або в будь-якому схожому розділі в запиті на згоду. Чи повідомили ви користувачів, як їхні персональні дані використовуватимуть треті особи?
   
6. Правильне налаштування сигналу про згоду. Для рекламодавців із користувачами в ЄЕЗ: чи надсилаєте ви перевірені сигнали про згоду користувача, що відображають налаштування кінцевих користувачів? Ви правильно впровадили останню версію режиму згоди або фреймворку TCF?
   
7. Згода на встановлення файлів cookie. Чи переконалися ви, що файли cookie не встановлюються без згоди користувача, у ситуаціях, коли ця згода потрібна? Зверніть увагу, що для показу неперсоналізованої реклами на вебсайтах усе одно потрібні файли cookie.
   
8. Правильне налаштування платформи для керування згодою. Для видавців: чи впровадили ви сертифіковану компанією Google платформу для керування згодою відповідно до вимог TCF? Якщо вам потрібно запитувати додаткову згоду, переконайтеся, що ви робите це правильно.

Докладніше про те, як виправити проблеми, виявлені під час перевірки відповідності Правилам щодо отримання згоди користувачів із ЄС для рекламодавців, читайте тут, а для видавців – тут.

Якщо ви видавець і розміщуєте лише рекламу з обмеженим показом, Google вимикає не лише функції збирання, передавання й використання персональних даних для персоналізації реклами, але й функції, які вимагають використання локального ідентифікатора, як-от обмеження частоти показів. Тільки коли ввімкнено автоматизований обмежений показ реклами, для захисту від шахрайства й зловживань використовуватимуться файли cookie, призначені лише для виявлення недійсного трафіку, і локальне сховище. Однак засоби розміщення оголошень (як-от теги JavaScript і/або код пакета SDK) усе одно кешуватимуться або встановлюватимуться для належної роботи вебпереглядачів і операційних систем мобільних пристроїв. Ви повинні самостійно визначити, яких правил вам потрібно дотримуватися відповідно до місцевого законодавства у вашій юрисдикції, зокрема чи потрібно вам сповіщати користувачів і отримувати їхню згоду. Докладнішу інформацію про цю функцію можна знайти в довідкових центрах Ad Manager, AdMob і Adsense.

Згідно з цими правилами, ви повинні надати кінцевим користувачам інформацію про те, як відкликати згоду. Відкликати згоду має бути так само легко, як надати її. Кінцеві користувачі мають щонайменше отримати достатню інформацію про те, де знайти функції, за допомогою яких можна контролювати, яку рекламу вони бачать на вашому сайті чи в додатку, щоб вони могли змінити свій вибір щодо надання згоди.

Окрім продуктів для реклами й аналізу, ці правила також стосуються інших продуктів Google, зокрема вони згадуються в Умовах використання платформи Карт Google, Умовах використання YouTube API, Умовах використання reCAPTCHA та Blogger.

Персоналізована реклама дає змогу покращити взаємодію як для користувачів (наприклад, через показ доречніших оголошень), так і для рекламодавців і видавців. У Google персоналізованою вважається та реклама, яка показується відповідно до історичних даних або попередньо зібраної інформації про пошукові запити користувача, його дії, відвідані сайти й використані додатки. Також до такої інформації належать демографічні дані й відомості про місцезнаходження користувача. Відповідно до цих даних застосовуються, наприклад, демографічне націлювання, націлювання за категоріями інтересів, ремаркетинг, списки цільових електронних адрес, а також списки цільових аудиторій, додані в Google Marketing Platform. Докладнішу інформацію можна знайти тут.

Якщо ми виявимо невідповідність цим правилам, пріоритетним завданням буде допомогти нашим партнерам відновити відповідність вимогам. Наша команда аудиторів надасть детальну інформацію про невідповідність і заходи, яких необхідно вжити, щоб ваш сайт або додаток відповідав правилам.

Щоб переконатися, що банер налаштовано правильно відповідно до вибору користувача, ми заохочуємо рекламодавців співпрацювати зі своєю сторонньою платформою керування згодою або переглянути відповідну документацію стосовно керування налаштуваннями згоди й переконатися в належній інтеграції з режимом згоди.

Видавцям рекомендуємо спробувати сертифіковану Google платформи керування згодою і скористатися цим засобом вирішення проблем, якщо потрібно усунути невідповідність вимогам.

Персоналізована й неперсоналізована реклама, яка розміщується на платформі Google, використовує файли cookie або ідентифікатори мобільних пристроїв для обмеження частоти показів і створення зведених звітів. Згідно з цими правилами, у країнах, де вимагається згода користувачів на використання файлів cookie або ідентифікаторів мобільних пристроїв, ви повинні отримати таку згоду.

Якщо ви застосовуєте на своїх сторінках чи в додатках теги для рекламних продуктів, таких як Google Ads або Google Marketing Platform, ви маєте отримати згоду користувачів із ЄЕЗ, Великої Британії і Швейцарії. Згідно з нашими правилами, згода користувача потрібна для файлів cookie, ідентифікаторів мобільних пристроїв або інших локальних сховищ, якщо це вимагається законом, а також для обробки особистих даних для персоналізованої реклами (наприклад, якщо у вас на сторінках чи в додатках установлено теги ремаркетингу).

У такому разі радимо ознайомитися з наведеним вище контрольним списком, щоб уникнути поширених помилок у реалізації способу/банера надання згоди й забезпечити його відповідність цим правилам.

Політика Google не визначає, які варіанти вибору потрібно пропонувати користувачам, оскільки текст вашого запиту на згоду залежатиме від того, як ви використовуєте дані (наприклад, якщо ви застосовуєте дані для власних цілей або підтримки інших сервісів, з якими працюєте).

У випадку видавців, так. Видавці Google повинні перейти на сертифіковану Google платформу керування згодою, щоб показувати персоналізовану рекламу користувачам у ЄЕЗ, Великій Британії і Швейцарії.

Рекламні партнери Google, що показують оголошення користувачам із ЄЕЗ, повинні надсилати в Google сигнали, що відображають налаштування кінцевих користувачів, за допомогою режиму згоди чи фреймворку TCF. Рекламодавці можуть створити й налаштувати банери для надання згоди за допомогою CMP Partner Program. Зауважте, що цей список містить не всі доступні платформи керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою керування згодою від CMP Partners Program.

Для рекламних партнерів ми розробили програму CMP Partner Program, щоб допомогти рекламодавцям створювати й налаштовувати банери для надання згоди. Зверніть увагу, що цей список доступних платформ керування згодою не є вичерпним. Використання перелічених платформ не гарантує дотримання Правил Google щодо отримання згоди користувачів із ЄС, оскільки відповідність вимогам залежить від використання платформи керування згодою і конкретного запиту на отримання згоди, який бачать користувачі (щоб дізнатися більше, вище перегляньте пункт "Контрольний список для партнерів, що допоможе уникнути помилок під час застосування механізму отримання згоди користувачів").

Видавці-партнери повинні перейти на сертифіковану Google платформу для керування згодою, інтегровану з фреймворком Transparency and Consent Framework (TCF) від IAB Europe, щоб показувати персоналізовану рекламу користувачам у ЄЕЗ, Великій Британії і Швейцарії.

Багато рекламодавців і видавців, які використовують рекламні системи Google, розміщують оголошення на сторонніх ресурсах, а також застосовують їх для вимірювання ефективності своїх рекламних кампаній на вебсайтах чи в додатках. Згідно з нашими правилами, ви повинні чітко вказати кожну особу, яка може збирати, отримувати та/або обробляти персональні дані кінцевих користувачів, коли ви користуєтеся продуктами Google.

Так, якщо ви використовуєте продукти Google, що регулюються цими правилами. Ці правила поширюються лише на кінцевих користувачів із ЄЕЗ, Великої Британії і Швейцарії.

Ці правила поширюються на користувачів у ЄЕЗ, Великій Британії і Швейцарії. Ці правила не застосовуються, якщо сервіси Google було вилучено з вебсайту або додатка для користувачів у цих країнах.

Google дотримується вимог регламенту захисту даних (GDPR), зокрема в межах, установлених законодавством Великої Британії, у всіх сервісах, які ми надаємо в Європі. Наші Правила щодо отримання згоди користувачів із ЄС відображають це зобов’язання й вказівки європейських органів захисту даних. Хоч наші партнери й можуть тлумачити закони по-різному, ми вимагаємо від них обов'язково дотримуватися цих правил. Ми продовжимо оцінювати цей закон і галузеві стандарти й відповідно оновлюватимемо наші рекомендації та вимоги.

Google використовує файли cookie й різноманітні рекламні ідентифікатори для вимірювання ефективності реклами. Згідно із законом "Про конфіденційність і електронні засоби зв’язку", для цього потрібно отримати згоду користувачів із країн, де це вимагається. Тому наші правила передбачають отримання згоди на персоналізацію і вимірювання ефективності реклами, якщо це вимагається законодавством.

Перш ніж ми додамо теги рекламодавця на ваші сторінки чи в додатки, ви маєте отримати згоду на персоналізовану рекламу й використання файлів cookie або інших локальних сховищ, якщо це вимагається законом.

Якщо рекламодавці використовують сторонні технології відстеження кліків (коли клік оголошення спрямовує користувача на цільову сторінку рекламодавця через стороннього постачальника послуг аналізу), вони мають дотримуватися вимог відповідних законів. Елементи керування постачальниками Google для видавців не призначені для технологій відстеження кліків.

Відповідно до наших правил, клієнти повинні зберігати записи про згоду користувачів, у яких міститься принаймні її текст і варіанти вибору, запропоновані користувачам, а також дата й час отримання згоди.

Чому платформу керування згодою мого видавця було визнано такою, що не відповідає вимогам? Я використовую платформу, сертифіковану Бюро інтерактивної реклами (IAB).

Перехід на одну із сертифікованих платформ керування згодою не гарантує відповідність Правилам Google щодо отримання згоди користувачів із ЄС, оскільки ми оцінюємо реалізацію платформи керування згодою і конкретний запит на отримання згоди, який бачать користувачі (щоб дізнатися більше, вище перегляньте пункт "Контрольний список для партнерів, що допоможе уникнути помилок під час реалізації механізму отримання згоди користувачів").

Чому мій сайт або додаток було визнано таким, що не відповідає вимогам? Я користуюся платформою керування згодою для партнерів Google.

Рекламні партнери можуть скористатися програмою CMP Partner Program. Ми створили її, щоб допомагати рекламодавцям розробляти й налаштовувати банери для надання згоди на сайтах і в додатках та надавати їм підтримку під час інтеграції режиму згоди. Перехід на одну з перелічених платформ не гарантує відповідність Правилам Google щодо отримання згоди користувачів із ЄС, оскільки ми оцінюємо реалізацію платформи керування згодою і конкретний запит на отримання згоди, який бачать користувачі (щоб дізнатися більше, вище перегляньте пункт "Контрольний список для партнерів, що допоможе уникнути помилок під час реалізації механізму отримання згоди користувачів").

Чи потрібно мені дотримуватися цих правил, якщо я користуюся продуктами, які використовують Privacy Sandbox API?

Так. Працюючи з Privacy Sandbox API (зокрема Topics, Protected Audience і Attribution Reporting), ви матимете доступ до локального сховища. Оскільки закони про конфіденційність в Інтернеті не розрізняють персональні й неперсональні дані, вам потрібно буде отримати згоду незалежно від вашої оцінки характеру даних. Відповідно до Правил щодо отримання згоди користувачів із ЄС, у таких випадках вам потрібно отримати дійсну згоду користувачів за тією самою процедурою, яка зараз застосовується для дозволів на персоналізацію реклами й використання другорядного локального сховища. Докладніше про Privacy Sandbox.

Ми не вимагаємо від рекламодавців надсилати сигнал про підтвердження згоди користувачів у Великій Британії і Швейцарії (за допомогою режиму згоди або фреймворку TCF). Примітка: вимога надсилати сигнал про підтвердження згоди застосовується до рекламовадців, що показують оголошення кінцевим користувачам у Європейській економічній зоні (ЄЕЗ). Радимо скористатися партнерською платформою для керування згодою від Google, якщо вам потрібна допомога з реалізацією. Зауважте, що цей список містить не всі доступні платформи керування згодою, а Google не вимагає, щоб рекламодавці користувалися платформою керування згодою від CMP Partners Program.

Правила Google щодо отримання згоди користувачів із ЄС уже довгий час вимагають, щоб клієнти, які користуються нашими рекламними продуктами, отримували юридично дійсну згоду на використання файлів cookie або інших засобів локального зберігання даних, якщо це передбачено законодавством. Зверніть увагу, що це зобов’язання не обмежується файлами cookie й ідентифікаторами мобільних пристроїв. Згідно з нашим розумінням відповідного законодавства, у ЄЕЗ і Великій Британії це зобов’язання поширюватиметься, зокрема, на створення цифрових відбитків, які використовуються для персоналізації реклами або вимірювання її ефективності.

Радимо проконсультуватися з юридичним відділом, щоб з’ясувати, яких зобов’язань вам необхідно дотримуватися відповідно до чинного законодавства про захист даних і нормативної документації про конфіденційність в Інтернеті, а також Правил щодо отримання згоди користувачів із ЄС, якщо ви використовуєте локальне сховище. Якщо ви надсилаєте сигнали про згоду користувачів у Google відповідно до фреймворку Transparency and Consent Framework (TCF), щоб, перегляньте ці ресурси, щоб дізнатися, як TCF може допомогти вам дотримуватися вимог законодавства.

Оригінальну версію правил Google щодо отримання згоди користувачів із ЄС оновлено 25 травня 2018 року. Щоб відобразити розвиток відносин між Великою Британією і ЄС, ми внесли незначні зміни 31 жовтня 2019 року.

Після змін, запроваджених у липні 2024 року, дія Правил щодо отримання згоди користувачів із ЄС також поширюється на Швейцарію.

Наразі подальші зміни в правилах не передбачаються. Однак ми продовжимо оцінювати цей закон і галузеві стандарти й відповідно оновлюватимемо наші рекомендації та вимоги.