Polityka w zakresie zgody użytkownika z UE – pomoc

Po co są te zasady i gdzie obowiązują?

Polityka ta odzwierciedla niektóre wymagania nakładane przez 2 europejskie akty prawne dotyczące prywatności: Ogólne rozporządzenie o ochronie danych (RODO) oraz dyrektywę o prywatności i łączności elektronicznej, a także odpowiadające im przepisy obowiązujące w Wielkiej Brytanii. Dyrektywy o prywatności i łączności elektronicznej nie należy mylić z proponowanym rozporządzeniem w sprawie prywatności i łączności elektronicznej, które jest obecnie w fazie projektu. Przepisy te obowiązują użytkowników w Europejskim Obszarze Gospodarczym (EOG) oraz w Wielkiej Brytanii. Do EOG należą państwa członkowskie UE oraz Islandia, Liechtenstein i Norwegia.

Pierwotna wersja tej polityki została opublikowana w 2015 roku i zaktualizowana 25 maja 2018 roku po wprowadzeniu Ogólnego rozporządzenia o ochronie danych (RODO).

Jeśli jestem wydawcą albo reklamodawcą z siedzibą w Europejskim Obszarze Gospodarczym lub w Wielkiej Brytanii, to czy muszę przestrzegać tych zasad wobec wszystkich użytkowników?

Polityka Google w zakresie zgody użytkownika z UE dotyczy tylko użytkowników z Europejskiego Obszaru Gospodarczego i Wielkiej Brytanii.

Jak Google dba o zapewnienie zgodności z tymi zasadami?

Od momentu wprowadzenia tej polityki w 2015 roku nieustannie sprawdzamy witryny i aplikacje, które korzystają z naszych usług reklamowych. Weryfikatorzy odwiedzają witryny i aplikacje, zachowując się jak konsumenci. Zwracamy uwagę na podawane informacje i uzyskiwane zgody.

Naszym priorytetem w egzekwowaniu zasad zawsze będzie współpraca z partnerami. Jeśli stwierdzimy, że któryś z naszych partnerów ich nie przestrzega, najpierw skontaktujemy się z nim, aby poinformować o problemie, a następnie spróbujemy wspólnie wypracować rozwiązanie.

Od 2015 roku zawsze zapewniamy odpowiednią ilość czasu na wprowadzenie wymaganych zmian w witrynach i aplikacjach. Jeśli jednak partner nie współpracuje lub nie wykazuje woli rozwiązania problemu w rozsądnym czasie, możemy podjąć działania dotyczące jego konta (lub kont), w tym je zawiesić.

W ramach naszych działań nie tylko sprawdzamy witryny i aplikacje. W maju 2023 r. ogłosiliśmy, że od 16 stycznia 2024 r. wydawcy muszą korzystać z certyfikowanej platformy CMP, jeśli wyświetlają reklamy użytkownikom z Europejskiego Obszaru Gospodarczego lub Wielkiej Brytanii, aby zachować zgodność z tymi zasadami. Nadal będziemy sprawdzać witryny i aplikacje wydawców, w przypadku których zastosowano certyfikowaną platformę CMP.

Jakie informacje muszę ujawnić użytkownikom?

Zgodnie z zasadami musisz wskazać każdy podmiot, który otrzymuje dane osobowe użytkowników w wyniku korzystania z usług Google. Musisz też przekazywać użytkownikom wyraźne i łatwo dostępne informacje o sposobie wykorzystywania ich danych osobowych. Opublikowaliśmy informacje o tym, jak Google używa tych danych. Zalecamy podanie linku do tej strony – pozwoli to spełnić obowiązek informacyjny w odniesieniu do korzystania z danych przez Google. Prosimy też innych dostawców technologii reklamowych, z którymi usługi Google są zintegrowane, o udostępnienie informacji o tym, jak wykorzystują dane osobowe.

Lista kontrolna pozwalająca uniknąć najczęstszych błędów przy wdrażaniu mechanizmu udzielania zgody na wykorzystanie danych

Są to jedynie przykłady i nie stanowią one wyczerpującej listy. Jeśli jesteś wydawcą i udało Ci się zastosować oraz prawidłowo wdrożyć certyfikowaną platformę CMP, punkty z tej listy kontrolnej zostały już przez Ciebie wypełnione. Zawsze sprawdzaj, czy wdrożone przez Ciebie rozwiązanie spełnia wszystkie wymagania zawarte w zasadach Google.

  • Czy wyjaśniasz, w jaki sposób będą wykorzystywane dane osobowe, gdy użytkownicy wyrażą zgodę na ich zbieranie w Twojej witrynie lub aplikacji? Na przykład czy użytkownicy mają świadomość, że ich dane osobowe będą używane do personalizacji reklam i że pliki cookie mogą być używane do reklam spersonalizowanych i niespersonalizowanych?
  • Czy masz pewność, że powiadomienie z prośbą o zgodę jest wyświetlane u użytkowników ze wszystkich krajów Europejskiego Obszaru Gospodarczego, którzy korzystają z Twojej witryny lub aplikacji?
  • Czy użytkownicy mają możliwość rzeczywistego wyrażenia zgody, na przykład przez kliknięcie przycisku „OK” lub „Zgadzam się”?
  • Czy ujawniasz, które osoby trzecie (w tym Google) będą miały dostęp do danych użytkowników gromadzonych przez Ciebie w witrynie lub aplikacji?
  • Czy informujesz użytkowników, jak Google będzie używać ich danych osobowych, gdy wyrażą zgodę w Twojej witrynie lub aplikacji? Możesz na przykład umieścić link do witryny Google dotyczącej odpowiedzialności za firmowe bazy danych. To samo dotyczy sposobu używania danych osobowych przez inne podmioty.
  • Jeśli zarabiasz tylko na reklamach niespersonalizowanych – czy uzyskujesz zgodę użytkowników na używanie plików cookie lub innych sposobów lokalnego przechowywania informacji (np. identyfikatorów urządzeń mobilnych), gdy wymaga tego prawo? Przypominamy, że reklamy niespersonalizowane, które wyświetlamy w witrynach, również wymagają plików cookie do prawidłowego funkcjonowania.
  • Jeśli zarabiasz na wyświetleniach tylko z zastosowaniem ograniczonego wyświetlania reklam, gromadzenie, udostępnianie i wykorzystywanie danych osobowych do personalizacji reklam jest wyłączone, a oprócz tego Google wyłącza funkcje wymagające użycia lokalnego identyfikatora, np. ograniczenie liczby wyświetleń. Tylko po włączeniu ograniczonego wyświetlania reklam automatycznych pliki cookie i pamięć lokalna, które służą wyłącznie do wykrywania nieprawidłowego ruchu, będą używane na potrzeby ochrony przed oszustwami i nadużyciami. Technologie wyświetlania reklam (nasze tagi JavaScript lub kod pakietu SDK) są przechowywane w pamięci podręcznej lub instalowane w ramach standardowego działania przeglądarek użytkowników i systemów operacyjnych na urządzenia mobilne. Zalecamy samodzielne określenie swoich zobowiązań w zakresie zgodności, dotyczących m.in. wymaganego powiadomienia i zgody, na podstawie przepisów obowiązujących w danej jurysdykcji. Więcej szczegółowych informacji o tej funkcji znajdziesz w Centrum pomocy Ad Managera, Centrum pomocy AdMobCentrum pomocy AdSense.
  • Jeśli korzystasz z platformy do zarządzania zgodą użytkowników certyfikowanej przez IAB – czy „usługi reklamowe Google” są uwzględnione w roli dostawcy?
  • Czy masz pewność, że w przypadku braku zgody żadne pliki cookie Google Ads nie są ustawione i domyślny stan reklam niespersonalizowanych nie został zmieniony?

Co w sytuacji, gdy nie chcę, aby dane osobowe użytkowników były wykorzystywane do personalizacji reklam?

Możesz wybrać, czy chcesz wykorzystywać dane osobowe użytkowników na potrzeby personalizacji reklam. Przypominamy, że reklamy niespersonalizowane, które wyświetlamy w witrynach lub aplikacjach, również wymagają plików cookie lub identyfikatorów mobilnych do prawidłowego funkcjonowania. Musisz uzyskać zgodę na używanie plików cookie lub identyfikatorów mobilnych, gdy wymaga tego prawo.

W przypadku wyświetleń Ad Managera, AdSenseAdMob możesz też zdecydować się zarabiać na ograniczonym wyświetlaniu reklam. Zalecamy samodzielne określenie swoich zobowiązań w zakresie zgodności, dotyczących m.in. wymaganego powiadomienia i zgody, na podstawie przepisów obowiązujących w danej jurysdykcji na potrzeby reklam niespersonalizowanych oraz ograniczonego wyświetlania reklam.

Jakie instrukcje cofnięcia zgody mam przekazać użytkownikom?

Zgodnie z naszymi zasadami musisz poinformować użytkowników, jak mogą wycofać zgodę na personalizację reklam. Cofnięcie zgody musi być dla użytkownika równie łatwe, jak jej wyrażenie. Użytkownicy muszą przynajmniej uzyskać informacje, które pozwolą im łatwo skorzystać z ustawień reklam w Twojej witrynie lub aplikacji, aby zmienić swoje preferencje dotyczące zgody.

W jakich innych usługach Google obowiązują te zasady?

Zasady te obowiązują w usługach reklamowych i pomiarowych, ale odwołania do nich znajdziesz też w Warunkach korzystania z Google Maps Platform, Warunkach korzystania z interfejsów API YouTube, Warunkach korzystania z reCAPTCHA oraz w Bloggerze.

Jakie rodzaje reklam są uważane za „spersonalizowane” w rozumieniu tych zasad?

Reklamy spersonalizowane (dawniej: reklamy oparte na zainteresowaniach) to zaawansowane narzędzie, które pozwala lepiej dopasować reklamy do użytkowników i poprawia ROI reklamodawców. Nasze usługi dla wydawców – zależnie od tego, jak są wykorzystywane – mogą określać zainteresowania użytkowników na podstawie odwiedzanych przez nich witryn lub używanych aplikacji. Reklamodawcy mogą kierować kampanie z uwzględnieniem tych zainteresowań, co przynosi korzyści zarówno im, jak i użytkownikom. Więcej informacji znajdziesz w naszych zasadach dotyczących reklam spersonalizowanych dla reklamodawców.

Google uważa reklamy za spersonalizowane, jeśli na ich wybór wpływają wcześniej zebrane lub historyczne dane, takie jak wcześniejsze zapytania czy działania użytkownika, jego wizyty w witrynach lub korzystanie z aplikacji, dane demograficzne oraz lokalizacja. Chodzi na przykład o kierowanie demograficzne, kierowanie na kategorie zainteresowań, remarketing, kierowanie na listy klientów czy na listy odbiorców przesyłane w Google Marketing Platform.

W ramach kontroli mój baner z prośbą o zgodę na przetwarzanie danych został oznaczony jako naruszający zasady. Jak najlepiej rozwiązać tę kwestię?

Jeżeli wykryjemy niezgodność z tymi zasadami, naszym priorytetem będzie wsparcie partnerów w powrocie do ich przestrzegania. Nasz zespół przeprowadzający kontrolę przekaże szczegółowe informacje na ten temat oraz informacje o krokach, które należy podjąć, aby witryna/aplikacja była zgodna z zasadami.

Jeśli jako reklamodawca chcesz mieć pewność, że baner jest odpowiednio skonfigurowany i uwzględnia wybory użytkownika, współpracuj z zewnętrznym dostawcą platformy CMP lub zapoznaj się z dokumentacją na temat zarządzania ustawieniami dotyczącymi zgody i zadbaj o odpowiednią integrację z trybem uzyskiwania zgody.

Dlaczego zasady wymagają zgody na używanie plików cookie, nawet jeśli są one używane w celach innych niż personalizacja – na przykład do pomiaru skuteczności reklam?

Pliki cookie i identyfikatory mobilne są używane do obsługi reklam spersonalizowanych i niespersonalizowanych wyświetlanych przez Google. Pozwalają one zapobiegać oszustwom i nadużyciom, ograniczać liczbę wyświetleń i tworzyć zbiorcze raporty o reklamach. Nasze zasady wymagają, aby zgody na używanie plików cookie lub identyfikatorów mobilnych udzielali użytkownicy z krajów, w których nakazuje to prawo.

Co mam zrobić, gdy jestem reklamodawcą i używam usług Google w swojej witrynie?

Jeśli na swoich stronach używasz tagów usług reklamowych takich jak Google Ads czy Google Marketing Platform, to aby spełnić wymogi polityki Google w zakresie zgody użytkownika z UE, musisz uzyskać zgodę użytkowników z Europejskiego Obszaru Gospodarczego i Wielkiej Brytanii. Nasze zasady wymagają uzyskania zgody na stosowanie plików cookie na potrzeby pomiarów oraz zgody na wykorzystywanie danych osobowych na potrzeby reklam spersonalizowanych – na przykład wtedy, gdy na stronach masz tagi remarketingowe.

Co powinno zawierać powiadomienie z prośbą o zgodę?

W zasadach Google nie narzucamy deweloperom, jakie opcje powinni udostępniać użytkownikom, ponieważ tekst powiadomień z prośbą o zgodę zależy od sposobu, w jaki dane są wykorzystywane (np. czy wykorzystujesz dane do własnych celów czy na potrzeby innych usług, z którymi współpracujesz).

Czy Google wymaga określonej formy wiadomości z prośbą o zgodę na wykorzystywanie danych w przypadku aplikacji?

Tak, w maju 2023 r. ogłosiliśmy, że od 16 stycznia 2024 r. wydawcy muszą korzystać z certyfikowanej platformy CMP, jeśli wyświetlają reklamy użytkownikom z Europejskiego Obszaru Gospodarczego lub Wielkiej Brytanii. Jeśli Twojej platformy CMP nie ma na tej liście, wspólnie z jej dostawcą postaraj się o certyfikację.

W przypadku partnerów reklamowych stworzono program CMP Partner Program, aby pomóc reklamodawcom w budowaniu i konfigurowaniu banerów z prośbą o zgodę na przetwarzanie danych. Uwaga: ta lista nie zawiera wszystkich dostępnych platform CMP.

W jaki sposób partnerzy powinni wybrać dostawcę platformy do zarządzania zgodą użytkowników, którego rozwiązanie chcą wdrożyć?

W przypadku partnerów reklamowych stworzono program CMP Partner Program, aby pomóc reklamodawcom w budowaniu i konfigurowaniu banerów z prośbą o zgodę na przetwarzanie danych. Uwaga: ta lista nie zawiera wszystkich dostępnych platform CMP. Zastosowanie którejkolwiek z tych platform nie gwarantuje zgodności z polityką Google w zakresie zgody użytkownika z UE, ponieważ zależy to od wdrożenia platformy CMP i wyświetlanej użytkownikom wiadomości z prośbą o zgodę na wykorzystanie danych (więcej wskazówek w tej kwestii znajdziesz powyżej, w sekcji „Lista kontrolna dla partnerów pozwalająca uniknąć najczęstszych błędów przy wdrażaniu mechanizmu udzielania zgody na wykorzystanie danych”).

Jakie inne podmioty gromadzą dane osobowe użytkowników i w jaki sposób je wskazać?

Wielu reklamodawców i wydawców, którzy używają systemów reklamowych Google, korzysta z rozwiązań innych firm do wyświetlania reklam i pomiaru skuteczności kampanii reklamowych w witrynach i aplikacjach. Zgodnie z zasadami musisz wyraźnie wskazać każdy podmiot, który może gromadzić, otrzymywać lub wykorzystywać dane osobowe użytkowników w związku z używaniem przez Ciebie usług Google. W usługach AdSense, Google Ad Manager i AdMob znajdziesz opcje umożliwiające Ci wybranie dostawców, którzy mają prawo do gromadzenia danych w Twojej witrynie lub aplikacji.

Moja witryna nie jest hostowana w Europie. Czy te zasady mnie dotyczą?

Tak, jeśli używasz usług Google objętych tymi zasadami, a z Twoich usług korzystają użytkownicy z Europejskiego Obszaru Gospodarczego lub Wielkiej Brytanii.

Jestem wydawcą, ale żadna z moich kampanii nie jest kierowana na Europejski Obszar Gospodarczy i Wielką Brytanię. Czy wymóg uzyskania zgody mnie dotyczy?

Nie musisz uzyskiwać zgody, jeśli usługi Google zostały usunięte z Twojej witryny w przypadku użytkowników z tych krajów. Jeśli jednak nadal są używane, zgoda jest wymagana, nawet gdy nie wyświetlasz reklam. Jest tak, ponieważ Google AdMob, AdSense i Google Ad Manager używają plików cookie, a nasze zasady nadal wymagają zgody na stosowanie tych plików na potrzeby pomiarów. Google Ad Manager gromadzi również dane osobowe, chyba że żądanie dotyczy reklamy niespersonalizowanej oraz jest to uwzględnione w ustawieniach zgody użytkownika z UE na wykorzystywanie danych lub w samym żądaniu.

Nasza organizacja ma inne spojrzenie na przepisy prawa i chciałaby zastosować odmienne podejście do kwestii ujawniania informacji oraz wyrażania zgody. Czy możemy to zrobić?

Firma Google jest zobowiązana do przestrzegania RODO, również w zakresie odpowiednika tego rozporządzenia w prawie Wielkiej Brytanii, we wszystkich usługach oferowanych w Europie. Nasza polityka w zakresie zgody użytkownika z UE odzwierciedla to zobowiązanie i wytyczne europejskich organów ochrony danych. Będziemy oceniać przepisy prawa oraz praktyki branżowe i odpowiednio aktualizować nasze zalecenia oraz wymagania.

Dlaczego potrzebujemy zgody na pomiar skuteczności reklam – czy nie jest to nasz uzasadniony interes?

Do obsługi pomiaru skuteczności reklam Google wykorzystuje pliki cookie i różne identyfikatory reklam. Według obowiązujących przepisów dotyczących e-prywatności konieczne jest uzyskanie zgody na tego rodzaju wykorzystywanie danych od użytkowników z krajów, w których wymaga tego prawo. Dlatego zgodnie z naszymi zasadami należy otrzymać zgodę na personalizację reklam i pomiar ich skuteczności. Obejmuje to przypadki użycia pomiarów offline (np. sprzedaży w sklepie).

Czy potrzebuję zgody przed uruchomieniem tagów, czy mogę ją uzyskać później?

Zgodę na reklamy spersonalizowane należy uzyskać przed uruchomieniem tagów Google na stronach.

Co z korzystaniem z tagów śledzenia kliknięć?

Nawet jeśli reklamodawcy używają technologii śledzenia kliknięć opracowanych przez inne firmy, muszą przestrzegać obowiązującego prawa. Chodzi o technologie, dzięki którym po kliknięciu reklamy przeglądarka jest przekierowywana do innego dostawcy rozwiązań pomiarowych, a dopiero później na stronę docelową reklamodawcy. Dostarczane przez Google opcje wyboru dostawców nie są przeznaczone do obsługi technologii śledzenia kliknięć.

Jakie dane muszę przechowywać?

Nasze zasady wymagają, aby klienci przechowywali zapisy dotyczące wyrażenia zgody. Muszą one zawierać przynajmniej tekst i możliwości przedstawione użytkownikom w ramach mechanizmu uzyskiwania zgody oraz datę i godzinę wyrażenia zgody przez użytkownika.

Dlaczego moja platforma CMP wydawcy została uznana za niezgodną? Korzystam z certyfikowanej platformy CMP, która ma też certyfikat IAB.

Zastosowanie certyfikowanej platformy CMP nie gwarantuje zgodności z polityką Google w zakresie zgody użytkownika z UE, ponieważ zależy to od wdrożenia platformy CMP i wyświetlanej użytkownikom wiadomości z prośbą o zgodę na wykorzystanie danych (więcej wskazówek w tej kwestii znajdziesz powyżej, w sekcji „Lista kontrolna dla partnerów pozwalająca uniknąć najczęstszych błędów przy wdrażaniu mechanizmu udzielania zgody na wykorzystanie danych”).

Czy muszę przestrzegać tych zasad, jeśli jestem użytkownikiem usług, które korzystają z interfejsów API Piaskownicy prywatności?

Tak. Możliwe, że w ramach korzystania z interfejsów API Piaskownicy prywatności (Topics, Protected AudienceAttribution Reporting) wykorzystujesz dane osobowe użytkowników do personalizacji reklam lub uzyskiwania dostępu do pamięci lokalnej. Zgodnie z polityką w zakresie zgody użytkownika z UE w takich przypadkach należy uzyskać prawnie wiążącą zgodę użytkownika – tak samo jak ma to miejsce obecnie w odniesieniu do personalizacji reklam i korzystania z opcjonalnych sposobów lokalnego przechowywania informacji na terenie Europejskiego Obszaru Gospodarczego i Wielkiej Brytanii. Dowiedz się więcej o Piaskownicy prywatności.

Aktualizacje tych zasad

Pierwotna Polityka Google w zakresie zgody użytkownika z UE została zaktualizowana 25 maja 2018 roku. 31 października 2019 roku wprowadziliśmy niewielkie poprawki, uwzględniając zmiany w relacjach Wielkiej Brytanii z Unią Europejską. Na razie nie przewidujemy dalszych zmian tej polityki, ale – jak zaznaczyliśmy wyżej – będziemy oceniać przepisy prawa oraz praktyki branżowe i odpowiednio aktualizować nasze zalecenia i wymagania.