Po co są te zasady i gdzie obowiązują?
Polityka ta odzwierciedla niektóre wymagania nakładane przez 2 europejskie akty prawne dotyczące prywatności: Ogólne rozporządzenie o ochronie danych (RODO) oraz dyrektywę o prywatności i łączności elektronicznej, a także odpowiadające im przepisy obowiązujące w Wielkiej Brytanii. Ta polityka dotyczy użytkowników z Europejskiego Obszaru Gospodarczego, Szwajcarii i Wielkiej Brytanii. Europejski Obszar Gospodarczy składa się z krajów członkowskich UE oraz Islandii, Liechtensteinu i Norwegii.
Pierwotna wersja tej polityki została opublikowana w 2015 roku i zaktualizowana 25 maja 2018 roku po wprowadzeniu Ogólnego rozporządzenia o ochronie danych (RODO). Ostatnia aktualizacja została przeprowadzona 31 lipca 2024 roku w celu objęcia tą polityką użytkowników mieszkających w Szwajcarii.
Jeśli jestem wydawcą albo reklamodawcą z siedzibą w Europejskim Obszarze Gospodarczym, Szwajcarii lub Wielkiej Brytanii, to czy muszę przestrzegać tych zasad wobec wszystkich użytkowników?
Polityka Google w zakresie zgody użytkownika z UE dotyczy tylko użytkowników z Europejskiego Obszaru Gospodarczego, Szwajcarii i Wielkiej Brytanii.
Jak Google dba o zapewnienie zgodności z tymi zasadami?
Od momentu wprowadzenia tej polityki w 2015 roku przeprowadzamy okresowe kontrole witryn i aplikacji, które korzystają z naszych usług reklamowych. Nasi weryfikatorzy odwiedzają witryny i uruchamiają aplikacje tak samo jak zwykli użytkownicy i sprawdzają udostępnione informacje oraz uzyskane zgody.
Naszym priorytetem w egzekwowaniu zasad zawsze będzie współpraca z partnerami. Jeśli stwierdzimy, że któryś z naszych partnerów ich nie przestrzega, najpierw skontaktujemy się z nim, aby poinformować o problemie, a następnie spróbujemy wspólnie wypracować rozwiązanie.
Od 2015 roku zawsze zapewniamy odpowiednią ilość czasu na wprowadzenie wymaganych zmian w witrynach i aplikacjach. Jeśli jednak partner nie współpracuje lub nie wykazuje woli rozwiązania problemu w rozsądnym czasie, możemy podjąć działania dotyczące jego konta (lub kont). Możemy zawiesić funkcje dotyczące odbiorców, w tym personalizację reklam (np. remarketing) i funkcje związane z pomiarami konwersji dla reklamodawców. Dla wydawców będzie dozwolone tylko ograniczone wyświetlanie reklam i – jeśli jest włączone – zautomatyzowane ograniczone wyświetlanie reklam.
Oprócz kontrolowania witryn i aplikacji wymagamy od wydawców, aby do wyświetlania reklam użytkownikom z Europejskiego Obszaru Gospodarczego, Szwajcarii i Wielkiej Brytanii używali certyfikowanej platformy CMP. Tylko w ten sposób zachowają zgodność z tą polityką. Nadal będziemy sprawdzać witryny i aplikacje wydawców, w przypadku których zastosowano certyfikowaną platformę CMP.
Jeśli jesteś reklamodawcą korzystającym z ruchu z Europejskiego Obszaru Gospodarczego, a użytkownik z Europejskiego Obszaru Gospodarczego używa Twojej witryny lub aplikacji, to gdy mierzysz zachowanie użytkowników za pomocą tagów Google lub pakietów SDK lub korzystasz z funkcji dotyczących odbiorców lub personalizacji reklam, musisz przekazywać do Google wybory użytkownika dotyczące zgody na przetwarzanie danych (np. w trybie uzyskiwania zgody lub przy użyciu zasad TCF). Jeśli załadujesz tag Google, a nie masz wdrożonej najnowszej wersji trybu uzyskiwania zgody, zalecamy pracę z platformą CMP w ramach programu Google CMP Partner Program. To nie jest pełna lista dostępnych platform CMP, a Google nie wymaga od reklamodawców, żeby używali platformy CMP z programu partnerskiego.
Jakie informacje muszę ujawnić użytkownikom?
Zgodnie z zasadami musisz wskazać każdy podmiot, który otrzymuje dane osobowe użytkowników w wyniku korzystania z usług Google. Musisz też przekazywać użytkownikom wyraźne i łatwo dostępne informacje o sposobie wykorzystywania ich danych osobowych. Opublikowaliśmy informacje o tym, jak Google używa tych danych. Zalecamy podanie linku do tej strony – pozwoli to spełnić obowiązek informacyjny w odniesieniu do korzystania z danych przez Google. Prosimy też innych dostawców technologii reklamowych, z którymi usługi Google są zintegrowane, o udostępnienie informacji o tym, jak wykorzystują dane osobowe.
Lista kontrolna pozwalająca uniknąć najczęstszych błędów przy wdrażaniu mechanizmu udzielania zgody na wykorzystanie danych
Są to jedynie przykłady i nie stanowią one wyczerpującej listy. Zawsze sprawdzaj, czy wdrożone przez Ciebie rozwiązanie spełnia wszystkie wymagania zawarte w polityce Google.
- Czy wdrożyłeś(-aś) mechanizm udzielania zgody na wykorzystanie danych / baner z prośbą o zgodę na przetwarzanie danych? Czy w przypadku partnerów-wydawców mechanizm udzielania zgody na wykorzystanie danych uzyskał certyfikat Google?
- Czy wyjaśniasz, w jaki sposób będą wykorzystywane dane osobowe w Twojej witrynie lub aplikacji? Na przykład czy użytkownicy mają świadomość, że ich dane osobowe będą używane do personalizacji reklam i że pliki cookie oraz identyfikatory reklam mobilnych mogą być używane do reklam spersonalizowanych i niespersonalizowanych?
- Czy masz pewność, że mechanizm udzielania zgody na wykorzystanie danych / baner z prośbą o zgodę na przetwarzanie danych jest wyświetlany u użytkowników ze wszystkich krajów Europejskiego Obszaru Gospodarczego, Szwajcarii i Wielkiej Brytanii, którzy korzystają z Twojej witryny lub aplikacji?
- Czy użytkownicy mają możliwość rzeczywistego wyrażenia zgody, na przykład przez kliknięcie przycisku „OK” lub „Zgadzam się”?
- Czy ujawniasz, jakie osoby trzecie (w tym Google) będą miały dostęp do danych użytkowników zbieranych w Twojej witrynie lub aplikacji?
- Czy informujesz użytkowników, jak Google będzie używać ich danych osobowych, gdy wyrażą zgodę w Twojej witrynie lub aplikacji, wyświetlając im link do witryny Google dotyczącej odpowiedzialności za firmowe bazy danych? To samo dotyczy sposobu używania danych osobowych przez osoby trzecie.
- Czy jako reklamodawca w przypadku użytkowników z Europejskiego Obszaru Gospodarczego wysyłasz do Google zweryfikowane sygnały zgody, które odzwierciedlają preferencje użytkownika? Czy masz odpowiednio wdrożoną najnowszą wersję trybu uzyskiwania zgody lub zasad TCF?
- Czy masz pewność, że w przypadku braku zgody nie są ustawione żadne pliki cookie, na które użytkownik musi się zgodzić? Przypominamy, że reklamy niespersonalizowane, które wyświetlamy w witrynach, również wymagają plików cookie do prawidłowego funkcjonowania.
- Czy jako wydawca korzystasz z platformy CMP certyfikowanej przez Google zgodnie z wymaganiami zasad TCF? Czy w zakresie, w jakim korzystasz z Udzielenia dodatkowej zgody, zostało ono poprawnie wdrożone?
Czym jest ograniczone wyświetlanie reklam?
Jeśli jako wydawca zarabiasz tylko na ograniczonym wyświetlaniu reklam, Google wyłącza nie tylko zbieranie, udostępnianie i używanie danych osobowych na potrzeby personalizacji reklam, ale także funkcje, które wymagają używania lokalnego identyfikatora, np. ograniczenie liczby wyświetleń. Tylko po włączeniu automatyzacji ograniczonego wyświetlania reklam pliki cookie i pamięć lokalna, które służą wyłącznie do wykrywania nieprawidłowego ruchu, będą używane na potrzeby ochrony przed oszustwami i nadużyciami. Technologie wyświetlania reklam (nasze tagi JavaScript lub kod pakietu SDK) są przechowywane w pamięci podręcznej lub instalowane w ramach standardowego działania przeglądarek użytkowników i systemów operacyjnych na urządzenia mobilne. Zalecamy samodzielne określenie swoich zobowiązań w zakresie zgodności, dotyczących m.in. wymaganego powiadomienia i zgody, na podstawie przepisów obowiązujących w danej jurysdykcji. Więcej informacji o tej funkcji znajdziesz w Centrach pomocy Ad Managera, AdMob i Adsense.
Jakie instrukcje cofnięcia zgody mam przekazać użytkownikom?
Zgodnie naszą polityką musisz poinformować użytkowników, jak mogą wycofać zgodę. Cofnięcie zgody musi być dla użytkownika równie łatwe, jak jej wyrażenie. Użytkownicy muszą przynajmniej uzyskać informacje, jak skorzystać z ustawień reklam w Twojej witrynie lub aplikacji, aby łatwo zmienić preferencje dotyczące zgody.
W jakich innych usługach Google obowiązują te zasady?
Zasady te obowiązują w usługach reklamowych i pomiarowych, ale odwołania do nich znajdziesz też w Warunkach korzystania z Google Maps Platform, Warunkach korzystania z interfejsów API YouTube, Warunkach korzystania z reCAPTCHA oraz w Bloggerze.
Jakie rodzaje reklam są uważane za „spersonalizowane” w rozumieniu tych zasad?
Reklamy spersonalizowane są mniej uciążliwe dla użytkowników (tzn. lepiej dopasowane do ich zainteresowań) oraz bardziej korzystne dla reklamodawców i wydawców. Google uważa reklamy za spersonalizowane, jeśli są one wyświetlane na podstawie danych osobowych. Więcej informacji znajdziesz tutaj.
W ramach kontroli mój baner z prośbą o zgodę na przetwarzanie danych został oznaczony jako naruszający zasady. Jak najlepiej rozwiązać tę kwestię?
Jeżeli wykryjemy niezgodność z tą polityką, naszym priorytetem będzie wsparcie partnerów w powrocie do jej przestrzegania. Nasz zespół przeprowadzający kontrolę przekaże szczegółowe informacje na ten temat oraz zasugeruje kroki, jakie należy podjąć, aby zapewnić zgodność witryny lub aplikacji z zasadami.
Jeśli jako reklamodawca chcesz mieć pewność, że baner jest odpowiednio skonfigurowany i uwzględnia wybory użytkownika, współpracuj z zewnętrznym dostawcą platformy CMP lub zapoznaj się z dokumentacją na temat zarządzania ustawieniami dotyczącymi zgody i zadbaj o odpowiednią integrację z trybem uzyskiwania zgody.
Zachęcamy wydawców do korzystania z platformy CMP certyfikowanej przez Google. W razie braku zgodności z naszą polityką warto użyć tego narzędzia do rozwiązywania problemów.
Dlaczego zasady wymagają zgody na używanie plików cookie, nawet jeśli są one używane w celach innych niż personalizacja – na przykład do pomiaru skuteczności reklam?
Pliki cookie i identyfikatory mobilne są używane do obsługi reklam spersonalizowanych i niespersonalizowanych wyświetlanych przez Google. Pozwalają one ograniczać liczbę wyświetleń i tworzyć zbiorcze raporty o reklamach. Nasze zasady wymagają, aby zgody na używanie plików cookie lub identyfikatorów mobilnych udzielali użytkownicy z krajów, w których nakazuje to prawo.
Co mam zrobić, gdy jestem reklamodawcą i używam usług Google w swojej witrynie lub aplikacji?
Jeśli na swoich stronach lub w aplikacji używasz tagów usług reklamowych takich jak Google Ads czy Google Marketing Platform, to aby spełnić wymogi polityki Google w zakresie zgody użytkownika z UE, musisz uzyskać zgodę użytkowników z Europejskiego Obszaru Gospodarczego, Szwajcarii i Wielkiej Brytanii. Nasze zasady wymagają uzyskania zgody na stosowanie plików cookie, identyfikatorów mobilnych lub innych sposobów lokalnego przechowywania informacji, gdy jest to wymagane przez prawo, oraz zgody na wykorzystywanie danych osobowych na potrzeby reklam spersonalizowanych – na przykład wtedy, gdy na stronach lub w aplikacji masz tagi remarketingowe.
Co powinien zawierać mechanizm udzielania zgody na wykorzystanie danych / baner z prośbą o zgodę na przetwarzanie danych?
Zachęcamy do przejrzenia listy kontrolnej powyżej – pozwoli to uniknąć typowych błędów, jakie można popełnić podczas wdrażania mechanizmu udzielania zgody na wykorzystanie danych lub banera z prośbą o zgodę na przetwarzanie danych. Lista kontrolna pomaga zachować zgodność z tą polityką.
W zasadach Google nie narzucamy deweloperom, jakie opcje powinni udostępniać użytkownikom, ponieważ tekst powiadomień z prośbą o zgodę zależy od sposobu, w jaki dane są wykorzystywane (np. czy wykorzystujesz dane do własnych celów czy na potrzeby innych usług, z którymi współpracujesz).
Czy Google wymaga określonej formy wiadomości z prośbą o zgodę na wykorzystywanie danych w przypadku aplikacji?
Tak, jeśli chodzi o wydawców. Podczas wyświetlania spersonalizowanych reklam użytkownikom w Europejskim Obszarze Gospodarczym, Szwajcarii i Wielkiej Brytanii wydawcy Google muszą korzystać z platformy CMP certyfikowanej przez Google.
W przypadku partnerów reklamowych Google korzystających z ruchu w Europejskim Obszarze Gospodarczym reklamodawcy muszą wysyłać do Google sygnały, które będą odzwierciedlać ustawienia użytkowników, za pomocą trybu uzyskiwania zgody lub zasad TCF. Program CMP Partner Program został utworzony w celu udzielania pomocy reklamodawcom w tworzeniu i konfigurowaniu banerów z prośbą o zgodę na przetwarzanie danych. Uwaga: ta lista nie zawiera wszystkich dostępnych platform CMP, a Google nie wymaga od reklamodawców używania platformy CMP z programu partnerskiego.
W jaki sposób partnerzy powinni wybrać dostawcę platformy do zarządzania zgodą użytkowników, którego rozwiązanie chcą wdrożyć?
Dla partnerów reklamowych stworzono program CMP Partner Program, aby pomóc im w budowaniu i konfigurowaniu banerów z prośbą o zgodę na przetwarzanie danych. Uwaga: ta lista nie zawiera wszystkich dostępnych platform CMP. Zastosowanie którejkolwiek z tych platform nie gwarantuje zgodności z polityką Google w zakresie zgody użytkownika z UE, ponieważ zależy to od wdrożenia platformy CMP i wyświetlanej użytkownikom wiadomości z prośbą o zgodę na wykorzystanie danych (więcej wskazówek w tej kwestii znajdziesz powyżej, w sekcji „Lista kontrolna dla partnerów pozwalająca uniknąć najczęstszych błędów przy wdrażaniu mechanizmu udzielania zgody na wykorzystanie danych”).
Współpracujący z nami wydawcy muszą używać platformy CMP certyfikowanej przez Google i zintegrowanej z Zasadami IAB dotyczącymi przejrzystości i uzyskiwania zgody na przetwarzanie danych (TCF), gdy reklamy spersonalizowane wyświetlają się użytkownikom z Europejskiego Obszaru Gospodarczego, Szwajcarii lub Wielkiej Brytanii.
Jakie inne podmioty gromadzą dane osobowe użytkowników i w jaki sposób je wskazać?
Wielu reklamodawców i wydawców, którzy używają systemów reklamowych Google, korzysta z rozwiązań osób trzecich do wyświetlania reklam i pomiaru skuteczności kampanii reklamowych w witrynach i aplikacjach. Zgodnie z zasadami musisz wyraźnie wskazać każdy podmiot, który może gromadzić, otrzymywać lub wykorzystywać dane osobowe użytkowników w związku z używaniem przez Ciebie usług Google.
Moja witryna/aplikacja nie jest hostowana w Europie. Czy ta polityka mnie dotyczy?
Tak, jeśli używasz usług Google objętych tymi zasadami. Ta polityka dotyczy tylko użytkowników z Europejskiego Obszaru Gospodarczego, Szwajcarii i Wielkiej Brytanii.
Jestem wydawcą, ale żadna z moich kampanii nie jest kierowana na Europejski Obszar Gospodarczy, Szwajcarię ani Wielką Brytanię. Czy wymóg uzyskania zgody mnie dotyczy?
Ta polityka dotyczy użytkowników z Europejskiego Obszaru Gospodarczego, Szwajcarii i Wielkiej Brytanii. Polityka nie obowiązuje, jeśli usługi Google zostały usunięte z Twojej witryny lub aplikacji dostępnej dla użytkowników z tych krajów.
Nasza organizacja ma inne spojrzenie na przepisy prawa i chciałaby zastosować odmienne podejście do kwestii ujawniania informacji oraz wyrażania zgody. Czy możemy to zrobić?
Firma Google jest zobowiązana do przestrzegania RODO, również w zakresie odpowiednika tego rozporządzenia w prawie Wielkiej Brytanii, we wszystkich usługach oferowanych w Europie. Nasza polityka w zakresie zgody użytkownika z UE odzwierciedla to zobowiązanie i wytyczne europejskich organów ochrony danych. Partnerzy mogą w różny sposób interpretować przepisy prawa, wymagamy od nich jednak przestrzegania tej polityki. Będziemy oceniać przepisy prawa oraz praktyki branżowe i odpowiednio aktualizować nasze zalecenia oraz wymagania.
Dlaczego potrzebujemy zgody na pomiar skuteczności reklam – czy nie jest to nasz uzasadniony interes?
Do obsługi pomiaru skuteczności reklam Google wykorzystuje pliki cookie i różne identyfikatory reklam. Według obowiązujących przepisów dotyczących e-prywatności konieczne jest uzyskanie zgody na tego rodzaju wykorzystywanie danych od użytkowników z krajów, w których wymaga tego prawo. Dlatego zgodnie z naszą polityką w krajach, w których wymaga tego prawo, należy otrzymać zgodę na personalizację reklam i pomiar ich skuteczności.
Czy potrzebuję zgody przed uruchomieniem tagów reklamodawcy Google czy mogę uzyskać ją później?
Zgodę na reklamy spersonalizowane i używanie plików cookie lub innych sposobów lokalnego przechowywania informacji, jeśli wymaga tego prawo, należy uzyskać przed uruchomieniem tagów reklamodawcy Google na swoich stronach internetowych lub w aplikacjach.
Co z korzystaniem z tagów śledzenia kliknięć?
Nawet jeśli reklamodawcy używają technologii śledzenia kliknięć opracowanych przez inne firmy, muszą przestrzegać obowiązującego prawa. Chodzi o technologie, dzięki którym po kliknięciu reklamy przeglądarka jest przekierowywana do innego dostawcy rozwiązań pomiarowych, a dopiero później na stronę docelową reklamodawcy. Dostarczane przez Google opcje wyboru dostawców nie są przeznaczone do obsługi technologii śledzenia kliknięć.
Jakie dane muszę przechowywać?
Nasze zasady wymagają, aby klienci przechowywali zapisy dotyczące wyrażenia zgody. Muszą one zawierać przynajmniej tekst i możliwości przedstawione użytkownikom w ramach mechanizmu uzyskiwania zgody oraz datę i godzinę wyrażenia zgody przez użytkownika.
Dlaczego moja platforma CMP wydawcy została uznana za niezgodną z tą polityką? Korzystam z certyfikowanej platformy CMP, która ma też certyfikat IAB.
Korzystanie z certyfikowanej platformy CMP nie gwarantuje zgodności z polityką w zakresie zgody użytkownika z UE, ponieważ zależy to od wdrożenia platformy CMP i wyświetlanej użytkownikom wiadomości z prośbą o zgodę na wykorzystanie danych (więcej wskazówek na ten temat znajdziesz powyżej w sekcji „Lista kontrolna dla partnerów pozwalająca uniknąć najczęstszych błędów przy wdrażaniu mechanizmu udzielania zgody na wykorzystanie danych”).
Dlaczego moją witrynę lub aplikację uznano za niezgodną z tą polityką? Używam platformy dostępnej w programie Google CMP Partner Program.
Jeśli chodzi o partnerów reklamowych, to program CMP Partner Program powstał, aby pomóc reklamodawcom w tworzeniu i konfigurowaniu banerów z prośbą o zgodę na przetwarzanie danych w witrynie lub aplikacji oraz w integracji trybu uzyskiwania zgody. Praca z wykorzystaniem którejkolwiek z tych platform CMP nie gwarantuje zgodności z polityką Google w zakresie zgody użytkownika z UE, ponieważ zależy to od wdrożenia platformy CMP i wyświetlanej użytkownikom wiadomości z prośbą o zgodę na wykorzystanie danych (więcej wskazówek na ten temat znajdziesz powyżej w sekcji „Lista kontrolna dla partnerów pozwalająca uniknąć najczęstszych błędów przy wdrażaniu mechanizmu udzielania zgody na wykorzystanie danych”).
Czy muszę przestrzegać tych zasad, jeśli jestem użytkownikiem usług, które korzystają z interfejsów API Piaskownicy prywatności?
Tak. Możliwe, że w ramach korzystania z interfejsów API Piaskownicy prywatności (Topics, Protected Audience i Attribution Reporting) wykorzystujesz dane osobowe użytkowników do personalizacji reklam lub uzyskiwania dostępu do pamięci lokalnej. Zgodnie z polityką w zakresie zgody użytkownika z UE w takich przypadkach należy uzyskać prawnie wiążącą zgodę użytkownika – tak samo jak ma to miejsce obecnie w odniesieniu do personalizacji reklam i korzystania z opcjonalnych sposobów lokalnego przechowywania informacji w zakresie wymaganym przez prawo. Dowiedz się więcej o Piaskownicy prywatności.
Czy w przypadku reklamodawców wymagany jest ważny sygnał zgody użytkowników (przesyłany za pomocą zasad TCF lub trybu uzyskiwania zgody) w Szwajcarii i Wielkiej Brytanii?
Nie, nie oczekujemy, że reklamodawcy będą wysyłać do Google zweryfikowany sygnał dotyczący wyrażonej zgody w przypadku ruchu pochodzącego ze Szwajcarii lub Wielkiej Brytanii (za pomocą trybu uzyskiwania zgody czy na podstawie zasad TCF). Uwaga: wymóg wysyłania zweryfikowanych sygnałów dotyczących wyrażonej zgody obowiązuje w przypadku reklamodawców korzystających z ruchu od użytkowników z Europejskiego Obszaru Gospodarczego. Zalecamy pracę z platformą dostępną w ramach programu Google CMP Partner Program – pozwoli to uzyskać wskazówki dotyczące wdrożenia. Uwaga: ta lista nie zawiera wszystkich dostępnych platform CMP, a Google nie wymaga od reklamodawców używania platformy CMP z programu partnerskiego.
Aktualizacje tych zasad
Pierwotna polityka Google w zakresie zgody użytkownika z UE została zaktualizowana 25 maja 2018 r. 31 października 2019 r. wprowadziliśmy niewielkie poprawki, uwzględniając zmiany w relacjach Wielkiej Brytanii z Unią Europejską.
W lipcu 2024 roku zaktualizowaliśmy politykę w zakresie zgody użytkownika z UE i objęliśmy nią Szwajcarię.
Na razie nie przewidujemy dalszych zmian tej polityki, ale – jak zaznaczyliśmy wyżej – będziemy oceniać przepisy prawa oraz praktyki branżowe i odpowiednio aktualizować nasze zalecenia i wymagania.