Pomoc se zásadami pro souhlas uživatele z EU

Proč tyto zásady vznikly a kde platí?

Tyto zásady reflektují určité požadavky dvou evropských předpisů na ochranu soukromí: obecného nařízení o ochraně osobních údajů (GDPR) a směrnice o soukromí a elektronických komunikacích a dále ekvivalentních právních předpisů Spojeného království. Směrnici o soukromí a elektronických komunikacích nezaměňujte s nařízením o soukromí a elektronických komunikacích, o němž se v současné době jedná. Tyto právní předpisy se vztahují na koncové uživatele v Evropském hospodářském prostoru (EHP) a Spojeném království. Do EHP patří členské státy EU, Island, Lichtenštejnsko a Norsko.

Původní verze těchto zásad byla představena v roce 2015 a 25. května 2018 došlo k aktualizaci, protože vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR).

Pokud jsem majitel stránek nebo inzerent se sídlem v EHP nebo ve Spojeném království, musím tyto zásady dodržovat u všech uživatelů?

Zásady společnosti Google pro souhlas uživatele z EU se vztahují pouze na koncové uživatele v EHP nebo ve Spojeném království.

Jak bude společnost Google zajišťovat dodržování těchto zásad?

Dodržování zajišťujeme kontrolováním webů a aplikací, které používají naše reklamní služby. Postupujeme tak již od zavedení těchto zásad v roce 2015. Naši recenzenti navštěvují weby a aplikace stejně, jako by je navštívil spotřebitel, a následně analyzujeme poskytované informace a shromažďované souhlasy.

Naší hlavní prioritou vždy bude spolupracovat s partnery a pomáhat jim dodržovat zásady a předpisy. Pokud zjistíme, že partner naše zásady nedodržuje, nejdříve ho kontaktujeme a oznámíme mu to, a poté se mu pokusíme pomoci souladu dosáhnout.

Již od roku 2015 poskytujeme přiměřenou dobu k provedení potřebných změn na webech a v aplikacích. Pokud s námi však partner nekomunikuje nebo neprokáže snahu dosáhnout v přiměřené době souladu, může to vést k zásahu proti příslušným účtům, včetně jejich pozastavení.

Kromě kontroly webů a aplikací jsme v květnu 2023 oznámili, že od 16. ledna 2024 budou majitelé obsahu při zobrazování reklam uživatelům v EHP a Spojeném království za účelem dodržení těchto zásad muset používat certifikovanou platformu CMP. Na webech a v aplikacích partnerských majitelů obsahu, kteří implementovali certifikovanou platformu CMP, bude společnost Google i nadále provádět audity.

Jaké informace musím koncovým uživatelům poskytnout?

Naše zásady vyžadují uvedení všech stran, které v důsledku použití služby Google obdrží osobní údaje koncových uživatelů. Také vyžadují poskytnutí jasně viditelných a snadno přístupných informací o používání osobních údajů koncových uživatelů. Zveřejnili jsme popis, jak společnost Google používá informace. Aby majitelé obsahu a inzerenti splnili informační povinnosti ohledně používání osobních údajů ze strany společnosti Google, musejí na tuto stránku odkazovat. Žádáme také ostatní poskytovatele reklamních technologií, s nimiž jsou služby Google integrovány, aby zpřístupnili informace o tom, jak osobní údaje využívají oni.

Kontrolní seznam, který pomůže předejít běžným chybám při implementaci mechanismu souhlasu

Níže jsou uvedeny pouze příklady, nikoli úplný seznam. Pokud jste na straně majitele obsahu správně implementovali certifikovanou platformu CMP, měli byste tento kontrolní seznam již splňovat. Vždy zajistěte, aby vaše implementace splňovala veškeré požadavky zásad společnosti Google.

  • Vysvětlili jste uživatelům, jak budou jejich údaje použity, pokud udělí souhlas s jejich shromažďováním na vašem webu nebo ve vaší aplikaci (např. uvědomují si, že jejich osobní údaje budou používány k personalizaci reklam a že soubory cookie lze použít k zobrazování personalizovaných i nepersonalizovaných reklam)?
  • Ověřili jste, zda se žádost o souhlas zobrazuje uživatelům ze všech zemí EHP, kteří přejdou na web nebo otevřou aplikaci?
  • Dostali uživatelé možnost potvrdit vyjádření souhlasu nějakou akcí (např. kliknutím na tlačítko OK nebo Souhlasím)?
  • Informovali jste uživatele o třetích stranách (včetně Googlu), které budou mít také přístup k údajům o uživatelích, jež na webu nebo v aplikaci shromažďujete?
  • Informovali jste uživatele o způsobu, jakým bude společnost Google využívat jejich osobní údaje, když na vašem webu nebo v aplikaci udělí souhlas (např. tím, že jste uvedli odkaz na web Zodpovědnost společnosti Google ohledně firemních údajů)? Udělali jste totéž i u ostatních třetích stran, které budou osobní údaje využívat?
  • Pokud ke zpeněžení používáte jen nepersonalizované reklamy, ověřili jste, zda máte souhlas uživatelů s používáním souborů cookie nebo jiných místních úložišť (jako jsou identifikátory mobilních zařízení) v oblastech, kde to vyžadují právní předpisy? Upozorňujeme však, že i nepersonalizované reklamy zobrazované na webových stránkách potřebují ke svému fungování soubory cookie.
  • Pokud zobrazení zpeněžujete pouze pomocí omezených reklam, je vypnuto nejen shromažďování, sdílení a používání osobních údajů k personalizaci reklam, ale Google deaktivuje i funkce, které vyžadují použití místního identifikátoru (jako je omezení frekvence). Pouze v případě, že jsou zapnuty programatické omezené reklamy, budou soubory cookie a místní úložiště sloužící pouze pro detekci neplatného provozu používány k obraně před podvody a zneužíváním. Upozorňujeme, že technologie k zobrazování reklam (naše javascriptové značky a/nebo kód sad SDK) se v rámci běžného fungování prohlížečů a mobilních operačních systémů uživatelů bude ukládat do mezipaměti nebo instalovat i nadále. Své povinnosti, včetně požadavků na oznámení a získání souhlasu, byste měli posoudit sami na základě místních právních předpisů platných ve vaší jurisdikci. Další informace o této funkci najdete v centrech nápovědy služeb Ad Manager, AdMobAdSense.
  • Pokud používáte platformu CMP s certifikací od organizace IAB, zahrnuli jste jako dodavatele reklamní služby společnosti Google (Google Advertising Products)?
  • Zajistili jste, aby se při absenci souhlasu nenastavovaly žádné soubory cookie Google Ads a aby se při absenci souhlasu nezměnil výchozí stav nepersonalizovaných reklam?

Co když nechci, aby se osobní údaje koncových uživatelů používaly k personalizaci reklam?

Můžete si vybrat, zda osobní údaje koncových uživatelů chcete používat k personalizaci reklam, či nikoliv. Upozorňujeme, že i nepersonalizované reklamy, které zobrazujeme na webech nebo v aplikacích, vyžadují použití souborů cookie nebo mobilních identifikátorů. V oblastech, kde to vyžadují právní předpisy, musíte získat souhlas s používáním souborů cookie nebo mobilních identifikátorů.

Zobrazení ve službách Ad Manager, AdSenseAdMob se také můžete rozhodnout zpeněžovat pomocí omezených reklam. Své povinnosti při zobrazování omezených a nepersonalizovaných reklam, včetně požadavků na oznámení a získání souhlasu, byste měli posoudit sami na základě místních právních předpisů platných ve vaší jurisdikci.

Jaké pokyny mám koncovým uživatelům poskytnout ohledně odvolání souhlasu?

Zásady vyžadují, abyste koncovým uživatelům sdělili, jak mohou souhlas s personalizací reklam zrušit. Pro uživatele musí být odvolání souhlasu stejně snadné, jako bylo původně souhlas poskytnout. Koncoví uživatelé musejí mít přinejmenším dostatek informací, aby se mohli snadno dostat k ovládacím prvkům reklam pro váš web nebo aplikaci a mohli své předvolby souhlasu upravit.

Na které další služby Google se tyto zásady vztahují?

Kromě reklamních a měřicích služeb na tyto zásady odkazují také jiné služby Google, například smluvní podmínky platformy Google Maps Platform, smluvní podmínky služeb YouTube API, smluvní podmínky služby reCAPTCHA a Blogger.

Které typy reklam se pro účely těchto zásad považují za personalizované?

Personalizovaná reklama (dříve zájmově orientovaná reklama) je výkonný nástroj, který zlepšuje relevanci reklam pro uživatele a inzerentům zvyšuje návratnost investic. Naše služby pro majitele obsahu mohou v závislosti na způsobu použití odhadovat zájmy uživatelů podle toho, jaké weby navštěvují nebo jaké aplikace používají, a podle toho umožňovat inzerentům cílit kampaně. Toto zlepšuje prostředí pro uživatele i inzerenty. Další informace najdete v našich zásadách pro inzerenty ohledně personalizovaných reklam.

Google považuje reklamy za personalizované, když vycházejí z dříve shromážděných nebo historických dat, která určují nebo ovlivňují výběr reklamy, mj. na základě předchozích vyhledávacích dotazů uživatele, jeho aktivity, návštěv webů či používání aplikací, demografických údajů nebo zeměpisné polohy. Konkrétně by se mohlo jednat například o demografické cílení, cílení na zájmové kategorie, remarketing, cílení na vlastní seznamy zákazníků a cílení na seznamy publika nahrané v sadě služeb Google Marketing Platform.

Můj banner k potvrzení souhlasu byl v rámci auditu označen jako nevyhovující. Jak to nejlépe vyřeším?

Pokud zjistíme nedodržování těchto zásad, budeme se našim partnerům především snažit pomoci, aby tyto zásady opět dodržovali. Náš auditorský tým vám podrobně vysvětlí, co není v pořádku a jaké kroky je potřeba podniknout, aby váš web či aplikace opět splňovaly zásady.

Aby byl banner z hlediska respektování voleb uživatelů nakonfigurován správně, doporučujeme inzerentům spolupracovat s externí platformou CMP nebo si prostudovat příslušnou dokumentaci správy nastavení souhlasu a ujistit se, že je správně integrován režim souhlasu.

Proč zásady vyžadují souhlas s použitím souborů cookie i v případě, že se používají k jiným účelům, než je personalizace (například k měření reklam)?

Soubory cookie nebo mobilní identifikátory se při zobrazování personalizovaných i nepersonalizovaných reklam Googlem používají k boji proti podvodům a zneužívání, k omezení frekvence a k vytváření souhrnných přehledů o reklamách. Naše zásady vyžadují souhlas s používáním souborů cookie nebo mobilních identifikátorů pro uživatele v zemích, kde souhlas s používáním souborů cookie nebo mobilních identifikátorů vyžadují právní předpisy.

Co když jsem inzerent a používám na svém webu služby Google?

Pokud na svých stránkách používáte značky inzertních služeb, jako jsou Google Ads nebo Google Marketing Platform, kvůli zajištění souladu se zásadami společnosti Google pro souhlas uživatele z EU budete od uživatelů z EHP a ze Spojeného království muset získat souhlas. Naše zásady vyžadují souhlas s používáním souborů cookie k měření a souhlas s používáním osobních údajů k zobrazování personalizovaných reklam – například pokud na svých stránkách máte značky pro remarketing.

Jak mám žádost o souhlas formulovat?

Zásady společnosti Google nepředepisují, jaké možnosti výběru mají být uživatelům nabízeny, protože text oznámení s žádostí o souhlas bude záviset na tom, k čemu data používáte (například zda data používáte pro své vlastní účely nebo pro jiné služby, se kterými pracujete).

Vyžaduje společnost Google nějakou konkrétní formu žádosti o souhlas pro aplikace?

Ano, v květnu 2023 jsme oznámili, že od 16. ledna 2024 majitelé obsahu při zobrazování reklam uživatelům z EHP a Spojeného království budou muset používat certifikovanou platformu CMP. Pokud vaše platforma CMP není na tomto seznamu, doporučujeme vám zasadit se ve spolupráci s platformou CMP o získání certifikace.

Pro reklamní partnery byl vytvořen CMP Partner Program, který jim pomáhá vytvářet a konfigurovat bannery k potvrzení souhlasu. Poznámka: Toto není vyčerpávající seznam všech dostupných platforem CMP.

Jak si partneři mají vybrat, kterou platformu pro správu souhlasů (CMP) budou používat?

Pro reklamní partnery byl vytvořen CMP Partner Program, který jim pomáhá vytvářet a konfigurovat bannery k potvrzení souhlasu. Poznámka: Toto není vyčerpávající seznam všech dostupných platforem CMP. Použití některé z těchto platforem CMP nezaručuje soulad se zásadami společnosti Google pro souhlas uživatele z EU. Záleží totiž na způsobu začlenění platformy CMP a konkrétní žádosti o souhlas předložené uživatelům (další informace najdete výše v sekci „Kontrolní seznam, který partnerům pomůže předejít běžným chybám při implementaci mechanismu souhlasu“).

Které další třetí strany shromažďují osobní údaje koncových uživatelů a jak mám tyto třetí strany identifikovat?

Řada inzerentů a majitelů stránek, kteří používají inzertní systémy společnosti Google, používá k zobrazování reklam a měření efektivity reklamních kampaní na webech a v aplikacích služby třetích stran. Zásady vyžadují, abyste jasně identifikovali každou stranu (kromě společnosti Google), která v důsledku vašeho používání služeb Google může shromažďovat, přijímat nebo používat osobní údaje koncových uživatelů. Ve službách AdSense, Google Ad Manager a AdMob jsou k dispozici ovládací prvky, které vám umožní vybrat dodavatele, kteří na vašem webu nebo ve vaší aplikaci smí shromažďovat data.

Můj web není v Evropě. Vztahují se na mě tyto zásady?

Pokud používáte služby Google, na které se tyto zásady vztahují, a máte v úmyslu poskytovat své služby uživatelům v EHP nebo ve Spojeném království, tak ano.

Jsem majitel stránek a žádné z mých kampaní necílí na EHP ani na Spojené království. Týká se mě tento požadavek na získání souhlasu?

Pokud byste pro uživatele z těchto zemí služby Google z webu odstranili, souhlas by potřeba nebyl. Pokud jsou však služby Google používány i nadále a jen nezobrazují žádné reklamy, je souhlas i nadále potřeba. Služby Google AdMob, AdSense a Google Ad Manager totiž používají soubory cookie a naše zásady i nadále vyžadují souhlas s používáním souborů cookie pro účely měření. Pokud se nejedná o žádost o nepersonalizovanou reklamu a není to uvedeno v nastavení souhlasu uživatele z EU nebo v samotné žádosti, služba Google Ad Manager také shromažďuje osobní údaje.

Naše organizace má na příslušné právní předpisy jiný pohled. Chtěli bychom ke zveřejnění a získávání souhlasu přistupovat jinak. Můžeme?

Společnost Google se snaží zajišťovat soulad s nařízením GDPR (včetně rozsahu, v němž bylo přeneseno do práva Spojeného království) ve všech službách, které v Evropě poskytuje. Naše zásady pro souhlas uživatele z EU odpovídají tomuto závazku a pokynům od evropských úřadů pro ochranu osobních údajů. Předpisy a postupy v oboru budeme i nadále vyhodnocovat a svá doporučení a požadavky budeme dle potřeby aktualizovat.

Proč je potřeba získat souhlas s měřením reklam – není to oprávněný zájem?

Společnost Google používá soubory cookie a různé reklamní identifikátory k měření reklam. Stávající právní předpisy o ochraně soukromí v elektronických komunikacích pro taková využití vyžadují souhlas. Souhlas je potřeba u uživatelů ze zemí, kde ho místní právní předpisy vyžadují. V souladu s tím naše zásady vyžadují souhlas s personalizací reklam a měřením reklam. Týká se to i případů použití měření offline (například Store Sales).

Musím souhlas získat před spuštěním značek, nebo ho můžu získat až po něm?

Souhlas s personalizovanými reklamami je potřeba získat před spuštěním značek Google na stránkách.

A co používání měřičů prokliků?

Pokud se inzerenti rozhodnou používat technologie třetích stran na měření prokliků (tj. pokud je prohlížeč uživatele po kliknutí na reklamu cestou na vstupní stránku inzerenta přesměrován na externího dodavatele), musejí tak činit v souladu s příslušnými právními předpisy. Ovládací prvky společnosti Google pro majitele stránek technologie na měření prokliků nepokrývají.

Jaké záznamy musím uchovávat?

Naše zásady vyžadují, aby zákazníci uchovávali záznamy o souhlasu. Tyto záznamy by měly obsahovat alespoň text a možnosti výběru prezentované uživatelům v rámci mechanismu získání souhlasu a datum a čas, kdy uživatel souhlas udělil.

Proč byla moje platforma CMP majitele obsahu označena za nevyhovující zásadám? Používám certifikovanou platformu CMP, která byla certifikována i organizací IAB.

Použití certifikované platformy CMP samo o sobě nezaručuje soulad se zásadami společnosti Google pro souhlas uživatele z EU. Záleží totiž na způsobu začlenění platformy CMP a konkrétní žádosti o souhlas předložené uživatelům (další informace najdete výše v sekci „Kontrolní seznam, který partnerům pomůže předejít běžným chybám při implementaci mechanismu souhlasu“).

Musím se těmito zásadami řídit, pokud používám služby, které využívají rozhraní Privacy Sandbox API?

Ano. Při používání rozhraní Privacy Sandbox API (Topics, Protected AudienceAttribution Reporting) můžete využívat osobní údaje k personalizaci reklam nebo k přístupu k místnímu úložišti. Zásady pro souhlas uživatele z EU vyžadují, abyste pro tyto činnosti získali platný souhlas uživatele, stejně jako už to v zemích Evropského hospodářského prostoru a ve Spojeném království děláte v případě personalizace reklam a ne nezbytného používání místního úložiště. Další informace o sadě technologií Privacy Sandbox.

Aktualizace těchto zásad

Původní zásady společnosti Google pro souhlas uživatele z EU byly aktualizovány 25. května 2018. 31. října 2019 jsme provedli drobné změny související s vývojem vztahu mezi Spojeným královstvím a Evropskou unií. V současné době neočekáváme žádné další změny těchto zásad. Jak je ale uvedeno výše, i nadále budeme vyhodnocovat předpisy a postupy v oboru a svá doporučení a požadavky budeme dle potřeby aktualizovat.