RODO – informacje i wskazówki

Specyfikacja techniczna Google o nazwie „Udzielenie dodatkowej zgody”

Dalej: Rozwiązywanie problemów z wdrażaniem zasad TCF w wersji 2.2 opracowanych przez IAB EU

Wydawcy, którzy chcą współpracować z dostawcami technologii reklamowych nieprzestrzegających zasad TCF, powinni się kontaktować bezpośrednio z platformami CMP.

Ten dokument określa specyfikację techniczną („Udzielenie dodatkowej zgody”) przeznaczoną do użytku wyłącznie w ramach Zasad dotyczących przejrzystości i uzyskiwania zgody na przetwarzanie danych (TCF) w wersji 2.0 opracowanych przez IAB Europe. Specyfikacja ta służy do wysyłania sygnałów dotyczących przejrzystości i zgody na przetwarzanie danych do dostawców, którzy nie są jeszcze zarejestrowani na globalnej liście dostawców IAB Europe. Ta specyfikacja umożliwia wydawcom, partnerom i platformom do zarządzania zgodą użytkowników uzyskiwanie i przekazywanie dodatkowej zgody – w ramach implementacji zasad TCF – firmom, które nie są jeszcze zarejestrowane na globalnej liście dostawców IAB Europe, ale figurują na liście dostawców technologii reklamowych Google.

Zmiany w specyfikacji „Udzielenie dodatkowej zgody” w wersji 2

Od grudnia 2023 r. Google obsługuje wersję 2 specyfikacji „Udzielenie dodatkowej zgody”. Najważniejsze zmiany:

Aktualizacja ciągu tekstowego dotyczącego udzielenia dodatkowej zgody na potrzeby obsługi dostawców podanych do wiadomości użytkownika przez platformę CMP.
Aktualizacja interfejsu CMP API, która umożliwia współdziałanie platform CMP obsługujących zarówno zasady TCF, jak i tryb uzyskiwania zgody przez reklamodawcę.

Ciągi tekstowe dotyczące udzielenia dodatkowej zgody wygenerowane na podstawie specyfikacji w wersji 1 będą nadal obsługiwane.

Składniki specyfikacji „Udzielenie dodatkowej zgody”

W ramach specyfikacji „Udzielenie dodatkowej zgody” obsługujemy:

ciąg tekstowy dotyczący przejrzystości i zgody na przetwarzanie danych, zgodny z definicją zawartą w specyfikacji zasad TCF w wersji 2.2, który zawiera informacje na temat przejrzystości i zgody w przypadku dostawców z globalnej listy dostawców IAB; ORAZ
prosty ciąg tekstowy addtl_consent (ciąg tekstowy dotyczący udzielenia dodatkowej zgody) zawierający listę dostawców technologii reklamowych Google niezarejestrowanych w IAB, którym użytkownik udzielił zgody na wyświetlanie reklam lub których lista została mu podana.

Specyfikacja określa te kwestie:

Format ciągu tekstowego dotyczącego udzielenia dodatkowej zgody.
Rozszerzenie interfejsu API platformy do zarządzania zgodą użytkowników spełniającej wymogi zasad TCF w wersji 2.2, aby umożliwić działanie ciągu dotyczącego udzielenia dodatkowej zgody i jego ustawień, gdy obecne są zarówno zasady TCF, jak i tryb uzyskiwania zgody przez reklamodawcę.
Informacje na temat prawidłowego przechowywania ciągu tekstowego dotyczącego udzielenia dodatkowej zgody.
Informacje na temat sposobu przekazywania ciągu tekstowego dotyczącego udzielenia dodatkowej zgody w ramach łańcucha reklam cyfrowych.

Format ciągu tekstowego dotyczącego udzielenia dodatkowej zgody

Jakie informacje są zawarte w ciągu tekstowym dotyczącym udzielenia dodatkowej zgody?

Ciąg tekstowy dotyczący udzielenia dodatkowej zgody składa się z tych komponentów:

Część 1. Numer wersji specyfikacji, np. „2”;
Część 2. Symbol separatora „~”;
Część 3. Oddzielona kropkami lista identyfikatorów dostawców technologii reklamowych Google zaakceptowanych przez użytkownika, np. „1.35.41.101”;
Część 4. Symbol separatora „~”;
Część 5. Znaki „dv.”, a po nich rozdzielana kopkami lista identyfikatorów dostawców technologii reklamowych Google podanych do wiadomości użytkownika, np.: „dv.9.21.81”.

Aby skrócić długość ciągu znaków, dostawców wymienionych w części 3 nie należy podawać w części 5.

Przykład ciągu tekstowego dotyczącego udzielenia dodatkowej zgody

Gdy ciąg tekstowy dotyczący udzielenia dodatkowej zgody ma postać 2~1.35.41.101~dv.9.21.81, oznacza to, że użytkownik wyraził zgodę na dostawców technologii reklamowych o identyfikatorach 1, 35, 41 i 101 oraz dostawcy technologii reklamowych o identyfikatorach 9, 21 i 81 zostali podani do wiadomości użytkownika, a ciąg został utworzony za pomocą formatu zdefiniowanego w specyfikacji w wersji 2.

Kto powinien utworzyć ciąg tekstowy dotyczący udzielenia dodatkowej zgody?

Ciąg tekstowy dotyczący udzielenia dodatkowej zgody może utworzyć tylko platforma do zarządzania zgodą użytkowników zarejestrowana w ramach Zasad IAB Europe dotyczących przejrzystości i uzyskiwania zgody na przetwarzanie danych przy użyciu przypisanego identyfikatora platformy (zgodnie z zasadami IAB). Dostawcy technologii reklamowych ani inni zewnętrzni dostawcy usług nie mogą samodzielnie tworzyć ciągów tekstowych dotyczących udzielenia dodatkowej zgody.

Gdzie będzie opublikowana lista dostawców technologii reklamowych Google?

Listę dostawców technologii reklamowych niezarejestrowanych w ramach IAB oraz ich identyfikatory opublikujemy w tym miejscu:

https://storage.googleapis.com/tcfac/additional-consent-providers.csv

Kiedy należy utworzyć ciąg tekstowy dotyczący udzielenia dodatkowej zgody?

We wszystkich przypadkach ciąg tekstowy dotyczący udzielenia dodatkowej zgody można utworzyć tylko wtedy, gdy wydawca przestrzega polityki Google w zakresie zgody użytkownika z UE.

Dostawcy, na których użytkownik wyraził zgodę, powinni być dodawani do listy tylko wtedy, gdy użytkownik wyraził wiążącą prawnie zgodę na:

używanie plików cookie lub innych sposobów lokalnego przechowywania informacji, jeśli wymaga tego prawo;
gromadzenie, udostępnianie i wykorzystywanie danych osobowych do personalizowania reklam przez dostawcę technologii reklamowych, a także na zachowanie zgodności ze wszystkimi innymi warunkami polityki Google w zakresie zgody użytkownika z UE.

Dostawcy, którzy zostali podani do wiadomości użytkownika, ale nie uzyskali jego zgody na:

używanie plików cookie lub innych sposobów lokalnego przechowywania informacji, jeśli wymaga tego prawo;
zbieranie, udostępnianie i wykorzystywanie danych osobowych do personalizacji reklam, powinni być uwzględniani tylko wtedy, gdy użytkownicy otrzymują odpowiednie informacje na temat tożsamości każdego dostawcy technologii reklamowych, w tym link do jego polityki prywatności zgodny z podanym na liście dostawców technologii reklamowych Google.

Ciąg tekstowy dotyczący udzielenia dodatkowej zgody może być jedynie uzupełnieniem ciągu dotyczącego przejrzystości i zgody na przetwarzanie danych, a nie jego zamiennikiem. Google nie przetworzy żądania i odrzuci ciąg tekstowy dotyczący udzielenia dodatkowej zgody w ramach otrzymanego żądania, jeśli nie będzie ono zawierać jednocześnie ciągu dotyczącego przejrzystości i zgody na przetwarzanie danych.

Platformy do zarządzania zgodą użytkowników implementujące tę specyfikację muszą się upewnić, że ciąg tekstowy dotyczący udzielenia dodatkowej zgody zawiera tylko identyfikatory z opublikowanego przez Google pliku z dostawcami technologii reklamowych (których nie ma na globalnej liście dostawców). Gdy Google otrzyma ciąg tekstowy dotyczący przejrzystości i zgody na przetwarzanie danych, sprawdzi wersję zawartej w nim globalnej listy dostawców. Jeśli w danej wersji globalnej listy dostawców zarejestrowany jest dostawca, związane z nim elementy sterujące ciągu tekstowego dotyczącego przejrzystości i zgody na przetwarzanie danych oraz wszelkie wpisy ciągu dotyczącego udzielenia dodatkowej zgody zostaną zignorowane. W takiej sytuacji Google zastrzega sobie prawo do usunięcia takich „zduplikowanych” wpisów z ciągu tekstowego dotyczącego udzielenia dodatkowej zgody i do przekazania takiego zmodyfikowanego ciągu razem z ciągiem dotyczącym przejrzystości i zgody na przetwarzanie danych. Dostawcy inni niż Google nie mogą wprowadzać zmian w ciągu tekstowym dotyczącym udzielenia dodatkowej zgody.

Przydatne materiały

Rozszerzenie interfejsu CMP API

Proponujemy rozszerzenie obecnego interfejsu CMP JavaScript API spełniającego wymogi zasad TCF w wersji 2.2, aby umożliwić zwracanie ciągu tekstowego dotyczącego udzielenia dodatkowej zgody. A konkretniej – proponujemy rozszerzenie obiektów JSON TCData i InAppTCData, aby zwracały te dane.

TCData = {
tcString: 'zakodowany w base64url ciąg tekstowy dotyczący przejrzystości i zgody na przetwarzanie danych z segmentami',
...
addtlConsent: 'ciąg tekstowy dotyczący udzielenia dodatkowej zgody z wersją specyfikacji i identyfikatorami zaakceptowanych dostawców technologii reklamowych’,
}

InAppTCData = {
tcString: 'zakodowany w base64url ciąg tekstowy dotyczący przejrzystości i zgody na przetwarzanie danych z segmentami',
...
addtlConsent: ‘ciąg tekstowy dotyczący udzielenia dodatkowej zgody z wersją specyfikacji i identyfikatorami zaakceptowanych dostawców technologii reklamowych’,
}

Jak przechowywać ciąg tekstowy dotyczący udzielenia dodatkowej zgody?

Przeglądarka

Mechanizm przechowywania zależy od ustawień platformy do zarządzania zgodą użytkowników.

W aplikacji

Do przechowywania ciągu tekstowego dotyczącego udzielenia dodatkowej zgody przez pakiet SDK platformy do zarządzania zgodą użytkowników należy używać obiektu NSUserDefaults (na iOS) lub SharedPreferences (na Androidzie). Dzięki temu obiektowi:

dostawcy mogą z łatwością uzyskać dostęp do ciągu tekstowego dotyczącego udzielenia dodatkowej zgody;
ciąg tekstowy dotyczący udzielenia dodatkowej zgody utrzymuje się w kolejnych sesjach aplikacji;
ciąg tekstowy dotyczący udzielenia dodatkowej zgody może być przenoszony między platformami do zarządzania zgodą użytkowników, aby wydawca mógł wymieniać pakiety SDK tych platform.

Jeśli wydawca zdecyduje się usunąć z aplikacji pakiet SDK platformy do zarządzania zgodą użytkowników, musi wyczyścić wartości AddtlConsent w przypadku użytkowników, aby dostawcy nie wykorzystywali uwzględnionego już ciągu tekstowego dotyczącego udzielenia dodatkowej zgody.

Klucz magazynu i klucz wyszukiwania w obiektach NSUserDefaults i SharedPreferences	Wartość
`IABTCF_AddtlConsent`	Ciąg tekstowy: ciąg tekstowy dotyczący udzielenia dodatkowej zgody z wersją specyfikacji i identyfikatorami zaakceptowanych dostawców technologii reklamowych

Jak przekazywać ciąg tekstowy dotyczący udzielenia dodatkowej zgody w ramach łańcucha reklam cyfrowych

Pytanie o stawkę

Ponownie użyjemy ConsentedProvidersSettings, aby w ramach dalszych etapów propagować dostawców, których nie ma na globalnej liście dostawców.

Protokół rozszerzeń OpenRTB
Starsza wersja buforów protokołu

message ConsentedProvidersSettings { // Zestaw identyfikatorów odpowiadających dostawcom, w których przypadku wydawca poinformował Google, że użytkownicy // z Europejskiego Obszaru Gospodarczego wyrazili wiążącą zgodę na: 1) stosowanie plików cookie lub innych sposobów lokalnego // przechowywania informacji, gdy wymaga tego prawo; oraz 2) gromadzenie, udostępnianie i używanie danych osobowych na potrzeby // personalizacji reklam przez dostawcę technologii reklamowych zgodnie z polityką Google w zakresie zgody użytkownika z UE. // Mapowanie identyfikatora dostawcy na nazwę dostawcy jest umieszczone w pliku providers.csv. repeated int64 consented_providers = 2 [packed = true]; }

// Dane o dostawcach, w których przypadku wydawca poinformował Google, że użytkownicy // z Europejskiego Obszaru Gospodarczego wyrazili zgodę na używanie ich danych osobowych // na potrzeby personalizacji reklam zgodnie z polityką Google w zakresie zgody użytkownika z UE. // To pole zostanie wypełnione tylko wtedy, gdy regs_gdpr ma wartość true. optional ConsentedProvidersSettings consented_providers_settings = 42;

Usługi oparte na adresach URL

Gdy kreacja jest renderowana, może zawierać kilka pikseli w tagach <img>, np. <img src="http://vendor-a.com/key1=val1&key2=val2">, który wysyła żądanie HTTP GET z przeglądarki do domeny dostawcy.

Piksel znajduje się w tagu <img> bez możliwości wykonania JavaScriptu, więc nie można użyć interfejsu API platformy do zarządzania zgodą użytkowników, aby uzyskać ciąg tekstowy dotyczący przejrzystości i zgody na przetwarzanie danych. Podobnie jak w przypadku obsługi ciągu tekstowego dotyczącego przejrzystości i zgody na przetwarzanie danych, udostępniamy standardowy parametr adresu URL i makro w adresach URL piksela, gdzie powinien znajdować się ciąg dotyczący udzielenia dodatkowej zgody.

Parametr URL	Odpowiadające makro	Element w adresie URL
`addtl_consent`	`ADDTL_CONSENT`	`&addtl_consent=${ADDTL_CONSENT}`

Przykład 1

Aby Dostawca A otrzymał ciąg tekstowy dotyczący udzielenia dodatkowej zgody, adres URL obrazu musi zawierać parę klucz-wartość z parametrem adresu URL i makrem &addtl_consent=${ADDTL_CONSENT}. Powstały adres URL wygląda wtedy tak:

http://vendor-a.com/key1=val1&key2=val2&addtl_consent=${ADDTL_CONSENT}

Przykład 2

W żądaniu ciąg tekstowy dotyczący udzielenia dodatkowej zgody ma postać: 1~1.35.41.101.

Element wywołujący kreację lub mechanizm jej renderowania zastępuje makro w adresie URL rzeczywistym ciągiem dotyczącym udzielenia dodatkowej zgody, co sprawia, że w momencie wywołania określonego serwera umieszczony pierwotnie piksel z makrem jest modyfikowany w ten sposób:

http://vendor-a.com/key1=val1&key2=val2&addtl_consent=1~1.35.41.101

Czy to było pomocne?

Jak możemy ją poprawić?