Rozhodnutí ESD: Cookies a GDPR – Kdo musí nyní udělit souhlas?

Rozhodnutí ESD: Cookies a GDPR – Kdo musí nyní udělit souhlas?

Dne 30. května 2025 se zaměří na ochranu dat a zpracování osobních údajů, zejména v rámci personalizované reklamy. Evropský soudní dvůr (ESD) nedávno vydal rozhodující rozhodnutí, které upřesňuje požadavky na získání souhlasu uživatele při zpracování těchto údajů. Rozsudek (ref. C-604/22), který je založen na předběžném rozhodnutí belgického soudu, objasnil, že před zobrazením personalizované reklamy je nutný souhlas.

Soud rozhodl, že „řetězec TC“, aktualizovaný standard pro ukládání a přenos uživatelských dat, se považuje za osobní údaje ve smyslu obecného nařízení o ochraně osobních údajů (GDPR). Tato klasifikace znamená, že řetězec TC může potenciálně odhalit identitu uživatele, a proto podléhá přísným požadavkům GDPR. Podle rozsudku musí reklamní společnosti, jako je Interactive Advertising Bureau Europe (IAB), zajistit, aby získaly souhlas uživatelů se shromažďováním a zpracováním jejich údajů.

Technologie ukládání dat

Používání partnerských cookies a podobných online identifikátorů je již velmi rozšířené. Tyto technologie umožňují na koncových zařízeních ukládat nebo číst informace, jako je typ prohlížeče, jazyk, velikost obrazovky a podporované technologie. Tyto údaje se pak používají k poskytování cílené reklamy. Například výrobce automobilů by mohl konkrétně inzerovat elektrická vozidla pro městské uživatele po 18:30.

Taková reklamní opatření jsou často založena na uživatelských profilech, které jsou vytvořeny na základě dříve shromážděného chování na příslušné platformě. Příkladem je internetový prodejce, který konkrétně zobrazuje reklamu na běžecké boty uživatelům, kteří tyto produkty již dříve hledali. Kromě toho se informace o interakcích s reklamou používají k měření výkonu reklamy a zlepšení relevance obsahu.

Zodpovědnost reklamních společností

Rozhodnutí ESD jasně říká, že společnosti, které zpracovávají osobní údaje, jako je IAB, jsou ve smyslu GDPR klasifikovány jako „správci“. To znamená, že musí rozhodnout o účelech a prostředcích zpracování údajů. Nedodržení může mít za následek opatření a pokuty, jak nedávno uložil belgický úřad pro ochranu údajů IAB.

V digitální reklamě je klíčové, aby uživatelé byli nejen informováni, ale mohli také aktivně vznést námitky proti shromažďování a zpracování svých údajů. Shromážděná data mohou zahrnovat vše od místa a věku až po historii vyhledávání a provedené nákupy, což zdůrazňuje složitost tématu.

Aby IAB splnila požadavky GDPR, vyvinula „Transparency and Consent Framework“ (TCF). Tato platforma usnadňuje získání potřebného souhlasu se zpracováním údajů a zajišťuje dodržování práv uživatelů. To také vytváří základ například pro provádění anonymizovaných hodnocení za účelem zlepšení produktů a nabídek.

Současná diskuse o reklamě, požadavcích na ochranu údajů a úloze odpovědných osob celkově ukazuje, jak důležité je transparentně nakládat s údaji uživatelů a zároveň plnit zákonné požadavky. Úzká vazba mezi reklamou a ochranou dat je potřebnější než kdy jindy, aby bylo možné dlouhodobě získat a udržet důvěru uživatelů.