EU-domstolens afgørelse: Cookies og GDPR – Hvem skal give samtykke nu?

EU-domstolens afgørelse: Cookies og GDPR – Hvem skal give samtykke nu?

Den 30. maj 2025 vil fokus være på databeskyttelse og behandling af persondata, især i forbindelse med personlig annoncering. EU-Domstolen har for nylig afsagt en afgørende dom, der præciserer kravene til indhentning af brugersamtykke ved behandling af disse data. Dommen (ref. C-604/22), som er baseret på en præjudiciel afgørelse fra en belgisk domstol, præciserede, at samtykke er obligatorisk før visning af personlig reklame.

Retten afgjorde, at "TC-strengen", en opdateret standard for lagring og overførsel af brugerdata, tæller som personlige data i henhold til den generelle databeskyttelsesforordning (GDPR). Denne klassificering betyder, at TC-strengen potentielt kan afsløre brugerens identitet og er derfor underlagt de strenge krav i GDPR. Ifølge dommen skal reklamevirksomheder som Interactive Advertising Bureau Europe (IAB) sikre, at de indhenter brugernes samtykke til at indsamle og behandle deres data.

Datalagringsteknologier

Brugen af ​​partnercookies og lignende online identifikatorer er allerede udbredt. Disse teknologier gør det muligt at gemme eller læse information såsom browsertype, sprog, skærmstørrelse og understøttede teknologier på slutenheder. Disse data bruges derefter til at levere målrettet annoncering. For eksempel kunne en bilproducent specifikt reklamere for elektriske køretøjer til bybrugere efter kl. 18.30.

Sådanne annonceringsforanstaltninger er ofte baseret på brugerprofiler, der er skabt ud fra tidligere indsamlet adfærd på den respektive platform. Et eksempel på dette er en online forhandler, der specifikt viser annoncer for løbesko til brugere, der tidligere har søgt efter disse produkter. Derudover bruges oplysninger om interaktioner med annoncering til at måle annonceringsydelse og forbedre indholdets relevans.

Ansvar for annoncevirksomheder

EF-domstolens afgørelse gør det klart, at virksomheder, der behandler personoplysninger, såsom IAB, er klassificeret som "kontrollanter" i GDPR's forstand. Det betyder, at de skal tage stilling til formål og midler til databehandling. Manglende overholdelse kan resultere i foranstaltninger og bøder, som den belgiske databeskyttelsesmyndighed for nylig har pålagt IAB.

I digital annoncering er det afgørende, at brugerne ikke kun informeres, men også aktivt kan gøre indsigelse mod indsamling og behandling af deres data. De indsamlede data kan omfatte alt fra placering og alder til søgehistorik og foretaget køb, hvilket fremhæver emnets kompleksitet.

For at overholde kravene i GDPR har IAB udviklet "Transparency and Consent Framework" (TCF). Denne platform gør det nemmere at indhente det nødvendige samtykke til databehandling og sikrer, at brugernes rettigheder respekteres. Dette skaber også grundlag for fx at gennemføre anonymiserede evalueringer for at forbedre produkter og tilbud.

Samlet set viser den aktuelle diskussion om annoncering, databeskyttelseskrav og de ansvarliges rolle, hvor vigtigt det er at håndtere brugerdata på en gennemsigtig måde og samtidig opfylde lovkrav. En tæt forbindelse mellem reklame og databeskyttelse er mere nødvendig end nogensinde for at opnå og bevare brugernes tillid på lang sigt.