Euroopa Kohtu otsus: küpsised ja GDPR – kes peab nüüd nõusoleku andma?

Euroopa Kohtu otsus: küpsised ja GDPR – kes peab nüüd nõusoleku andma?

30. mail 2025 on fookuses andmekaitse ja isikuandmete töötlemine, eelkõige isikustatud reklaami kontekstis. Euroopa Kohus (EKJ) tegi hiljuti otsustava otsuse, mis selgitab nõudeid nende andmete töötlemisel kasutaja nõusoleku saamiseks. Kohtuotsuses (viide C-604/22), mis põhineb Belgia kohtu eelotsusel, selgitati, et nõusolek on enne isikupärastatud reklaami näitamist kohustuslik.

Kohus otsustas, et kasutajaandmete salvestamise ja edastamise uuendatud standard "TC string" loetakse isikuandmeteks isikuandmete kaitse üldmääruse (GDPR) tähenduses. See klassifikatsioon tähendab, et TC string võib potentsiaalselt paljastada kasutaja identiteedi ja seetõttu kehtivad sellele GDPR-i ranged nõuded. Määruse kohaselt peavad reklaamifirmad nagu Interactive Advertising Bureau Europe (IAB) tagama, et nad saaksid kasutajate nõusoleku nende andmete kogumiseks ja töötlemiseks.

Andmete salvestamise tehnoloogiad

Partnerküpsiste ja sarnaste veebiidentifikaatorite kasutamine on juba laialt levinud. Need tehnoloogiad võimaldavad salvestada või lugeda lõppseadmetes sellist teavet nagu brauseri tüüp, keel, ekraani suurus ja toetatud tehnoloogiad. Neid andmeid kasutatakse seejärel suunatud reklaami edastamiseks. Näiteks võib autotootja reklaamida elektrisõidukeid linnakasutajatele pärast kella 18.30.

Sellised reklaamimeetmed põhinevad sageli kasutajaprofiilidel, mis on loodud vastaval platvormil varem kogutud käitumise põhjal. Selle näiteks on Interneti-jaemüüja, kes näitab spetsiaalselt jooksujalatsite reklaame kasutajatele, kes on neid tooteid varem otsinud. Lisaks kasutatakse teavet reklaamiga suhtlemise kohta, et mõõta reklaami toimivust ja parandada sisu asjakohasust.

Reklaamifirmade vastutus

Euroopa Kohtu otsus teeb selgeks, et isikuandmeid töötlevad ettevõtted, nagu IAB, liigitatakse GDPR-i tähenduses vastutavateks töötlejateks. See tähendab, et nad peavad otsustama andmetöötluse eesmärkide ja vahendite üle. Nõuete eiramine võib kaasa tuua meetmed ja trahvid, nagu Belgia andmekaitseamet määras hiljuti IAB vastu.

Digireklaami puhul on ülioluline, et kasutajaid mitte ainult ei teavitataks, vaid nad saaksid ka aktiivselt oma andmete kogumise ja töötlemise vastu vastu seista. Kogutud andmed võivad sisaldada kõike alates asukohast ja vanusest kuni otsinguajaloo ja tehtud ostudeni, tuues esile teema keerukuse.

GDPR-i nõuete täitmiseks on IAB välja töötanud läbipaistvuse ja nõusoleku raamistiku (TCF). See platvorm hõlbustab andmetöötluseks vajaliku nõusoleku saamist ja tagab kasutajate õiguste austamise. See loob aluse ka näiteks anonüümsete hindamiste läbiviimiseks toodete ja pakkumiste täiustamiseks.

Üldiselt näitab praegune arutelu reklaami, andmekaitsenõuete ja vastutajate rolli üle, kui oluline on käsitleda kasutajaandmeid läbipaistvalt, järgides samal ajal õiguslikke nõudeid. Tihe seos reklaami ja andmekaitse vahel on kasutajate usalduse võitmiseks ja säilitamiseks pikemas perspektiivis vajalikum kui kunagi varem.