Euroopan yhteisöjen tuomioistuimen päätös: Evästeet ja GDPR – Kenen on annettava suostumus nyt?

Euroopan yhteisöjen tuomioistuimen päätös: Evästeet ja GDPR – Kenen on annettava suostumus nyt?

30.5.2025 painopiste on tietosuojassa ja henkilötietojen käsittelyssä erityisesti personoidun mainonnan yhteydessä. Euroopan yhteisöjen tuomioistuin (ECJ) antoi äskettäin ratkaisevan tuomion, joka selventää vaatimuksia käyttäjän suostumuksen saamiseksi näitä tietoja käsiteltäessä. Tuomio (viite C-604/22), joka perustuu belgialaisen tuomioistuimen ennakkoratkaisuun, selvensi, että suostumus on pakollinen ennen personoidun mainonnan näyttämistä.

Tuomioistuin päätti, että "TC-merkkijono", päivitetty standardi käyttäjätietojen tallentamiseen ja lähettämiseen, lasketaan henkilötiedoiksi yleisen tietosuoja-asetuksen (GDPR) mukaisesti. Tämä luokitus tarkoittaa, että TC-merkkijono voi mahdollisesti paljastaa käyttäjän henkilöllisyyden ja siksi siihen sovelletaan GDPR:n tiukkoja vaatimuksia. Päätöksen mukaan mainosyritysten, kuten Interactive Advertising Bureau Europen (IAB) on varmistettava, että ne hankkivat käyttäjien suostumuksen tietojen keräämiseen ja käsittelyyn.

Tietojen tallennustekniikat

Kumppanien evästeiden ja vastaavien verkkotunnisteiden käyttö on jo yleistä. Nämä tekniikat mahdollistavat tietojen, kuten selaintyypin, kielen, näytön koon ja tuettujen tekniikoiden tallentamisen tai lukemisen päätelaitteisiin. Näitä tietoja käytetään sitten kohdennettuun mainontaan. Esimerkiksi autonvalmistaja voisi erityisesti mainostaa sähköajoneuvoja kaupunkikäyttäjille klo 18.30 jälkeen.

Tällaiset mainontatoimenpiteet perustuvat usein käyttäjäprofiileihin, jotka on luotu kyseisellä alustalla aiemmin kerätyn käyttäytymisen perusteella. Esimerkki tästä on verkkojälleenmyyjä, joka näyttää erityisesti juoksukenkien mainoksia käyttäjille, jotka ovat aiemmin hakeneet näitä tuotteita. Lisäksi tietoja vuorovaikutuksesta mainonnan kanssa käytetään mainonnan tehokkuuden mittaamiseen ja sisällön osuvuuden parantamiseen.

Mainosyritysten vastuu

Euroopan yhteisöjen tuomioistuimen tuomiossa tehdään selväksi, että henkilötietoja käsittelevät yritykset, kuten IAB, luokitellaan GDPR:n mukaisiksi "rekisterinpitäjiksi". Tämä tarkoittaa, että heidän on päätettävä tietojenkäsittelyn tarkoituksesta ja keinoista. Laiminlyönnistä voi seurata toimenpiteitä ja sakkoja, kuten Belgian tietosuojaviranomainen on äskettäin määrännyt IAB:ta vastaan.

Digimainonnassa on ratkaisevan tärkeää, että käyttäjät eivät ole vain tietoisia, vaan he voivat myös aktiivisesti vastustaa tietojensa keräämistä ja käsittelyä. Kerätyt tiedot voivat sisältää kaikkea sijainnista ja iästä hakuhistoriaan ja tehtyihin ostoihin, mikä korostaa aiheen monimutkaisuutta.

IAB on kehittänyt "Transparency and Consent Framework" (TCF) noudattaakseen GDPR:n vaatimuksia. Tämä alusta helpottaa tarvittavan suostumuksen saamista tietojen käsittelyyn ja varmistaa, että käyttäjien oikeuksia kunnioitetaan. Tämä luo pohjan myös esimerkiksi anonymisoitujen arvioiden tekemiselle tuotteiden ja tarjousten parantamiseksi.

Kaiken kaikkiaan nykyinen keskustelu mainonnasta, tietosuojavaatimuksista ja vastuuhenkilöiden roolista osoittaa, kuinka tärkeää on käsitellä käyttäjätietoja läpinäkyvästi ja samalla noudattaa lakisääteisiä vaatimuksia. Tiivis yhteys mainonnan ja tietosuojan välillä on tärkeämpää kuin koskaan, jotta voidaan saavuttaa ja säilyttää käyttäjien luottamus pitkällä aikavälillä.