Az EB döntése: Cookie-k és GDPR – Kinek kell most beleegyeznie?

Az EB döntése: Cookie-k és GDPR – Kinek kell most beleegyeznie?

2025. május 30-án az adatvédelem és a személyes adatok feldolgozása lesz a fókuszban, különös tekintettel a személyre szabott hirdetésekre. Az Európai Bíróság (EB) a közelmúltban határozott döntést hozott, amely pontosítja az adatok feldolgozásához szükséges felhasználói hozzájárulás megszerzésének követelményeit. Az ítélet (ref. C-604/22), amely egy belga bíróság előzetes döntésén alapul, pontosította, hogy a személyre szabott reklám megjelenítése előtt a hozzájárulás kötelező.

A bíróság kimondta, hogy a „TC string”, a felhasználói adatok tárolásának és továbbításának frissített szabványa, az Általános Adatvédelmi Rendelet (GDPR) értelmében személyes adatnak számít. Ez a besorolás azt jelenti, hogy a TC-karakterlánc potenciálisan felfedheti a felhasználó kilétét, ezért a GDPR szigorú követelményei vonatkoznak rá. Az ítélet szerint az olyan reklámcégeknek, mint az Interactive Advertising Bureau Europe (IAB) gondoskodniuk kell arról, hogy megszerezzék a felhasználók hozzájárulását adataik gyűjtéséhez és feldolgozásához.

Adattárolási technológiák

A partnersütik és hasonló online azonosítók használata már elterjedt. Ezek a technológiák lehetővé teszik olyan információk tárolását vagy olvasását, mint a böngésző típusa, nyelve, képernyőmérete és a támogatott technológiák a végeszközökön. Ezeket az adatokat azután célzott reklámozáshoz használják fel. Például egy autógyártó kifejezetten hirdethet elektromos járműveket a városi felhasználóknak 18:30 után.

Az ilyen hirdetési intézkedések gyakran olyan felhasználói profilokon alapulnak, amelyeket az adott platformon korábban gyűjtött viselkedés alapján hoztak létre. Példa erre egy online kereskedő, amely kifejezetten futócipők hirdetését jeleníti meg azoknak a felhasználóknak, akik korábban kerestek ilyen termékeket. Ezenkívül a hirdetésekkel való interakciókra vonatkozó információk a hirdetési teljesítmény mérésére és a tartalom relevanciájának javítására szolgálnak.

A reklámcégek felelőssége

Az EB ítélete egyértelművé teszi, hogy a személyes adatokat feldolgozó vállalatok, mint például az IAB, a GDPR értelmében „adatkezelőnek” minősülnek. Ez azt jelenti, hogy dönteniük kell az adatkezelés céljairól és eszközeiről. Az előírások be nem tartása intézkedéseket és pénzbírságokat vonhat maga után, ahogyan azt a belga adatvédelmi hatóság nemrégiben kiszabta az IAB-val szemben.

A digitális reklámozásban kulcsfontosságú, hogy a felhasználók ne csak tájékozottak legyenek, hanem aktívan tiltakozhassanak adataik gyűjtése és kezelése ellen. Az összegyűjtött adatok a helytől és életkortól kezdve a keresési előzményekig és a vásárlásokig mindent tartalmazhatnak, kiemelve a téma összetettségét.

A GDPR követelményeinek való megfelelés érdekében az IAB kidolgozta az „Átláthatósági és beleegyezési keretrendszert” (TCF). Ez a platform megkönnyíti az adatkezeléshez szükséges hozzájárulás megszerzését, és biztosítja a felhasználók jogainak tiszteletben tartását. Ez megteremti az alapot például a termékek és ajánlatok javítása érdekében anonimizált értékelések elvégzéséhez.

Összességében a reklámozásról, az adatvédelmi követelményekről és a felelősök szerepéről folyó jelenlegi vita azt mutatja, hogy mennyire fontos a felhasználói adatok átlátható kezelése, ugyanakkor a törvényi előírások betartása. A reklámozás és az adatvédelem közötti szoros kapcsolat minden eddiginél szükségesebb a felhasználók bizalmának elnyeréséhez és hosszú távú fenntartásához.