ECJ-avgjørelse: Informasjonskapsler og GDPR – Hvem må gi samtykke nå?

ECJ-avgjørelse: Informasjonskapsler og GDPR – Hvem må gi samtykke nå?

30. mai 2025 vil fokus være på databeskyttelse og behandling av personopplysninger, spesielt i forbindelse med personlig tilpasset annonsering. EU-domstolen (ECJ) har nylig avsagt en avgjørende dom som klargjør kravene for å innhente brukersamtykke ved behandling av disse dataene. Dommen (ref. C-604/22), som er basert på en foreløpig kjennelse fra en belgisk domstol, klargjorde at samtykke er obligatorisk før visning av personlig tilpasset reklame.

Retten slo fast at «TC-strengen», en oppdatert standard for lagring og overføring av brukerdata, teller som personopplysninger i henhold til den generelle databeskyttelsesforordningen (GDPR). Denne klassifiseringen betyr at TC-strengen potensielt kan avsløre identiteten til brukeren og er derfor underlagt de strenge kravene i GDPR. Ifølge kjennelsen skal reklameselskaper som Interactive Advertising Bureau Europe (IAB) sørge for at de innhenter brukernes samtykke til å samle inn og behandle dataene deres.

Datalagringsteknologier

Bruken av partnerinformasjonskapsler og lignende nettidentifikatorer er allerede utbredt. Disse teknologiene gjør det mulig å lagre eller lese informasjon som nettlesertype, språk, skjermstørrelse og støttede teknologier på sluttenheter. Disse dataene brukes deretter til å levere målrettet annonsering. For eksempel kan en bilprodusent spesifikt annonsere for elektriske kjøretøy til urbane brukere etter 18:30.

Slike annonseringstiltak er ofte basert på brukerprofiler som er opprettet fra tidligere innsamlet atferd på den respektive plattformen. Et eksempel på dette er en nettforhandler som spesifikt viser reklame for joggesko til brukere som tidligere har søkt etter disse produktene. I tillegg brukes informasjon om interaksjoner med reklame for å måle annonseytelse og forbedre relevansen til innholdet.

Ansvar for annonseselskaper

EF-domstolens kjennelse gjør det klart at selskaper som behandler personopplysninger, slik som IAB, er klassifisert som «kontrollører» i henhold til GDPR. Dette betyr at de må ta stilling til formål og midler for databehandling. Manglende overholdelse kan resultere i tiltak og bøter, som nylig ilagt av det belgiske datatilsynet mot IAB.

I digital annonsering er det avgjørende at brukerne ikke bare er informert, men også aktivt kan protestere mot innsamling og behandling av dataene deres. Dataene som samles inn kan inkludere alt fra plassering og alder til søkehistorikk og kjøp gjort, og fremhever kompleksiteten til emnet.

For å overholde kravene i GDPR har IAB utviklet «Transparency and Consent Framework» (TCF). Denne plattformen gjør det lettere å innhente nødvendig samtykke for databehandling og sikrer at brukernes rettigheter respekteres. Dette skaper også grunnlag for for eksempel å gjennomføre anonymiserte evalueringer for å forbedre produkter og tilbud.

Samlet sett viser den nåværende diskusjonen om annonsering, databeskyttelseskrav og rollen til de ansvarlige hvor viktig det er å håndtere brukerdata på en transparent måte samtidig som de oppfyller juridiske krav. En nær kobling mellom reklame og databeskyttelse er mer nødvendig enn noen gang for å oppnå og opprettholde brukernes tillit på lang sikt.