Rozhodnutie Európskeho súdneho dvora: Cookies a GDPR – Kto musí teraz udeliť súhlas?

Rozhodnutie Európskeho súdneho dvora: Cookies a GDPR – Kto musí teraz udeliť súhlas?

30. mája 2025 sa pozornosť sústredí na ochranu údajov a spracovanie osobných údajov, najmä v kontexte personalizovanej reklamy. Európsky súdny dvor (ESD) nedávno vydal rozhodujúce rozhodnutie, ktoré objasňuje požiadavky na získanie súhlasu používateľa pri spracovaní týchto údajov. Rozsudok (ref. C-604/22), ktorý je založený na predbežnom rozhodnutí belgického súdu, objasnil, že súhlas je povinný pred zobrazením personalizovanej reklamy.

Súd rozhodol, že „reťazec TC“, aktualizovaný štandard na ukladanie a prenos používateľských údajov, sa považuje za osobné údaje v zmysle všeobecného nariadenia o ochrane údajov (GDPR). Táto klasifikácia znamená, že reťazec TC môže potenciálne odhaliť identitu používateľa, a preto podlieha prísnym požiadavkám GDPR. Podľa rozsudku musia reklamné spoločnosti ako Interactive Advertising Bureau Europe (IAB) zabezpečiť získanie súhlasu používateľov na zhromažďovanie a spracovanie ich údajov.

Technológie ukladania dát

Používanie partnerských cookies a podobných online identifikátorov je už rozšírené. Tieto technológie umožňujú ukladať alebo čítať informácie ako typ prehliadača, jazyk, veľkosť obrazovky a podporované technológie na koncových zariadeniach. Tieto údaje sa potom používajú na poskytovanie cielenej reklamy. Napríklad výrobca automobilov by mohol špecificky inzerovať elektrické vozidlá pre mestských používateľov po 18:30.

Takéto reklamné opatrenia sú často založené na používateľských profiloch, ktoré sú vytvorené na základe predtým zhromaždeného správania na príslušnej platforme. Príkladom je online predajca, ktorý konkrétne zobrazuje reklamu na bežeckú obuv používateľom, ktorí už tieto produkty hľadali. Okrem toho sa informácie o interakciách s reklamou používajú na meranie výkonnosti reklamy a zlepšenie relevantnosti obsahu.

Zodpovednosť reklamných spoločností

Rozhodnutie ESD jasne uvádza, že spoločnosti, ktoré spracúvajú osobné údaje, ako napríklad IAB, sú v zmysle GDPR klasifikované ako „prevádzkovatelia“. To znamená, že musia rozhodnúť o účeloch a prostriedkoch spracovania údajov. Nedodržanie môže viesť k opatreniam a pokutám, ktoré nedávno uložil belgický úrad na ochranu údajov IAB.

V digitálnej reklame je kľúčové, aby používatelia boli nielen informovaní, ale mohli aj aktívne namietať proti zhromažďovaniu a spracovaniu svojich údajov. Zhromaždené údaje môžu zahŕňať všetko od polohy a veku až po históriu vyhľadávania a uskutočnené nákupy, čo zdôrazňuje zložitosť témy.

S cieľom splniť požiadavky GDPR IAB vyvinul „Transparency and Consent Framework“ (TCF). Táto platforma uľahčuje získanie potrebného súhlasu na spracovanie údajov a zabezpečuje dodržiavanie práv používateľov. To tiež vytvára základ napríklad pre vykonávanie anonymizovaných hodnotení na zlepšenie produktov a ponúk.

Súčasná diskusia o reklame, požiadavkách na ochranu údajov a úlohe zodpovedných celkovo ukazuje, aké dôležité je transparentne nakladať s používateľskými údajmi a zároveň spĺňať zákonné požiadavky. Úzke prepojenie medzi reklamou a ochranou údajov je potrebnejšie ako kedykoľvek predtým, aby sa dlhodobo získala a udržala dôvera používateľov.