Sodba Evropskega sodišča: Piškotki in GDPR – Kdo mora zdaj dati soglasje?

Sodba Evropskega sodišča: Piškotki in GDPR – Kdo mora zdaj dati soglasje?

30. maja 2025 bo poudarek na varstvu podatkov in obdelavi osebnih podatkov, predvsem v okviru personaliziranega oglaševanja. Sodišče Evropskih skupnosti (ECJ) je nedavno sprejelo odločilno sodbo, ki pojasnjuje zahteve za pridobitev soglasja uporabnika pri obdelavi teh podatkov. Sodba (ref. C-604/22), ki temelji na predhodni odločitvi belgijskega sodišča, je pojasnila, da je privolitev obvezna pred prikazovanjem prilagojenega oglaševanja.

Sodišče je razsodilo, da se »TC string«, posodobljen standard za shranjevanje in prenos podatkov o uporabnikih, šteje za osebne podatke v smislu Splošne uredbe o varstvu podatkov (GDPR). Ta klasifikacija pomeni, da lahko niz TC potencialno razkrije identiteto uporabnika in zato zanj veljajo stroge zahteve GDPR. V skladu s sodbo morajo oglaševalska podjetja, kot je Interactive Advertising Bureau Europe (IAB), zagotoviti, da pridobijo soglasje uporabnikov za zbiranje in obdelavo njihovih podatkov.

Tehnologije za shranjevanje podatkov

Uporaba partnerskih piškotkov in podobnih spletnih identifikatorjev je že zelo razširjena. Te tehnologije omogočajo shranjevanje ali branje informacij, kot so vrsta brskalnika, jezik, velikost zaslona in podprte tehnologije na končnih napravah. Ti podatki se nato uporabijo za zagotavljanje ciljanega oglaševanja. Proizvajalec avtomobilov bi lahko na primer posebej oglaševal električna vozila mestnim uporabnikom po 18.30.

Takšni oglaševalski ukrepi pogosto temeljijo na uporabniških profilih, ki so ustvarjeni iz predhodno zbranega vedenja na zadevni platformi. Primer tega je spletni prodajalec, ki posebej prikazuje oglase za tekaške copate uporabnikom, ki so že prej iskali te izdelke. Poleg tega se informacije o interakcijah z oglaševanjem uporabljajo za merjenje uspešnosti oglaševanja in izboljšanje ustreznosti vsebine.

Odgovornost oglaševalskih podjetij

Sodba Evropskega sodišča jasno določa, da so podjetja, ki obdelujejo osebne podatke, kot je IAB, razvrščena kot "upravljavci" v smislu GDPR. To pomeni, da se morajo odločiti o namenu in sredstvih obdelave podatkov. Neupoštevanje lahko povzroči ukrepe in globe, kot je nedavno naložil belgijski organ za varstvo podatkov proti IAB.

Pri digitalnem oglaševanju je ključnega pomena, da uporabniki niso le obveščeni, ampak lahko tudi aktivno ugovarjajo zbiranju in obdelavi njihovih podatkov. Zbrani podatki lahko vključujejo vse od lokacije in starosti do zgodovine iskanja in opravljenih nakupov, kar poudari kompleksnost teme.

Za izpolnjevanje zahtev GDPR je IAB razvil »Ogrodje preglednosti in soglasja« (TCF). Ta platforma omogoča lažje pridobivanje potrebnega soglasja za obdelavo podatkov in zagotavlja spoštovanje pravic uporabnikov. To ustvarja tudi osnovo za na primer izvajanje anonimnih ocen za izboljšanje izdelkov in ponudb.

Na splošno trenutna razprava o oglaševanju, zahtevah glede varstva podatkov in vlogi odgovornih kaže, kako pomembno je pregledno ravnanje s podatki uporabnikov ob hkratnem izpolnjevanju zakonskih zahtev. Tesna povezava med oglaševanjem in varstvom podatkov je bolj kot kdaj koli prej potrebna, da bi dolgoročno pridobili in ohranili zaupanje uporabnikov.