EG-domstolens dom: Cookies och GDPR – Vem måste ge sitt samtycke nu?

EG-domstolens dom: Cookies och GDPR – Vem måste ge sitt samtycke nu?

Den 30 maj 2025 kommer fokus att ligga på dataskydd och behandling av personuppgifter, särskilt i samband med personlig reklam. EU-domstolen (EG-domstolen) har nyligen fattat en avgörande dom som klargör kraven för att få användarens samtycke vid behandling av dessa uppgifter. Domen (ref. C-604/22), som är baserad på ett förhandsavgörande från en belgisk domstol, klargjorde att samtycke är obligatoriskt innan personlig reklam visas.

Domstolen slog fast att "TC-strängen", en uppdaterad standard för lagring och överföring av användardata, räknas som personuppgifter enligt den allmänna dataskyddsförordningen (GDPR). Denna klassificering innebär att TC-strängen potentiellt kan avslöja användarens identitet och är därför föremål för de strikta kraven i GDPR. Enligt domen måste reklamföretag som Interactive Advertising Bureau Europe (IAB) se till att de får användarnas samtycke för att samla in och behandla deras data.

Datalagringsteknik

Användningen av partnercookies och liknande onlineidentifierare är redan utbredd. Dessa teknologier gör det möjligt att lagra eller läsa information som webbläsartyp, språk, skärmstorlek och tekniker som stöds på slutenheter. Dessa data används sedan för att leverera riktad reklam. Till exempel kan en biltillverkare specifikt marknadsföra elfordon till stadsanvändare efter 18:30.

Sådana reklamåtgärder baseras ofta på användarprofiler som skapas från tidigare insamlat beteende på respektive plattform. Ett exempel på detta är en onlineåterförsäljare som specifikt visar reklam för löparskor för användare som tidigare har sökt efter dessa produkter. Dessutom används information om interaktioner med reklam för att mäta reklamprestanda och förbättra innehållets relevans.

Ansvar för reklamföretag

EG-domstolens dom gör det klart att företag som behandlar personuppgifter, såsom IAB, klassificeras som "kontrollanter" i den mening som avses i GDPR. Det innebär att de måste besluta om syften och medlen för databehandlingen. Underlåtenhet att följa efterlevnaden kan resultera i åtgärder och böter, som nyligen ålagts av den belgiska dataskyddsmyndigheten mot IAB.

Inom digital reklam är det avgörande att användarna inte bara är informerade, utan också aktivt kan invända mot insamling och bearbetning av deras data. Data som samlas in kan innehålla allt från plats och ålder till sökhistorik och gjorda köp, vilket framhäver ämnets komplexitet.

För att uppfylla kraven i GDPR har IAB utvecklat "Transparency and Consent Framework" (TCF). Denna plattform gör det lättare att få nödvändigt samtycke för databehandling och säkerställer att användarnas rättigheter respekteras. Detta skapar också underlag för att exempelvis genomföra anonymiserade utvärderingar för att förbättra produkter och erbjudanden.

Sammantaget visar den pågående diskussionen om reklam, dataskyddskrav och ansvarigas roll hur viktigt det är att hantera användardata på ett transparent sätt samtidigt som man uppfyller lagkraven. En nära koppling mellan reklam och dataskydd är mer nödvändigt än någonsin för att vinna och behålla användarnas förtroende på lång sikt.