EU-domstolen klargör reglerna gällande auktionering av personuppgifter för reklamändamål i målet IAB Europe (C-604/22) enligt dataskyddsförordningen (GDPR).
När en användare besöker en webbplats eller applikation som innehåller reklamutrymme kan företag, mäklare och som representerar tusentals annonsörer, lägga bud i realtid, bakom kulisserna, för att förvärva detta annonsutrymmet för att där kunna visa annonser som är anpassade till användarens profil (Real Time Bidding).
Innan sådana riktade annonser kan visas är det dock nödvändigt att få användarens samtycke till insamling och behandling av hans eller hennes uppgifter (till exempel om plats, ålder och sök- och senaste köp) för ändamål som bland annat marknadsföring eller annonsering, eller i syfte att dela dessa dessa uppgifter med vissa leverantörer. Användaren kan också invända mot sådan insamling och behandling.
IAB Europe är en ideell förening grundad i Belgien som representerar företag inom den digitala
reklam- och marknadsföringssektorn på europeisk nivå. IAB Europe har utarbetat en lösning som enligt dess uppfattning kan få detta auktionssystem i överensstämmelse med GDPR. Användarnas preferenser kodas och lagras i en sträng som består av en kombination av bokstäver och tecken och som kallas Transparency and Consent String (TC String), som delas med personuppgiftsbiträden och annonsplattformar så att de vet vad användaren har samtyckt till eller motsatt sig. En cookie placeras också på användarens enhet. När de kombineras kan TC String och cookien kopplas till användarens ip-adress.
2022 konstaterade den belgiska dataskyddsmyndigheten Gegevensbeschermingsautoriteit (GBA) att TC String utgör personuppgifter i den mening som avses i GDPR och att IAB Europe agerat som personuppgiftsansvarig utan att fullt ut uppfylla kraven i GDPR. Myndigheten ålade IAB Europe ett antal korrigerande åtgärder samt en administrativ sanktionsavgift. IAB Europe har bestridit detta beslut och väckt talan vid appellationsdomstolen i Bryssel, som har hänskjutit frågor till EU-domstolen för förhandsavgörande.
I sin dom bekräftar EU-domstolen att TC String innehåller information om en identifierbar
identifierbar användare och därför utgör personuppgifter i den mening som avses i GDPR. Om den
informationen i en TC String är kopplad till en identifierare, såsom bland annat ip-adressen för användarens enhet, kan den informationen göra det möjligt att skapa en profil för den användaren och att identifiera honom eller henne.
Dessutom måste IAB Europe betraktas som gemensamt personuppgiftsansvarig i den mening som avses i GDPR. Med förbehåll för det ankommer på den hänskjutande domstolen att avgöra, förefaller denna sammanslutning utöva inflytande över när användarnas samtyckespreferenser registreras i en TC String, och att tillsammans med sina medlemmar, bestämma såväl ändamålen med dessa behandlingar som medlen bakom dem. Utan att det påverkar tillämpningen av det civilrättsliga ansvar som föreskrivs i nationell rätt kan IAB Europe emellertid inte anses vara personuppgiftsansvarig, i den mening som avses i GDPR, för den behandling av uppgifter som sker efter det att användarnas preferenser avseende samtycke har registrerats i en TC String, om det inte kan fastställas att denna sammanslutning har utövat ett inflytande över fastställandet av ändamålen och medlen för dessa efterföljande behandlingar.