Sagen omhandler Real Time Bidding (RTB) samt brugen af cookies og en såkaldt TC String. Domstolen behandler endvidere spørgsmålet om fordeling af dataansvaret, når platformen udbydes og bruges af flere parter.
Med EU-Domstolens afgørelse må det forventes, at den belgiske domstol nu vil afgøre den nationale sag mellem IAB Europe og det belgiske datatilsyn. I denne sag er der bl.a. netop rejst spørgsmål om i hvilket omfang IAB Europe – og dets medlemmer – kan benytte databeskyttelsesforordningens artikel 6, stk. 1, litra f, om legitim interesse som behandlingsgrundlag ved markedsføringsaktiviteter. Væsentlige bidrag til fortolkningen af denne bestemmelse, kan således have stor betydning for virksomheders mulighed for at benytte internetbaseret markedsføring, målretning, profilering mv.
CO:PLAY anbefaler, at virksomheder genbesøger deres cookie-løsninger og navnlig sikrer, at der er overblik over om eksterne bureauer mv., som bistår med at drive markedsføringskampagner, er tilsluttet IAB Europes platform eller andre lignende løsninger. I så fald er det virksomhedens ansvar at sikre, at de benyttede løsninger i dag, og på sigt, lever op til de relevante krav i cookie-reglerne og databeskyttelsesforordningen.
Om sagen
Sagens parter er den fælleseuropæiske brancheorganisation for digital markedsføring, IAB Europe og det belgiske datatilsyn.
IAB Europe udbyder en platform, hvor virksomheder kan byde via reklameplatforme, der er skræddersyet specifikt til virksomhedernes målgruppe og produkt. IAB Europe er non-profit, og tilbyder platformen til alle brancheorganisationens medlemmer. Platformen er en såkaldt real time bidding-løsning (RTB), som er en auktionsordning til øjeblikkelig og automatiseret onlinesalg af brugerprofiler med henblik på salg og køb af reklameplads på internettet. Platformen understøtter kort fortalt, at reklamebureauer mv., der ønsker at få reklamer vist for specifikke internetbrugere, kan byde en konkret pris for retten til at vise deres reklame for en internetbruger, der besøger en hjemmeside, som viser bannerreklamer mv. Auktionen afvikles på få nanosekunder, og prisen for at vise en reklame for en konkret bruger er ofte kun få ører.
Deltagerne i auktionen er bl.a. datamæglere og reklameplatforme, der repræsenterer tusinder af annoncører (konkrete virksomheder, der har købt reklameydelser). De kan anonymt afgive bud i realtid med henblik på at erhverve den pågældende reklameplads på hjemmesiden via et automatiseret auktionssystem, der anvender algoritmer med henblik på at vise målrettede reklamer, der specifikt er tilpasset en brugers profil. RTB, og platforme som den IAB Europe udbyder, er således en central del af moderne online markedsføringspraksis gennem brug af cookies mv.
Før en sådan platform kan understøtte målretning af reklamer mod den enkelte bruger, er det nødvendigt at indhente oplysninger, og et samtykke, fra den enkelte bruger (en fysisk person). Brugernes præferencer bliver lagret i koder, og bliver kaldt en TC String (”Transparency and Consent String”). Denne TC String bliver delt med de virksomheder, der deltager i auktionen, for at påvise at brugeren har samtykket til deling af personoplysningerne. Men ved kombination af TC String og de cookies, der efterlades på brugerens device, er det muligt for persondatamæglere og reklameplatforme mv. at identificere brugerens IP-adresse og dermed potentielt gøre hele processen personhenførbar. Samtidig er anvendelsen af TC String en forudsætning for at RTB-processen overholder databeskyttelsesforordningen ved at sikre, at den registreredes samtykke indhentes og respekteres ved visningen af onlinereklamer.
For at sikre at medlemmernes anvendelse af platformen var lovlig, har IAB Europe udarbejdet et »Transparency & Consent Framework« (TCF), der er en ramme bestående af retningslinjer, instrukser, tekniske specifikationer, protokoller og kontraktlige forpligtelser, der gør det muligt for såvel en udbyder af et websted som datamæglere eller reklameplatforme lovligt at behandle personoplysninger om en bruger.
De spørgsmål EU-Domstolen fik forelagt omhandlede derfor, om kombinationen af TC String og cookies mv. skal anses som personoplysninger efter GDPR. Dernæst skulle Domstolen svare på, om IAB Europe skal anses som dataansvarlig, herunder eventuelt fælles dataansvarlig sammen de medlemmer, der benytter platformen.
EU-Domstolens vurdering
EU-Domstolen vurderede – ikke særligt overraskende – at brugen og delingen af TC String udgør en behandling af personoplysninger, da man ved brug af IP-adressen kunne identificere den givne bruger, og dermed sammenligne, hvem der havde hvilke præferencer, havde tilgået konkrete reklamer osv.
EU-domstolen vurderede dernæst, at IAB Europe måtte anses som ”fælles dataansvarlig” efter GDPR artikel 4, nr. 7, jf. artikel 26. Domstolen begrunder dette med, at IAB Europe sammen med sine medlemmer, der benytter planformen, fastlægger formålene med de indhentede oplysninger gennem udstedelsen af bindende regelsæt (TCF), der kan håndhæves ved overtrædelse. IAB Europe kan dog ikke antages at være dataansvarlig for den viderebehandling som medlemmer foretager af de personoplysninger, de får adgang til gennem anvendelsen af platformen. F.eks. er IAB Europe ikke ansvarlig for en efterfølgende videregivelse af oplysningerne til tredjemand eller valget af hvilke reklamer, der vises for brugere.
Sagens betydning
Sagen mod IAB Europe var rejst af det belgiske datatilsyn på vegne af 21 nationale datatilsynsmyndigheder som en fælles håndhævelsessag efter databeskyttelsesforordningens artikel 60-63 (sammenhængsmekanismen). Sagen afspejler således den høje prioritet som datatilsynsmyndigheder på tværs af EU tillægger håndhævelse af databeskyttelsesreglerne ift. internetbaseret markedsføring. Som led i sagens afgørelse var IAB Europe blevet pålagt at bringe den behandling af personoplysninger, der foretages i henhold til TCF, i overensstemmelse med databeskyttelsesforordningens bestemmelser, og det belgiske datatilsyn har pålagt IAB Europe flere afhjælpende foranstaltninger samt en administrativ bøde på 250.000 Euro.
Sagen er af central betydning, da fastlæggelsen af dataansvaret på tværs af RTB-løsninger er rammesættende for, hvordan databeskyttelsesforordningens bestemmelser fremover kan håndhæves over for den flerhed af aktører - herunder danske virksomheder og deres markedsføringsbureauer mv. – der benytter internettet til at bedrive målrettet markedsføring.
Umiddelbart ses sagen ikke at rejse grundlæggende tvivl om lovligheden af at anvende RTB-teknologi, cookies mv. til at målrette markedsføring. Danske virksomheder – herunder markedsføringsbureauer mv., der bistår virksomheder med relevant internetmarkedsføring – bør således ikke på nuværende tidspunkt afholde sig at benytte løsninger, som den udbudt af IAB Europe. De bør dog generelt have fokus på, at de samtykker til at placere cookies på deres hjemmesider, efterlever gældende ret, herunder navnlig databeskyttelsesforordningen. Endvidere bør de følge sagens videre udvikling hos det belgiske datatilsyn.
Forfattere: Heidi Højmark Helveg og Christian Wiese Svanberg