EU-Hof verduidelijkt toepassing AVG-regels bij online veiling van persoonsgegevens voor reclamedoeleinden

Contentverzamelaar

EU-Hof verduidelijkt toepassing AVG-regels bij online veiling van persoonsgegevens voor reclamedoeleinden

Nieuwsbericht | 13-03-2024

Wanneer een gebruiker een website of applicatie bezoekt die advertentieruimte bevat, kunnen bedrijven, makelaars en reclameplatformen (die duizenden adverteerders vertegenwoordigen) ogenblikkelijk achter de schermen op die advertentieruimte bieden om daar reclame op te laten zien die is afgestemd op het profiel van die gebruiker (Real Time Bidding). Voordat er zulke gerichte reclame wordt getoond, moet echter eerst de toestemming van de gebruiker worden verkregen voor het verzamelen en verwerken van zijn gegevens (met name locatie, leeftijd, zoekgeschiedenis en recente aankopen) voor onder meer marketing- en reclamedoeleinden, of om die gegevens te delen met bepaalde aanbieders. De gebruiker kan daar ook bezwaar tegen maken. Dat is de uitspraak van het EU-Hof naar aanleiding van prejudiciële vragen van de Belgische rechter.

Het gaat om het arrest van het EU-Hof van 7 maart 2024 in zaak C-604/2 2 (IAB Europe).

Achtergrond
IAB Europe is een in België gevestigde vereniging zonder winstoogmerk die de ondernemingen van de sector van digitale reclame en marketing vertegenwoordigt op Europees niveau. Zij heeft een oplossing uitgewerkt waarvan zij stelt dat deze dat veilingsysteem in overeenstemming kan brengen met de Algemene Verordening Gegevensbescherming (AVG; verordening 2016/679).
De voorkeuren van de gebruikers worden gecodeerd en opgeslagen in een letter- en tekenreeks, „Transparency and Consent String” (TC-string) genaamd, die wordt gedeeld met makelaars in persoonsgegevens en reclameplatforms, opdat deze weten waarvoor de gebruiker toestemming heeft verleend of waartegen hij bezwaar heeft gemaakt. Er wordt ook een cookie op het toestel van de gebruiker geplaatst. In combinatie met elkaar kunnen de TC-string en de cookie worden gekoppeld aan het IP-adres van de gebruiker.

In 2022 heeft de Belgische Gegevensbeschermingsautoriteit geoordeeld dat de TC-string een persoonsgegeven in de zin van de AVG vormt en dat IAB Europe als verwerkingsverantwoordelijke heeft gehandeld zonder de voorschriften van de AVG ten volle na te leven. De Gegevensbeschermingsautoriteit heeft IAB meerdere corrigerende maatregelen en een administratieve geldboete opgelegd. IAB Europe vecht deze beslissing aan en heeft hoger beroep ingesteld bij het hof van beroep Brussel (België), dat prejudiciële vragen heeft voorgelegd aan het EU-Hof.


EU-Hof
Het EU-Hof bevestigt in het arrest dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven in de zin van de AVG vormt. De koppeling van de in een TC-string vervatte informatie aan een identificator – zoals met name het IP-adres van het toestel van de gebruiker – kan het volgens het EU-Hof namelijk mogelijk maken om een profiel van deze gebruiker op te stellen en hem te identificeren.

Daarnaast moet IAB Europe volgens het arrest worden beschouwd als een „gezamenlijke verwerkingsverantwoordelijke” in de zin van de AVG. Onder voorbehoud van de verificaties die de verwijzende rechter dient te verrichten, lijkt zij volgens het EU-Hof bij de registratie van de toestemmingsvoorkeuren van de gebruikers in een TC-string immers invloed uit te oefenen op de gegevensverwerkingen, en samen met haar leden zowel het doel van als de middelen voor die verwerkingen vast te stellen. IAB Europe kan echter, onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht voorziet, niet worden geacht in de zin van de AVG verantwoordelijk te zijn voor gegevensverwerkingen die plaatsvinden na de registratie van de toestemmingsvoorkeuren van de gebruikers in een TC-string, tenzij kan worden aangetoond dat zij invloed heeft uitgeoefend op de vaststelling van het doel van die latere verwerkingen en van de wijze waarop deze worden verricht.

Meer informatie:
Persbericht Curia
ECER-dossier: Privacy - AVG