Etusivu " Blogi " Kohdennettu mainonta ja profilointi oikeudessa

Blogi
Kohdennettu mainonta ja profilointi oikeudessaKohdennettu mainonta ja profilointi oikeudessa">

Kohdennettu mainonta ja profilointi oikeudessa

Alexandra Blake, Key-g.com
by 
Alexandra Blake, Key-g.com
5 minuuttia luettu
Oikeudellinen konsultointi
huhtikuu 14, 2025

Digitaalisen markkinoinnin aikana kohdennetusta mainonnasta ja käyttäjäprofiilien luomisesta on tullut keskeisiä työkaluja alustoille, julkaisijoille ja mainostajille. Nämä dataohjatut tekniikat ovat kuitenkin tiukan oikeudellisen tarkastelun alla, erityisesti Yleisen tietosuoja-asetuksen (GDPR) ja ePrivacy-direktiivin nojalla. Eurooppalaiset tuomioistuimet ja tietosuojaviranomaiset (DPAT) tutkivat yhä enemmän käyttäytymiseen perustuvan mainonnan laillisuutta, avoimuutta ja suostumusmekanismeja, ja niiden päätökset voivat vaikuttaa merkittävästi mainosteknologiaympäristöön.

Tämä artikkeli tarkastelee korkean profiilin tapaustutkimuksia ja täytäntöönpanotoimia EU:n alueella, keskittyen siihen, miten mainontaa varten kohdennettu profilointi on kyseenalaistettu tietosuojalakeja koskevissa asioissa – ja mitä opetuksia alustat ja markkinoijat voivat tästä ottaa.

1. CNIL v Google (Ranska, 2020): Evästen suostumus ja seuranta

Vuonna 2020 Ranskan tietosuojaviranomainen (CNIL) määräsi Googlelle 100 miljoonan euron sakon mainos evästeiden sijoittamisesta ranskalaisille verkkotunnuksilleen ilman käyttäjien etukäteistä suostumusta. Evästeet mahdollistivat seurannan personoitua mainontaa varten, mutta ne aktivoitiin ennen kuin käyttäjät olivat tehneet mitään merkityksellistä valintaa.

Avainkysymykset:

  • ePrivacy-direktiivin alainen pätevä suostumuksen puuttuminen.
  • Käyttäjiä ei ollut riittävän hyvin informoitu evästeiden tarkoituksesta tai siitä, miten he voivat kieltäytyä niistä.
  • Evästevarjo tarjosi vain "Hyväksy"-vaihtoehdon ilman vastaavaa "Hylkää"-vaihtoehtoa.

Oikeudelliset perusteet:

  • ePrivacy-direktiivi (2002/58/EY) sellaisena kuin se on pantu täytäntöön ranskalaisessa lainsäädännössä.
  • Elinkaaren yksityisyyden suoja -direktiivin 5 artiklan 3 kohta edellyttää etukäteen annettua suostumusta tiedon tallentamiseen tai siihen käsiksi pääsemiseen käyttäjän laitteella.

Tulos:
Googlelle määrättiin sakko ja se päivitti sen jälkeen suostumusilmoituksiaan tarjotakseen tarkemmat valinnat ja symmetriset vaihtoehdot hyväksynnälle ja epäämiselle.

Oppitunti:
Profiloinnin ja kohdennetun mainonnan suostumus on annettava vapaaehtoisesti, tarkasti, tietoisesti ja yksiselitteisesti – ja toteutettava before mikään seuranta alkaa.

2. Bundeskartellamt v Meta (Saksa, meneillään): Tietojen yhdistäminen palveluiden välillä

Saksan kilpailuviranomainen (Bundeskartellamt) on aloittanut Metaa (entinen Facebook) vastaan oikeustoimet, jotka koskevat käyttäjätietojen yhdistämistä Facebookista, Instagramista, WhatsAppista ja kolmansilta verkkosivuilta ilman asianmukaista suostumusta.

Keskeinen oikeudellinen juonenkäänne:
Vaikka tapaus sai alkunsa kilpailulainsäädännön alaisuudessa, viranomainen tukeutui voimakkaasti GDPR:n rikkomuksiin – väittäen, että Metan epäonnistuminen hankkia pätevä suostumus antoi sille epäreilun edun mainosmarkkinoilla.

Oikeudelliset kehitykset:

  • Saksan liittovaltion oikeuslaitos vahvisti sääntelyviranomaisen päätöksen rajoittaa tietojenkäsittelykäytäntöjä.
  • CJEU:lta pyydettiin ennakkoratkaisua selventämään tietosuojan ja kilpailulainsäädännön leikkauspisteitä (asia C-252/21, vireillä vuonna 2025).

Oikeudelliset kysymykset:

  • Riippuu, rikkoako tietojen yhdistäminen palveluiden välillä ilman suostumusta A artiklat 6 ja 9 GDPR.
  • Riippumatta siitä, tarjotaanko käyttäjälle todellinen valinta vai ei pakotettu hyväksynnän tarjoamien paketoitujen palveluiden kautta.

Oppitunti:
Poikittäisplatformidataan perustuva profilointi täytyy olla laillisen perustan tukema, yleensä opt-in suostumus, ja ei saa olla ehdollisuus ydintason palvelun käytölle.

3. NOYB:n valitukset IAB Europen TCF:tä vastaan (EU:n laajuinen): Reaaliaikaisen huutokaupan tarkastelu

Nonprofit-järjestö NOYB (None of Your Business) jätti useita valituksia IAB Europe’n Transparency and Consent Frameworkia (TCF) vastaan, jota käytetään laajasti reaaliaikaishuutoihin (RTB) kohdennetuissa mainoksissa.

Pääsyytteet:

  • TCF ei pystynyt tarjoamaan. todellinen, tietoinen suostumus.
  • Profilointi reaaliajassa RTB-järjestelmässä jaettujen käyttäjätietojen perusteella satojen toimittajien kanssa, usein käyttäjän tietämättä.
  • Kehys katsottiin ei vaatimustenmukainen GDPR:n periaatteiden mukaisesti, kuten tiedon minimointi, käyttötarkoituksen rajaus ja lainmukainen perusta.

Belgialaisen tietosuojaviranomaisen päätös (2022):

  • Vastuulliseksi todettiin IAB Europe vastustettuna. liitosohjain tiedon käsittelyä TCF:ssä.
  • Tehtiin tärkeitä muutoksia suostumusmekanismiin ja tietojen jakamiskäytäntöihin.

Tulos:
IAB Europe oli velvoitettu suunnittele TCF uudelleen, ottaa käyttöön tiukempia suojatoimia ja parantaa myyjien alavirran datan käyttöä.

Oppitunti:
Ohjelmallisessa mainonnassa käytettävien suostumuskehyksien on täytettävä GDPR-standardit, mutta varmista myös panostettava hallinto koko mainostekniikkaketjun läpi.

4. Planet49-tapaus (EU:n tuomioistuin, C-673/17): Esitäytetyt valintalaatikot ja suostumuksen pätevyys

The Planet49 tapaus ennen Euroopan unionin tuomioistuin (EUT) tarkasteltiin, onko valmiiksi täytetyt laatikot tulosivat päteväksi suostumukseksi mainospeleissä ja käyttäytymiseen perustuvassa mainonnassa käytetyille evästeille.

CJEU:n päätös:

  • Suostumus on oltava active, mikä tarkoittaa, että ennalta valittujen ruutujen valitseminen ei riitä.
  • The kesto ja kolmannen osapuolen pääsy evästeistä on ilmoitettava käyttäjälle etukäteen.

Oikeudelliset vaikutukset:

  • Vahvistettu, että molemmat GDPR ja ePrivacy require positiivinen syrjintä ja selkeä ilmoitus laillista profilointia varten.

Oppitunti:
Alustojen on suunniteltava suostumusrajapinnat, jotka varmistavat selkeä käyttäjän sitoutuminen, ei passiivista tai epäsuoraa hyväksyntää.

Tärkeimmät seikat alustoille ja mainosteknologiaoperaattoreille

Suostumus on keskeinen – ja sen on oltava yksityiskohtainen, tietoinen ja peruutettavissa.
Kohdennetun mainonnan profilointi edellyttää pätevää laillista perustetta, tyypillisesti GDPR:n 6 artiklan 1 kohdan 1 alakohtaa.
Avoimuuden on oltava kattavaa: kuka käsittelee tietoja, mihin tarkoituksiin ja kuinka kauan.
Yhteisvastuu voi koskea kyseessä olevia toimia – alustat ja mainoskumppanit voivat jakaa vastuun GDPR-yhteensopivuudesta.
Suostumuskehyksien (esim. CMP, TCF) on oltava auditoitavissa ja täytäntöönpanokelpoisia kaikissa käyttäjätietojen vastaanottajissa.

Katse tulevaisuuteen: ePrivacy-asetuksen ja DSA:n rooli

GDPR:n täytäntöönpanon kiristyessä profiloinnin sääntelyn tulevaisuuteen vaikuttavat myös seuraavat tekijät:

  • Pitkään viivästellyt ePrivacy-asetus, joka saattaa yhtenäistää suostumussäännöt EU:ssa.
  • Digitaalisten palvelujen laki (DSA), joka tuo velvoitteita verkkomainonnan ja suositusjärjestelmien avoimuudesta – erityisesti erittäin suurille verkkopalvelualustoille (VLOP).

Yhdessä nämä kehykset vaikuttavat merkittävästi kohdennettuun mainontaan, erityisesti reaaliaikaisen huutokaupan, datavälityksen tai epäselvän personoinnin varassa oleviin malleihin.

Päätelmä

Profilointi ja kohdennettu mainonta eivät ole enää harmaita alueita EU:n tietosuojalainsäädännössä. Tuomioistuimet ja viranomaiset määrittävät yhä selkeämmin rajat sille, miten käyttäjätietoja voidaan käyttää, jakaa ja rahastaa – erityisesti kun kyse on käyttäytymiseen perustuvasta kohdentamisesta. Alustat ja mainosteknologian tarjoajat, jotka eivät noudata GDPR:ää ja ePrivacy-standardeja, kohtaavat kasvavia oikeudellisia, taloudellisia ja maineriskin riskejä.

fi Suomi
fi Suomi en_GB English (UK) ru_RU Русский de_DE Deutsch pl_PL Polski it_IT Italiano fr_FR Français el Ελληνικά tr_TR Türkçe ko_KR 한국어 zh_CN 简体中文 ja 日本語 uk Українська sk_SK Slovenčina ro_RO Română nl_NL Nederlands pt_PT Português sv_SE Svenska cs_CZ Čeština es_ES Español ar العربية