Цільова реклама та профілювання в суді

У еру цифрового маркетингу цільова реклама та профілювання користувачів стали ключовими інструментами для платформ, видавців та рекламодавців. Однак ці методи, засновані на даних, перебувають під інтенсивним правовим контролем, особливо відповідно до Загального регламенту про захист даних (GDPR) та Директиви про ePrivacy. Європейські суди та органи з захисту даних (DPA) все частіше розглядають законність, прозорість та механізми згоди за поведінковою рекламою, з рішеннями, що мають значні наслідки для екосистеми ad tech.

Ця стаття досліджує відомі кейс-стаді та дії з примусу по всьому ЄС, зосереджуючись на тому, як профілювання для рекламних цілей було оскаржено відповідно до законів про конфіденційність — та які уроки платформи та маркетологи повинні засвоїти.

1. CNIL v Google (France, 2020): Cookie Consent and Tracking

У 2020 році Французький орган з захисту даних (CNIL) оштрафував Google на 100 мільйонів євро за розміщення рекламних кукі без попередньої згоди користувача на своїх французьких доменах. Кукі дозволяли відстеження для персоналізованої реклами, але активувалися до того, як користувачі зробили будь-який значущий вибір.

Ключові проблеми:

• Відсутність дійсної згоди відповідно до Директиви про ePrivacy.
• Користувачів не були достатньо поінформовані про мету кукі або як їх відхилити.
• Банер кукі надавав лише опцію «Прийняти», без еквівалентної «Відмовити».

Правові підстави:

• Директива про ePrivacy (2002/58/EC), імплементована у французькому законодавстві.
• Стаття 5(3) Директиви про ePrivacy вимагає попередньої згоди перед зберіганням або доступом до інформації на пристрої користувача.

Результат:
Google було оштрафовано, і згодом компанія оновила свої банери згоди, щоб надати детальніші вибори та симетричні опції для прийняття та відмови.

Урок:
Згода на профілювання та цільову рекламу повинна бути добровільною, конкретною, поінформованою та однозначною — і впроваджуватися до початку будь-якого відстеження.

2. Bundeskartellamt v Meta (Germany, ongoing): Combining Data Across Services

Німецький орган з конкуренції (Bundeskartellamt) розпочав провадження проти Meta (раніше Facebook) за об’єднання даних користувачів з Facebook, Instagram, WhatsApp та сторонніх веб-сайтів без належної згоди.

Ключовий правовий поворот:
Хоча справа почалася за конкуренційним правом, орган значною мірою покладався на порушення GDPR — стверджуючи, що невдача Meta у отриманні дійсної згоди давала їй несправедливу перевагу на рекламному ринку.

Розвиток у суді:

• Німецький Федеральний суд підтвердив рішення регулятора щодо обмеження практик обробки даних.
• CJEU було запрошено попереднє рішення для уточнення перетину захисту даних та конкуренційного права (Справа C-252/21, очікується станом на 2025 рік).

Правові питання:

• Чи порушення статей 6 та 9 GDPR об’єднання даних між сервісами без згоди.
• Чи користувачу пропонується реальний вибір чи він примушується до прийняття через пакетовані сервіси.

Урок:
Профілювання на основі даних між платформами повинно бути підкріплене дійсною правовою підставою, зазвичай згодою на приєднання, і не повинно бути умовою для використання основного сервісу.

3. NOYB Complaints Against IAB Europe’s TCF (EU-wide): Real-Time Bidding Scrutiny

Некомерційна організація NOYB (None of Your Business) подала численні скарги проти Рамки прозорості та згоди IAB Europe (TCF), яка широко використовується в реальному часі аукціонах (RTB) для цільової реклами.

Основні звинувачення:

• TCF не забезпечувала справжньої, поінформованої згоди.
• Профілювання в RTB поширювало дані користувача на сотні постачальників у реальному часі, часто без усвідомлення користувача.
• Рамка була визнана несумісною з принципами GDPR щодо мінімізації даних, обмеження мети та правової підстави.

Рішення бельгійського DPA (2022):

• Визнало IAB Europe відповідальним як спільного контролера за обробку даних у TCF.
• Наказало суттєві зміни механізму згоди та практик обміну даними.

Результат:
IAB Europe було зобов’язано перепроектувати TCF, ввести сильніші захисні заходи та кращий контроль за подальшим використанням даних постачальниками.

Урок:
Рамки згоди, що використовуються для програмної реклами, повинні не лише відповідати стандартам GDPR, але й забезпечувати виконуване управління по всьому ланцюгу ad tech.

4. Planet49 Case (CJEU, C-673/17): Pre-Ticked Boxes and Consent Validity

Справа Planet49 перед Судом Європейського Союзу (CJEU) розглядала, чи попередньо відмічені поля становлять дійсну згоду для кукі, що використовуються в промоційних іграх та поведінковій рекламі.

Рішення CJEU:

• Згода повинна бути активною, тобто попередньо відмічені поля не є достатніми.
• Тривалість та доступ третіх сторін до кукі також повинні бути розкриті користувачеві заздалегідь.

Правові наслідки:

• Підтвердило, що як GDPR, так і ePrivacy вимагають ствердної дії та чіткого розкриття для законного профілювання.

Урок:
Платформи повинні розробляти інтерфейси згоди, які забезпечують чітку взаємодію користувача, а не пасивну чи імпліцитну угоду.

Key Takeaways for Platforms and Ad Tech Operators

Згода є центральною — і повинна бути детальною, поінформованою та скасовуваною.
Профілювання для цільової реклами вимагає дійсної правової підстави, зазвичай статті 6(1)(a) GDPR.
Прозорість повинна бути всеосяжною: хто обробляє дані, для яких цілей та на який термін.
Спільне контролерство може застосовуватися — платформи та рекламні партнери можуть ділити відповідальність за дотримання GDPR.
Рамки згоди (наприклад, CMP, TCF) повинні бути аудиторними та виконуваними для всіх отримувачів даних користувача.

Looking Ahead: The Role of the ePrivacy Regulation and DSA

Оскільки примус за GDPR посилюється, майбутнє регулювання профілювання також формуватиметься:

• Тривалий відкладеним Регламентом про ePrivacy, який може стандартизувати правила згоди по всьому ЄС.
• Законом про цифрові послуги (DSA), який вводить зобов’язання щодо прозорості онлайн-реклами та систем рекомендацій — особливо для Дуже великих онлайн-платформ (VLOP).

Разом ці рамки значно вплинуть на моделі цільової реклами, особливо ті, що покладаються на аукціони в реальному часі, посередництво даних або непрозору персоналізацію.

Conclusion

Профілювання та цільова реклама більше не є сірими зонами в праві ЄС про конфіденційність. Суди та регулятори встановлюють чіткі обмеження щодо того, як дані користувача можуть використовуватися, поширюватися та монетизуватися — особливо коли йдеться про поведінкове цілювання. Платформи та постачальники ad tech, які не узгоджуються зі стандартами GDPR та ePrivacy, стикаються з зростаючими правовими, фінансовими та репутаційними ризиками.