ROZSUDEK SOUDNÍHO DVORA (čtvrtého senátu)
7. března 2024 ( *1 )
„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Oborová organizace, která vytváří standardy a nabízí svým členům pravidla týkající se zpracování souhlasu uživatelů – Článek 4 bod 1 – Pojem ‚osobní údaje‘ – Řetězec písmen a znaků zachycující strukturovaným a strojově čitelným způsobem preference uživatele internetu týkající se souhlasu tohoto uživatele se zpracováním jeho osobních údajů – Článek 4 bod 7 – Pojem ‚správce‘ – Článek 26 odst. 1 – Pojem ‚společní správci‘ – Organizace, která sama nemá přístup k osobním údajům zpracovávaným jejími členy – Odpovědnost organizace, která se vztahuje na další zpracování údajů třetími osobami“
Ve věci C‑604/22,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím hof van beroep te Brussel (odvolací soud v Bruselu, Belgie) ze dne 7. září 2022, došlým Soudnímu dvoru dne 19. září 2022, v řízení
IAB Europe
proti
Gegevensbeschermingsautoriteit,
za účasti:
Jefa Ausloose,
Pierra Dewittea,
Johnnyho Ryana,
Fundacja Panoptykon,
Stichting Bits of Freedom,
Ligue des Droits Humains VZW,
SOUDNÍ DVŮR (čtvrtý senát),
ve složení: C. Lycourgos, předseda senátu, O. Spineanu-Matei, J.-C. Bonichot, S. Rodin a L. S. Rossi (zpravodajka), soudci,
generální advokátka: T. Ćapeta,
za soudní kancelář: A. Lamote, radová,
s přihlédnutím k písemné části řízení a po jednání konaném dne 21. září 2023,
s ohledem na vyjádření, která předložili:
– |
za IAB Europe: P. Craddock, avocat, a K. Van Quathem, advocaat, |
– |
za Gegevensbeschermingsautoriteit: E. Cloots, J. Roets a T. Roes, advocaten, |
– |
za Jefa Ausloose, Pierra Dewittea, Johnnyho Ryana, Fundacja Panoptykon, Stichting Bits of Freedom a Ligue des Droits Humains VZW: F. Debusseré a R. Roex, advocaten, |
– |
za rakouskou vládu: J. Schmoll a C. Gabauer, jako zmocněnkyně, |
– |
za Evropskou komisi: A. Bouchagiar a H. Kranenborg, jako zmocněnci, |
s přihlédnutím k rozhodnutí, přijatému po vyslechnutí generální advokátky, rozhodnout věc bez stanoviska,
vydává tento
Rozsudek
1 |
Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 4 bodů 1 a 7, jakož i čl. 24 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, a oprava Úř. věst. 2018, L 127, s. 1, a Úř. věst. 2021, L 74, s. 35, dále jen „GDPR“), ve spojení s články 7 a 8 Listiny základních práv Evropské unie (dále jen „Listina“). |
2 |
Tato žádost byla předložena v rámci sporu mezi IAB Europe a Gegevensbeschermingsautoriteit (Úřad pro ochranu osobních údajů, Belgie) (dále jen „APD“) ve věci rozhodnutí oddělení APD pro spornou agendu, přijatého vůči IAB Europe, které se týká údajného porušení několika ustanovení GDPR. |
Právní rámec
Unijní právo
3 |
Body 1, 10, 26 a 30 odůvodnění GDPR zní takto:
[…]
[…]
[…]
|
4 |
Článek 1 GDPR, nadepsaný „Předmět a cíle“, v odstavci 2 stanoví: „Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.“ |
5 |
Článek 4 uvedeného nařízení stanoví: „Pro účely tohoto nařízení se rozumí:
[…]
[…]
[…]“ |
6 |
Článek 6 GDPR, nadepsaný „Zákonnost zpracování“, zní takto: „1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
[…]
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů. […]“ |
7 |
Článek 24 tohoto nařízení, nadepsaný „Odpovědnost správce“, v odstavci 1 stanoví: „S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.“ |
8 |
Článek 26 uvedeného nařízení, nadepsaný „Společní správci“, v odstavci 1 uvádí: „Pokud účely a prostředky zpracování stanoví společně dva nebo více správců, jsou společnými správci. […]“ |
9 |
V kapitole VI GDPR, která se vztahuje na „Nezávislé dozorové úřady“, jsou obsaženy články 51 až 59 tohoto nařízení. |
10 |
Článek 51 tohoto nařízení, nadepsaný „Dozorový úřad“, v odstavcích 1 a 2 stanoví: „1. Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie […] 2. Každý dozorový úřad přispívá k jednotnému uplatňování tohoto nařízení v celé Unii. Dozorové úřady za tímto účelem spolupracují mezi sebou a s [Evropskou] [k]omisí v souladu s kapitolou VII.“ |
11 |
Článek 55 odst. 1 a 2 GDPR, nadepsaný „Příslušnost“, zní: „1. Každý dozorový úřad je na území svého členského státu příslušný k plnění úkolů a výkonu pravomocí, které mu byly svěřeny v souladu s tímto nařízením. 2. Pokud zpracování provádějí orgány veřejné moci nebo soukromé subjekty jednající na základě čl. 6 odst. 1 písm. c) nebo e), je příslušným dozorový úřad dotčeného členského státu. V takových případech se nepoužije článek 56.“ |
12 |
Článek 56 tohoto nařízení, nadepsaný „Příslušnost vedoucího dozorového úřadu“, v odstavci 1 uvádí: „Aniž je dotčen článek 55, je dozorový úřad pro hlavní nebo jedinou provozovnu správce či zpracovatele příslušný k tomu, aby jednal jako vedoucí dozorový úřad v případě přeshraničního zpracování prováděného tímto správcem či zpracovatelem v souladu s postupem stanoveným v článku 60.“ |
13 |
Článek 57 uvedeného nařízení, nadepsaný „Úkoly“, v odstavci 1 stanoví: „Aniž jsou dotčeny další úkoly stanovené tímto nařízením, každý dozorový úřad na svém území:
[…]
[…]“ |
14 |
V kapitole VII téhož nařízení, nadepsané „Spolupráce a jednotnost“, oddíle 1, nadepsaném „Spolupráce“, se nacházejí články 60 až 62 tohoto nařízení. Článek 60, který se týká „Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřady“, v odstavci 1 stanoví: „Vedoucí dozorový úřad spolupracuje s ostatními dotčenými dozorovými úřady v souladu s tímto článkem ve snaze dosáhnout konsensu. Vedoucí dozorový úřad a dotčené dozorové úřady si vzájemně vyměňují veškeré relevantní informace.“ |
15 |
Článek 61 GDPR, nadepsaný „Vzájemná pomoc“, v odstavci 1 uvádí: „Dozorové úřady si vzájemně poskytují relevantní informace a pomoc v zájmu soudržného provádění a uplatňování tohoto nařízení a zavedou opatření pro účinnou vzájemnou spolupráci. Vzájemná spolupráce zahrnuje zejména žádosti o informace a opatření v oblasti dozoru, například žádosti o předchozí povolení a konzultace, inspekce a šetření.“ |
16 |
Článek 62 tohoto nařízení, nadepsaný „Společné postupy dozorových úřadů“, v odstavcích 1 a 2 stanoví: „1. Dozorové úřady podle potřeby provádějí společné postupy, včetně společných šetření a společných donucovacích opatření, do nichž jsou zapojeni členové nebo pracovníci dozorových úřadů z jiných členských států. 2. Pokud má správce nebo zpracovatel provozovny v několika členských státech, nebo pokud je pravděpodobné, že operacemi zpracování bude podstatně dotčen významný počet subjektů údajů ve více než jednom členském státě, má dozorový úřad každého z těchto členských států právo účastnit se společných postupů. […]“ |
17 |
V oddíle 2, nadepsaném „Jednotnost“, kapitoly VII uvedeného nařízení se nacházejí články 63 až 67 tohoto nařízení. Článek 63, nadepsaný „Mechanismus jednotnosti“, zní následovně: „S cílem přispět k jednotnému uplatňování tohoto nařízení v celé Unii spolupracují dozorové úřady mezi sebou navzájem a ve vhodných případech s Komisí prostřednictvím mechanismu jednotnosti stanoveného v tomto oddíle.“ |
Belgické právo
18 |
Wet tot oprichting van de Gegevensbeschermingsautoriteit (zákon o zřízení Úřadu pro ochranu osobních údajů) ze dne 3. prosince 2017 (Belgisch Staatsblad, 10. ledna 2018, s. 989, dále jen „LCA“) v čl. 100 odst. 1 bodě 9° stanoví: „Oddělení pro spornou agendu má pravomoc: […] 9° nařídit uvedení zpracování do souladu [s příslušnými právními předpisy]“. |
19 |
Článek 101 LCA stanoví: „Oddělení pro spornou agendu může rozhodnout o uložení správní pokuty stíhaným osobám podle obecných zásad uvedených v článku 83 [GDPR].“ |
Spor v původním řízení a předběžné otázky
20 |
IAB Europe je neziskové sdružení se sídlem v Belgii, které zastupuje podniky v průmyslovém odvětví digitální reklamy a marketingu na evropské úrovni. Členy IAB Europe jsou jak podniky působící v tomto odvětví, jako jsou vydavatelé, podniky zabývající se elektronickým obchodem a marketingem, zprostředkovatelé, tak vnitrostátní sdružení, včetně národních IAB (Interactive Advertising Bureau), jejichž členy jsou podniky působící v uvedeném odvětví. Mezi členy IAB Europe jsou zejména podniky, kterým plynou značné příjmy z prodeje reklamního prostoru na internetových stránkách nebo v aplikacích. |
21 |
IAB Europe vypracovalo Transparency & Consent Framework (rámec pro transparentnost a souhlas, dále jen „TCF“), což je rámec pravidel, který tvoří směrnice, pokyny, technické specifikace, protokoly a smluvní závazky, které umožňují jak poskytovateli internetových stránek nebo aplikace, tak i zprostředkovatelům údajů nebo také reklamním platformám zákonným způsobem zpracovávat osobní údaje uživatele internetových stránek nebo aplikace. |
22 |
Cílem TCF je zejména podpořit dodržování GDPR, pokud tito provozovatelé používají protokol OpenRTB, tedy jeden z nejpoužívanějších protokolů pro Real Time Bidding, což je systém okamžité a automatizované on-line aukce profilů uživatelů pro účely prodeje a nákupu reklamního prostoru na internetu (dále jen „RTB“). S ohledem na určité praktiky, které členové IAB Europe uplatňují v rámci tohoto systému hromadné výměny osobních údajů týkajících se uživatelských profilů, IAB Europe prezentovalo TCF jako řešení, kterým by mohl být uvedený systém aukcí uveden do souladu s GDPR. |
23 |
Konkrétně, jak vyplývá ze spisu předloženého Soudnímu dvoru, se z technického hlediska podniky působící v oblasti reklamní technologie, a zejména zprostředkovatelé údajů a reklamní platformy, které zastupují tisíce inzerentů, mohou v případě, že si uživatel prohlíží internetové stránky nebo aplikaci, která obsahuje reklamní prostor, v reálném čase zúčastnit v pozadí aukce za účelem získání tohoto reklamního prostoru prostřednictvím automatizovaného aukčního systému využívajícího algoritmy k zobrazování cílených reklam specificky přizpůsobených profilu takového uživatele v uvedeném prostoru. |
24 |
Před zobrazením takových cílených reklam je však nutné získat předchozí souhlas uvedeného uživatele. Pokud si tento uživatel prohlíží internetové stránky nebo aplikaci poprvé, objeví se v pop-up okně platforma pro správu souhlasu nazývaná „Consent Management Platform“ (dále jen „CMP“), která tomuto uživateli umožňuje jednak poskytnout souhlas poskytovateli internetové stránky nebo aplikace se shromažďováním a zpracováním jeho osobních údajů pro předem definované účely, jako je zejména marketing nebo reklama, nebo za účelem sdílení těchto údajů s určitými poskytovateli, a jednak vznést námitku proti různým druhům zpracování údajů nebo jejich sdílení, založeným na oprávněných zájmech uplatňovaných poskytovateli ve smyslu čl. 6 odst. 1 písm. f) GDPR. Tyto osobní údaje se týkají zejména lokačních údajů uživatele, jeho věku, historie jeho vyhledávání a nedávných nákupů. |
25 |
V tomto kontextu poskytuje TCF rámec pro rozsáhlé zpracování osobních údajů a usnadňuje zaznamenávání preferencí uživatelů prostřednictvím CMP. Tyto preference jsou následně kódovány a uloženy do řetězce složeného z kombinace písmen a znaků označovaného IAB Europe názvem Transparency and Consent String (dále jen „TC String“), který je sdílen se zprostředkovateli osobních údajů a reklamními platformami účastnícími se protokolu OpenRTB, aby se dozvěděli, s čím uživatel souhlasil nebo proti čemu vznesl námitku. CMP rovněž umísťuje do zařízení uživatele cookie (euconsent-v2). V případě jejich kombinace mohou být TC String a cookie euconsent-v2 spojeny s IP adresou tohoto uživatele. |
26 |
TCF hraje roli ve fungování protokolu OpenRTB, neboť umožňuje přepis preferencí uživatele za účelem jejich sdělení potenciálním prodejcům a dosažení různých cílů zpracování, včetně návrhu reklamy na míru. Cílem TCF je zejména zaručit zprostředkovatelům osobních údajů a reklamním platformám dodržování GDPR prostřednictvím TC String. |
27 |
Od roku 2019 obdržel APD několik stížností proti IAB Europe, a to jak z Belgie, tak ze třetích zemí, které se týkaly souladu TCF s GDPR. Po posouzení těchto stížností APD jakožto vedoucí dozorový úřad ve smyslu čl. 56 odst. 1 GDPR spustil mechanismus spolupráce a jednotnosti v souladu s články 60 až 63 tohoto nařízení, aby se dospělo ke společnému rozhodnutí schválenému společně všemi 21 vnitrostátními dozorovými úřady zapojenými do tohoto mechanismu. Oddělení APD pro spornou agendu v rozhodnutí ze dne 2. února 2022 (dále jen „rozhodnutí ze dne 2. února 2022“) rozhodlo, že IAB Europe jedná jako správce osobních údajů, pokud jde o zaznamenávání souhlasu, námitek a preferencí jednotlivých uživatelů prostřednictvím TC String, který je podle oddělení APD pro spornou agendu spojen s identifikovatelným uživatelem. Mimoto oddělení APD pro spornou agendu v tomto rozhodnutí v souladu s čl. 100 odst. 1 bodem 9° LCA nařídilo IAB Europe, aby uvedlo zpracování osobních údajů prováděné v rámci TCF do souladu s ustanoveními GDPR, a uložilo mu několik nápravných opatření, jakož i správní pokutu. |
28 |
IAB Europe podalo proti uvedenému rozhodnutí žalobu k hof van beroep te Brussel (odvolací soud v Bruselu, Belgie), který je předkládajícím soudem. IAB Europe navrhuje, aby tento soud zrušil rozhodnutí ze dne 2. února 2022. Napadá mimo jiné skutečnost, že se má za to, že jednalo jako správce. Rovněž tvrdí, že v rozsahu, v němž se v tomto rozhodnutí konstatuje, že TC String je osobním údajem ve smyslu čl. 4 bodu 1 GDPR, není toto rozhodnutí dostatečně diferencované a odůvodněné, a že je v každém případě nesprávné. IAB Europe zejména zdůrazňuje, že pouze ostatní účastníci TCF mohou kombinovat TC String s IP adresou, aby ho přeměnili na osobní údaj, že TC String není pro uživatele specifický a samo toto sdružení nemá možnost přístupu k údajům, které jsou v tomto rámci zpracovávány jeho členy. |
29 |
APD, který ve vnitrostátním řízení podporují Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom a Ligue des Droits Humains VZW, zejména tvrdí, že TC strings skutečně představují osobní údaje, jelikož CMP mohou TC Strings spojit s IP adresami, dále že účastníci TCF mohou identifikovat uživatele také na základě jiných údajů, že IAB Europe má pro tyto účely přístup k informacím a že tato identifikace uživatele je právě účelem TC String, jehož cílem je usnadnit prodej cílené reklamy. APD mimoto tvrdí, že skutečnost, že IAB Europe musí být považováno za správce ve smyslu GDPR, vyplývá z jeho rozhodující role při zpracování TC Strings. APD dodává, že tato organizace určuje účely a prostředky zpracování, způsob, jakým se TC Strings generují, upravují a načítají, jakým způsobem a kde jsou ukládány potřebné cookies, kdo osobní údaje obdrží a na základě jakých kritérií lze stanovit lhůty pro uchovávání TC Strings. |
30 |
Předkládající soud má pochybnosti o tom, zda TC String, ať už v kombinaci s IP adresou, či nikoli, představuje osobní údaj, a pokud tomu tak je, zda musí být IAB Europe kvalifikováno jako správce osobních údajů v rámci TCF, zejména s ohledem na zpracování TC String. Tento soud v tomto ohledu uvádí, že i když je pravda, že rozhodnutí ze dne 2. února 2022 odráží společný postoj, který společně přijaly jednotlivé vnitrostátní dozorové úřady zapojené do projednávané věci, nicméně Soudní dvůr neměl ještě příležitost vyjádřit se k této nové intruzivní technologii, kterou představuje TC String. |
31 |
Za těchto podmínek se hof van beroep te Brussel (odvolací soud v Bruselu) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
|
K první otázce
32 |
Podstatou první otázky předkládajícího soudu je, zda čl. 4 bod 1 GDPR musí být vykládán v tom smyslu, že řetězec složený z kombinace písmen a znaků, jako je TC String, obsahující preference uživatele internetu nebo aplikace ohledně souhlasu tohoto uživatele se zpracováním osobních údajů, které se ho týkají, ze strany poskytovatelů internetových stránek nebo aplikací, jakož i zprostředkovatelů takových údajů a reklamních platforem, představuje osobní údaj ve smyslu tohoto ustanovení, pokud oborová organizace stanovila rámec pravidel, podle něhož musí být tento řetězec vygenerován, uchováván nebo šířen a členové takové organizace taková pravidla uplatňují a mají tak přístup k uvedenému řetězci. Tento soud se rovněž táže, zda je pro účely odpovědi na tuto otázku relevantní zaprvé, zda je uvedený řetězec spojen s takovým identifikátorem, jako je zejména IP adresa zařízení uvedeného uživatele, umožňující identifikovat subjekt údajů, a zadruhé, zda taková oborová organizace má právo na přímý přístup k osobním údajům zpracovávaným jejími členy v rámci pravidel, která stanovila. |
33 |
Úvodem je třeba připomenout, že vzhledem k tomu, že GDPR zrušilo a nahradilo směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 283), a příslušná ustanovení tohoto nařízení mají v podstatě totožný obsah jako relevantní ustanovení této směrnice, je judikatura Soudního dvora týkající se uvedené směrnice v zásadě použitelná i na uvedené nařízení (rozsudek ze dne 17. června 2021, M.I.C.M., C‑597/19, EU:C:2021:492, bod 107). |
34 |
Je třeba rovněž připomenout, že podle ustálené judikatury platí, že výklad ustanovení unijního práva vyžaduje, aby bylo zohledněno nejen znění takového ustanovení, ale i kontext, do něhož spadá, jakož i cíle a účel, které sleduje akt, jehož je součástí (rozsudek ze dne 22. června 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 38, jakož i citovaná judikatura). |
35 |
V tomto ohledu je třeba uvést, že čl. 4 odst. 1 GDPR stanoví, že osobními údaji se rozumí „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“, a upřesňuje, že „ ‚identifikovatelnou fyzickou osobou‘ je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“. |
36 |
Použití výrazu „veškeré informace“ v definici pojmu „osobní údaje“ uvedené v tomto ustanovení odráží cíl unijního normotvůrce přiznat tomuto pojmu široký význam, který potenciálně zahrnuje všechny druhy informací, a to jak objektivní, tak subjektivní, ve formě názoru nebo hodnocení pod podmínkou, že jsou „o“ dotčené osobě (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 23, jakož i citovaná judikatura). |
37 |
Soudní dvůr v této souvislosti rozhodl, že informace je o identifikované nebo identifikovatelné fyzické osobě, pokud vzhledem ke svému obsahu, účelu nebo účinku souvisí s identifikovatelnou osobou (rozsudek ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 24, jakož i citovaná judikatura). |
38 |
Pokud jde o „identifikovatelnost“ osoby, ze znění čl. 4 bodu 1 GDPR vyplývá, že identifikovatelnou osobou se rozumí osoba, kterou lze identifikovat nejen přímo, ale i nepřímo. |
39 |
Jak již Soudní dvůr rozhodl, skutečnost, že unijní normotvůrce použil výraz „nepřímo“, naznačuje, že k tomu, aby mohla být informace kvalifikována jako osobní údaj, není nutné, aby tato informace sama o sobě umožňovala identifikovat subjekt údajů (obdobně viz rozsudek ze dne 19. října 2016, Breyer, C‑582/14, EU:C:2016:779, bod 41). Naopak z čl. 4 bodu 5 GDPR ve spojení s bodem 26 odůvodnění tohoto nařízení vyplývá, že osobní údaje, které by mohly být přiřazeny fyzické osobě na základě dodatečných informací, musí být považovány za informace o identifikovatelné fyzické osobě (rozsudek ze dne 5. prosince 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, bod 58). |
40 |
Tento bod 26 odůvodnění mimoto uvádí, že při určování, zda je osoba „identifikovatelná“, by se mělo přihlédnout ke „všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby“. Toto znění nasvědčuje tomu, že aby určitý údaj mohl být kvalifikován jako „osobní údaj“ ve smyslu čl. 4 bodu 1 tohoto nařízení, není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely nacházet v rukách jediné osoby (obdobně viz rozsudek ze dne 19. října 2016, Breyer, C‑582/14, EU:C:2016:779, bod 43). |
41 |
Z toho vyplývá, že pojem „osobní údaje“ se nevztahuje pouze na údaje shromážděné a uchovávané správcem, ale zahrnuje rovněž veškeré informace vyplývající ze zpracování osobních údajů, které se týkají identifikované nebo identifikovatelné osoby (rozsudek ze dne 22. června 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 45). |
42 |
V projednávaném případě je nutné uvést, že takový řetězec složený z kombinace písmen a znaků, jako je TC String, obsahuje preference uživatele internetu nebo aplikace ohledně souhlasu tohoto uživatele se zpracováním osobních údajů, které se ho týkají, třetími osobami, nebo ohledně jeho případné námitky proti zpracování takových údajů na základě tvrzeného oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR. |
43 |
I kdyby přitom TC String sám o sobě neobsahoval údaje umožňující přímou identifikaci subjektu údajů, nic to nemění na tom, že obsahuje individuální preference konkrétního uživatele, pokud jde o jeho souhlas se zpracováním osobních údajů, které se ho týkají, neboť jsou to informace „o […] fyzické osobě“ ve smyslu čl. 4 bodu 1 GDPR. |
44 |
Zadruhé je rovněž nesporné, že pokud jsou informace obsažené v TC String spojeny s takovým identifikátorem, jako je zejména IP adresa zařízení takového uživatele, mohou umožnit profilování uvedeného uživatele a skutečně identifikovat osobu, které se takové informace konkrétně týkají. |
45 |
Vzhledem k tomu, že spojení takového řetězce složeného z kombinace písmen a znaků, jako je TC String, s dalšími údaji, zejména s IP adresou zařízení uživatele nebo jinými identifikátory, umožňuje identifikaci tohoto uživatele, je třeba mít za to, že TC String obsahuje informace o identifikovatelném uživateli, a představuje tedy osobní údaj ve smyslu čl. 4 odst. 1 GDPR, což je potvrzeno bodem 30 odůvodnění GDPR, který se výslovně týká takového případu. |
46 |
Tento výklad nemůže být zpochybněn pouhou okolností, že IAB Europe nemůže samo kombinovat TC String s IP adresou zařízení uživatele a nemá možnost přímého přístupu k údajům zpracovávaným jeho členy v rámci TCF. |
47 |
Jak totiž vyplývá z judikatury připomenuté v bodě 40 tohoto rozsudku, taková okolnost nebrání tomu, aby byl TC String kvalifikován jako „osobní údaj“ ve smyslu čl. 4 bodu 1 GDPR. |
48 |
Ze spisu, který má Soudní dvůr k dispozici, a zejména z rozhodnutí ze dne 2. února 2022 ostatně vyplývá, že členové IAB Europe jsou povinni sdělit tomuto sdružení na jeho žádost všechny informace, které mu umožní identifikovat uživatele, jejichž údaje jsou předmětem TC String. |
49 |
S výhradou ověření, která musí v tomto ohledu provést předkládající soud, je tedy patrné, že IAB Europe disponuje v souladu s tím, co uvádí bod 26 odůvodnění GDPR, přiměřenými prostředky, které mu umožní identifikovat konkrétní fyzickou osobu na základě TC String díky informacím, které jsou jeho členové a další organizace, které se účastní TCF, povinni mu poskytnout. |
50 |
Z výše uvedeného vyplývá, že TC String představuje osobní údaj ve smyslu čl. 4 bodu 1 GDPR. V tomto ohledu je irelevantní skutečnost, že taková oborová organizace nemůže mít bez externího příspěvku, který je oprávněna požadovat, ani přístup k údajům, které jsou předmětem zpracování jejími členy v rámci pravidel, která stanovila, ani kombinovat TC String s jinými identifikátory, jako je zejména IP adresa zařízení uživatele. |
51 |
S ohledem na výše uvedené je třeba na první otázku odpovědět tak, že čl. 4 bod 1 GDPR musí být vykládán v tom smyslu, že řetězec složený z kombinace písmen a znaků, jako je TC String, který obsahuje preference uživatele internetu nebo aplikace týkající se souhlasu tohoto uživatele se zpracováním osobních údajů, které se ho týkají, ze strany poskytovatelů internetových stránek nebo aplikací, jakož i zprostředkovatelů takových údajů a reklamních platforem, představuje osobní údaj ve smyslu tohoto ustanovení, jestliže v případě, kdy lze tento řetězec přiměřenými prostředky spojit s identifikátorem, jako je zejména IP adresa zařízení uvedeného uživatele, umožňuje identifikovat subjekt údajů. Za takových podmínek okolnost, že bez externího příspěvku nemůže mít oborová organizace, která je držitelem tohoto řetězce, přístup k údajům zpracovávaným jejími členy v rámci pravidel, která stanovila, ani kombinovat uvedený řetězec s jinými prvky, nebrání tomu, aby tentýž řetězec představoval osobní údaj ve smyslu uvedeného ustanovení. |
K druhé otázce
52 |
Podstatou druhé otázky předkládajícího soudu je, zda čl. 4 bod 7 GDPR musí být vykládán v tom smyslu, že:
|
53 |
Na úvod je nutné připomenout, že cíl sledovaný GDPR spočívá, jak vyplývá z jeho článku 1, jakož i z bodů 1 a 10 jeho odůvodnění, zejména v zajištění vysoké úrovně ochrany základních práv a svobod fyzických osob, zejména jejich práva na soukromí v souvislosti se zpracováním osobních údajů, zakotveného v čl. 8 odst. 1 Listiny a v čl. 16 odst. 1 SFEU [rozsudek ze dne 4. května 2023, Bundesrepublik Deutschland (Elektronická soudní schránka), C‑60/22, EU:C:2023:373, bod 64]. |
54 |
V souladu s tímto cílem čl. 4 bod 7 tohoto nařízení definuje pojem „správce“ široce jako fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. |
55 |
Jak již Soudní dvůr rozhodl, cílem tohoto ustanovení totiž je prostřednictvím této široké definice pojmu „správce“ zajistit účinnou a úplnou ochranu subjektů údajů (obdobně viz rozsudek ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, bod 28). |
56 |
Mimoto vzhledem k tomu, že se pojmem „správce“ rozumí subjekt, který „sám nebo společně s jinými“ určuje účely a prostředky zpracování osobních údajů, jak je výslovně stanoveno v čl. 4 bodě 7 GDPR, neodkazuje tento pojem nutně na jediný subjekt a může se týkat více subjektů, které se na tomto zpracování podílejí, a tudíž se na každého z nich vztahují použitelná ustanovení pro ochranu údajů (obdobně viz rozsudky ze dne 5. června 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, bod 29, a ze dne 10. července 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 65). |
57 |
Soudní dvůr měl také za to, že fyzickou nebo právnickou osobu, která vykonává pro své vlastní účely vliv na zpracování osobních údajů, a v důsledku toho se podílí na určování účelů a prostředků tohoto zpracování, lze považovat za správce ve smyslu čl. 4 bodu 7 GDPR (obdobně viz rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 68). Podle čl. 26 odst. 1 GDPR se jedná o „společné správce“, pokud účely a prostředky zpracování stanoví společně dva nebo více správců (rozsudek ze dne 5. prosince 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, bod 40). |
58 |
V tomto ohledu, i když každý společný správce musí nezávisle odpovídat definici „správce“, která je obsažena v čl. 4 bodě 7 GDPR, z existence společné odpovědnosti nelze nezbytně dovozovat, že by jednotlivé subjekty měly ve vztahu k témuž zpracovávání osobních údajů nést nezbytně stejný podíl odpovědnosti. Naopak tyto subjekty mohou být zapojeny v různých fázích tohoto zpracování a v různé míře, takže míru odpovědnosti každého z nich je třeba hodnotit s přihlédnutím ke všem relevantním okolnostem projednávané věci. Mimoto společná odpovědnost několika subjektů za totéž zpracování podle tohoto ustanovení nepředpokládá, že každý z nich má přístup k dotčeným osobním údajům (obdobně viz rozsudek ze dne 10. července 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, body 66 a 69, jakož i citovaná judikatura). |
59 |
Účast na určení účelů a prostředků zpracování může mít různou podobu; tato účast může být výsledkem jak společného rozhodnutí dvou či více subjektů, tak konvergujících rozhodnutí takových subjektů. V posledně uvedeném případě se uvedená rozhodnutí musí doplňovat, aby každé z nich mělo konkrétní účinek na určení účelů a prostředků zpracování. Naproti tomu nelze požadovat, aby mezi těmito správci existovala formální dohoda o účelech a prostředcích zpracování (rozsudek ze dne 5. prosince 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, body 43 a 44). |
60 |
S ohledem na výše uvedené je třeba mít za to, že první část druhé položené otázky směřuje k určení, zda taková oborová organizace, jako je IAB Europe, může být považována za společného správce ve smyslu čl. 4 bodu 7 a čl. 26 odst. 1 GDPR. |
61 |
Za tímto účelem je tedy třeba posoudit, zda s ohledem na zvláštní okolnosti projednávaného případu IAB Europe vykonává pro své vlastní účely vliv na zpracování osobních údajů, jako je TC String, a společně s dalšími určuje účely a prostředky takového zpracování. |
62 |
Pokud jde zaprvé o účel takového zpracování osobních údajů, s výhradou ověření, která musí provést předkládající soud, ze spisu, který má Soudní dvůr k dispozici, vyplývá, že – jak bylo připomenuto v bodech 21 a 22 tohoto rozsudku – TCF vypracovaný IAB Europe představuje rámec pravidel, jejichž cílem je zajistit soulad zpracování osobních údajů uživatele internetových stránek nebo aplikace, které provádějí některé subjekty účastnící se on-line aukcí reklamních ploch, s GDPR. |
63 |
Za těchto podmínek je v podstatě cílem TCF podporovat a umožnit prodej a nákup reklamních ploch na internetu uvedenými subjekty. |
64 |
S výhradou ověření, která musí provést předkládající soud, lze tedy mít za to, že IAB Europe vykonává pro své vlastní účely vliv na operace zpracování osobních údajů, o které se jedná ve věci v původním řízení, a z tohoto důvodu společně se svými členy určuje účely takových operací. |
65 |
Zadruhé, pokud jde o prostředky použité pro účely takového zpracování osobních údajů, ze spisu, který má Soudní dvůr k dispozici, vyplývá, s výhradou ověření, která přísluší provést předkládajícímu soudu, že TCF představuje rámec pravidel, která mají členové IAB Europe přijmout, aby přistoupili k tomuto sdružení. Konkrétně, jak potvrdilo IAB Europe na jednání před Soudním dvorem, pokud některý z jejích členů nedodržuje pravidla TCF, může IAB Europe vůči tomuto členovi přijmout rozhodnutí o porušení pravidel a pozastavení členství, které může vést k vyloučení uvedeného člena z TCF, a zabránit mu tedy v tom, aby se odvolával na záruku souladu s GDPR, jež má být tímto nástrojem poskytnuta pro zpracování osobních údajů prováděné prostřednictvím TC Strings. |
66 |
Mimoto TCF vypracovaný IAB Europe obsahuje z praktického hlediska, jak bylo uvedeno v bodě 21 tohoto rozsudku, technické specifikace týkající se zpracování TC String. Podle všeho tyto specifikace zejména přesně popisují způsob, jakým jsou CMP povinny získávat preference uživatelů, pokud jde o zpracování osobních údajů, které se jich týkají, jakož i způsob, jakým mají být tyto preference zpracovávány za účelem vygenerování TC String. Mimoto jsou rovněž stanovena přesná pravidla, pokud jde o obsah TC String, jakož i jeho uchovávání a sdílení. |
67 |
Z rozhodnutí ze dne 2. února 2022 zejména vyplývá, že IAB Europe v rámci těchto pravidel předepisuje zejména standardizovaný způsob, jakým mohou jednotlivé strany zapojené do TCF konzultovat preference, námitky a souhlasy uživatelů obsažené v TC Strings. |
68 |
Za těchto podmínek a s výhradou ověření, která musí provést předkládající soud, je třeba mít za to, že taková oborová organizace, jako je IAB Europe, vykonává pro své vlastní účely vliv na operace zpracování osobních údajů, o které se jedná ve věci v původním řízení, a z tohoto důvodu společně se svými členy určuje prostředky, které jsou základem takových operací. Z toho vyplývá, že IAB Europe musí být v souladu s judikaturou připomenutou v bodě 57 tohoto rozsudku považována za „společného správce“ ve smyslu čl. 4 bodu 7 a čl. 26 odst. 1 GDPR. |
69 |
Okolnost uváděná předkládajícím soudem, že taková oborová organizace sama nemá přímý přístup k TC Strings, a tedy k osobním údajům zpracovávaným v rámci uvedených pravidel jejími členy, se kterými tato organizace společně určuje účely a prostředky zpracování těchto údajů, nebrání v souladu s judikaturou připomenutou v bodě 58 tohoto rozsudku tomu, aby mohla být kvalifikována jako „správce“ ve smyslu těchto ustanovení. |
70 |
Mimoto je v reakci na pochybnosti vyjádřené předkládajícím soudem třeba vyloučit, že se případná společná odpovědnost této oborové organizace automaticky vztahuje na další zpracování osobních údajů třetími osobami, jako jsou poskytovatelé internetových stránek nebo aplikací, pokud jde o preference uživatelů pro účely cílené on-line reklamy. |
71 |
V tomto ohledu je třeba uvést, že čl. 4 bod 2 GDPR definuje „zpracování“ jako „operac[i] nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení“. |
72 |
Z této definice vyplývá, že zpracování osobních údajů může představovat jednu nebo více operací, přičemž každá z nich se týká jiné fáze tohoto zpracování. |
73 |
Dále, jak již Soudní dvůr rozhodl, z čl. 4 bodu 7 a čl. 26 odst. 1 GDPR vyplývá, že fyzickou nebo právnickou osobu lze považovat za společného správce pro operace zpracování osobních údajů pouze tehdy, pokud společně určuje účely a prostředky těchto operací. Proto, aniž by byla v této souvislosti dotčena případná občanskoprávní odpovědnost stanovená v tomto ohledu vnitrostátním právem, nelze takovou fyzickou nebo právnickou osobu považovat za správce ve smyslu uvedených ustanovení v souvislosti s předchozími nebo pozdějšími operacemi v postupu zpracování, při kterých neurčuje účely ani prostředky (obdobně viz rozsudek ze dne 29. července 2019, Fashion ID, C‑40/17, EU:C:2019:629, bod 74). |
74 |
V projednávaném případě je třeba rozlišovat jednak mezi zpracováním osobních údajů prováděným členy IAB Europe, tj. poskytovateli internetových stránek nebo aplikací, jakož i zprostředkovateli údajů nebo také reklamními platformami při zaznamenávání preferencí dotyčných uživatelů ohledně jejich souhlasu do TC String v rámci pravidel stanovených v TCF, a jednak mezi dalším zpracováním osobních údajů prováděným těmito subjekty, jakož i třetími osobami na základě těchto preferencí, jako je přenos těchto údajů třetím osobám nebo nabídka personalizované reklamy těmto uživatelům. |
75 |
Toto další zpracování totiž podle všeho nevyžaduje, s výhradou ověření, která musí provést předkládající soud, účast IAB Europe, takže je třeba vyloučit automatickou odpovědnost takové organizace společně s uvedenými subjekty, jakož i se třetími osobami, pokud jde o zpracování osobních údajů prováděné na základě údajů o preferencích dotyčných uživatelů obsažených v TC String. |
76 |
Takovou oborovou organizaci, jako je IAB Europe, lze považovat za odpovědnou za taková další zpracování pouze tehdy, je-li prokázáno, že vykonávala vliv na určení účelů a podmínek těchto zpracování, což přísluší ověřit předkládajícímu soudu s ohledem na všechny relevantní okolnosti věci v původním řízení. |
77 |
S ohledem na všechny výše uvedené úvahy je třeba na druhou otázku odpovědět tak, že čl. 4 bod 7 a čl. 26 odst. 1 GDPR musí být vykládány v tom smyslu, že:
|
K nákladům řízení
78 |
Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují. |
Z těchto důvodů Soudní dvůr (čtvrtý senát) rozhodl takto: |
|
|
Podpisy |
( *1 ) – Jednací jazyk: nizozemština.