–

IAB Europe vārdā – P. Craddock, advokāts, un K. Van Quathem, advocaat,

–

Gegevensbeschermingsautoriteit vārdā – E. Cloots, J. Roets un T. Roes, advocaten,

–

Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom un Ligue des Droits Humains VZW vārdā – F. Debusseré un R. Roex, advocaten,

–

Austrijas valdības vārdā – J. Schmoll un C. Gabauer, pārstāves,

–

Eiropas Komisijas vārdā – A. Bouchagiar un H. Kranenborg, pārstāvji,

1

Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 4. panta 1. un 7. punktu, kā arī 24. panta 1. punktu, kurus lasa Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 7. un 8. panta gaismā.

2

Šis lūgums ir iesniegts tiesvedībā starp IAB Europe un Gegevensbeschermingsautoriteit (Datu aizsardzības iestāde, Beļģija; turpmāk tekstā – “DAI”) par DAI Strīdu izšķiršanas palātas lēmumu, kas pieņemts pret IAB Europe saistībā ar apgalvotu vairāku VDAR normu pārkāpumu.

3

VDAR 1., 10., 26. un 30. apsvērums ir formulēti šādi:

[..]

[..]

[..]

4

VDAR 1. panta “Priekšmets un mērķi” 2. punktā ir noteikts:

“Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.”

5

Minētās regulas 4. pantā ir paredzēts:

“Šajā regulā piemēro šādas definīcijas:

[..]

[..]

[..].”

6

VDAR 6. pants “Apstrādes likumīgums” ir formulēts šādi:

“1.   Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:

[..]

Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.

[..]”

7

Minētās regulas 24. panta “Pārziņa atbildība” 1. punktā ir noteikts:

“Ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, pārzinis īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka apstrāde notiek saskaņā ar šo regulu. Ja nepieciešams, minētos pasākumus pārskata un atjaunina.”

8

Šīs regulas 26. panta “Kopīgi pārziņi” 1. punktā ir paredzēts:

“Ja divi vai vairāki pārziņi kopīgi nosaka apstrādes mērķus un veidus, tie ir kopīgi pārziņi. [..]”

9

VDAR VI nodaļā “Neatkarīgas uzraudzības iestādes” ir ietverts šīs regulas 51.–59. pants.

10

Šīs regulas 51. panta “Uzraudzības iestāde” 1. un 2. punktā ir paredzēts:

“1.   Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šīs regulas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā [..].

2.   Katra uzraudzības iestāde palīdz nodrošināt šīs regulas konsekventu piemērošanu visā Savienībā. Minētajā nolūkā uzraudzības iestādes sadarbojas cita ar citu un ar [Eiropas] Komisiju saskaņā ar VII nodaļu.”

11

Saskaņā ar VDAR 55. panta “Kompetence” 1. un 2. punktu:

“1.   Katra uzraudzības iestāde savas dalībvalsts teritorijā ir kompetenta pildīt uzticētos uzdevumus un īstenot pilnvaras, ko tai piešķir saskaņā ar šo regulu.

2.   Ja apstrādi veic publiska iestāde vai privāta struktūra, kas darbojas saskaņā ar 6. panta 1. punkta c) vai e) apakšpunktu, par to ir atbildīga attiecīgās dalībvalsts uzraudzības iestāde. Šādos gadījumos 56. pantu nepiemēro.”

12

Šīs regulas 56. panta “Vadošās uzraudzības iestādes kompetence” 1. punktā ir noteikts:

“Neskarot 55. pantu, galvenās uzņēmējdarbības vietas vai pārziņa vai apstrādātāja darbības vietas uzraudzības iestāde ir kompetenta rīkoties kā vadošā uzraudzības iestāde attiecībā uz minētā pārziņa vai apstrādātāja veiktu pārrobežu apstrādi saskaņā ar 60. pantā paredzēto procedūru.”

13

Minētās regulas 57. panta “Uzdevumi” 1. punktā ir paredzēts:

“Neskarot citus uzdevumus, kas noteikti ar šo regulu, ikviena uzraudzības iestāde savā teritorijā:

[..]

[..].”

14

Šīs pašas regulas VII nodaļas “Sadarbība un konsekvence” 1. iedaļā “Sadarbība” ir šīs regulas 60.–62. pants. Tās 60. panta “Sadarbība starp vadošo uzraudzības iestādi un citām attiecīgajām uzraudzības iestādēm” 1. punktā ir paredzēts:

“Vadošā uzraudzības iestāde sadarbojas ar citām attiecīgajām uzraudzības iestādēm saskaņā ar šo pantu nolūkā panākt konsensu. Vadošā uzraudzības iestāde un attiecīgās uzraudzības iestādes savstarpēji apmainās ar visu būtisko informāciju.”

15

VDAR 61. panta “Savstarpēja palīdzība” 1. punktā ir noteikts:

“Uzraudzības iestādes sniedz cita citai visu attiecīgo informāciju un savstarpēju palīdzību, lai konsekventi īstenotu un piemērotu šo regulu, un īsteno pasākumus efektīvai savstarpējai sadarbībai. Savstarpēja palīdzība ietver jo īpaši informācijas pieprasījumus un uzraudzības pasākumus, piemēram, pieprasījumus sniegt iepriekšējas atļaujas un veikt apspriešanos, pārbaudes un izmeklēšanas.”

16

Šīs regulas 62. panta “Uzraudzības iestāžu kopīgās operācijas” 1. un 2. punktā ir paredzēts:

“1.   Uzraudzības iestādes vajadzības gadījumā veic kopīgas operācijas, tostarp kopīgu izmeklēšanu un kopīgus izpildes pasākumus, kuros iesaistās citu dalībvalstu uzraudzības iestāžu locekļi vai personāls.

2.   Ja pārzinis vai apstrādātājs veic uzņēmējdarbību vairākās dalībvalstīs vai apstrādes darbības var būtiski ietekmēt ievērojamu skaitu datu subjektu vairāk nekā vienā dalībvalstī, uzraudzības iestādei katrā no šīm dalībvalstīm ir tiesības piedalīties kopīgajās operācijās. [..]”

17

Minētās regulas VII nodaļas 2. iedaļā “Konsekvence” ir šīs regulas 63.–67. pants. Tās 63. pants “Konsekvences mehānisms” ir formulēts šādi:

“Lai sekmētu šīs regulas konsekventu piemērošanu visā Savienībā, uzraudzības iestādes sadarbojas cita ar citu un attiecīgā gadījumā ar Komisiju, izmantojot konsekvences mehānismu, kā izklāstīts šajā iedaļā.”

18

2017. gada 3. decembrawet tot oprichting van de Gegevensbeschermingsautoriteit (Likums par datu aizsardzības iestādes izveidi; 2018. gada 10. janvāraBelgisch Staatsblad, 989. lpp.; turpmāk tekstā – “Likums par datu aizsardzības iestādes izveidi”) 100. panta 1. punkta 9. apakšpunktā ir noteikts:

“Strīdu izskatīšanas palātai ir pilnvaras:

[..]

9° uzdot nodrošināt apstrādes atbilstību.”

19

Likuma par datu aizsardzības iestādes izveidi 101. pantā ir paredzēts:

“Tiesas palāta var lemt par administratīvā naudas soda uzlikšanu personām, pret kurām uzsākts process, saskaņā ar [VDAR] 83. pantā paredzētajiem vispārējiem principiem.”

20

IAB Europe ir Beļģijā reģistrēta bezpeļņas organizācija, kas pārstāv uzņēmumus digitālās reklāmas un mārketinga nozarē Eiropas līmenī. IAB Europe biedri ir gan šīs nozares uzņēmumi, piemēram, izdevēji, elektroniskās tirdzniecības un mārketinga uzņēmumi, starpnieki, gan valstu apvienības, tostarp valsts IAB (Interactive Advertising Bureau), kuru vidū savukārt ir minētās nozares uzņēmumu biedri. IAB Europe biedru vidū tostarp ir uzņēmumi, kas gūst ievērojamus ienākumus, pārdodot reklāmas laukumus interneta vietnē vai lietotnēs.

21

IAB Europe izstrādāja Transparency & Consent Framework (Pārskatāmības un piekrišanas regulējums; turpmāk tekstā – “TCF”), kas ir regulējums, kuru veido norādes, instrukcijas, tehniskās specifikācijas, protokoli un līgumsaistības, kas ļauj gan interneta vietnes vai lietotnes nodrošinātājam, gan datu brokeriem vai reklāmas platformām likumīgi apstrādāt interneta vietnes vai lietotnes lietotāja personas datus.

22

TCF mērķis tostarp ir veicināt VDAR ievērošanu, ja šie operatori izmanto protokolu OpenRTB, proti, vienu no protokoliem, kuri visvairāk tiek izmantoti attiecībā uz Real Time Bidding, kas ir tūlītēja un automatizēta lietotāju profilu izsoļu sistēma tiešsaistē reklāmas laukumu pārdošanai un iegādei internetā (turpmāk tekstā – “RTB”). Ņemot vērā dažas IAB Europe biedru īstenotās prakses saistībā ar šo masveida personas datu par lietotāju profiliem apmaiņas sistēmu, IAB Europe prezentēja TCF kā risinājumu, kas minēto pārdošanas izsolēs sistēmu varētu padarīt saderīgu ar VDAR.

23

It īpaši no tehniskā viedokļa – kā izriet no Tiesai iesniegtajiem lietas materiāliem –, ja lietotājs aplūko interneta vietni vai lietotni, kurā ietverts reklāmas laukums, reklāmas tehnoloģiju uzņēmumi, it īpaši datu brokeri un reklāmas platformas, kas pārstāv tūkstošiem reklāmdevēju, var reāllaikā aizkadrā piedalīties vairāksolīšanā, lai iegūtu šo reklāmas laukumu, izmantojot automatizētu izsoļu sistēmu, kurā tiek izmantoti algoritmi, lai minētajā laukumā parādītu mērķreklāmas, kas ir īpaši pielāgotas šāda lietotāja profilam.

24

Tomēr pirms šādas mērķreklāmas izvietošanas ir jāsaņem minētā lietotāja iepriekšēja piekrišana. Tādējādi, ja viņš aplūko interneta vietni vai lietotni pirmo reizi, tā sauktās piekrišanas pārvaldības platforma “Consent Management Platform” (turpmāk tekstā – “CMP”) parādās pop‑up logā, kas ļauj šim lietotājam vai nu dot piekrišanu interneta vietnes vai lietotnes nodrošinātājam vākt un apstrādāt viņa personas datus iepriekš noteiktiem nolūkiem, piemēram, mārketingam vai reklāmai, vai šo datu koplietošanai ar noteiktiem pakalpojumu sniedzējiem, vai arī iebilst pret dažāda veida datu apstrādi vai to koplietošanu, pamatojoties uz pakalpojumu sniedzēju norādītajām leģitīmajām interesēm VDAR 6. panta 1. punkta f) apakšpunkta izpratnē. Šie personas dati tostarp attiecas uz lietotāja atrašanās vietu, viņa vecumu, pētījumu vēsturi un nesenajiem pirkumiem.

25

Šajā kontekstā TCF nodrošina sistēmu plaša mēroga personas datu apstrādei un atvieglo lietotāju izvēļu reģistrāciju, izmantojot CMP. Šīs izvēles vēlāk tiek kodētas un glabātas, izveidojot burtu un rakstu kombinācijas virkni, ko IAB Europe apzīmējusi ar nosaukumu Transparency and Consent String (turpmāk tekstā – “TC String”) un kas tiek koplietota ar personas datu brokeriem un reklāmas platformām, kuras piedalās OpenRTB protokolā, lai tie zinātu, kam lietotājs ir piekritis vai pret ko ir iebildis. CMP izvieto arī sīkdatni (euconsent‑v2) lietotāja ierīcē. Kombinējot TC String un sīkdatni euconsent‑v2, tās var sasaistīt ar šā lietotāja ierīces IP adresi.

26

Tādējādi TCF ir nozīme OpenRTB protokola darbībā, jo tas ļauj transkribēt lietotāja izvēles, lai šo informāciju nodotu potenciālajiem pārdevējiem, un sasniegt dažādus apstrādes mērķus, tostarp piedāvāt pēc pasūtījuma sagatavotu reklāmu. TCF mērķis tostarp ir, izmantojot TC String, nodrošināt personas datu brokeriem un reklāmas platformām VDAR ievērošanu.

27

Kopš 2019. gada DAI gan no Beļģijas, gan no trešām valstīm ir saņēmusi vairākas sūdzības pret IAB Europe par TCF atbilstību VDAR. Izskatījusi šīs sūdzības, DAI kā vadošā uzraudzības iestāde VDAR 56. panta 1. punkta izpratnē iedarbināja sadarbības un konsekvences mehānismu saskaņā ar šīs regulas 60.–63. pantu, lai panāktu kopīgu lēmumu, ko apstiprina visas – 21 – šajā mehānismā iesaistītās valsts uzraudzības iestādes. Tādējādi DAI Strīdu izšķiršanas palāta ar 2022. gada 2. februāra lēmumu (turpmāk tekstā – “2022. gada 2. februāra lēmums”) nosprieda, ka IAB Europe rīkojas kā personas datu pārzinis attiecībā uz individuālo lietotāju piekrišanas, iebildumu un izvēļu signāla reģistrēšanu, izmantojot TC String, kas, DAI Strīdu izšķiršanas palātas ieskatā, ir saistīts ar identificējamu lietotāju. Turklāt šajā lēmumā DAI Strīdu izšķiršanas palāta saskaņā ar Likuma par datu aizsardzības iestādes izveidi 100. panta 1. punkta 9. apakšpunktu uzdeva IAB Europe nodrošināt tādas personas datu apstrādes atbilstību VDAR normām, kas veikta atbilstoši TCF, un piemēroja tai vairākus korektīvus pasākumus, kā arī administratīvu naudas sodu.

28

IAB Europe par minēto lēmumu cēla prasību hof van beroep te Brussel (Briseles apelācijas tiesa, Beļģija), kas ir iesniedzējtiesa. IAB Europe lūdz minēto tiesu atcelt 2022. gada 2. februāra lēmumu. Tā tostarp apstrīd faktu, ka tā ir uzskatāma par tādu, kas ir rīkojusies kā pārzinis. Tā arī apgalvo, ka, ciktāl šajā lēmumā ir konstatēts, ka TC String ir personas dati VDAR 4. panta 1. punkta izpratnē, šis lēmums nav pietiekami niansēts un pamatots un katrā ziņā tas esot kļūdains. It īpaši IAB Europe uzsver, ka tikai citi TCF dalībnieki varot apvienot TC String ar IP adresi, lai to pārveidotu par personas datiem, ka TC String nav lietotājam raksturīga un ka pašai IAB Europe nav iespējas piekļūt datiem, kurus šajā saistībā apstrādā tās biedri.

29

DAI, ko pamatlietā atbalsta Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom un Ligue des Droits Humains VZW, it īpaši norāda, ka TC Strings ir personas dati, jo CMP var saistīt TC Strings ar IP adresēm, turklāt TCF dalībnieki var arī identificēt lietotājus, pamatojoties uz citiem datiem, ka IAB Europe ir piekļuve informācijai, lai to izdarītu, un ka tieši lietotāja identificēšana ir TC String mērķis, jo tā paredzēta, lai atvieglotu mērķreklāmas pārdošanu. DAI citastarp arī apgalvo – tas, ka IAB Europe ir jāuzskata par pārzini VDAR izpratnē, izriet no tās noteicošās lomas TC Strings apstrādē. DAI piebilst, ka šī organizācija attiecīgi nosaka apstrādes nolūkus un līdzekļus, veidu, kādā tiek ģenerētas, grozītas un lasītas TC Strings, kā un kādā veidā tiek glabātas nepieciešamās sīkdatnes, kas saņem personas datus, un uz kādu kritēriju pamata var noteikt TC Strings saglabāšanas termiņus.

30

Iesniedzējtiesai ir šaubas par to, vai TC String kopā ar IP adresi vai atsevišķi ir personas dati, un, ja tas tā ir, vai IAB Europe ir jākvalificē kā pārzinis TCF ietvaros, it īpaši attiecībā uz TC String apstrādi. Šajā ziņā minētā tiesa norāda, ka, lai gan ir taisnība, ka 2022. gada 2. februāra lēmums atspoguļo kopējo nostāju, ko pieņēmušas dažādas šajā lietā iesaistītās valsts uzraudzības iestādes, Tiesai tomēr vēl neesot bijusi iespēja lemt par šo ierobežojošo jauno tehnoloģiju, kāda ir TC String.

31

Šādos apstākļos hof van beroep te Brussel (Briseles apelācijas tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

32

Ar pirmo jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai VDAR 4. panta 1. punkts ir jāinterpretē tādējādi, ka tāda burtu un rakstzīmju kombinācijas virkne kā TC String, kurā ietvertas interneta vai lietotnes lietotāja izvēles attiecībā uz šī lietotāja piekrišanu savu personas datu apstrādei, ko veic interneta vai lietotņu nodrošinātāji, kā arī šādu datu brokeri un reklāmas platformas, ir personas dati šīs tiesību normas izpratnē tad, ja nozares organizācija ir izveidojusi tādu noteikumu ietvaru, saskaņā ar kuriem šī virkne ir jāģenerē, jāuzglabā vai jāizplata, un šādas organizācijas biedri ir pieņēmuši šādus noteikumus un tādējādi tiem ir piekļuve minētajai virknei. Minētā tiesa vēlas arī noskaidrot, vai, lai atbildētu uz šo jautājumu, ir svarīgi, pirmām kārtām, lai minētā virkne būtu saistīta ar identifikatoru, piemēram, minētā lietotāja ierīces IP adresi, kas ļauj identificēt datu subjektu, un, otrām kārtām, ka šādai nozares organizācijai ir tiesības tieši piekļūt personas datiem, kurus tās biedri apstrādā atbilstoši tās izstrādātajiem noteikumiem.

33

Vispirms jāatgādina: tā kā ar VDAR ir atcelta un aizstāta Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L281, 31. lpp.) un tā kā attiecīgo šīs regulas normu tvērums būtībā ir identisks attiecīgo šīs direktīvas normu tvērumam, Tiesas judikatūra par minēto direktīvu principā ir piemērojama arī minētajai regulai (spriedums, 2021. gada 17. jūnijs, M.I.C.M., C‑597/19, EU:C:2021:492, 107. punkts).

34

Tāpat jāatgādina, ka saskaņā ar pastāvīgo judikatūru, interpretējot Savienības tiesību normu, jāņem vērā ne tikai tās formulējums, bet arī konteksts un šo normu ietverošā tiesiskā regulējuma mērķi un nolūks (spriedums, 2023. gada 22. jūnijs, Pankki S, C‑579/21, EU:C:2023:501, 38. punkts, kā arī tajā minētā judikatūra).

35

Šajā ziņā jānorāda, ka VDAR 4. panta 1. punktā ir noteikts, ka personas dati ir “jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu”, un precizēts, ka “identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem”.

36

Tas, ka šajā normā sniegtajā jēdziena “personas dati” definīcijā ir izmantota vārdkopa “jebkuru informāciju”, norāda uz Savienības likumdevēja mērķi šo jēdzienu apveltīt ar plašu nozīmi, kas potenciāli aptver visa veida gan objektīvu, gan subjektīvu informāciju viedokļa vai vērtējumu formā, ja vien šī informācija “attiecas uz” konkrēto personu (spriedums, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 23. punkts, kā arī tajā minētā judikatūra).

37

Šajā ziņā Tiesa ir nospriedusi, ka informācija attiecas uz identificētu vai identificējamu fizisku personu, ja tās satura, mērķa vai seku ziņā tā ir saistīta ar kādu identificējamu personu (spriedums, 2023. gada 4. maijs, Österreichische Datenschutzbehörde un CRIF, C‑487/21, EU:C:2023:369, 24. punkts, kā arī tajā minētā judikatūra).

38

Attiecībā uz to, vai persona ir “identificējama”, no VDAR 4. panta 1. punkta formulējuma izriet, ka identificējama ir persona, kuru var identificēt ne tikai tieši, bet arī netieši.

39

Tas, ka Savienības likumdevējs ir izmantojis vārdu “netieši”, liecina, ka, lai informāciju kvalificētu par personas datiem, nav vajadzīgs, lai šī informācija pati par sevi ļautu identificēt datu subjektu (pēc analoģijas skat. spriedumu, 2016. gada 19. oktobris, Breyer, C‑582/14, EU:C:2016:779, 41. punkts). Tieši otrādi: no VDAR 4. panta 5. punkta, lasot to kopsakarā ar šīs regulas 26. apsvērumu, izriet, ka personas dati, kurus, izmantojot papildu informāciju, ir iespējams saistīt ar kādu fizisku personu, ir jāuzskata par informāciju, kas attiecas uz identificējamu fizisku personu (spriedums, 2023. gada 5. decembris, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 58. punkts).

40

Turklāt 26. apsvērumā ir precizēts, ka, lai noteiktu, vai persona ir “identificējama”, ir jāņem vērā “visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot – piemēram, atsevišķa izdalīšana –, lai tieši vai netieši identificētu fizisku personu”. Šis formulējums liek domāt, ka, lai datus varētu kvalificēt par “personas datiem” šīs regulas 4. panta 1. punkta izpratnē, netiek prasīts, lai visa informācija, kas ļauj identificēt datu subjektu, atrastos tikai vienas personas rīcībā (pēc analoģijas skat. spriedumu, 2016. gada 19. oktobris, Breyer, C‑582/14, EU:C:2016:779, 43. punkts).

41

No tā izriet, ka jēdziens “personas dati” aptver ne tikai apstrādātāja iegūtos un uzglabātos datus, bet arī visu informāciju, kas iegūta, apstrādājot personas datus, kuri attiecas uz identificētu vai identificējamu personu (spriedums, 2023. gada 22. jūnijs, Pankki S, C‑579/21, EU:C:2023:501, 45. punkts).

42

Šajā lietā jānorāda, ka tāda burtu un rakstzīmju kombinācijas virkne kā TC String ietver interneta vai lietotnes lietotāja izvēles saistībā ar šī lietotāja piekrišanu trešo personu veiktai viņa personas datu apstrādei vai ar viņa iespējamo iebildumu pret šādu datu apstrādi, kura balstīta uz apgalvotajām leģitīmajām interesēm saskaņā ar VDAR 6. panta 1. punkta f) apakšpunktu.

43

Pat ja TC String pati par sevi neietvēra elementus, kas ļautu tieši identificēt datu subjektu, tomēr, pirmām kārtām, tajā ir ietvertas konkrēta lietotāja individuālās izvēles attiecībā uz piekrišanu savu personas datu apstrādei, un šī “informācija attiecas uz fizisku personu” VDAR 4. panta 1. punkta izpratnē.

44

Otrām kārtām, nav strīda arī par to, ka tad, ja TC String ietvertā informācija ir saistīta ar identifikatoru, piemēram, šāda lietotāja ierīces IP adresi, tā var ļaut izveidot minētā lietotāja profilu un faktiski identificēt personu, uz kuru šī informācija konkrēti attiecas.

45

Tā kā tādas burtu un rakstzīmju kombinācijas virknes kā TC String sasaistīšana ar papildu informāciju, tostarp lietotāja ierīces IP adresi vai citiem identifikatoriem, ļauj identificēt šo lietotāju, ir jāuzskata, ka TC String ietver informāciju par identificējamu lietotāju un tātad ir personas dati VDAR 4. panta 1. punkta izpratnē, ko apstiprina VDAR 30. apsvērums, kurā šāds gadījums ir skaidri minēts.

46

Šo interpretāciju nevar atspēkot tas vien, ka IAB Europe pati nevar apvienot TC String ar lietotāja ierīces IP adresi un ka tai nav iespējas tieši piekļūt datiem, kurus tās biedri apstrādā atbilstoši TCF.

47

Proti, kā izriet no šī sprieduma 40. punktā atgādinātās judikatūras, šāds apstāklis nav šķērslis, lai TC String kvalificētu par “personas datiem” VDAR 4. panta 1. punkta izpratnē.

48

Turklāt no Tiesas rīcībā esošajiem lietas materiāliem, it īpaši no 2022. gada 2. februāra lēmuma, izriet, ka IAB Europe biedriem pēc tās lūguma tai ir jāsniedz visa informācija, kas tai ļauj identificēt lietotājus, uz kuru datiem attiecas TC String.

49

Tādējādi, neskarot pārbaudes, kas šajā ziņā jāveic iesniedzējtiesai, šķiet, ka IAB Europe rīcībā saskaņā ar VDAR 26. apsvērumu ir saprātīgi līdzekļi, kas tai ļauj no TC String identificēt konkrētu fizisku personu, izmantojot informāciju, kura jāsniedz tās biedriem un citām organizācijām, kas piedalās TCF.

50

No iepriekš minētā izriet, ka TC String ir personas dati VDAR 4. panta 1. punkta izpratnē. Šajā ziņā nav nozīmes tam, ka bez ārējas palīdzības, ko tai ir tiesības pieprasīt, šāda nozares organizācija nevar nedz piekļūt datiem, kurus tās biedri apstrādā saskaņā ar tās izstrādātajiem noteikumiem, nedz apvienot TC String ar citiem identifikatoriem, piemēram, lietotāja ierīces IP adresi.

51

Ņemot vērā iepriekš izklāstīto, uz pirmo jautājumu ir jāatbild, ka VDAR 4. panta 1. punkts ir jāinterpretē tādējādi, ka tāda burtu un rakstzīmju kombinācijas virkne kā TC String, kurā ietvertas interneta vai lietotnes lietotāja izvēles attiecībā uz šī lietotāja piekrišanu viņa personas datu apstrādei, ko veic interneta vai lietotņu nodrošinātāji, kā arī šādu datu brokeri un reklāmas platformas, ir personas dati šīs tiesību normas izpratnē, ciktāl – ja šī virkne, izmantojot saprātīgus līdzekļus, var tikt sasaistīta ar identifikatoru, tostarp tādu kā minētā lietotāja ierīces IP adrese, – tā ļauj identificēt datu subjektu. Tādējādi apstāklis, ka bez ārējas palīdzības nozares organizācija, kam pieder šī virkne, nevar nedz piekļūt datiem, kurus tās biedri ir apstrādājuši saskaņā ar tās izstrādātajiem noteikumiem, nedz arī sasaistīt minēto virkni ar citiem elementiem, nav šķērslis tam, lai šī pati virkne tiktu uzskatīta par personas datiem minētās tiesību normas izpratnē.

52

Ar otro jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 4. panta 7. punkts ir jāinterpretē tādējādi, ka:

53

Vispirms jāatgādina, ka VDAR mērķis – kā izriet no tās 1. panta un 1. un 10. apsvēruma – citastarp ir nodrošināt fizisko personu pamattiesību un pamatbrīvību augsta līmeņa aizsardzību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību saistībā ar personas datu apstrādi aizsardzību, kas nostiprinātas Hartas 8. panta 1. punktā un LESD 16. panta 1. punktā (spriedums, 2023. gada 4. maijs, Bundesrepublik Deutschland (Tiesu elektroniskā pastkaste), C‑60/22, EU:C:2023:373, 64. punkts).

54

Saskaņā ar šo mērķi šīs regulas 4. panta 7. punktā jēdziens “pārzinis” ir definēts plaši – kā fiziska vai juridiska persona, valsts iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus.

55

Proti, kā Tiesa jau nospriedusi, šīs tiesību normas mērķis ir, plaši definējot jēdzienu “pārzinis”, nodrošināt datu subjektu efektīvu un pilnīgu aizsardzību (pēc analoģijas skat. spriedumu, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, 28. punkts).

56

Turklāt tā kā – atbilstoši VDAR 4. panta 7. punktā skaidri paredzētajam – ar jēdzienu “pārzinis” ir domāta struktūra, “kura viena pati vai kopīgi ar citām” nosaka personas datu apstrādes nolūkus un līdzekļus, šis jēdziens var arī nenozīmēt kādu vienu struktūru, bet gan attiekties uz vairākiem subjektiem, kas piedalās šajā apstrādē, un tādā gadījumā personas datu apstrādi reglamentējošās tiesību normas ir piemērojamas katram no tiem (pēc analoģijas skat. spriedumus, 2018. gada 5. jūnijs, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, 29. punkts, un 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 65. punkts).

57

Tiesa ir arī atzinusi, ka fiziska vai juridiska persona, kura saviem mērķiem ietekmē personas datu apstrādi un tāpēc piedalās šīs apstrādes nolūku un līdzekļu noteikšanā, var tikt uzskatīta par pārzini VDAR 4. panta 7. punkta izpratnē (pēc analoģijas skat. spriedumu, 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 68. punkts). Tādējādi saskaņā ar VDAR 26. panta 1. punktu “kopīgi pārziņi” ir tad, ja divi vai vairāki pārziņi kopīgi nosaka apstrādes nolūkus un līdzekļus (spriedums, 2023. gada 5. decembris, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 40. punkts).

58

Šajā ziņā, lai gan katram kopīgajam pārzinim ir neatkarīgi jāatbilst VDAR 4. panta 7. punktā ietvertajai “pārziņa” definīcijai, kopīgas atbildības esamība ne vienmēr nozīmē dažādu dalībnieku līdzvērtīgu atbildību par vienu un to pašu personas datu apstrādi. Gluži pretēji, šie subjekti var būt iesaistīti dažādos šīs apstrādes posmos un atšķirīgā apjomā, un tāpēc tas, cik lielā mērā katrs no tiem ir atbildīgs, ir jāvērtē, ņemot vērā visus būtiskos lietas apstākļus. Turklāt saskaņā ar šo tiesību normu tas, ka par vienu apstrādi kopīgi atbild vairāki subjekti, nenozīmē, ka attiecīgajiem personas datiem ir jābūt pieejamiem katram no tiem (pēc analoģijas skat. spriedumu, 2018. gada 10. jūlijs, Jehovan todistajat, C‑25/17, EU:C:2018:551, 66. un 69. punkts, kā arī tajos minētā judikatūra).

59

Dalība apstrādes nolūku un līdzekļu noteikšanā var tikt īstenota dažādos veidos: šī dalība var izrietēt gan no divu vai vairāku struktūru kopīgi pieņemta lēmuma, gan no šādu struktūru saskaņotiem lēmumiem. Pēdējā minētajā gadījumā šiem lēmumiem ir jābūt papildinošiem tādējādi, ka katram no tiem ir konkrēta ietekme uz apstrādes nolūku un līdzekļu noteikšanu. Taču nevar tikt prasīts, lai starp šiem pārziņiem būtu oficiāla vienošanās par apstrādes nolūkiem un līdzekļiem (spriedums, 2023. gada 5. decembris, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 43. un 44. punkts).

60

Ņemot vērā visu iepriekš izklāstīto, ir jāuzskata, ka otrā jautājuma pirmā daļa ir vērsta uz to, lai noteiktu, vai tāda nozares organizācija kā IAB Europe var tikt uzskatīta par kopīgu pārzini VDAR 4. panta 7. punkta un 26. panta 1. punkta izpratnē.

61

Šajā nolūkā tātad ir jāizvērtē, vai, ņemot vērā šīs lietas konkrētos apstākļus, tā saviem mērķiem ietekmē tādu personas datu apstādi kā TC String un kopā ar citiem nosaka šādas apstrādes nolūkus un līdzekļus.

62

Pirmām kārtām, attiecībā uz šādas personas datu apstrādes nolūkiem – neskarot pārbaudes, kas jāveic iesniedzējtiesai, – no Tiesas rīcībā esošajiem lietas materiāliem izriet, kā atgādināts šī sprieduma 21. un 22. punktā, ka IAB Europe izveidotais TCF ir tādu noteikumu sistēma, kuru mērķis ir nodrošināt interneta vietnes vai lietotnes lietotāja personas datu apstrādes, ko veic noteikti operatori, kuri piedalās reklāmas laukumu tiešsaistes izsolē, atbilstību VDAR.

63

Šādos apstākļos TCF mērķis būtībā ir veicināt un ļaut minētajiem operatoriem pārdot un pirkt reklāmas laukumus internetā.

64

Tādējādi, neskarot pārbaudes, kas jāveic iesniedzējtiesai, var uzskatīt, ka IAB Europe saviem mērķiem ietekmē pamatlietā aplūkotās personas datu apstrādes darbības un tādēļ kopā ar saviem biedriem nosaka šo darbību nolūkus.

65

Otrām kārtām, saistībā ar līdzekļiem, kas izmantoti šādai personas datu apstrādei, no Tiesas rīcībā esošajiem lietas materiāliem izriet – neskarot pārbaudes, kas jāveic iesniedzējtiesai –, ka TCF ir tāds noteikumu kopums, kuri IAB Europe biedriem ir jāpieņem, lai pievienotos šai apvienībai. It īpaši, kā to apstiprināja IAB Europe tiesas sēdē Tiesā, ja kāds no tās biedriem neievēro TCF noteikumus, IAB Europe attiecībā uz šo biedru var pieņemt lēmumu par neatbilstību un dalības apturēšanu, kā rezultātā minētais biedrs var tikt izslēgts no TCF un tādējādi nevarēs paļauties uz garantiju par atbilstību VDAR, kas būtu jāsniedz ar šo mehānismu attiecībā uz personas datu apstrādi, kuru tas veic, izmantojot TC Strings.

66

Turklāt no praktiskā viedokļa, kā minēts šī sprieduma 21. punktā, IAB Europe izveidotais TCF satur tehniskās specifikācijas par TC String apstrādi. It īpaši šķiet, ka šajās specifikācijās ir precīzi aprakstīts veids, kādā CMP ir jāvāc ziņas par lietotāju izvēlēm attiecībā uz viņu personas datu apstrādi, kā arī kārtība, kādā šādas ziņas par izvēlēm ir jāapstrādā, lai ģenerētu TC String. Ir paredzēti arī precīzi noteikumi saistībā ar TC String saturu, kā arī tā glabāšanu un koplietošanu.

67

It īpaši no 2022. gada 2. februāra lēmuma izriet, ka IAB Europe šajos noteikumos tostarp paredz standartizētu kārtību, kādā dažādas TCF iesaistītās puses var iepazīties ar TC Strings iekļautajām lietotāju izvēlēm, iebildumiem un piekrišanu.

68

Šādos apstākļos un neskarot pārbaudes, kas jāveic iesniedzējtiesai, ir jāuzskata, ka tāda nozares organizācija kā IAB Europe saviem mērķiem ietekmē pamatlietā aplūkotās personas datu apstrādes darbības un šī iemesla dēļ kopā ar saviem biedriem nosaka līdzekļus, kuri ir šādu darbību pamatā. No tā izriet, ka saskaņā ar šī sprieduma 57. punktā atgādināto judikatūru tā ir jāuzskata par “kopīgu pārzini” VDAR 4. panta 7. punkta un 26. panta 1. punkta izpratnē.

69

Iesniedzējtiesas minētais apstāklis, ka šādai nozares organizācijai pašai nav tiešas piekļuves TC Strings un tātad personas datiem, kurus atbilstoši minētajiem noteikumiem ir apstrādājuši tās biedri, ar kuriem tā kopīgi nosaka šo datu apstrādes nolūkus un līdzekļus, saskaņā ar šā sprieduma 58. punktā atgādināto judikatūru neliedz to kvalificēt par “pārzini” šo tiesību normu izpratnē.

70

Turklāt, atbildot uz šīs tiesas paustajām šaubām, ir jāizslēdz, ka šīs nozares organizācijas iespējamā kopīgā atbildība automātiski attiecas uz personas datu vēlāku apstrādi, ko veic trešās personas, piemēram, interneta vai lietotņu nodrošinātāji, attiecībā uz lietotāju izvēlēm saistībā ar mērķreklāmu tiešsaistē.

71

Šajā ziņā ir jānorāda, pirmkārt, ka VDAR 4. panta 2. punktā “apstrāde” ir definēta kā “jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana”.

72

No šīs definīcijas izriet, ka personas datu apstrāde var būt viena vai vairākas darbības, no kurām katra ir saistīta ar atšķirīgu apstrādes posmu.

73

Otrkārt, kā Tiesa jau ir nospriedusi, no VDAR 4. panta 7. punkta un 26. panta 1. punkta izriet, ka fizisku vai juridisku personu var uzskatīt par kopīgu personas datu apstrādes darbību pārzini tikai tad, ja tā kopīgi nosaka tās nolūkus un līdzekļus. Tādēļ – neskarot šajā ziņā valsts tiesībās iespējami paredzēto civiltiesisko atbildību – šī fiziskā vai juridiskā persona nav uzskatāma par pārzini minēto tiesību normu izpratnē attiecībā uz agrākām vai vēlākām apstrādes ķēdes darbībām, kuru nolūkus vai līdzekļus tā nenosaka (pēc analoģijas skat. spriedumu, 2019. gada 29. jūlijs, Fashion ID, C‑40/17, EU:C:2019:629, 74. punkts).

74

Šajā gadījumā jānošķir, no vienas puses, personas datu apstrāde, ko veic IAB Europe biedri, proti, interneta vai lietotņu nodrošinātāji, kā arī datu brokeri vai reklāmas platformas, kad reģistrē TC String izvēles par attiecīgo lietotāju piekrišanu saskaņā ar TCF paredzētajiem noteikumiem, un, no otras puses, personas datu vēlāka apstrāde, ko veic šie tirgus dalībnieki, kā arī trešās personas, pamatojoties uz šīm izvēlēm, – tāda kā šo datu nosūtīšana trešām personām vai personalizētas reklāmas piedāvāšana šiem lietotājiem.

75

Proti – neskarot pārbaudes, kas ir jāveic iesniedzējtiesai –, nešķiet, ka šī vēlākā apstrāde ietver IAB Europe dalību, tādēļ ir jāizslēdz automātiska šādas organizācijas atbildība kopā ar minētajiem tirgus dalībniekiem, kā arī ar trešajām personām attiecībā uz personas datu apstrādi, kas veikta, pamatojoties uz TC String ietvertajiem datiem par attiecīgo lietotāju izvēlēm.

76

Tādējādi tādu nozares organizāciju kā IAB Europe par atbildīgu par šādu vēlāku apstrādi var uzskatīt tikai tad, ja ir pierādīts, ka tā ir ietekmējusi tās nolūku un līdzekļu noteikšanu, un tas ir jāpārbauda iesniedzējtiesai, ņemot vērā visus atbilstošos pamatlietas apstākļus.

77

Ņemot vērā visus iepriekš izklāstītos apsvērumus, uz otro uzdoto jautājumu ir jāatbild, ka VDAR 4. panta 7. punkts un 26. panta 1. punkts ir jāinterpretē tādējādi, ka:

78

Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (ceturtā palāta) nospriež: