Sprawa C‑604/22

IAB Europe

przeciwko

Gegevensbeschermingsautoriteit

(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez hof van beroep te Brussel)

Wyrok Trybunału (czwarta izba) z dnia 7 marca 2024 r.

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Określająca standardy organizacja sektorowa proponująca swoim członkom reguły dotyczące przetwarzania zgody użytkowników – Artykuł 4 pkt 1 – Pojęcie „danych osobowych” – Ciąg liter i znaków rejestrujący w sposób ustrukturyzowany i nadający się do odczytu maszynowego informacje o preferencjach użytkownika Internetu odnoszących się do zgody tego użytkownika na przetwarzanie jego danych osobowych – Artykuł 4 pkt 7 – Pojęcie „administratora” – Artykuł 26 ust. 1 – Pojęcie „współadministratorów” – Organizacja, która sama nie ma dostępu do danych osobowych przetwarzanych przez jej członków – Odpowiedzialność organizacji rozciągająca się na dalsze przetwarzanie danych przez osoby trzecie

1. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Pojęcie danych osobowych – Ciąg liter i znaków zawierający informacje o preferencjach użytkownika Internetu odnoszących się do jego zgody na przetwarzanie jego danych osobowych – Włączenie – Warunek – Ciąg umożliwiający identyfikację osoby, której dane dotyczą – Brak możliwości uzyskania przez organizację sektorową dysponującą tym ciągiem dostępu do danych przetwarzanych przez jej członków i powiązania przez nią owego ciągu z innymi elementami – Brak wpływu

   (rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 4 pkt 1)

   (zob. pkt 41–51; pkt 1 sentencji)

2. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Pojęcie współadministratorów – Określająca standardy organizacja sektorowa proponująca swoim członkom reguły dotyczące przetwarzania zgody użytkowników – Włączenie – Warunek – Wpływ tej organizacji na odnośne przetwarzanie danych osobowych oraz ustalanie przez nią, wspólnie z jej członkami, celów i sposobów takiego przetwarzania – Organizacja, która nie ma bezpośredniego dostępu do danych osobowych przetwarzanych przez jej członków – Brak wpływu

   (rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 4 pkt 7, art. 26 ust. 1)

   (zob. pkt 57–68, 77; pkt 2 sentencji)

3. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Współadministrowanie – Określająca standardy organizacja sektorowa proponująca swoim członkom reguły dotyczące przetwarzania zgody użytkowników – Wspólna odpowiedzialność tej organizacji rozciągająca się automatycznie na dalsze przetwarzanie danych przez osoby trzecie – Brak

   (rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 4 pkt 7, art. 26 ust. 1)

   (zob. pkt 74–77; pkt 2 sentencji)

Streszczenie

Rozpatrując wniosek o wydanie orzeczenia w trybie prejudycjalnym, Trybunał wyjaśnił, po pierwsze, pojęcie „danych osobowych” ( 1 ) oraz, po drugie, warunki, w jakich organizację sektorową – w zakresie, w jakim proponuje ona swoim członkom zbiór reguł dotyczących zgody na przetwarzanie danych osobowych – należy uznać za „współadministratora” ( 2 ). Trybunał określił również granice wspólnej odpowiedzialności takiej organizacji.

IAB Europe jest stowarzyszeniem o celu niezarobkowym z siedzibą w Belgii, które reprezentuje przedsiębiorstwa z sektora reklamy cyfrowej i marketingu cyfrowego na szczeblu europejskim.

IAB Europe opracowało Transparency & Consent Framework (ramy przejrzystości i zgody, zwane dalej „TCF”) – zbiór reguł mających na celu zapewnienie zgodności z RODO przetwarzania danych osobowych użytkownika strony internetowej lub aplikacji dokonywanego przez pewnych operatorów. TCF wspiera przestrzeganie RODO przy używaniu przez wspomnianych operatorów protokołu OpenRTB, służącego do korzystania z Real Time Bidding, który jest internetowym systemem zautomatyzowanej i odbywającej się w czasie rzeczywistym sprzedaży w drodze aukcji profili użytkowników na potrzeby sprzedaży i zakupu powierzchni reklamowych w Internecie.

W tym kontekście TCF ułatwia rejestrację informacji o preferencjach użytkowników, które są następnie kodowane i przechowywane w składającym się z kombinacji liter i znaków ciągu określanym przez IAB Europe jako Transparency and Consent String (zwanym dalej „TC String”). Ciąg ten jest udostępniany brokerom danych osobowych i platformom reklamowym wykorzystującym protokół OpenRTB, aby wiedzieli oni, na co użytkownik wyraził zgodę, a na co nie. Na urządzeniu użytkownika umieszcza się również plik cookie, który w powiązaniu z TC String można połączyć z adresem IP tego użytkownika.

W następstwie szeregu skarg przeciwko IAB Europe izba ds. rozstrzygania sporów Gegevensbeschermingsautoriteit (organu ochrony danych, Belgia) w decyzji z dnia 2 lutego 2022 r. nakazała IAB Europe, administratorowi danych, zapewnienie zgodności dokonywanego stosownie do TCF przetwarzania danych z przepisami RODO.

IAB Europe wniosło skargę na tę decyzję do hof van beroep te Brussel (sądu apelacyjnego w Brukseli, Belgia). Powziąwszy wątpliwości co do tego, czy TC String – w powiązaniu z adresem IP lub bez takiego powiązania – stanowi dane osobowe, a jeżeli tak, to czy IAB Europe należy uznać za administratora danych w ramach TCF, w szczególności w odniesieniu do przetwarzania TC String, cour d’appel de Bruxelles (sąd apelacyjny w Brukseli) zwrócił się do Trybunału z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym.

Ocena Trybunału

W pierwszej kolejności Trybunał zauważył, że ciąg składający się z kombinacji liter i znaków, taki jak TC String, zawiera informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie przez osoby trzecie dotyczących go danych osobowych lub do wyrażonego przez niego ewentualnego sprzeciwu wobec przetwarzania takich danych opartego na podnoszonym prawnie uzasadnionym interesie ( 3 ).

W tym względzie Trybunał uznał, iż ze względu na to, że powiązanie TC String z adresem IP urządzenia użytkownika lub z innymi identyfikatorami umożliwia identyfikację tego użytkownika, TC String zawiera informacje dotyczące możliwego do zidentyfikowania użytkownika, a zatem stanowi dane osobowe ( 4 ). Co więcej, okoliczność, że IAB Europe nie może samo powiązać TC String z adresem IP urządzenia użytkownika i nie ma możliwości bezpośredniego dostępu do danych przetwarzanych przez jego członków zgodnie z TCF, nie stoi na przeszkodzie uznaniu TC String za „dane osobowe” ( 5 ).

Ponadto członkowie IAB Europe są zobowiązani do przekazania mu, na jego żądanie, wszelkich informacji umożliwiających mu identyfikację użytkowników, których dane są przedmiotem TC String. Oznacza to, z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego, że IAB Europe dysponuje rozsądnie prawdopodobnymi sposobami umożliwiającymi mu identyfikację określonej osoby fizycznej na podstawie TC String dzięki informacjom, które jego członkowie i inne organizacje uczestniczące w TCF są zobowiązane mu przekazać ( 6 ).

Trybunał doszedł zatem do wniosku, że TC String stanowi dane osobowe w rozumieniu art. 4 pkt 1 RODO. Bez znaczenia jest fakt, że bez wsparcia z zewnątrz, którego ma prawo wymagać, taka organizacja sektorowa nie może ani uzyskać dostępu do danych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami, ani powiązać TC String z innymi identyfikatorami, takimi jak adres IP urządzenia użytkownika.

W drugiej kolejności Trybunał zbadał, czy IAB Europe można uznać za współadministratora ( 7 ). W tym celu trzeba było ustalić, czy wpływa ono dla własnych celów na przetwarzanie danych osobowych, takich jak TC String, i ustala, wspólnie z innymi, cele i sposoby tego przetwarzania.

Co się tyczy przede wszystkim celów takiego przetwarzania danych, Trybunał zauważył, że ustanowiony przez IAB Europe TCF ma w istocie na celu wspieranie i umożliwianie sprzedaży i zakupu powierzchni reklamowej w Internecie przez pewnych operatorów uczestniczących w aukcjach internetowych, których jest ona przedmiotem. W związku z tym – z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego – IAB Europe wpływa dla własnych celów na operacje przetwarzania danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele takich operacji.

Następnie, co się tyczy sposobów wykorzystywanych do owego przetwarzania, Trybunał, stwierdził, że – z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego – TCF stanowi zbiór reguł, które członkowie IAB Europe powinni zaakceptować, aby przystąpić do tego stowarzyszenia. W szczególności, jeżeli jeden z jego członków nie stosuje się do tych reguł, IAB Europe może wydać decyzję, w której stwierdza ono, że członek ten nie przestrzega tych reguł, mocą której zostaje on zawieszony i która może prowadzić do wykluczenia go z TCF oraz uniemożliwić mu powoływanie się na gwarancję zgodności z RODO, jaką TCF zapewnia w odniesieniu do dokonywanego za pomocą TC Strings przetwarzania danych. Ponadto ustanowiony przez IAB Europe TCF zawiera specyfikacje techniczne dotyczące przetwarzania TC String, a także szczegółowe reguły dotyczące zawartości TC String oraz jego przechowywania i udostępniania. Co więcej, Trybunał zwrócił uwagę, że w regułach tych IAB Europe określa standardowy sposób, w jaki różne strony uczestniczące w TCF mogą uzyskać wgląd do zawartych w TC Strings informacji o preferencjach, sprzeciwach i zgodach użytkowników.

W tych okolicznościach, z zastrzeżeniem wspomnianych ustaleń, Trybunał uznał, że organizacja sektorowa taka jak IAB Europe wpływa dla własnych celów na operacje przetwarzania danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, sposoby dokonywania takich operacji. Należy ją zatem uznać za „współadministratora” ( 8 ).

Wreszcie Trybunał wyjaśnił, że należy dokonać rozróżnienia pomiędzy z jednej strony przetwarzaniem danych osobowych dokonywanym przez członków IAB Europe, takich jak dostawcy stron internetowych lub aplikacji oraz brokerzy danych czy platformy reklamowe, przy zapisywaniu w TC String informacji o preferencjach w zakresie zgody użytkowników, których dane dotyczą, stosownie do reguł ustanowionych w TCF, a z drugiej strony dalszym przetwarzaniem tych danych dokonywanym przez tych operatorów oraz przez osoby trzecie na podstawie tych informacji o preferencjach, takim jak przesyłanie danych osobom trzecim lub proponowanie tym użytkownikom spersonalizowanych reklam.

Organizację sektorową, taką jak IAB Europe, można w związku z tym uznać za administratora w odniesieniu do takiego dalszego przetwarzania tylko wtedy, gdy zostanie wykazane, że wywarła ona wpływ na ustalenie celów i sposobów tego przetwarzania, czego sprawdzenie należy do sądu odsyłającego.

( 1 ) W rozumieniu art. 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1) (zwanego dalej „RODO”).

( 2 ) W rozumieniu art. 26 ust. 1 RODO.

( 3 ) Zgodnie z art. 6 ust. 1 lit. f) RODO.

( 4 ) W rozumieniu art. 4 pkt 1 RODO.

( 5 ) W rozumieniu art. 4 pkt 1 RODO.

( 6 ) Zgodnie z brzmieniem motywu 26 RODO.

( 7 ) W rozumieniu art. 4 pkt 7 i art. 26 ust. 1 RODO.

( 8 ) W rozumieniu art. 4 pkt 7 i art. 26 ust. 1 RODO.