Vec C‑604/22

IAB Europe

proti

Gegevensbeschermingsautoriteit

(návrh na začatie prejudiciálneho konania, ktorý podal Hof van beroep te Brussel)

Rozsudok Súdneho dvora (štvrtá komora) zo 7. marca 2024

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Odvetvová organizácia, ktorá vytvára štandard, ponúkajúca svojim členom pravidlá spracovania súhlasu používateľov – Článok 4 bod 1 – Pojem ‚osobné údaje‘ – Reťazec písmen a znakov zachytávajúci štruktúrovaným a strojovo čitateľným spôsobom preferencie používateľa internetu týkajúce sa súhlasu tohto používateľa so spracúvaním jeho osobných údajov – Článok 4 bod 7 – Pojem ‚prevádzkovateľ‘ – Článok 26 ods. 1 – Pojem ‚spoloční prevádzkovatelia‘ – Organizácia, ktorá sama nemá prístup k osobným údajom spracúvaným svojimi členmi – Zodpovednosť organizácie, ktorá sa vzťahuje na ďalšie spracúvanie údajov vykonané tretími osobami“

  1. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Pojem „osobné údaje“ – Reťazec písmen a znakov zachytávajúci preferencie používateľa internetu týkajúce sa súhlasu so spracúvaním jeho osobných údajov – Zahrnutie – Podmienka – Reťazec, ktorý umožňuje identifikovať dotknutú osobu – Nemožnosť odvetvovej organizácie, ktorá je držiteľom tohto reťazca, získať prístup k údajom spracúvaným jej členmi alebo kombinovať uvedený reťazec s inými prvkami – Neexistencia vplyvu

    (Nariadenie Európskeho parlamentu a Rady 2016/679, článok 4 bod 1)

    (pozri body 41 – 51, bod 1 výroku)

  2. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Pojem „spoloční prevádzkovatelia“ – Odvetvová organizácia, ktorá vytvára štandard, ponúkajúca svojim členom pravidlá spracovania súhlasu používateľov – Zahrnutie – Podmienka – Vplyv tejto organizácie na spracúvanie dotknutých osobných údajov, ako aj určenie účelov a prostriedkov takéhoto spracúvania zo strany tejto organizácie spolu s jej členmi – Organizácia, ktorá sama nemá prístup k osobným údajom spracúvaným svojimi členmi – Neexistencia vplyvu

    (Nariadenie Európskeho parlamentu a Rady 2016/679, článok 4 bod 7 a článok 26 ods. 1)

    (pozri body 57 – 68, 77, bod 2 výroku)

  3. Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie 2016/679 – Spoločná zodpovednosť za spracúvanie – Odvetvová organizácia, ktorá vytvára štandard, ponúkajúca svojim členom pravidlá spracovania súhlasu používateľov – Spoločná zodpovednosť tejto organizácie, ktorá sa automaticky vzťahuje na ďalšie spracúvanie údajov vykonané tretími osobami – Neexistencia

    (Nariadenie Európskeho parlamentu a Rady 2016/679, článok 4 bod 7 a článok 26 ods. 1)

    (pozri body 74 – 77, bod 2 výroku)

Zhrnutie

Súdny dvor, na ktorý bol podaný návrh na začatie prejudiciálneho konania, spresnil jednak pojem „osobné údaje“ ( 1 ) a jednak podmienky, za ktorých sa má odvetvová organizácia v rozsahu, v akom svojim členom ponúka rámec pravidiel týkajúcich sa súhlasu so spracúvaním osobných údajov, kvalifikovať ako „spoločný prevádzkovateľ“ ( 2 ). Súdny dvor tiež stanovil hranice spoločnej zodpovednosti takejto organizácie.

IAB Europe je neziskové združenie so sídlom v Belgicku, ktoré zastupuje spoločnosti v odvetví digitálnej reklamy a marketingu na európskej úrovni.

IAB Europe vypracovalo rámec Transparency & Consent Framework (rámec transparentnosti a súhlasu, ďalej len „TCF“), ktorý je rámcom pravidiel, ktorých cieľom je zabezpečiť súlad s GDPR pri spracúvaní osobných údajov používateľa internetového sídla alebo aplikácie zo strany určitých subjektov. Cieľom TCF je podporovať najmä dodržiavanie GDPR, keď tieto subjekty využívajú protokol OpenRTB používaný na Real Time Bidding, ktorý je okamžitým a automatizovaným systémom online predaja profilov používateľov na účely predaja a nákupu reklamného priestoru na internete.

V tejto súvislosti TCF uľahčuje zaznamenávanie preferencií používateľov, ktoré sú následne kódované a uložené v reťazci pozostávajúcom z kombinácie písmen a znakov, ktorý IAB Europe označuje ako Transparency and Consent String (ďalej len „reťazec TC String“). Tento reťazec je poskytnutý maklérom s osobnými údajmi a reklamným platformám zapojeným do protokolu OpenRTB, aby títo vedeli, s čím používateľ súhlasil alebo nesúhlasil. V zariadení používateľa je uložený aj súbor cookie, ktorý sa v kombinácii s reťazcom TC String môže spojiť s IP adresou tohto používateľa.

V nadväznosti na viaceré sťažnosti podané proti IAB Europe sporová komora Gegevensbeschermingsautoriteit (Úrad na ochranu osobných údajov, Belgicko) rozhodnutím z 2. februára 2022 nariadila IAB Europe, prevádzkovateľovi údajov, aby zosúladilo spracúvanie údajov vykonávané v rámci TCF s ustanoveniami GDPR.

IAB Europe podalo proti uvedenému rozhodnutiu odvolanie na Hof van beroep te Brussel (Odvolací súd Brusel, Belgicko). Keďže Odvolací súd Brusel má pochybnosti o tom, či reťazec TC String v kombinácii s IP adresou predstavuje osobný údaj, a ak áno, či sa IAB Europe má považovať za prevádzkovateľa spracúvania osobných údajov v rámci TCF, najmä vzhľadom na spracúvanie reťazca TC String, položil Súdnemu dvoru prejudiciálne otázky.

Posúdenie Súdnym dvorom

V prvom rade Súdny dvor uviedol, že reťazec zložený z kombinácie písmen a znakov, ako je reťazec TC String, obsahuje preferencie používateľa internetu alebo aplikácie týkajúce sa súhlasu tohto používateľa so spracúvaním osobných údajov, ktoré sa ho týkajú, tretími osobami alebo týkajúce sa jeho prípadnej námietky proti spracúvaniu takýchto údajov založenej na údajnom legitímnom záujme. ( 3 )

V tejto súvislosti dospel Súdny dvor k záveru, že keďže spojenie reťazca TC String s IP adresou zariadenia používateľa alebo inými identifikátormi umožňuje identifikáciu tohto používateľa, reťazec TC String obsahuje informácie týkajúce sa identifikovateľného používateľa, a teda predstavuje osobný údaj. ( 4 ) Okrem toho skutočnosť, že IAB Europe nemôže samo kombinovať reťazec TC String s IP adresou zariadenia používateľa, a nemá teda možnosť priameho prístupu k údajom spracúvaným jeho členmi v rámci TCF, nebráni tomu, aby bol reťazec TC String kvalifikovaný ako „osobný údaj“ ( 5 ).

Okrem toho členovia IAB Europe sú povinní oznámiť IAB Europe na jeho žiadosť všetky informácie, ktoré mu umožnia identifikovať používateľov, ktorých údaje sú predmetom reťazca TC String. S výhradou overení, ktoré v tejto súvislosti prináleží vykonať vnútroštátnemu súdu, sa teda zdá, že IAB Europe disponuje primeranými prostriedkami, ktoré mu umožňujú identifikovať určitú fyzickú osobu podľa reťazca TC String na základe informácií, ktoré mu jeho členovia a iné organizácie zúčastňujúce sa na TCF musia poskytnúť. ( 6 )

Súdny dvor preto dospel k záveru, že reťazec TC String je osobným údajom v zmysle článku 4 bodu 1 GDPR. V tejto súvislosti nie je dôležité, že bez prispenia zvonku, ktoré má právo vyžadovať, takáto odvetvová organizácia nemôže mať prístup k údajom, ktoré spracúvajú jej členovia v rámci pravidiel, ktoré stanovila, a nemôže ani kombinovať TC String s inými identifikátormi, ako je najmä IP adresa zariadenia používateľa.

V druhom rade Súdny dvor preskúmal, či IAB Europe možno považovať za spoločného prevádzkovateľa. ( 7 ) Na tento účel je potrebné posúdiť, či táto organizácia ovplyvňuje na vlastné účely spracúvanie osobných údajov, akým je reťazec TC String, a spoločne s inými určuje účely a prostriedky takéhoto spracúvania.

Pokiaľ ide v prvom rade o účely takéhoto spracúvania údajov, Súdny dvor poznamenal, že cieľom TCF, ktorý zriadilo IAB Europe, je v podstate podporiť a umožniť predaj a nákup reklamného priestoru na internete niektorými subjektmi, ktoré sa zúčastňujú na online aukciách reklamného priestoru. S výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, IAB Europe ovplyvňuje na vlastné účely operácie spracúvania osobných údajov, a z tohto dôvodu spoločne so svojimi členmi určuje účely takýchto operácií.

Ďalej, pokiaľ ide o prostriedky použité na účely takéhoto spracúvania, Súdny dvor konštatoval s výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, že TCF predstavuje rámec pravidiel, ktoré majú členovia IAB Europe prijať na účely pristúpenia k tomuto združeniu. Konkrétne ak jeden z jeho členov nedodržiava tieto pravidlá, IAB Europe môže prijať rozhodnutie o nesúlade a pozastavení, ktoré môže viesť k vylúčeniu uvedeného člena z TCF, a teda zabrániť mu odvolávať sa na záruku súladu s GDPR, ktorú má tento mechanizmus poskytnúť pri spracúvaní osobných údajov prostredníctvom reťazcov TC String. Okrem toho rámec TCF vytvorený združením IAB Europe obsahuje technické špecifikácie týkajúce sa spracúvania reťazca TC String, ako aj presné pravidlá týkajúce sa obsahu reťazca TC String, jeho ukladania a poskytovania. Súdny dvor navyše zdôraznil, že IAB Europe v rámci týchto pravidiel stanovuje najmä štandardizovaný spôsob, akým môžu jednotlivé strany zapojené do TCF overiť preferencie, námietky a súhlasy používateľov obsiahnuté v reťazcoch TC String.

Za týchto podmienok a s výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, treba konštatovať, že taká odvetvová organizácia, akou je IAB Europe, ovplyvňuje na vlastné účely operácie spracúvania osobných údajov, a z tohto dôvodu spoločne so svojimi členmi určuje prostriedky, ktoré sú základom pre tieto operácie. Preto sa musí považovať za „spoločného prevádzkovateľa“ ( 8 ).

Súdny dvor napokon spresnil, že treba rozlišovať na jednej strane medzi spracúvaním osobných údajov vykonávaným členmi IAB Europe, ako sú poskytovatelia internetových sídiel alebo aplikácií, makléri s údajmi alebo tiež reklamné platformy, pri zaznamenávaní preferencií v oblasti súhlasu dotknutých používateľov do reťazca TC String podľa pravidiel stanovených v TCF a na druhej strane medzi ďalším spracúvaním osobných údajov vykonávaným týmito subjektmi, ako aj tretími osobami na základe týchto preferencií, ako je prenos týchto údajov tretím osobám alebo ponuka individualizovanej reklamy týmto používateľom.

Odvetvovú organizáciu, akou je IAB Europe, teda možno považovať za zodpovednú za takéto ďalšie spracúvanie len vtedy, ak sa preukáže, že mala vplyv na určenie jeho účelov a prostriedkov, čo prináleží overiť vnútroštátnemu súdu.

( 1 ) V zmysle článku 4 bodu 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1) (ďalej len „GDPR“).

( 2 ) V zmysle článku 26 ods. 1 GDPR.

( 3 ) Podľa článku 6 ods. 1 písm. f) GDPR.

( 4 ) V zmysle článku 4 bodu 1 GDPR.

( 5 ) V zmysle článku 4 bodu 1 GDPR.

( 6 ) V súlade s tým, čo sa uvádza v odôvodnení 26 GDPR.

( 7 ) V zmysle článku 4 bodu 7 a článku 26 ods. 1 GDPR.

( 8 ) V zmysle článku 4 bodu 7 a článku 26 ods. 1 GDPR.