DOMSTOLENS DOM (fjärde avdelningen)

den 7 mars 2024 ( *1 )

”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Normerande branschorganisation som tillhandahåller sina medlemmar regler avseende behandling av användares samtycke – Artikel 4 led 1 – Begreppet ’personuppgifter’ – En bokstavs- och teckenföljd som, på ett strukturerat och maskinläsbart sätt, ger uttryck för en internetanvändares preferenser vad gäller denna användares samtycke till behandling av sina personuppgifter – Artikel 4 led 7 – Begreppet ’personuppgiftsansvarig’ – Artikel 26.1 – Begreppet ’gemensamt personuppgiftsansvariga’ – Organisation som inte själv har tillgång till de personuppgifter som dess medlemmar behandlar – Organisationens ansvar omfattar även senare behandlingar som utförs av tredje man”

I mål C‑604/22,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Hof van beroep te Brussel (Appellationsdomstolen i Bryssel, Belgien) genom beslut av den 7 september 2022, som inkom till domstolen den 19 september 2022, i målet

IAB Europe

mot

Gegevensbeschermingsautoriteit,

ytterligare deltagare i rättegången:

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits Humains VZW,

meddelar

DOMSTOLEN (fjärde avdelningen)

sammansatt av avdelningsordföranden C. Lycourgos samt domarna O. Spineanu-Matei, J.-C. Bonichot, S. Rodin och L.S. Rossi (referent),

generaladvokat: T. Ćapeta,

justitiesekreterare: handläggaren A. Lamote,

efter det skriftliga förfarandet och förhandlingen den 21 september 2023,

med beaktande av de yttranden som avgetts av:

IAB Europe, genom P. Craddock, avocat, och K. Van Quathem, advocaat,

Gegevensbeschermingsautoriteit, genom E. Cloots, J. Roets och T. Roes, advocaten,

Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom och Ligue des Droits Humains VZW, genom F. Debusseré och R. Roex, advocaten,

Österrikes regering, genom J. Schmoll och C. Gabauer, båda i egenskap av ombud,

Europeiska kommissionen, genom A. Bouchagiar och H. Kranenborg, båda i egenskap av ombud,

med hänsyn till beslutet, efter att ha hört generaladvokaten, att avgöra målet utan förslag till avgörande,

följande

Dom

1

Begäran om förhandsavgörande avser tolkningen av artikel 4 leden 1 och 7 samt artikel 24.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, samt rättelser i EUT L 127, 2018, s. 2, och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen), jämförda med artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).

2

Begäran har framställts i ett mål mellan IAB Europe och Gegevensbeschermingsautoriteit (Dataskyddsmyndigheten, Belgien) (nedan kallad dataskyddsmyndigheten). Målet rör ett beslut som fattats av tvisteavdelningen vid Dataskyddsmyndigheten angående IAB Europes påstådda åsidosättande av flera bestämmelser i dataskyddsförordningen.

Tillämpliga bestämmelser

Unionsrätt

3

I skälen 1, 10, 26 och 30 i dataskyddsförordningen anges följande:

”(1)

Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i [stadgan] och artikel 16.1 [FEUF] föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

(10)

För att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom [Europeiska] unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. …

(26)

Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.

(30)

Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.”

4

Artikel 1 i dataskyddsförordningen har rubriken ”Syfte”. I punkt 2 i denna artikel föreskrivs följande:

”Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.”

5

I artikel 4 i nämnda förordning föreskrivs följande:

”I denna förordning avses med

1.

personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2.

behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

7.

personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

11.

samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne,

…”

6

Artikel 6 i dataskyddsförordningen, med rubriken ”Laglig behandling av personuppgifter”, har följande lydelse:

”1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)

Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

f)

Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

…”

7

Artikel 24 i dataskyddsförordningen har rubriken ”Den personuppgiftsansvariges ansvar”. I punkt 1 i denna artikel anges följande:

”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”

8

Artikel 26 i dataskyddsförordningen har rubriken ”Gemensamt personuppgiftsansvariga”. I punkt 1 i denna artikel föreskrivs följande:

”Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. …”

9

Kapitel VI i dataskyddsförordningen rör ”Oberoende tillsynsmyndigheter” och innehåller artiklarna 51–59.

10

Artikel 51 i förordningen har rubriken ”Tillsynsmyndighet”. I punkterna 1 och 2 i denna artikel föreskrivs följande:

”1.   Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen …

2.   Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med [Europeiska] kommissionen i enlighet med kapitel VII.”

11

Artikel 55 i dataskyddsförordningen har rubriken ”Behörighet”. Punkterna 1 och 2 i denna artikel har följande lydelse:

”1.   Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.

2.   Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.”

12

Artikel 56 i dataskyddsförordningen har rubriken ”Den ansvariga tillsynsmyndighetens behörighet”. I punkt 1 i denna artikel föreskrivs följande:

”Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60.”

13

I artikel 57 i nämnda förordning, med rubriken ”Uppgifter”, föreskrivs följande i punkt 1:

”Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:

a)

Övervaka och verkställa tillämpningen av denna förordning.

g)

Samarbeta, inbegripet utbyta information, med och ge ömsesidigt bistånd till andra tillsynsmyndigheter för att se till att denna förordning tillämpas och verkställs på ett enhetligt sätt.

…”

14

Kapitel VII i dataskyddsförordningen har rubriken ”Samarbete och enhetlighet”. Avsnitt 1 i det kapitlet har rubriken ”Samarbete” och innehåller artiklarna 60–62. Artikel 60 rör ”Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna”. I punkt 1 i denna artikel föreskrivs följande:

”Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna ska utbyta all relevant information med varandra.”

15

Artikel 61 i dataskyddsförordningen har rubriken ”Ömsesidigt bistånd”. I punkt 1 i denna artikel föreskrivs följande:

”Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.”

16

Artikel 62 i förordningen har rubriken ”Tillsynsmyndigheters gemensamma insatser”. I punkterna 1 och 2 i denna artikel föreskrivs följande:

”1.   Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar.

2.   Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna. …”

17

Avsnitt 2 i kapitel VII i dataskyddsförordningen har rubriken ”Enhetlighet”. Det avsnittet innehåller artiklarna 63–67. Artikel 63, med rubriken ”Mekanism för enhetlighet”, har följande lydelse:

”För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.”

Belgisk rätt

18

I artikel 100.1.9° i wet tot oprichting van de Gegevensbeschermingsautoriteit (lag om inrättande av Dataskyddsmyndigheten) av den 3 december 2017 (Belgisch Staatsblad av den 10 januari 2018, s. 989) (nedan kallad WOG) föreskrivs följande:

”Tvisteavdelningen har befogenhet att

9° meddela föreläggande om att behandlingen ska ske i enlighet med gällande bestämmelser.”

19

I artikel 101 WOG föreskrivs följande:

”Tvisteavdelningen får besluta att ålägga de berörda parterna administrativa sanktionsavgifter i enlighet med de allmänna principer som avses i artikel 83 i [dataskyddsförordningen].”

Målet vid den nationella domstolen och tolkningsfrågorna

20

IAB Europe är en ideell organisation med säte i Belgien som företräder företag inom branschen för digital reklam och marknadsföring på europeisk nivå. IAB Europes medlemmar är såväl företag inom denna bransch, såsom förläggare, e‑handelsföretag, marknadsföringsföretag, mellanhänder, som nationella sammanslutningar, däribland nationella IAB (Interactive Advertising Bureau), vars medlemmar i sin tur är företag inom nämnda bransch. Bland IAB Europes medlemmar ingår bland annat företag som genererar betydande intäkter genom försäljning av reklamutrymme på webbplatser eller i applikationer.

21

IAB Europe har utvecklat Transparency & Consent Framework (ram för öppenhet och samtycke) (nedan kallad TCF), som är ett regelverk som består av riktlinjer, instruktioner, tekniska specifikationer, protokoll och avtalsförpliktelser som gör det möjligt för såväl leverantören av en webbplats eller en applikation som för datamäklare eller reklamplattformar att lagligen behandla personuppgifter som rör en användare av en webbplats eller en applikation.

22

TCF har bland annat till syfte att främja efterlevnaden av dataskyddsförordningen när dessa aktörer använder OpenRTB-protokollet, det vill säga ett av de protokoll som används mest för Real Time bidding, som är ett system för ögonblicklig och automatiserad online-auktion av användarprofiler i försäljningssyfte och för köp av reklamutrymme på internet (nedan kallat RTB). Med hänsyn till vissa metoder som utvecklades av IAB Europes medlemmar inom ramen för detta system för massivt utbyte av personuppgifter avseende användarprofiler, har IAB Europe presenterat TCF som en lösning som kan göra nämnda auktionssystem förenligt med dataskyddsförordningen.

23

Såsom framgår av de handlingar som ingetts till EU-domstolen kan reklamteknikföretag – särskilt datamäklare och reklamplattformar – vilka företräder tusentals annonsörer, när en användare besöker en webbplats eller en applikation som innehåller en reklamplats, i realtid och i hemlighet lägga bud för att erhålla denna reklamplats via ett automatiserat auktionssystem som använder algoritmer, i syfte att på nämnda utrymme visa riktad reklam som är särskilt anpassad till en sådan användares profil.

24

Innan sådan riktad reklam visas måste emellertid användarens förhandssamtycke inhämtas. När en användare besöker en webbplats eller en applikation för första gången visas således en plattform för hantering av samtycke kallad Consent Management Platform (nedan kallad CMP) i ett popup-fönster som ger användaren möjlighet dels att ge sitt samtycke till att leverantören av webbplatsen eller applikationen samlar in och behandlar användarens personuppgifter för på förhand fastställda ändamål, såsom marknadsföring eller reklam, eller i syfte att dela dessa uppgifter med vissa leverantörer, dels att motsätta sig olika typer av databehandling eller delning av uppgifter, på grundval av leverantörers berättigade intressen, i den mening som avses i artikel 6.1 f i dataskyddsförordningen. Dessa personuppgifter avser bland annat användarens lokalisering, ålder, sökhistorik och senaste inköp.

25

I detta sammanhang tillhandahåller TCF en ram för behandling av personuppgifter i stor skala och underlättar registrering av användarnas preferenser via CMP. Dessa preferenser kodas och lagras därefter i en sträng som består av en kombination av bokstäver och tecken som IAB Europe har gett namnet ”Transparency and Consent String” (nedan kallad TC‑sträng), som delas med personuppgiftsmäklare och reklamplattformar som deltar i OpenRTB-protokollet, så att dessa vet vad användaren har samtyckt till eller motsatt sig. CMP placerar också en kaka (euconsent-v2) på användarens utrustning. När de kombineras kan TC‑strängen och kakan euconsent-v2 kopplas till användarens IP-adress.

26

TCF har således betydelse för OpenRTB-protokollets funktion, eftersom det gör det möjligt att transkribera användarens preferenser i syfte att förmedla dem till potentiella säljare och att uppnå olika behandlingsmål, däribland att erbjuda skräddarsydd reklam. TCF syftar bland annat till att genom TC‑strängen säkerställa att personuppgiftsmäklare och reklamplattformar följer dataskyddsförordningen.

27

Sedan år 2019 har dataskyddsmyndigheten mottagit flera klagomål mot IAB Europe, såväl från Belgien som från tredjeländer, som avser huruvida TCF är förenligt med dataskyddsförordningen. Efter att ha granskat klagomålen utlöste dataskyddsmyndigheten, i egenskap av ansvarig tillsynsmyndighet i den mening som avses i artikel 56.1 i dataskyddsförordningen, mekanismen för samarbete och enhetlighet, i enlighet med artiklarna 60–63 i förordningen, för att nå fram till ett gemensamt beslut som samtliga de 21 nationella tillsynsmyndigheter som var inblandade i denna mekanism hade godkänt gemensamt. Dataskyddsmyndighetens tvisteavdelning slog därefter, i sitt beslut av den 2 februari 2022 (nedan kallat beslutet av den 2 februari 2022), fast att IAB Europe agerade i egenskap av personuppgiftsansvarig i fråga om registreringen av enskilda användares samtycken, invändningar och preferenser via en TC‑sträng, som enligt dataskyddsmyndighetens tvisteavdelning är knuten till en identifierbar användare. Genom detta beslut förelade dataskyddsmyndighetens tvisteavdelning vidare, enligt artikel 100.1.9° WOG, IAB Europe att se till att den behandling av personuppgifter som utfördes inom ramen för TCF var förenlig med bestämmelserna i dataskyddsförordningen och ålade IAB Europe att genomföra flera korrigerande åtgärder samt att betala en administrativ sanktionsavgift.

28

IAB Europe överklagade detta beslut till Hof van beroep te Brussel (Appellationsdomstolen i Bryssel, Belgien), som är den hänskjutande domstolen. IAB Europe har yrkat att denna domstol ska upphäva beslutet av den 2 februari 2022. IAB Europe har bland annat bestritt att organisationen ska anses ha agerat i egenskap av personuppgiftsansvarig. IAB Europe har även gjort gällande att beslutet är otillräckligt nyanserat och motiverat, i den del det däri konstateras att TC‑strängen är en personuppgift i den mening som avses i artikel 4 led 1 i dataskyddsförordningen, och att det under alla omständigheter är felaktigt. IAB Europe har särskilt framhållit att det endast är de andra deltagarna i TCF som skulle kunna kombinera TC‑strängen med en IP-adress för att omvandla TC‑strängen till en personuppgift, att TC‑strängen inte är specifik för en användare och att IAB Europe inte själv har möjlighet att få tillgång till de uppgifter som dess medlemmar behandlar i detta sammanhang.

29

Dataskyddsmyndigheten har, med stöd i det nationella målet av Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom och Ligue des droits Humains VZW, bland annat gjort gällande att TC‑strängarna utgör personuppgifter, eftersom TC‑strängarna via CMP kan kopplas till IP-adresser, att deltagarna i TCF dessutom även kan identifiera användarna på grundval av andra uppgifter, att IAB Europe har tillgång till information för att göra detta, och att denna identifiering av användaren är just syftet med TC‑strängen, som är avsedd att underlätta försäljningen av riktad reklam. Dataskyddsmyndigheten har vidare bland annat anfört att den omständigheten att IAB Europe ska betraktas som personuppgiftsansvarig i den mening som avses i dataskyddsförordningen följer av organisationens avgörande roll i behandlingen av TC‑strängar. Dataskyddsmyndigheten har tillagt att denna organisation bestämmer ändamålen och medlen för behandlingen, hur TC‑strängar genereras, ändras och läses, hur och var de nödvändiga kakorna lagras, vem som mottar personuppgifterna och på grundval av vilka kriterier som fristerna för lagring av TC‑strängar kan fastställas.

30

Den hänskjutande domstolen hyser tvivel om huruvida en TC‑sträng, eventuellt i kombination med en IP-adress, utgör en personuppgift och, om så är fallet, huruvida IAB Europe ska anses vara personuppgiftsansvarig inom ramen för TCF, särskilt med hänsyn till behandlingen av TC‑strängen. Den hänskjutande domstolen har i detta hänseende angett att beslutet av den 2 februari 2022 visserligen återspeglar den gemensamma ståndpunkt som de olika nationella tillsynsmyndigheter som är inblandade i förevarande fall har antagit gemensamt, men att EU-domstolen dock ännu inte har haft tillfälle att uttala sig om den nya inkräktande teknik som TC‑strängen utgör.

31

Mot denna bakgrund beslutade Hof van beroep te Brussel (Appellationsdomstolen i Bryssel) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1.

a)

Ska artikel 4 led 1 i [dataskyddsförordningen], jämförd med artiklarna 7 och 8 i [stadgan], tolkas så, att en teckenföljd som på ett strukturerat och maskinläsbart sätt ger uttryck för en internetanvändares preferenser i samband med behandlingen av dennes personuppgifter, utgör en personuppgift i den mening som avses i ovannämnda bestämmelse vad gäller 1) en branschorganisation som tillhandahåller sina medlemmar en standard med föreskrifter om på vilket sätt teckenföljden rent praktiskt och tekniskt ska genereras, lagras och/eller spridas, och 2) de parter som har infört denna standard på sina webbplatser eller i sina applikationer och på detta sätt således fått tillgång till denna teckenföljd?

b)

Har det därvid betydelse om införandet av standarden innebär att denna teckenföljd görs tillgänglig tillsammans med en IP-adress?

c)

Blir svaret på fråga 1 a och b annorlunda om denna normerande branschorganisation inte själv har laglig tillgång till de personuppgifter som dess medlemmar behandlar inom denna standard?

2.

a)

Ska artikel 4 led 7 och artikel 24.1 i [dataskyddsförordningen], jämförd med artiklarna 7 och 8 i [stadgan], tolkas så, att en normerande branschorganisation ska kvalificeras som personuppgiftsansvarig när organisationen tillhandahåller sina medlemmar en standard för hantering av samtycke som utöver en bindande teknisk ram innehåller detaljerade föreskrifter för hur dessa samtyckesuppgifter, som utgör personuppgifter, ska lagras och spridas?

b)

Blir svaret på fråga 2 a annorlunda om denna branschorganisation inte själv har tillgång till de personuppgifter som dess medlemmar behandlar inom denna standard?

c)

För det fall den normerande branschorganisationen ska betraktas som personuppgiftsansvarig eller gemensamt personuppgiftsansvarig för behandlingen av internetanvändarnas preferenser, omfattar den normerande branschorganisationens (gemensamma) personuppgiftsansvar i så fall även automatiskt den senare behandling som utförs av tredje man som erhållit internetanvändarnas preferenser, såsom riktad onlinereklam från utgivare och försäljare?”

Den första frågan

32

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 4 led 1 i dataskyddsförordningen ska tolkas så, att en bokstavs- och teckenföljd, såsom TC‑strängen, som innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av leverantörer av webbplatser eller applikationer samt av personuppgiftsmäklare och reklamplattformar, utgör en personuppgift i den mening som avses i denna bestämmelse, när en branschorganisation har fastställt ett regelverk enligt vilket denna sträng ska genereras, lagras eller spridas och medlemmarna i en sådan organisation har genomfört sådana regler och således har tillgång till denna sträng. Den hänskjutande domstolen vill även få klarhet i huruvida det, för svaret på denna fråga, har någon betydelse dels att nämnda sträng är kopplad till en identifierare, såsom bland annat IP-adressen till nämnda användares utrustning, så att det blir möjligt att identifiera den registrerade, dels att en sådan branschorganisation har rätt att direkt få tillgång till de personuppgifter som dess medlemmar behandlar inom ramen för det regelverk den har fastställt.

33

EU-domstolen erinrar inledningsvis om att dataskyddsförordningen har upphävt och ersatt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) och om att de relevanta bestämmelserna i dataskyddsförordningen i allt väsentligt har samma räckvidd som de relevanta bestämmelserna i nämnda direktiv, vilket således innebär att EU-domstolens praxis avseende nämnda direktiv i princip även är tillämplig med avseende på nämnda förordning (dom av den 17 juni 2021, M.I.C.M.,C‑597/19, EU:C:2021:492, punkt 107).

34

Det ska även erinras om att det vid tolkningen av en unionsbestämmelse enligt fast rättspraxis inte bara är lydelsen som ska beaktas, utan också det sammanhang i vilket den förekommer och de mål och syften som eftersträvas med den rättsakt som bestämmelsen ingår i (dom av den 22 juni 2023, Pankki S,C‑579/21, EU:C:2023:501, punkt 38 och där angiven rättspraxis).

35

I artikel 4 led 1 i dataskyddsförordningen anges att personuppgifter utgör ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. Där preciseras vidare att ”en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

36

Användningen, i denna bestämmelse, av uttrycket ”varje upplysning” i definitionen av begreppet personuppgifter avspeglar unionslagstiftarens avsikt att ge detta begrepp en vid innebörd, vilken potentiellt innefattar alla typer av upplysningar, såväl objektiva som subjektiva, i form av åsikter eller bedömningar, under förutsättning att uppgifterna ”avser” den berörda personen (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 23 och där angiven rättspraxis).

37

I detta hänseende har EU-domstolen slagit fast att en upplysning avser en identifierad eller identifierbar fysisk person när den på grund av sitt innehåll, syfte eller verkan är knuten till en identifierbar person (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 24 och där angiven rättspraxis).

38

Vad gäller en persons ”identifierbara” karaktär framgår det av artikel 4 led 1 i dataskyddsförordningen att en identifierbar person är en person som inte endast kan identifieras direkt utan även indirekt.

39

Såsom EU-domstolen redan har slagit fast tyder unionslagstiftarens användning av ordet ”indirekt” på att det inte är nödvändigt att upplysningen i sig gör det möjligt att identifiera den aktuella personen för att upplysningen ska anses utgöra en personuppgift (se, analogt, dom av den 19 oktober 2016, Breyer,C‑582/14, EU:C:2016:779, punkt 41). Det följer tvärtom av artikel 4 led 5, jämförd med skäl 26, i dataskyddsförordningen att personuppgifter som genom att använda kompletterande uppgifter skulle kunna tillskrivas en fysisk person ska anses som uppgifter om en identifierbar fysisk person (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, punkt 58).

40

Dessutom preciseras det i nämnda skäl 26 att man, för att avgöra om en fysisk person är ”identifierbar”, bör beakta ”alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen”. Denna lydelse antyder att det inte krävs att en enda person innehar alla upplysningar som är nödvändiga för att identifiera den registrerade för att en uppgift ska anses utgöra en ”personuppgift” i den mening som avses i artikel 4 led 1 i dataskyddsförordningen (se, analogt, dom av den 19 oktober 2016, Breyer,C‑582/14, EU:C:2016:779, punkt 43).

41

Således omfattar begreppet personuppgifter inte endast de uppgifter som samlats in och lagrats av den personuppgiftsansvarige, utan även varje upplysning som genereras i samband med en behandling av personuppgifter och som rör en identifierad eller identifierbar person (dom av den 22 juni 2023, Pankki S,C‑579/21, EU:C:2023:501, punkt 45).

42

I förevarande fall ska det påpekas att en bokstavs- och teckenföljd, såsom TC‑strängen, innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av tredje man eller vad gäller hans eller hennes eventuella invändning mot att sådana uppgifter behandlas på grundval av ett påstått berättigat intresse, enligt artikel 6.1 f i dataskyddsförordningen.

43

Även om det antas att en TC‑sträng inte i sig innehåller några uppgifter som gör det möjligt att direkt identifiera den registrerade, kvarstår det faktum att TC‑strängen innehåller en specifik användares individuella preferenser vad gäller hans eller hennes samtycke till behandling av vederbörandes personuppgifter, varvid denna information ”avser en … fysisk person” i den mening som avses i artikel 4 led 1 i dataskyddsförordningen.

44

Vidare är det även utrett att informationen i en TC‑sträng, när den kopplas till en identifierare, såsom bland annat IP-adressen för en sådan användares utrustning, kan göra det möjligt att skapa en profil av nämnda användare och att faktiskt identifiera den person som specifikt berörs av informationen.

45

Eftersom den omständigheten att en bokstavs- och teckenföljd, såsom TC‑strängen, kopplas samman med ytterligare uppgifter, bland annat IP-adressen för en användares utrustning eller andra identifierare, gör det möjligt att identifiera denna användare, ska TC‑strängen anses innehålla information om en identifierbar användare, och den utgör således en personuppgift i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. Stöd för detta finns även i skäl 30 i dataskyddsförordningen som uttryckligen avser en sådan situation.

46

Denna tolkning påverkas inte av den enkla omständigheten att IAB Europe inte själv kan kombinera TC‑strängen med IP-adressen för en användares utrustning och inte har möjlighet att direkt få tillgång till de uppgifter som dess medlemmar behandlar inom ramen för TCF.

47

Såsom framgår av den rättspraxis som det erinrats om i punkt 40 ovan utgör en sådan omständighet nämligen inte hinder för att en TC‑sträng kvalificeras som en ”personuppgift” i den mening som avses i artikel 4 led 1 i dataskyddsförordningen.

48

Det framgår för övrigt av handlingarna i målet, och särskilt av beslutet av den 2 februari 2022, att IAB Europes medlemmar är skyldiga att på IAB Europes begäran lämna all information som gör det möjligt för organisationen att identifiera de användare vars uppgifter har samlats i en TC‑sträng.

49

Det framstår således, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra i detta hänseende, som om IAB Europe, i enlighet med vad som anges i skäl 26 i dataskyddsförordningen, förfogar över rimliga medel för att identifiera en bestämd fysisk person utifrån en TC‑sträng, med hjälp av den information som dess medlemmar och andra organisationer som deltar i TCF är skyldiga att tillhandahålla denna organisation.

50

Av detta följer att en TC‑sträng utgör en personuppgift i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. Det saknar i detta hänseende betydelse att en sådan branschorganisation, utan någon extern medverkan, som den har rätt att kräva, varken kan få tillgång till uppgifter som behandlas av dess medlemmar enligt de regler som den har fastställt eller kombinera TC‑strängen med andra identifierare, såsom bland annat IP-adressen för en användares utrustning.

51

Mot denna bakgrund ska den första frågan besvaras enligt följande. Artikel 4 led 1 i dataskyddsförordningen ska tolkas så, att en bokstavs- och teckenföljd, såsom TC‑strängen, som innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av leverantörer av webbplatser eller applikationer samt av personuppgiftsmäklare och reklamplattformar, utgör en personuppgift i den mening som avses i denna bestämmelse, eftersom denna teckenföljd, när den med hjälp av rimliga hjälpmedel kopplas till en identifierare, såsom bland annat IP-adressen för användarens utrustning, gör det möjligt att identifiera den registrerade. Under dessa omständigheter utgör det förhållandet att en branschorganisation som innehar denna teckenföljd utan någon externt medverkan varken kan få tillgång till de uppgifter som behandlas av dess medlemmar enligt de regler som den har fastställt eller kombinera nämnda teckenföljd med andra uppgifter inte hinder för att denna teckenföljd utgör en personuppgift i den mening som avses i nämnda bestämmelse.

Den andra frågan

52

Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 4 led 7 i dataskyddsförordningen ska tolkas på följande sätt:

En branschorganisation, i den mån den tillhandahåller sina medlemmar ett regelverk som den har fastställt avseende samtycke till behandling av personuppgifter, vilket inte endast innehåller bindande tekniska föreskrifter utan även bestämmelser som i detalj anger hur personuppgifter om samtycke ska lagras och spridas, ska anses vara personuppgiftsansvarig i den mening som avses i denna bestämmelse och huruvida det för svaret på denna fråga har någon betydelse om en sådan branschorganisation själv har direkt tillgång till de personuppgifter som dess medlemmar behandlar inom ramen för nämnda regelverk.

Det eventuella gemensamma ansvaret för nämnda branschorganisation omfattar automatiskt även senare behandling av personuppgifter som utförs av tredje man, såsom leverantörer av webbplatser eller applikationer, när behandlingen rör användarnas preferenser och sker i syfte att kunna sprida riktad reklam online.

53

EU-domstolen erinrar inledningsvis om att syftet med dataskyddsförordningen, såsom det framgår av artikel 1 samt skälen 1 och 10 i förordningen, bland annat består i att säkerställa en hög nivå på skyddet av fysiska personers grundläggande fri- och rättigheter, i synnerhet rätten till skydd för privat- och familjelivet med avseende på behandling av personuppgifter, vilken är stadfäst i artikel 8.1 i stadgan och i artikel 16.1 FEUF (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 64).

54

I enlighet med detta syfte, definieras begreppet ”personuppgiftsansvarig” i artikel 4 led 7 i förordningen i vid bemärkelse som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

55

Såsom domstolen redan har slagit fast är syftet med denna bestämmelse att genom denna vida definition av begreppet ”personuppgiftsansvarig” säkerställa ett effektivt och komplett skydd för de registrerade (se, analogt, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein,C‑210/16, EU:C:2018:388, punkt 28).

56

Eftersom begreppet ”personuppgiftsansvarig”, såsom uttryckligen framgår av artikel 4 led 7 i dataskyddsförordningen, avser det organ som ”ensamt eller tillsammans med andra” bestämmer ändamålen och medlen för behandlingen av personuppgifter, avser detta begrepp således inte nödvändigtvis ett enda organ, utan det kan avse flera aktörer som deltar i behandlingen, där var och en av dem omfattas av bestämmelserna om skydd av personuppgifter (se, analogt, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein,C‑210/16, EU:C:2018:388, punkt 29, och dom av den 10 juli 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punkt 65).

57

Domstolen har även slagit fast att en fysisk eller juridisk person som, för sina egna ändamål, påverkar behandlingen av personuppgifter, och därigenom bidrar till att bestämma ändamål och medel för behandlingen, kan anses vara personuppgiftsansvarig, i den mening som avses i artikel 4 led 7 i dataskyddsförordningen (se, analogt, dom av den 10 juli 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punkt 68). Enligt artikel 26.1 i dataskyddsförordningen ska det anses vara fråga om ”gemensamt personuppgiftsansvariga” om två eller fler personuppgiftsansvariga gemensamt bestämmer ändamål och medel för behandlingen (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, punkt 40).

58

Även om varje gemensamt personuppgiftsansvarig självständigt ska omfattas av definitionen av personuppgiftsansvarig i artikel 4 led 7 i dataskyddsförordningen, innebär förekomsten av ett gemensamt ansvar inte nödvändigtvis att olika aktörer har samma ansvar för samma typ av behandling av personuppgifter. Tvärtom kan dessa aktörer vara involverade i olika skeden av behandlingen och i olika utsträckning, så att ansvaret för var och en av dem ska bedömas med beaktande av alla relevanta omständigheter i det enskilda fallet. För att flera aktörer ska anses ha ett gemensamt ansvar för en och samma behandling krävs, enligt denna bestämmelse, inte heller att var och en av dem har tillgång till de aktuella personuppgifterna (se, analogt, dom av den 10 juli 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punkterna 66 och 69 samt där angiven rättspraxis).

59

Ett deltagande i att bestämma ändamål och medel för en behandling av personuppgifter kan ta sig olika former, eftersom deltagandet kan följa såväl av ett gemensamt beslut fattat av två eller flera organ som av sådana organs samstämmiga beslut. I det sistnämnda fallet krävs att besluten kompletterar varandra, så att vart och ett av dem har en påtaglig inverkan på bestämmandet av ändamålen och medlen för behandlingen. Däremot kan det inte krävas att det föreligger en formell överenskommelse mellan de personuppgiftsansvariga om ändamål och medel för behandlingen (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, punkterna 43 och 44).

60

Mot denna bakgrund ska den första delen av den andra frågan omformuleras så, att den syftar till att få klarhet i huruvida en branschorganisation, såsom IAB Europe, kan betraktas som en gemensam personuppgiftsansvarig i den mening som avses i artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen.

61

För detta ändamål ska det således, med hänsyn till de särskilda omständigheterna i det enskilda fallet, bedömas huruvida IAB Europe, för sina egna ändamål, påverkar behandlingen av personuppgifter, såsom TC‑strängen, och tillsammans med andra bestämmer ändamålen och medlen för en sådan behandling.

62

Vad gäller ändamålen med en sådan behandling av personuppgifter, framgår det, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, av handlingarna i målet att det TCF som inrättats av IAB Europe, såsom det erinrats om i punkterna 21 och 22 ovan, utgör ett regelverk som syftar till att säkerställa att den behandling av en webbplats- eller applikationsanvändares personuppgifter som utförs av vissa aktörer som deltar i online-auktioner avseende reklamutrymme på internet är förenlig med dataskyddsförordningen.

63

Under dessa omständigheter syftar TCF huvudsakligen till att främja och möjliggöra för nämnda aktörer att sälja och köpa reklamutrymme på internet.

64

Det kan således, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, anses att IAB Europe, för sina egna ändamål, påverkar den behandling av personuppgifter som är aktuell i det nationella målet och därmed, tillsammans med sina medlemmar, bestämmer ändamålen med sådana åtgärder.

65

Vad vidare gäller de medel som används för en sådan behandling av personuppgifter framgår det av handlingarna i målet, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, att TCF utgör ett regelverk som IAB Europes medlemmar förväntas godta för att ansluta sig till denna organisation. Såsom IAB Europe har bekräftat vid förhandlingen inför EU-domstolen kan organisationen, om en av dess medlemmar inte följer TCF:s regler, anta ett beslut om bristande efterlevnad och avstängning avseende denna medlem, vilket kan leda till att nämnda medlem utesluts från TCF och, följaktligen, att nämnda medlem hindras från att göra gällande den garanti för efterlevnad av dataskyddsförordningen som detta regelverk förmodas tillhandahålla med avseende på den behandling av personuppgifter som medlemmen utför med hjälp av TC‑strängar.

66

Dessutom, och ur praktisk synvinkel, innehåller det TCF som upprättats av IAB Europe, såsom nämnts i punkt 21 ovan, tekniska specifikationer för behandlingen av TC‑strängar. Det förefaller särskilt som om dessa specifikationer exakt beskriver på vilket sätt CMP ska samla in användarnas preferenser avseende behandlingen av deras personuppgifter och hur sådana preferenser ska behandlas för att generera en TC‑sträng. Det har dessutom fastställts precisa regler för TC‑strängens innehåll samt för lagring och delning av TC‑strängar.

67

Det framgår bland annat av beslutet av den 2 februari 2022 att IAB Europe, inom ramen för dessa regler, bland annat föreskriver ett standardiserat sätt för hur de olika parter som är inblandade i TCF kan få tillgång till de preferenser, invändningar och samtycken avseende användarna som TC‑strängarna innehåller.

68

Under dessa omständigheter, och med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, ska en sådan branschorganisation som IAB Europe anses, för sina egna ändamål, påverka den behandling av personuppgifter som är aktuell i det nationella målet och den fastställer därmed, tillsammans med sina medlemmar, de medel som ska användas för att utföra sådana åtgärder. Av detta följer att IAB Europe ska anses vara en ”gemensam personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen, i enlighet med den rättspraxis som det erinrats om i punkt 57 ovan.

69

Den omständighet som den hänskjutande domstolen har hänvisat till, nämligen att en sådan branschorganisation inte själv har direkt tillgång till TC‑strängarna och således till de personuppgifter som, inom ramen för nämnda regler, behandlas av organisationens medlemmar, tillsammans med vilka organisationen gemensamt bestämmer ändamålen och medlen för personuppgiftsbehandlingen, utgör, i enlighet med den rättspraxis som det erinrats om i punkt 58 ovan, inte något hinder för att organisationen kan kvalificeras som ”personuppgiftsansvarig” i den mening som avses i nämnda bestämmelser.

70

Som svar på den hänskjutande domstolens tvivel kan det dessutom uteslutas att denna branschorganisations eventuella gemensamma ansvar automatiskt även omfattar senare behandling av personuppgifter som utförs av tredje man, såsom exempelvis leverantörer av webbplatser eller applikationer, när behandlingen rör användarnas preferenser och sker i syfte att kunna sprida riktad reklam online.

71

Det ska i detta hänseende påpekas att artikel 4 led 2 i dataskyddsförordningen definierar ”behandling” av personuppgifter som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.

72

Det framgår av denna definition att en behandling av personuppgifter kan bestå av en eller flera åtgärder, som var och en avser olika led i denna behandling.

73

Vidare framgår det, såsom domstolen redan har slagit fast, av artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen att en fysisk eller juridisk person endast kan anses vara gemensam personuppgiftsansvarig om vederbörande gemensamt fastställer ändamålen och medlen för behandlingen av personuppgifter. Följaktligen, och utan att det påverkar ett eventuellt civilrättsligt ansvar enligt nationell lagstiftning i detta hänseende, kan en sådan fysisk eller juridisk person inte anses vara ansvarig i den mening som avses i nämnda bestämmelser för tidigare eller senare åtgärder i behandlingskedjan, som denna person varken fastställer ändamålen eller medlen för (se analogt, dom av den 29 juli 2019, Fashion ID,C‑40/17, EU:C:2019:629, punkt 74).

74

I förevarande fall ska det göras åtskillnad mellan å ena sidan den behandling av personuppgifter som utförs av IAB Europes medlemmar, det vill säga leverantörer av webbplatser eller applikationer samt datamäklare och reklamplattformar, i samband med att de berörda användarnas preferenser avseende samtycke registreras i en TC‑sträng enligt de regler som fastställts i TCF, och, å andra sidan, den senare behandling av personuppgifter som dessa aktörer och tredje man utför på grundval av dessa preferenser, såsom exempelvis överföring av dessa uppgifter till tredje man eller erbjudande av personlig reklam till dessa användare.

75

Det förefaller nämligen, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, inte som om IAB Europe deltar i denna senare behandling, vilket innebär att det kan uteslutas att en sådan organisation automatiskt har ett ansvar, tillsammans med nämnda aktörer och tredje man, för den behandling av personuppgifter som utförs på grundval av de uppgifter om de berörda användarnas preferenser som ingår i en TC‑sträng.

76

En branschorganisation, såsom IAB Europe, kan således endast anses vara ansvarig för sådana senare behandlingar när det har fastställts att organisationen har påverkat ändamålen och medlen för dessa behandlingar, vilket det ankommer på den hänskjutande domstolen att pröva mot bakgrund av samtliga relevanta omständigheter i det nationella målet.

77

Mot bakgrund av dessa överväganden ska den andra frågan besvaras enligt följande. Artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen ska tolkas på följande sätt:

En branschorganisation, i den mån den tillhandahåller sina medlemmar ett regelverk som den har fastställt avseende samtycke till behandling av personuppgifter, vilket inte endast innehåller bindande tekniska föreskrifter utan även bestämmelser som i detalj anger hur personuppgifter om samtycke ska lagras och spridas, ska anses vara ”gemensamt personuppgiftsansvarig” i den mening som avses i denna bestämmelse, om organisationen, med hänsyn till de särskilda omständigheterna i det enskilda fallet, för sina egna ändamål, påverkar behandlingen av de berörda personuppgifterna, och därmed, tillsammans med sina medlemmar, bestämmer ändamålen och medlen för en sådan behandling. Den omständigheten att en sådan branschorganisation inte själv har direkt tillgång till de personuppgifter som dess medlemmar behandlar inom ramen för nämnda regler utgör inte hinder för att organisationen kan betraktas som gemensamt personuppgiftsansvarig i den mening som avses i nämnda bestämmelser.

Det gemensamma ansvaret för nämnda branschorganisation omfattar inte automatiskt även senare behandlingar av personuppgifter som utförs av tredje man, såsom leverantörer av webbplatser eller applikationer, när behandlingen rör användarnas preferenser och sker i syfte att kunna sprida riktad reklam online.

Rättegångskostnader

78

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

 

Mot denna bakgrund beslutar domstolen (fjärde avdelningen) följande:

 

1)

Artikel 4 led 1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så, att

en bokstavs- och teckenföljd, såsom TC‑strängen (Transparency and Consent String), som innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av leverantörer av webbplatser eller applikationer samt av personuppgiftsmäklare och reklamplattformar, utgör en personuppgift i den mening som avses i denna bestämmelse, eftersom denna teckenföljd, när den med hjälp av rimliga hjälpmedel kopplas till en identifierare, såsom bland annat IP-adressen för användarens utrustning, gör det möjligt att identifiera den registrerade. Under dessa omständigheter utgör det förhållandet att en branschorganisation som innehar denna teckenföljd utan någon extern medverkan varken kan få tillgång till de uppgifter som behandlas av dess medlemmar enligt de regler som den har fastställt eller kombinera nämnda teckenföljd med andra uppgifter inte hinder för att denna teckenföljd utgör en personuppgift i den mening som avses i nämnda bestämmelse.

 

2)

Artikel 4 led 7 och artikel 26.1 i förordning 2016/679

ska tolkas på följande sätt:

En branschorganisation, i den mån den erbjuder sina medlemmar ett regelverk som den har fastställt avseende samtycke till behandling av personuppgifter, vilket inte endast innehåller bindande tekniska föreskrifter utan även bestämmelser som i detalj anger hur personuppgifter om samtycke ska lagras och spridas, ska anses vara ”gemensamt personuppgiftsansvarig” i den mening som avses i denna bestämmelse, om organisationen, med hänsyn till de särskilda omständigheterna i det enskilda fallet, för sina egna ändamål, påverkar behandlingen av de berörda personuppgifterna, och därmed, tillsammans med sina medlemmar, bestämmer ändamålen och medlen för en sådan behandling. Den omständigheten att en sådan branschorganisation inte själv har direkt tillgång till de personuppgifter som dess medlemmar behandlar inom ramen för nämnda regler utgör inte hinder för att organisationen kan betraktas som gemensamt personuppgiftsansvarig i den mening som avses i nämnda bestämmelser.

Det gemensamma ansvaret för nämnda branschorganisation omfattar inte automatiskt även senare behandlingar av personuppgifter som utförs av tredje man, såsom leverantörer av webbplatser eller applikationer, när behandlingen rör användarnas preferenser och sker i syfte att kunna sprida riktad reklam online.

 

Underskrifter


( *1 ) Rättegångsspråk: nederländska.