DOMSTOLENS DOM (fjärde avdelningen)
den 7 mars 2024 ( *1 )
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Normerande branschorganisation som tillhandahåller sina medlemmar regler avseende behandling av användares samtycke – Artikel 4 led 1 – Begreppet ’personuppgifter’ – En bokstavs- och teckenföljd som, på ett strukturerat och maskinläsbart sätt, ger uttryck för en internetanvändares preferenser vad gäller denna användares samtycke till behandling av sina personuppgifter – Artikel 4 led 7 – Begreppet ’personuppgiftsansvarig’ – Artikel 26.1 – Begreppet ’gemensamt personuppgiftsansvariga’ – Organisation som inte själv har tillgång till de personuppgifter som dess medlemmar behandlar – Organisationens ansvar omfattar även senare behandlingar som utförs av tredje man”
I mål C‑604/22,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Hof van beroep te Brussel (Appellationsdomstolen i Bryssel, Belgien) genom beslut av den 7 september 2022, som inkom till domstolen den 19 september 2022, i målet
IAB Europe
mot
Gegevensbeschermingsautoriteit,
ytterligare deltagare i rättegången:
Jef Ausloos,
Pierre Dewitte,
Johnny Ryan,
Fundacja Panoptykon,
Stichting Bits of Freedom,
Ligue des Droits Humains VZW,
meddelar
DOMSTOLEN (fjärde avdelningen)
sammansatt av avdelningsordföranden C. Lycourgos samt domarna O. Spineanu-Matei, J.-C. Bonichot, S. Rodin och L.S. Rossi (referent),
generaladvokat: T. Ćapeta,
justitiesekreterare: handläggaren A. Lamote,
efter det skriftliga förfarandet och förhandlingen den 21 september 2023,
med beaktande av de yttranden som avgetts av:
– |
IAB Europe, genom P. Craddock, avocat, och K. Van Quathem, advocaat, |
– |
Gegevensbeschermingsautoriteit, genom E. Cloots, J. Roets och T. Roes, advocaten, |
– |
Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom och Ligue des Droits Humains VZW, genom F. Debusseré och R. Roex, advocaten, |
– |
Österrikes regering, genom J. Schmoll och C. Gabauer, båda i egenskap av ombud, |
– |
Europeiska kommissionen, genom A. Bouchagiar och H. Kranenborg, båda i egenskap av ombud, |
med hänsyn till beslutet, efter att ha hört generaladvokaten, att avgöra målet utan förslag till avgörande,
följande
Dom
1 |
Begäran om förhandsavgörande avser tolkningen av artikel 4 leden 1 och 7 samt artikel 24.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, samt rättelser i EUT L 127, 2018, s. 2, och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen), jämförda med artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). |
2 |
Begäran har framställts i ett mål mellan IAB Europe och Gegevensbeschermingsautoriteit (Dataskyddsmyndigheten, Belgien) (nedan kallad dataskyddsmyndigheten). Målet rör ett beslut som fattats av tvisteavdelningen vid Dataskyddsmyndigheten angående IAB Europes påstådda åsidosättande av flera bestämmelser i dataskyddsförordningen. |
Tillämpliga bestämmelser
Unionsrätt
3 |
I skälen 1, 10, 26 och 30 i dataskyddsförordningen anges följande:
…
…
…
|
4 |
Artikel 1 i dataskyddsförordningen har rubriken ”Syfte”. I punkt 2 i denna artikel föreskrivs följande: ”Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.” |
5 |
I artikel 4 i nämnda förordning föreskrivs följande: ”I denna förordning avses med
…
…
…” |
6 |
Artikel 6 i dataskyddsförordningen, med rubriken ”Laglig behandling av personuppgifter”, har följande lydelse: ”1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
…
Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter. …” |
7 |
Artikel 24 i dataskyddsförordningen har rubriken ”Den personuppgiftsansvariges ansvar”. I punkt 1 i denna artikel anges följande: ”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.” |
8 |
Artikel 26 i dataskyddsförordningen har rubriken ”Gemensamt personuppgiftsansvariga”. I punkt 1 i denna artikel föreskrivs följande: ”Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. …” |
9 |
Kapitel VI i dataskyddsförordningen rör ”Oberoende tillsynsmyndigheter” och innehåller artiklarna 51–59. |
10 |
Artikel 51 i förordningen har rubriken ”Tillsynsmyndighet”. I punkterna 1 och 2 i denna artikel föreskrivs följande: ”1. Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av denna förordning, i syfte att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling samt att underlätta det fria flödet av sådana uppgifter inom unionen … 2. Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning av denna förordning i hela unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med [Europeiska] kommissionen i enlighet med kapitel VII.” |
11 |
Artikel 55 i dataskyddsförordningen har rubriken ”Behörighet”. Punkterna 1 och 2 i denna artikel har följande lydelse: ”1. Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium. 2. Om behandling utförs av myndigheter eller privata organ som agerar på grundval av artikel 6.1 c eller e ska tillsynsmyndigheten i den berörda medlemsstaten vara behörig. I sådana fall ska artikel 56 inte tillämpas.” |
12 |
Artikel 56 i dataskyddsförordningen har rubriken ”Den ansvariga tillsynsmyndighetens behörighet”. I punkt 1 i denna artikel föreskrivs följande: ”Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60.” |
13 |
I artikel 57 i nämnda förordning, med rubriken ”Uppgifter”, föreskrivs följande i punkt 1: ”Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska varje tillsynsmyndighet på sitt territorium ansvara för följande:
…
…” |
14 |
Kapitel VII i dataskyddsförordningen har rubriken ”Samarbete och enhetlighet”. Avsnitt 1 i det kapitlet har rubriken ”Samarbete” och innehåller artiklarna 60–62. Artikel 60 rör ”Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna”. I punkt 1 i denna artikel föreskrivs följande: ”Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna ska utbyta all relevant information med varandra.” |
15 |
Artikel 61 i dataskyddsförordningen har rubriken ”Ömsesidigt bistånd”. I punkt 1 i denna artikel föreskrivs följande: ”Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.” |
16 |
Artikel 62 i förordningen har rubriken ”Tillsynsmyndigheters gemensamma insatser”. I punkterna 1 och 2 i denna artikel föreskrivs följande: ”1. Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar. 2. Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna. …” |
17 |
Avsnitt 2 i kapitel VII i dataskyddsförordningen har rubriken ”Enhetlighet”. Det avsnittet innehåller artiklarna 63–67. Artikel 63, med rubriken ”Mekanism för enhetlighet”, har följande lydelse: ”För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.” |
Belgisk rätt
18 |
I artikel 100.1.9° i wet tot oprichting van de Gegevensbeschermingsautoriteit (lag om inrättande av Dataskyddsmyndigheten) av den 3 december 2017 (Belgisch Staatsblad av den 10 januari 2018, s. 989) (nedan kallad WOG) föreskrivs följande: ”Tvisteavdelningen har befogenhet att … 9° meddela föreläggande om att behandlingen ska ske i enlighet med gällande bestämmelser.” |
19 |
I artikel 101 WOG föreskrivs följande: ”Tvisteavdelningen får besluta att ålägga de berörda parterna administrativa sanktionsavgifter i enlighet med de allmänna principer som avses i artikel 83 i [dataskyddsförordningen].” |
Målet vid den nationella domstolen och tolkningsfrågorna
20 |
IAB Europe är en ideell organisation med säte i Belgien som företräder företag inom branschen för digital reklam och marknadsföring på europeisk nivå. IAB Europes medlemmar är såväl företag inom denna bransch, såsom förläggare, e‑handelsföretag, marknadsföringsföretag, mellanhänder, som nationella sammanslutningar, däribland nationella IAB (Interactive Advertising Bureau), vars medlemmar i sin tur är företag inom nämnda bransch. Bland IAB Europes medlemmar ingår bland annat företag som genererar betydande intäkter genom försäljning av reklamutrymme på webbplatser eller i applikationer. |
21 |
IAB Europe har utvecklat Transparency & Consent Framework (ram för öppenhet och samtycke) (nedan kallad TCF), som är ett regelverk som består av riktlinjer, instruktioner, tekniska specifikationer, protokoll och avtalsförpliktelser som gör det möjligt för såväl leverantören av en webbplats eller en applikation som för datamäklare eller reklamplattformar att lagligen behandla personuppgifter som rör en användare av en webbplats eller en applikation. |
22 |
TCF har bland annat till syfte att främja efterlevnaden av dataskyddsförordningen när dessa aktörer använder OpenRTB-protokollet, det vill säga ett av de protokoll som används mest för Real Time bidding, som är ett system för ögonblicklig och automatiserad online-auktion av användarprofiler i försäljningssyfte och för köp av reklamutrymme på internet (nedan kallat RTB). Med hänsyn till vissa metoder som utvecklades av IAB Europes medlemmar inom ramen för detta system för massivt utbyte av personuppgifter avseende användarprofiler, har IAB Europe presenterat TCF som en lösning som kan göra nämnda auktionssystem förenligt med dataskyddsförordningen. |
23 |
Såsom framgår av de handlingar som ingetts till EU-domstolen kan reklamteknikföretag – särskilt datamäklare och reklamplattformar – vilka företräder tusentals annonsörer, när en användare besöker en webbplats eller en applikation som innehåller en reklamplats, i realtid och i hemlighet lägga bud för att erhålla denna reklamplats via ett automatiserat auktionssystem som använder algoritmer, i syfte att på nämnda utrymme visa riktad reklam som är särskilt anpassad till en sådan användares profil. |
24 |
Innan sådan riktad reklam visas måste emellertid användarens förhandssamtycke inhämtas. När en användare besöker en webbplats eller en applikation för första gången visas således en plattform för hantering av samtycke kallad Consent Management Platform (nedan kallad CMP) i ett popup-fönster som ger användaren möjlighet dels att ge sitt samtycke till att leverantören av webbplatsen eller applikationen samlar in och behandlar användarens personuppgifter för på förhand fastställda ändamål, såsom marknadsföring eller reklam, eller i syfte att dela dessa uppgifter med vissa leverantörer, dels att motsätta sig olika typer av databehandling eller delning av uppgifter, på grundval av leverantörers berättigade intressen, i den mening som avses i artikel 6.1 f i dataskyddsförordningen. Dessa personuppgifter avser bland annat användarens lokalisering, ålder, sökhistorik och senaste inköp. |
25 |
I detta sammanhang tillhandahåller TCF en ram för behandling av personuppgifter i stor skala och underlättar registrering av användarnas preferenser via CMP. Dessa preferenser kodas och lagras därefter i en sträng som består av en kombination av bokstäver och tecken som IAB Europe har gett namnet ”Transparency and Consent String” (nedan kallad TC‑sträng), som delas med personuppgiftsmäklare och reklamplattformar som deltar i OpenRTB-protokollet, så att dessa vet vad användaren har samtyckt till eller motsatt sig. CMP placerar också en kaka (euconsent-v2) på användarens utrustning. När de kombineras kan TC‑strängen och kakan euconsent-v2 kopplas till användarens IP-adress. |
26 |
TCF har således betydelse för OpenRTB-protokollets funktion, eftersom det gör det möjligt att transkribera användarens preferenser i syfte att förmedla dem till potentiella säljare och att uppnå olika behandlingsmål, däribland att erbjuda skräddarsydd reklam. TCF syftar bland annat till att genom TC‑strängen säkerställa att personuppgiftsmäklare och reklamplattformar följer dataskyddsförordningen. |
27 |
Sedan år 2019 har dataskyddsmyndigheten mottagit flera klagomål mot IAB Europe, såväl från Belgien som från tredjeländer, som avser huruvida TCF är förenligt med dataskyddsförordningen. Efter att ha granskat klagomålen utlöste dataskyddsmyndigheten, i egenskap av ansvarig tillsynsmyndighet i den mening som avses i artikel 56.1 i dataskyddsförordningen, mekanismen för samarbete och enhetlighet, i enlighet med artiklarna 60–63 i förordningen, för att nå fram till ett gemensamt beslut som samtliga de 21 nationella tillsynsmyndigheter som var inblandade i denna mekanism hade godkänt gemensamt. Dataskyddsmyndighetens tvisteavdelning slog därefter, i sitt beslut av den 2 februari 2022 (nedan kallat beslutet av den 2 februari 2022), fast att IAB Europe agerade i egenskap av personuppgiftsansvarig i fråga om registreringen av enskilda användares samtycken, invändningar och preferenser via en TC‑sträng, som enligt dataskyddsmyndighetens tvisteavdelning är knuten till en identifierbar användare. Genom detta beslut förelade dataskyddsmyndighetens tvisteavdelning vidare, enligt artikel 100.1.9° WOG, IAB Europe att se till att den behandling av personuppgifter som utfördes inom ramen för TCF var förenlig med bestämmelserna i dataskyddsförordningen och ålade IAB Europe att genomföra flera korrigerande åtgärder samt att betala en administrativ sanktionsavgift. |
28 |
IAB Europe överklagade detta beslut till Hof van beroep te Brussel (Appellationsdomstolen i Bryssel, Belgien), som är den hänskjutande domstolen. IAB Europe har yrkat att denna domstol ska upphäva beslutet av den 2 februari 2022. IAB Europe har bland annat bestritt att organisationen ska anses ha agerat i egenskap av personuppgiftsansvarig. IAB Europe har även gjort gällande att beslutet är otillräckligt nyanserat och motiverat, i den del det däri konstateras att TC‑strängen är en personuppgift i den mening som avses i artikel 4 led 1 i dataskyddsförordningen, och att det under alla omständigheter är felaktigt. IAB Europe har särskilt framhållit att det endast är de andra deltagarna i TCF som skulle kunna kombinera TC‑strängen med en IP-adress för att omvandla TC‑strängen till en personuppgift, att TC‑strängen inte är specifik för en användare och att IAB Europe inte själv har möjlighet att få tillgång till de uppgifter som dess medlemmar behandlar i detta sammanhang. |
29 |
Dataskyddsmyndigheten har, med stöd i det nationella målet av Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom och Ligue des droits Humains VZW, bland annat gjort gällande att TC‑strängarna utgör personuppgifter, eftersom TC‑strängarna via CMP kan kopplas till IP-adresser, att deltagarna i TCF dessutom även kan identifiera användarna på grundval av andra uppgifter, att IAB Europe har tillgång till information för att göra detta, och att denna identifiering av användaren är just syftet med TC‑strängen, som är avsedd att underlätta försäljningen av riktad reklam. Dataskyddsmyndigheten har vidare bland annat anfört att den omständigheten att IAB Europe ska betraktas som personuppgiftsansvarig i den mening som avses i dataskyddsförordningen följer av organisationens avgörande roll i behandlingen av TC‑strängar. Dataskyddsmyndigheten har tillagt att denna organisation bestämmer ändamålen och medlen för behandlingen, hur TC‑strängar genereras, ändras och läses, hur och var de nödvändiga kakorna lagras, vem som mottar personuppgifterna och på grundval av vilka kriterier som fristerna för lagring av TC‑strängar kan fastställas. |
30 |
Den hänskjutande domstolen hyser tvivel om huruvida en TC‑sträng, eventuellt i kombination med en IP-adress, utgör en personuppgift och, om så är fallet, huruvida IAB Europe ska anses vara personuppgiftsansvarig inom ramen för TCF, särskilt med hänsyn till behandlingen av TC‑strängen. Den hänskjutande domstolen har i detta hänseende angett att beslutet av den 2 februari 2022 visserligen återspeglar den gemensamma ståndpunkt som de olika nationella tillsynsmyndigheter som är inblandade i förevarande fall har antagit gemensamt, men att EU-domstolen dock ännu inte har haft tillfälle att uttala sig om den nya inkräktande teknik som TC‑strängen utgör. |
31 |
Mot denna bakgrund beslutade Hof van beroep te Brussel (Appellationsdomstolen i Bryssel) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
|
Den första frågan
32 |
Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 4 led 1 i dataskyddsförordningen ska tolkas så, att en bokstavs- och teckenföljd, såsom TC‑strängen, som innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av leverantörer av webbplatser eller applikationer samt av personuppgiftsmäklare och reklamplattformar, utgör en personuppgift i den mening som avses i denna bestämmelse, när en branschorganisation har fastställt ett regelverk enligt vilket denna sträng ska genereras, lagras eller spridas och medlemmarna i en sådan organisation har genomfört sådana regler och således har tillgång till denna sträng. Den hänskjutande domstolen vill även få klarhet i huruvida det, för svaret på denna fråga, har någon betydelse dels att nämnda sträng är kopplad till en identifierare, såsom bland annat IP-adressen till nämnda användares utrustning, så att det blir möjligt att identifiera den registrerade, dels att en sådan branschorganisation har rätt att direkt få tillgång till de personuppgifter som dess medlemmar behandlar inom ramen för det regelverk den har fastställt. |
33 |
EU-domstolen erinrar inledningsvis om att dataskyddsförordningen har upphävt och ersatt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) och om att de relevanta bestämmelserna i dataskyddsförordningen i allt väsentligt har samma räckvidd som de relevanta bestämmelserna i nämnda direktiv, vilket således innebär att EU-domstolens praxis avseende nämnda direktiv i princip även är tillämplig med avseende på nämnda förordning (dom av den 17 juni 2021, M.I.C.M.,C‑597/19, EU:C:2021:492, punkt 107). |
34 |
Det ska även erinras om att det vid tolkningen av en unionsbestämmelse enligt fast rättspraxis inte bara är lydelsen som ska beaktas, utan också det sammanhang i vilket den förekommer och de mål och syften som eftersträvas med den rättsakt som bestämmelsen ingår i (dom av den 22 juni 2023, Pankki S,C‑579/21, EU:C:2023:501, punkt 38 och där angiven rättspraxis). |
35 |
I artikel 4 led 1 i dataskyddsförordningen anges att personuppgifter utgör ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. Där preciseras vidare att ”en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”. |
36 |
Användningen, i denna bestämmelse, av uttrycket ”varje upplysning” i definitionen av begreppet personuppgifter avspeglar unionslagstiftarens avsikt att ge detta begrepp en vid innebörd, vilken potentiellt innefattar alla typer av upplysningar, såväl objektiva som subjektiva, i form av åsikter eller bedömningar, under förutsättning att uppgifterna ”avser” den berörda personen (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 23 och där angiven rättspraxis). |
37 |
I detta hänseende har EU-domstolen slagit fast att en upplysning avser en identifierad eller identifierbar fysisk person när den på grund av sitt innehåll, syfte eller verkan är knuten till en identifierbar person (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 24 och där angiven rättspraxis). |
38 |
Vad gäller en persons ”identifierbara” karaktär framgår det av artikel 4 led 1 i dataskyddsförordningen att en identifierbar person är en person som inte endast kan identifieras direkt utan även indirekt. |
39 |
Såsom EU-domstolen redan har slagit fast tyder unionslagstiftarens användning av ordet ”indirekt” på att det inte är nödvändigt att upplysningen i sig gör det möjligt att identifiera den aktuella personen för att upplysningen ska anses utgöra en personuppgift (se, analogt, dom av den 19 oktober 2016, Breyer,C‑582/14, EU:C:2016:779, punkt 41). Det följer tvärtom av artikel 4 led 5, jämförd med skäl 26, i dataskyddsförordningen att personuppgifter som genom att använda kompletterande uppgifter skulle kunna tillskrivas en fysisk person ska anses som uppgifter om en identifierbar fysisk person (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, punkt 58). |
40 |
Dessutom preciseras det i nämnda skäl 26 att man, för att avgöra om en fysisk person är ”identifierbar”, bör beakta ”alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen”. Denna lydelse antyder att det inte krävs att en enda person innehar alla upplysningar som är nödvändiga för att identifiera den registrerade för att en uppgift ska anses utgöra en ”personuppgift” i den mening som avses i artikel 4 led 1 i dataskyddsförordningen (se, analogt, dom av den 19 oktober 2016, Breyer,C‑582/14, EU:C:2016:779, punkt 43). |
41 |
Således omfattar begreppet personuppgifter inte endast de uppgifter som samlats in och lagrats av den personuppgiftsansvarige, utan även varje upplysning som genereras i samband med en behandling av personuppgifter och som rör en identifierad eller identifierbar person (dom av den 22 juni 2023, Pankki S,C‑579/21, EU:C:2023:501, punkt 45). |
42 |
I förevarande fall ska det påpekas att en bokstavs- och teckenföljd, såsom TC‑strängen, innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av tredje man eller vad gäller hans eller hennes eventuella invändning mot att sådana uppgifter behandlas på grundval av ett påstått berättigat intresse, enligt artikel 6.1 f i dataskyddsförordningen. |
43 |
Även om det antas att en TC‑sträng inte i sig innehåller några uppgifter som gör det möjligt att direkt identifiera den registrerade, kvarstår det faktum att TC‑strängen innehåller en specifik användares individuella preferenser vad gäller hans eller hennes samtycke till behandling av vederbörandes personuppgifter, varvid denna information ”avser en … fysisk person” i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. |
44 |
Vidare är det även utrett att informationen i en TC‑sträng, när den kopplas till en identifierare, såsom bland annat IP-adressen för en sådan användares utrustning, kan göra det möjligt att skapa en profil av nämnda användare och att faktiskt identifiera den person som specifikt berörs av informationen. |
45 |
Eftersom den omständigheten att en bokstavs- och teckenföljd, såsom TC‑strängen, kopplas samman med ytterligare uppgifter, bland annat IP-adressen för en användares utrustning eller andra identifierare, gör det möjligt att identifiera denna användare, ska TC‑strängen anses innehålla information om en identifierbar användare, och den utgör således en personuppgift i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. Stöd för detta finns även i skäl 30 i dataskyddsförordningen som uttryckligen avser en sådan situation. |
46 |
Denna tolkning påverkas inte av den enkla omständigheten att IAB Europe inte själv kan kombinera TC‑strängen med IP-adressen för en användares utrustning och inte har möjlighet att direkt få tillgång till de uppgifter som dess medlemmar behandlar inom ramen för TCF. |
47 |
Såsom framgår av den rättspraxis som det erinrats om i punkt 40 ovan utgör en sådan omständighet nämligen inte hinder för att en TC‑sträng kvalificeras som en ”personuppgift” i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. |
48 |
Det framgår för övrigt av handlingarna i målet, och särskilt av beslutet av den 2 februari 2022, att IAB Europes medlemmar är skyldiga att på IAB Europes begäran lämna all information som gör det möjligt för organisationen att identifiera de användare vars uppgifter har samlats i en TC‑sträng. |
49 |
Det framstår således, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra i detta hänseende, som om IAB Europe, i enlighet med vad som anges i skäl 26 i dataskyddsförordningen, förfogar över rimliga medel för att identifiera en bestämd fysisk person utifrån en TC‑sträng, med hjälp av den information som dess medlemmar och andra organisationer som deltar i TCF är skyldiga att tillhandahålla denna organisation. |
50 |
Av detta följer att en TC‑sträng utgör en personuppgift i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. Det saknar i detta hänseende betydelse att en sådan branschorganisation, utan någon extern medverkan, som den har rätt att kräva, varken kan få tillgång till uppgifter som behandlas av dess medlemmar enligt de regler som den har fastställt eller kombinera TC‑strängen med andra identifierare, såsom bland annat IP-adressen för en användares utrustning. |
51 |
Mot denna bakgrund ska den första frågan besvaras enligt följande. Artikel 4 led 1 i dataskyddsförordningen ska tolkas så, att en bokstavs- och teckenföljd, såsom TC‑strängen, som innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av leverantörer av webbplatser eller applikationer samt av personuppgiftsmäklare och reklamplattformar, utgör en personuppgift i den mening som avses i denna bestämmelse, eftersom denna teckenföljd, när den med hjälp av rimliga hjälpmedel kopplas till en identifierare, såsom bland annat IP-adressen för användarens utrustning, gör det möjligt att identifiera den registrerade. Under dessa omständigheter utgör det förhållandet att en branschorganisation som innehar denna teckenföljd utan någon externt medverkan varken kan få tillgång till de uppgifter som behandlas av dess medlemmar enligt de regler som den har fastställt eller kombinera nämnda teckenföljd med andra uppgifter inte hinder för att denna teckenföljd utgör en personuppgift i den mening som avses i nämnda bestämmelse. |
Den andra frågan
52 |
Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 4 led 7 i dataskyddsförordningen ska tolkas på följande sätt:
|
53 |
EU-domstolen erinrar inledningsvis om att syftet med dataskyddsförordningen, såsom det framgår av artikel 1 samt skälen 1 och 10 i förordningen, bland annat består i att säkerställa en hög nivå på skyddet av fysiska personers grundläggande fri- och rättigheter, i synnerhet rätten till skydd för privat- och familjelivet med avseende på behandling av personuppgifter, vilken är stadfäst i artikel 8.1 i stadgan och i artikel 16.1 FEUF (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 64). |
54 |
I enlighet med detta syfte, definieras begreppet ”personuppgiftsansvarig” i artikel 4 led 7 i förordningen i vid bemärkelse som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. |
55 |
Såsom domstolen redan har slagit fast är syftet med denna bestämmelse att genom denna vida definition av begreppet ”personuppgiftsansvarig” säkerställa ett effektivt och komplett skydd för de registrerade (se, analogt, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein,C‑210/16, EU:C:2018:388, punkt 28). |
56 |
Eftersom begreppet ”personuppgiftsansvarig”, såsom uttryckligen framgår av artikel 4 led 7 i dataskyddsförordningen, avser det organ som ”ensamt eller tillsammans med andra” bestämmer ändamålen och medlen för behandlingen av personuppgifter, avser detta begrepp således inte nödvändigtvis ett enda organ, utan det kan avse flera aktörer som deltar i behandlingen, där var och en av dem omfattas av bestämmelserna om skydd av personuppgifter (se, analogt, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein,C‑210/16, EU:C:2018:388, punkt 29, och dom av den 10 juli 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punkt 65). |
57 |
Domstolen har även slagit fast att en fysisk eller juridisk person som, för sina egna ändamål, påverkar behandlingen av personuppgifter, och därigenom bidrar till att bestämma ändamål och medel för behandlingen, kan anses vara personuppgiftsansvarig, i den mening som avses i artikel 4 led 7 i dataskyddsförordningen (se, analogt, dom av den 10 juli 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punkt 68). Enligt artikel 26.1 i dataskyddsförordningen ska det anses vara fråga om ”gemensamt personuppgiftsansvariga” om två eller fler personuppgiftsansvariga gemensamt bestämmer ändamål och medel för behandlingen (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, punkt 40). |
58 |
Även om varje gemensamt personuppgiftsansvarig självständigt ska omfattas av definitionen av personuppgiftsansvarig i artikel 4 led 7 i dataskyddsförordningen, innebär förekomsten av ett gemensamt ansvar inte nödvändigtvis att olika aktörer har samma ansvar för samma typ av behandling av personuppgifter. Tvärtom kan dessa aktörer vara involverade i olika skeden av behandlingen och i olika utsträckning, så att ansvaret för var och en av dem ska bedömas med beaktande av alla relevanta omständigheter i det enskilda fallet. För att flera aktörer ska anses ha ett gemensamt ansvar för en och samma behandling krävs, enligt denna bestämmelse, inte heller att var och en av dem har tillgång till de aktuella personuppgifterna (se, analogt, dom av den 10 juli 2018, Jehovan todistajat,C‑25/17, EU:C:2018:551, punkterna 66 och 69 samt där angiven rättspraxis). |
59 |
Ett deltagande i att bestämma ändamål och medel för en behandling av personuppgifter kan ta sig olika former, eftersom deltagandet kan följa såväl av ett gemensamt beslut fattat av två eller flera organ som av sådana organs samstämmiga beslut. I det sistnämnda fallet krävs att besluten kompletterar varandra, så att vart och ett av dem har en påtaglig inverkan på bestämmandet av ändamålen och medlen för behandlingen. Däremot kan det inte krävas att det föreligger en formell överenskommelse mellan de personuppgiftsansvariga om ändamål och medel för behandlingen (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, punkterna 43 och 44). |
60 |
Mot denna bakgrund ska den första delen av den andra frågan omformuleras så, att den syftar till att få klarhet i huruvida en branschorganisation, såsom IAB Europe, kan betraktas som en gemensam personuppgiftsansvarig i den mening som avses i artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen. |
61 |
För detta ändamål ska det således, med hänsyn till de särskilda omständigheterna i det enskilda fallet, bedömas huruvida IAB Europe, för sina egna ändamål, påverkar behandlingen av personuppgifter, såsom TC‑strängen, och tillsammans med andra bestämmer ändamålen och medlen för en sådan behandling. |
62 |
Vad gäller ändamålen med en sådan behandling av personuppgifter, framgår det, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, av handlingarna i målet att det TCF som inrättats av IAB Europe, såsom det erinrats om i punkterna 21 och 22 ovan, utgör ett regelverk som syftar till att säkerställa att den behandling av en webbplats- eller applikationsanvändares personuppgifter som utförs av vissa aktörer som deltar i online-auktioner avseende reklamutrymme på internet är förenlig med dataskyddsförordningen. |
63 |
Under dessa omständigheter syftar TCF huvudsakligen till att främja och möjliggöra för nämnda aktörer att sälja och köpa reklamutrymme på internet. |
64 |
Det kan således, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, anses att IAB Europe, för sina egna ändamål, påverkar den behandling av personuppgifter som är aktuell i det nationella målet och därmed, tillsammans med sina medlemmar, bestämmer ändamålen med sådana åtgärder. |
65 |
Vad vidare gäller de medel som används för en sådan behandling av personuppgifter framgår det av handlingarna i målet, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, att TCF utgör ett regelverk som IAB Europes medlemmar förväntas godta för att ansluta sig till denna organisation. Såsom IAB Europe har bekräftat vid förhandlingen inför EU-domstolen kan organisationen, om en av dess medlemmar inte följer TCF:s regler, anta ett beslut om bristande efterlevnad och avstängning avseende denna medlem, vilket kan leda till att nämnda medlem utesluts från TCF och, följaktligen, att nämnda medlem hindras från att göra gällande den garanti för efterlevnad av dataskyddsförordningen som detta regelverk förmodas tillhandahålla med avseende på den behandling av personuppgifter som medlemmen utför med hjälp av TC‑strängar. |
66 |
Dessutom, och ur praktisk synvinkel, innehåller det TCF som upprättats av IAB Europe, såsom nämnts i punkt 21 ovan, tekniska specifikationer för behandlingen av TC‑strängar. Det förefaller särskilt som om dessa specifikationer exakt beskriver på vilket sätt CMP ska samla in användarnas preferenser avseende behandlingen av deras personuppgifter och hur sådana preferenser ska behandlas för att generera en TC‑sträng. Det har dessutom fastställts precisa regler för TC‑strängens innehåll samt för lagring och delning av TC‑strängar. |
67 |
Det framgår bland annat av beslutet av den 2 februari 2022 att IAB Europe, inom ramen för dessa regler, bland annat föreskriver ett standardiserat sätt för hur de olika parter som är inblandade i TCF kan få tillgång till de preferenser, invändningar och samtycken avseende användarna som TC‑strängarna innehåller. |
68 |
Under dessa omständigheter, och med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, ska en sådan branschorganisation som IAB Europe anses, för sina egna ändamål, påverka den behandling av personuppgifter som är aktuell i det nationella målet och den fastställer därmed, tillsammans med sina medlemmar, de medel som ska användas för att utföra sådana åtgärder. Av detta följer att IAB Europe ska anses vara en ”gemensam personuppgiftsansvarig” i den mening som avses i artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen, i enlighet med den rättspraxis som det erinrats om i punkt 57 ovan. |
69 |
Den omständighet som den hänskjutande domstolen har hänvisat till, nämligen att en sådan branschorganisation inte själv har direkt tillgång till TC‑strängarna och således till de personuppgifter som, inom ramen för nämnda regler, behandlas av organisationens medlemmar, tillsammans med vilka organisationen gemensamt bestämmer ändamålen och medlen för personuppgiftsbehandlingen, utgör, i enlighet med den rättspraxis som det erinrats om i punkt 58 ovan, inte något hinder för att organisationen kan kvalificeras som ”personuppgiftsansvarig” i den mening som avses i nämnda bestämmelser. |
70 |
Som svar på den hänskjutande domstolens tvivel kan det dessutom uteslutas att denna branschorganisations eventuella gemensamma ansvar automatiskt även omfattar senare behandling av personuppgifter som utförs av tredje man, såsom exempelvis leverantörer av webbplatser eller applikationer, när behandlingen rör användarnas preferenser och sker i syfte att kunna sprida riktad reklam online. |
71 |
Det ska i detta hänseende påpekas att artikel 4 led 2 i dataskyddsförordningen definierar ”behandling” av personuppgifter som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”. |
72 |
Det framgår av denna definition att en behandling av personuppgifter kan bestå av en eller flera åtgärder, som var och en avser olika led i denna behandling. |
73 |
Vidare framgår det, såsom domstolen redan har slagit fast, av artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen att en fysisk eller juridisk person endast kan anses vara gemensam personuppgiftsansvarig om vederbörande gemensamt fastställer ändamålen och medlen för behandlingen av personuppgifter. Följaktligen, och utan att det påverkar ett eventuellt civilrättsligt ansvar enligt nationell lagstiftning i detta hänseende, kan en sådan fysisk eller juridisk person inte anses vara ansvarig i den mening som avses i nämnda bestämmelser för tidigare eller senare åtgärder i behandlingskedjan, som denna person varken fastställer ändamålen eller medlen för (se analogt, dom av den 29 juli 2019, Fashion ID,C‑40/17, EU:C:2019:629, punkt 74). |
74 |
I förevarande fall ska det göras åtskillnad mellan å ena sidan den behandling av personuppgifter som utförs av IAB Europes medlemmar, det vill säga leverantörer av webbplatser eller applikationer samt datamäklare och reklamplattformar, i samband med att de berörda användarnas preferenser avseende samtycke registreras i en TC‑sträng enligt de regler som fastställts i TCF, och, å andra sidan, den senare behandling av personuppgifter som dessa aktörer och tredje man utför på grundval av dessa preferenser, såsom exempelvis överföring av dessa uppgifter till tredje man eller erbjudande av personlig reklam till dessa användare. |
75 |
Det förefaller nämligen, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, inte som om IAB Europe deltar i denna senare behandling, vilket innebär att det kan uteslutas att en sådan organisation automatiskt har ett ansvar, tillsammans med nämnda aktörer och tredje man, för den behandling av personuppgifter som utförs på grundval av de uppgifter om de berörda användarnas preferenser som ingår i en TC‑sträng. |
76 |
En branschorganisation, såsom IAB Europe, kan således endast anses vara ansvarig för sådana senare behandlingar när det har fastställts att organisationen har påverkat ändamålen och medlen för dessa behandlingar, vilket det ankommer på den hänskjutande domstolen att pröva mot bakgrund av samtliga relevanta omständigheter i det nationella målet. |
77 |
Mot bakgrund av dessa överväganden ska den andra frågan besvaras enligt följande. Artikel 4 led 7 och artikel 26.1 i dataskyddsförordningen ska tolkas på följande sätt:
|
Rättegångskostnader
78 |
Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla. |
Mot denna bakgrund beslutar domstolen (fjärde avdelningen) följande: |
|
|
Underskrifter |
( *1 ) Rättegångsspråk: nederländska.