Język postępowania: niderlandzki(2022/C 482/09)
(Dz.U.UE C z dnia 19 grudnia 2022 r.)
Sąd odsyłający
Hof van beroep te Brussel
Strony w postępowaniu głównym
Strona skarżąca: IAB Europe
Druga strona postępowania: Gegevensbeschermingsautoriteit
Przy udziale: TR, UV, SP, Fundacya Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW
Pytania prejudycjalne
1) a) Czy art. 4 ust. 1 rozporządzenia 2016/679 1 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w związku z art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej, należy interpretować w ten sposób, że ciąg znaków, który zawiera preferencje użytkownika Internetu w odniesieniu do przetwarzania jego danych osobowych w sposób ustrukturyzowany i nadający się do odczytu maszynowego, stanowi dane osobowe w rozumieniu wyżej wymienionego przepisu w odniesieniu do(1) organizacji sektorowej, która udostępnia swoim członkom standard, w którym określa dla nich praktyczny i techniczny sposób generowania, przechowywania lub rozpowszechniania tego ciągu oraz(2) podmiotów, które wdrożyły ten standard na swoich stronach internetowych lub w swoich aplikacjach, a zatem mają w ten sposób dostęp do tego ciągu znaków?
b) Czy ma przy tym znaczenie to, czy implementacja tego standardu oznacza, że ten ciąg znaków jest dostępny razem z adresem IP?
c) Czy odpowiedź na pytania a) oraz b) byłaby inna, jeżeli ta określająca normy organizacja sektorowa sama nie miałaby z mocy prawa dostępu do tych danych osobowych, które są w ramach tego standardu przetwarzane przez jej członków?
2) a) Czy art. 4 ust. 7 i art. 24 ust. 1 rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w związku z art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej, należy interpretować w ten sposób, że określająca normy organizacja sektorowa powinna być uznana za administratora danych osobowych w sytuacji, gdy udostępnia ona swoim członkom standard zarządzania zgodami, który oprócz wiążących ram technicznych, zawiera reguły określające dokładnie, w jaki sposób te dane zawierające zgody, stanowiące dane osobowe, powinny być przechowywane i rozpowszechniane?
b) Czy odpowiedź na pytanie a) byłaby inna, jeżeli ta organizacja sektorowa sama nie miałaby z mocy prawa dostępu do tych danych osobowych, które są w ramach tego standardu przetwarzane przez jej członków?
c) Jeżeli określająca normy organizacja sektorowa powinna być uznana za administratora lub współadministratora danych zawierających preferencje użytkowników Internetu, to czy ten status (współ)administratora określającej normy organizacji sektorowej rozciąga się również automatycznie na kolejne przetwarzanie przez podmioty trzecie, dla których uzyskano preferencje użytkowników Internetu, takie jak na przykład stosowanie ukierunkowanych reklam internetowych przez wydawców i sprzedawców?