(Sprawa C-604/22 1 , IAB Europe)(Odesłanie prejudycjalne - Ochrona osób fizycznych w zakresie przetwarzania danych osobowych - Rozporządzenie (UE) 2016/679 - Określająca standardy organizacja sektorowa proponująca swoim członkom reguły dotyczące przetwarzania zgody użytkowników - Artykuł 4 pkt 1 - Pojęcie "danych osobowych" - Ciąg liter i znaków rejestrujący w sposób ustrukturyzowany i nadający się do odczytu maszynowego informacje o preferencjach użytkownika Internetu odnoszących się do zgody tego użytkownika na przetwarzanie jego danych osobowych - Artykuł 4 pkt 7 - Pojęcie "administratora" - Artykuł 26 ust. 1 - Pojęcie "współadministratorów" - Organizacja, która sama nie ma dostępu do danych osobowych przetwarzanych przez jej członków - Odpowiedzialność organizacji rozciągająca się na dalsze przetwarzanie danych przez osoby trzecie)
(C/2024/2907)
Język postępowania: niderlandzki
(Dz.U.UE C z dnia 6 maja 2024 r.)
Sąd odsyłający
Hof van beroep te Brussel
Strony w postępowaniu głównym
Strona skarżąca: IAB Europe
Strona przeciwna: Gegevensbeschermingsautoriteit
przy udziale: Jefa Ausloosa, Pierre'a Dewitte'a, Johnny'ego Ryana, Fundacji Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW
Sentencja
1) Artykuł 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że:
ciąg składający się z kombinacji liter i znaków, taki jak TC String (Transparency and Consent String), zawierający informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych przez dostawców stron internetowych lub aplikacji, a także przez brokerów takich danych i przez platformy reklamowe, stanowi dane osobowe w rozumieniu tego przepisu w zakresie, w jakim - gdy za pomocą rozsądnie prawdopodobnych sposobów można go powiązać z identyfikatorem, takim jak w szczególności adres IP urządzenia owego użytkownika - umożliwia on identyfikację osoby, której dane dotyczą. W takiej sytuacji okoliczność, że bez wsparcia z zewnątrz organizacja sektorowa dysponująca tym ciągiem nie może ani uzyskać dostępu do danych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami, ani powiązać owego ciągu z innymi elementami, nie stoi na przeszkodzie temu, by ciąg ten stanowił dane osobowe w rozumieniu wspomnianego przepisu.
2) Artykuł 4 pkt 7 i art. 26 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
- po pierwsze, organizację sektorową - w zakresie, w jakim proponuje ona swoim członkom ustanowiony przez siebie zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, zawierający nie tylko wiążące reguły techniczne, lecz również reguły szczegółowo określające warunki przechowywania i rozpowszechniania danych osobowych dotyczących tej zgody - należy uznać za "współadministratora" w rozumieniu tych przepisów, jeżeli w świetle szczególnych okoliczności danego przypadku wpływa ona dla własnych celów na odnośne przetwarzanie danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele i sposoby takiego przetwarzania; okoliczność, że taka organizacja sektorowa sama nie ma bezpośredniego dostępu do danych osobowych przetwarzanych zgodnie ze wspomnianymi regułami przez jej członków, nie stoi na przeszkodzie możliwości uznania jej za współadministratora w rozumieniu owych przepisów;
- po drugie, wspólna odpowiedzialność wspomnianej organizacji sektorowej nie rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej.
