Nowość Sprawa C-604/22, IAB Europe: Wyrok Trybunału (czwarta izba) z dnia 7 marca 2024 r. - IAB Europe v. Gegevensbeschermingsautoriteit

(Odesłanie prejudycjalne - Ochrona osób fizycznych w zakresie przetwarzania danych osobowych - Rozporządzenie (UE) 2016/679 - Określająca standardy organizacja sektorowa proponująca swoim członkom reguły dotyczące przetwarzania zgody użytkowników - Artykuł 4 pkt 1 - Pojęcie "danych osobowych" - Ciąg liter i znaków rejestrujący w sposób ustrukturyzowany i nadający się do odczytu maszynowego informacje o preferencjach użytkownika Internetu odnoszących się do zgody tego użytkownika na przetwarzanie jego danych osobowych - Artykuł 4 pkt 7 - Pojęcie "administratora" - Artykuł 26 ust. 1 - Pojęcie "współadministratorów" - Organizacja, która sama nie ma dostępu do danych osobowych przetwarzanych przez jej członków - Odpowiedzialność organizacji rozciągająca się na dalsze przetwarzanie danych przez osoby trzecie)

(C/2024/2907)

Język postępowania: niderlandzki

(Dz.U.UE C z dnia 6 maja 2024 r.)

Sąd odsyłający

Hof van beroep te Brussel

Strony w postępowaniu głównym

Strona skarżąca: IAB Europe

Strona przeciwna: Gegevensbeschermingsautoriteit

przy udziale: Jefa Ausloosa, Pierre'a Dewitte'a, Johnny'ego Ryana, Fundacji Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW

Sentencja

1) Artykuł 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

ciąg składający się z kombinacji liter i znaków, taki jak TC String (Transparency and Consent String), zawierający informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych przez dostawców stron internetowych lub aplikacji, a także przez brokerów takich danych i przez platformy reklamowe, stanowi dane osobowe w rozumieniu tego przepisu w zakresie, w jakim - gdy za pomocą rozsądnie prawdopodobnych sposobów można go powiązać z identyfikatorem, takim jak w szczególności adres IP urządzenia owego użytkownika - umożliwia on identyfikację osoby, której dane dotyczą. W takiej sytuacji okoliczność, że bez wsparcia z zewnątrz organizacja sektorowa dysponująca tym ciągiem nie może ani uzyskać dostępu do danych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami, ani powiązać owego ciągu z innymi elementami, nie stoi na przeszkodzie temu, by ciąg ten stanowił dane osobowe w rozumieniu wspomnianego przepisu.

2) Artykuł 4 pkt 7 i art. 26 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

- po pierwsze, organizację sektorową - w zakresie, w jakim proponuje ona swoim członkom ustanowiony przez siebie zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, zawierający nie tylko wiążące reguły techniczne, lecz również reguły szczegółowo określające warunki przechowywania i rozpowszechniania danych osobowych dotyczących tej zgody - należy uznać za "współadministratora" w rozumieniu tych przepisów, jeżeli w świetle szczególnych okoliczności danego przypadku wpływa ona dla własnych celów na odnośne przetwarzanie danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele i sposoby takiego przetwarzania; okoliczność, że taka organizacja sektorowa sama nie ma bezpośredniego dostępu do danych osobowych przetwarzanych zgodnie ze wspomnianymi regułami przez jej członków, nie stoi na przeszkodzie możliwości uznania jej za współadministratora w rozumieniu owych przepisów;

- po drugie, wspólna odpowiedzialność wspomnianej organizacji sektorowej nie rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej.