Sprawa C-604/22: Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez hof van beroep te Brussel (Belgia) w dniu 19 września 2022 r. - IAB Europe/Gegevensbeschermingsautoriteit; przy udziale TR i in

Dzienniki UE

Dz.U.UE.C.2022.482.6

Akt nienormatywny
Wersja od: 19 grudnia 2022 r.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez hof van beroep te Brussel (Belgia) w dniu 19 września 2022 r. - IAB Europe/Gegevensbeschermingsautoriteit; przy udziale TR i in.
(Sprawa C-604/22)

Język postępowania: niderlandzki

(2022/C 482/09)

(Dz.U.UE C z dnia 19 grudnia 2022 r.)

Sąd odsyłający

Hof van beroep te Brussel

Strony w postępowaniu głównym

Strona skarżąca: IAB Europe

Druga strona postępowania: Gegevensbeschermingsautoriteit

Przy udziale: TR, UV, SP, Fundacya Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW

Pytania prejudycjalne

1) a) Czy art. 4 ust. 1 rozporządzenia 2016/679 1  z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w związku z art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej, należy interpretować w ten sposób, że ciąg znaków, który zawiera preferencje użytkownika Internetu w odniesieniu do przetwarzania jego danych osobowych w sposób ustrukturyzowany i nadający się do odczytu maszynowego, stanowi dane osobowe w rozumieniu wyżej wymienionego przepisu w odniesieniu do(1) organizacji sektorowej, która udostępnia swoim członkom standard, w którym określa dla nich praktyczny i techniczny sposób generowania, przechowywania lub rozpowszechniania tego ciągu oraz(2) podmiotów, które wdrożyły ten standard na swoich stronach internetowych lub w swoich aplikacjach, a zatem mają w ten sposób dostęp do tego ciągu znaków?

b) Czy ma przy tym znaczenie to, czy implementacja tego standardu oznacza, że ten ciąg znaków jest dostępny razem z adresem IP?

c) Czy odpowiedź na pytania a) oraz b) byłaby inna, jeżeli ta określająca normy organizacja sektorowa sama nie miałaby z mocy prawa dostępu do tych danych osobowych, które są w ramach tego standardu przetwarzane przez jej członków?

2) a) Czy art. 4 ust. 7 i art. 24 ust. 1 rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE w związku z art. 7 i 8 Karty Praw Podstawowych Unii Europejskiej, należy interpretować w ten sposób, że określająca normy organizacja sektorowa powinna być uznana za administratora danych osobowych w sytuacji, gdy udostępnia ona swoim członkom standard zarządzania zgodami, który oprócz wiążących ram technicznych, zawiera reguły określające dokładnie, w jaki sposób te dane zawierające zgody, stanowiące dane osobowe, powinny być przechowywane i rozpowszechniane?

b) Czy odpowiedź na pytanie a) byłaby inna, jeżeli ta organizacja sektorowa sama nie miałaby z mocy prawa dostępu do tych danych osobowych, które są w ramach tego standardu przetwarzane przez jej członków?

c) Jeżeli określająca normy organizacja sektorowa powinna być uznana za administratora lub współadministratora danych zawierających preferencje użytkowników Internetu, to czy ten status (współ)administratora określającej normy organizacji sektorowej rozciąga się również automatycznie na kolejne przetwarzanie przez podmioty trzecie, dla których uzyskano preferencje użytkowników Internetu, takie jak na przykład stosowanie ukierunkowanych reklam internetowych przez wydawców i sprzedawców?

1 Rozporządzenie (EU) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. (Dz.U. 2016, L 119, s. 1).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.