CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

EUROOPA KOHTU OTSUS (neljas koda)

7. märts 2024(*)

Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Normatiivne valdkondlik organisatsioon, kes pakub oma liikmetele reegleid kasutajate nõusoleku töötlemise kohta – Artikli 4 punkt 1 – Mõiste „isikuandmed“ – Tähtede ja märkide jada, mis salvestab struktureeritult ja masinloetaval viisil internetikasutaja eelistused seoses tema nõusolekuga tema isikuandmete töötlemiseks – Artikli 4 punkt 7 – Mõiste „vastutav töötleja“ – Artikli 26 lõige 1 – Mõiste „kaasvastutavad töötlejad“ – Organisatsioon, kellel endal puudub juurdepääs oma liikmete töödeldud isikuandmetele – Organisatsiooni vastutus, mis laieneb andmete edasisele töötlemisele kolmandate isikute poolt

Kohtuasjas C‑604/22,

mille ese on ELTL artikli 267 alusel hof van beroep te Brusseli (Brüsseli apellatsioonikohus, Belgia) 7. septembri 2022. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 19. septembril 2022, menetluses

IAB Europe

versus

Gegevensbeschermingsautoriteit,

menetluses osalesid:

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits Humains VZW,

EUROOPA KOHUS (neljas koda),

koosseisus: koja president C. Lycourgos, kohtunikud O. Spineanu‑Matei, J.‑C. Bonichot, S. Rodin ja L. S. Rossi (ettekandja),

kohtujurist: T. Ćapeta,

kohtusekretär: ametnik A. Lamote,

arvestades kirjalikku menetlust ja 21. septembri 2023. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

– IAB Europe, esindajad: avocat P. Craddock ja advocaat K. Van Quathem,

– Gegevensbeschermingsautoriteit, esindajad: advocaten E. Cloots, J. Roets ja T. Roes,

– Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom ja Ligue des Droits Humains VZW, esindajad: advocaten F. Debusseré ja R. Roex,

– Austria valitsus, esindajad: J. Schmoll ja C. Gabauer,

– Euroopa Komisjon, esindajad: A. Bouchagiar ja H. Kranenborg,

arvestades pärast kohtujuristi ärakuulamist tehtud otsust lahendada kohtuasi ilma kohtujuristi ettepanekuta,

on teinud järgmise

otsuse

1 Eelotsusetaotlus käsitleb seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 4 punkte 1 ja 7 ning artikli 24 lõiget 1, arvestades Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikleid 7 ja 8.

2 Taotlus on esitatud IAB Europe’i ja Gegevensbeschermingsautoriteiti (Belgia andmekaitseasutus) (edaspidi „andmekaitseasutus“) vahelises kohtuvaidluses, mille ese on andmekaitseasutuse vaidluste lahendamise koja otsus, mis on tehtud IAB Europe’i suhtes seoses mitme isikuandmete kaitse üldmääruse sätte väidetava rikkumisega.

Õiguslik raamistik

Liidu õigus

3 Isikuandmete kaitse üldmääruse põhjendused 1, 10, 26 ja 30 on sõnastatud järgmiselt:

„(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. [Harta] artikli 8 lõikes 1 ja [ELTL] artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

[…]

(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel [Euroopa L]iidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]

[…]

(26) Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogilisi arenguid. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.

[…]

(30) Füüsilisi isikuid võib seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega, näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse serveritesse saabuvate kordumatute identifikaatorite ja muu teabega.“

4 Isikuandmete kaitse üldmääruse artikli 1 „Reguleerimisese ja eesmärgid“ lõikes 2 on sätestatud:

„Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.“

5 Nimetatud määruse artiklis 4 on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1) „isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]

7) „vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

[…]

11) andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

[…]“.

6 Isikuandmete kaitse üldmääruse artikkel 6 „Isikuandmete töötlemise seaduslikkus“ on sõnastatud järgmiselt:

„1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

[…]

f) isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

[…]“.

7 Määruse artikli 24 „Vastutava töötleja vastutus“ lõikes 1 on sätestatud:

„Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.“

8 Määruse artikli 26 „Kaasvastutavad töötlejad“ lõikes 1 on sätestatud:

„Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. […]“.

9 Isikuandmete kaitse üldmääruse VI peatükk „Sõltumatud järelevalveasutused“ sisaldab selle määruse artikleid 51–59.

10 Määruse artikli 51 „Järelevalveasutus“ lõigetes 1 ja 2 on ette nähtud:

„1. Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus […].

2. Järelevalveasutus annab panuse käesoleva määruse ühtse kohaldamise tagamiseks kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja [Euroopa K]omisjoniga koostööd kooskõlas VII peatükiga.“

11 Isikuandmete kaitse üldmääruse artikli 55 „Pädevus“ lõigetes 1 ja 2 on sätestatud:

„1. Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.

2. Kui töötlejad on avaliku sektori või eraõiguslikud asutused, kes tegutsevad artikli 6 lõike 1 punktide c või e alusel, on pädevaks asutuseks asjaomase liikmesriigi järelevalveasutus. Sel juhul artiklit 56 ei kohaldata.“

12 Määruse artikli 56 „Juhtiva järelevalveasutuse pädevus“ lõikes 1 on sätestatud:

„Ilma et see piiraks artikli 55 kohaldamist, on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piirülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.“

13 Nimetatud määruse artikli 57 „Ülesanded“ lõikes 1 on sätestatud:

„Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

a) jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

[…]

g) teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;

[…]“.

14 Määruse VII peatüki „Koostöö ja järjepidevus“ 1. jagu „Koostöö“ sisaldab selle määruse artikleid 60–62. Artikli 60 „Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö“ lõikes 1 on ette nähtud:

„Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.“

15 Isikuandmete kaitse üldmääruse artikli 61 „Vastastikune abi“ lõikes 1 on sätestatud:

„Järelevalveasutused annavad üksteisele asjakohast teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi eelneva loa menetluste ja konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.“

16 Selle määruse artikli 62 „ Järelevalveasutuste ühisoperatsioonid“ lõigetes 1 ja 2 on ette nähtud:

„1. Järelevalveasutused viivad asjakohasel juhul läbi ühisoperatsioone, sealhulgas ühiseid uurimisi ja ühiseid täitmise tagamise meetmeid, milles osalevad teiste liikmesriikide järelevalveasutuste liikmed või töötajad.

2. Juhul kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või kui isikuandmete töötlemise toimingud tõenäoliselt võivad oluliselt mõjutada märkimisväärset arvu andmesubjekte rohkem kui ühes liikmesriigis, on kõnealuse liikmesriigi järelevalveasutusel õigus ühisoperatsioonides osaleda. […]“.

17 Kõnealuse määruse VII peatüki 2. jagu „Järjepidevus“ sisaldab määruse artikleid 63–67. Artikkel 63 „Järjepidevuse mehhanism“ on sõnastatud järgmiselt:

„Selleks et aidata käesolevat määrust kogu liidus järjepidevalt kohaldada, teevad järelevalveasutused koostööd üksteisega ja asjakohasel juhul komisjoniga käesolevas jaos sätestatud järjepidevuse mehhanismi kaudu.“

Belgia õigus

18 3. detsembri 2017. aasta seaduse andmekaitseasutuse loomise kohta (wet tot oprichting van de Gegevensbeschermingsautoriteit) (Belgisch Staatsblad, 10.1.2018, lk 989; edaspidi „LCA“) artikli 100 lõike 1 punktis 9 on sätestatud:

„Vaidluste lahendamise koda on pädev:

[…]

9° andma korraldust töötlemise vastavusse viimiseks“.

19 LCA artikkel 101 näeb ette:

„Vaidluste lahendamise koda võib [isikuandmete kaitse üldmääruse] artiklis 83 sätestatud üldtingimuste kohaselt määrata rikkujatele haldustrahvi.“

Põhikohtuasi ja eelotsuse küsimused

20 IAB Europe on Belgias asutatud mittetulundusühing, kes esindab Euroopa tasandil digitaalse reklaami- ja turundussektori ettevõtjaid. IAB Europe’i liikmed on nii selle sektori ettevõtjad, nagu kirjastajad, e-kaubanduse ja turundusega tegelevad ettevõtjad või vahendajad, kui ka riigisisesed ühendused, sealhulgas riigisisesed IABd (Interactive Advertising Bureau), kelle liikmete hulka kuuluvad omakorda selle sektori ettevõtjad. IAB Europe’i liikmete hulka kuuluvad muu hulgas ettevõtjad, kes saavad märkimisväärset tulu reklaamipinna müümisest veebisaitidel või rakendustes.

21 IAB Europe on välja töötanud Transparency & Consent Framework’i (läbipaistvuse ja nõusoleku raamistik, edaspidi „TCF“), mis on reeglistik, mis koosneb suunistest, juhistest, tehnilistest kirjeldustest, protokollidest ja lepingulistest kohustustest, mis võimaldavad nii veebisaidi või rakenduse pakkujal kui ka andmemaakleritel või reklaamiplatvormidel töödelda seaduslikult veebisaidi või rakenduse kasutaja isikuandmeid.

22 TCFi eesmärk on eelkõige edendada isikuandmete kaitse üldmääruse järgimist, kui need ettevõtjad kasutavad OpenRTB-protokolli, st üht kõige enam kasutatavat protokolli Real Time Bidding’u jaoks, mis on kasutajate profiilide kohese ja automatiseeritud veebipõhiste oksjonite süsteem reklaamipinna müümiseks ja ostmiseks internetis (edaspidi „RTB“). Võttes arvesse teatavaid tavasid, mida IAB Europe’i liikmed kasutajate profiilidega seotud isikuandmete massilise vahetamise süsteemi raames on rakendanud, esitles IAB Europe TCFi lahendusena, mis võimaldab viia see oksjonisüsteem kooskõlla isikuandmete kaitse üldmäärusega.

23 Nimelt tehnilisest vaatepunktist lähtudes, nagu nähtub Euroopa Kohtule esitatud toimikust, võivad reklaamiettevõtjad – eelkõige andmemaaklerid ja reklaamiplatvormid, kes esindavad tuhandeid reklaamijaid – juhul, kui kasutaja külastab veebisaiti või rakendust, mis sisaldab reklaamipinda, teha reaalajas ja avalikkuse eest varjatult pakkumisi selle reklaamipinna saamiseks algoritme kasutavate automaatsete oksjonisüsteemide kaudu, et kuvada sellel pinnal suunatud reklaame, mis on spetsiaalselt kohandatud sellise kasutaja profiilile.

24 Enne selliste suunatud reklaamide kuvamist tuleb siiski saada kasutaja eelnev nõusolek. Seega, kui kasutaja külastab veebisaiti või rakendust esimest korda, ilmub hüpikaknasse nõusoleku haldamise platvorm „Consent Management Platform“ (edaspidi „CMP“), mis võimaldab sellel kasutajal esiteks anda oma nõusoleku veebisaidi või rakenduse pakkujale, et koguda ja töödelda tema isikuandmeid varem kindlaks määratud eesmärkidel, nagu turustamine või reklaam või nende andmete jagamine teatavate teenuseosutajatega, ning teiseks vaielda vastu erinevat liiki andmetöötlusele või andmete jagamisele, mis põhinevad teenuseosutajate väidetud õigustatud huvidel isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tähenduses. Need isikuandmed puudutavad eelkõige kasutaja asukohta, vanust, tema otsingute ja hiljutiste ostude ajalugu.

25 Selles kontekstis annab TCF raamistiku isikuandmete suuremahuliseks töötlemiseks ja hõlbustab kasutajate eelistuste registreerimist CMP kaudu. Seejärel kodeeritakse ja salvestatakse need eelistused tähtede ja märkide kombinatsioonist koosnevas stringis, mida IAB Europe tähistab kui Transparency and Consent String’i (edaspidi „TC‑string“) ning mida jagatakse OpenRTB-protokollis osalevate isikuandmete maaklerite ja reklaamiplatvormidega, et nad teaksid, millega kasutaja on nõustunud või millele ta on vastu vaielnud. CMP paigutab kasutaja seadmesse ka küpsise (euconsent-v2). TC‑stringi ja euconsent‑v2-küpsise kombineerimisel võib need seostada selle kasutaja IP-aadressiga.

26 TCF mängib seega rolli OpenRTB‑protokolli toimimises, kuna see võimaldab koguda kasutaja eelistusi nende edastamiseks potentsiaalsetele müüjatele ja saavutada erinevaid töötlemise eesmärke, sealhulgas pakkuda personaalset reklaami. TCFi eesmärk on eelkõige tagada, et isikuandmete maaklerid ja reklaamiplatvormid järgivad TC‑stringi abil isikuandmete kaitse üldmäärust.

27 Alates 2019. aastast on andmekaitseasutus saanud IAB Europe’i kohta nii Belgiast kui ka kolmandatest riikidest mitu kaebust, mis puudutavad TCFi vastavust isikuandmete kaitse üldmäärusele. Pärast nende kaebuste läbivaatamist algatas andmekaitseasutus kui juhtiv järelevalveasutus isikuandmete kaitse üldmääruse artikli 56 lõike 1 tähenduses vastavalt selle määruse artiklitele 60–63 koostöö- ja järjepidevuse mehhanismi, et jõuda ühisele otsusele, mille kiitsid ühiselt heaks kõik 21 selle mehhanismiga seotud riiklikku järelevalveasutust. Nii otsustas andmekaitseasutuse vaidluste lahendamise koda oma 2. veebruari 2022. aasta otsuses (edaspidi „2. veebruari 2022. aasta otsus“), et IAB Europe tegutses isikuandmete vastutava töötlejana seoses üksikute kasutajate nõusoleku, vastuväidete ja eelistuste salvestamisega TC‑stringi abil, mis andmekaitseasutuse vaidluste lahendamise koja hinnangul on seostatud tuvastatava kasutajaga. Lisaks kohustas andmekaitseasutuse vaidluste lahendamise koda selles otsuses IAB Europe’it vastavalt LCA artikli 100 lõike 1 punktile 9 viima TCFi raames toimuva isikuandmete töötlemise kooskõlla isikuandmete kaitse üldmääruse sätetega ning määras talle mitu parandusmeedet ja haldustrahvi.

28 IAB Europe esitas selle otsuse peale kaebuse hof van beroep te Brusselile (Brüsseli apellatsioonikohus, Belgia), kes on eelotsusetaotluse esitanud kohus. IAB Europe palub sellel kohtul 2. veebruari 2022. aasta otsus tühistada. Ta vaidleb muu hulgas vastu sellele, et teda peetakse vastutavaks töötlejaks. Lisaks väidab ta, et kuna selles otsuses on tuvastatud, et TC‑stringid on isikuandmed isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses, siis on see otsus ebapiisavalt diferentseeritud ja põhjendatud ning igal juhul on see väär. Eelkõige rõhutab IAB Europe, et ainult teised TCFis osalejad võivad kombineerida TC‑stringi IP‑aadressiga, et muuta see isikuandmeteks, et TC‑string ei ole kasutajaspetsiifiline ja et tal endal ei ole võimalik tutvuda andmetega, mida tema liikmed sellega seoses töötlevad.

29 Andmekaitseasutus, keda riigisiseses menetluses toetavad Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom ja Ligue des Droits Humains VZW, väidab muu hulgas, et TC‑stringid kujutavad endast tõepoolest isikuandmeid, kuna CMPd saavad seostada TC‑stringid IP‑aadressidega, et lisaks võivad TCFis osalejad tuvastada kasutajaid ka muude andmete põhjal, et IAB Europe’il on selleks juurdepääs teabele ning et selline kasutaja tuvastamine ongi TC‑stringi eesmärk, milleks on hõlbustada suunatud reklaami müüki. Lisaks väidab andmekaitseasutus muu hulgas, et asjaolu, et IAB Europe’it tuleb pidada vastutavaks töötlejaks isikuandmete kaitse üldmääruse tähenduses, tuleneb tema määravast rollist TC‑stringide töötlemisel. Andmekaitseasutus lisab, et see organisatsioon määrab vastavalt kindlaks töötlemise eesmärgid ja vahendid, TC‑stringide loomise, kohandamise ja lugemise viisi, vajalike küpsiste säilitamise viisi ja koha, isikuandmete saaja ning kriteeriumid, mille alusel saab kindlaks määrata TC‑stringide säilitamise tähtajad.

30 Eelotsusetaotluse esitanud kohtul on tekkinud kahtlused, kas TC‑string – olenevalt asjaoludest kombinatsioonis IP‑aadressiga – kujutab endast isikuandmeid, ja kui see on nii, siis kas IAB Europe’it tuleb pidada TCFi raames isikuandmete vastutavaks töötlejaks, eelkõige TC‑stringi töötlemise osas. Sellega seoses märgib eelotsusetaotluse esitanud kohus, et kuigi vastab tõele, et 2. veebruari 2022. aasta otsus kajastab erinevate asjasse puutuvate riiklike järelevalveasutuste ühiselt vastu võetud ühist seisukohta, ei ole Euroopa Kohtul siiski veel olnud võimalust võtta seisukohta selle uue ja ulatuslike tagajärgedega tehnoloogia kohta, milleks on TC‑string.

31 Neil asjaoludel otsustas hof van beroep te Brussel (Brüsseli apellatsioonikohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1. a) Kas [isikuandmete kaitse üldmääruse] artikli 4 punkti 1 koostoimes [harta] artiklitega 7 ja 8 tuleb tõlgendada nii, et märgijada, mis salvestab internetikasutaja eelistused seoses tema isikuandmete töötlemisega struktureeritud ja masinloetaval viisil, kujutab endast – 1) valdkondliku kutseorganisatsiooni seisukohast, kes annab oma liikmete käsutusse standardi, mis näeb ette, kuidas tuleb seda märgijada tegelikkuses tehniliselt luua, säilitada ja/või levitada, ning 2) poolte seisukohast, kes rakendavad kõnealust standardit oma veebisaitidel või mobiilirakendustes ja kellel on sel viisil juurdepääs sellele märgijadale – isikuandmeid viidatud sätte tähenduses?

b) Kas asi on teisiti, kui standardi rakendamise tulemusel on märgijada kättesaadav koos IP‑aadressiga?

c) Kas vastus esimese küsimuse punktidele a ja b on teistsugune, kui valdkondlikul kutseorganisatsioonil endal puudub seaduslik juurdepääs isikuandmetele, mida tema liikmed kõnealuse standardi raames töötlevad?

2. a) Kas [isikuandmete kaitse üldmääruse] artikli 4 punkti 7 ja artikli 24 lõiget 1 koostoimes [harta] artiklitega 7 ja 8 tuleb tõlgendada nii, et valdkondlikku standardeid kehtestavat kutseorganisatsiooni tuleb pidada vastutavaks töötlejaks, kui ta pakub oma liikmetele nõusoleku haldamiseks standardit, mis sisaldab lisaks kohustuslikule tehnilisele raamistikule reegleid, mis määravad üksikasjalikult kindlaks, kuidas tuleb nõusolekuga seotud andmeid, mis kujutavad endast isikuandmeid, säilitada ja töödelda?

b) Kas vastus teise küsimuse punktile a on teistsugune, kui valdkondlikul kutseorganisatsioonil endal puudub seaduslik juurdepääs isikuandmetele, mida tema liikmed kõnealuse standardi raames töötlevad?

c) Kas juhul, kui valdkondlikku standardeid kehtestavat kutseorganisatsiooni tuleb pidada internetikasutajate eelistuste töötlemise eest vastutavaks töötlejaks või kaasvastutavaks töötlejaks, laieneb valdkondliku standardeid kehtestava kutseorganisatsiooni (kaas)vastutus automaatselt ka järgnevatele kolmandate isikute töötlemistoimingutele, mille tarvis on internetikasutajate eelistused kättesaadavaks tehtud, nagu kirjastajate ja müüjate suunatud internetireklaam?“

Esimene küsimus

32 Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 4 punkti 1 tuleb tõlgendada nii, et selline tähtede ja märkide kombinatsioonist koosnev jada nagu TC‑string – mis sisaldab interneti või rakenduse kasutaja eelistusi seoses selle kasutaja nõusolekuga teda puudutavate isikuandmete töötlemiseks veebisaitide või rakenduste pakkujate ning selliste andmete maaklerite ja reklaamiplatvormide poolt – kujutab endast isikuandmeid selle sätte tähenduses, kui valdkondlik organisatsioon on kehtestanud reeglistiku, mille kohaselt seda jada tuleb luua, säilitada või levitada, ning sellise organisatsiooni liikmed on neid reegleid rakendanud ja neil on seega juurdepääs kõnealusele jadale. Eelotsusetaotluse esitanud kohus soovib samuti teada, kas sellele küsimusele vastamiseks on oluline, et esimesena oleks see jada seostatud sellise identifitseerimistunnusega nagu eelkõige kõnealuse kasutaja seadme IP‑aadress, mis võimaldab andmesubjekti tuvastada, ja teisena oleks niisugusel valdkondlikul organisatsioonil õigus saada vahetu juurdepääs isikuandmetele, mida tema liikmed töötlevad tema loodud reeglite kontekstis.

33 Kõigepealt tuleb märkida, et kuna isikuandmete kaitse üldmäärusega tunnistati kehtetuks ja asendati Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) ning kuna selle määruse asjakohaste sätete kohaldamisala on sisuliselt identne nimetatud direktiivi asjakohaste sätete kohaldamisalaga, on Euroopa Kohtu praktika selle direktiivi kohta põhimõtteliselt kohaldatav ka selle määruse suhtes (17. juuni 2021. aasta kohtuotsus M.I.C.M., C‑597/19, EU:C:2021:492, punkt 107).

34 Samuti tuleb meenutada, et väljakujunenud kohtupraktika kohaselt ei tule liidu õigusnormi tõlgendamisel arvesse võtta mitte ainult normi sõnastust, vaid ka selle konteksti ning selle õigusaktiga taotletavaid eesmärke, mille osa norm on (22. juuni 2023. aasta kohtuotsus Pankki S, C‑579/21, EU:C:2023:501, punkt 38 ja seal viidatud kohtupraktika).

35 Sellega seoses väärib märkimist, et isikuandmete kaitse üldmääruse artikli 4 punktis 1 on isikuandmed määratletud kui „igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta“ ja täpsustatud, et „tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“.

36 Sõnade „igasugune teave“ kasutamine selles sättes esitatud mõiste „isikuandmed“ määratlemisel peegeldab liidu seadusandja eesmärki anda sellele mõistele lai tähendus, mis hõlmab potentsiaalselt igasugust, nii objektiivset kui ka subjektiivset teavet arvamuste või hinnangute vormis, tingimusel et need käivad kõnealuse isiku kohta (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 23 ning seal viidatud kohtupraktika).

37 Sellega seoses on Euroopa Kohus otsustanud, et teave puudutab tuvastatud või tuvastatavat füüsilist isikut, kui see on oma sisu, eesmärgi või toime tõttu seotud tuvastatava isikuga (4. mai 2023. aasta kohtuotsus Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, punkt 24 ning seal viidatud kohtupraktika).

38 Mis puudutab isiku „tuvastatavust“, siis tuleneb isikuandmete kaitse üldmääruse artikli 4 punkti 1 sõnastusest, et tuvastatav isik on isik, keda ei saa tuvastada mitte ainult otseselt, vaid ka kaudselt.

39 Nagu Euroopa Kohus on otsustanud, soovib liidu seadusandja sõna „kaudselt“ kasutamisega näidata, et teabe kvalifitseerimiseks isikuandmeteks ei pea need andmed ise võimaldama andmesubjekti tuvastada (vt analoogia alusel 19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 41). Seevastu tuleneb isikuandmete kaitse üldmääruse artikli 4 punktist 5 koostoimes selle määruse põhjendusega 26, et isikuandmeid, mida saab füüsilise isikuga seostada ainult täiendava teabe abil, tuleb käsitada tuvastatava füüsilise isiku kohta käiva teabena (5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 58).

40 Lisaks on põhjenduses 26 täpsustatud, et füüsilise isiku „tuvastatavuse“ kindlakstegemisel tuleks arvesse võtta „kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine“. See sõnastus viitab sellele, et selleks, et andmeid saaks kvalifitseerida „isikuandmeteks“ selle määruse artikli 4 punkti 1 tähenduses, ei ole nõutud, et kõik andmesubjekti tuvastada võimaldavad andmed oleksid ühe isiku valduses (vt analoogia alusel 19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 43).

41 Sellest tuleneb, et mõiste „isikuandmed“ ei hõlma mitte ainult vastutava töötleja kogutud ja säilitatud andmeid, vaid ka kogu isikuandmete töötlemisel saadud teavet, mis puudutab tuvastatud või tuvastatavat isikut (22. juuni 2023. aasta kohtuotsus Pankki S, C‑579/21, EU:C:2023:501, punkt 45).

42 Käesoleval juhul tuleb märkida, et tähtede ja märkide kombinatsioonist koosnev jada – nagu TC‑string – sisaldab interneti või rakenduse kasutaja eelistusi seoses selle kasutaja nõusolekuga teda puudutavate isikuandmete töötlemiseks kolmandate isikute poolt või tema võimaliku vastuseisuga selliste andmete töötlemisele, mis põhineb väidetavalt õigustatud huvil isikuandmete kaitse üldmääruse artikli 6 lõike 1 punkti f tähenduses.

43 Ent isegi kui TC‑string ise ei sisaldaks andmeid, mis võimaldaksid andmesubjekti otseselt tuvastada, sisaldab see siiski esimesena konkreetse kasutaja individuaalseid eelistusi seoses tema nõusolekuga teda puudutavate isikuandmete töötlemiseks, kuna see teave on „füüsilise isiku […] kohta“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses.

44 Teisena on samuti selge, et kui TC‑stringis sisalduv teave on seostatud sellise identifikaatoriga nagu eelkõige kasutaja seadme IP‑aadress, võib see aidata luua selle kasutaja profiili ja tuvastada tegelikult isiku, keda selline teave konkreetselt puudutab.

45 Kuna tähtede ja märkide kombinatsioonist koosneva jada – nagu TC‑string – seostamine täiendavate andmetega, eelkõige kasutaja seadme IP‑aadressiga või muude identifikaatoritega, võimaldab seda kasutajat tuvastada, tuleb asuda seisukohale, et TC‑string sisaldab teavet tuvastatava kasutaja kohta ja kujutab endast seega isikuandmeid isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses, mida kinnitab isikuandmete kaitse üldmääruse põhjendus 30, milles on peetud silmas just sellist juhtumit.

46 Seda tõlgendust ei sea kahtluse alla pelk asjaolu, et IAB Europe ei saa ise kombineerida TC‑stringi kasutaja seadme IP‑aadressiga ning tal ei ole otsest juurdepääsu andmetele, mida tema liikmed TCFi raames töötlevad.

47 Nimelt, nagu nähtub käesoleva kohtuotsuse punktis 40 viidatud kohtupraktikast, ei takista see asjaolu TC‑stringi kvalifitseerimist „isikuandmeteks“ isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses.

48 Muu hulgas nähtub Euroopa Kohtule esitatud toimikust, eelkõige 2. veebruari 2022. aasta otsusest, et IAB Europe’i liikmed on kohustatud edastama IAB Europe’ile viimase nõudmisel kogu teabe, mis võimaldab tal tuvastada kasutajad, kelle andmed on TC‑stringi esemeks.

49 Seega näib – kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist –, et IAB Europe’il on vastavalt isikuandmete kaitse üldmääruse põhjenduses 26 märgitule mõistlikud vahendid, mis võimaldavad tal tuvastada TC‑stringi alusel konkreetse füüsilise isiku, kasutades selleks teavet, mida tema liikmed ja teised TCFis osalevad organisatsioonid peavad talle esitama.

50 Eeltoodust tuleneb, et TC‑string kujutab endast isikuandmeid isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses. Selles osas ei ole tähtis asjaolu, et sellisel valdkondlikul organisatsioonil ei oleks ilma välise abita, mida tal on õigus nõuda, võimalik pääseda juurde andmetele, mida tema liikmed töötlevad tema kehtestatud reeglite alusel, ega kombineerida TC‑stringi teiste identifikaatoritega, näiteks kasutaja seadme IP‑aadressiga.

51 Eeltoodut arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 4 punkti 1 tuleb tõlgendada nii, et selline tähtede ja märkide kombinatsioonist koosnev jada nagu TC‑string – mis sisaldab interneti või rakenduse kasutaja eelistusi seoses selle kasutaja nõusolekuga teda puudutavate isikuandmete töötlemiseks veebisaitide või rakenduste pakkujate ning selliste andmete maaklerite ja reklaamiplatvormide poolt – kujutab endast isikuandmeid selle sätte tähenduses osas, milles see jada võimaldab tuvastada andmesubjekti, kui jada saab mõistlike vahenditega seostada identifikaatoriga, nagu eelkõige kõnealuse kasutaja seadme IP‑aadress. Neil asjaoludel ei välista asjaolu, et seda jada omav valdkondlik organisatsioon ei saa ilma välise abita pääseda juurde andmetele, mida tema liikmed töötlevad tema kehtestatud reeglite alusel, ega kombineerida seda jada teiste elementidega, seda, et sama jada kujutab endast isikuandmeid selle sätte tähenduses.

Teine küsimus

52 Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas isikuandmete kaitse üldmääruse artikli 4 punkti 7 tuleb tõlgendada nii, et:

– teiseks, selle valdkondliku organisatsiooni võimalik kaasvastutus laieneb automaatselt isikuandmete edasisele töötlemisele kolmandate isikute, näiteks veebisaitide või rakenduste pakkujate poolt seoses kasutajate eelistustega suunatud internetireklaami suhtes.

53 Kõigepealt tuleb meenutada, et isikuandmete kaitse üldmääruse eesmärk, mis tuleneb selle määruse artiklist 1 ning põhjendustest 1 ja 10, on eelkõige tagada füüsiliste isikute põhiõiguste ja ‑vabaduste ning eelkõige nende õiguse eraelu puutumatusele kõrgetasemeline kaitse, kui töödeldakse neid puudutavaid isikuandmeid, mida kaitsevad harta artikli 8 lõige 1 ja ELTL artikli 16 lõige 1 (4. mai 2023. aasta kohtuotsus Bundesrepublik Deutschland (kohtu elektrooniline postkast), C‑60/22, EU:C:2023:373, punkt 64).

54 Sellest eesmärgist lähtuvalt on selle määruse artikli 4 punktis 7 mõiste „vastutav töötleja“ määratletud laialt kui füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.

55 Nagu Euroopa Kohus on juba otsustanud, on selle sätte eesmärk tagada mõiste „vastutav töötleja“ laia määratluse kaudu andmesubjektide tõhus ja täielik kaitse (vt analoogia alusel 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 28).

56 Lisaks, kuna isikuandmete kaitse üldmääruse artikli 4 punktis 7 sõnaselgelt ettenähtu kohaselt on „vastutava töötleja“ all silmas peetud üksust, kes määrab „üksi või koos teistega“ kindlaks isikuandmete töötlemise eesmärgid ja vahendid, ei viita see mõiste tingimata üheleainsale üksusele ja võib hõlmata mitut töötlemises osalejat, kellest igaühe suhtes on seega kohaldatavad andmekaitse valdkonna õigusnormid (vt analoogia alusel 5. juuni 2018. aasta kohtuotsus Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 29, ja 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 65).

57 Euroopa Kohus on ka leidnud, et füüsilist või juriidilist isikut, kes enda huvides mõjutab isikuandmete töötlemist ja osaleb seetõttu töötlemise eesmärkide ja vahendite kindlaksmääramisel, võib pidada isikuandmete kaitse üldmääruse artikli 4 punkti 7 tähenduses vastutavaks töötlejaks (vt analoogia alusel 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 68). Nii on isikuandmete kaitse üldmääruse artikli 26 lõikes 1 sätestatud, et „kaasvastutavate töötlejatega“ on tegemist siis, kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid (5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 40).

58 Sellega seoses tuleb märkida, et kuigi iga kaasvastutav töötleja peab iseseisvalt vastama isikuandmete kaitse üldmääruse artikli 4 punktis 7 esitatud „vastutava töötleja“ määratlusele, ei tähenda kaasvastutuse olemasolu tingimata seda, et sama isikuandmete töötlemise eest vastutavad erinevad isikud võrdselt. Need isikud võivad olla isikuandmete töötlemisse kaasatud hoopis eri etappides ja erineval määral, mistõttu tuleb neist igaühe vastutuse taset hinnata juhtumi kõiki tähtsust omavaid asjaolusid arvesse võttes. Mitme isiku kaasvastutus sama töötlemise eest ei eelda selle sätte kohaselt pealegi, et igaühel neist oleks juurdepääs asjaomastele isikuandmetele (vt analoogia alusel 10. juuli 2018. aasta kohtuotsus Jehovan todistajat, C‑25/17, EU:C:2018:551, punktid 66 ja 69 ning seal viidatud kohtupraktika).

59 Osalemine isikuandmete töötlemise eesmärkide ja vahendite kindlaksmääramises võib toimuda eri vormides, kusjuures selline osalemine võib tuleneda nii kahe või enama üksuse ühisest otsusest kui ka selliste üksuste kokkulangevatest otsustest. Viimasel juhul peavad need otsused aga üksteist täiendama nii, et igal otsusel oleks konkreetne mõju töötlemise eesmärkide ja vahendite kindlaksmääramisele. Seevastu ei saa nõuda, et nende vastutavate töötlejate vahel oleks ametlik kokkulepe töötlemise eesmärkide ja vahendite kohta (5. detsembri 2023. aasta kohtuotsus Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punktid 43 ja 44).

60 Eeltoodut arvestades tuleb asuda seisukohale, et teise küsimuse esimese osaga palutakse kindlaks teha, kas sellist valdkondlikku organisatsiooni nagu IAB Europe võib pidada kaasvastutavaks töötlejaks isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõike 1 tähenduses.

61 Selleks tuleb seega hinnata, kas juhtumi eriomaseid asjaolusid arvestades mõjutab IAB Europe enda huvides selliste isikuandmete töötlemist nagu TC‑string ning määrab koos teistega kindlaks sellise töötlemise eesmärgid ja vahendid.

62 Mis puudutab esimesena sellise isikuandmete töötlemise eesmärke, siis, kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist, nähtub Euroopa Kohtu käsutuses olevast toimikust, et – nagu on meenutatud käesoleva kohtuotsuse punktides 21 ja 22 – IAB Europe’i loodud TCF kujutab endast reeglistikku, mille eesmärk on tagada, et veebisaidi või rakenduse kasutaja isikuandmete töötlemine, mida teevad teatavad ettevõtjad, kes osalevad reklaamipinna müümisel internetioksjonil, on kooskõlas isikuandmete kaitse üldmäärusega.

63 Neil asjaoludel on TCFi eesmärk peamiselt soodustada ja võimaldada internetis reklaamipinna müüki ja ostmist nende ettevõtjate poolt.

64 Seega võib asuda seisukohale – kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist –, et IAB Europe mõjutab enda huvides põhikohtuasjas kõne all olevate isikuandmete töötlemise toiminguid ja määrab seetõttu koos oma liikmetega kindlaks selliste toimingute eesmärgid.

65 Teisena, mis puudutab isikuandmete töötlemiseks kasutatud vahendeid, siis nähtub Euroopa Kohtu käsutuses olevast toimikust – kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist –, et TCF kujutab endast reeglistikku, millega IAB Europe’i liikmed peavad selle ühingu liikmeks astumisel nõustuma. Nagu kinnitas IAB Europe Euroopa Kohtu istungil, võib IAB Europe juhul, kui mõni tema liikmetest ei järgi TCFi reegleid, teha selle liikme suhtes nõuetele mittevastavuse ja peatamise otsuse, mis võib viia selleni, et liige jäetakse TCFi alt välja ja seega ei saa ta tugineda isikuandmete kaitse üldmäärusega kooskõla tagatisele, mida see reeglistik peaks andma isikuandmete töötlemiseks, mida see liige TC‑stringide abil teeb.

66 Lisaks sisaldab IAB Europe’i koostatud TCF praktilisest seisukohast, nagu on märgitud käesoleva kohtuotsuse punktis 21, tehnilisi kirjeldusi TC‑stringi töötlemise kohta. Eelkõige näib, et need kirjeldused kirjeldavad täpselt viisi, kuidas CMPd peavad koguma kasutajate eelistusi neid puudutavate isikuandmete töötlemise kohta, ning viisi, kuidas selliseid eelistusi tuleb töödelda, et luua TC‑string. Lisaks on kehtestatud täpsed reeglid ka TC‑stringi sisu ning selle säilitamise ja jagamise kohta.

67 2. veebruari 2022. aasta otsusest nähtub, et IAB Europe näeb nende reeglitega ette eelkõige standardiseeritud viisi, kuidas TCFis osalevad erinevad pooled saavad tutvuda TC‑stringides sisalduvate kasutajate eelistuste, vastuväidete ja nõusolekutega.

68 Neil asjaoludel ja kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist, tuleb asuda seisukohale, et selline valdkondlik organisatsioon nagu IAB Europe mõjutab enda huvides põhikohtuasjas kõne all olevaid isikuandmete töötlemise toiminguid ja määrab seetõttu koos oma liikmetega kindlaks nende toimingute aluseks olevad vahendid. Sellest järeldub, et teda tuleb vastavalt käesoleva kohtuotsuse punktis 57 viidatud kohtupraktikale pidada „kaasvastutavaks töötlejaks“ isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõike 1 tähenduses.

69 Eelotsusetaotluse esitanud kohtu viidatud asjaolu, et sellisel valdkondlikul organisatsioonil endal ei ole otsejuurdepääsu TC‑stringidele ja seega isikuandmetele, mida nende reeglite raames töötlevad tema liikmed, kellega ta määrab ühiselt kindlaks nende andmete töötlemise eesmärgid ja vahendid, ei takista käesoleva kohtuotsuse punktis 58 meenutatud kohtupraktika kohaselt tema kvalifitseerimist „vastutavaks töötlejaks“ selle sätte tähenduses.

70 Lisaks tuleb selle kohtu kahtlustele vastates välistada, et selle valdkondliku organisatsiooni võimalik kaasvastutus laieneb automaatselt isikuandmete edasisele töötlemisele kolmandate isikute – näiteks veebisaitide või rakenduste pakkujate –poolt seoses kasutajate eelistustega suunatud internetireklaami suhtes.

71 Selle kohta tuleb esiteks märkida, et isikuandmete kaitse üldmääruse artikli 4 punktis 2 on „isikuandmete töötlemine“ määratletud kui „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine“.

72 Sellest määratlusest nähtub, et isikuandmete töötlemine võib koosneda ühest või mitmest toimingust, millest igaüks on seotud selle töötlemise erineva etapiga.

73 Teiseks, nagu Euroopa Kohus on juba otsustanud, tuleneb isikuandmete kaitse üldmääruse artikli 4 punktist 7 ja artikli 26 lõikest 1, et füüsilist või juriidilist isikut saab pidada isikuandmete töötlemise toimingute eest kaasvastutavaks üksnes juhul, kui ta määrab teistega ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Järelikult – ja ilma et see välistaks tsiviilvastutust, mis sellega seoses võib olla riigisiseses õiguses ette nähtud – ei saa seda füüsilist või juriidilist isikut pidada nende sätete tähenduses vastutavaks töötlemisahela eelnevate ega järgnevate etappide eest, mille eesmärke ega vahendeid ta kindlaks ei määra (vt analoogia alusel 29. juuli 2019. aasta kohtuotsus Fashion ID, C‑40/17, EU:C:2019:629, punkt 74).

74 Käesoleval juhul tuleb eristada ühelt poolt isikuandmete töötlemist, mida teostavad IAB Europe’i liikmed, st veebisaitide või rakenduste pakkujad, andmemaaklerid või reklaamiplatvormid, kui nad registreerivad TC‑stringis asjaomaste kasutajate nõusoleku andmise eelistusi vastavalt TCFis kehtestatud reeglitele, ning teiselt poolt isikuandmete edasist töötlemist, mida teevad need ettevõtjad ja kolmandad isikud nende eelistuste alusel, nagu nende andmete edastamine kolmandatele isikutele või nendele kasutajatele personaalse reklaami pakkumine.

75 Kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist, ei näi see hilisem töötlemine nimelt eeldavat IAB Europe’i osalemist, mistõttu tuleb välistada sellise organisatsiooni automaatne vastutus koos nende ettevõtjate ja kolmandate isikutega, kui töödeldakse isikuandmeid TC‑stringis sisalduvate asjaomaste kasutajate eelistusi puudutavate andmete alusel.

76 Seega saab sellist valdkondlikku organisatsiooni nagu IAB Europe pidada sellise edasise töötlemise eest vastutavaks ainult siis, kui on tõendatud, et ta mõjutas selle töötlemise eesmärkide ja tingimuste kindlaksmääramist, mida peab kontrollima eelotsusetaotluse esitanud kohus, võttes arvesse kõiki põhikohtuasjas tähtsust omavaid asjaolusid.

77 Kõiki eeltoodud kaalutlusi arvestades tuleb teisele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 4 punkti 7 ja artikli 26 lõiget 1 tuleb tõlgendada nii, et:

– esiteks, valdkondlik organisatsioon tuleb osas, milles ta on kehtestanud oma liikmetele reeglistiku, mille ta on koostanud isikuandmete töötlemiseks nõusoleku andmise kohta ja mis ei sisalda mitte ainult siduvaid tehnilisi reegleid, vaid ka reegleid, milles täpsustatakse üksikasjalikult selle nõusolekuga seotud isikuandmete säilitamise ja levitamise korda, kvalifitseerida „kaasvastutavaks töötlejaks“ nende sätete tähenduses, kui juhtumi eriomaseid asjaolusid arvestades mõjutab see valdkondlik organisatsioon enda huvides asjaomast isikuandmete töötlemist ning määrab seetõttu koos oma liikmetega kindlaks sellise töötlemise eesmärgid ja vahendid. Asjaolu, et sellisel valdkondlikul organisatsioonil endal ei ole otsejuurdepääsu tema liikmete poolt nende reeglite raames töödeldavatele isikuandmetele, ei välista seda, et ta võib olla kaasvastutav töötleja nimetatud sätete tähenduses;

– teiseks ei laiene selle valdkondliku organisatsiooni kaasvastutus automaatselt isikuandmete edasisele töötlemisele kolmandate isikute, näiteks veebisaitide või rakenduste pakkujate poolt seoses kasutajate eelistustega suunatud internetireklaami suhtes.

Kohtukulud

78 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (neljas koda) otsustab:

1. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 4 punkti 1

tuleb tõlgendada nii, et

selline tähtede ja märkide kombinatsioonist koosnev jada nagu TC‑string (Transparency and Consent String) – mis sisaldab interneti või rakenduse kasutaja eelistusi seoses selle kasutaja nõusolekuga teda puudutavate isikuandmete töötlemiseks veebisaitide või rakenduste pakkujate ning selliste andmete maaklerite ja reklaamiplatvormide poolt – kujutab endast isikuandmeid selle sätte tähenduses osas, milles see jada võimaldab tuvastada andmesubjekti, kui jada saab mõistlike vahenditega seostada identifikaatoriga, nagu eelkõige kõnealuse kasutaja seadme IP‑aadress. Neil asjaoludel ei välista asjaolu, et seda jada omav valdkondlik organisatsioon ei saa ilma välise abita pääseda juurde andmetele, mida tema liikmed töötlevad tema kehtestatud reeglite alusel, ega kombineerida seda jada teiste elementidega, seda, et sama jada kujutab endast isikuandmeid selle sätte tähenduses.

2. Määruse 2016/679 artikli 4 punkti 7 ja artikli 26 lõiget 1

tuleb tõlgendada nii, et

Allkirjad

* Kohtumenetluse keel: hollandi.