Väliaikainen versio
UNIONIN TUOMIOISTUIMEN TUOMIO (neljäs jaosto)
7 päivänä maaliskuuta 2024 (*)
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Asetus (EU) 2016/679 – Standardisoiva toimialajärjestö, joka ehdottaa jäsenilleen käyttäjien suostumuksen käsittelyä koskevia sääntöjä – 4 artiklan 1 alakohta – Henkilötietojen käsite – Kirjaimista ja merkeistä koostuva jono, johon on kirjattu internetin käyttäjän henkilötietojensa käsittelyä koskevaan suostumukseen liittyen hänen mieltymyksensä jäsennellysti ja koneellisesti luettavassa muodossa – 4 artiklan 7 alakohta – Rekisterinpitäjän käsite – 26 artiklan 1 kohta – Yhteisrekisterinpitäjien käsite – Järjestö, jolla ei itsellään ole pääsyä henkilötietoihin, joita sen jäsenet käsittelevät – Järjestön vastuu, joka ulottuu kolmansien osapuolten suorittamiin myöhempiin käsittelyihin
Asiassa C‑604/22,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka hof van beroep te Brussel (Brysselin ylioikeus, Belgia) on esittänyt 7.9.2022 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 19.9.2022, saadakseen ennakkoratkaisun asiassa
IAB Europe
vastaan
Gegevensbeschermingsautoriteit,
jossa asian käsittelyyn osallistuvat:
Jef Ausloos,
Pierre Dewitte,
Johnny Ryan,
Fundacja Panoptykon,
Stichting Bits of Freedom ja
Ligue des droits humains VZW,
UNIONIN TUOMIOISTUIN (neljäs jaosto),
toimien kokoonpanossa: jaoston puheenjohtaja C. Lycourgos sekä tuomarit O. Spineanu-Matei, J.-C. Bonichot, S. Rodin ja L. S. Rossi (esittelevä tuomari),
julkisasiamies: T. Ćapeta,
kirjaaja: hallintovirkamies A. Lamote,
ottaen huomioon kirjallisessa käsittelyssä ja 21.9.2023 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– IAB Europe, edustajinaan P. Craddock, avocat, ja K. Van Quathem, advocaat,
– Gegevensbeschermingsautoriteit, edustajinaan E. Cloots, J. Roets ja T. Roes, advocaten,
– Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom ja Ligue des Droits Humains VZW, edustajinaan F. Debusseré ja R. Roex, advocaten,
– Itävallan hallitus, asiamiehinään J. Schmoll ja C. Gabauer,
– Euroopan komissio, asiamiehinään A. Bouchagiar ja H. Kranenborg,
päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 4 artiklan 1 ja 7 alakohdan sekä 24 artiklan 1 kohdan, luettuina Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 7 ja 8 artiklan valossa, tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat IAB Europe ja Gegevensbeschermingsautoriteit (tietosuojaviranomainen, Belgia; jäljempänä tietosuojaviranomainen) ja joka koskee tietosuojaviranomaisen riidanratkaisuelimen IAB Europea vastaan tekemää päätöstä, joka koskee sitä, että useita yleisen tietosuoja-asetuksen säännöksiä on väitetysti rikottu.
Asiaa koskevat oikeussäännöt
Unionin oikeus
3 Yleisen tietosuoja-asetuksen johdanto-osan 1, 10, 26 ja 30 perustelukappaleen sanamuoto on seuraava:
”(1) Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. [Perusoikeuskirjan] 8 artiklan 1 kohdan ja [SEUT] 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.
– –
(10) Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet [Euroopan] unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. – –
– –
(26) Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.
– –
(30) Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimien vastaanottamiin tietoihin.”
4 Yleisen tietosuoja-asetuksen 1 artiklan, jonka otsikko on ”Kohde ja tavoitteet”, 2 kohdassa säädetään seuraavaa:
”Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.”
5 Kyseisen asetuksen 4 artiklassa säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
– –
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
– –
11) rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,
– –”
6 Yleisen tietosuoja-asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, sanamuoto on seuraava:
”1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
– –
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.
– –”
7 Kyseisen asetuksen 24 artiklan, jonka otsikko on ”Rekisterinpitäjän vastuu”, 1 kohdassa säädetään seuraavaa:
”Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.”
8 Kyseisen asetuksen 26 artiklan, jonka otsikko on ”Yhteisrekisterinpitäjät”, 1 kohdassa säädetään seuraavaa:
”Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. – –”
9 Yleisen tietosuoja-asetuksen VI lukuun, jonka aiheena ovat riippumattomat valvontaviranomaiset, sisältyvät kyseisen asetuksen 51-59 artikla.
10 Kyseisen asetuksen 51 artiklan, jonka otsikko on ”Valvontaviranomainen”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa – –
2. Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja [Euroopan] komission kanssa VII luvun mukaisesti.”
11 Yleisen tietosuoja-asetuksen 55 artiklan, jonka otsikko on ”Toimivalta”, 1 ja 2 kohdan sanamuoto on seuraava:
”1. Jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.
2. Jos käsittelyn suorittavat viranomaiset tai yksityiset elimet 6 artiklan 1 kohdan c tai e alakohdan nojalla, toimivalta on asianomaisen jäsenvaltion valvontaviranomaisella. Tällöin ei sovelleta 56 artiklaa.”
12 Kyseisen asetuksen 56 artiklan, jonka otsikko on ”Johtavan valvontaviranomaisen toimivalta”, 1 kohdassa säädetään seuraavaa:
”Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta 60 artiklassa säädetyn menettelyn mukaisesti, sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista.”
13 Yleisen tietosuoja-asetuksen 57 artiklan, jonka otsikko on ”Tehtävät”, 1 kohdassa säädetään seuraavaa:
Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan
a) valvottava tämän asetuksen soveltamista ja täytäntöönpanoa;
– –
g) tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;
– –”
14 Kyseisen asetuksen VII luvun, jonka otsikko on ”Yhteistyö ja yhdenmukaisuus”, 1 jaksoon, jonka otsikko on ”Yhteistyö”, sisältyvät mainitun asetuksen 60-62 artikla. Kyseisen 60 artiklan, jonka aiheena on johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö, 1 kohdassa säädetään seuraavaa:
”Johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa ja pyrkiä näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.”
15 Yleisen tietosuoja-asetuksen 61 artiklan, jonka otsikko on ”Keskinäinen avunanto”, 1 kohdassa säädetään seuraavaa:
”Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja ‑kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.”
16 Kyseisen asetuksen 62 artiklan, jonka otsikko on ”Valvontaviranomaisten yhteiset operaatiot ”, 1 ja 2 kohdassa säädetään seuraavaa:
”1. Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita, mukaan lukien yhteisiä selvityksiä ja yhteisiä täytäntöönpanotoimenpiteitä, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten jäseniä tai muuta henkilöstöä.
2. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat merkittävästi huomattavan moniin useammassa kuin yhdessä jäsenvaltiossa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin operaatioihin. – –”
17 Kyseisen asetuksen VII luvun 2 jaksoon, jonka otsikko on ”Yhdenmukaisuus”, sisältyvät kyseisen asetuksen 63-67 artikla. Asetuksen 63 artiklan, jonka otsikko on ”Yhdenmukaisuusmekanismi”, sanamuoto on seuraava:
”Jotta voidaan edistää tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, valvontaviranomaisten on tehtävä yhteistyötä toistensa ja tarvittaessa komission kanssa tämän jakson mukaisen yhdenmukaisuusmekanismin puitteissa.”
Belgian oikeus
18 Tietosuojaviranomaisen perustamisesta 3.12.2017 annetun lain (Wet tot oprichting van de Gegevensbeschermingsautoriteit; Belgisch Staatsblad, 10.1.2018, s. 989; jäljempänä tietosuojaviranomaisen perustamisesta annettu laki) 100 §:n 1 momentin 9 kohdassa säädetään seuraavaa:
”Riidanratkaisuelimellä on toimivalta:
– –
9° määrätä saattamaan henkilötietojen käsittely säännösten mukaiseksi”.
19 Tietosuojaviranomaisen perustamisesta annetun lain 101 §:ssä säädetään seuraavaa:
”Riidanratkaisuelin voi määrätä hallinnollisen seuraamusmaksun [yleisen tietosuoja-asetuksen] 83 artiklassa tarkoitettujen yleisten periaatteiden nojalla”
Pääasia ja ennakkoratkaisukysymykset
20 IAB Europe on Belgiassa perustettu voittoa tavoittelematon yhdistys, joka edustaa digitaalisen mainonnan ja markkinoinnin alan yrityksiä Euroopan tasolla. IAB Europen jäseniä ovat paitsi kyseisen alan yritykset, kuten julkaisijat, verkkokauppaa ja markkinointia harjoittavat yritykset sekä välittäjät, niin myös kansalliset järjestöt, joihin kuuluvat kansalliset IAB:t (Interactive Advertising Bureau), joilla puolestaan on kyseisen alan yrityksiä jäseninään. IAB Europen jäseniä ovat muun muassa yritykset, jotka saavat merkittäviä tuloja mainostilojen myynnistä verkkosivustoilla ja sovelluksissa.
21 IAB Europe on laatinut Transparency & Consent Frameworkin (läpinäkyvyys- ja suostumuskehys, jäljempänä TCF), joka on suuntaviivoista, ohjeista, teknisistä eritelmistä, protokollista ja sopimusvelvoitteista koostuva sääntökokonaisuus, jonka avulla sekä internetsivuston ja sovelluksen tarjoajat että datanvälittäjät ja mainosalustat voivat käsitellä internetsivuston tai sovelluksen käyttäjän henkilötietoja lainmukaisesti.
22 TCF:n tavoitteena on muun muassa edistää yleisen tietosuoja-asetuksen noudattamista kyseisten toimijoiden käyttäessä OpenRTB-protokollaa, joka on yksi käytetyimmistä Real Time Bidding ‑järjestelmää (reaaliaikainen huutokauppa, jäljempänä RTB) varten käytetyistä protokollista; RTB on välittömästi tapahtuva, automatisoitu käyttäjäprofiilien verkkohuutokauppajärjestelmä, jonka avulla voidaan myydä ja ostaa internetin mainostilaa. Tiettyjen IAB Europen jäsenten kyseisen käyttäjäprofiileja koskevan henkilötietojen laajamittaisen tietojenvaihtojärjestelmän yhteydessä käyttöön ottamien käytäntöjen vuoksi IAB Europe esitteli TCF:n ratkaisuna, jolla mainittu huutokauppajärjestelmä voidaan saattaa yleisen tietosuoja-asetuksen mukaiseksi.
23 Teknisestä näkökulmasta katsottuna on erityisesti niin, kuten unionin tuomioistuimelle toimitetusta asiakirja-aineistosta ilmenee, että kun käyttäjä vierailee mainostilan sisältävällä internetsivustolla tai käyttää sovellusta, jossa on mainostila, mainosteknologiayritykset ja muun muassa tuhansia mainostajia edustavat datanvälittäjät ja mainosalustat voivat tehdä taustalla algoritmeja hyödyntävän automatisoidun huutokauppajärjestelmän välityksellä reaaliaikaisia tarjouksia kyseisestä mainostilasta näyttääkseen siinä käyttäjän profiiliin nimenomaisesti mukautettuja kohdistettuja mainoksia.
24 Kyseiseltä käyttäjältä on kuitenkin saatava ennakkosuostumus ennen tällaisten kohdistettujen mainosten näyttämistä. Näin ollen on niin, että kun käyttäjä ensimmäisen kerran vierailee internetsivustolla tai käyttää sovellusta, ponnahdusikkunaan ilmestyy niin sanottu Consent Management Platform (suostumuksen hallinnointialusta, jäljempänä CMP), jonka avulla käyttäjä voi yhtäältä antaa internetsivuston tai sovelluksen tarjoajalle suostumuksensa häntä koskevien henkilötietojen keräämiseen ja käsittelyyn ennalta määriteltyihin tarkoituksiin, kuten muun muassa markkinointi- tai mainontatarkoituksiin tai kyseisten tietojen jakamiseen tiettyjen muiden tarjoajien kanssa, tai toisaalta kieltää tarjoajien esille tuomiin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettuihin oikeutettuihin etuihin perustuvat erilaiset tietojenkäsittelyn tyypit ja tietojen jakamisen. Kyseiset henkilötiedot koskevat muun muassa käyttäjän sijaintitietoja, ikää, hakuhistoriaa ja viimeaikaisia ostoksia.
25 TCF tarjoaa tältä osin puitteet laajamittaiselle henkilötietojen käsittelylle ja helpottaa käyttäjien mieltymysten tallentamista CMP:n avulla. Tämän jälkeen nämä mieltymykset koodataan ja tallennetaan kirjaimista ja merkeistä koostuvaan jonoon, jota IAB Europe kutsuu nimellä ”Transparency and Consent String” (jäljempänä TC-merkkijono) ja joka on jaettu henkilötietojen välittäjien ja OpenRTB-protokollaan osallistuvien mainosalustojen kanssa, jotta ne tietävät, mihin käyttäjä on antanut suostumuksensa ja mihin ei. CMP asettaa lisäksi käyttäjän laitteeseen evästeen (euconsent-v2). Kun TC-merkkijono ja euconsent-v2-eväste yhdistetään, ne voidaan yhdistää kyseisen käyttäjän IP-osoitteeseen.
26 TCF:llä on näin ollen merkitystä OpenRTB-protokollan toiminnassa, sillä se mahdollistaa käyttäjän mieltymysten kirjaamisen niiden ilmoittamiseksi mahdollisille myyjille ja erilaisten käsittelytavoitteiden, kuten räätälöidyn mainonnan ehdottaminen, saavuttamisen. TCF:n tarkoituksena on muun muassa taata henkilötietojen välittäjille ja mainosalustoille TC-merkkijonon avulla, että yleistä tietosuoja-asetusta noudatetaan.
27 Tietosuojaviranomainen on saanut vuodesta 2019 alkaen useita IAB Europea koskevia kanteluita sekä Belgiasta että kolmansista maista; kyseiset kantelut koskevat sitä, onko TCF yleisen tietosuoja-asetuksen mukainen. Tutkittuaan kyseiset kantelut tietosuojaviranomainen käynnisti yleisen tietosuoja-asetuksen 56 artiklan 1 kohdassa tarkoitetun johtavan valvontaviranomaisen ominaisuudessa kyseisen asetuksen 60–63 artiklassa tarkoitetun yhteistyö- ja yhdenmukaisuusmekanismin, jotta saataisiin aikaan kaikkien mekanismiin osallistuvien 21 kansallisen valvontaviranomaisen hyväksymä yhteinen päätös. Tietosuojaviranomaisen riidanratkaisuelin katsoi 2.2.2022 tekemässään päätöksessä (jäljempänä 2.2.2022 tehty päätös), että IAB Europe toimi henkilötietojen rekisterinpitäjänä yksittäisten käyttäjien suostumusten, vastustusten ja mieltymysten rekisteröimisen osalta TC-merkkijonon avulla, joka tietosuojaviranomaisen riidanratkaisuelimen mukaan yhdistetään tunnistettavissa olevaan käyttäjään. Tietosuojaviranomaisen riidanratkaisuelin määräsi myös kyseisessä päätöksessä tietosuojaviranomaisen perustamisesta annetun lain 100 §:n 1 momentin 9 kohdan nojalla IAB Europen saattamaan sen TCF:n yhteydessä suorittaman henkilötietojen käsittelyn yleisen tietosuoja-asetuksen säännösten mukaiseksi ja määräsi sen osalta korjaavia toimenpiteitä sekä hallinnollisen seuraamusmaksun.
28 IAB Europe riitautti kyseisen päätöksen hof van beroep te Brusselissa (Brysselin ylioikeus, Belgia), joka on ennakkoratkaisua pyytänyt tuomioistuin. IAB Europe vaatii kyseistä tuomioistuinta kumoamaan 2.2.2022 tehdyn päätöksen. Se riitauttaa muun muassa sen, että sen katsottiin toimineen rekisterinpitäjänä. Se vetoaa myös siihen, että päätös on liian yleisluonteinen, sitä ei ole perusteltu riittävästi ja että se on joka tapauksessa virheellinen siltä osin kuin siinä todetaan, että TC-merkkijono on yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettu henkilötieto. IAB Europe korostaa erityisesti, että ainoastaan muut TCF:n osallistujat pystyivät yhdistämään TC-merkkijonon IP-osoitteeseen muuttaakseen sen henkilötiedoksi, että TC-merkkijono ei ole käyttäjäkohtainen ja että sillä itsellään ei ole mahdollisuutta päästä jäsentensä tässä yhteydessä käsittelemiin tietoihin.
29 Tietosuojaviranomainen, jota kansallisessa menettelyssä tukevat Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom ja Ligue des Droits Humains VZW, vetoaa muun muassa siihen, että TC-merkkijonot todellakin ovat henkilötietoja siltä osin kuin CMP:t voivat yhdistää TC-merkkijonot IP-osoitteisiin, että TCF:n osallistujat voivat lisäksi tunnistaa käyttäjät muiden tietojen perusteella, että IAB Europella on pääsy tietoihin tätä varten ja että käyttäjän tunnistaminen on nimenomaisesti TC-merkkijonon, jolla pyritään kohdennetun mainonnan myynnin helpottamiseen, tarkoitus. Tietosuojaviranomainen väittää lisäksi muun muassa, että se, että IAB Europea on pidettävä yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä, johtuu sen ratkaisevasta roolista TC-merkkijonojen käsittelyssä. Tietosuojaviranomainen lisää, että kyseinen organisaatio määrittää käsittelyn tarkoitukset ja keinot, tavan, jolla TC-merkkijonoja luodaan, muutetaan ja luetaan, miten ja minne tarvittavat evästeet tallennetaan, kuka saa henkilötietoja ja minkä kriteerien nojalla TC-merkkijonoja koskevat säilytysajat voidaan vahvistaa.
30 Ennakkoratkaisua pyytäneellä tuomioistuimella on epäilyjä siitä, muodostaako TC-merkkijono – joko yhdistettynä IP-osoitteeseen tai ei – henkilötiedon, ja jos näin on, onko IAB Europea pidettävä TCF:n yhteydessä henkilötietojen rekisterinpitäjänä erityisesti TC-merkkijonon käsittelyn kannalta. Kyseinen tuomioistuin toteaa tältä osin, että vaikka on niin, että 2.2.2022 tehty päätös heijastaa asiaan osallistuvien eri kansallisten valvontaviranomaisten hyväksymää yhteistä kantaa, unionin tuomioistuimella ei kuitenkaan ole vielä ollut mahdollisuutta lausua TC-merkkijonon kaltaisesta uudesta ja intrusiivisesta teknologiasta.
31 Tässä tilanteessa hof van beroep te Brussel on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) (a) Onko [yleisen tietosuoja-asetuksen] 4 artiklan 1 alakohtaa, luettuna yhdessä [perusoikeuskirjan] 7 ja 8 artiklan kanssa, tulkittava siten, että merkkijono, johon on kirjattu internetin käyttäjän henkilötietojen käsittelyyn liittyen hänen mieltymyksensä jäsennellysti ja koneellisesti luettavassa muodossa, on edellä mainitussa säännöksessä tarkoitettu henkilötieto (1) sellaisen toimialajärjestön kannalta, joka antaa jäsentensä käyttöön standardin ohjeistaen näitä samalla siitä, miten kyseisen merkkijonon luominen, tallentaminen ja/tai jakelu on käytännössä ja teknisesti tehtävä, sekä (2) sellaisten osapuolten kannalta, jotka ovat soveltaneet kyseistä standardia verkkosivustoillaan tai sovelluksissaan ja joilla siten on pääsy kyseiseen merkkijonoon?
b) Onko tässä yhteydessä merkitystä sillä, että standardin soveltaminen merkitsee sitä, että kyseinen merkkijono on saatavissa IP-osoitteen kanssa?
c) Onko [ensimmäisen kysymyksen a) ja b) kohtaan] vastattava toisin, jos kyseisellä standardisoivalla toimialajärjestöllä itsellään ei ole laillista pääsyä henkilötietoihin, joita sen jäsenet käsittelevät tämän standardin puitteissa?
2) a) Onko [yleisen tietosuoja-asetuksen] 4 artiklan 7 alakohtaa ja 24 artiklan 1 kohtaa, luettuina yhdessä [perusoikeuskirjan] 7 ja 8 artiklan kanssa, tulkittava siten, että standardisoivaa toimialajärjestöä on pidettävä rekisterinpitäjänä, kun se tarjoaa jäsenilleen suostumusten hallintaa varten standardin, joka sitovan teknisen puitteen lisäksi sisältää sääntöjä, joissa määritellään yksityiskohtaisesti näiden henkilötietoina pidettävien suostumustietojen tallennusta ja jakelua koskevat menettelytavat?
b) Onko [toisen kysymyksen b) kohtaan] vastattava toisin, jos kyseisellä toimialajärjestöllä itsellään ei ole laillista pääsyä henkilötietoihin, joita sen jäsenet käsittelevät tämän standardin puitteissa?
c) Jos standardisoivaa toimialajärjestöä on pidettävä internetin käyttäjien mieltymysten käsittelyn yhteydessä rekisterinpitäjänä tai yhteisrekisterinpitäjänä, ulottuuko tämä standardisoivan toimialajärjestön (yhteis)vastuu automaattisesti myös kolmansien osapuolten suorittamiin myöhempiin käsittelyihin, joita varten internetin käyttäjien mieltymykset oli saatu, kuten kustantajien ja myyjien suorittamaan kohdennettuun verkkomainontaan?”
Ensimmäinen kysymys
32 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään pääasiallisesti, onko yleisen tietosuoja-asetuksen 4 artiklan 1 alakohtaa tulkittava siten, että TC-merkkijonon kaltainen kirjaimista ja merkeistä koostuva jono, johon sisältyy internetin tai sovelluksen käyttäjän mieltymykset, jotka koskevat kyseisen käyttäjän suostumusta siihen, että verkkosivustojen tai sovellusten tarjoajat sekä häntä koskevien henkilötietojen tietojen välittäjät ja mainosalustat käsittelevät tällaisia tietoja, on kyseisessä säännöksessä tarkoitettu henkilötieto, kun toimialajärjestö on laatinut sääntökokonaisuuden, jonka mukaisesti mainittu jono on luotava, tallennettava tai jaettava, ja tällaisen järjestön jäsenet ovat soveltaneet näitä sääntöjä ja niillä on siten pääsy mainittuun jonoon. Kyseinen tuomioistuin haluaa tietää myös, onko tähän kysymykseen vastaamiseksi merkitystä ensinnäkin sillä, että mainittu jono yhdistetään tunnistetietoon, kuten kyseisen käyttäjän laitteen IP-osoitteeseen, jotta rekisteröity voidaan tunnistaa, ja toiseksi sillä, että tällaisella toimialajärjestöllä on suora pääsy henkilötietoihin, joita sen jäsenet käsittelevät mainitun järjestön laatiman sääntökokonaisuuden puitteissa.
33 Aluksi on muistutettava, että koska yleisellä tietosuoja-asetuksella on kumottu ja korvattu yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (EYVL 1995, L 281, s. 31) ja koska kyseisen asetuksen merkityksellisillä säännöksillä on pääosin sama ulottuvuus kuin kyseisen direktiivin merkityksellisillä säännöksillä, mainittua direktiiviä koskeva unionin tuomioistuimen oikeuskäytäntö on sovellettavissa lähtökohtaisesti myös mainittuun asetukseen (tuomio 17.6.2021, M.I.C.M., C‑597/19, EU:C:2021:492, 107 kohta).
34 On myös muistutettava, että vakiintuneen oikeuskäytännön mukaan unionin oikeussäännön tulkinta edellyttää, että huomioon otetaan paitsi sen sanamuoto myös asiayhteys, johon se kuuluu, sekä sen toimen tavoitteet ja tarkoitus, jonka osa se on (tuomio 22.6.2023, Pankki S, C‑579/21, EU:C:2023:501, 38 kohta oikeuskäytäntöviittauksineen).
35 Tältä osin on todettava, että yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa todetaan, että henkilötiedoilla tarkoitetaan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja” ja täsmennetään, että ”tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.
36 Ilmaisun ”kaikki tiedot” käyttäminen kyseiseen säännökseen sisältyvän henkilötietojen määritelmässä heijastaa unionin lainsäätäjän pyrkimystä antaa laaja merkitys tälle käsitteelle, joka voi kattaa kaikenlaiset tiedot, sekä objektiiviset tiedot että subjektiiviset tiedot, jotka ilmaistaan mielipiteen tai arvion muodossa, edellyttäen, että ne ”koskevat” kyseessä olevaa henkilöä (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 23 kohta oikeuskäytäntöviittauksineen).
37 Unionin tuomioistuin on tältä osin todennut, että tieto koskee tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, kun tieto liittyy tunnistettavissa olevaan henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi (tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF, C‑487/21, EU:C:2023:369, 24 kohta oikeuskäytäntöviittauksineen).
38 Henkilön tunnistettavuuden osalta yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdan sanamuodosta ilmenee, että tunnistettavissa olevana pidetään henkilöä, joka voidaan tunnistaa paitsi suoraan myös epäsuorasti.
39 Kuten unionin tuomioistuin on jo katsonut, se, että unionin lainsäätäjä käyttää sanaa ”epäsuorasti”, kertoo, että tiedon luokitteleminen henkilötiedoksi ei edellytä, että tämä tieto yksin mahdollistaa rekisteröidyn tunnistamisen (ks. analogisesti tuomio C‑582/14, EU:C:2016:779, 41 kohta). Yleisen tietosuoja-asetuksen 4 artiklan 5 alakohdasta, luettuna yhdessä sen johdanto-osan 26 perustelukappaleen kanssa, ilmenee päinvastoin, että henkilötiedot, jotka voitaisiin yhdistää tiettyyn luonnolliseen henkilöön lisätietoja käyttämällä, on katsottava tunnistettavissa olevaa luonnollista henkilöä koskeviksi tiedoiksi (tuomio 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 58 kohta).
40 Kyseisessä 26 perustelukappaleessa todetaan lisäksi, että jotta voidaan määrittää, onko henkilö tunnistettavissa, olisi otettava huomioon ”kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista”. Tämä sanamuoto viittaa siihen, että jotta tietoa voitaisiin pitää yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuna henkilötietona, ei edellytetä, että kaikki tiedot, joiden perusteella rekisteröity voidaan tunnistaa, ovat yhden ainoan henkilön hallussa (ks. analogisesti tuomio 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, 43 kohta).
41 Tästä seuraa, että henkilötietojen käsite kattaa paitsi rekisterinpitäjän keräämät ja säilyttämät tiedot, myös kaikki henkilötietojen käsittelystä saadut tiedot, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä (tuomio 22.6.2023, Pankki S, C‑579/21, EU:C:2023:501, 45 kohta).
42 Nyt käsiteltävässä asiassa on todettava, että TC-merkkijonon kaltainen kirjaimista ja merkeistä koostuva jono sisältää internetin tai sovelluksen käyttäjän mieltymykset, jotka koskevat kyseisen käyttäjän suostumusta siihen, että kolmannet osapuolet käsittelevät häntä koskevia henkilötietoja, tai sitä, että hän mahdollisesti vastustaa tällaisten tietojen yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitetun väitetyn oikeutetun edun perusteella tapahtuvaa käsittelyä.
43 Vaikka TC-merkkijono ei itsessään sisältäisi tietoja, joiden perusteella rekisteröity voidaan tunnistaa suoraan, on kuitenkin niin, että se sisältää ensinnäkin tietyn käyttäjän häntä koskevien henkilötietojen käsittelyä koskevaan suostumukseen liittyvät yksilölliset mieltymykset, ja nämä tiedot liittyvät luonnolliseen henkilöön yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitetussa merkityksessä.
44 On toiseksi kiistatonta, että kun TC-merkkijonon sisältämät tiedot yhdistetään tunnistetietoon, kuten muun muassa tällaisen käyttäjän laitteen IP-osoitteeseen, niiden avulla voidaan luoda profiili mainitusta käyttäjästä ja tosiasiallisesti tunnistaa henkilö, jota tällaiset tiedot erityisesti koskevat.
45 Koska TC-merkkijonon kaltaisen kirjaimista ja merkeistä koostuvan jonon yhdistäminen lisätietoihin, kuten muun muassa käyttäjän IP-osoitteeseen tai muihin tunnistetietoihin, mahdollistaa kyseisen käyttäjän tunnistamisen, on katsottava, että TC-merkkijono sisältää tunnistettavissa olevaa käyttäjää koskevia tietoja ja on siten yleisen tietosuoja-asetuksen 4 artiklan 1 kohdassa tarkoitettu henkilötieto, mitä tukee nimenomaisesti tällaista tapausta koskevan yleisen tietosuoja-asetuksen johdanto-osan 30 perustelukappale.
46 Tätä tulkintaa ei voida kyseenalaistaa pelkästään sillä, että IAB Europe ei itse voi yhdistää TC-merkkijonoa käyttäjän laitteen IP-osoitteeseen eikä sillä ole mahdollisuutta päästä suoraan sen jäsenten TCF:n puitteissa käsittelemiin tietoihin.
47 Kuten tämän tuomion 40 kohdassa mainitusta oikeuskäytännöstä ilmenee, tällainen seikka ei näet ole esteenä sille, että TC-merkkijonoa pidettäisiin yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuna henkilötietona.
48 Unionin tuomioistuimen hallussa olevasta asiakirja-aineistosta ja muun muassa 2.2.2022 tehdystä päätöksestä ilmenee lisäksi, että IAB Europen jäsenten on toimitettava sille sen pyynnöstä kaikki tiedot, joiden avulla se voi tunnistaa käyttäjät, joiden tiedot sisältyvät TC-merkkijonoon.
49 Näin ollen vaikuttaa siltä – jollei kansallisen tuomioistuimen tältä osin suorittamista selvityksistä muuta johdu –, että IAB Europella on yleisen tietosuoja-asetuksen johdanto-osan 26 perustelukappaleen mukaisesti käytettävissään kohtuullisia keinoja, joiden avulla se voi tunnistaa tietyn luonnollisen henkilön TC-merkkijonon perusteella niiden tietojen avulla, joita sen jäsenet tai TCF:ään osallistuvat jäsenet ovat sille velvollisia toimittamaan.
50 Edellä esitetystä seuraa, että TC-merkkijono on yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettu henkilötieto. Tältä osin on merkityksetöntä, että tällainen toimialajärjestö ei voi – ilman ulkopuolista apua, jota sillä on oikeus vaatia – päästä tietoihin, joita sen jäsenet käsittelevät sen laatimien sääntöjen puitteissa, eikä yhdistää TC-merkkijonoa muihin tunnistetietoihin, kuten muun muassa käyttäjän laitteen IP-osoitteeseen.
51 Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 4 artiklan 1 alakohtaa on tulkittava siten, että TC-merkkijonon kaltainen kirjaimista ja merkeistä koostuva jono, johon sisältyy internetin tai sovelluksen käyttäjän mieltymykset, jotka koskevat kyseisen käyttäjän suostumusta siihen, että verkkosivustojen tai sovellusten tarjoajat sekä häntä koskevien henkilötietojen välittäjät ja mainosalustat käsittelevät tällaisia tietoja, on tässä säännöksessä tarkoitettu henkilötieto siltä osin kuin silloin, jos jono voidaan kohtuullisin keinoin yhdistää tunnistetietoon, kuten muun muassa käyttäjän laitteen IP-osoitteeseen, rekisteröity voidaan tunnistaa sen avulla. Näissä olosuhteissa se, että toimialajärjestö, jonka hallussa kyseinen merkkijono on, ei voi ilman ulkopuolista apua päästä tietoihin, joita sen jäsenet käsittelevät sen laatimien sääntöjen puitteissa, eikä yhdistää mainittua merkkijonoa muihin tietoihin, ei ole esteenä sille, että tämä merkkijono muodostaa kyseisessä säännöksessä tarkoitetun henkilötiedon.
Toinen kysymys
52 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisella kysymyksellään pääasiallisesti, onko yleisen tietosuoja-asetuksen 4 artiklan 7 alakohtaa tulkittava
– yhtäältä siten, että toimialajärjestöä, siltä osin kuin se tarjoaa jäsenilleen laatimansa sääntökokonaisuuden, joka koskee suostumusta käsitellä henkilötietoja ja johon sisältyy sitovien teknisten sääntöjen lisäksi myös sääntöjä, joissa määritellään yksityiskohtaisesti suostumusta koskevien henkilötietojen tallentamista ja jakelua koskevat menettelytavat, on pidettävä tässä säännöksessä tarkoitettuna rekisterinpitäjänä, ja onko tähän kysymykseen vastaamiseksi merkitystä sillä, että tällaisella toimialajärjestöllä itsellään on suora pääsy henkilötietoihin, joita sen jäsenet käsittelevät kyseisten sääntöjen puitteissa, ja
– toisaalta siten, että kyseisen toimialajärjestön mahdollinen yhteisvastuu ulottuu automaattisesti kolmansien osapuolten, kuten verkkosivustojen tai sovellusten tarjoajien, suorittamiin myöhempiin henkilötietojen käsittelyihin siltä osin kuin on kyse käyttäjien mieltymyksistä kohdennettua verkkomainontaa varten.
53 Aluksi on muistutettava, että yleisen tietosuoja-asetuksen tavoite, sellaisena kuin se ilmenee sen 1 artiklasta ja sen johdanto-osan ensimmäisestä ja kymmenennestä perustelukappaleesta, on erityisesti se, että turvataan luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien ja erityisesti heidän yksityisyyttä koskevan oikeutensa korkeatasoinen suoja henkilötietojen käsittelyssä; tämä oikeus on vahvistettu perusoikeuskirjan 8 artiklan 1 kohdassa ja SEUT 16 artiklan 1 kohdassa (tuomio 4.5.2023, Saksan liittotasavalta (Sähköinen tuomioistuinasioiden postilaatikko), C‑60/22, EU:C:2023:373, 64 kohta).
54 Mainitun tavoitteen mukaisesti kyseisen asetuksen 4 artiklan 7 alakohdassa määritellään rekisterinpitäjän käsite laajasti siten, että sillä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka, yksin tai yhdessä toisten kanssa, määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot.
55 Kuten unionin tuomioistuin on jo todennut, kyseisen säännöksen tavoitteena on näet varmistaa rekisteröityjen tehokas ja kattava suojelu määrittelemällä rekisterinpitäjän käsite laajasti (ks. analogisesti tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 28 kohta).
56 Kuten yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa nimenomaisesti säädetään, rekisterinpitäjän käsite koskee lisäksi elintä, joka ”yksin tai yhdessä toisten kanssa” määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot, joten kyseisellä käsitteellä ei välttämättä viitata yhteen ainoaan elimeen ja se voi koskea useita toimijoita, jotka osallistuvat mainittuun käsittelyyn, jolloin niihin on sovellettava tietosuojan alalla sovellettavia säännöksiä (ks. vastaavasti tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 29 kohta ja tuomio 10.7.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, 65 kohta).
57 Unionin tuomioistuin on myös katsonut, että luonnollista henkilöä tai oikeushenkilöä, joka vaikuttaa omia tarkoituksiaan varten henkilötietojen käsittelyyn ja osallistuu tämän vuoksi kyseisen käsittelyn tarkoituksen ja keinojen määrittämiseen, voidaan pitää yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettuna rekisterinpitäjänä (ks. analogisesti tuomio 10.7.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, 68 kohta). Yleisen tietosuoja-asetuksen 26 artiklan 1 kohdassa säädetään siten, että jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä (tuomio 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 40 kohta).
58 Vaikka kunkin yhteisrekisterinpitäjän on tältä osin täytettävä itsenäisesti yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa oleva rekisterinpitäjän määritelmä, yhteisvastuu ei välttämättä merkitse henkilötietojen käsittelyyn osallistuvien eri toimijoiden samanlaista vastuuta. Kyseiset toimijat voivat päinvastoin osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti, joten kunkin niiden vastuun taso on arvioitava ottaen huomioon kaikki kyseisessä tapauksessa merkitykselliset olosuhteet. Lisäksi se, että useampi toimija on kyseisen säännöksen nojalla yhteisvastuussa samasta käsittelystä, ei myöskään edellytä sitä, että kaikilla niistä on pääsy kyseisiin henkilötietoihin (ks. analogisesti tuomio 10.7.2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, 66 ja 69 kohta oikeuskäytäntöviittauksineen).
59 Osallistuminen käsittelyn tarkoitusten ja keinojen määrittämiseen voi tapahtua eri muodoissa, koska osallistuminen voi olla seurausta sekä kahden tai useamman yhteisön tekemästä yhteisestä päätöksestä että tällaisten yhteisöjen yhdenmukaisista päätöksistä. Jälkimmäisessä tapauksessa mainittujen päätösten on täydennettävä toisiaan siten, että kukin niistä vaikuttaa konkreettisesti käsittelyn tarkoitusten ja keinojen määrittämiseen. Ei sitä vastoin voida edellyttää, että näiden rekisterinpitäjien välillä on muodollinen järjestely, joka liittyy käsittelyn tarkoituksiin ja keinoihin (tuomio 5.12.2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 43 ja 44 kohta).
60 Edellä esitetyn perusteella on todettava, että toisen kysymyksen ensimmäisellä osalla pyritään selvittämään, voidaanko IAB Europen kaltaista toimialajärjestöä pitää yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa ja 26 artiklan 1 kohdassa tarkoitettuna yhteisrekisterinpitäjänä.
61 Tätä varten on siis arvioitava käsiteltävän asian erityisolosuhteet huomioon ottaen, vaikuttaako IAB Europe omia tarkoituksiaan varten henkilötietojen, kuten TC-merkkijonon, käsittelyyn, ja määritteleekö se yhdessä toisten kanssa tällaisen käsittelyn tarkoitukset ja keinot.
62 Tällaisen henkilötietojen käsittelyn tarkoituksista on todettava ensinnäkin, että jollei ennakkoratkaisupyynnön esittäneen tuomioistuimen tehtäviin kuuluvista selvityksistä muuta ilmene, unionin tuomioistuimen käytössä olevasta asiakirja-aineistosta ilmenee – kuten tämän tuomion 21 ja 22 kohdassa on huomautettu –, että TCF on IAB Europen laatima sääntökokonaisuus, jonka tarkoituksena on varmistaa, että mainostilojen verkkohuutokauppaan osallistuvien tiettyjen toimijoiden suorittama internetsivuston tai sovelluksen käyttäjän henkilötietojen käsittely on yleisen tietosuoja-asetuksen mukaista.
63 TCF:n pääasiallisena tarkoituksena on näissä olosuhteissa internetin mainostilojen myymisen ja ostamisen edistäminen ja mahdollistaminen kyseisille toimijoille.
64 Näin ollen voidaan katsoa, jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtäviin kuuluvista selvityksistä muuta ilmene, että IAB Europe vaikuttaa omia tarkoituksiaan varten pääasiassa kyseessä olevien henkilötietojen käsittelytoimiin ja määrittää tästä syystä yhdessä jäsentensä kanssa tällaisten toimien tarkoitukset.
65 Unionin tuomioistuimen käytössä olevasta asiakirja-aineistosta ilmenee toiseksi tällaiseen henkilötietojen käsittelyyn käytettyjen keinojen osalta – jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtäviin kuuluvista selvityksistä muuta ilmene –, että TCF on sääntökokonaisuus, joka IAB Europen jäsenten oletetaan hyväksyvän liittyäkseen kyseiseen järjestöön. Kuten IAB Europe vahvisti unionin tuomioistuimessa järjestetyssä istunnossa, on erityisesti niin, että jos jokin sen jäsenistä ei noudata TCF:n sääntöjä, IAB Europe voi tehdä kyseisen jäsenen osalta sääntöjenvastaisuutta ja jäsenyyden keskeyttämistä koskevan päätöksen, joka saattaa johtaa kyseisen jäsenen sulkemiseen TCF:n ulkopuolelle ja siten estää sitä vetoamasta yleisen tietosuoja-asetuksen noudattamista koskevaan takuuseen, joka tällä järjestelyllä oletetaan tarjottavan sellaisten henkilötietojen käsittelyn osalta, jotka mainittu jäsen suorittaa TC-merkkijonoja hyödyntämällä.
66 Lisäksi ja käytännön näkökulmasta, kuten tämän tuomion 21 kohdassa on mainittu, IAB Europen laatimaan TCF:ään sisältyy TC-merkkijonon käsittelyyn liittyviä teknisiä eritelmiä. Vaikuttaa erityisesti siltä, että kyseisissä eritelmissä kuvataan täsmällisesti tapa, jolla CMP:iden on kerättävä käyttäjien henkilötietojen käsittelyyn liittyviä mieltymyksiä, sekä tapa, jolla tällaisia mieltymyksiä on käsiteltävä TC-merkkijonon luomiseksi. Lisäksi TC-merkkijonon sisällöstä, tallentamisesta ja jakamisesta on myös vahvistettu täsmälliset säännöt.
67 Edellä mainitusta 2.2.2022 tehdystä päätöksestä ilmenee muun muassa, että IAB Europe määrää näiden sääntöjen yhteydessä muun muassa standardisoidusta tavasta, jolla TCF:n osapuolet voivat tutustua TC-merkkijonoon sisältyviin käyttäjien mieltymyksiin, vastustuksiin ja suostumuksiin.
68 Näissä olosuhteissa on katsottava – jollei ennakkoratkaisua pyytäneen tuomioistuimen tehtäviin kuuluvista selvityksistä muuta johdu –, että IAB Europen kaltainen toimialajärjestö vaikuttaa omia tarkoituksiaan varten pääasiassa kyseessä olevien henkilötietojen käsittelytoimiin ja määrittää tästä syystä yhdessä sen jäsenten kanssa tällaisten toimien taustalla olevat keinot. Tästä seuraa, että sitä on pidettävä yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa ja 26 artiklan 1 kohdassa tarkoitettuna yhteisrekisterinpitäjänä tämän tuomion 57 kohdassa mainitun oikeuskäytännön mukaisesti.
69 Ennakkoratkaisua pyytäneen tuomioistuimen esiin tuoma seikka, jonka mukaan tällaisella toimialajärjestöllä ei itsellään ole suoraa pääsyä TC-merkkijonoihin eikä siis henkilötietoihin, joita sen jäsenet, joiden kanssa se määrittelee yhdessä näiden henkilötietojen käsittelyn tarkoitukset ja keinot, käsittelevät mainittujen sääntöjen puitteissa, ei ole tämän tuomion 58 kohdassa mainitun oikeuskäytännön mukaisesti esteenä sille, että kyseinen järjestö voidaan luonnehtia näissä säännöksissä tarkoitetuksi rekisterinpitäjäksi.
70 Vastauksena kyseisen tuomioistuimen esittämiin epäilyihin on lisäksi suljettava pois se, että kyseisen toimialajärjestön mahdollinen yhteisvastuu ulottuu automaattisesti myös kolmansien osapuolten, kuten verkkosivustojen tai sovellusten tarjoajien, suorittamiin myöhempiin henkilötietojen käsittelyihin siltä osin kuin on kyse käyttäjien mieltymyksistä kohdennettua verkkomainontaa varten.
71 Tältä osin on todettava yhtäältä, että yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa määritellään henkilötietojen ”käsittely” siten, että sillä tarkoitetaan ”toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista”.
72 Tämän määritelmän mukaan henkilötietojen käsittely voi koostua yhdestä tai useammasta toiminnosta, joista kukin liittyy kyseisen käsittelyn eri vaiheeseen.
73 Yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdasta ja 26 artiklan 1 kohdasta seuraa toisaalta, kuten unionin tuomioistuin on jo todennut, että luonnollista henkilöä tai oikeushenkilöä voidaan pitää henkilötietojen käsittelytoimien osalta yhteisrekisterinpitäjänä ainoastaan, jos kyseinen henkilö määrittelee yhdessä toisen kanssa tällaisen käsittelyn tarkoitukset ja keinot. Tällaista luonnollista henkilöä tai oikeushenkilöä ei siten voida pitää vastuussa mainituissa säännöksissä tarkoitetulla tavalla käsittelyketjun edeltävistä vaiheista tai sen myöhemmistä vaiheista, joiden osalta se ei määrittele tarkoitusta eikä keinoja, sanotun kuitenkaan rajoittamatta kansallisessa oikeudessa säädettyä mahdollista siviilioikeudellista vastuuta tältä osin (ks. analogisesti tuomio 29.7.2019, Fashion ID, C‑40/17, EU:C:2019:629, 74 kohta).
74 Käsiteltävässä asiassa on erotettava toisistaan yhtäältä IAB Europen jäsenten eli verkkosivustojen tai sovellusten tarjoajien, datan välittäjien ja mainosalustojen suorittama henkilötietojen käsittely kyseisten käyttäjien suostumusta koskevien mieltymysten TC-merkkijonoon tallentamisen yhteydessä TCF:ssä olevan sääntökokonaisuuden mukaisesti ja toisaalta näiden toimijoiden ja kolmansien osapuolten kyseisten mieltymysten perusteella suorittama henkilötietojen myöhempi käsittely, kuten näiden tietojen siirtäminen kolmansille osapuolille tai yksilöityjen mainosten esittäminen kyseisille käyttäjille.
75 Ei nimittäin vaikuta siltä, jollei ennakkoratkaisua pyytäneen tuomioistuimentehtäviin kuuluvista selvityksistä muuta ilmene, että IAB Europe osallistuisi tähän myöhempään käsittelyyn, joten tällaisen järjestön automaattinen vastuu yhdessä mainittujen toimijoiden sekä kolmansien osapuolten kanssa on suljettava pois sellaisen henkilötietojen käsittelyn osalta, joka on suoritettu TC-merkkijonoon sisältyvien kyseisten käyttäjien mieltymyksiä koskevien tietojen perusteella.
76 Tästä seuraa, että IAB Europen kaltaista toimialajärjestöä voidaan pitää tällaisten myöhempien käsittelyjen osalta rekisterinpitäjänä ainoastaan, jos todetaan, että se on vaikuttanut näiden käsittelyjen tarkoitusten ja menettelytapojen määrittelemiseen, minkä selvittäminen kaikkien pääasian kannalta merkityksellisten seikkojen perusteella kuuluu ennakkoratkaisua pyytäneelle tuomioistuimelle.
77 Edellä esitetyn perusteella toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 4 artiklan 7 alakohtaa ja 26 artiklan 1 kohtaa on tulkittava siten, että
– yhtäältä toimialajärjestöä, siltä osin kuin se tarjoaa jäsenilleen laatimansa sääntökokonaisuuden, joka koskee suostumusta käsitellä henkilötietoja ja johon sisältyy sitovien teknisten sääntöjen lisäksi myös sääntöjä, joissa määritellään yksityiskohtaisesti suostumusta koskevien henkilötietojen tallentamista ja jakelua koskevat menettelytavat, on pidettävä näissä säännöksissä tarkoitettuna yhteisrekisterinpitäjänä, jos – tapauksen erityisolosuhteet huomioon ottaen – kyseinen järjestö vaikuttaa omia tarkoituksiaan varten kyseisten henkilötietojen käsittelyyn ja määrittää tästä syystä yhdessä jäsentensä kanssa tällaisen käsittelyn tarkoitukset ja keinot. Se seikka, että tällaisella toimialajärjestöllä ei itsellään ole suoraa pääsyä henkilötietoihin, joita sen jäsenet käsittelevät mainittujen sääntöjen puitteissa, ei ole esteenä sille, että kyseinen järjestö voi olla mainituissa säännöksissä tarkoitettu yhteisrekisterinpitäjä, ja
– toisaalta kyseisen toimialajärjestön mahdollinen yhteisvastuu ei automaattisesti ulotu kolmansien osapuolten, kuten verkkosivustojen tai sovellusten tarjoajien, suorittamiin myöhempiin henkilötietojen käsittelyihin siltä osin kuin on kyse käyttäjien mieltymyksistä kohdennettua verkkomainontaa varten.
Oikeudenkäyntikulut
78 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (neljäs jaosto) on ratkaissut asian seuraavasti:
1) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 4 artiklan 1 alakohtaa
on tulkittava siten, että
TC-merkkijonon (Transparency and Consent String) kaltainen kirjaimista ja merkeistä koostuva jono, johon sisältyy internetin tai sovelluksen käyttäjän mieltymykset, jotka koskevat kyseisen käyttäjän suostumusta siihen, että verkkosivustojen tai sovellusten tarjoajat sekä häntä koskevien henkilötietojen tietojen välittäjät ja mainosalustat käsittelevät tällaisia tietoja, on tässä säännöksessä tarkoitettu henkilötietosiltä osin kuin silloin, jos jono voidaan kohtuullisin keinoin yhdistää tunnistetietoon, kuten muun muassa käyttäjän laitteen IP-osoitteeseen, rekisteröity voidaan tunnistaa sen avulla. Näissä olosuhteissa se, että toimialajärjestö, jonka hallussa kyseinen merkkijono on, ei voi ilman ulkopuolista apua päästä tietoihin, joita sen jäsenet käsittelevät sen laatimien sääntöjen puitteissa, eikä yhdistää mainittua merkkijonoa muihin tietoihin, ei ole esteenä sille, että tämä merkkijono muodostaa kyseisessä säännöksessä tarkoitetun henkilötiedon.
2) Asetuksen 2016/679 4 artiklan 7 alakohtaa ja 26 artiklan 1 kohtaa
on tulkittava siten, että
– yhtäältä toimialajärjestöä, siltä osin kuin se tarjoaa jäsenilleen laatimansa sääntökokonaisuuden, joka koskee suostumusta käsitellä henkilötietoja ja johon sisältyy sitovien teknisten sääntöjen lisäksi myös sääntöjä, joissa määritellään yksityiskohtaisesti suostumusta koskevien henkilötietojen tallentamista ja jakelua koskevat menettelytavat, on pidettävä näissä säännöksissä tarkoitettuna yhteisrekisterinpitäjänä, jos – tapauksen erityisolosuhteet huomioon ottaen – kyseinen järjestö vaikuttaa omia tarkoituksiaan varten kyseisten henkilötietojen käsittelyyn ja määrittää tästä syystä yhdessä jäsentensä kanssa tällaisen käsittelyn tarkoitukset ja keinot. Se seikka, että tällaisella toimialajärjestöllä ei itsellään ole suoraa pääsyä henkilötietoihin, joita sen jäsenet käsittelevät mainittujen sääntöjen puitteissa, ei ole esteenä sille, että kyseinen järjestö voi olla mainituissa säännöksissä tarkoitettu yhteisrekisterinpitäjä, ja
– toisaalta kyseisen toimialajärjestön yhteisvastuu ei automaattisesti ulotu kolmansien osapuolten, kuten verkkosivustojen tai sovellusten tarjoajien, suorittamaan henkilötietojen käsittelyyn siltä osin kuin on kyse käyttäjien mieltymyksistä kohdennettua verkkomainontaa varten.
Allekirjoitukset