CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

TEISINGUMO TEISMO (ketvirtoji kolegija) SPRENDIMAS

2024 m. kovo 7 d.(*)

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – Standartus rengianti sektoriaus organizacija, siūlanti savo nariams nuostatas dėl naudotojų sutikimo tvarkymo – 4 straipsnio 1 punktas – Sąvoka „asmens duomenys“– Raidžių ir ženklų seka, kuria struktūrizuotu ir kompiuterio skaitomu būdu užfiksuojamos interneto naudotojo preferencijos, susijusios su šio naudotojo sutikimu dėl jo asmens duomenų tvarkymo – 4 straipsnio 7 punktas – Sąvoka „duomenų valdytojas“ – 26 straipsnio 1 dalis – Sąvoka „bendri duomenų valdytojai“ – Organizacija, pati neturinti prieigos prie jos narių tvarkomų asmens duomenų – Organizacijos atsakomybė, apimanti tolesnį trečiųjų šalių vykdomą duomenų tvarkymą“

Byloje C‑604/22

dėl hof van beroep te Brussel (Briuselio apeliacinis teismas, Belgija) 2022 m. rugsėjo 7 d. nutartimi, kurią Teisingumo Teismas gavo 2022 m. rugsėjo 19 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje

IAB Europe

prieš

Gegevensbeschermingsautoriteit,

dalyvaujant:

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits Humains VZW,

TEISINGUMO TEISMAS (ketvirtoji kolegija),

kurį sudaro kolegijos pirmininkas C. Lycourgos, teisėjai O. Spineanu-Matei, J.‑C. Bonichot, S. Rodin ir L. S. Rossi (pranešėja),

generalinė advokatė T. Ćapeta,

posėdžio sekretorė A. Lamote, administratorė,

atsižvelgęs į rašytinę proceso dalį ir įvykus 2023 m. rugsėjo 21 d. posėdžiui,

išnagrinėjęs pastabas, pateiktas:

– IAB Europe, atstovaujamos advokato P. Craddock ir advocaat K. Van Quathem,

– Gegevensbeschermingsautoriteit, atstovaujamos advocaten E. Cloots, J. Roets ir T. Roes,

– Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom ir Ligue des Droits Humains VZW, atstovaujamų advocaten F. Debusseré ir R. Roex,

– Austrijos vyriausybės, atstovaujamos J. Schmoll ir C. Gabauer,

– Europos Komisijos, atstovaujamos A. Bouchagiar ir H. Kranenborg,

atsižvelgęs į sprendimą, priimtą susipažinus su generalinės advokatės nuomone, nagrinėti bylą be išvados,

priima šį

Sprendimą

1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – BDAR) (OL L 119, 2016, p. 1; klaidų ištaisymai OL L 127, 2018, p. 2 ir OL L 74, 2021, p. 35) 4 straipsnio 1 ir 7 punktų ir 24 straipsnio 1 dalies, siejamų su Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 7 ir 8 straipsniais, išaiškinimo.

2 Šis prašymas pateiktas nagrinėjant IAB Europe ir Gegevensbeschermingsautoriteit (Duomenų apsaugos institucija, Belgija; toliau – DAI) ginčą dėl šios institucijos Ginčų nagrinėjimo kolegijos dėl IAB Europe priimto sprendimo, susijusio su tariamu kai kurių BDAR nuostatų pažeidimu.

Teisinis pagrindas

Sąjungos teisė

3 BDAR 1, 10, 26 ir 30 konstatuojamosiose dalyse teigiama:

„(1) fizinių asmenų apsauga tvarkant asmens duomenis yra pagrindinė teisė. [Chartijos] 8 straipsnio 1 dalyje ir [SESV] 16 straipsnio 1 dalyje numatyta, kad kiekvienas asmuo turi teisę į savo asmens duomenų apsaugą.

<…>

„(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo [Europos] Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. Visoje Sąjungoje turėtų būti užtikrintas nuoseklus ir vienodas taisyklių, kuriomis reglamentuojama fizinių asmenų pagrindinių teisių ir laisvių apsauga tvarkant asmens duomenis, taikymas. <…>

<…>

„(26) duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. <…> Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant statistiniais ar tyrimų tikslais;

<…>

„(30) fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, IP adresais, slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis. Taip gali likti pėdsakų, kurie visų pirma kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti“.

4 BDAR 1 straipsnio „Dalykas ir tikslai“ 2 dalyje nustatyta:

„Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.“

5 Šio reglamento 4 straipsnyje numatyta:

„Šiame reglamente:

1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

<…>

7) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

<…>

11) duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais[,] kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

<…>“

6 BDAR 6 straipsnyje „Tvarkymo teisėtumas“ numatyta:

„1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

<…>

f) tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

<…>“

7 Šio reglamento 24 straipsnio „Duomenų valdytojo atsakomybė“ 1 dalyje nustatyta:

„Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.“

8 Minėto reglamento 26 straipsnio „Bendri duomenų valdytojai“ 1 dalyje nustatyta:

„Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. <…>“

9 BDAR VI skyrių „Nepriklausomos priežiūros institucijos“ sudaro 51–59 straipsniai.

10 Šio reglamento 51 straipsnio „Priežiūros institucija“ 1 ir 2 dalyse nustatyta:

„1. Kiekviena valstybė narė užtikrina, kad viena arba kelios nepriklausomos valdžios institucijos yra atsakingos už šio reglamento taikymo stebėseną, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės tvarkant duomenis ir sudarytos palankesnės sąlygos laisvam asmens duomenų judėjimui Sąjungoje <…>

2. Kiekviena priežiūros institucija prisideda prie nuoseklaus šio reglamento taikymo visoje Sąjungoje. Tuo tikslu priežiūros institucijos bendradarbiauja tarpusavyje ir su Komisija vadovaudamosi VII skyriumi.“

11 BDAR 55 straipsnio „Kompetencija“ 1 ir 2 dalyse numatyta:

„1. Kiekviena priežiūros institucija turi kompetenciją savo valstybės narės teritorijoje vykdyti pagal šį reglamentą jai pavestas užduotis ir naudotis pagal šį reglamentą jai suteiktais įgaliojimais.

2. Jeigu duomenis tvarko valdžios institucijos arba privačios įstaigos, veikiančios pagal 6 straipsnio 1 dalies c arba e punktą, kompetenciją turi atitinkamos valstybės narės priežiūros institucija. Tokiais atvejais 56 straipsnis netaikomas.“

12 BDAR 56 straipsnio „Vadovaujančios priežiūros institucijos kompetencija“ 1 dalyje nustatyta:

„Nedarant poveikio 55 straipsniui, duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą, vadovaujantis 60 straipsnyje nustatyta procedūra.“

13 To paties reglamento 57 straipsnio „Užduotys“ 1 dalyje nustatyta:

„Nedarant poveikio kitoms pagal šį reglamentą nustatytoms užduotims, kiekviena priežiūros institucija savo teritorijoje:

a) stebi, kaip taikomas šis reglamentas, ir užtikrina, kad jis būtų taikomas;

<…>

g) bendradarbiauja su kitomis priežiūros institucijomis, be kita ko, dalijasi informacija ir teikia joms savitarpio pagalbą siekiant užtikrinti, kad šis reglamentas būtų taikomas ir vykdomas nuosekliai;

<…>“

14 BDAR VII skyriaus „Bendradarbiavimas ir nuoseklumas“ 1 skirsnį „Bendradarbiavimas“ sudaro šio reglamento 60–62 straipsniai. 60 straipsnio „Vadovaujančios priežiūros institucijos ir kitų susijusių priežiūros institucijų bendradarbiavimas“ 1 dalyje numatyta:

„Vadovaujanti priežiūros institucija pagal šį straipsnį bendradarbiauja su kitomis susijusiomis priežiūros institucijomis stengdamasi rasti konsensusą. Vadovaujanti priežiūros institucija ir susijusios priežiūros institucijos tarpusavyje keičiasi visa atitinkama informacija.“

15 BDAR 61 straipsnio „Savitarpio pagalba“ 1 dalyje nurodyta:

„Priežiūros institucijos teikia viena kitai reikšmingą informaciją ir savitarpio pagalbą, kad šis reglamentas būtų įgyvendintas ir taikomas nuosekliai, ir diegia veiksmingo tarpusavio bendradarbiavimo priemones. Savitarpio pagalba visų pirma yra susijusi su informacijos prašymais ir priežiūros priemonėmis, kaip antai prašymais suteikti išankstinius leidimus ir vykdyti konsultacijas, patikrinimus ir tyrimus.“

16 Šio reglamento 62 straipsnio „Priežiūros institucijų bendros operacijos“ 1 ir 2 dalyse nustatyta:

„1. Priežiūros institucijos tam tikrais atvejais vykdo bendras operacijas, įskaitant bendrus tyrimus ir bendras vykdymo užtikrinimo priemones, kuriose dalyvauja kitų valstybių narių priežiūros institucijų nariai arba darbuotojai.

2. Kai duomenų valdytojas arba duomenų tvarkytojas turi buveinių keliose valstybėse narėse arba kai duomenų tvarkymo operacijomis gali būti daromas didelis poveikis daugeliui duomenų subjektų daugiau nei vienoje valstybėje narėje, kiekvienos iš tų valstybių narių priežiūros institucija turi teisę dalyvauti vykdant bendras operacijas. <…>“

17 Šio reglamento VII skyriaus 2 skirsnį „Nuoseklumas“ sudaro 63–67 straipsniai. 63 straipsnyje „Nuoseklumo užtikrinimo mechanizmas“ numatyta:

„Siekdamos padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, priežiūros institucijos bendradarbiauja tarpusavyje ir tam tikrais atvejais su Komisija pagal šiame skirsnyje nustatytą nuoseklumo užtikrinimo mechanizmą.“

Belgijos teisė

18 2017 m. gruodžio 3 d. wet tot oprichting van de Gegevensbeschermingsautoriteit (Įstatymas dėl duomenų apsaugos institucijos įsteigimo; Belgisch Staatsblad, 2018 m. sausio 10 d., p. 989, toliau – LCA) 100 straipsnio 1 dalies 9 punkte nustatyta:

„Ginčų nagrinėjimo kolegija turi įgaliojimus:

<…>

9° Nurodyti imtis veiksmų, kad tvarkymas atitiktų nustatytus reikalavimus.“

19 LCA 101 straipsnyje numatyta:

„Ginčų nagrinėjimo kolegija gali nuspręsti šalims, dėl kurių pradėta procedūra, skirti administracinę baudą pagal bendruosius principus, nurodytus [BDAR] 83 straipsnyje.“

Pagrindinė byla ir prejudiciniai klausimai

20 IAB Europe yra Belgijoje įsteigta ne pelno asociacija, kuri Europos lygmeniu atstovauja skaitmeninės reklamos ir rinkodaros pramonės įmonėms. IAB Europe narės yra tiek šio sektoriaus įmonės, kaip antai leidėjai, elektroninės prekybos ir rinkodaros įmonės, tarpininkai, tiek nacionalinės asociacijos, tarp jų IAB (Interactive Advertising Bureau), kurių narės taip pat yra šio sektoriaus įmonės. IAB Europe narės, be kita ko, yra įmonės, gaunančios daug pajamų iš parduodamų reklamos vietų interneto svetainėse ar taikomosiose programose.

21 IAB Europe sukūrė „Transparency & Consent Framework“ (Skaidrumo ir sutikimų tvarkymo sistema; toliau – TCF); tai yra standartas, kurį sudaro nurodymai, instrukcijos, techninės specifikacijos, protokolai ir sutartiniai įsipareigojimai, padedantys tiek interneto svetainės ar taikomosios programos teikėjui, tiek duomenų brokeriams ar reklamos platformoms teisėtai tvarkyti interneto svetainės ar taikomosios programos naudotojo asmens duomenis.

22 TCF, be kita ko, siekiama skatinti laikytis BDAR, kai šie operatoriai naudoja protokolą „OpenRTB“, t. y. vieną iš labiausiai naudojamų protokolų, skirtų „Real Time bidding“ (tikruoju laiku vykstančių ir automatizuotų internetinių naudotojų profilių aukcionų sistema, skirta reklamos internetu vietoms parduoti ir pirkti; toliau – RTB). Dėl tam tikros IAB Europe narių praktikos naudojantis šia sistema, pagal kurią masiškai keičiamasi profilių naudotojų asmens duomenimis, IAB Europe pristatė TCF kaip išeitį siekiant, kad ši aukcionų sistema galėtų atitikti BDAR.

23 Konkrečiai kalbant, kaip matyti iš Teisingumo Teismui pateiktos bylos medžiagos, vertinant techniškai, kai naudotojas prisijungia prie interneto svetainės ar taikomosios programos, kurioje yra reklamos vieta, reklamos technologijų įmonės, visų pirma duomenų brokeriai ir reklamos platformos, kurios atstovauja tūkstančiams reklamos užsakovų, gali tikruoju laiku teikti pasiūlymus, kad gautų šią reklamos vietą per automatizuotą algoritmus naudojančią aukcionų sistemą tam, kad minėtoje reklamos vietoje būtų rodoma tikslinė reklama, specialiai pritaikyta prie tokio naudotojo profilio.

24 Vis dėlto, prieš pateikiant tokią tikslinę reklamą, turi būti gautas išankstinis šio naudotojo sutikimas. Taigi, kai jis pirmą kartą prisijungia prie interneto svetainės ar taikomosios programos, vadinamoji „Consent Management Platform“ (toliau – CMP) sutikimo valdymo platforma atsiranda grafinės sąsajos lange, leidžiančiame šiam naudotojui, viena vertus, duoti sutikimą interneto svetainės ar taikomosios programos teikėjui, kad jo asmens duomenys būtų renkami ir tvarkomi iš anksto nustatytais tikslais, pavyzdžiui, rinkodaros ar reklamos, arba siekiant dalytis šiais duomenimis su tam tikrais paslaugų teikėjais, ir, kita vertus, prieštarauti įvairių rūšių duomenų tvarkymui ar dalijimuisi jais, kas, anot tiekėjų, grindžiama teisėtais interesais, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies f punktą. Šie asmens duomenys, be kita ko, susiję su naudotojo buvimo vieta, amžiumi, jo paieškų ir naujausių pirkimų istorija.

25 Šiomis aplinkybėmis TFC siūlo didelio masto asmens duomenų tvarkymą reglamentuojančią sistemą ir padeda lengviau fiksuoti naudotojų preferencijas naudojant CMP. Šios preferencijos vėliau koduojamos ir saugomos kaip raidžių ir ženklų seka, kurią IAB Europe įvardijo kaip „Transparency and Consent String“ (toliau – TC String) ir kuria dalijamasi su „OpenRTB“ sistemoje dalyvaujančiais asmens duomenų brokeriais ir reklamos platformomis tam, kad šie žinotų, kam naudotojas pritarė ar prieštaravo. CMP naudotojo įrenginyje taip pat išsaugo slapuką (euconsent-v2). TC String ir slapuką „euconsent-v2“ (suderintus tarpusavyje) galima susieti su to naudotojo IP adresu.

26 Taigi TCF atlieka tam tikrą vaidmenį įgyvendinant „OpenRTB“ sistemą, nes leidžia fiksuoti naudotojo preferencijas, kad apie jas būtų informuojami potencialūs pardavėjai, ir pasiekti įvairius tvarkymo tikslus, pavyzdžiui, siūlyti pritaikytą reklamą. TCF siekiama, be kita ko, asmens duomenų brokeriams ir reklamos platformoms užtikrinti, kad naudojantis TC String bus laikomasi BDAR.

27 Nuo 2019 m. DAI iš Belgijos ir trečiųjų valstybių gavo kelis prieš IAB Europe nukreiptus skundus dėl TCF atitikties BDAR. Išnagrinėjusi šiuos skundus DAI, kaip vadovaujanti priežiūros institucija, kaip tai suprantama pagal BDAR 56 straipsnio 1 dalį, inicijavo bendradarbiavimo ir nuoseklumo mechanizmą pagal šio reglamento 60–63 straipsnius, kad būtų priimtas bendras sprendimas, kurį bendrai turi patvirtinti visos 21 nacionalinės priežiūros institucijos, dalyvaujančios šiame mechanizme. Taigi 2022 m. vasario 2 d. sprendimu (toliau – 2022 m. vasario 2 d. sprendimas) DAI Ginčų nagrinėjimo kolegija nusprendė, kad IAB Europe veikė kaip asmens duomenų valdytoja, kiek tai susiję su sutikimo signalo, atskirų naudotojų prieštaravimų ir atskirų naudotojų preferencijų registravimu naudojant TC String, kuri, kaip teigia DAI Ginčų nagrinėjimo kolegija, siejama su naudotoju, kurį galima nustatyti. Be to, tame sprendime DAI Ginčų nagrinėjimo kolegija, vadovaudamasi LCA 100 straipsnio 1 dalies 9 punktu, nurodė IAB Europe imtis veiksmų, kad asmens duomenų tvarkymas pagal TCF atitiktų BDAR nuostatas, ir skyrė jai kelias taisomąsias priemones bei administracinę baudą.

28 IAB Europe apskundė šį sprendimą prašymą priimti prejudicinį sprendimą pateikusiam teismui hof van beroep te Brussel (Briuselio apeliacinis teismas, Belgija). IAB Europe šio teismo prašo panaikinti 2022 m. vasario 2 d. sprendimą. Ji, be kita ko, ginčija tai, kad ji veikė kaip duomenų valdytoja. Ji taip pat teigia, kad tiek, kiek tame sprendime konstatuota, jog TC String yra asmens duomenys, kaip jie suprantami pagal BDAR 4 straipsnio 1 punktą, jis yra nepakankamai išsamus ir motyvuotas ir bet kuriuo atveju klaidingas. IAB Europe pabrėžia, kad tik kiti TCF dalyviai gali susieti TC String su IP adresu ir paversti jį asmens duomenimis, kad TC String neskirta naudotojui ir kad ji pati neturi galimybės susipažinti su duomenimis, kuriuos tokiomis aplinkybėmis tvarko jos nariai.

29 DAI, kurią nacionaliniame procese palaiko Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom ir Ligue des droits Humains VZW, be kita ko, tvirtina, kad TC Strings yra būtent asmens duomenys, nes CMP gali susieti TC Strings su IP adresais, kad TCF dalyviai taip pat gali nustatyti naudotojų tapatybę, remdamiesi kitais duomenimis, kad IAB Europe turi prieigą prie informacijos, kad tai padarytų, ir kad šis naudotojo nustatymas ir yra TC String tikslas, t. y. palengvinti tikslinės reklamos pardavimą. Be to, DAI, be kita ko, teigia, jog tai, kad IAB Europe turėtų būti laikoma duomenų valdytoja, kaip tai suprantama pagal BDAR, priklauso nuo jos lemiamo vaidmens tvarkant TC Strings. DAI priduria, kad ši organizacija atitinkamai nustato duomenų tvarkymo tikslus ir priemones, kaip TC Strings turi būti generuojamos, modifikuojamos ir skaitomos, tai, kaip ir kur saugomi būtini slapukai, gaunantys asmens duomenis, ir kokiais kriterijais remiantis gali būti nustatyti TC Strings saugojimo terminai.

30 Prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla abejonių dėl to, ar TC String, siejama arba nesiejama su IP adresu, yra asmens duomenys ir, jei taip, ar IAB Europe turi būti laikoma asmens duomenų valdytoja TCF kontekste, atsižvelgiat būtent į TC String tvarkymą. Šiuo klausimu tas teismas nurodo, kad nors 2022 m. vasario 2 d. sprendimas iš tiesų atspindi įvairių šioje byloje dalyvaujančių nacionalinių priežiūros institucijų bendrai priimtą bendrąją poziciją, Teisingumo Teismas dar neturėjo galimybės pareikšti savo pozicijos dėl šios naujos intervencinės technologijos, t. y. TC String.

31 Tokiomis aplinkybėmis hof van beroep te Brussel (Briuselio apeliacinis teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

„1. a) Ar [BDAR] 4 straipsnio 1 punktas, siejamas su [Chartijos] 7 ir 8 straipsniais, turi būti aiškinamas taip, kad ženklų seka, kuria struktūrizuotu ir kompiuterio skaitomu būdu užfiksuotos interneto naudotojo preferencijos, susijusios su jo asmens duomenų tvarkymu, (1) sektoriaus organizacijos, kuri savo nariams parengia standartą, kuriuo ji jiems nurodo, kaip praktiškai ir techniškai ši ženklų seka turi būti generuojama, saugoma ir (arba) platinama, ir (2) šalių, kurios šį standartą įgyvendina savo interneto svetainėse arba taikomosiose programose, todėl turi prieigą prie šios ženklų sekos, požiūriu yra asmens duomenys, kaip jie suprantami pagal šią nuostatą?

b) Ar yra skirtumas, jei įgyvendinant standartą numatoma, kad ši ženklų seka pateikiama kartu su IP adresu?

c) Ar atsakymas į [pirmojo klausimo a ir b punktus] būtų kitoks, jei ši standartus nustatanti sektoriaus organizacija pati neturi teisėtos prieigos prie asmens duomenų, kuriuos pagal šį standartą tvarko jos nariai?

2. a) Ar [BDAR] 4 straipsnio 7 punktas ir 24 straipsnio 1 dalis, siejami su [Chartijos] 7 ir 8 straipsniais, turi būti aiškinami taip, kad standartus nustatanti sektoriaus organizacija turi būti laikoma duomenų valdytoja, kai ji savo nariams siūlo sutikimo valdymo standartą, kuriame ne tik įtvirtintos privalomos techninės normos, bet ir išsamiai nurodyta, kaip turi būti saugomi ir platinami su šiuo sutikimu susiję asmens duomenys?

b) Ar atsakymas į [antrojo klausimo a punktą] būtų kitoks, jei ši sektoriaus organizacija pati neturi teisėtos prieigos prie asmens duomenų, kuriuos pagal šį standartą tvarko jos nariai?

c) Jei standartus nustatanti sektoriaus organizacija turi būti laikoma interneto naudotojų preferencijų tvarkymo duomenų valdytoja arba bendra duomenų valdytoja, ar ši (bendra) standartus nustatančios sektoriaus organizacijos atsakomybė tada automatiškai apima ir tolesnį trečiųjų šalių, kurioms buvo pateiktos interneto naudotojų preferencijos, pavyzdžiui, susijusios su leidėjų ir pardavėjų tiksline reklama internete, vykdomą duomenų tvarkymą?“

Dėl pirmojo klausimo

32 Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 1 punktas turi būti aiškinamas taip, kad raidžių ir ženklų seka, kaip antai TC String, kuria užfiksuotos interneto ar taikomosios programos naudotojo preferencijos, susijusios su šio naudotojo sutikimu, kad interneto svetainių ar taikomųjų programų teikėjai, tokių duomenų brokeriai ir reklamos platformos tvarkytų jo asmens duomenis, yra asmens duomenys, kaip jie suprantami pagal šią nuostatą, kai sektoriaus organizacija yra nustačiusi standartą, pagal kurį ši ženklų seka turi būti generuojama, saugoma ar platinama, ir tokios organizacijos nariai įgyvendino tokį standartą, taigi turi prieigą prie šios ženklų sekos. Šis teismas taip pat siekia išsiaiškinti, ar atsakant į šį klausimą svarbu, pirma, kad minėta ženklų seka būtų siejama su identifikatoriumi, t. y. to naudotojo įrenginio IP adresu, leidžiančiu nustatyti duomenų subjekto tapatybę, ir, antra, kad tokia sektoriaus organizacija turi teisę tiesiogiai susipažinti su asmens duomenimis, kuriuos jos nariai tvarko pagal jos nustatytą standartą.

33 Visų pirma reikia priminti: kadangi Reglamentu BDAR buvo panaikinta ir pakeista 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) ir reikšmingų šio reglamento nuostatų taikymo sritis yra iš esmės tapati reikšmingų šios direktyvos nuostatų taikymo sričiai, Teisingumo Teismo jurisprudencija, susijusi su šia direktyva, iš principo taip pat taikytina minėtam reglamentui (2021 m. birželio 17 d. Sprendimo M.I.C.M., C‑597/19, EU:C:2021:492, 107 punktas).

34 Taip pat svarbu priminti, kad, remiantis suformuota jurisprudencija, aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus bei paskirtį (2023 m. birželio 22 d. Sprendimo Pankki S, C‑579/21,EU:C:2023:501, 38 punktas ir jame nurodyta jurisprudencija).

35 Šiuo aspektu svarbu pažymėti, kad BDAR 4 straipsnio 1 punkte „asmens duomenys“ apibrėžiami kaip „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, taip pat patikslinama, kad „fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.

36 Žodžių „bet kokia informacija“ vartojimas apibrėžiant sąvoką „asmens duomenys“ atspindi Sąjungos teisės aktų leidėjo tikslą šiai sąvokai suteikti plačią reikšmę, kuri potencialiai apima bet kokios rūšies informaciją – tiek objektyvią, tiek subjektyvią, nuomonių ar vertinimų pavidalo, jei tik ji yra „apie“ atitinkamą asmenį (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 23 punktas ir jame nurodyta jurisprudencija).

37 Šiuo klausimu Teisingumo Teismas nusprendė, kad informacija yra apie fizinį asmenį, kurio tapatybė yra arba gali būti nustatyta, jeigu dėl savo turinio, tikslo ar poveikio ji yra susijusi su asmeniu, kurio tapatybė gali būti nustatyta (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 24 punktas ir jame nurodyta jurisprudencija).

38 Kalbant apie asmens „tapatybę, kuri gali būti nustatyta“, reikia pažymėti, kad iš BDAR 4 straipsnio 1 punkto formuluotės matyti, jog asmuo, kurio tapatybė gali būti nustatyta, yra tas, kurio tapatybė gali būti nustatyta ne tik tiesiogiai, bet ir netiesiogiai.

39 Kaip Teisingumo Teismas jau nusprendė, Sąjungos teisės aktų leidėjo vartojamas žodis „netiesiogiai“ rodo, jog tam, kad informacija būtų laikoma asmens duomenimis, nebūtina, kad ji pati savaime leistų nustatyti atitinkamo asmens tapatybę (pagal analogiją žr. 2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 41 punktą). Atvirkščiai, iš BDAR 4 straipsnio 5 punkto, siejamo su šio reglamento 26 konstatuojamąja dalimi, matyti, kad asmens duomenys, kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turi būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta (2023 m. gruodžio 5 d. Sprendimo Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 58 punktas).

40 Be to, šioje 26 konstatuojamojoje dalyje patikslinta, kad sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo pavyzdžiui, išskyrimą. Iš šios formuluotės matyti, jog tam, kad duomenys galėtų būti laikomi „asmens duomenimis“, kaip tai suprantama pagal šio reglamento 4 straipsnio 1 punktą, nereikalaujama, kad visą informaciją, leidžiančią nustatyti atitinkamo asmens tapatybę, turėtų vienas asmuo (pagal analogiją žr. 2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 43 punktą).

41 Tuo remiantis, darytina išvada, kad sąvokos „asmens duomenys“ apibrėžtis apima ne tik duomenų valdytojo surinktus ir saugomus duomenis, bet ir visą tvarkant asmens duomenis gautą informaciją, susijusią su asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta (2023 m. birželio 22 d. Sprendimo Pankki S, C‑579/21, EU:C:2023:501, 45 punktas).

42 Nagrinėjamu atveju svarbu pažymėti, kad iš raidžių ir ženklų sudaryta seka, kaip antai TC String, užfiksuotos interneto ar taikomosios programos naudotojo preferencijos, susijusios su jo sutikimu, kad tretieji asmenys tvarkytų su juo susijusius asmens duomenis, arba susijusios su jo galimu prieštaravimu dėl tokių duomenų tvarkymo, grindžiamo tariamu teisėtu interesu, kaip tai suprantama pagal BDAR 6 straipsnio 1 dalies f punktą.

43 Nors pačioje TC String nėra informacijos, leidžiančios tiesiogiai nustatyti duomenų subjektą, vis dėlto, pirma, joje yra individualių konkretaus naudotojo preferencijų, kiek tai susiję su jo sutikimu tvarkyti jo asmens duomenis, nes ši „informacija [yra] apie fizinį asmenį“, kaip tai suprantama pagal BDAR 4 straipsnio 1 punktą.

44 Antra, taip pat neginčijama, kad kai TC String esanti informacija susiejama su identifikatoriumi, kaip antai, be kita ko, tokio naudotojo įrenginio IP adresu, ji gali leisti sukurti šio naudotojo profilį ir veiksmingai nustatyti asmenį, su kuriuo konkrečiai susijusi tokia informacija.

45 Kadangi iš raidžių ir ženklų sudarytą seką, kaip antai TC String, susiejant su papildomais duomenimis, be kita ko, su naudotojo įrenginio IP adresu ar kitais identifikatoriais, galima nustatyti šio naudotojo tapatybę, reikia konstatuoti, kad TC String užfiksuota informacija apie naudotoją, kurio tapatybė gali būti nustatyta, ir dėl to yra asmens duomenys, kaip jie suprantami pagal BDAR 4 straipsnio 1 dalį, o tai patvirtina BDAR 30 konstatuojamoji dalis, kurioje konkrečiai numatytas toks atvejis.

46 Šio aiškinimo negali paneigti vien tai, kad IAB Europe pati negali TC String susieti su naudotojo įrenginio IP adresu ir neturi galimybės tiesiogiai susipažinti su jos narių pagal TCF tvarkomais duomenimis.

47 Iš tiesų, kaip matyti iš šio sprendimo 40 punkte primintos jurisprudencijos, tokia aplinkybė netrukdo TC String laikyti „asmens duomenimis“, kaip jie suprantami pagal BDAR 4 straipsnio 1 punktą.

48 Be to, iš Teisingumo Teismui pateiktos bylos medžiagos, visų pirma iš 2022 m. vasario 2 d. sprendimo, matyti, kad IAB Europe nariai jos prašymu privalo jai pateikti visą informaciją, leidžiančią identifikuoti naudotojus, kurių duomenys fiksuojami TC String.

49 Taigi atrodo – su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, – kad IAB Europe turi, kaip nurodyta BDAR 26 konstatuojamojoje dalyje, pagrįstų priemonių, kad galėtų nustatyti konkretaus fizinio asmens tapatybę iš TC String, dėl informacijos, kurią jai turi pateikti jos nariai ir kitos TCF taikančios organizacijos.

50 Remiantis tuo, kas išdėstyta, matyti, kad TC String yra asmens duomenys, kaip jie suprantami pagal BDAR 4 straipsnio 1 punktą. Šiuo klausimu neturi reikšmės tai, kad be išorinio indėlio, kurio ji turi teisę reikalauti, tokia sektoriaus organizacija negali nei susipažinti su duomenimis, kuriuos jos nariai tvarko pagal jos nustatytas taisykles, nei sieti TC String su kitais identifikatoriais, kaip antai naudotojo įrenginio IP adresu.

51 Remiantis tuo, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: BDAR 4 straipsnio 1 punktas turi būti aiškinamas taip, kad iš raidžių ir ženklų sudaryta seka, kaip antai TC String, kuria užfiksuotos interneto ar taikomosios programos naudotojo preferencijos, susijusios su šio naudotojo sutikimu, kad interneto svetainių ar taikomųjų programų teikėjai, tokių duomenų brokeriai ir reklamos platformos tvarkytų jo asmens duomenis, yra asmens duomenys, kaip jie suprantami pagal šią nuostatą, jeigu, kai naudojant pagrįstas priemones ta seka gali būti susieta su identifikatoriumi, kaip antai to naudotojo įrenginio IP adresu, ji leidžia nustatyti duomenų subjektą. Tokiomis aplinkybėmis tai, kad be išorinio įnašo sektoriaus organizacija, kuriai priklauso ši seka, negali nei susipažinti su duomenimis, kuriuos jos nariai tvarko pagal jos nustatytas taisykles, nei minėtos sekos susieti su kitais elementais, netrukdo tos sekos laikyti asmens duomenimis, kaip jie suprantami pagal šią nuostatą.

Dėl antrojo klausimo

52 Antruoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 4 straipsnio 7 punktas turi būti aiškinamas taip, kad:

– antra, galima bendra šios sektoriaus organizacijos atsakomybė automatiškai apima ir tolesnį trečiųjų šalių, kaip antai interneto svetainių ar taikomųjų programų teikėjų, vykdomą asmens duomenų tvarkymą, kiek tai susiję su naudotojų preferencijomis, siekiant teikti tikslinę reklamą internete.

53 Visų pirma svarbu priminti, kad šiuo reglamentu siekiamas tikslas, koks išplaukia iš jo 1 straipsnio ir 1 bei 10 konstatuojamųjų dalių, yra, be kita ko, užtikrinti aukštą fizinių asmenų pagrindinių laisvių ir teisių, visų pirma jų teisės į privatų gyvenimą tvarkant asmens duomenis, įtvirtintos Europos Sąjungos pagrindinių teisių chartijos 8 straipsnio 1 dalyje ir SESV 16 straipsnio 1 dalyje, apsaugos lygį (2023 m. gegužės 4 d. Sprendimo Bundesrepublik Deutschland (Teismo elektroninio pašto dėžutė), C‑60/22, EU:C:2023:373, 64 punktas).

54 Šio reglamento 4 straipsnio 7 punkte, vadovaujantis šiuo tikslu, sąvoka „duomenų valdytojas“ apibrėžiama plačiai, kaip reiškianti tokį fizinį arba juridinį asmenį, valstybės valdžios instituciją, agentūrą ar kitą įstaigą, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones.

55 Iš tikrųjų, kaip Teisingumo Teismas jau yra nusprendęs, šios nuostatos tikslas – plačiai apibrėžti sąvoką „duomenų valdytojas“, kad būtų užtikrinta veiksminga ir visapusiška duomenų subjektų apsauga (pagal analogiją žr. 2018 m. birželio 5 d. Sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 28 punktą).

56 Be to, kadangi, kaip aiškiai nurodyta BDAR 4 straipsnio 7 punkte, sąvoka „duomenų valdytojas“ apima subjektą, kuris „vienas ar drauge su kitais“ nustato asmens duomenų tvarkymo tikslus ir priemones, ši sąvoka nebūtinai reiškia vieną subjektą ir gali apimti kelis dalyvius tvarkant šiuos duomenis, kurių kiekvienam atitinkamai galioja duomenų apsaugai taikomos teisės normos (pagal analogiją žr. 2018 m. birželio 5 d. Teisingumo Teismo sprendimo Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, 29 punktą ir 2018 m. liepos 10 d. Sprendimo Jehovan todistajat, C‑25/17, EU:C:2018:551, 65 punktą).

57 Teisingumo Teismas taip pat nusprendė, kad fizinis arba juridinis asmuo, kuris dėl savo reikmių daro poveikį asmens duomenų tvarkymui ir taip prisideda prie asmens duomenų tvarkymo tikslų ir priemonių nustatymo, gali būti laikomas duomenų valdytoju, kaip jis suprantamas pagal BDAR 4 straipsnio 7 punktą (pagal analogiją žr. 2018 m. liepos 10 d. Sprendimo Jehovan toditajat, C‑25/17, EU:C:2018:551, 68 punktą). Taigi, pagal BDAR 26 straipsnio 1 dalį „bendri duomenų valdytojai“ yra tada, kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones (2023 m. gruodžio 5 d. Sprendimo Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 40 punktas).

58 Šiuo klausimu pažymėtina, kad nors kiekvienas bendras duomenų valdytojas turi atskirai atitikti BDAR 4 straipsnio 7 punkte pateiktą sąvokos „duomenų valdytojas“ apibrėžtį, bendros atsakomybės buvimas nebūtinai reiškia, kad skirtingiems subjektams kyla lygiavertė atsakomybė už tą patį asmens duomenų tvarkymą. Atvirkščiai, šie subjektai gali dalyvauti tvarkant duomenis skirtinguose etapuose ir skirtingu mastu, todėl kiekvieno jų atsakomybės lygis turi būti įvertintas atsižvelgiant į visas reikšmingas konkretaus atvejo aplinkybes. Be to, tai, kad keli subjektai atsakingi už tą patį duomenų tvarkymą, nereiškia, kad kiekvienas iš jų turi turėti galimybę susipažinti su atitinkamais asmens duomenimis (pagal analogiją žr. 2018 m. liepos 10 d. Sprendimo Jehovan todistajat, C‑25/17, EU:C:2018:551, 66 ir 69 punktus ir juose nurodytą jurisprudenciją).

59 Dalyvavimas nustatant duomenų tvarkymo tikslus ir priemones gali būti įvairių formų ir jį gali lemti ir bendras dviejų ar daugiau subjektų sprendimas, ir sutampantys tokių subjektų sprendimai. Pastaruoju atveju minėti sprendimai turi papildyti vienas kitą, kad kiekvienas jų turėtų konkretų poveikį nustatant duomenų tvarkymo tikslus ir priemones. Vis dėlto neturėtų būti reikalaujama, kad šie duomenų valdytojai būtų sudarę oficialų susitarimą dėl duomenų tvarkymo tikslų ir priemonių (žr. 2023 m. gruodžio 5 d. Sprendimo nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 43 ir 44 punktus).

60 Atsižvelgiant į tai, kas išdėstyta, pateikto antrojo klausimo pirmą dalį reikia performuluoti taip, kad ja siekiama nustatyti, ar sektoriaus organizacija, kaip antai IAB Europe, gali būti laikoma bendra duomenų valdytoja, kaip ji suprantama pagal BDAR 4 straipsnio 7 punktą ir 26 straipsnio 1 dalį.

61 Taigi šiuo tikslu svarbu įvertinti, ar, atsižvelgiant į konkrečias bylos aplinkybes, minėta organizacija dėl savo reikmių daro poveikį asmens duomenų, kaip antai TC String, tvarkymui ir kartu su kitais nustato tokio tvarkymo tikslus ir priemones.

62 Pirma, kiek tai susiję su tokio asmens duomenų tvarkymo tikslais, su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, iš Teisingumo Teismo turimos bylos medžiagos matyti, kad, kaip priminta šio sprendimo 21 ir 22 punktuose, IAB Europe sukurta TCF yra standartas, kuriuo siekiama užtikrinti, kad interneto svetainės ar taikomosios programos naudotojo asmens duomenų tvarkymas, vykdomas kai kurių operatorių, dalyvaujančių internetiniuose aukcionuose parduodant reklamos vietas, atitiktų BDAR.

63 Šiomis aplinkybėmis TCF iš esmės siekiama skatinti šiuos operatorius ir jiems padėti parduoti ir pirkti reklamos vietas internete.

64 Vadinasi, galima manyti – su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, – kad IAB Europe dėl savo reikmių daro poveikį pagrindinėje byloje nagrinėjamoms asmens duomenų tvarkymo operacijoms ir dėl to kartu su savo nariais nustato tokių operacijų tikslus.

65 Antra, dėl priemonių, naudojamų tokiam asmens duomenų tvarkymui, iš Teisingumo Teismo turimos bylos medžiagos matyti – su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, – kad TCF yra standartas, kuriam IAB Europe nariai turi pritarti, kad galėtų įstoti į šią asociaciją. Konkrečiai kalbant, kaip per posėdį Teisingumo Teisme patvirtino IAB Europe, jei vienas iš jos narių nesilaiko TCF standarto, IAB Europe šio nario atžvilgiu gali priimti sprendimą dėl neatitikties ir sustabdymo, dėl kurio minėtas narys gali būti pašalintas iš TCF, taigi jam gali būti užkirstas kelias remtis atitikties BDAR garantija, kurią ši priemonė turi suteikti, kai tvarko asmens duomenis taikydamas TC Strings.

66 Be to, praktiniu požiūriu, kaip minėta šio sprendimo 21 punkte, IAB Europe parengtame TCF pateikiamos techninės TC String apdorojimo specifikacijos. Visų pirma atrodo, kad šiose specifikacijose tiksliai aprašoma, kaip CMP turi rinkti naudotojų preferencijas, susijusias su jų asmens duomenų tvarkymu, ir kaip šios preferencijos turi būti tvarkomos siekiant išgeneruoti TC String. Be to, taip pat nustatytos konkrečios taisyklės dėl TC String turinio, saugojimo ir dalijimosi ja.

67 Iš 2022 m. vasario 2 d. sprendimo, be kita ko, matyti, kad IAB Europe priimdama šias taisykles nustato, be kita ko, standartizuotą būdą, kaip įvairios TCF pritarusios šalys gali susipažinti su TC Strings esančiais naudotojų pageidavimais, prieštaravimais ir sutikimais.

68 Šiomis aplinkybėmis – su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, – reikia manyti, kad sektoriaus organizacija, kaip antai IAB Europe, dėl savo reikmių daro poveikį pagrindinėje byloje nagrinėjamoms asmens duomenų tvarkymo operacijoms ir dėl to kartu su savo nariais nustato tokių operacijų atlikimo priemones. Tuo remiantis darytina išvada, kad ji turi būti laikoma „bendra duomenų valdytoja“, kaip ji suprantama pagal BDAR 4 straipsnio 7 punktą ir 26 straipsnio 1 dalį, remiantis šio sprendimo 57 punkte priminta jurisprudencija.

69 Prašymą priimti prejudicinį sprendimą pateikusio teismo nurodyta aplinkybė, kad tokia sektoriaus organizacija pati neturi tiesioginės prieigos prie TC Strings, taigi ir prie asmens duomenų, kuriuos pagal minėtas taisykles tvarko jos nariai, su kuriais ji kartu nustato šių duomenų tvarkymo tikslus ir priemones, netrukdo, remiantis šio sprendimo 58 punkte priminta jurisprudencija, jos pripažinti „duomenų valdytoja“, kaip ji suprantama pagal minėtą nuostatą.

70 Be to, atsakant į šio teismo išreikštas abejones, reikia atmesti galimybę, kad galima šios sektoriaus organizacijos bendra atsakomybė automatiškai apima ir tolesnį trečiųjų šalių, pavyzdžiui, interneto svetainių ar taikomųjų programų teikėjų, atliekamą asmens duomenų tvarkymą, kiek tai susiję su naudotojų preferencijomis, siekiant teikti tikslinę reklamą internete.

71 Šiuo klausimu reikia pažymėti, viena vertus, kad BDAR 4 straipsnio 2 punkte „asmens duomenų tvarkymas“ apibrėžtas kaip „bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas“.

72 Iš šios apibrėžties matyti, kad asmens duomenų tvarkymą gali sudaryti viena ar daugiau operacijų, kurių kiekviena susijusi su skirtingais šio tvarkymo etapais.

73 Kita vertus, kaip Teisingumo Teismas jau yra nusprendęs, iš BDAR 4 straipsnio 7 punkto ir 26 straipsnio 1 dalies matyti, kad fizinis ar juridinis asmuo gali būti laikomas bendru asmens duomenų tvarkymo operacijų valdytoju tik tuo atveju, jeigu jis kartu nustato šių operacijų tikslus ir priemones. Tačiau, nedarant poveikio civilinei atsakomybei pagal nacionalinę teisę šiuo atžvilgiu, šis fizinis arba juridinis asmuo negali būti laikomas atsakingu, kaip apibrėžta minėtoje nuostatoje, už ankstesnes ar vėlesnes tvarkymo grandinės operacijas, kurių tikslų ir būdų jis nėra nustatęs (pagal analogiją žr. 2019 m. liepos 29 d. Sprendimo Fashion ID, C‑40/17, EU:C:2019:629, 74 punktą).

74 Nagrinėjamu atveju reikia atskirti, pirma, IAB Europe narių, t. y. interneto svetainių ar taikomųjų programų teikėjų, duomenų brokerių ar reklamos platformų, vykdomą asmens duomenų tvarkymą TC String užfiksuojant atitinkamų naudotojų preferencijas sutikimo srityje pagal TCF įtvirtintą standartą ir, antra, vėlesnį asmens duomenų tvarkymą, kurį atlieka šie operatoriai ir trečiosios šalys remdamosi šiomis preferencijomis, pavyzdžiui, perduodant šiuos duomenis trečiosioms šalims arba siūlant šiems naudotojams individualizuotą reklamą.

75 Iš tiesų šis tolesnis tvarkymas – su sąlyga, kad tai patikrins prašymą priimti prejudicinį sprendimą pateikęs teismas, – nereiškia IAB Europe dalyvavimo, todėl reikia atmesti automatišką tokios organizacijos ir jos bendrą su šiais operatoriais ir trečiosiomis šalimis atsakomybę už asmens duomenų tvarkymą, vykdomą remiantis TC String esančiais duomenimis apie atitinkamų naudotojų preferencijas.

76 Taigi sektoriaus organizacija, kaip antai IAB Europe, gali būti laikoma atsakinga už tokį vėlesnį tvarkymą, tik jei nustatyta, kad ji darė įtaką nustatant tokio tvarkymo tikslus ir tvarką, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas, atsižvelgdamas į visas reikšmingas pagrindinės bylos aplinkybes.

77 Atsižvelgiant į tai, kas išdėstyta, į antrąjį klausimą reikia atsakyti: BDAR 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis turi būti aiškinami taip:

– pirma, sektoriaus organizacija, kiek ji savo nariams rengia standartą dėl sutikimo asmens duomenų tvarkymo srityje, kuriame ne tik įtvirtintos privalomos techninės normos, bet ir išsamiai nurodyta, kaip turi būti saugomi ir platinami su šiuo sutikimu susiję asmens duomenys, turi būti kvalifikuojama kaip „bendra duomenų valdytoja“, kaip ji suprantama pagal šias nuostatas, jeigu, atsižvelgiant į konkrečias konkretaus atvejo aplinkybes, ji dėl savo reikmių daro poveikį atitinkamam asmens duomenų tvarkymui ir dėl to kartu su savo nariais nustato tokio tvarkymo tikslus ir priemones. Tai, kad tokia sektoriaus organizacija pati neturi tiesioginės prieigos prie asmens duomenų, kuriuos pagal minėtą standartą tvarko jos nariai, netrukdo tam, kad ji būtų laikoma bendra duomenų valdytoja, kaip ji suprantama pagal minėtas nuostatas,

– antra, bendra šios sektoriaus organizacijos atsakomybė automatiškai neapima tolesnio trečiųjų šalių, kaip antai interneto svetainių ar taikomųjų programų teikėjų, vykdomo asmens duomenų tvarkymo, kiek tai susiję su naudotojų preferencijomis, siekiant teikti tikslinę reklamą internete.

Dėl bylinėjimosi išlaidų

78 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (ketvirtoji kolegija) nusprendžia:

1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 4 straipsnio 1 punktas

turi būti aiškinamas taip:

iš raidžių ir ženklų sudaryta seka, kaip antai TC String (Transparency and Consent String), kuria užfiksuotos interneto ar taikomosios programos naudotojo preferencijos, susijusios su šio naudotojo sutikimu, kad interneto svetainių ar taikomųjų programų teikėjai, tokių duomenų brokeriai ir reklamos platformos tvarkytų jo asmens duomenis, yra asmens duomenys, kaip jie suprantami pagal šią nuostatą, jeigu, kai naudojant pagrįstas priemones ta seka gali būti susieta su identifikatoriumi, kaip antai to naudotojo įrenginio IP adresu, ji leidžia nustatyti duomenų subjektą. Tokiomis aplinkybėmis tai, kad be išorinio įnašo sektoriaus organizacija, kuriai priklauso ši seka, negali nei susipažinti su duomenimis, kuriuos jos nariai tvarko pagal jos nustatytas taisykles, nei minėtos sekos susieti su kitais elementais, netrukdo tos sekos laikyti asmens duomenimis, kaip jie suprantami pagal šią nuostatą.

2. Reglamento 2016/679 4 straipsnio 7 punktas ir 26 straipsnio 1 dalis

turi būti aiškinami taip:

Parašai.

* Proceso kalba: nyderlandų.