CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

РЕШЕНИЕ НА СЪДА (четвърти състав)

7 март 2024 година(*)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Браншова организация, която предлага на своите членове правила относно обработването на съгласието на потребителите — Член 4, точка 1 — Понятието „лични данни“ — Низ от букви и символи, който записва по структуриран и машинночитаем начин предпочитанията на интернет потребител относно съгласието на този потребител във връзка с обработването на личните му данни — Член 4, точка 7 — Понятието „администратор“ — Член 26, параграф 1 — Понятието „съвместни администратори“ — Организация, която сама по себе си няма достъп до личните данни, обработвани от нейните членове — Отговорност на организацията, която се разпростира върху последващото обработване от трети страни“

По дело C‑604/22

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Hof van beroep te Brussel (Апелативен съд Брюксел, Белгия) с акт от 7 септември 2022 г., постъпил в Съда на 19 септември 2022 г., в рамките на производство по дело

IAB Europe

срещу

Gegevensbeschermingsautoriteit,

при участието на:

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits Humains VZW,

СЪДЪТ (четвърти състав),

състоящ се от: C. Lycourgos, председател на състава, O. Spineanu‑Matei, J.‑C. Bonichot, S. Rodin и L. S. Rossi (докладчик), съдии,

генерален адвокат: T. Ćapeta,

секретар: A. Lamote, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 21 септември 2023 г.,

като има предвид становищата, представени:

– за IAB Europe, от P. Craddock, avocat, и K. Van Quathem, advocaat,

– за Gegevensbeschermingsautoriteit, от E. Cloots, J. Roets и T. Roes, advocaten,

– за Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom и Ligue des Droits Humains VZW, от F. Debusseré и R. Roex, advocaten,

– за австрийското правителство, от J. Schmoll и C. Gabauer, в качеството на представители,

– за Европейската комисия, от A. Bouchagiar и H. Kranenborg, в качеството на представители,

предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на член 4, точки 1 и 7 и член 24, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“) във връзка с членове 7 и 8 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“).

2 Запитването е отправено в рамките на спор между IAB Europe и Gegevensbeschermingsautoriteit (Орган за защита на данните, Белгия, наричан по-нататък „ОЗД“) по повод на решение на състава за уреждане на споровете на ОЗД, прието спрямо IAB Europe във връзка с твърдяно нарушение на няколко разпоредби от ОРЗД.

Правна уредба

Правото на Съюза

3 Съображения 1, 10, 26 и 30 от ОРЗД гласят:

„(1) Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от [Хартата] и член 16, параграф 1 [ДФЕС] предвиждат, че всеки има право на защита на личните му данни.

[…]

(10) За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в [Европейския съюз], нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]

[…]

(26) Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се установи дали има достатъчна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като разходите и количеството време, необходими за идентифицирането, като се отчитат наличните към момента на обработване на данните технологии и технологичните развития. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, т.е. информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран. Ето защо настоящият регламент не се отнася за обработването на такава анонимна информация, включително за статистически или изследователски цели.

[…]

(30) Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране“.

4 Член 1 от ОРЗД е озаглавен „Предмет и цели“ и параграф 2 от него гласи:

„С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни“.

5 Съгласно член 4 от посочения регламент:

„За целите на настоящия регламент:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…]

7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

[…]

11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

[…]“.

6 Член 6 от ОРЗД е озаглавен „Законосъобразност на обработването“ и предвижда:

„1. Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

а) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

[…]

е) обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

[…]“.

7 Член 24 („Отговорност на администратора“), параграф 1 от този регламент гласи:

„Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират“.

8 Член 26 („Съвместни администратори“), параграф 1 от посочения регламент предвижда:

„Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори […]“.

9 Глава VI от ОРЗД, която се отнася до „Независими[те] надзорни органи“, включва членове 51—59.

10 Член 51 от посочения регламент е озаглавен „Надзорен орган“ и предвижда следното в параграфи 1 и 2:

„1. Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза […].

2. Всеки надзорен орган допринася за последователното прилагане на настоящия регламент в рамките на Съюза. За тази цел надзорните органи си сътрудничат помежду си и с [Европейската комисия] в съответствие с глава VII“.

11 Съгласно член 55 („Компетентност“), параграфи 1 и 2 от ОРЗД:

„1. Всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящия регламент, на територията на своята собствена държава членка.

2. Когато обработването се извършва от публични органи или частни организации на основание член 6, параграф 1, буква в) или д), компетентен е надзорният орган на съответната държава членка. В тези случаи член 56 не се прилага“.

12 Член 56 („Компетентност на водещия надзорен орган“), параграф 1 от този регламент гласи:

„Без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60“.

13 Член 57 („Задачи“), параграф 1 от посочения регламент предвижда:

„Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

а) наблюдава и осигурява прилагането на настоящия регламент;

[…]

ж) сътрудничи си с други надзорни органи, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на настоящия регламент;

[…]“.

14 Глава VII („Сътрудничество и съгласуваност“), раздел 1 („Сътрудничество“) от същия регламент включва членове 60—62. Член 60, който се отнася до „Сътрудничество[то] между водещия надзорен орган и другите засегнати надзорни органи“, предвижда в параграф 1:

„Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си“.

15 Член 61 („Взаимопомощ“), параграф 1 от ОРЗД гласи:

„Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания“.

16 Съгласно член 62 („Съвместни операции на надзорни органи“), параграфи 1 и 2 от този регламент:

„1. Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки.

2. Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции […]“.

17 Раздел 2 („Съгласуваност“) от глава VII от посочения регламент включва членове 63—67. Член 63 („Механизъм за съгласуваност“) има следния текст:

„С цел да допринесат за съгласуваното прилагане на настоящия регламент в целия Съюз, надзорните органи си сътрудничат помежду си и, ако е целесъобразно, с Комисията чрез механизъм за съгласуваност, както е определено в настоящия раздел“.

Белгийското право

18 Съгласно член 100, параграф 1, точка 9 от Wet tot oprichting van de Gegevensbeschermingsautoriteit (Закон за създаване на Орган за защита на данните) от 3 декември 2017 г. (Belgisch Staatsblad, 10 януари 2018 г., стр. 989, наричан по-нататък „ЗОЗД“):

„Съставът за уреждане на споровете има правомощието:

[…]

9° да изисква привеждането на обработването в съответствие с ОРЗД“.

19 Член 101 от ЗОЗД предвижда:

„Съставът за уреждане на споровете може да реши да наложи административно наказание „глоба“ или „имуществена санкция“ на съответните лица в съответствие с общите принципи по член 83 от [ОРЗД]“.

Спорът в главното производство и преюдициалните въпроси

20 IAB Europe e установено в Белгия сдружение с нестопанска цел, което представлява предприятията от сектора на цифровата реклама и дигиталния маркетинг на европейско равнище. Членовете на IAB Europe са както предприятия от този сектор като например издатели, предприятия за електронна търговия и за маркетинг и посредници, така и национални сдружения, сред които се числят националните IAB (Interactive Advertising Bureau), включващи на свой ред като членове предприятия от посочения сектор. Членове на IAB Europe са в частност предприятия, които генерират значителни приходи посредством продажбата на рекламно пространство на уебсайтове или в приложения.

21 IAB Europe е разработило Transparency & Consent Framework (Рамка за прозрачност и съгласие, наричана по-нататък „TCF“), която е рамка от правила, съставена от насоки, инструкции, технически спецификации, протоколи и договорни задължения, позволяващи както на доставчика на уебсайт или на приложение, така и на брокери на данни или на рекламни платформи да обработват законосъобразно личните данни на потребител на уебсайта или приложението.

22 Целта на TCF е по-специално да се улесни спазването на ОРЗД, когато тези оператори прилагат протокола OpenRTB — един от най-широко използваните протоколи при Real Time Bidding (офериране в реално време), което е система за автоматизирани онлайн търгове в реално време на потребителски профили за целите на закупуването и продажбата на рекламно пространство в интернет (наричана по-нататък „RTB“). Имайки предвид някои практики на членовете на IAB Europe в рамките на тази система за масов обмен на лични данни относно потребителските профили, IAB Europe представя TCF като решение, което би могло да приведе в съответствие с ОРЗД посочената система за онлайн търгове.

23 По-специално, както е видно от представените на Съда материали по делото, от техническа гледна точка, когато потребител посещава уебсайт или използва приложение с рекламно пространство, предприятията в областта на рекламните технологии, и по-специално брокерите на данни и рекламните платформи, представляващи хиляди рекламодатели, могат да наддават за това рекламно пространство в реално време чрез автоматизирана система за търгове във фонов режим, като се използват алгоритми с цел в посоченото пространство да се показват целеви реклами, съобразени конкретно с профила на потребителя.

24 Преди обаче да се покажат такива целеви реклами, е необходимо да се получи предварителното съгласие на посочения потребител. Така, когато той посети за първи път даден уебсайт или използва за първи път дадено приложение, в изскачащ прозорец (pop-up window) се появява платформа за управление на съгласията (Consent Management Platform, наричана по-нататък „CMP“), позволяваща на този потребител, от една страна, да даде на доставчика на уебсайта или на приложението съгласието си за събиране и обработване на личните му данни за предварително определени цели, като например маркетинг или реклама, или съгласието си за споделяне на тези данни с определени доставчици, и от друга страна, да възрази срещу един или повече начини на обработване или на споделяне на данни въз основа на легитимните интереси, изтъкнати от доставчиците по смисъла на член 6, параграф 1, буква е) от ОРЗД. Тези лични данни се отнасят в частност до местонахождението на потребителя, неговата възраст, историята на търсенията му и на последните му покупки.

25 В този контекст TCF е рамка за широкомащабно обработване на лични данни и улеснява записването на предпочитанията на потребителите посредством СМР. Впоследствие тези предпочитания се кодират и съхраняват в съставен от комбинация от букви и символи низ, посочван от IAB Europe с наименованието Transparency and Consent String (наричан по-нататък „TC низът“), който се споделя с брокерите на лични данни и с рекламните платформи, участващи в прилагането на протокола OpenRTB, с цел последните да знаят за какво е дал съгласие потребителят и какво е отказал. CMP също така запазва на устройството на потребителя една cookie (бисквитка) (euconsent-v2). TC низът и бисквитката еuconsent-v2, заедно в комбинация, могат да бъдат свързани с IP адреса на съответния потребител.

26 Така TCF има роля при функционирането на протокола OpenRTB, тъй като позволява да се запишат предпочитанията на потребителя с оглед на съобщаването им на потенциални продавачи и да се постигнат различни цели на обработването, включително предлагането на персонализирани реклами. По-специално TCF има за цел да гарантира на брокерите на лични данни и на рекламните платформи — посредством ТС низа — спазването на ОРЗД.

27 От 2019 г. ОЗД получава поредица от жалби срещу IAB Europe, произхождащи както от Белгия, така и от трети държави и отнасящи се до съвместимостта на TCF със ОРЗД. След като разглежда тези жалби, ОЗД в качеството си на водещ надзорен орган по смисъла на член 56, параграф 1 от ОРЗД задейства механизма за сътрудничество и съгласуваност по членове 60—63 от този регламент, за да се стигне до общо решение, одобрено съвместно от всичките 21 национални надзорни органа, включени в рамките на този механизъм. Така с решение от 2 февруари 2022 г. (наричано по-нататък „решението от 2 февруари 2022 г.) съставът за уреждане на споровете на ОЗД приема, че IAB Europe е действало като администратор на лични данни, що се отнася до записването на съгласието, възраженията и предпочитанията на отделните потребители посредством ТС низ, който според състава за уреждане на споровете на ОЗД предоставя връзка с потребител, който може да бъде идентифициран. В допълнение, в това решение в съответствие с член 100, параграф 1, точка 9 от ЗОЗД съставът за уреждане на споровете на ОЗД изисква от IAB Europe да приведе в съответствие с разпоредбите на ОРЗД обработването на лични данни, извършвано в контекста на TCF, и му налага редица корективни мерки, както и административно наказание „имуществена санкция“.

28 IAB Europe обжалва посоченото решение пред Hof van beroep te Brussel (Апелативен съд Брюксел, Белгия), който е запитващата юрисдикция. IAB Europe иска от тази юрисдикция да отмени решението от 2 февруари 2022 г. То оспорва по-специално извода, че е действало като администратор. Освен това според IAB Europe, доколкото в него се приема, че ТС низът е набор от лични данни по смисъла на член 4, точка 1 от ОРЗД, това решение е недостатъчно нюансирано и мотивирано и при всички положения — незаконосъобразно. По-конкретно IAB Europe подчертава, че само другите участници в TCF биха могли да свържат TC низа с IP адрес и по този начин да създадат набор от лични данни, че самият TC низ не е уникален за конкретен потребител и че самото IAB Europe няма възможност за достъп до данните, обработвани от неговите членове чрез TCF.

29 ОЗД, подкрепян в националното производство от Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom и Ligue des Droits Humains VZW, твърди по-специално, че отделните TC низове представляват набори лични данни, тъй като чрез CMP отделните TC низове могат да се свържат с IP адреси, че освен това участниците в TCF биха могли да идентифицират потребителите и въз основа на други данни, че IAB Europe има достъп до масивите информация, въз основа на които това е възможно, и че предназначението на TC низа, който улеснява продажбата на целева реклама, е именно идентификацията на потребителя. В допълнение, според ОЗД обстоятелството, че IAB Europe трябва да се счита за администратор по смисъла на ОРЗД, се дължи на решаващата му роля в обработването на TC низовете. ОЗД добавя, че това сдружение определя целите и средствата за обработването, начина, по който се генерират, адаптират и прочитат TC низовете, как и къде се съхраняват необходимите бисквитки, кой получава личните данни и въз основа на какви критерии може да се определят периодите на съхранение на TC низовете.

30 Запитващата юрисдикция има съмнения по въпроса дали TC низът, евентуално в комбинация с IP адрес, представлява набор от лични данни, и при утвърдителен отговор — дали IAB Europe трябва да се разглежда като администратор на лични данни в контекста на TCF, по-специално с оглед на обработването на ТС низа. В това отношение тази юрисдикция посочва, че макар действително решението от 2 февруари 2022 г. да отразява общото схващане, възприето съвместно от различните засегнати национални надзорни органи, все пак Съдът все още не е имал възможност да се произнесе относно тази нова технология със значителни последици, а именно ТС низа.

31 При това положение Hof van beroep te Brussel (Апелативен съд Брюксел) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1. а) Следва ли член 4, точка 1 от [ОРЗД] във връзка с членове 7 и 8 от [Хартата] да се тълкува в смисъл, че символен низ, който записва предпочитанията на интернет потребител във връзка с обработката на личните му данни по структуриран и машинночитаем начин, представлява набор от лични данни от гледна точка: 1) на браншова организация, която предоставя на разположение на членовете си стандарт, чрез който им предписва по какъв начин от практическа и техническа гледна точка трябва да бъде генериран, съхраняван и/или разпространяван този символен низ, и 2) на страните, които изпълняват и използват този стандарт на своите уебсайтове или в своите приложения и следователно така имат достъп до този символен низ?

б) Прави ли се разлика, ако изпълнението и прилагането на стандарта предполага, че този символен низ се предоставя на разположение заедно с IP адрес?

в) Различен ли би бил отговорът на въпрос 1, букви а) и б), ако самата браншова организация, притежаваща правомощия да установява такъв стандарт, няма законен достъп до личните данни, обработвани от нейните членове съгласно този стандарт?

2. а) Следва ли член 4, точка 7 и член 24, параграф 1 от [ОРЗД] във връзка с членове 7 и 8 от [Хартата] да се тълкуват в смисъл, че браншова организация, притежаваща правомощия да установява даден стандарт, трябва да се квалифицира като администратор, когато предлага на своите членове стандарт за управление на съгласието, който освен задължителна техническа рамка съдържа и правила, които уреждат подробно въпроса как трябва да се съхраняват и разпространяват тези данни за съгласието, които представляват лични данни?

б) Различен ли би бил отговорът на въпрос 2, буква а), ако самата браншова организация няма законен достъп до личните данни, обработвани от нейните членове съгласно този стандарт?

в) В случай че браншовата организация, притежаваща правомощия да установява такъв стандарт, следва да бъде квалифицирана като администратор или съвместен администратор при обработката на предпочитанията на интернет потребителите, тази (съвместна) отговорност на браншовата организация с правомощия да установява такъв стандарт разпростира ли се автоматично и върху последващата обработка от страна на трети страни, за които са получени предпочитанията на интернет потребителите, като например целевата онлайн реклама от страна на издатели и доставчици?“.

По първия въпрос

32 С първия си въпрос запитващата юрисдикция иска по същество да се установи дали член 4, точка 1 от ОРЗД трябва да се тълкува в смисъл, че съставен от комбинация от букви и символи низ (какъвто е ТС низът), който съдържа предпочитанията на потребител на интернет или на приложение, свързани със съгласието на този потребител за обработване на лични данни, отнасящи се до него, от доставчици на уебсайтове или на приложения, както и от брокери на такива данни и от рекламни платформи, представлява набор от лични данни по смисъла на тази разпоредба, когато браншова организация е установила рамката от правила, в съответствие с която този низ трябва да бъде генериран, съхраняван или разпространяван, и членовете на такава организация изпълняват тези правила и така имат достъп до посочения низ. Тази юрисдикция иска да се установи и дали за целите на отговора на този въпрос е от значение, първо, посоченият низ да бъде свързан с идентификатор (какъвто в частност е IP адресът на устройството на потребителя), позволяващ идентифицирането на субекта на данните, и второ, такава браншова организация да разполага с право на пряк достъп до личните данни, обработвани от нейните членове в контекста на установената от нея рамка от правила.

33 Като начало следва да се припомни, че след като ОРЗД отменя и заменя Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (OВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10) и съответните разпоредби на този регламент по същество са идентични със съответните разпоредби на тази директива, практиката на Съда по същата директива по принцип е приложима и по отношение на този регламент (решение от 17 юни 2021 г., M.I.C.M., C‑597/19, EU:C:2021:492, т. 107).

34 Следва също така да се припомни, че съгласно постоянната съдебна практика тълкуването на разпоредба от правото на Съюза изисква да се вземе предвид не само нейният текст, но и контекстът ѝ и целите и предназначението на акта, от който тя е част (решение от 22 юни 2023 г., Pankki S и др., C‑579/21, EU:C:2023:501, т. 38 и цитираната съдебна практика).

35 В това отношение е важно да се отбележи, че съгласно член 4, точка 1 от ОРЗД лични данни е „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“, като се уточнява, че „физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице“.

36 Употребата на израза „всяка информация“ в определението на понятието „лични данни“, залегнало в тази разпоредба, отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че тя „засяга“ съответното лице (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 23 и цитираната съдебна практика).

37 В това отношение Съдът е постановил, че дадена информация засяга физическо лице, което е идентифицирано или може да бъде идентифицирано, ако поради своето съдържание, крайна цел или последици тя е свързана с лице, което може да бъде идентифицирано (решение от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 24 и цитираната съдебна практика).

38 Що се отнася до възможността за „идентифициране“ на дадено лице, от текста на член 4, точка 1 от ОРЗД става ясно, че за подлежащо на идентифициране лице се смята такова, което може да бъде идентифицирано не само пряко, но и непряко.

39 Както вече е постановил Съдът, използването от законодателя на Съюза на думата „непряко“ означава, че за да се квалифицира дадена информация като лични данни, не е необходимо информацията да позволява сама по себе си да се идентифицира съответното лице (вж. по аналогия решение от 19 октомври 2016 г., Breyer, C‑582/14, EU:C:2016:779, т. 41). Напротив, видно от член 4, точка 5 във връзка със съображение 26 от ОРЗД, личните данни, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано (решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 58).

40 В допълнение, в това съображение 26 се уточнява, че за да се определи дали дадено лице може да бъде „идентифицирано“, следва да се вземат предвид „всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице“. Тази формулировка подсказва, че за да могат определени данни да се квалифицират като „лични данни“ по смисъла на член 4, точка 1 от този регламент, не се изисква цялата информация, която позволява идентифицирането на субекта на данните, да се намира в ръцете на едно-единствено лице (вж. по аналогия решение от 19 октомври 2016 г., Breyer, C‑582/14, EU:C:2016:779, т. 43).

41 От горното следва, че понятието „лични данни“ обхваща не само данните, събрани и съхранявани от администратора, но и всяка информация, резултат от обработване на лични данни, които засягат лице, което е идентифицирано или може да бъде идентифицирано (решение от 22 юни 2023 г., Pankki S, C‑579/21, EU:C:2023:501, т. 45).

42 В настоящия случай е важно да се отбележи, че съставен от комбинация от букви и символи низ, какъвто е ТС низът, съдържа предпочитанията на потребител на интернет или на приложение, свързани със съгласието на този потребител за обработване от трети страни на лични данни, отнасящи се до него, или свързани с евентуалното му възражение срещу обработването на такива данни въз основа на твърдян легитимен интерес по смисъла на член 6, параграф 1, буква е) от ОРЗД.

43 Дори обаче ТС низът да не съдържа сам по себе си елементи, позволяващи прякото идентифициране на субекта на данните, все пак, на първо място, той съдържа индивидуалните предпочитания на конкретен потребител, що се отнася до неговото съгласие за обработване на отнасящите се до него лични данни, като тази информация е „свързана с […] физическо лице“ по смисъла на член 4, точка 1 от ОРЗД.

44 На второ място, безспорно е също така, че когато съдържащата се в ТС низ информация се свърже с идентификатор, какъвто в частност е IP адресът на устройството на потребителя, тя може да позволи да се създаде профил на посочения потребител и действително да се идентифицира лицето, което е конкретно засегнато от тази информация.

45 Доколкото свързването на съставен от комбинация от букви и символи низ, какъвто е ТС низът, с допълнителни данни, в частност с IP адреса на устройството на потребител или с други идентификатори, позволява идентифицирането на този потребител, следва да се приеме, че ТС низът съдържа информация относно потребител, който може да бъде идентифициран, и следователно представлява набор от лични данни по смисъла на член 4, параграф 1 от ОРЗД, което се подкрепя от съображение 30 от ОРЗД, отнасящо се изрично до такъв случай.

46 Това тълкуване не може да бъде поставено под съмнение само от обстоятелството, че IAB Europe не може само да свърже ТС низа с IP адреса на устройството на потребителя и не разполага с възможност за пряк достъп до данните, обработвани от неговите членове в контекста на TCF.

47 Всъщност, както е видно от съдебната практика, припомнена в точка 40 от настоящото решение, такова обстоятелство не е пречка за квалифицирането на ТС низ като набор от „лични данни“ по смисъла на член 4, точка 1 от ОРЗД.

48 В допълнение, видно от преписката, с която разполага Съдът, и по-специално от решението от 2 февруари 2022 г., членовете на IAB Europe са длъжни по негово искане да му съобщят цялата информация, която да му позволи да идентифицира потребителите, чиито данни са предмет на ТС низ.

49 Ето защо, освен ако се установи друго при проверките, които запитващата юрисдикция следва да извърши в това отношение, в съответствие с посоченото в съображение 26 от ОРЗД IAB Europe разполага с разумни средства, позволяващи му да идентифицира определено физическо лице въз основа на ТС низ и благодарение на информацията, която неговите членове и други участващи в TCF организации са длъжни да му предоставят.

50 От изложеното дотук следва, че ТС низът представлява набор от „лични данни“ по смисъла на член 4, точка 1 от ОРЗД. В това отношение е без значение обстоятелството, че без външен принос, какъвто тя има право да изисква, такава браншова организация не може нито да има достъп до данните, обработвани от членовете ѝ в рамките на установените от нея правила, нито да свърже ТС низа с други идентификатори като например IP адреса на устройството на потребителя.

51 По изложените съображения на първия въпрос следва да се отговори, че член 4, точка 1 от ОРЗД трябва да се тълкува в смисъл, че съставен от комбинация от букви и символи низ (какъвто е ТС низът), който съдържа предпочитанията на потребител на интернет или на приложение, свързани със съгласието на този потребител за обработване на лични данни, отнасящи се до него, от доставчици на уебсайтове или на приложения, както и от брокери на такива данни и от рекламни платформи, представлява набор от лични данни по смисъла на тази разпоредба, доколкото посоченият низ позволява идентифицирането на субекта на данните, когато може с разумни средства да бъде свързан с идентификатор, какъвто в частност е IP адресът на устройството на потребителя. При такива обстоятелства фактът, че без външен принос браншова организация, разполагаща с този низ, не може нито да има достъп до данните, обработвани от членовете ѝ в рамките на установените от нея правила, нито да свърже посочения низ с други елементи, не е пречка същият низ да представлява набор от лични данни по смисъла на посочената разпоредба.

По втория въпрос

52 С втория си въпрос запитваща юрисдикция по същество иска да се установи дали член 4, точка 7 от ОРЗД трябва да се тълкува в смисъл, че:

– от друга страна, евентуалната съвместна отговорност на посочената браншова организация се разпростира автоматично върху последващото обработване на лични данни от трети страни, като например доставчици на уебсайтове или на приложения, що се отнася до предпочитанията на потребителите във връзка с целевата онлайн реклама.

53 Като начало е важно да се припомни, че преследваната с ОРЗД цел, която произтича от член 1 и от съображения 1 и 10 от него, е да се гарантира висока степен на защита на основните права и свободи на физическите лица, и по-специално на правото им на личен живот при обработването на лични данни, закрепено в член 8, параграф 1 от Хартата и в член 16, параграф 1 ДФЕС (решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на съда), C‑60/22, EU:C:2023:373, т. 64).

54 В съответствие с тази цел член 4, точка 7 от този регламент определя широко понятието „администратор“ като отнасящо се до физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

55 Както Съдът вече е постановил, целта на тази разпоредба е да се гарантира ефикасна и пълна защита на субектите на данните посредством това широко по съдържанието си определение на понятието „администратор“ (вж. по аналогия решение от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 28).

56 Освен това, след като съгласно изрично предвиденото в член 4, точка 7 от ОРЗД понятието „администратор“ се отнася до структура, която „сама или съвместно с други“ определя целите и средствата за обработването на лични данни, това понятие не препраща непременно към само една структура, а може да се отнася до няколко субекта, участващи в обработването, за всеки от които при това положение съществува задължение да спазва приложимите разпоредби относно защитата на данните (вж. по аналогия решения от 5 юни 2018 г., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, т. 29, и от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 65).

57 Съдът също така е постановил, че физическо или юридическо лице, което за собствени цели влияе върху обработването на лични данни и по този начин участва в определянето на целите и средствата за това обработване, може да се разглежда като администратор по смисъла на член 4, точка 7 от ОРЗД (вж. по аналогия решение от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 68). Така член 26, параграф 1 от ОРЗД предвижда, че когато двама или повече администратори съвместно определят целите и средствата на обработването, те са „съвместни администратори“ (решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 40).

58 В това отношение, ако всеки съвместен администратор трябва сам по себе си да отговаря на определението за „администратор“, съдържащо се в член 4, точка 7 от ОРЗД, наличието на съвместна отговорност не се изразява непременно в равна отговорност на различните субекти за едно и също обработване на лични данни. Тъкмо обратното, тези субекти могат да участват на различни етапи от обработването и в различна степен, поради което конкретната отговорност на всеки от тях трябва да се преценява с оглед на всички релевантни обстоятелства по случая. Освен това съвместната отговорност на няколко субекта за една и съща обработка, съгласно тази разпоредба, не изисква всеки от тях да има достъп до съответните лични данни (вж. по аналогия решение от 10 юли 2018 г., Jehovan todistajat, C‑25/17, EU:C:2018:551, т. 66 и 69 и цитираната съдебна практика).

59 Участието в определянето на целите и средствата за обработването може да бъде в различни форми, като например може да е резултат от съвместно решение или на съвпадащи решения на два или повече субекта. В последния случай решенията трябва да са взаимно допълващи се, така че всяко едно от тях да има осезаемо въздействие върху определянето на целите и средствата за обработването. Не би могло обаче се изисква между тези администратори да съществува формално споразумение относно целите и средствата за обработването (решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 43 и 44).

60 С оглед на изложеното по-горе следва да се приеме, че първата част от втория поставен въпрос цели да се определи дали браншова организация, каквато е IAB Europe, може да се разглежда като съвместен администратор по смисъла на член 4, точка 7 и член 26, параграф 1 от ОРЗД.

61 Следователно за тази цел е важно да се прецени дали с оглед на конкретните обстоятелства по случая тя влияе за собствени цели върху обработването на лични данни (като ТС низа) и определя съвместно с други целите и средствата на такова обработване.

62 На първо място, що се отнася до целите на такова обработване на лични данни, освен ако се установи друго при проверките, които запитващата юрисдикция следва да извърши, от преписката, с която разполага Съдът, следва, че както бе припомнено в точки 21 и 22 от настоящото решение, установената от IAB Europe TCF е рамка от правила, насочени към гарантиране на съответствието с ОРЗД на обработването на лични данни на потребител на уебсайт или на приложение от страна на някои оператори, участващи в онлайн търгове на рекламно пространство.

63 При това положение целта на TCF по същество е да улесни и да позволи продажбата и покупката на рекламно пространство в интернет от посочените оператори.

64 Ето защо може да се счита, освен ако се установи друго при проверките, които запитващата юрисдикция следва да извърши, че IAB Europe влияе за собствени цели върху разглежданите в главното производство операции по обработване на лични данни и така определя съвместно със своите членове целите на такива операции.

65 На второ място, що се отнася до средствата, използвани за такова обработване на лични данни, видно от преписката, с която разполага Съдът, и освен ако се установи друго при проверките, които запитващата юрисдикция следва да извърши, TCF представлява рамка от правила, която членовете на IAB Europe трябва да приемат, за да се присъединят към това сдружение. По-специално, както потвърждава IAB Europe в съдебното заседание пред Съда, ако някой от членовете му не се съобразява с правилата от TCF, IAB Europe може да приеме по отношение на този член решение за несъответствие и за спиране, което може да доведе до изключването на посочения член от TCF и следователно до невъзможност за него да се ползва от гаранцията за съответствие с ОРЗД, която тази рамка би трябвало да предоставя във връзка с обработването на лични данни посредством ТС низове.

66 Освен това, както бе споменато в точка 21 от настоящото решение, от практическа гледна точка установената от IAB Europe TCF съдържа технически спецификации относно обработването на ТС низа. По-конкретно изглежда, че тези спецификации описват точно начина, по който CMP трябва да събира предпочитанията на потребителите относно обработването на отнасящите се до тях лични данни, както и начина, по който такива предпочитания трябва да се обработват, за да се генерира ТС низ. Освен това са установени конкретни правила, що се отнася до съдържанието на ТС низа и до неговото съхраняване и споделяне.

67 Видно по-специално от решението от 2 февруари 2022 г., в рамките на тези правила IAB Europe предписва стандартизирания начин, по който различните субекти, участващи в TCF, могат да консултират съдържащите се в ТС низовете предпочитания, възражения и съгласия на потребителите.

68 При това положение трябва да се счита, освен ако не се установи друго при проверките, които запитващата юрисдикция следва да извърши, че браншова организация като IAB Europe влияе за собствени цели върху разглежданите в главното производство операции по обработване на лични данни и така определя съвместно със своите членове средствата за такива операции. Следователно тя трябва да се разглежда като „съвместен администратор“ по смисъла на член 4, точка 7 и член 26, параграф 1 от ОРЗД в съответствие със съдебната практика, припомнена в точка 57 от настоящото решение.

69 Изтъкнатото от запитващата юрисдикция обстоятелство, че такава браншова организация сама по себе си няма пряк достъп до ТС низовете и следователно до личните данни, обработвани в рамките на посочените правила от нейните членове, с които тя определя съвместно целите и средствата на обработването на тези данни, не е пречка за квалифицирането ѝ като „администратор“ по смисъла на тези разпоредби в съответствие със съдебната практика, припомнена в точка 58 от настоящото решение.

70 В допълнение, в отговор на съмненията на тази юрисдикция следва да се изключи, че евентуалната съвместна отговорност на тази браншова организация се разпростира автоматично върху последващото обработване на лични данни от трети страни, като например доставчици на уебсайтове или на приложения, що се отнася до предпочитанията на потребителите във връзка с целевата онлайн реклама.

71 В това отношение следва да се отбележи, от една страна, че съгласно определението в член 4, точка 2 от ОРЗД „обработване“ на лични данни е „всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване“.

72 От това определение следва, че обработването на лични данни може да се състои от една или повече операции, всяка от които е свързана с различен етап от това обработване.

73 От друга страна, както вече е постановил Съдът, от член 4, точка 7 и от член 26, параграф 1 от ОРЗД следва, че физическо или юридическо лице може да се счита за съвместен администратор на операциите по обработване на лични данни само ако то определя съвместно с други целите и средствата на тези операции. Следователно и без да се засяга предвидената в това отношение от националното право гражданска отговорност, такова физическо или юридическо лице не може да отговаря като администратор по смисъла на посочените разпоредби за предходните или последващите операции по веригата на обработване, на които не определя нито целите, нито средствата (вж. по аналогия решение от 29 юли 2019 г., Fashion ID, C‑40/17, EU:C:2019:629, т. 74).

74 В настоящия случай следва да се направи разграничение между, от една страна, обработването на лични данни, извършвано от членовете на IAB Europe, тоест от доставчиците на уебсайтове или на приложения и от брокерите на данни или рекламните платформи, при записването в ТС низ на предпочитанията относно съгласието на съответните потребители в съответствие с установените в TCF правила, и от друга страна, последващото обработване на лични данни, извършвано от тези оператори, както и от трети страни въз основа на тези предпочитания, като например предаването на тези данни на трети страни или предлагането на персонализирана реклама на въпросните потребители.

75 Всъщност, освен ако не се установи друго при проверките, които запитващата юрисдикция следва да извърши, това последващо обработване не изглежда да включва участието на IAB Europe, така че следва да се изключи автоматичната отговорност на такава организация съвместно с посочените оператори и с трети страни, що се отнася до обработването на лични данни, извършвано въз основа на съдържащите се в ТС низ данни за предпочитанията на съответните потребители.

76 Така браншова организация като IAB Europe би могла да отговаря като администратор за такова последващо обработване само когато е установено, че тя е оказала влияние върху определянето на целите и средствата на това обработване, като запитващата юрисдикция следва да провери това с оглед на всички релевантни обстоятелства в главното производство.

77 По всички изложени съображения на втория въпрос следва да се отговори, че член 4, точка 7 и член 26, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че:

– от една страна, доколкото браншова организация предлага на членовете си установена от нея рамка от правила относно съгласието в областта на обработването на лични данни, която рамка съдържа не само задължителни технически правила, но и правила, които уреждат подробно въпроса как трябва да се съхраняват и разпространяват лични данни за съгласието, тази браншова организация трябва да се квалифицира като „съвместен администратор“ по смисъла на тези разпоредби, ако с оглед на конкретните обстоятелства по случая тя влияе за собствени цели върху разглежданото обработване на лични данни и така определя съвместно с членовете си целите и средствата на такова обработване. Обстоятелството, че такава браншова организация сама по себе си няма пряк достъп до личните данни, обработвани от членовете ѝ в рамките на посочените правила, не е пречка тя да може да има качеството „съвместен администратор“ по смисъла на посочените разпоредби,

– от друга страна, съвместната отговорност на посочената браншова организация не се разпростира автоматично върху последващото обработване на лични данни от трети страни, като например доставчиците на уебсайтове или на приложения, що се отнася до предпочитанията на потребителите във връзка с целевата онлайн реклама.

По съдебните разноски

78 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (четвърти състав) реши:

1) Член 4, точка 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

трябва да се тълкува в смисъл, че

съставен от комбинация от букви и символи низ (какъвто е ТС низът — Transparency and Consent String), който съдържа предпочитанията на потребител на интернет или на приложение, свързани със съгласието на този потребител за обработване на лични данни, отнасящи се до него, от доставчици на уебсайтове или на приложения, както и от брокери на такива данни и от рекламни платформи, представлява набор от лични данни по смисъла на тази разпоредба, доколкото посоченият низ позволява идентифицирането на субекта на данните, когато може с разумни средства да бъде свързан с идентификатор, какъвто в частност е IP адресът на устройството на потребителя. При такива обстоятелства фактът, че без външен принос браншова организация, разполагаща с този низ, не може нито да има достъп до данните, обработвани от членовете ѝ в рамките на установените от нея правила, нито да свърже посочения низ с други елементи, не е пречка същият низ да представлява набор от лични данни по смисъла на посочената разпоредба.

2) Член 4, точка 7 и член 26, параграф 1 от Регламент 2016/679

трябва да се тълкуват в смисъл, че:

Подписи

* Език на производството: нидерландски.