CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

A BÍRÓSÁG ÍTÉLETE (negyedik tanács)

2024. március 7.(*)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A tagjai számára a felhasználók hozzájárulásának kezelésére vonatkozó szabályokat javasló szabványalkotó ágazati szervezet – A 4. cikk 1. pontja – A »személyes adatok« fogalma – Az internetfelhasználó személyes adatainak kezelésével kapcsolatos preferenciáit tagolt és géppel olvasható módon rögzítő betű és karakterlánc – A 4. cikk 7. pontja – Az »adatkezelő« fogalma – A 26. cikk (1) bekezdése –A »közös adatkezelők« fogalma – Olyan szervezet, melynek magának nincs hozzáférése a tagjai által kezelt személyes adatokhoz – A szervezetnek a harmadik felek általi további adatkezelésre kiterjedő felelőssége”

A C‑604/22. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a hof van beroep te Brussel (brüsszeli fellebbviteli bíróság, Belgium) a Bírósághoz 2022. szeptember 19‑én érkezett, 2022. szeptember 7‑i határozatával terjesztett elő

az IAB Europe

és

a Gegevensbeschermingsautoriteit

között,

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

a Fundacja Panoptykon,

a Stichting Bits of Freedom,

a Ligue des droits humains VZW

részvételével folyamatban lévő eljárásban,

A BÍRÓSÁG (negyedik tanács),

tagjai: C. Lycourgos tanácselnök, O. Spineanu‑Matei, J.‑C. Bonichot, S. Rodin és L. S. Rossi (előadó) bírák,

főtanácsnok: T. Ćapeta,

hivatalvezető: A. Lamote tanácsos,

tekintettel az írásbeli szakaszra és a 2023. szeptember 21‑i tárgyalásra,

figyelembe véve a következők által előterjesztett írásbeli észrevételeket:

– az IAB Europe képviseletében P. Craddock avocat és K. Van Quathem advocaat,

– a Gegevensbeschermingsautoriteit képviseletében E. Cloots, J. Roets és T. Roes advocaten,

– Jef Ausloos, Pierre Dewitte, Johnny Ryan, a Fundacja Panoptykon, a Stichting Bits of Freedom és a Ligue des Droits Humains VZW képviseletében F. Debusseré és R. Roex advocaten,

– az osztrák kormány képviseletében J. Schmoll és C. Gabauer, meghatalmazotti minőségben,

– az Európai Bizottság képviseletében A. Bouchagiar és H. Kranenborg, meghatalmazotti minőségben,

tekintettel a főtanácsnok meghallgatását követően hozott határozatra, miszerint az ügy elbírálására a főtanácsnok indítványa nélkül kerül sor,

meghozta következő

Ítéletet

1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 1. o.; HL 2021. L 74., 35. o.) 4. cikke 1. és 7. pontjának, valamint 24. cikke (1) bekezdésének – az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 7. és 8. cikkével összefüggésben történő – értelmezésére vonatkozik.

2 E kérelmet az IAB Europe és a Gegevensbeschermingsautoriteit (adatvédelmi hatóság, Belgium; a továbbiakban: adatvédelmi hatóság) között az adatvédelmi hatóság vitarendezési tanácsának az IAB Europe‑pal szemben hozott, az általános adatvédelmi rendelet több rendelkezésének állítólagos megsértésére vonatkozó határozata tárgyában folyamatban lévő jogvita keretében terjesztették elő.

Jogi háttér

Az uniós jog

3 Az általános adatvédelmi rendelet (1), (10), (26) és (30) preambulumbekezdéseinek szövege a következő:

„(1) A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. A[Charta] 8. cikkének (1) bekezdése és az [EUMSZ] 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

[…]

(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]

[…]

(26) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését. Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

[…]

(30) A természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP‑címekkel és cookie‑azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel. Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására.”

4 Az általános adatvédelmi rendelet „Tárgy” című 1. cikkének (2) bekezdése a következőképpen rendelkezik:

„Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.”

5 Az említett rendelet 4. cikke így rendelkezik:

„E rendelet alkalmazásában:

1. »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]

7. »adatkezelő«: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

[…]

11. »az érintett hozzájárulása«: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;

[…]”

6 Az általános adatvédelmi rendeletnek „Az adatkezelés jogszerűsége” című 6. cikkének szövege a következő:

„(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

[…]

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.”

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

[…]”

7 E rendeletnek „Az adatkezelő feladatai” című 24. cikke az (1) bekezdésében a következőképpen rendelkezik:

„Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.”

8 Az említett rendelet „Közös adatkezelők” című 26. cikkének (1) bekezdése a következőket írja elő:

„Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. […]”

9 Az általános adatvédelmi rendelet „Független felügyeleti hatóságok”‑ra vonatkozó VI. fejezete tartalmazza e rendelet 51–59. cikkét.

10 E rendeletnek a „Felügyeleti hatóság” című 51. cikke a következőket írja elő (1) és (2) bekezdésében:

„(1) A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy e rendelet alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel.

(2) Minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és a[z Európai] Bizottsággal, a VII. fejezettel összhangban.”

11 Az általános adatvédelmi rendelet „Illetékesség” című 55. cikkének (1) és (2) bekezdése értelmében:

„(1) A felügyeleti hatóság a saját tagállamának területén illetékes az e rendelet alapján ráruházott feladatok végzésére és hatáskörök gyakorlására.

(2) Ha az adatkezelést a 6. cikk (1) bekezdésének c) vagy e) pontja alapján eljáró közhatalmi szervek vagy magánfél szervezetek végzik, az érintett tagállam felügyeleti hatósága az illetékes. Ezekben az esetekben az 56. cikk nem alkalmazandó.”

12 E rendeletnek „A fő felügyeleti hatóság illetékessége” című 56. cikke az (1) bekezdésében a következőket mondja ki:

„Az 55. cikk sérelme nélkül, az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében, a 60. cikk szerinti eljárással összhangban.”

13 Az említett rendelet „Feladatok” című 57. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az e rendeletben meghatározott egyéb feladatok sérelme nélkül, a felügyeleti hatóság a saját területén ellátja a következő feladatokat:

a) nyomon követi és kikényszeríti e rendelet alkalmazását;

[…]

g) együttműködik más felügyeleti hatóságokkal, ideértve az információcserét és a kölcsönös segítségnyújtást is, e rendelet egységes alkalmazásának és érvényesítésének biztosítása érdekében;

[…]”

14 Az általános adatvédelmi rendelet „Együttműködés és egységesség” című VII. fejezetének „Együttműködés” című 1. szakasza tartalmazza e rendelet 60–62. cikkét. A 60. cikk, amely „a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között[i együttműködésre]” vonatkozik, (1) bekezdésében a következőket írja elő:

„A fő felügyeleti hatóság e cikknek megfelelően, konszenzusra törekedve együttműködik a többi érintett felügyeleti hatósággal. A fő felügyeleti hatóság és az érintett felügyeleti hatóságok minden releváns információt kicserélnek egymással.”

15 Az általános adatvédelmi rendelet „Kölcsönös segítségnyújtás” című 61. cikke (1) bekezdésében a következőket mondja ki:

„A felügyeleti hatóságok e rendelet egységes végrehajtása és alkalmazása érdekében megosztják egymással a releváns információkat, és kölcsönösen segítséget nyújtanak egymásnak, valamint a hatékony együttműködést célzó intézkedéseket tesznek. A kölcsönös segítségnyújtás különösen információkérésekre és felügyeleti intézkedésekre, például az előzetes engedélyezés és egyeztetés, az ellenőrzés és a vizsgálat lefolytatása iránti megkeresésekre terjed ki.”

16 E rendelet „A felügyeleti hatóságok közös műveletei” című 62. cikkének (1) és (2) bekezdése a következőket írja elő:

„(1) A felügyeleti hatóságok adott esetben közös műveleteket hajtanak végre, ideértve a közös vizsgálatokat és a közös végrehajtási intézkedéseket is, amelyekben más tagállamok felügyeleti hatóságainak tagjai vagy alkalmazottai is részt vesznek.

(2) Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben érintenek nagyszámú érintettet, az összes szóban forgó tagállam felügyeleti hatósága jogosult részt venni a közös műveletekben. […]”

17 Az említett rendelet VII. fejezetének az „Egységesség” című 2. szakasza tartalmazza e rendelet 63–67. cikkét. Az „Az egységességi mechanizmus” című 63. cikk szövege a következő:

„Az e rendeletnek az Unió egész területén történő egységes alkalmazásához való hozzájárulás érdekében a felügyeleti hatóságok együttműködnek egymással és adott esetben a Bizottsággal az e szakaszban meghatározott egységességi mechanizmus útján.”

A belga jog

18 A 2017. december 3‑i wet tot oprichting van de Gegevensbeschermingsautoriteit (az adatvédelmi hatóság létrehozásáról szóló törvény; Belgisch Staatsblad, 2018. január 10., 989. o.) 100. cikkének (1) bekezdése a 9. pontjában a következőképpen rendelkezik:

„A vitarendezési tanács hatáskörrel rendelkezik arra, hogy:

[…]

9. elrendelje az adatkezelés megfelelővé tételét”.

19 Az adatvédelmi hatóság létrehozásáról szóló törvény 101. cikke a következőket írja elő:

„A vitarendezési tanács az [általános adatvédelmi rendelet] 83. cikkében foglalt általános elveknek megfelelően közigazgatási bírságot szabhat ki az eljárás alá vont felekkel szemben.”

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

20 Az IAB Europe egy belgiumi székhelyű nonprofit egyesület, amely európai szinten képviseli a digitális reklám‑ és marketingágazatban tevékenykedő vállalkozásokat. Az IAB Europe tagjai az ágazat vállalkozásai, mint például a kiadók, az elektronikus kereskedelemmel és marketinggel foglalkozó vállalkozások, a közvetítők, mind pedig a nemzeti egyesületek, köztük a nemzeti IAB‑k (Interactive Advertising Bureau), amelynek tagjai között szerepelnek az említett ágazat vállalkozásai. Az IAB Europe tagjai közé tartoznak többek között azok a vállalkozások, amelyek jelentős bevételre tesznek szert reklámfelületek honlapokon vagy alkalmazásokon történő értékesítéséből.

21 Az IAB Europe kifejlesztett egy átláthatósági és hozzájárulási keretet, a „Transparency & Consent Framework”‑öt (a továbbiakban: TCF), amely irányelvekből, utasításokból, műszaki előírásokból, protokollokból és szerződéses kötelezettségekből álló olyan szabályok kerete, amelyek lehetővé teszik mind valamely honlap vagy alkalmazás szolgáltatója, mind pedig adatközvetítők vagy reklámplatformok számára, hogy jogszerűen kezeljék valamely honlap vagy alkalmazás felhasználójának személyes adatait.

22 A TCF célja többek között az általános adatvédelmi rendeletnek való megfelelés előmozdítása abban az esetben, ha e szereplők az OpenRTB protokollt, vagyis a Real Time Bidding (a továbbiakban: RTB) esetében leggyakrabban használt protokollok egyikét alkalmazzák, amely RTB a felhasználói profilok internetes reklámfelületek adásvétele céljából való, valós idejű és automatizált elektronikus árverésen történő értékesítésének rendszere. Tekintettel az IAB Europe tagjai által a felhasználói profilokhoz kapcsolódó személyes adatok tömeges cseréjére szolgáló e rendszer keretében alkalmazott bizonyos gyakorlatokra, az IAB Europe a TCF‑et olyan megoldásként mutatta be, amely alkalmas arra, hogy biztosítsa az említett árverési rendszer általános adatvédelmi rendeletnek való megfelelését.

23 Közelebbről, amint az a Bíróság elé terjesztett iratokból kitűnik, műszaki szempontból, ha a felhasználó reklámfelületet tartalmazó honlapot vagy alkalmazást tekint meg, a reklámtechnológiai vállalkozások, és különösen az adatközvetítők és a reklámplatformok, amelyek több ezer hirdetőt képviselnek, valós időben, a háttérben licitálhatnak annak érdekében, hogy e reklámfelületet algoritmusokat használó, automatizált árverési rendszeren keresztül megszerezzék annak érdekében, hogy az említett felületen kifejezetten az ilyen felhasználó profiljához igazodó, célzott reklámokat jelenítsenek meg.

24 Az ilyen célzott reklámok megjelenítése előtt azonban be kell szerezni az említett felhasználó előzetes hozzájárulását. Így, amikor a felhasználó az első alkalommal megtekint egy honlapot vagy alkalmazást, egy hozzájáruláskezelő platform (úgynevezett Consent Management Platform, a továbbiakban: CMP) jelenik meg egy felugró ablakban, amely lehetővé teszi e felhasználó számára egyrészt, hogy hozzájárulását adja a honlap vagy az alkalmazás szolgáltatója részére a személyes adatainak előzetesen meghatározott célokból, például különösen marketing‑ vagy reklámcélokból történő gyűjtéséhez és kezeléséhez, vagy ezen adatoknak bizonyos szolgáltatókkal való megosztásához, másrészt pedig, hogy az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja értelmében vett, a szolgáltatók által érvényesíteni kívánt jogos érdekeken alapuló különböző adatkezelési formákat vagy az adatok megosztását elutasítsa. Ezek a személyes adatok többek között a felhasználó helyére, életkorára, keresési előzményeire és közelmúltbeli vásárlásaira vonatkoznak.

25 Ebben az összefüggésben a TCF keretet biztosít a személyes adatok nagy léptékű kezeléséhez, és a CMP révén megkönnyíti a felhasználók preferenciáinak rögzítését. Ezeket a preferenciákat ezt követően az IAB Europe által Transparency and Consent Stringnek nevezett, betűk és karakterek kombinációjából álló láncban (a továbbiakban: TC String) kódolják és tárolják, amelyet megosztanak az OpenRTB protokollban részt vevő személyesadat‑közvetítőkkel és reklámplatformokkal annak érdekében, hogy azok tudják, hogy a felhasználó mihez adta hozzájárulását vagy mit utasított el. A CMP egy sütit (euconsent‑v2) is elhelyez a felhasználó eszközén. A TC String és az euconsent‑v2 süti – együttesen – összekapcsolható a felhasználó IP‑címével.

26 A TCF ily módon szerepet játszik az OpenRTB protokoll működésében, mivel lehetővé teszi a felhasználók preferenciáinak átvezetését a potenciális eladókkal való közlésük és különböző adatkezelési célok elérése érdekében, beleértve a személyre szabott reklámok felajánlását is. A TCF célja többek között az, hogy a TC String révén biztosítsa a személyesadat‑közvetítők és a reklámplatformok számára az általános adatvédelmi rendeletnek való megfelelést.

27 2019 óta az adatvédelmi hatósághoz több panasz érkezett az IAB Europe‑pal szemben, Belgiumból és harmadik országokból egyaránt, a TCF általános adatvédelmi rendeletnek való megfelelésével kapcsolatban. E panaszok kivizsgálását követően az adatvédelmi hatóság az általános adatvédelmi rendelet 56. cikkének (1) bekezdése értelmében vett fő felügyeleti hatóságként elindította az együttműködési és egységességi mechanizmust az említett rendelet 60–63. cikkének megfelelően, annak érdekében, hogy az e mechanizmusba bevont 21 nemzeti felügyeleti hatóság mindegyike által közösen jóváhagyott, együttes határozatot hozzon. Így az adatvédelmi hatóság vitarendezési tanácsa 2022. február 2‑i határozatában (a továbbiakban: 2022. február 2‑i határozat) megállapította, hogy az IAB Europe személyesadat‑kezelőként jár el az egyes felhasználók általi hozzájárulás, elutasítás és az egyes felhasználók preferenciái jelzésének TC String révén történő rögzítése tekintetében, amely TC String az adatvédelmi hatóság vitarendezési tanácsa szerint azonosítható felhasználóhoz rendelhető. Ezenkívül e határozatban az adatvédelmi hatóság vitarendezési tanácsa az adatvédelmi hatóság létrehozásáról szóló törvény 100. cikke 1. §‑ának 9. pontja alapján arra kötelezte az IAB Europe‑ot, hogy hozza összhangba a személyes adatoknak a TCF keretében végzett kezelését az általános adatvédelmi rendelet rendelkezéseivel, és több korrekciós intézkedést rendelt el, valamint közigazgatási bírságot szabott ki vele szemben.

28 Az IAB Europe keresetet nyújtott be az említett határozattal szemben a kérdést előterjesztő bírósághoz, a hof van beroep te Brusselhez (brüsszeli fellebbviteli bíróság, Belgium). Az IAB Europe azt kéri, hogy az említett bíróság semmisítse meg a 2022. február 2‑i határozatot. Vitatja többek között azt, hogy úgy tekintik, adatkezelőként járt el. Azt állítja továbbá, hogy amennyiben az említett határozat azt állapítja meg, hogy a TC String az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett személyes adat, e határozat nem kellően árnyalt és indokolt, és mindenesetre téves. Az IAB Europe különösen azt hangsúlyozza, hogy csak a TCF többi résztvevője kapcsolhatja össze a TC Stringet egy IP‑címmel annak érdekében, hogy azt személyes adattá alakítsa, hogy a TC String nem a felhasználó sajátja, valamint hogy ő maga nem férhet hozzá az e tekintetben a tagjai által kezelt adatokhoz.

29 A nemzeti eljárás keretében a Jef Ausloos, Pierre Dewitte, Johnny Ryan, a Fundacja Panoptykon, a Stichting Bits of Freedom és a Ligue des droits Humains VZW által támogatott adatvédelmi hatóság többek között arra hivatkozik, hogy a TC Stringek mindenképpen személyes adatnak minősülnek, mivel a CMP‑k IP‑címekhez tudják hozzárendelni őket, ezenkívül, hogy a TCF‑résztvevők más adatok alapján is képesek azonosítani a felhasználókat, és hogy az IAB Europe hozzáféréssel rendelkezik az ehhez szükséges információkhoz, valamint hogy a célzott reklámozást megkönnyítő TC String célja éppen a felhasználó ezen azonosítása. Ezenkívül az adatvédelmi hatóság többek között azt állítja, hogy az, hogy az IAB Europe‑ot az általános adatvédelmi rendelet értelmében vett adatkezelőnek kell tekinteni, a TC Stringek kezelésében betöltött döntő szerepéből következik. Az adatvédelmi hatóság hozzáteszi, hogy e szervezet határozza meg az adatkezelés céljait és eszközeit, valamint a TC Stringek létrehozásának, átalakításának és lekérdezésének módját és a szükséges sütik tárolásának módját és helyét, továbbá, hogy ki kapja meg a személyes adatokat, és hogy milyen szempontok alapján határozható meg a TC Stringek tárolásának időtartama.

30 A kérdést előterjesztő bíróságnak kétségei vannak azzal kapcsolatban, hogy a TC String személyes adatnak minősül‑e, függetlenül attól, hogy az IP‑címmel összekapcsolják‑e, vagy sem, és ha igen, akkor az IAB Europe‑ot a TCF keretében kezelt személyes adatok kezelőjének kell‑e tekinteni, különös tekintettel a TC String kezelésére. E tekintetben az említett bíróság megjegyzi, hogy bár igaz, hogy a 2022. február 2‑i határozat a jelen ügyben érintett különböző nemzeti felügyeleti hatóságok által közösen elfogadott, együttes álláspontot tükrözi, a Bíróságnak még nem volt lehetősége arra, hogy a szóban forgó új intruzív technológiával – mint amilyen a TC String – összefüggésben állást foglaljon.

31 E körülmények között a hof van beroep te Brussel (brüsszeli fellebbviteli bíróság) úgy határozott, hogy felfüggeszti az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1) a) Úgy kell‑e értelmezni a[z általános adatvédelmi rendelet] [Charta] 7. és 8. cikkével összefüggésben értelmezett 4. cikkének 1. pontját, hogy az olyan karakterlánc, amely tagolt és géppel olvasható módon rögzíti az internetfelhasználó személyes adatainak kezelésével kapcsolatos preferenciáit, az említett rendelkezés értelmében vett személyes adatnak minősül (1.) az olyan ágazati szervezet szempontjából, amely olyan szabványt bocsát tagjai rendelkezésére, amellyel megszabja számukra, hogy gyakorlati és technikai szempontból milyen módon kell létrehozni, tárolni és/vagy terjeszteni az említett karakterláncot, és (2.) azon felek szempontjából, akik e szabványt bevezették weboldalaikon vagy alkalmazásaikban, és ily módon ezért hozzáférnek az említett karakterlánchoz?

b) E tekintetben jelentőséggel bír‑e, hogy a szabvány bevezetése magában foglalja, hogy az említett karakterlánc egy IP‑címmel együtt áll rendelkezésre?

c) Eltérő választ kell‑e adni az a) és a b) kérdésre akkor, ha maga az említett szabványalkotó ágazati szervezet nem rendelkezik törvényileg szabályozott hozzáféréssel a tagjai által az említett szabvány keretében kezelt személyes adatokhoz?

2) a) Úgy kell‑e értelmezni a[z általános adatvédelmi rendelet] [Charta] 7. és 8. cikkével összefüggésben értelmezett 4. cikkének 7. pontját és 24. cikkének (1) bekezdését, hogy a szabványalkotó ágazati szervezetet adatkezelőnek kell tekinteni, ha tagjainak a kötelező technikai kereten túlmenően olyan előírásokat tartalmazó szabványt kínál a hozzájárulás kezeléséhez, amelyek részletesen meghatározzák, hogy milyen módon kell tárolni és terjeszteni ezeket a személyes adatnak minősülő hozzájárulási adatokat?

b) Eltérő választ kell‑e adni az a) és a b) kérdésre akkor, ha maga az említett szabványalkotó ágazati szervezet nem rendelkezik törvényileg szabályozott hozzáféréssel a tagjai által az említett szabvány keretében kezelt személyes adatokhoz?

c) Ha a szabványalkotó ágazati szervezetet az internetfelhasználók preferenciái tekintetében adatkezelőnek vagy közös adatkezelőnek kell tekinteni, akkor a szabványalkotó ágazati szervezet (közös) felelőssége automatikusan kiterjed‑e az olyan harmadik felek általi további adatkezelésekre is, akik számára az internetfelhasználók preferenciáit rendelkezésre bocsátották, például a kiadók és értékesítők általi célzott online reklámozásra?”

Az első kérdésről

32 Első kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 4. cikkének 1. pontját úgy kell‑e értelmezni, hogy a TC Stringhoz hasonló olyan betűk és karakterek kombinációjából álló lánc, amely valamely internet‑ vagy alkalmazásfelhasználónak a rá vonatkozó személyes adatok internetes oldalak vagy alkalmazások szolgáltatói, valamint ilyen adatok közvetítői és reklámplatformok általi kezeléséhez való hozzájárulásával kapcsolatos preferenciáit tartalmazza, az e rendelkezés értelmében vett személyes adatnak minősül‑e, ha valamely ágazati szervezet megállapította az ilyen lánc létrehozásával, tárolásával vagy terjesztésével kapcsolatos szabályok keretrendszerét, és az ilyen szervezet tagjai e szabályokat végrehajtják, és ily módon hozzáférhetnek az említett lánchoz. E bíróság arra is vár választ, hogy e kérdés megválaszolásához először is szükséges‑e, hogy az említett lánc egy olyan azonosítóhoz kapcsolódjon, mint például az említett felhasználó készülékének IP‑címe, amely lehetővé teszi az érintett személy azonosítását, másodszor pedig, hogy az ilyen ágazati szervezet jogosult‑e arra, hogy közvetlenül hozzáférjen a tagjai által az általa meghatározott szabályozási kerettel összefüggésben kezelt személyes adatokhoz.

33 Elöljáróban emlékeztetni kell arra, hogy mivel az általános adatvédelmi rendelet hatályon kívül helyezte és felváltotta a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvet (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.), és mivel e rendelet releváns rendelkezéseinek hatálya lényegében megegyezik ezen irányelv releváns rendelkezéseinek tartalmával, a Bíróságnak az említett irányelvre vonatkozó ítélkezési gyakorlata főszabály szerint az említett rendelet vonatkozásában is alkalmazandó (2021. június 17‑i M. I. C. M. ítélet, C‑597/19, EU:C:2021:492, 107. pont).

34 Emlékeztetni kell továbbá arra, hogy az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak annak szövegét, hanem azt a kontextust is figyelembe kell venni, amelybe illeszkedik, valamint azon jogi aktus céljait is, amelynek az a részét képezi (2023. június 22‑i Pankki S ítélet, C‑579/21, EU:C:2023:501, 38. pont, valamint a hivatkozott ítélkezési gyakorlat).

35 E tekintetben meg kell jegyezni, hogy az általános adatvédelmi rendelet 4. cikkének 1. pontja szerint a személyes adat fogalmába beletartozik „az azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ”, továbbá e rendelkezés pontosítja, hogy „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.

36 Az, hogy az uniós jogalkotó a „személyes adat” e rendelkezésben szereplő fogalmának meghatározása során a „bármely információ” kifejezést használta, e jogalkotó részéről azt a célt tükrözi, hogy e fogalomnak olyan tág jelentést adjon, amely potenciálisan magában foglal minden típusú információt, legyen az akár objektív, akár vélemény vagy értékelés formájában megjelenő szubjektív információ, feltéve hogy az a szóban forgó személyre „vonatkozik” (2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 23. pont, valamint a hivatkozott ítélkezési gyakorlat).

37 E tekintetben a Bíróság kimondta, hogy valamely információ akkor vonatkozik egy azonosított vagy azonosítható természetes személyre, ha az információ a tartalmánál, céljánál vagy hatásánál fogva egy azonosítható személyhez kapcsolódik (2023. május 4‑i Österreichische Datenschutzbehörde és CRIF ítélet, C‑487/21, EU:C:2023:369, 24. pont, valamint a hivatkozott ítélkezési gyakorlat).

38 Adott személy „azonosítható” jellegét illetően az általános adatvédelmi rendelet 4. cikke 1. pontjának szövegéből kitűnik, hogy azonosíthatónak nem csupán az a személy minősül, aki közvetlen módon, hanem az is, aki közvetett módon azonosítható.

39 A „közvetett módon” kifejezés uniós jogalkotó által történő alkalmazása azt jelzi, hogy annak érdekében, hogy valamely adatot személyes adatnak lehessen minősíteni, nem szükséges, hogy ezen adat önmagában lehetővé tegye az érintett személy azonosítását (lásd analógia útján: 2016. október 19‑i Breyer ítélet, C‑582/14, EU:C:2016:779, 41. pont). Épp ellenkezőleg, az általános adatvédelmi rendelet (26) preambulumbekezdésével összefüggésben értelmezett 4. cikkének 5. pontjából az következik, hogy azon személyes adatokat, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatoknak kell tekinteni (lásd: 2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 58. pont).

40 Ezenfelül a (26) preambulumbekezdés pontosítja, hogy valamely természetes személy „azonosíthatóságának” meghatározásakor „minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja”. E megfogalmazás arra utal, hogy ahhoz, hogy valamely adat e rendelet 4. cikkének 1. pontja értelmében „személyes adatnak” minősüljön, nem követelmény, hogy az érintett személy azonosítását lehetővé tevő minden adat egy személy kezében legyen (lásd analógia útján: 2016. október 19‑i Breyer ítélet, C‑582/14, EU:C:2016:779, 43. pont).

41 Ebből következően a „személyes adatok” fogalma nem csupán az adatkezelő által megszerzett és tárolt adatokra terjed ki, hanem magában foglalja az azonosított vagy azonosítható személyre vonatkozó személyes adatok kezeléséből származó valamennyi információt is (2023. június 22‑i Pankki S ítélet, C‑579/21, EU:C:2023:501, 45. pont).

42 A jelen ügyben meg kell állapítani, hogy a betűk és karakterek kombinációjából álló olyan lánc, mint a TC String, valamely internet‑ vagy alkalmazásfelhasználónak a rá vonatkozó személyes adatok harmadik személyek általi kezeléséhez való hozzájárulásával kapcsolatos preferenciáit vagy ezen adatoknak az általános adatvédelmi rendelet 6. cikke (1) bekezdésének f) pontja szerinti állítólagos jogos érdeken alapuló kezelésével szembeni esetleges tiltakozását tartalmazza.

43 Márpedig, még ha a TC String önmagában nem is tartalmaz olyan elemeket, amelyek lehetővé tennék az érintett személy közvetlen azonosítását, ez nem változtat azon, hogy először is egy konkrét felhasználó egyéni preferenciáit tartalmazza az őt érintő személyes adatok kezeléséhez való hozzájárulása tekintetében, mivel ezek az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett „természetes személyre vonatkozó” információk.

44 Másodszor az sem vitatott, hogy amennyiben a TC Stringben szereplő információk olyan azonosítóhoz kapcsolódnak, mint például az ilyen felhasználó készülékének IP‑címe, annyiban lehetővé tehetik az említett felhasználó profiljának létrehozását és az ilyen információkkal konkrétan érintett személy tényleges azonosítását.

45 Amennyiben a TC Stringhez hasonló betűk és karakterek kombinációjából álló lánc kiegészítő adatokkal – többek között a felhasználó készülékének IP‑címével vagy más azonosítókkal – való összekapcsolása lehetővé teszi e felhasználó azonosítását, meg kell állapítani, hogy a TC String azonosítható felhasználókra vonatkozó információkat tartalmaz, és így az általános adatvédelmi rendelet 4. cikkének (1) bekezdése értelmében vett személyes adatnak minősül, amit megerősít e rendelet (30) preambulumbekezdése is, amely kifejezetten ilyen esetre vonatkozik.

46 Ezt az értelmezést nem kérdőjelezheti meg önmagában az a körülmény, hogy maga az IAB Europe nem tudná a TC Stringet összekapcsolni a felhasználó készülékének IP‑címével, és nincs lehetősége közvetlenül hozzáférni a tagjai által a TCF keretében kezelt adatokhoz.

47 Amint ugyanis az a jelen ítélet 40. pontjában felidézett ítélkezési gyakorlatból kitűnik, e körülmény nem képezi akadályát annak, hogy a TC Stringet az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett „személyes adatnak” minősüljön.

48 Egyébként pedig a Bíróság rendelkezésére álló iratokból, és különösen a 2022. február 2‑i határozatból kitűnik, hogy az IAB Europe tagjai az IAB Europe kérésére kötelesek közölni vele minden olyan információt, amely lehetővé teszi számára azon felhasználók azonosítását, akiknek az adatai a TC String tárgyát képezik.

49 Úgy tűnik tehát – a kérdést előterjesztő bíróság által e tekintetben elvégzendő vizsgálatok függvényében –, hogy az IAB Europe – az általános adatvédelmi rendelet (26) preambulumbekezdésében foglaltaknak megfelelően – rendelkezik olyan észszerű eszközökkel, amelyek lehetővé teszik számára a TC Stringből egy meghatározott természetes személy azonosítását azon információk alapján, amelyeket az IAB Europe tagjai és a TCF‑ben részt vevő más szervezetek kötelesek a rendelkezésére bocsátani.

50 A fentiekből következik, hogy a TC String az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett személyes adatnak minősül. E tekintetben nincs jelentősége annak a ténynek, hogy az ilyen ágazati szervezet – olyan külső hozzájárulás nélkül, amelyet jogosult megkövetelni – nem férhet hozzá a tagjai által az általa megállapított szabályok keretében kezelt adatokhoz, és nem is kapcsolhatja össze a TC Stringet más olyan azonosítókkal, mint például a felhasználó készülékének IP‑címe.

51 A fentiekre tekintettel az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 4. cikkének 1. pontját úgy kell értelmezni, hogy a TC Stringhez hasonló, olyan betűk és karakterek kombinációjából álló lánc, amely valamely internet‑ vagy alkalmazásfelhasználónak a rá vonatkozó személyes adatok internetes oldalak vagy alkalmazások szolgáltatói, valamint ilyen adatok közvetítői és reklámplatformok általi kezeléséhez való hozzájárulásával kapcsolatos preferenciáit tartalmazza, az e rendelkezés értelmében vett személyes adatnak minősül, amennyiben észszerű eszközökkel összekapcsolható egy azonosítóval, mint például az említett felhasználó készülékének IP‑címe, és így lehetővé teszi az érintett személy azonosítását. Ilyen esetben az a körülmény, hogy az e lánccal rendelkező ágazati szervezet külső hozzájárulás nélkül nem tud a tagjai által az általa megállapított szabályok keretében kezelt adatokhoz hozzáférni, és nem is tudja az említett láncot más elemekkel összekapcsolni, nem akadálya annak, hogy ugyanezen lánc az említett rendelkezés értelmében vett személyes adatnak minősüljön.

A második kérdésről

52 Második kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy úgy kell‑e értelmezni az általános adatvédelmi rendelet 4. cikkének 7. pontját, hogy:

– egyfelől az ágazati szervezetet „közös adatkezelőnek” kell tekinteni az említett rendelkezés értelmében, ha tagjainak a személyes adatok kezeléséhez való hozzájárulást érintően általa létrehozott, a kötelező technikai szabályokon túlmenően olyan előírásokat tartalmazó szabálykeretet kínál, amelyek részletesen meghatározzák, hogy milyen módon kell tárolni és terjeszteni ezeket a hozzájárulásra vonatkozó személyes adatokat, és hogy e kérdés megválaszolása szempontjából releváns‑e, hogy az ilyen ágazati szervezet maga is közvetlen hozzáféréssel rendelkezik‑e a tagjai által e szabályok alapján kezelt személyes adatokhoz;

– másfelől az említett ágazati szervezet esetleges közös felelőssége automatikusan kiterjed‑e a személyes adatok harmadik személyek – így például a honlapok vagy alkalmazások szolgáltatói – általi, a felhasználói preferenciák tekintetében, célzott online reklámozás céljából végzett további kezelésére.

53 Előzetesen emlékeztetni kell arra, hogy az általános adatvédelmi rendelet által követett, a rendelet 1. cikkéből, valamint (1) és (10) preambulumbekezdéséből következő célkitűzés többek között arra irányul, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a magánélet tiszteletben tartásához való jognak a magas szintű védelmét a személyes adatok kezelése tekintetében, amelyet a Charta 8. cikkének (1) bekezdése és az EUMSZ 16. cikk (1) bekezdése rögzít (2023. május 4‑i Bundesrepublik Deutschland [igazságügyi elektronikus fiók] ítélet, C‑60/22, EU:C:2023:373, 64. pont).

54 E célkitűzésnek megfelelően e rendelet 4. cikkének 7. pontja tágan határozza meg az „adatkezelő” fogalmát, olyan természetes vagy jogi személyként, közhatalmi szervként, ügynökségként vagy bármely egyéb szervként, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

55 Amint a Bíróság már kimondta, e rendelkezés – az „adatkezelő” fogalmának tág meghatározásával – ugyanis arra irányul, hogy az érintetteknek hatékony és teljes védelmet biztosítson (lásd analógia útján: 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet, C‑210/16, EU:C:2018:388, 28. pont).

56 Továbbá, mivel – amint az általános adatvédelmi rendelet 4. cikkének 7. pontja kifejezetten előírja – az „adatkezelő” fogalma azon szervre vonatkozik, amely „önállóan vagy másokkal együtt” meghatározza a személyes adatok kezelésének céljait és eszközeit, e fogalom nem feltétlenül egyetlen szervre utal, és az ezen adatkezelésben részt vevő több szereplőt is érinthet, és így mindegyikükre vonatkoznak a személyes adatok védelmére vonatkozó rendelkezések (lásd analógia útján: 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet, C‑210/16, EU:C:2018:388, 29. pont; 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 65. pont).

57 A Bíróság azt is megállapította, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontja értelmében vett adatkezelőnek minősülhet az a természetes vagy jogi személy, aki vagy amely – saját céljaiból – befolyást gyakorol a személyes adatok kezelésére, és emiatt részt vesz a kezelés céljainak és eszközeinek meghatározásában (lásd analógia útján: 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 68. pont). Így az általános adatvédelmi rendelet 26. cikkének (1) bekezdése szerint „közös adatkezelőkről” akkor van szó, ha két vagy több adatkezelő közösen határozza meg az adatkezelés céljait és eszközeit (2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 40. pont).

58 E tekintetben, bár a közös adatkezelők mindegyikének önállóan meg kell felelnie az „adatkezelő” általános adatvédelmi rendelet 4. cikkének 7. pontjában szereplő fogalommeghatározásának az együttes, adatkezelői felelősség fennállása nem feltétlenül jelenti ugyanazon személyesadat‑kezelés tekintetében a különböző szereplők azonos felelősségét. Éppen ellenkezőleg, mivel e szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, a felelősségük mértékét az adott ügyre jellemző valamennyi releváns körülmény figyelembevételével kell értékelni. Egyébiránt az ugyanazon adatkezelés tekintetében több szereplő e rendelkezés szerinti együttes felelőssége fennállásának nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz (lásd analógia útján: 2018. július 10‑i Jehovan todistajat ítélet, C‑25/17, EU:C:2018:551, 66. és 69. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

59 Az adatkezelés céljainak és eszközeinek meghatározásában való részvétel különböző formákban nyilvánulhat meg: következhet két vagy több jogalany által hozott közös döntésből, vagy e jogalanyok egybehangzó döntéseiből. Az utóbbi esetben az említett határozatoknak ki kell egészíteniük egymást, így mindegyiknek konkrét hatása van az adatkezelés céljainak és eszközeinek meghatározására. Ezzel szemben nem követelhető meg, hogy az adatkezelők között alakszerű megállapodás jöjjön létre az adatkezelés céljait és eszközeit illetően (2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet, C‑683/21, EU:C:2023:949, 43. és 44. pont).

60 A fentiekre tekintettel az előterjesztett kérdés első részét úgy kell átfogalmazni, hogy az annak meghatározására irányul, hogy egy olyan ágazati szervezet, mint az IAB Europe, az általános adatvédelmi rendelet 4. cikkének 7. pontja és 26. cikkének (1) bekezdése értelmében vett közös adatkezelőnek tekinthető‑e.

61 E célból meg kell tehát vizsgálni, hogy a jelen ügy sajátos körülményeire tekintettel e szervezet saját céljaiból befolyást gyakorol‑e az olyan személyes adatok kezelésére, mint a TC String, és másokkal együtt meghatározza‑e az ilyen adatkezelés céljait és eszközeit.

62 Ami először is a személyes adatok ilyen kezelésének céljait illeti, a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel, a Bíróság rendelkezésére álló iratokból kitűnik, hogy – amint arra a jelen ítélet 21. és 22. pontja emlékeztet – az IAB Europe által létrehozott TCF olyan szabályok keretét képezi, amelyek annak biztosítására irányulnak, hogy valamely honlap vagy alkalmazás felhasználója személyes adatainak a reklámfelületek online árverésén részt vevő bizonyos szereplők által végzett kezelése összeegyeztethető legyen az általános adatvédelmi rendelettel.

63 E körülmények között a TCF lényegében arra irányul, hogy elősegítse és lehetővé tegye reklámfelületeknek az említett szereplők általi internetes adásvételét.

64 Ennélfogva – a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel – úgy tekinthető, hogy az IAB Europe saját céljaiból befolyást gyakorol az alapeljárásban szóban forgó személyesadat‑kezelési műveletekre, és emiatt tagjaival együtt határozza meg az ilyen műveletek céljait.

65 Másodszor, ami a személyes adatok ilyen kezeléséhez használt eszközöket illeti, a Bíróság rendelkezésére álló iratokból az tűnik ki – a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel –, hogy a TCF olyan szabálykeretet képez, amelyet az IAB Europe tagjainak el kell fogadniuk az e szervezethez való csatlakozáshoz. Közelebbről, amint azt az IAB Europe a Bíróság előtti tárgyaláson megerősítette, ha valamelyik tagja nem felel meg a TCF szabályainak, az IAB Europe e taggal szemben meg nem felelésről és felfüggesztésről szóló határozatot hozhat, amely az említett tag TCF‑ből való kizárásához, és ennélfogva annak megakadályozásához vezethet, hogy e tag az általános adatvédelmi rendeletnek való megfelelés azon garanciájára hivatkozzon, amelyet e mechanizmus a TC Stringek segítségével végzett személyesadat‑kezelés tekintetében állítólag nyújt.

66 Ezenkívül gyakorlati szempontból, amint az a jelen ítélet 21. pontjában említésre került, az IAB Europe által létrehozott TCF a TC String kezelésére vonatkozó műszaki előírásokat tartalmaz. Úgy tűnik különösen, hogy ezek az előírások pontosan leírják, hogy a CMP‑k milyen módon kötelesek összegyűjteni a felhasználóknak a velük kapcsolatos személyes adatok kezelésére vonatkozó preferenciáit, valamint azt, hogy az ilyen preferenciákat hogyan kell kezelni a TC String generálása érdekében. Ezenkívül pontos szabályokat állapítanak meg a TC String tartalmára, valamint annak tárolására és megosztására vonatkozóan is.

67 A 2022. február 2‑i határozatból többek között kitűnik, hogy az IAB Europe e szabályok keretében többek között azt írja elő, hogy a TCF‑ben részt vevő különböző felek milyen egységesített formában tekinthetnek be a felhasználók TC Stringekben foglalt preferenciáiba, elutasításaiba és hozzájárulásaiba

68 E körülmények között, és a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel, meg kell állapítani, hogy az olyan ágazati szervezet, mint az IAB Europe saját céljaiból befolyást gyakorol az alapeljárásban szóban forgó személyesadat‑kezelési műveletekre, és emiatt tagjaival együtt meghatározza az ilyen műveletek alapjául szolgáló eszközöket. Ebből következik, hogy az IAB Europe‑ot a jelen ítélet 57. pontjában felidézett ítélkezési gyakorlatnak megfelelően az általános adatvédelmi rendelet 4. cikkének 7. pontja és 26. cikkének (1) bekezdése értelmében vett „közös adatkezelőnek” kell tekinteni.

69 A kérdést előterjesztő bíróság által hivatkozott azon körülmény, amely szerint az ilyen ágazati szervezet maga nem fér hozzá közvetlenül a TC Stringekhez, és így az említett szabályok keretében azon tagjai által kezelt személyes adatokhoz, akikkel együtt határozza meg ezen adatok kezelésének céljait és eszközeit, a jelen ítélet 58. pontjában felidézett ítélkezési gyakorlatnak megfelelően nem akadálya annak, hogy e szervezetet az említett rendelkezés értelmében vett „adatkezelőnek” lehessen minősíteni.

70 Ezenkívül az e bíróság által kifejezett kételyekre válaszul ki kell zárni, hogy ezen ágazati szervezet esetleges együttes felelőssége automatikusan kiterjedjen a személyes adatok harmadik személyek – például honlapok vagy alkalmazások szolgáltatói – általi, a felhasználói preferenciák tekintetében, célzott online reklámozás céljából végzett további kezelésére.

71 E tekintetben emlékeztetni kell arra egyrészt, hogy az általános adatvédelmi rendelet 4. cikkének 2. pontja a személyes adatok „kezelését” a következőképpen határozza meg: „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés”.

72 E meghatározásból kitűnik, hogy a személyes adatok kezelése egy vagy több műveletből állhat, amelyek mindegyike ezen adatkezelés eltérő szakaszához kapcsolódik.

73 Másrészt, amint azt a Bíróság már megállapította, az általános adatvédelmi rendelet 4. cikkének 7. pontjából és 26. cikkének (1) bekezdéséből következik, hogy egy természetes vagy jogi személy csak az olyan személyesadat‑kezelési műveletek tekintetében minősíthető közös adatkezelőnek, amelyek céljait és eszközeit másokkal együtt ő határozza meg. Következésképpen, és a nemzeti jog szerinti esetleges polgári jogi felelősséget nem érintve, ez a természetes vagy jogi személy nem tekinthető az említett rendelkezések értelmében adatkezelőnek az adatkezelési lánc olyan korábbi vagy későbbi műveletei tekintetében, amelyek céljait és eszközeit nem ő határozza meg (lásd analógia útján: 2019. július 29‑i Fashion ID ítélet, C‑40/17, EU:C:2019:629, 74. pont).

74 A jelen ügyben különbséget kell tenni egyrészt az IAB Europe tagjai, vagyis a honlapok vagy alkalmazások szolgáltatói, valamint az adatközvetítők vagy a reklámplatformok által az érintett felhasználók hozzájárulásra vonatkozó preferenciáinak a TC Stringben, a TCF‑ben megállapított szabályok alapján történő rögzítése során végzett személyesadat‑kezelés, másrészt pedig a személyes adatoknak az e szereplők és harmadik személyek által e preferenciák alapján végzett további kezelése, mint például ezen adatok harmadik személyek részére történő továbbítása vagy személyre szabott reklámok e felhasználók részére történő felajánlása között.

75 Úgy tűnik ugyanis, hogy ez a további adatkezelés – a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel – nem foglalja magában az IAB Europe részvételét, így ki kell zárni e szervezetnek az említett szereplőkkel, valamint harmadik személyekkel együttesen fennálló automatikus felelősségét a TC Stringben szereplő, az érintett felhasználók preferenciáira vonatkozó adatok alapján történő személyesadat‑kezelést illetően.

76 Így az olyan ágazati szervezet, mint az IAB Europe, csak akkor tekinthető az ilyen további adatkezelések tekintetében adatkezelőnek, ha bizonyított, hogy befolyást gyakorolt ezen adatkezelések céljainak és eszközeinek meghatározására, aminek vizsgálata az alapeljárás valamennyi releváns körülményére tekintettel a kérdést előterjesztő bíróság feladata.

77 A fenti megfontolások összességére tekintettel a második kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 4. cikkének 7. pontját és 26. cikkének (1) bekezdését úgy kell értelmezni, hogy:

– egyrészt az ágazati szervezetet, amennyiben tagjainak a személyes adatok kezeléséhez való hozzájárulást érintően általa létrehozott, a kötelező technikai szabályokon túlmenően olyan előírásokat tartalmazó szabálykeretet kínál, amelyek részletesen meghatározzák, hogy milyen módon kell tárolni és terjeszteni ezeket a hozzájárulásra vonatkozó személyes adatokat, „közös adatkezelőnek” kell tekinteni az említett rendelkezések értelmében, ha az adott ügy sajátos körülményeire tekintettel saját céljaiból befolyást gyakorol az érintett személyes adatok kezelésére, és ennélfogva tagjaival együtt meghatározza az ilyen adatkezelés céljait és eszközeit. Az a körülmény, hogy az ilyen ágazati szervezet maga nem fér hozzá közvetlenül a tagjai által az említett szabályok keretében kezelt személyes adatokhoz, nem akadálya annak, hogy az említett rendelkezések értelmében közös adatkezelőnek minősüljön;

– másrészt az említett ágazati szervezet együttes felelőssége nem terjed ki automatikusan a személyes adatok harmadik személyek – például honlapok vagy alkalmazások szolgáltatói – általi, a felhasználói preferenciák tekintetében, célzott online reklámozás céljából végzett további kezelésére.

A költségekről

78 Mivel ez az eljárás az alapügyben részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (negyedik tanács) a következőképpen határozott:

1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikkének 1. pontját

a következőképpen kell értelmezni:

a TC Stringhez (Transparency and Consent String) hasonló, olyan betűk és karakterek kombinációjából álló lánc, amely valamely internet‑ vagy alkalmazásfelhasználónak a rá vonatkozó személyes adatok internetes oldalak vagy alkalmazások szolgáltatói, valamint ilyen adatok közvetítői és reklámplatformok általi kezeléséhez való hozzájárulásával kapcsolatos preferenciáit tartalmazza, az e rendelkezés értelmében vett személyes adatnak minősül, amennyiben észszerű eszközökkel összekapcsolható egy azonosítóval, mint például az említett felhasználó készülékének IP‑címével, és így lehetővé teszi az érintett személy azonosítását. Ilyen esetben az a körülmény, hogy az e lánccal rendelkező ágazati szervezet külső hozzájárulás nélkül nem tud a tagjai által az általa megállapított szabályok keretében kezelt adatokhoz hozzáférni, és nem is tudja az említett láncot más elemekkel összekapcsolni, nem akadálya annak, hogy ugyanezen lánc az említett rendelkezés értelmében vett személyes adatnak minősüljön.

2) A 2016/679 rendelet 4. cikkének 7. pontját és 26. cikkének (1) bekezdését

a következőképpen kell értelmezni:

Aláírások

* Az eljárás nyelve: holland.