CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

SODBA SODIŠČA (četrti senat)

z dne 7. marca 2024(*)

„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Panožna normativna organizacija, ki svojim članom predlaga pravila o obdelavi privolitve uporabnikov – Člen 4, točka 1 – Pojem ,osebni podatki‘ – Niz črk in znakov, ki na strukturiran in strojno berljiv način zajame preference spletnega uporabnika v zvezi s privolitvijo tega uporabnika v obdelavo njegovih osebnih podatkov – Člen 4, točka 7 – Pojem ,upravljavec‘ – Člen 26(1) – Pojem ,skupni upravljavci‘ – Organizacija, ki sama nima dostopa do osebnih podatkov, ki jih obdelujejo njeni člani – Odgovornost organizacije, ki se razteza na nadaljnje obdelave podatkov, ki jih izvajajo tretje osebe“

V zadevi C‑604/22,

katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo hof van beroep te Brussel (višje sodišče v Bruslju, Belgija) z odločbo z dne 7. septembra 2022, ki je na Sodišče prispela 19. septembra 2022, v postopku

IAB Europe

proti

Gegevensbeschermingsautoriteit,

ob udeležbi

Jefa Ausloosa,

Pierra Dewitta,

Johnnyja Ryana,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des droits humains VZW,

SODIŠČE (četrti senat),

v sestavi C. Lycourgos, predsednik senata, O. Spineanu-Matei, sodnica, J.‑C. Bonichot, S. Rodin, sodnika, in L. S. Rossi (poročevalka), sodnica,

generalna pravobranilka: T. Ćapeta,

sodna tajnica: A. Lamote, administratorka,

na podlagi pisnega postopka in obravnave z dne 21. septembra 2023,

ob upoštevanju stališč, ki so jih predložili:

– za IAB Europe P. Craddock, avocat, in K. Van Quathem, advocaat,

– za Gegevensbeschermingsautoriteit E. Cloots, J. Roets in T. Roes, advocaten,

– za Jefa Ausloosa, Pierra Dewitta, Johnnyja Ryana, Fundacja Panoptykon, Stichting Bits of Freedom in Ligue des Droits Humains VZW F. Debusseré in R. Roex, advocaten,

– za avstrijsko vlado J. Schmoll in C. Gabauer, agentki,

– za Evropsko komisijo A. Bouchagiar in H. Kranenborg, agenta,

na podlagi sklepa, sprejetega po opredelitvi generalne pravobranilke, da bo v zadevi razsojeno brez sklepnih predlogov,

izreka naslednjo

Sodbo

1 Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 4, točki 1 in 7, ter člena 24(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2018, L 127, str. 2; v nadaljevanju: SUVP) v povezavi s členoma 7 in 8 Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina).

2 Ta predlog je bil vložen v okviru spora med združenjem IAB Europe in Gegevensbeschermingsautoriteit (organ za varstvo podatkov, Belgija) (v nadaljevanju: OVP) v zvezi z odločbo odbora za reševanje sporov pri organu OVP, sprejeto proti združenju IAB Europe, glede zatrjevane kršitve več določb SUVP.

Pravni okvir

Pravo Unije

3 V uvodnih izjavah 1, 10, 26 in 30 SUVP je navedeno:

„(1) Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) [Listine] in členu 16(1) [PDEU] je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

[…]

(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]

[…]

(26) Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. Osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, bi bilo treba obravnavati kot informacije o določljivem posamezniku. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva – kot je na primer izločitev – za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili, ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave. Načel varstva podatkov zato ne bi smeli uporabljati za anonimizirane informacije, in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv. Ta uredba torej ne zadeva obdelave takšnih anonimiziranih informacij, vključno z informacijami v statistične ali raziskovalne namene.

[…]

(30) Posamezniki so lahko povezani s spletnimi identifikatorji, ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, ali drugimi identifikatorji, kot so oznake za radiofrekvenčno identifikacijo. To lahko pusti sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.“

4 Člen 1 SUVP, naslovljen „Predmet urejanja in cilji“, v odstavku 2 določa:

„Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.“

5 Člen 4 navedene uredbe določa:

„V tej uredbi:

(1) ,osebni podatki‘ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2) ,obdelava‘ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

[…]

(7) ,upravljavec‘ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

[…]

(11) ,privolitev posameznika, na katerega se nanašajo osebni podatki‘ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

[…]“

6 Člen 6 SUVP, naslovljen „Zakonitost obdelave“, določa:

„1. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

[…]

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

[…]“

7 Člen 24 te uredbe, naslovljen „Odgovornost upravljavca“, v odstavku 1 določa:

„Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.“

8 Člen 26 navedene uredbe, naslovljen „Skupni upravljavci“, v odstavku 1 določa:

„Dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. […]“

9 Poglavje VI SUVP, ki se nanaša na „[n]eodvisne nadzorne organe“, vsebuje člene od 51 do 59 te uredbe.

10 Člen 51 te uredbe, naslovljen „Nadzorni organ“, v odstavkih 1 in 2 določa:

„1. Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji […].

2. Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in [z Evropsko k]omisijo v skladu s poglavjem VII.“

11 Člen 55(1) in (2) SUVP, naslovljen „Pristojnost“, določa:

„1. Vsak nadzorni organ je na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo.

2. Kadar obdelavo izvajajo javni organi ali zasebna telesa, ki delujejo na podlagi točke (c) ali (e) člena 6(1), je pristojen nadzorni organ zadevne države članice. V takih primerih se člen 56 ne uporablja.“

12 Člen 56 te uredbe, naslovljen „Pristojnosti vodilnega nadzornega organa“, v odstavku 1 določa:

„Nadzorni organ glavnega ali edinega sedeža upravljavca ali obdelovalca je brez poseganja v člen 55 pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60.“

13 Člen 57 navedene uredbe, naslovljen „Naloge“, v odstavku 1 določa:

„Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a) spremlja in zagotavlja uporabo te uredbe;

[…]

(g) sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

[…]“

14 Oddelek 1, naslovljen „Sodelovanje“, iz poglavja VII iste uredbe, naslovljenega „Sodelovanje in skladnost“, vsebuje člene od 60 do 62 te uredbe. Člen 60, ki se nanaša na „[s]odelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi“, v odstavku 1 določa:

„Vodilni nadzorni organ sodeluje z drugimi zadevnimi nadzornimi organi v skladu s tem členom in si prizadeva za soglasje. Vodilni nadzorni organ in zadevni nadzorni organi si izmenjujejo vse ustrezne informacije.“

15 Člen 61 SUVP, naslovljen „Medsebojna pomoč“, v odstavku 1 določa:

„Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.“

16 Člen 62 te uredbe, naslovljen „Skupno ukrepanje nadzornih organov“, v odstavkih 1 in 2 določa:

„1. Nadzorni organi po potrebi skupaj ukrepajo, tudi z izvajanjem skupnih preiskav in skupnih izvršilnih ukrepov, pri katerih sodelujejo člani ali osebje nadzornih organov drugih držav članic.

2. Kadar ima upravljavec ali obdelovalec sedeže v več državah članicah, ali kadar je verjetno, da bodo dejanja obdelave pomembno vplivala na znatno število posameznikov, na katere se nanašajo osebni podatki, v več kot eni državi članici, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnem ukrepanju. […]“

17 Oddelek 2 poglavja VII navedene uredbe, naslovljen „Skladnost“, vsebuje člene od 63 do 67 te uredbe. Člen 63, naslovljen „Mehanizem za skladnost“, določa:

„Da bi prispevali k dosledni uporabi te uredbe v vsej Uniji, nadzorni organi sodelujejo med seboj in po potrebi s Komisijo, in sicer prek mehanizma za skladnost, kakor je določen v tem oddelku.“

Belgijsko pravo

18 Wet tot oprichting van de Gegevensbeschermingsautoriteit (zakon o ustanovitvi organa za varstvo podatkov) z dne 3. decembra 2017 (Belgisch Staatsblad z dne 10. januarja 2018, str. 989, v nadaljevanju: ZUOVP) v členu 100(1), točka 9, določa:

„Odbor za reševanje sporov je pristojen, da:

[…]

9. odredi, da se obdelava uskladi z zakonodajo“.

19 Člen 101 ZUOVP določa:

„Odbor za reševanje sporov se lahko odloči, da strankam, zoper katere poteka postopek, naloži upravno globo v skladu s splošnimi načeli iz člena 83 [SUVP].“

Spor o glavni stvari in vprašanji za predhodno odločanje

20 IAB Europe je neprofitno združenje s sedežem v Belgiji, ki na evropski ravni zastopa podjetja v sektorju digitalnega oglaševanja in trženja. Člani združenja IAB Europe so tako podjetja v tem sektorju, kot so založniki, podjetja za elektronsko poslovanje in trženje ter posredniki, kot tudi nacionalna združenja, med katerimi so nacionalna združenja IAB (Interactive Advertising Bureau), katerih člani pa so podjetja iz navedenega sektorja. Med člani združenja IAB Europe so zlasti podjetja, ki ustvarjajo velike prihodke s prodajo oglasnega prostora na spletnih mestih ali v aplikacijah.

21 Združenje IAB Europe je razvilo Transparency & Consent Framework (okvir za preglednost in privolitev, v nadaljevanju: TCF), ki je okvir pravil, sestavljen iz smernic, navodil, tehničnih specifikacij, protokolov in pogodbenih obveznosti, ki tako ponudniku spletnega mesta ali aplikacije kot tudi posrednikom podatkov ali oglaševalskim platformam omogočajo zakonito obdelavo osebnih podatkov uporabnika spletnega mesta ali aplikacije.

22 Namen okvira TCF je zlasti spodbujati spoštovanje SUVP, kadar ti gospodarski subjekti uporabijo protokol OpenRTB, in sicer enega od najpogosteje uporabljenih protokolov za Real Time Bidding, ki je sistem takojšnje in avtomatizirane spletne dražbe uporabniških profilov za prodajo in nakup oglasnega prostora na spletu (v nadaljevanju: RTB). Glede na nekatere prakse, ki so jih člani združenja IAB Europe izvajali v okviru tega sistema množične izmenjave osebnih podatkov v zvezi z uporabniškimi profili, je združenje IAB Europe okvir TCF predstavilo kot rešitev, ki lahko navedeni sistem dražbe uskladi s SUVP.

23 Natančneje, kot je razvidno iz spisa, predloženega Sodišču, lahko s tehničnega vidika, ko uporabnik obišče spletno mesto ali aplikacijo, ki vsebuje oglasni prostor, podjetja, ki se ukvarjajo z oglaševalsko tehnologijo, zlasti posredniki podatkov in oglaševalske platforme, ki zastopajo na tisoče oglaševalcev, v realnem času in v ozadju licitirajo za pridobitev tega oglaševalskega prostora prek avtomatiziranega sistema dražbe z uporabo algoritmov, da bi se na navedenem prostoru prikazali ciljno usmerjeni oglasi, ki so posebej prilagojeni profilu takega uporabnika.

24 Vendar je treba pred prikazom takih ciljnih oglasov pridobiti predhodno privolitev navedenega uporabnika. Ko torej ta prvič obišče spletno mesto ali aplikacijo, se platforma za upravljanje privolitve, imenovana „Consent Management Platform“ (v nadaljevanju: CMP), prikaže v pojavnem oknu, ki temu uporabniku omogoča, po eni strani, da privoli v to, da ponudnik spletnega mesta ali aplikacije zbira in obdeluje njegove osebne podatke za vnaprej določene namene, kot sta zlasti trženje ali oglaševanje, ali da te podatke izmenjuje z nekaterimi ponudniki, in po drugi strani, da ugovarja različnim vrstam obdelave podatkov ali izmenjavi teh podatkov, ki temeljijo na zakonitih interesih, ki jih uveljavljajo ponudniki, v smislu člena 6(1)(f) SUVP. Ti osebni podatki se nanašajo zlasti na lokacijo uporabnika, njegovo starost, zgodovino njegovega iskanja in njegove nedavne nakupe.

25 V tem kontekstu okvir TCF zagotavlja okvir za obsežno obdelavo osebnih podatkov in olajšuje registracijo uporabniških preferenc z uporabo platforme CMP. Te preference so nato kodirane in shranjene v nizu, sestavljenem iz kombinacije črk in znakov, ki ga združenje IAB Europe imenuje Transparency and Consent String (v nadaljevanju: TC String), ki se deli s posredniki osebnih podatkov in oglaševalskimi platformami, vključenimi v protokol OpenRTB, da bi ti vedeli, s čim je uporabnik soglašal ali čemu je nasprotoval. Platforma CMP na napravo uporabnika namesti tudi piškotek (euconsent-v2). Ko se niz TC String in piškotek euconsent-v2 medsebojno kombinirata, se lahko povežeta z IP-naslovom tega uporabnika.

26 Okvir TCF ima tako vlogo pri delovanju protokola OpenRTB, saj omogoča prepis uporabniških preferenc z namenom njihovega sporočanja potencialnim prodajalcem in doseganja različnih ciljev obdelave, vključno s ponujanjem oglasov po meri. Namen okvira TCF je med drugim zagotoviti, da posredniki osebnih podatkov in oglaševalske platforme z uporabo niza TC String spoštujejo SUVP.

27 Organ OVP je od leta 2019 prejel več pritožb zoper združenje IAB Europe, tako iz Belgije kot iz tretjih držav, v zvezi s skladnostjo okvira TCF s SUVP. Po preučitvi teh pritožb je OVP kot vodilni nadzorni organ v smislu člena 56(1) SUVP sprožil mehanizem sodelovanja in skladnosti v skladu s členi od 60 do 63 te uredbe, da bi sprejel skupno odločitev, ki bi jo skupaj odobrilo vseh 21 nacionalnih nadzornih organov, vključenih v ta mehanizem. Tako je odbor za reševanje sporov pri organu OVP z odločbo z dne 2. februarja 2022 (v nadaljevanju: odločba z dne 2. februarja 2022) odločil, da združenje IAB Europe deluje kot upravljavec osebnih podatkov v zvezi z beleženjem znaka privolitve, ugovorov in preferenc posameznih uporabnikov prek niza TC String, ki je po navedbah odbora za reševanje sporov pri organu OVP povezan z določljivim uporabnikom. Poleg tega je odbor za reševanje sporov pri organu OVP v tej odločbi združenju IAB Europe v skladu s členom 100(1), točka 9, ZUOVP naložil, naj obdelavo osebnih podatkov, ki se izvaja na podlagi okvira TCF, uskladi z določbami SUVP, ter mu naložil več popravljalnih ukrepov in upravno globo.

28 Združenje IAB Europe je zoper navedeno odločbo vložilo tožbo pri hof van beroep te Brussel (višje sodišče v Bruslju, Belgija), ki je predložitveno sodišče. Združenje IAB Europe temu sodišču predlaga, naj odločbo z dne 2. februarja 2022 razglasi za nično. Med drugim izpodbija dejstvo, da se šteje, da je delovalo kot upravljavec. Trdi tudi, da ta odločba v delu, v katerem je ugotovljeno, da je niz TC String osebni podatek v smislu člena 4, točka 1, SUVP, ni dovolj razdelana in obrazložena ter da je vsekakor napačna. Natančneje, združenje IAB Europe poudarja, da bi lahko le drugi udeleženci okvira TCF združili niz TC String z IP‑naslovom, da bi ga spremenili v osebni podatek, da niz TC String ni lasten uporabniku in da to združenje nima možnosti dostopa do podatkov, ki jih v tem okviru obdelujejo njegovi člani.

29 Organ OVP, ki so ga v nacionalnem postopku podprli Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom in Ligue des droits Humains VZW, zlasti trdi, da nizi TC Strings pomenijo osebne podatke, če lahko platforma CMP poveže nize TC Strings z naslovi IP, da lahko poleg tega udeleženci okvira TCF identificirajo uporabnike tudi na podlagi drugih podatkov, da ima združenje IAB Europe dostop do informacij v ta namen in da je prav ta identifikacija uporabnika namen niza TC String, ki je olajšati prodajo ciljno usmerjenega oglaševanja. Poleg tega organ OVP med drugim trdi, da dejstvo, da je treba združenje IAB Europe šteti za upravljavca v smislu SUVP, izhaja iz njegove odločilne vloge pri obdelavi nizov TC Strings. Organ OVP dodaja, da ta organizacija določa namene in sredstva obdelave, način, kako se nizi TC Strings ustvarjajo, spreminjajo in preberejo, kako in kje se shranjujejo potrebni piškotki, kdo prejme osebne podatke in na podlagi katerih meril se lahko določijo obdobja hrambe nizov TC Strings.

30 Predložitveno sodišče dvomi o tem, ali je niz TC String, ne glede na to, ali je kombiniran z IP‑naslovom ali ne, osebni podatek, in če je tako, ali je treba združenje IAB Europe na podlagi okvira TCF, zlasti v zvezi z obdelavo niza TC String, šteti za upravljavca osebnih podatkov. V zvezi s tem to sodišče navaja, da čeprav je res, da odločba z dne 2. februarja 2022 odraža skupno stališče, ki so ga skupaj sprejeli različni nacionalni nadzorni organi, vpleteni v obravnavano zadevo, pa Sodišče še ni imelo priložnosti, da bi se izreklo o tej novi vsiljivi tehnologiji, ki jo predstavlja niz TC String.

31 V teh okoliščinah je hof van beroep te Brussel (višje sodišče v Bruslju) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ti vprašanji:

„1. (a) Ali je treba člen 4, točka 1, [SUVP] v povezavi s členoma 7 in 8 [Listine] razlagati tako, da niz znakov, ki na strukturiran in strojno berljiv način zajame preference uporabnika spleta v povezavi z obdelavo njegovih osebnih podatkov, v smislu zgoraj navedene določbe pomeni osebni podatek z vidika (1) panožne organizacije, ki svojim članom daje na voljo standard, s katerim jim predpiše, kako je treba ta niz znakov v praktičnem in tehničnem smislu generirati, shranjevati in/ali razširjati, ter (2) strank, ki so ta standard izvajale na svojih spletnih mestih ali aplikacijah in imajo torej na ta način dostop do tega niza znakov?

(b) Ali je pri tem kaj drugače, če izvajanje standarda pomeni, da je ta niz znakov na voljo skupaj z IP-naslovom?

(c) Ali je odgovor [na točki (a) in (b) prvega vprašanja] drugačen, če ta panožna organizacija, ki določa standard, sama nima zakonitega dostopa do osebnih podatkov, ki jih njeni člani obdelujejo v okviru tega standarda?

2. (a) Ali je treba člen 4, točka 7, in člen 24(1) [SUVP] v povezavi s členoma 7 in 8 [Listine] razlagati tako, da je treba panožno organizacijo, ki določa standard, opredeliti kot upravljavca, če svojim članom ponuja standard za upravljanje privolitve, ki poleg zavezujočega tehničnega okvira vsebuje predpise, v katerih je natančno določeno, kako je treba predstaviti, shranjevati in razširjati te podatke o privolitvi, ki pomenijo osebne podatke?

(b) Ali je odgovor [na točko (a) drugega vprašanja] drugačen, če ta panožna organizacija, ki določa standard, sama nima zakonitega dostopa do osebnih podatkov, ki jih njeni člani obdelujejo v okviru tega standarda?

(c) Ali – če je treba panožno organizacijo, ki določa standard, opredeliti kot upravljavca ali skupnega upravljavca za obdelavo preferenc uporabnikov spleta – ta (skupna) odgovornost panožne organizacije, ki določa standard, avtomatično zajema tudi nadaljnje obdelave s strani tretjih oseb, ki so jim bile zagotovljene preference uporabnikov spleta, kot je ciljano spletno oglaševanje založnikov in prodajalcev?“

Prvo vprašanje

32 Predložitveno sodišče s prvim vprašanjem v bistvu sprašuje, ali je treba člen 4, točka 1, SUVP razlagati tako, da niz, sestavljen iz kombinacije črk in znakov, kot je niz TC String, ki vsebuje preference spletnega uporabnika ali uporabnika aplikacije v zvezi s privolitvijo tega uporabnika v obdelavo njegovih osebnih podatkov s strani ponudnikov spletnih mest ali aplikacij ter posrednikov takih podatkov in oglaševalskih platform, pomeni osebni podatek v smislu te določbe, če je panožna organizacija določila okvir pravil, v skladu s katerimi je treba ta niz generirati, shranjevati ali razširjati, ter če so člani take organizacije taka pravila izvajali in imajo tako dostop do navedenega niza. To sodišče želi izvedeti tudi, ali je za odgovor na to vprašanje pomembno, prvič, da je navedeni niz povezan z identifikatorjem, kot je zlasti IP-naslov naprave navedenega uporabnika, ki omogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki, in drugič, da ima taka panožna organizacija pravico do neposrednega dostopa do osebnih podatkov, ki jih njeni člani obdelujejo v okviru pravil, ki jih je določila.

33 Najprej je treba opozoriti, da ker je bila s SUVP razveljavljena in nadomeščena Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) in ker je obseg upoštevnih določb te uredbe v bistvu enak obsegu upoštevnih določb te direktive, se sodna praksa Sodišča v zvezi z navedeno direktivo načeloma uporablja tudi v zvezi z navedeno uredbo (sodba z dne 17. junija 2021, M.I.C.M., C‑597/19, EU:C:2021:492, točka 107).

34 Poleg treba je treba opozoriti, da je treba v skladu z ustaljeno sodno prakso pri razlagi določbe prava Unije upoštevati ne le njeno besedilo, ampak tudi kontekst, v katerega je umeščena, ter cilje in namen, ki jim sledi akt, katerega del je (sodba z dne 22. junija 2023, Pankki S, C‑579/21, EU:C:2023:501, točka 38 in navedena sodna praksa).

35 V zvezi s tem je treba navesti, da je v členu 4, točka 1, SUVP navedeno, da osebni podatek pomeni „katero koli informacijo v zvezi z določenim ali določljivim posameznikom“, in pojasnjeno, da je „določljiv posameznik […] tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika“.

36 Uporaba izraza „katera koli informacija“ v opredelitvi pojma „osebni podatek“ iz te določbe odraža cilj zakonodajalca Unije, da temu pojmu da širok pomen, ki potencialno zajema vse vrste informacij, tako objektivne kot subjektivne, v obliki mnenj ali presoj, če se te „nanašajo“ na zadevnega posameznika (sodba z dne 4. maja 2023, Österreichische Datenschutzbehörde in CRIF, C‑487/21, EU:C:2023:369, točka 23 in navedena sodna praksa).

37 V zvezi s tem je Sodišče razsodilo, da se informacija nanaša na določenega ali določljivega posameznika, kadar je zaradi svoje vsebine, namena ali učinka povezana z določljivo osebo (sodba z dne 4. maja 2023, Österreichische Datenschutzbehörde in CRIF, C‑487/21, EU:C:2023:369, točka 24 in navedena sodna praksa).

38 Kar zadeva „določljivost“ osebe, je iz besedila člena 4, točka 1, SUVP razvidno, da se šteje, da je določljiva oseba tista, ki jo je mogoče identificirati ne samo neposredno, ampak tudi posredno.

39 Kot je Sodišče že razsodilo, to, da je zakonodajalec Unije uporabil izraz „posredno“, kaže na to, da za opredelitev osebnega podatka ni nujno, da zgolj ta informacija omogoči identifikacijo posameznika, na katerega se nanašajo osebni podatki (glej po analogiji sodbo z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 41). Nasprotno, iz člena 4, točka 5, SUVP v povezavi z njeno uvodno izjavo 26 izhaja, da je treba osebne podatke, ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, obravnavati kot informacije o določljivem posamezniku (sodba z dne 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, točka 58)

40 Poleg tega je v tej uvodni izjavi 26 navedeno, da je treba pri ugotavljanju, ali je posameznik „določljiv“, upoštevati „vsa sredstva – kot je na primer izločitev – za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika“. Iz tega besedila je mogoče sklepati, da za to, da se podatek lahko opredeli kot „osebni podatek“ v smislu člena 4, točka 1, te uredbe, ni nujno, da se vse informacije, ki omogočajo identifikacijo posameznika, znajdejo v rokah samo ene osebe (glej po analogiji sodbo z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 43).

41 Iz tega izhaja, da pojem „osebni podatki“ ne zajema le podatkov, ki jih upravljavec zbere in hrani, ampak zajema tudi vse informacije, pridobljene z obdelavo osebnih podatkov, ki se nanašajo na določenega ali določljivega posameznika (sodba z dne 22. junija 2023, Pankki S, C‑579/21, EU:C:2023:501, točka 45).

42 V obravnavanem primeru je treba navesti, da niz, sestavljen iz kombinacije črk in znakov, kot je niz TC String, vsebuje preference spletnega uporabnika ali uporabnika aplikacije v zvezi s privolitvijo tega uporabnika v obdelavo njegovih osebnih podatkov s strani tretjih oseb ali v zvezi z njegovim morebitnim nasprotovanjem obdelavi takih podatkov na podlagi zatrjevanega zakonitega interesa iz člena 6(1)(f) SUVP.

43 Čeprav niz TC String sam po sebi ni vseboval elementov, ki bi omogočali neposredno identifikacijo posameznika, na katerega se nanašajo osebni podatki, pa naj bi, na prvem mestu, vseboval individualne preference določenega uporabnika v zvezi z njegovo privolitvijo v obdelavo njegovih osebnih podatkov, torej informacije „v zvezi [s] posameznikom“ v smislu člena 4, točka 1, SUVP.

44 Na drugem mestu, prav tako ni sporno, da je, kadar so informacije v nizu TC String povezane z identifikatorjem, kot je zlasti IP-naslov naprave takega uporabnika, mogoče ustvariti profil navedenega uporabnika in dejansko identificirati osebo, na katero se take informacije posebej nanašajo.

45 Če povezovanje niza, sestavljenega iz kombinacije črk in znakov, kot je niz TC String, z dodatnimi podatki, zlasti z IP‑naslovom naprave uporabnika ali drugimi identifikatorji, omogoča identifikacijo tega uporabnika, je treba šteti, da niz TC String vsebuje informacije o določljivem uporabniku in je torej osebni podatek v smislu člena 4(1) SUVP, kar potrjuje tudi uvodna izjava 30 SUVP, ki se izrecno nanaša na tak primer.

46 Te razlage ne more omajati zgolj okoliščina, da združenje IAB Europe samo ne bi moglo združiti niza TC String z IP-naslovom naprave uporabnika in naj ne bi imelo možnosti neposrednega dostopa do podatkov, ki jih obdelujejo njegovi člani v okviru TCF.

47 Kot namreč izhaja iz sodne prakse, navedene v točki 40 te sodbe, taka okoliščina ni ovira za to, da se niz TC String opredeli kot „osebni podatek“ v smislu člena 4, točka 1, SUVP.

48 Poleg tega je iz spisa, ki je na voljo Sodišču, in zlasti iz odločbe z dne 2. februarja 2022 razvidno, da morajo člani združenja IAB Europe temu združenju na njegovo zahtevo posredovati vse informacije, ki mu omogočajo identifikacijo uporabnikov, katerih podatki so predmet niza TC String.

49 S pridržkom preverjanj, ki jih mora v zvezi s tem opraviti predložitveno sodišče, ima torej združenje IAB Europe v skladu s tem, kar je navedeno v uvodni izjavi 26 SUVP, na voljo razumna sredstva, ki mu omogočajo identifikacijo določene fizične osebe na podlagi niza TC String, in sicer z uporabo informacij, ki mu jih morajo zagotoviti njegovi člani in druge organizacije, ki sodelujejo v okviru TCF.

50 Iz navedenega izhaja, da je niz TC String osebni podatek v smislu člena 4, točka 1, SUVP. V zvezi s tem ni upoštevno dejstvo, da taka panožna organizacija brez zunanjega prispevka, ki ga lahko zahteva, ne more niti dostopati do podatkov, ki jih njeni člani obdelujejo v okviru pravil, ki jih je določila, niti ne more združiti niza TC String z drugimi identifikatorji, kot je zlasti IP-naslov naprave uporabnika.

51 Ob upoštevanju navedenega je treba na prvo vprašanje odgovoriti, da je treba člen 4, točka 1, SUVP razlagati tako, da niz, sestavljen iz kombinacije črk in znakov, kot je niz TC String, ki vsebuje preference spletnega uporabnika ali uporabnika aplikacije v zvezi s privolitvijo tega uporabnika v obdelavo njegovih osebnih podatkov s strani ponudnikov spletnih mest ali aplikacij ter posrednikov takih podatkov in oglaševalskih platform, pomeni osebni podatek v smislu te določbe, če je mogoče ta niz z razumnimi sredstvi povezati z identifikatorjem, kot je zlasti IP-naslov naprave navedenega uporabnika, ki omogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki. V takih okoliščinah dejstvo, da panožna organizacija, ki ima ta niz, brez zunanjega prispevka ne more niti dostopati do podatkov, ki jih njeni člani obdelujejo v skladu s pravili, ki jih je določila, niti ne more navedenega niza združiti z drugimi elementi, ni ovira za to, da bi ta niz pomenil osebni podatek v smislu navedene določbe.

Drugo vprašanje

52 Predložitveno sodišče z drugim vprašanjem v bistvu sprašuje, ali je treba člen 4, točka 7, SUVP razlagati tako, da se,

– drugič, morebitna skupna odgovornost navedene panožne organizacije samodejno razteza na nadaljnje obdelave osebnih podatkov, ki jih izvajajo tretje osebe, kot so ponudniki spletnih mest ali aplikacij, v zvezi s preferencami uporabnikov za namene ciljno usmerjenega spletnega oglaševanja.

53 Najprej je treba opozoriti, da je cilj SUVP, kot izhaja iz njenega člena 1 ter uvodnih izjav 1 in 10, med drugim zagotoviti visoko raven varstva temeljnih pravic in svoboščin posameznikov, zlasti pravice do njihove zasebnosti pri obdelavi osebnih podatkov, kot je določena v členu 8(1) Listine in členu 16(1) PDEU (sodba z dne 4. maja 2023, Bundesrepublik Deutschland (Elektronski predal sodišča), C‑60/22, EU:C:2023:373, točka 64).

54 V skladu s tem ciljem člen 4, točka 7, te uredbe pojem „upravljavec“ opredeljuje široko, tako da pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov.

55 Kot je Sodišče že presodilo, je namreč cilj te določbe, da se s to široko opredelitvijo pojma „upravljavec“ zagotovi učinkovito in popolno varstvo zadevnih oseb (glej po analogiji sodbo z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točka 28).

56 Poleg tega, ker pojem „upravljavec“ pomeni telo, ki „samo ali skupaj z drugimi“ določa namene in sredstva obdelave osebnih podatkov, kot je to izrecno določeno v členu 4, točka 7, SUVP, ta določba ne napotuje nujno na enotno telo in se lahko nanaša na več subjektov, udeleženih pri tej obdelavi, pri čemer torej za vsakega od njih veljajo predpisi, ki se uporabijo na področju varstva podatkov (glej po analogiji sodbi z dne 5. junija 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, točka 29, in z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točka 65).

57 Sodišče je prav tako razsodilo, da je fizično ali pravno osebo, ki zaradi svojih ciljev vpliva na obdelavo osebnih podatkov in zato sodeluje pri določitvi namena in sredstev te obdelave, mogoče šteti za upravljavca v smislu člena 4, točka 7, SUVP (glej po analogiji sodbo z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točka 68). Tako v skladu s členom 26(1) SUVP pojem „skupni upravljavci“ pomeni, da dva ali več upravljavcev skupaj določijo namene in načine obdelave (sodba z dne 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, točka 40).

58 V zvezi s tem, čeprav mora vsak skupni upravljavec neodvisno ustrezati opredelitvi pojma „upravljavec“ iz člena 4(7) SUVP, obstoj skupne odgovornosti ne pomeni nujno, da so različni subjekti za isto obdelavo osebnih podatkov enako odgovorni. Nasprotno, ti subjekti so lahko udeleženi v različnih fazah te obdelave in v različnih obsegih, tako da je treba raven odgovornosti vsakega od njih oceniti ob upoštevanju vseh upoštevnih okoliščin posameznega primera. Poleg tega se lahko v skladu s to določbo več subjektov šteje za solidarno odgovorne za obdelavo podatkov, pri čemer ni potrebno, da ima vsak od njih dostop do zadevnih osebnih podatkov (glej po analogiji sodbo z dne 10. julija 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, točki 66 in 69 ter navedena sodna praksa).

59 Sodelovanje pri določitvi namenov in sredstev obdelave ima lahko več različnih oblik, pri čemer se lahko to sodelovanje odraža v skupni odločitvi, ki jo sprejmeta dva subjekta ali več, ali pa temelji na podobnih odločitvah teh subjektov. V zadnjenavedenem primeru se morajo navedene odločitve med seboj dopolnjevati, tako da ima vsaka od njih dejanski učinek na določitev namenov in sredstev obdelave. Ni pa mogoče zahtevati, da med temi upravljavci obstaja formalni dogovor glede namenov in sredstev obdelave (sodba z dne 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, točki 43 in 44).

60 Glede na navedeno je treba šteti, da je namen prvega dela drugega postavljenega vprašanja ugotoviti, ali je panožno organizacijo, kot je združenje IAB Europe, mogoče šteti za skupnega upravljavca v smislu člena 4, točka 7, in člena 26(1) SUVP.

61 V ta namen je torej treba presoditi, ali ob upoštevanju posebnih okoliščin obravnavanega primera taka organizacija vpliva na obdelavo osebnih podatkov, kot je niz TC String, zaradi svojih ciljev ter skupaj z drugimi določa namene in sredstva take obdelave.

62 Na prvem mestu, glede namenov take obdelave osebnih podatkov – s pridržkom preverjanj, ki jih mora opraviti predložitveno sodišče – je iz spisa, ki ga ima Sodišče, razvidno, da je okvir TCF, ki ga je vzpostavilo združenje IAB Europe, kot je bilo navedeno v točkah 21 in 22 te sodbe, okvir pravil za zagotavljanje skladnosti obdelave osebnih podatkov uporabnika spletnega mesta ali aplikacije, ki jo izvajajo nekateri gospodarski subjekti, ki sodelujejo na spletnih dražbah oglasnega prostora, s SUVP.

63 V teh okoliščinah je namen okvira TCF v bistvu spodbujati in omogočiti prodajo in nakup oglasnega prostora na spletu s strani navedenih subjektov.

64 Zato je mogoče šteti, s pridržkom preverjanj, ki jih mora opraviti predložitveno sodišče, da združenje IAB Europe zaradi svojih ciljev vpliva na postopke obdelave osebnih podatkov, ki so predmet postopka v glavni stvari, in zato skupaj s svojimi člani določa namene teh postopkov.

65 Na drugem mestu, glede sredstev, uporabljenih za tako obdelavo osebnih podatkov, je iz spisa, ki ga ima Sodišče – s pridržkom preverjanj, ki jih mora opraviti predložitveno sodišče – razvidno, da je TCF okvir pravil, za katera se šteje, da jih člani združenja IAB Europe sprejmejo, če se temu združenju pridružijo. Natančneje, kot je potrdilo združenje IAB Europe na obravnavi pred Sodiščem, če eden od njegovih članov ne ravna v skladu s pravili iz okvira TCF, lahko združenje IAB Europe v zvezi s tem članom sprejme odločitev o neskladnosti in prekinitvi, ki lahko privede do izključitve navedenega člana iz okvira TCF in s tem do tega, da se mu prepreči, da bi se skliceval na jamstvo skladnosti s SUVP, ki naj bi bilo zagotovljeno s tem mehanizmom za obdelavo osebnih podatkov, ki jo ta član izvaja z uporabo nizov TC Strings.

66 Poleg tega in s praktičnega vidika, kot je bilo navedeno v točki 21 te sodbe, okvir TCF, ki ga je vzpostavilo združenje IAB Europe, vsebuje tehnične specifikacije v zvezi z obdelavo niza TC String. Zlasti se zdi, da je v teh specifikacijah natančno opisano, kako morajo platforme CMP zbirati preference uporabnikov glede obdelave njihovih osebnih podatkov in kako je treba take preference obdelati, da se ustvari niz TC String. Poleg tega so določena tudi natančna pravila glede vsebine niza TC String ter njegovega shranjevanja in souporabe.

67 Zlasti iz odločbe z dne 2. februarja 2022 je razvidno, da združenje IAB Europe v okviru teh pravil predpisuje med drugim standardiziran način, na katerega se lahko različne stranke, vključene v okvir TCF, seznanijo s preferencami, ugovori in privolitvami uporabnikov, ki jih vsebujejo nizi TC Strings.

68 V teh okoliščinah in s pridržkom preverjanj, ki jih mora opraviti predložitveno sodišče, je treba šteti, da panožna organizacija, kot je IAB Europe, zaradi svojih ciljev vpliva na postopke obdelave osebnih podatkov iz postopka v glavni stvari in zato skupaj s svojimi člani določa sredstva, s katerimi se taki postopki izvedejo. Iz tega sledi, da jo je treba v skladu s sodno prakso, navedeno v točki 57 te sodbe, šteti za „skupnega upravljavca“ v smislu člena 4, točka 7, in člena 26(1) SUVP.

69 Okoliščina, ki jo navaja predložitveno sodišče, da taka panožna organizacija sama nima neposrednega dostopa do nizov TC Strings in s tem do osebnih podatkov, ki jih v okviru navedenih pravil obdelujejo njeni člani, s katerimi skupaj določi namene in sredstva obdelave teh podatkov, v skladu s sodno prakso, navedeno v točki 58 te sodbe, ni ovira za to, da bi jo bilo mogoče opredeliti kot „upravljavca“ v smislu te določbe.

70 Poleg tega je treba v odgovor na dvome, ki jih je izrazilo to sodišče, izključiti, da se morebitna skupna odgovornost te panožne organizacije samodejno razteza na nadaljnje obdelave osebnih podatkov, ki jih izvajajo tretje osebe, kot so ponudniki spletnih mest ali aplikacij, v zvezi s preferencami uporabnikov za namene ciljno usmerjenega spletnega oglaševanja.

71 V zvezi s tem je treba poudariti, prvič, da je v členu 4, točka 2, SUVP „obdelava“ osebnih podatkov opredeljena kot „vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje“.

72 Iz te opredelitve izhaja, da je lahko obdelava osebnih podatkov sestavljena iz enega ali več postopkov, od katerih se vsak nanaša na različno fazo te obdelave.

73 Drugič, kot je Sodišče že razsodilo, iz člena 4, točka 7, in člena 26(1) SUVP izhaja, da je fizično ali pravno osebo mogoče šteti za skupnega upravljavca postopkov obdelave osebnih podatkov le, če skupno določi namene in sredstva te obdelave. Zato in brez poseganja v morebitno civilno odgovornost, ki jo v zvezi s tem določa nacionalna zakonodaja, se za tako fizično ali pravno osebo ne more šteti, da je upravljavec – v smislu navedenih določb – prejšnjih ali poznejših postopkov v verigi obdelave, za katere ne določa niti namenov niti sredstev (glej po analogiji sodbo z dne 29. julija 2019, Fashion ID, C‑40/17, EU:C:2019:629, točka 74).

74 V obravnavanem primeru je treba razlikovati med, na eni strani, obdelavo osebnih podatkov, ki jo izvajajo člani združenja IAB Europe, in sicer ponudniki spletnih mest ali aplikacij ter posredniki podatkov ali oglaševalske platforme, ko so preference zadevnih uporabnikov glede privolitve zabeležene v nizu TC String v skladu z okvirom pravil TCF, in na drugi strani, nadaljnjo obdelavo osebnih podatkov, ki jo ti gospodarski subjekti in tretje osebe izvajajo na podlagi teh preferenc, kot je posredovanje teh podatkov tretjim osebam ali ponujanje personaliziranega oglaševanja tem uporabnikom.

75 S pridržkom preverjanj, ki jih mora opraviti predložitveno sodišče, ta nadaljnja obdelava očitno ne vključuje sodelovanja združenja IAB Europe, tako da je treba izključiti samodejno odgovornost take organizacije, ki jo ima ta skupaj z navedenimi gospodarskimi subjekti in s tretjimi osebami v zvezi z obdelavo osebnih podatkov, ki se izvaja na podlagi podatkov o preferencah zadevnih uporabnikov, ki jih vsebuje niz TC String.

76 Tako je mogoče panožno organizacijo, kot je združenje IAB Europe, šteti za odgovorno za take nadaljnje obdelave le, če se dokaže, da je ta organizacija vplivala na določitev namenov in načinov teh postopkov obdelave, kar mora preveriti predložitveno sodišče glede na vse upoštevne okoliščine zadeve v glavni stvari.

77 Glede na navedeno je treba na drugo vprašanje odgovoriti, da je treba člen 4, točka 7, in člen 26(1) SUVP razlagati tako, da se:

– prvič, panožna organizacija – če svojim članom predlaga okvir pravil, ki jih je določila glede privolitve v zvezi z obdelavo osebnih podatkov, ki ne vsebuje le zavezujočih tehničnih pravil, ampak tudi pravila, ki podrobno določajo načine shranjevanja in širjenja osebnih podatkov v zvezi s to privolitvijo – šteje za „skupnega upravljavca“ v smislu teh določb, če ob upoštevanju posebnih okoliščin obravnavanega primera zaradi svojih ciljev vpliva na obdelavo zadevnih osebnih podatkov ter zato skupaj s svojimi člani določa namene in sredstva take obdelave. Okoliščina, da taka panožna organizacija sama nima neposrednega dostopa do osebnih podatkov, ki jih njeni člani obdelujejo v okviru navedenih pravil, ni ovira za to, da bi lahko bila skupni upravljavec v smislu navedenih določb;

– drugič, skupna odgovornost navedene panožne organizacije ne razteza samodejno na nadaljnje obdelave osebnih podatkov, ki jih izvajajo tretje osebe, kot so ponudniki spletnih mest ali aplikacij, v zvezi s preferencami uporabnikov za namene ciljno usmerjenega spletnega oglaševanja.

Stroški

78 Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopkih pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (četrti senat) razsodilo:

1. Člen 4, točka 1, Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

je treba razlagati tako, da

niz, sestavljen iz kombinacije črk in znakov, kot je niz TC String (Transparency and Consent String), ki vsebuje preference spletnega uporabnika ali uporabnika aplikacije v zvezi s privolitvijo tega uporabnika v obdelavo njegovih osebnih podatkov s strani ponudnikov spletnih mest ali aplikacij ter posrednikov takih podatkov in oglaševalskih platform, pomeni osebni podatek v smislu te določbe, če je mogoče ta niz z razumnimi sredstvi povezati z identifikatorjem, kot je zlasti IP-naslov naprave navedenega uporabnika, ki omogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki. V takih okoliščinah dejstvo, da panožna organizacija, ki ima ta niz, brez zunanjega prispevka ne more niti dostopati do podatkov, ki jih njeni člani obdelujejo v skladu s pravili, ki jih je določila, niti ne more navedenega niza združiti z drugimi elementi, ni ovira za to, da bi ta niz pomenil osebni podatek v smislu navedene določbe.

2. Člen 4, točka 7, in člen 26(1) Uredbe 2016/679

je treba razlagati tako, da se

Podpisi

* Jezik postopka: nizozemščina.