Domstolens dom (fjärde avdelningen) av den 7 mars 2024 (begäran om förhandsavgörande från Hof van beroep te Brussel - Belgien) – IAB Europe mot Gegevensbeschermingsautoriteit

(Mål C-604/22¹ , IAB Europe)

(Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Normerande branschorganisation som tillhandahåller sina medlemmar regler avseende behandling av användares samtycke – Artikel 4 led 1 – Begreppet ”personuppgifter” – En bokstavs- och teckenföljd som, på ett strukturerat och maskinläsbart sätt, ger uttryck för en internetanvändares preferenser vad gäller denna användares samtycke till behandling av sina personuppgifter – Artikel 4 led 7 – Begreppet ”personuppgiftsansvarig” – Artikel 26.1 – Begreppet ”gemensamt personuppgiftsansvariga” – Organisation som inte själv har tillgång till de personuppgifter som dess medlemmar behandlar – Organisationens ansvar omfattar även senare behandlingar som utförs av tredje man)

Rättegångsspråk: nederländska

Hänskjutande domstol

Hof van beroep te Brussel

Parter i målet vid den nationella domstolen

Klagande: IAB Europe

Motpart: Gegevensbeschermingsautoriteit

ytterligare deltagare i rättegången: Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW

Domslut

Artikel 4 led 1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

ska tolkas så, att

en bokstavs- och teckenföljd, såsom TC-strängen (Transparency and Consent String), som innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av leverantörer av webbplatser eller applikationer samt av personuppgiftsmäklare och reklamplattformar, utgör en personuppgift i den mening som avses i denna bestämmelse, eftersom denna teckenföljd, när den med hjälp av rimliga hjälpmedel kopplas till en identifierare, såsom bland annat IP-adressen för användarens utrustning, gör det möjligt att identifiera den registrerade. Under dessa omständigheter utgör det förhållandet att en branschorganisation som innehar denna teckenföljd utan någon extern medverkan varken kan få tillgång till de uppgifter som behandlas av dess medlemmar enligt de regler som den har fastställt eller kombinera nämnda teckenföljd med andra uppgifter inte hinder för att denna teckenföljd utgör en personuppgift i den mening som avses i nämnda bestämmelse.

Artikel 4 led 7 och artikel 26.1 i förordning 2016/679

ska tolkas på följande sätt:

En branschorganisation, i den mån den erbjuder sina medlemmar ett regelverk som den har fastställt avseende samtycke till behandling av personuppgifter, vilket inte endast innehåller bindande tekniska föreskrifter utan även bestämmelser som i detalj anger hur personuppgifter om samtycke ska lagras och spridas, ska anses vara ”gemensamt personuppgiftsansvarig” i den mening som avses i denna bestämmelse, om organisationen, med hänsyn till de särskilda omständigheterna i det enskilda fallet, för sina egna ändamål, påverkar behandlingen av de berörda personuppgifterna, och därmed, tillsammans med sina medlemmar, bestämmer ändamålen och medlen för en sådan behandling. Den omständigheten att en sådan branschorganisation inte själv har direkt tillgång till de personuppgifter som dess medlemmar behandlar inom ramen för nämnda regler utgör inte hinder för att organisationen kan betraktas som gemensamt personuppgiftsansvarig i den mening som avses i nämnda bestämmelser.

Det gemensamma ansvaret för nämnda branschorganisation omfattar inte automatiskt även senare behandlingar av personuppgifter som utförs av tredje man, såsom leverantörer av webbplatser eller applikationer, när behandlingen rör användarnas preferenser och sker i syfte att kunna sprida riktad reklam online.

____________