A hof van beroep te Brussel (Belgium) által 2022. szeptember 19-én benyújtott előzetes döntéshozatal iránti kérelem – IAB Europe kontra Gegevensbeschermingsautoriteit; a többi fél: TR és társai

(C-604/22. sz. ügy)

Az eljárás nyelve: holland

A kérdést előterjesztő bíróság

Hof van beroep te Brussel

Az alapeljárás felei

Felperes: IAB Europe

Alperes: Gegevensbeschermingsautoriteit

A többi fél ez eljárásban: TR, UV, SP, Fundacja Panoptykon, Stichting Bits of Freedom, Ligue des Droits Humains VZW

Az előzetes döntéshozatalra előterjesztett kérdések

a)     Úgy kell-e értelmezni a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 20016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletnek¹ az Európai Unió Alapjogi Chartájának 7. és 8. cikkével összefüggésben értelmezett 4. cikkének 1. pontját, hogy az olyan karakterlánc, amely tagolt és géppel olvasható módon rögzíti az internetfelhasználó személyes adatainak kezelésével kapcsolatos preferenciáit, az említett rendelkezés értelmében vett személyes adatnak minősül (1.) az olyan ágazati szervezet szempontjából, amely olyan szabványt bocsát tagjai rendelkezésére, amellyel megszabja számukra, hogy gyakorlati és technikai szempontból milyen módon kell létrehozni, tárolni és/vagy terjeszteni az említett karakterláncot, és (2.) azon felek szempontjából, akik e szabványt bevezették weboldalaikon vagy alkalmazásaikban, és ily módon ezért hozzáférnek az említett karakterlánchoz?

E tekintetben jelentőséggel bír-e, hogy a szabvány bevezetése magában foglalja, hogy az említett karakterlánc egy IP-címmel együtt áll rendelkezésre?

Eltérő választ kell-e adni az a) és a b) kérdésre akkor, ha maga az említett szabványalkotó ágazati szervezet nem rendelkezik törvényileg szabályozott hozzáféréssel a tagjai által az említett szabvány keretében kezelt személyes adatokhoz?

a)     Úgy kell-e értelmezni a [2016/679] rendeletnek az Európai Unió Alapjogi Chartájának 7. és 8. cikkével összefüggésben értelmezett 4. cikkének 7. pontját és 24. cikkének (1) bekezdését, hogy a szabványalkotó ágazati szervezetet adatkezelőnek kell tekinteni, ha tagjainak a kötelező technikai kereten túlmenően olyan előírásokat tartalmazó szabványt kínál a hozzájárulás kezeléséhez, amelyek részletesen meghatározzák, hogy milyen módon kell tárolni és terjeszteni ezeket a személyes adatnak minősülő hozzájárulási adatokat?

Eltérő választ kell-e adni az a) kérdésre akkor, ha maga az említett ágazati szervezet nem rendelkezik törvényileg szabályozott hozzáféréssel a tagjai által az említett szabvány keretében kezelt személyes adatokhoz?

Ha a szabványalkotó ágazati szervezetet az internetfelhasználók preferenciái tekintetében adatkezelőnek vagy közös adatkezelőnek kell tekinteni, akkor a szabványalkotó ágazati szervezet (közös) felelőssége automatikusan kiterjed-e az olyan harmadik felek általi későbbi adatkezelésekre is, akik számára az internetfelhasználók preferenciáit rendelkezésre bocsátották, például a kiadók és értékesítők általi célzott online reklámozásra?

____________