CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

ROZSUDOK SÚDNEHO DVORA (štvrtá komora)

zo 7. marca 2024 (*)

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Odvetvová organizácia, ktorá vytvára štandard, ponúkajúca svojim členom pravidlá spracovania súhlasu používateľov – Článok 4 bod 1 – Pojem ‚osobné údaje‘ – Reťazec písmen a znakov zachytávajúci štruktúrovaným a strojovo čitateľným spôsobom preferencie používateľa internetu týkajúce sa súhlasu tohto používateľa so spracúvaním jeho osobných údajov – Článok 4 bod 7 – Pojem ‚prevádzkovateľ‘ – Článok 26 ods. 1 – Pojem ‚spoloční prevádzkovatelia‘ – Organizácia, ktorá sama nemá prístup k osobným údajom spracúvaným svojimi členmi – Zodpovednosť organizácie, ktorá sa vzťahuje na ďalšie spracúvanie údajov vykonané tretími osobami“

Vo veci C‑604/22,

ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Hof van beroep te Brussel (Odvolací súd Brusel, Belgicko) zo 7. septembra 2022 a doručený Súdnemu dvoru 19. septembra 2022, ktorý súvisí s konaním:

IAB Europe

proti

Gegevensbeschermingsautoriteit,

za účasti:

Jef Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des Droits de l’Homme VZW,

SÚDNY DVOR (štvrtá komora),

v zložení: predseda štvrtej komory C. Lycourgos, sudcovia O. Spineanu‑Matei, J.‑C. Bonichot, S. Rodin a L. S. Rossi (spravodajkyňa),

generálna advokátka: T. Ćapeta,

tajomník: A. Lamote, referentka,

so zreteľom na písomnú časť konania a po pojednávaní z 21. septembra 2023,

so zreteľom na pripomienky, ktoré predložili:

– IAB Europe, v zastúpení: P. Craddock, avocat, a K. Van Quathem, advocaat,

– Gegevensbeschermingsautoriteit, v zastúpení: E. Cloots, J. Roets a T. Roes, advocaten,

– Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom a Ligue des Droits Humains VZW, v zastúpení: F. Debusseré a R. Roex, advocaten,

– rakúska vláda, v zastúpení: J. Schmoll a C. Gabauer, splnomocnené zástupkyne,

– Európska komisia, v zastúpení: A. Bouchagiar a H. Kranenborg, splnomocnení zástupcovia,

so zreteľom na rozhodnutie prijaté po vypočutí generálnej advokátky, že vec bude prejednaná bez jej návrhov,

vyhlásil tento

Rozsudok

1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 4 bodov 1 a 7, ako aj článku 24 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“), v spojení s článkami 7 a 8 Charty základných práv Európskej únie (ďalej len „Charta“).

2 Tento návrh bol podaný v rámci sporu medzi združením IAB Europe a Gegevensbeschermingsautoriteit (Úrad na ochranu osobných údajov, Belgicko) (ďalej len „ÚOOÚ“) vo veci rozhodnutia sporovej komory ÚOOÚ prijatého proti IAB Europe týkajúceho sa údajného porušenia viacerých ustanovení GDPR.

Právny rámec

Právo Únie

3 Odôvodnenia 1, 10, 26 a 30 GDPR znejú takto:

„(1) Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 [Charty] a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie [ZFEÚ] sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

…

(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie. …

…

(26) Zásady ochrany údajov by sa mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj. Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná. Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.

…

(30) Fyzickým osobám môžu byť pridelené online identifikátory, ktoré poskytujú ich prístroje, aplikácie, nástroje a protokoly, ako napríklad IP adresa, cookies, alebo iné identifikátory, ako napríklad štítky na rádiofrekvenčnú identifikáciu. Tieto môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi a inými informáciami získanými zo serverov môžu použiť na vytvorenie profilov fyzických osôb a na ich identifikáciu.“

4 Článok 1 nariadenia GDPR, nazvaný „Predmet úpravy a ciele“, v odseku 2 stanovuje:

„Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.“

5 Článok 4 uvedeného nariadenia stanovuje:

„Na účely tohto nariadenia:

1. ‚osobné údaje‘ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len ‚dotknutá osoba‘); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

2. ‚spracúvanie‘ je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

…

7. ‚prevádzkovateľ‘ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

…

11. ‚súhlas dotknutej‘ osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

…“

6 Článok 6 GDPR, nazvaný „Zákonnosť spracúvania“, znie:

„1. Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;

…

f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.

…“

7 Článok 24 tohto nariadenia s názvom „Zodpovednosť prevádzkovateľa“ v odseku 1 stanovuje:

„S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.“

8 Článok 26 uvedeného nariadenia, nazvaný „Spoloční prevádzkovatelia“, v odseku 1 stanovuje:

„Ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania, sú spoločnými prevádzkovateľmi. …“

9 Kapitola VI GDPR, ktorá sa týka „nezávislých dozorných orgánov“, obsahuje články 51 až 59 tohto nariadenia.

10 Článok 51 tohto nariadenia s názvom „Dozorný orgán“ v odsekoch 1 a 2 stanovuje:

„1. Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie…

2. Každý dozorný orgán prispieva ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii. Na tento účel dozorné orgány spolupracujú navzájom, ako aj s [Európskou k]omisiou v súlade s kapitolou VII.“

11 Podľa článku 55 ods. 1 a 2 GDPR, nazvaného „Príslušnosť“:

„1. Každý dozorný orgán je príslušný plniť úlohy, ktoré mu boli uložené, a vykonávať právomoci, ktoré mu boli zverené, v súlade s týmto nariadením na území vlastného členského štátu.

2. Ak spracúvanie uskutočňujú orgány verejnej moci alebo súkromnoprávne subjekty konajúce na základe článku 6 ods. 1 písm. c) alebo e), za príslušný orgán sa považuje dozorný orgán dotknutého členského štátu. V takých prípadoch sa článok 56 neuplatňuje.“

12 Článok 56 tohto nariadenia, nazvaný „Príslušnosť hlavného dozorného orgánu“, v odseku 1 stanovuje:

„Bez toho, aby bol dotknutý článok 55, dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa je príslušný konať ako vedúci dozorný orgán pre cezhraničné spracúvanie vykonávané zo strany tohto prevádzkovateľa alebo sprostredkovateľa v súlade s postupom stanoveným v článku 60.“

13 Článok 57 uvedeného nariadenia s názvom „Úlohy“ v odseku 1 stanovuje:

„Bez toho, aby boli dotknuté iné úlohy stanovené podľa tohto nariadenia, každý dozorný orgán na svojom území:

a) monitoruje a presadzuje uplatňovanie tohto nariadenia;

…

g) spolupracuje s inými dozornými orgánmi, vrátane výmeny informácií, a poskytuje im vzájomnú pomoc s cieľom zabezpečiť konzistentné uplatňovanie a presadzovanie tohto nariadenia;

…“

14 Oddiel 1 nazvaný „Spolupráca“ kapitoly VII nazvanej „Spolupráca a konzistentnosť“ toho istého nariadenia obsahuje články 60 až 62 tohto nariadenia. Článok 60 týkajúci sa „spolupráce medzi vedúcim dozorným orgánom a inými dotknutými dozornými orgánmi“ v odseku 1 stanovuje:

„Vedúci dozorný orgán spolupracuje s inými dotknutými dozornými orgánmi v súlade s týmto článkom a s cieľom dosiahnuť konsenzus. Vedúci dozorný orgán a dotknuté dozorné orgány si navzájom vymieňajú všetky relevantné informácie.“

15 Článok 61 GDPR, nazvaný „Vzájomná pomoc“, v odseku 1 stanovuje:

„Dozorné orgány si navzájom poskytujú relevantné informácie a pomoc v záujme konzistentného vykonávania a uplatňovania tohto nariadenia a prijímajú opatrenia na účinnú vzájomnú spoluprácu. Vzájomná pomoc sa týka najmä žiadostí o informácie a opatrení v oblasti dozoru, ako sú napríklad žiadosti o predchádzajúce povolenie a konzultácie, kontroly a vyšetrovania.“

16 Článok 62 tohto nariadenia, nazvaný „Spoločné operácie dozorných orgánov“, v odsekoch 1 a 2 stanovuje:

„1. Dozorné orgány podľa potreby vykonávajú spoločné operácie vrátane spoločných vyšetrovaní a spoločných opatrení v oblasti presadzovania, do ktorých sú zapojení členovia alebo personál dozorných orgánov iných členských štátov.

2. Ak má prevádzkovateľ alebo sprostredkovateľ prevádzkarne vo viacerých členských štátoch alebo keď je pravdepodobné, že spracovateľské operácie budú mať podstatný vplyv na významný počet dotknutých osôb vo viac ako jednom členskom štáte, dozorný orgán každého z týchto členských štátov má právo podieľať sa na spoločných operáciách. …“

17 Oddiel 2 s názvom „Konzistentnosť“ kapitoly VII uvedeného nariadenia obsahuje články 63 až 67 tohto nariadenia. Článok 63 s názvom „Mechanizmus konzistentnosti“ znie takto:

„S cieľom prispievať ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii dozorné orgány spolupracujú navzájom a v relevantných prípadoch s Komisiou prostredníctvom mechanizmu konzistentnosti, ako sa stanovuje v tomto oddiele.“

Belgické právo

18 Wet tot oprichting van de Gegevensbeschermingsautoriteit (zákon, ktorým sa zriaďuje Úrad na ochranu osobných údajov) z 3. decembra 2017 (Belgisch Staatsblad z 10. januára 2018, s. 989; ďalej len „zriaďovací zákon“) v článku 100 ods. 1 bode 9 stanovuje:

„Sporová komora má právomoc:

…

9° nariadiť uvedenie spracúvania do súladu.“

19 Článok 101 zriaďovacieho zákona stanovuje:

„Sporná komora môže rozhodnúť o uložení správnej pokuty stíhaným stranám v súlade so všeobecnými zásadami uvedenými v článku 83 [GDPR].“

Spor vo veci samej a prejudiciálne otázky

20 IAB Europe je neziskové združenie so sídlom v Belgicku, ktoré zastupuje spoločnosti v odvetví digitálnej reklamy a marketingu na európskej úrovni. Členmi IAB Europe sú teda podniky z tohto odvetvia, ako sú vydavatelia, podniky elektronického obchodu a marketingu, sprostredkovatelia, ako aj národné združenia vrátane národných IAB (Interactive Advertising Bureau), ktorých členmi sú zase podniky z tohto odvetvia. Medzi členmi IAB Europe sú najmä podniky, ktoré dosahujú významné príjmy prostredníctvom predaja reklamného priestoru na internetových sídlach alebo aplikáciách.

21 IAB Europe vypracovalo rámec Transparency & Consent Framework (rámec transparentnosti a súhlasu, ďalej len „TCF“), ktorý je rámcom pravidiel pozostávajúcich z usmernení, pokynov, technických špecifikácií, protokolov a zmluvných záväzkov, ktoré umožňujú tak poskytovateľovi internetového sídla alebo aplikácie, ako aj maklérom s údajmi alebo reklamným platformám zákonne spracúvať osobné údaje používateľa internetového sídla alebo aplikácie.

22 Cieľom TCF je najmä podporovať dodržiavanie GDPR, keď tieto subjekty využívajú protokol OpenRTB, t. j. jeden z najpoužívanejších protokolov pre Real Time Bidding, ktorý je okamžitým a automatizovaným systémom online aukcií profilov používateľov na účely predaja a nákupu reklamného priestoru na internete (ďalej len „RTB“). Vzhľadom na určité postupy uplatňované členmi IAB Europe v rámci tohto systému hromadnej výmeny osobných údajov týkajúcich sa profilov používateľov bol TCF prezentovaný zo strany IAB Europe ako riešenie, ktoré je spôsobilé dosiahnuť súlad uvedeného systému aukcií s GDPR.

23 Konkrétne, ako vyplýva zo spisu predloženého Súdnemu dvoru, je z technického hľadiska možné, že ak si používateľ prezerá internetovú stránku alebo aplikáciu, ktorá obsahuje reklamný priestor, podniky pôsobiace v oblasti reklamných technológií, a najmä makléri s údajmi a reklamné platformy, ktoré zastupujú tisíce inzerentov, môžu prostredníctvom automatizovaného aukčného systému v reálnom čase na pozadí zadávať ponuky na tieto reklamné priestory za pomoci algoritmov, aby zobrazili na uvedenom priestore cielené reklamy osobitne prispôsobené profilu takéhoto používateľa.

24 Pred zobrazením takýchto cielených reklám sa však musí získať predchádzajúci súhlas používateľa. Keď si spotrebiteľ po prvýkrát prezerá internetové sídlo alebo aplikáciu, v kontextovom okne sa zobrazí platforma na správu súhlasu, nazývaná „Consent Management Platform“ (ďalej len „CMP“), ktorá tomuto používateľovi umožňuje na jednej strane udeliť súhlas poskytovateľovi internetového sídla alebo aplikácie s cieľom získať a spracúvať jeho osobné údaje na vopred určené účely, akými sú najmä marketing alebo reklama, alebo s cieľom poskytnúť tieto údaje niektorým poskytovateľom a na druhej strane mu umožňuje namietať proti rôznym druhom spracúvania údajov alebo ich poskytovaniu, založenému na oprávnených záujmoch, na ktoré sa odvolávajú poskytovatelia v zmysle článku 6 ods. 1 písm. f) GDPR. Tieto osobné údaje sa týkajú najmä lokalizácie používateľa, jeho veku, histórie vyhľadávania a nedávnych nákupov.

25 V tejto súvislosti TCF poskytuje rámec pre rozsiahle spracúvanie osobných údajov a uľahčuje zaznamenávanie preferencií používateľov prostredníctvom CMP. Tieto preferencie sú následne kódované a uložené v reťazci pozostávajúcom z kombinácie písmen a znakov, ktorý IAB Europe označuje ako Transparency and Consent String (ďalej len „reťazec TC String“), ktorý je poskytnutý maklérom s údajmi a reklamným platformám zapojeným do protokolu OpenRTB, aby títo vedeli, s čím používateľ súhlasil alebo nesúhlasil. CMP tiež ukladá v zariadení používateľa súbor cookie (euconsent‑v2). Vo vzájomnej kombinácii sa reťazec TC String a cookie euconsent-v2 môžu spojiť s IP adresou tohto používateľa.

26 TCF tak zohráva úlohu pri fungovaní protokolu OpenRTB, pretože umožňuje prepisovať preferencie používateľa na účely ich poskytnutia potenciálnym predajcom a dosiahnutia rôznych cieľov spracúvania vrátane návrhu reklamy na mieru. Cieľom TCF je najmä zabezpečiť maklérom s údajmi a reklamným platformám prostredníctvom reťazca TC String dodržiavanie GDPR.

27 Od roku 2019 dostal ÚOOÚ viacero sťažností namierených proti IAB Europe tak z Belgicka, ako aj z tretích krajín, ktoré sa týkali súladu TCF s GDPR. Po preskúmaní týchto sťažností ÚOOÚ ako vedúci dozorný orgán v zmysle článku 56 ods. 1 GDPR aktivoval mechanizmus spolupráce a konzistentnosti v súlade s článkami 60 až 63 tohto nariadenia s cieľom dospieť k spoločnému rozhodnutiu schválenému všetkými 21 vnútroštátnymi dozornými orgánmi zapojenými do tohto mechanizmu. Sporová komora ÚOOÚ tak svojím rozhodnutím z 2. februára 2022 (ďalej len „rozhodnutie z 2. februára 2022“) rozhodla, že IAB Europe koná ako prevádzkovateľ osobných údajov, pokiaľ ide o zaznamenávanie súhlasu, námietok a preferencií jednotlivých používateľov prostredníctvom reťazca TC String, ktorý je podľa sporovej komory ÚOOÚ spojený s identifikovateľným používateľom. Okrem toho v tomto rozhodnutí sporová komora ÚOOÚ v súlade s článkom 100 ods. 1 bodom 9 zriaďovacieho zákona nariadila združeniu IAB Europe zosúladiť spracúvanie osobných údajov vykonávané v rámci TCF s ustanoveniami GDPR a uložila mu viacero nápravných opatrení, ako aj správnu pokutu.

28 IAB Europe podalo proti uvedenému rozhodnutiu odvolanie na Hof van beroep te Brussel (Odvolací súd Brusel, Belgicko), ktorý podal návrh na začatie prejudiciálneho konania. IAB Europe navrhuje, aby tento súd zrušil rozhodnutie z 2. februára 2022. Spochybňuje okrem iného skutočnosť, že je považované za osobu, ktorá konala ako prevádzkovateľ. Tvrdí tiež, že v rozsahu, v akom sa v ňom konštatuje, že reťazec TC String je osobným údajom v zmysle článku 4 bodu 1 GDPR, je toto rozhodnutie nedostatočne diferencované a odôvodnené a v každom prípade je nesprávne. IAB Europe predovšetkým zdôrazňuje, že iba ostatní účastníci TCF by mohli skombinovať reťazec TC String s IP adresou s cieľom transformovať ho na osobný údaj, že reťazec TC String nie je špecifický pre používateľa a že IAB Europe nemá možnosť prístupu k údajom, ktoré v tejto súvislosti spracúvajú jeho členovia.

29 ÚOOÚ, ktorý v rámci vnútroštátneho konania podporujú Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom a Ligue des Droits Humains VZW, tvrdí najmä to, že reťazce TC String skutočne predstavujú osobné údaje v rozsahu, v akom platformy CMP môžu spájať reťazce TC String s IP adresami, že účastníci TCF môžu tiež identifikovať používateľov aj na základe iných údajov, že IAB Europe má na tento účel prístup k informáciám a že práve táto identifikácia používateľa je účelom reťazca TC String, ktorého cieľom je uľahčiť predaj cielenej reklamy. ÚOOÚ okrem iného tvrdí, že skutočnosť, že IAB Europe sa má považovať za prevádzkovateľa v zmysle GDPR, vyplýva z jeho rozhodujúcej úlohy pri spracúvaní reťazcov TC String. ÚOOÚ dodáva, že táto organizácia určuje účely a prostriedky spracúvania, spôsob, akým sa generujú, menia a čítajú reťazce TC String, ako a kde sa ukladajú potrebné cookies, kto dostáva osobné údaje a na základe akých kritérií možno stanoviť lehoty na uchovávanie reťazcov TC String.

30 Vnútroštátny súd má pochybnosti o tom, či reťazec TC String v kombinácii s IP adresou predstavuje osobný údaj, a ak áno, či sa IAB Europe má považovať za prevádzkovateľa spracúvania osobných údajov v rámci TCF, najmä vzhľadom na spracovanie reťazca TC String. V tejto súvislosti daný súd uvádza, že hoci je pravda, že rozhodnutie z 2. februára 2022 odráža spoločnú pozíciu prijatú rôznymi vnútroštátnymi dozornými orgánmi zapojenými v prejednávanej veci, Súdny dvor ešte nemal príležitosť vyjadriť sa k tejto novej intruzívnej technológii, ktorú predstavuje reťazec TC String.

31 Za týchto podmienok Hof van beroep te Brussel (Odvolací súd Brusel) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

„1. a) Má sa článok 4 bod 1 [GDPR] v spojení s článkami 7 a 8 [Charty] vykladať v tom zmysle, že reťazec znakov, ktorý zahŕňa preferencie internetového používateľa v súvislosti so spracúvaním jeho osobných údajov štruktúrovaným a elektronickým spôsobom, z pohľadu po prvé odvetvovej organizácie, ktorá svojim členom poskytuje štandard, ktorým im predpisuje, akým spôsobom sa tento reťazec znakov má generovať, uložiť a/alebo spracovať, a po druhé strán, ktoré tento štandard implementujú na svojich internetových sídlach alebo vo svojich aplikáciách, a preto majú takýmto spôsobom prístup k tomuto reťazcu znakov, predstavuje osobný údaj v zmysle tohto ustanovenia?

b) Je rozdiel, ak implementovanie štandardu zahŕňa [aj] to, že tento reťazec znakov je k dispozícií spolu s IP adresou?

c) Je odpoveď [na písmená a) a b) prvej otázky] iná, ak táto odvetvová organizácia, ktorá vytvára štandard, sama nemá prístup k osobným údajom, ktoré v rámci tohto štandardu spracúvajú jej členovia?

2 a) Má sa článok 4 bod 7 a článok 24 ods. 1 [GDPR] v spojení s článkami 7 a 8 [Charty] vykladať v tom zmysle, že odvetvová organizácia, ktorá vytvára štandard, sa má klasifikovať ako prevádzkovateľ, ak svojim členom ponúka štandard pre správu súhlasu, ktorý popri záväzných technických rámcoch obsahuje predpis, ktorý detailne určuje, ako sa tieto údaje o súhlase, ktoré predstavujú osobné údaje, majú ukladať a šíriť?

b) Je odpoveď [v písmene a) druhej otázky] iná, ak táto odvetvová organizácia sama nemá zákonný prístup k osobným údajom, ktoré v rámci tohto štandardu spracúvajú jej členovia?

c) V prípade, ak sa odvetvová organizácia, ktorá vytvára štandard, má klasifikovať ako prevádzkovateľ alebo spoločný prevádzkovateľ pre spracovanie preferencií internetových používateľov, rozšíri sa (spoločná) zodpovednosť odvetvovej organizácie, ktorá vytvára štandard, potom automaticky na následné spracúvania tretími osobami, ktorým sa poskytli preferencie internetových používateľov, ako cielená online reklama vydavateľov a poskytovateľov?“

O prvej otázke

32 Svojou prvou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 4 bod 1 GDPR vykladať v tom zmysle, že reťazec zložený z kombinácie písmen a znakov, ako je reťazec TC String, obsahujúci preferencie používateľa internetu alebo aplikácie týkajúce sa súhlasu tohto používateľa so spracúvaním osobných údajov, ktoré sa ho týkajú, zo strany poskytovateľov internetových sídiel alebo aplikácií, ako aj maklérov s údajmi a reklamnými platformami, predstavuje osobný údaj v zmysle tohto ustanovenia, ak odvetvová organizácia stanovila rámec pravidiel, podľa ktorého má byť tento reťazec generovaný, uložený alebo šírený, a členovia takejto organizácie dané pravidlá vykonali a majú tak prístup k uvedenému reťazcu. Tento súd sa pýta tiež na to, či je na účely odpovede na túto otázku relevantné jednak to, aby bol uvedený reťazec spojený s identifikátorom, akým je najmä IP adresa zariadenia uvedeného používateľa, ktorá umožňuje identifikovať dotknutú osobu, a jednak to, že takáto odvetvová organizácia má právo na priamy prístup k osobným údajom, ktoré spracúvajú jej členovia v rámci pravidiel, ktoré stanovila.

33 Na úvod treba pripomenúť, že keďže nariadenie GDPR zrušilo a nahradilo smernicu Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355) a relevantné ustanovenia tohto nariadenia majú v podstate rovnaký rozsah ako relevantné ustanovenia tejto smernice, judikatúra Súdneho dvora týkajúca sa uvedenej smernice je v zásade uplatniteľná, aj pokiaľ ide o uvedené nariadenie (rozsudok zo 17. júna 2021, M.I.C.M., C‑597/19, EU:C:2021:492, bod 107).

34 Je potrebné tiež pripomenúť, že podľa ustálenej judikatúry si výklad ustanovenia práva Únie vyžaduje zohľadniť nielen jeho znenie, ale aj kontext, do ktorého patrí, ako aj ciele a účel, ktorý sleduje akt, ktorého je súčasťou (rozsudok z 22. júna 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 38, ako aj citovaná judikatúra).

35 V tejto súvislosti treba uviesť, že článok 4 bod 1 GDPR uvádza, že osobným údajom je „akákoľvek informáci[a] týkajúc[a] sa identifikovanej alebo identifikovateľnej fyzickej osoby“, a spresňuje, že „identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby“.

36 Použitie výrazu „akékoľvek informácie“ v definícii pojmu „osobné údaje“ uvedeného v tomto ustanovení odráža cieľ normotvorcu Únie priznať tomuto pojmu široký význam, ktorý potenciálne zahŕňa všetky druhy informácií, tak objektívne, ako aj subjektívne vo forme názoru alebo hodnotení pod podmienkou, že sa „týkajú“ dotknutej osoby (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 23, ako aj citovaná judikatúra).

37 V tejto súvislosti Súdny dvor rozhodol, že informácia sa týka identifikovanej alebo identifikovateľnej fyzickej osoby, ak z dôvodu svojho obsahu, účelu alebo účinku súvisí s identifikovateľnou osobou (rozsudok zo 4. mája 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 24, ako aj citovaná judikatúra).

38 Pokiaľ ide o „identifikovateľnú“ povahu osoby, zo znenia článku 4 bodu 1 GDPR vyplýva, že identifikovateľná osoba je osoba, ktorú možno identifikovať nielen priamo, ale aj nepriamo.

39 Ako už Súdny dvor rozhodol, použitie výrazu „nepriamo“ normotvorcom Únie naznačuje, že na účely kvalifikácie informácie ako osobného údaja nie je nevyhnutné, aby táto informácia sama osebe umožňovala identifikovať dotknutú osobu (pozri analogicky rozsudok z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 41). Naopak z článku 4 bodu 5 GDPR v spojení s odôvodnením 26 tohto nariadenia vyplýva, že osobné údaje, ktoré by mohli byť priradené k fyzickej osobe za pomoci dodatočných informácií, sa musia považovať za informácie týkajúce sa identifikovateľnej fyzickej osoby (rozsudok z 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, bod 58).

40 Okrem toho toto odôvodnenie 26 spresňuje, že na určenie toho, či je fyzická osoba „identifikovateľná“, by sa mali brať do úvahy „všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby“. Toto znenie naznačuje, že na to, aby bolo možné určitý údaj kvalifikovať ako „osobný údaj“ v zmysle článku 4 bodu 1 tohto nariadenia, nie je nevyhnutné, aby sa všetky informácie umožňujúce identifikovať dotknutú osobu museli nachádzať v rukách jedinej osoby (pozri analogicky rozsudok z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 43).

41 Z toho vyplýva, že pojem „osobné údaje“ sa nevzťahuje len na údaje, ktoré prevádzkovateľ získava a uchováva, ale zahŕňa aj všetky informácie vyplývajúce zo spracúvania osobných údajov, ktoré sa týkajú identifikovanej alebo identifikovateľnej osoby (rozsudok z 22. júna 2023, Pankki S, C‑579/21, EU:C:2023:501, bod 45).

42 V prejednávanej veci treba uviesť, že reťazec zložený z kombinácie písmen a znakov, ako je reťazec TC String, obsahuje preferencie používateľa internetu alebo aplikácie týkajúce sa súhlasu tohto používateľa so spracúvaním osobných údajov, ktoré sa ho týkajú, tretími osobami alebo týkajúce sa jeho prípadnej námietky proti spracúvaniu takýchto údajov založenému na údajnom legitímnom záujme podľa článku 6 ods. 1 písm. f) GDPR.

43 Hoci reťazec TC String sám osebe neobsahoval skutočnosti umožňujúce priamu identifikáciu dotknutej osoby, nič to nemení na tom, že v prvom rade obsahuje individuálne preferencie konkrétneho používateľa, pokiaľ ide o jeho súhlas so spracúvaním osobných údajov, ktoré sa ho týkajú, pričom tieto „informácie sa týkajú fyzickej osoby“ v zmysle článku 4 bodu 1 GDPR.

44 V druhom rade je tiež nesporné, že ak sú informácie obsiahnuté v reťazci TC String spojené s identifikátorom, akým je najmä IP adresa zariadenia takéhoto používateľa, môžu umožniť vytvoriť profil uvedeného používateľa a skutočne identifikovať osobu, ktorej sa takéto informácie konkrétne týkajú.

45 Keďže spojenie reťazca zloženého z kombinácie písmen a znakov, akým je reťazec TC String, s ďalšími údajmi, najmä IP adresou zariadenia používateľa alebo inými identifikátormi, umožňuje identifikáciu tohto používateľa, treba konštatovať, že reťazec TC String obsahuje informácie týkajúce sa identifikovateľného používateľa, a teda predstavuje osobný údaj v zmysle článku 4 ods. 1 nariadenia GDPR, čo potvrdzuje odôvodnenie 30 GDPR, ktoré sa výslovne týka takéhoto prípadu.

46 Tento výklad nemožno spochybniť len na základe skutočnosti, že IAB Europe nemôže samo kombinovať reťazec TC String s IP adresou zariadenia používateľa, a nemá teda možnosť priameho prístupu k údajom spracúvaným jeho členmi v rámci TCF.

47 Ako totiž vyplýva z judikatúry uvedenej v bode 40 tohto rozsudku, takáto skutočnosť nebráni tomu, aby bol reťazec TC String kvalifikovaný ako „osobný údaj“ v zmysle článku 4 bodu 1 nariadenia GDPR.

48 Okrem toho zo spisu, ktorým disponuje Súdny dvor, a najmä z rozhodnutia z 2. februára 2022, vyplýva, že členovia IAB Europe sú povinní oznámiť IAB Europe na jeho žiadosť všetky informácie, ktoré mu umožnia identifikovať používateľov, ktorých údaje sú predmetom reťazca TC String.

49 S výhradou overení, ktoré v tejto súvislosti prináleží vykonať vnútroštátnemu súdu, sa teda zdá, že IAB Europe disponuje v súlade s tým, čo uvádza odôvodnenie 26 GDPR, primeranými prostriedkami, ktoré mu umožňujú identifikovať určitú fyzickú osobu podľa reťazca TC String na základe informácií, ktoré jeho členovia a iné organizácie zúčastňujúce sa na rámci TCF musia poskytnúť.

50 Z uvedeného vyplýva, že reťazec TC String je osobným údajom v zmysle článku 4 bodu 1 GDPR. V tejto súvislosti je irelevantná skutočnosť, že takáto odvetvová organizácia nemôže mať bez prispenia zvonku, ktoré má právo vyžadovať, prístup k údajom, ktoré spracúvajú jej členovia v rámci ňou stanovených pravidiel, a ani nemôže kombinovať reťazec TC String s inými identifikátormi, ako je najmä IP adresa zariadenia používateľa.

51 Vzhľadom na uvedené treba na prvú otázku odpovedať tak, že článok 4 bod 1 GDPR sa má vykladať v tom zmysle, že reťazec zložený z kombinácie písmen a znakov, ako je reťazec TC String, ktorý obsahuje preferencie používateľa internetu alebo aplikácie týkajúce sa súhlasu tohto používateľa so spracúvaním osobných údajov, ktoré sa ho týkajú, pre poskytovateľa internetového sídla alebo aplikácie, ako aj maklérov s takýmito údajmi alebo reklamné platformy, predstavuje osobný údaj v zmysle tohto ustanovenia, pokiaľ umožňuje identifikovať dotknutú osobu v prípade, že ho možno primeranými prostriedkami priradiť k identifikátoru, ako je najmä IP adresa zariadenia používateľa. Za týchto podmienok okolnosť, že bez prispenia zvonku odvetvová organizácia, ktorá je držiteľom tohto reťazca, nemôže mať prístup k údajom, ktoré spracúvajú jej členovia v rámci ňou stanovených pravidiel, a ani nemôže kombinovať tento reťazec s inými prvkami, nebráni tomu, aby daný reťazec predstavoval osobný údaj v zmysle uvedeného ustanovenia.

O druhej otázke

52 Svojou druhou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 4 bod 7 GDPR vykladať v tom zmysle, že:

– či na jednej strane odvetvovú organizáciu v rozsahu, v akom svojim členom ponúka rámec ňou stanovených pravidiel týkajúci sa súhlasu so spracúvaním osobných údajov, ktorý obsahuje nielen záväzné technické pravidlá, ale aj pravidlá podrobne spresňujúce spôsoby ukladania a šírenia osobných údajov týkajúcich sa tohto súhlasu, treba považovať za „prevádzkovateľa“ v zmysle tohto ustanovenia a či je na účely odpovede na túto otázku dôležité, aby takáto odvetvová organizácia mala sama priamy prístup k osobným údajom spracúvaným jej členmi v rámci uvedených pravidiel,

– či sa na druhej strane prípadná spoločná zodpovednosť uvedenej odvetvovej organizácie automaticky vzťahuje na následné spracúvanie osobných údajov vykonané tretími osobami, ako sú poskytovatelia internetových sídiel alebo aplikácií, pokiaľ ide o preferencie používateľov na účely cielenej online reklamy.

53 Na úvod treba pripomenúť, že cieľ sledovaný nariadením GDPR, ktorý vyplýva z jeho článku 1, ako aj z jeho odôvodnení 1 a 10, spočíva najmä v zabezpečení vysokej úrovne ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním osobných údajov zakotveného v článku 8 ods. 1 Charty a v článku 16 ods. 1 ZFEÚ [rozsudok zo 4. mája 2023, Bundesrepublik Deutschland (Elektronická súdna schránka), C‑60/22, EU:C:2023:373, bod 64].

54 V súlade s týmto cieľom článok 4 bod 7 tohto nariadenia definuje pojem „prevádzkovateľ“ široko ako fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný subjekt, ktorý sám alebo v spojení s inými určí účely a prostriedky spracúvania osobných údajov.

55 Ako už rozhodol Súdny dvor, cieľom tohto ustanovenia je zaručiť prostredníctvom tejto širokej definície pojmu „prevádzkovateľ“ účinnú a úplnú ochranu dotknutých osôb (pozri analogicky rozsudok z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, bod 28).

56 Okrem toho vzhľadom na to, že – ako výslovne stanovuje článok 4 bod 7 GDPR – pojem „prevádzkovateľ“ znamená subjekt, ktorý „sám alebo v spojení s inými“ určí účely a prostriedky spracúvania osobných údajov, tento pojem neodkazuje nevyhnutne na jediný subjekt a môže sa týkať viacerých subjektov, ktoré sa na tomto spracúvaní zúčastňujú, takže ustanovenia uplatniteľné v oblasti ochrany osobných údajov sa vzťahujú na každý z týchto subjektov (pozri analogicky rozsudky z 5. júna 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, bod 29, a z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 65).

57 Súdny dvor tiež konštatoval, že fyzickú alebo právnickú osobu, ktorá ovplyvňuje na svoje vlastné účely spracúvanie osobných údajov a v dôsledku toho sa podieľa na určovaní účelov a prostriedkov tohto spracúvania, možno považovať za prevádzkovateľa v zmysle článku 4 bodu 7 GDPR (pozri analogicky rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, bod 68). Podľa článku 26 ods. 1 GDPR o „spoločných prevádzkovateľov“ ide v prípade, ak dvaja alebo viacerí prevádzkovatelia spoločne určia účely a prostriedky spracúvania (rozsudok z 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, bod 40).

58 V tejto súvislosti ak každý spoločný prevádzkovateľ musí nezávisle zodpovedať definícii „prevádzkovateľa“ uvedenej v článku 4 bode 7 GDPR, existencia spoločnej zodpovednosti neznamená nevyhnutne rovnakú zodpovednosť rôznych subjektov za to isté spracúvanie osobných údajov. Tieto subjekty môžu byť naopak zapojené do tohto spracúvania v rôznych fázach a stupňoch, takže mieru zodpovednosti každého z nich treba hodnotiť z hľadiska všetkých relevantných okolností prejednávanej veci. Okrem toho spoluzodpovednosť viacerých subjektov za to isté spracúvanie podľa tohto ustanovenia nepredpokladá, aby mal každý z nich prístup k dotknutým osobným údajom (pozri analogicky rozsudok z 10. júla 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, body 66 a 69, ako aj citovanú judikatúru).

59 Účasť na určení účelov a prostriedkov spracúvania môže mať rôzne formy, pričom táto účasť môže vyplývať tak zo spoločného rozhodnutia prijatého dvoma alebo viacerými subjektmi, ako aj zo zbiehajúcich sa rozhodnutí takých subjektov. V tomto poslednom uvedenom prípade sa však uvedené rozhodnutia musia dopĺňať tak, aby každé z nich malo konkrétny účinok na určenie účelov a prostriedkov spracúvania. Naopak, nemožno vyžadovať, aby medzi týmito prevádzkovateľmi existovala formálna dohoda, pokiaľ ide o účely a prostriedky spracúvania osobných údajov (rozsudok z 5. decembra 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, body 43 a 44).

60 Vzhľadom na uvedené treba usúdiť, že prvá časť druhej položenej otázky má za cieľ určiť, či takú odvetvovú organizáciu, akou je IAB Europe, možno považovať za spoločného prevádzkovateľa v zmysle článku 4 bodu 7 a článku 26 ods. 1 GDPR.

61 Na tento účel je teda potrebné posúdiť, či vzhľadom na osobitné okolnosti prejednávanej veci táto organizácia ovplyvňuje na vlastné účely spracúvanie osobných údajov, ako je reťazec TC String, a spoločne s inými určuje účely a prostriedky takéhoto spracúvania.

62 S výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, možno konštatovať, že pokiaľ ide v prvom rade o účely takéhoto spracúvania osobných údajov, zo spisu, ktorý má Súdny dvor k dispozícii, vyplýva, ako bolo uvedené v bodoch 21 a 22 tohto rozsudku, že rámec TCF vytvorený združením IAB Europe predstavuje rámec pravidiel, ktorého cieľom je zabezpečiť súlad s GDPR pri spracúvaní osobných údajov používateľa internetového sídla alebo aplikácie vykonávaného niektorými subjektmi, ktoré sa zúčastňujú na online aukciách reklamného priestoru.

63 Za týchto podmienok je cieľom TCF v podstate podporovať a umožňovať predaj a nákup reklamného priestoru na internete pre uvedené subjekty.

64 S výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, sa preto možno domnievať, že IAB Europe ovplyvňuje na vlastné účely operácie spracúvania osobných údajov, o ktoré ide vo veci samej, a z tohto dôvodu spoločne so svojimi členmi určuje účely takýchto operácií.

65 V druhom rade, pokiaľ ide o prostriedky použité na účely takéhoto spracúvania osobných údajov, zo spisu, ktorý má Súdny dvor k dispozícii, vyplýva, že – s výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu – TCF predstavuje rámec pravidiel, ktoré majú členovia IAB Europe prijať na účely pristúpenia k tomuto združeniu. Konkrétne, ako potvrdilo IAB Europe na pojednávaní pred Súdnym dvorom, ak jeden z jeho členov nedodržiava pravidlá TCF, IAB Europe môže prijať voči tomuto členovi rozhodnutie o nesúlade a pozastavení, ktoré môže viesť k vylúčeniu uvedeného člena z TCF, a teda zabrániť mu odvolávať sa na záruku súladu s GDPR, ktorú má tento mechanizmus poskytnúť pri spracúvaní osobných údajov prostredníctvom reťazcov TC String.

66 Okrem toho, ako bolo uvedené v bode 21 tohto rozsudku, rámec TCF vytvorený združením IAB Europe obsahuje z praktického hľadiska technické špecifikácie týkajúce sa zaobchádzania s reťazcom TC String. Predovšetkým sa zdá, že tieto špecifikácie presne opisujú spôsob, akým sú platformy CMP povinné zbierať preferencie používateľov, pokiaľ ide o spracúvanie ich osobných údajov, ako aj spôsob, akým sa majú tieto preferencie spracúvať na účely vytvorenia reťazca TC String. Stanovené sú aj presné pravidlá, pokiaľ ide o obsah reťazca TC String, ako aj jeho ukladanie a poskytovanie.

67 Z rozhodnutia z 2. februára 2022 vyplýva najmä to, že IAB Europe v rámci týchto pravidiel stanovuje predovšetkým štandardizovaný spôsob, akým môžu jednotlivé strany zapojené do TCF konzultovať preferencie, námietky a súhlasy používateľov obsiahnuté v reťazcoch TC String.

68 Za týchto podmienok a s výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, treba konštatovať, že taká odvetvová organizácia, akou je IAB Europe, ovplyvňuje na vlastné účely operácie spracúvania osobných údajov, o ktoré ide vo veci samej, a z tohto dôvodu spoločne so svojimi členmi určuje prostriedky, ktoré sú základom pre tieto operácie. Z toho vyplýva, že ju treba považovať za „spoločného prevádzkovateľa“ v zmysle článku 4 bodu 7 a článku 26 ods. 1 GDPR v súlade s judikatúrou uvedenou v bode 57 tohto rozsudku.

69 Okolnosť uvádzaná vnútroštátnym súdom, podľa ktorej takáto odvetvová organizácia nemá sama osebe priamy prístup k reťazcom TC String, a z tohto dôvodu k osobným údajom spracúvaným v rámci uvedených pravidiel jej členmi, s ktorými spoločne určuje účely a prostriedky spracúvania týchto údajov, nebráni v súlade s judikatúrou uvedenou v bode 58 tohto rozsudku tomu, aby mohla byť kvalifikovaná ako „prevádzkovateľ“ v zmysle uvedených ustanovení.

70 Okrem toho v odpovedi na pochybnosti vyjadrené týmto súdom treba vylúčiť, že prípadná spoločná zodpovednosť tejto odvetvovej organizácie sa automaticky vzťahuje na ďalšie spracúvanie osobných údajov vykonané tretími osobami, ako sú napríklad poskytovatelia internetových sídiel alebo aplikácií, pokiaľ ide o preferencie používateľov na účely cielenej reklamy online.

71 V tejto súvislosti treba na jednej strane uviesť, že článok 4 bod 2 GDPR stanovuje, že „spracúvanie“ osobných údajov je „operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami“.

72 Z tejto definície vyplýva, že spracúvanie osobných údajov môže pozostávať z jednej alebo viacerých operácií, z ktorých každá sa vzťahuje na odlišné štádium tohto spracúvania.

73 Na druhej strane, ako už Súdny dvor rozhodol, z článku 4 bodu 7 a článku 26 ods. 1 GDPR vyplýva, že fyzickú alebo právnickú osobu možno považovať za spoločného prevádzkovateľa operácií spracúvania osobných údajov len vtedy, ak spoločne určuje účely a prostriedky spracúvania. V dôsledku toho a bez toho, aby bola v tejto súvislosti dotknutá prípadná občianskoprávna zodpovednosť stanovená vnútroštátnym právom, nemožno takúto fyzickú alebo právnickú osobu považovať za prevádzkovateľa v zmysle uvedeného ustanovenia za predchádzajúce alebo neskoršie operácie v postupe spracúvania, pri ktorých neurčuje účely ani prostriedky (pozri analogicky rozsudok z 29. júla 2019, Fashion ID, C‑40/17, EU:C:2019:629, bod 74).

74 V prejednávanej veci treba rozlišovať na jednej strane medzi spracúvaním osobných údajov vykonávaným členmi IAB Europe, t. j. poskytovateľmi internetových sídiel alebo aplikácií, ako aj maklérmi s údajmi alebo tiež reklamnými platformami, pri zaznamenávaní preferencií v oblasti súhlasu dotknutých používateľov do reťazca TC String podľa pravidiel stanovených v TCF a na druhej strane medzi ďalším spracúvaním osobných údajov vykonávaným týmito subjektmi, ako aj tretími osobami na základe týchto preferencií, ako je prenos týchto údajov tretím osobám alebo ponuka individualizovanej reklamy týmto používateľom.

75 S výhradou overení, ktoré prináleží vykonať vnútroštátnemu súdu, toto ďalšie spracúvanie totiž zrejme nezahŕňa účasť IAB Europe, takže treba vylúčiť automatickú zodpovednosť takejto organizácie spolu s uvedenými operátormi, ako aj s tretími osobami, pokiaľ ide o spracúvanie osobných údajov vykonávané na základe údajov týkajúcich sa preferencií dotknutých používateľov obsiahnutých v reťazci TC String.

76 Odvetvovú organizáciu, akou je IAB Europe, teda možno považovať za zodpovednú za takéto ďalšie spracúvanie len vtedy, ak sa preukáže, že mala vplyv na určenie jeho účelov a prostriedkov, čo prináleží overiť vnútroštátnemu súdu vzhľadom na všetky relevantné okolnosti veci samej.

77 Vzhľadom na všetky predchádzajúce úvahy treba na druhú otázku odpovedať tak, že článok 4 bod 7 a článok 26 ods. 1 GDPR sa majú vykladať v tom zmysle, že:

– na jednej strane odvetvovú organizáciu v rozsahu, v akom svojim členom ponúka rámec ňou stanovených pravidiel týkajúci sa súhlasu so spracúvaním osobných údajov, ktorý obsahuje nielen záväzné technické pravidlá, ale aj pravidlá podrobne spresňujúce spôsoby ukladania a šírenia osobných údajov týkajúcich sa tohto súhlasu, treba považovať za „spoločného prevádzkovateľa“ v zmysle týchto ustanovení, ak vzhľadom na osobitné okolnosti prejednávanej veci táto organizácia ovplyvňuje na vlastné účely spracúvanie dotknutých osobných údajov, a z tohto dôvodu spoločne so svojimi členmi určuje účely a prostriedky takéhoto spracúvania. Okolnosť, že takáto odvetvová organizácia nemá sama osebe priamy prístup k osobným údajom spracúvaným jej členmi v rámci uvedených pravidiel, nebráni tomu, aby mohla mať postavenie spoločného prevádzkovateľa v zmysle uvedených ustanovení,

– na druhej strane spoločná zodpovednosť uvedenej odvetvovej organizácie sa automaticky nevzťahuje na následné spracúvanie osobných údajov vykonané tretími osobami, ako sú poskytovatelia internetových sídiel alebo aplikácií, pokiaľ ide o preferencie používateľov na účely cielenej online reklamy.

O trovách

78 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (štvrtá komora) rozhodol takto:

1. Článok 4 ods. 1 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),

sa má vykladať v tom zmysle, že:

reťazec zložený z kombinácie písmen a znakov, ako je TC reťazec String (Transparency and Consent String), ktorý obsahuje preferencie používateľa internetu alebo aplikácie týkajúce sa súhlasu tohto používateľa so spracúvaním osobných údajov, ktoré sa ho týkajú, pre poskytovateľa internetového sídla alebo aplikácie, ako aj maklérov s takýmito údajmi alebo reklamné platformy, predstavuje osobný údaj v zmysle tohto ustanovenia, pokiaľ umožňuje identifikovať dotknutú osobu v prípade, že ho možno primeranými prostriedkami priradiť k identifikátoru, ako je najmä IP adresa zariadenia používateľa. Za týchto podmienok okolnosť, že bez prispenia zvonku odvetvová organizácia, ktorá je držiteľom tohto reťazca, nemôže mať prístup k údajom, ktoré spracúvajú jej členovia v rámci ňou stanovených pravidiel, a ani nemôže kombinovať tento reťazec s inými prvkami, nebráni tomu, aby daný reťazec predstavoval osobný údaj v zmysle uvedeného ustanovenia.

2. Článok 4 bod 7 a článok 26 ods. 1 nariadenia 2016/679

sa majú vykladať v tom zmysle, že:

Podpisy

* Jazyk konania: holandčina.