Kohtuasi C‑604/22
IAB Europe
versus
Gegevensbeschermingsautoriteit
(eelotsusetaotlus, mille on esitanud hof van beroep te Brussel)
Euroopa Kohtu (neljas koda) 7. märtsi 2024. aasta otsus
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Normatiivne valdkondlik organisatsioon, kes pakub oma liikmetele reegleid kasutajate nõusoleku töötlemise kohta – Artikli 4 punkt 1 – Mõiste „isikuandmed“ – Tähtede ja märkide jada, mis salvestab struktureeritult ja masinloetaval viisil internetikasutaja eelistused seoses tema nõusolekuga tema isikuandmete töötlemiseks – Artikli 4 punkt 7 – Mõiste „vastutav töötleja“ – Artikli 26 lõige 1 – Mõiste „kaasvastutavad töötlejad“ – Organisatsioon, kellel endal puudub juurdepääs oma liikmete töödeldud isikuandmetele – Organisatsiooni vastutus, mis laieneb andmete edasisele töötlemisele kolmandate isikute poolt
1. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Mõiste „isikuandmed“ – Tähtede ja märkide jada, mis sisaldab internetikasutaja eelistusi seoses tema nõusolekuga tema isikuandmete töötlemiseks – Hõlmamine – Tingimus – Andmesubjekti tuvastamist võimaldav jada – Seda jada hoidva valdkondliku organisatsiooni võimetus pääseda juurde tema liikmete töödeldavatele andmetele või kombineerida seda jada muude elementidega – Mõju puudumine
(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 4 punkt 1)
(vt punktid 41–51 ja resolutsiooni punkt 1)
2. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Mõiste „kaasvastutavad töötlejad“ – Normatiivne valdkondlik organisatsioon, kes pakub oma liikmetele reegleid kasutajate nõusoleku töötlemise kohta – Hõlmamine – Tingimus – Selle organisatsiooni mõju asjaomaste isikuandmete töötlemisele ning tema poolt ühiselt tema liikmetega sellise töötlemise eesmärkide ja vahendite kindlaksmääramine – Organisatsioon, kellel endal puudub juurdepääs oma liikmete töödeldud isikuandmetele – Mõju puudumine
(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 4 punkt 7 ja artikli 26 lõige 1)
(vt punktid 57–68 ja 77 ning resolutsiooni punkt 2)
3. Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus 2016/679 – Kaasvastutus töötlemise eest – Normatiivne valdkondlik organisatsioon, kes pakub oma liikmetele reegleid kasutajate nõusoleku töötlemise kohta – Selle organisatsiooni kaasvastutus, mis laieneb andmete edasisele töötlemisele kolmandate isikute poolt – Puudumine
(Euroopa Parlamendi ja nõukogu määrus 2016/679, artikli 4 punkt 7 ja artikli 26 lõige 1)
(vt punktid 74–77 ja resolutsiooni punkt 2)
Kokkuvõte
Euroopa Kohus, kellele esitati eelotsusetaotlus, täpsustas esiteks mõistet „isikuandmed“(1) ja teiseks tingimusi, mille korral tuleb valdkondlikku organisatsiooni, kui ta on kehtestanud oma liikmetele reeglistiku isikuandmete töötlemiseks nõusoleku andmise kohta, pidada „kaasvastutavaks töötlejaks“(2). Samuti määras Euroopa Kohus kindlaks sellise organisatsiooni kaasvastutuse piirid.
IAB Europe on Belgias asutatud mittetulundusühing, kes esindab Euroopa tasandil digitaalse reklaami- ja turundussektori ettevõtjaid.
IAB Europe on välja töötanud Transparency & Consent Framework’i (läbipaistvuse ja nõusoleku raamistik, edaspidi „TCF“), mis on reeglistik, mille eesmärk on tagada, et veebisaidi või rakenduse kasutaja isikuandmete töötlemine, mida teevad teatavad ettevõtjad, on kooskõlas isikuandmete kaitse üldmäärusega. TCFi abil edendatakse isikuandmete kaitse üldmääruse järgimist, kui need ettevõtjad kasutavad OpenRTB-protokolli, mida kasutatakse Real Time Bidding’u jaoks, mis on kasutajate profiilide kohese ja automatiseeritud veebipõhiste oksjonite süsteem reklaamipinna müümiseks ja ostmiseks internetis.
Selles kontekstis aitab TCF registreerida kasutajate eelistusi, mis seejärel kodeeritakse ja salvestatakse tähtede ja märkide kombinatsioonist koosnevas jadas, mida IAB Europe tähistab kui Transparency and Consent String’i (edaspidi „TC-string“). Viimati nimetatut jagatakse OpenRTB-protokollis osalevate isikuandmete maaklerite ja reklaamiplatvormidega, et nad teaksid, millega kasutaja on või ei ole nõustunud. Kasutaja seadmesse paigutatakse ka küpsis, mille kombineerimisel TC‑stringiga võib selle seostada selle kasutaja IP‑aadressiga.
Pärast mitut IAB Europe’i kohta esitatud kaebust kohustas Gegevensbeschermingsautoriteit (Belgia andmekaitseasutus) oma 2. veebruari 2022. aasta otsusega vastutavat töötlejat IAB Europe’it viima TCFi raames toimuv andmetöötlus kooskõlla isikuandmete kaitse üldmääruse sätetega.
IAB Europe esitas selle otsuse peale kaebuse hof van beroep te Brusselile (Brüsseli apellatsioonikohus, Belgia). Kuna Brüsseli apellatsioonikohtul tekkisid kahtlused, kas TC‑string – olenevalt asjaoludest kombinatsioonis IP-aadressiga – kujutab endast isikuandmeid, ja kui see on nii, siis kas IAB Europe’it tuleb pidada TCFi raames isikuandmete vastutavaks töötlejaks, eelkõige TC-stringi töötlemise osas, pöördus ta eelotsusetaotlusega Euroopa Kohtu poole.
Euroopa Kohtu hinnang
Esimesena märkis Euroopa Kohus, et tähtede ja märkide kombinatsioonist koosnev jada – nagu TC‑string – sisaldab interneti või rakenduse kasutaja eelistusi seoses selle kasutaja nõusolekuga teda puudutavate isikuandmete töötlemiseks kolmandate isikute poolt või tema võimaliku vastuseisuga selliste andmete töötlemisele, mis põhineb väidetavalt õigustatud huvil(3).
Sellega seoses leidis Euroopa Kohus, et kuna TC‑stringi seostamine kasutaja seadme IP‑aadressiga või muude identifikaatoritega võimaldab seda kasutajat tuvastada, sisaldab TC‑string teavet tuvastatava kasutaja kohta ja kujutab endast seega isikuandmeid(4). Asjaolu, et IAB Europe ei saa ise kombineerida TC‑stringi kasutaja seadme IP‑aadressiga ning tal ei ole otsest juurdepääsu andmetele, mida tema liikmed TCFi raames töötlevad, ei takista TC‑stringi kvalifitseerimist „isikuandmeteks“(5).
Muu hulgas on IAB Europe’i liikmed kohustatud edastama IAB Europe’ile viimase nõudmisel kogu teabe, mis võimaldab tal tuvastada kasutajad, kelle andmed on TC‑stringi esemeks. Seega näib – kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist –, et IAB Europe’il on mõistlikud vahendid, mis võimaldavad tal tuvastada TC‑stringi alusel konkreetse füüsilise isiku, kasutades selleks teavet, mida tema liikmed ja teised TCFis osalevad organisatsioonid peavad talle esitama(6).
Seega järeldas Euroopa Kohus, et TC‑string kujutab endast isikuandmeid isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses. Selles osas ei ole tähtis asjaolu, et sellisel valdkondlikul organisatsioonil ei oleks ilma välise abita, mida tal on õigus nõuda, võimalik pääseda juurde andmetele, mida tema liikmed töötlevad tema kehtestatud reeglite alusel, ega kombineerida TC‑stringi teiste identifikaatoritega, näiteks kasutaja seadme IP-aadressiga.
Teisena analüüsis Euroopa Kohus, kas IAB Europe’it võib pidada kaasvastutavaks töötlejaks(7). Selleks tuleb hinnata, kas IAB Europe mõjutab enda huvides selliste isikuandmete töötlemist nagu TC‑string ning määrab koos teistega kindlaks sellise töötlemise eesmärgid ja vahendid.
Mis puudutab kõigepealt sellise andmetöötluse eesmärke, siis märkis Euroopa Kohus, et IAB Europe’i koostatud TCFi eesmärk on peamiselt soodustada ja võimaldada internetis reklaamipinna müüki ja ostmist teatavate ettevõtjate poolt, kes osalevad reklaamipinna müümisel internetioksjonil. Seega võib asuda seisukohale – kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist –, et IAB Europe mõjutab enda huvides isikuandmete töötlemise toiminguid ja määrab seetõttu koos oma liikmetega kindlaks selliste toimingute eesmärgid.
Mis puudutab isikuandmete töötlemiseks kasutatud vahendeid, siis tõdes Euroopa Kohus – kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist –, et TCF kujutab endast reeglistikku, millega IAB Europe’i liikmed peavad selle ühingu liikmeks astumisel nõustuma. Kui mõni tema liikmetest ei järgi TCFi reegleid, võib IAB Europe teha selle liikme suhtes nõuetele mittevastavuse ja peatamise otsuse, mis võib viia selleni, et liige jäetakse TCFi alt välja ja seega ei saa ta tugineda isikuandmete kaitse üldmäärusega kooskõla tagatisele, mida TCF peaks andma isikuandmete töötlemiseks TC‑stringide abil. Lisaks sisaldab IAB Europe’i koostatud TCF tehnilisi kirjeldusi TC‑stringi töötlemise kohta ja täpseid reegleid TC‑stringi sisu ning selle säilitamise ja jagamise kohta. Lisaks rõhutas Euroopa Kohus, et IAB Europe näeb nende reeglitega ette standardiseeritud viisi, kuidas TCFis osalevad erinevad pooled saavad tutvuda TC‑stringides sisalduvate kasutajate eelistuste, vastuväidete ja nõusolekutega.
Neil asjaoludel ja kui eelotsusetaotluse esitanud kohtu kontrolli tulemusel ei ilmne vastupidist, järeldas Euroopa Kohus, et selline valdkondlik organisatsioon nagu IAB Europe mõjutab enda huvides isikuandmete töötlemise toiminguid ja määrab seetõttu koos oma liikmetega kindlaks nende toimingute aluseks olevad vahendid. Teda tuleb seega pidada „kaasvastutavaks töötlejaks“(8).
Lõpuks täpsustas Euroopa Kohus, et eristada tuleb ühelt poolt isikuandmete töötlemist, mida teostavad IAB Europe’i liikmed, st veebisaitide või rakenduste pakkujad, andmemaaklerid või reklaamiplatvormid, kui nad registreerivad TC-stringis asjaomaste kasutajate nõusoleku andmise eelistusi vastavalt TCFis kehtestatud reeglitele, ning teiselt poolt isikuandmete edasist töötlemist, mida teevad need ettevõtjad ja kolmandad isikud nende eelistuste alusel, nagu nende andmete edastamine kolmandatele isikutele või nendele kasutajatele personaalse reklaami pakkumine.
Seega saab sellist valdkondlikku organisatsiooni nagu IAB Europe pidada sellise edasise töötlemise eest vastutavaks ainult siis, kui on tõendatud, et ta mõjutas selle töötlemise eesmärkide ja tingimuste kindlaksmääramist, mida peab kontrollima eelotsusetaotluse esitanud kohus.