Дело C‑604/22
IAB Europe
срещу
Gegevensbeschermingsautoriteit
(Преюдициално запитване, отправено от Нof van beroep te Brussel)
Решение на Съда (четвърти състав) от 7 март 2024 година
„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Браншова организация, която предлага на своите членове правила относно обработването на съгласието на потребителите — Член 4, точка 1 — Понятието „лични данни“ — Низ от букви и символи, който записва по структуриран и машинночитаем начин предпочитанията на интернет потребител относно съгласието на този потребител във връзка с обработването на личните му данни — Член 4, точка 7 — Понятието „администратор“ — Член 26, параграф 1 — Понятието „съвместни администратори“ — Организация, която сама по себе си няма достъп до личните данни, обработвани от нейните членове — Отговорност на организацията, която се разпростира върху последващото обработване от трети страни“
1. Защита на физическите лица във връзка с обработването на лични данни — Регламент 2016/679 — Понятието „лични данни“ — Низ от букви и символи, който записва предпочитанията на интернет потребител относно съгласието му във връзка с обработването на личните му данни — Включване — Условие — Низ, позволяващ идентифицирането на субекта на данните — Невъзможност за браншова организация, която разполага с този низ, да има достъп до данните, обработвани от членовете ѝ, или да свърже посочения низ с други елементи — Липса на последици
(член 4, точка 1 от Регламент 2016/679 на Европейския парламент и на Съвета)
(вж. т. 41—51; т. 1 от диспозитива)
2. Защита на физическите лица във връзка с обработването на лични данни — Регламент 2016/679 — Понятието „съвместни администратори“ — Браншова организация, която предлага на своите членове правила относно обработването на съгласието на потребителите — Включване — Условие — Влияние на тази организация върху разглежданото обработване на лични данни и определяне от нея съвместно с членовете ѝ на целите и средствата на такова обработване — Организация, която няма пряк достъп до личните данни, обработвани от нейните членове — Липса на последици
(член 4, точка 7 и член 26, параграф 1 от Регламент 2016/679 на Европейския парламент и на Съвета)
(вж. т. 57—68 и 77; т. 2 от диспозитива)
3. Защита на физическите лица във връзка с обработването на лични данни — Регламент 2016/679 — Съвместно администриране — Браншова организация, която предлага на своите членове правила относно обработването на съгласието на потребителите — Съвместна отговорност на тази организация, която се разпростира автоматично върху последващото обработване на данни от трети страни — Липса
(член 4, точка 7 и член 26, параграф 1 от Регламент 2016/679 на Европейския парламент и на Съвета)
(вж. т. 74—77; т. 2 от диспозитива)
Резюме
Сезиран с преюдициално запитване, Съдът изяснява, от една страна, понятието „лични данни“(1), а от друга страна, условията, при които браншова организация — доколкото предлага на членовете си рамка от правила относно съгласието за обработване на лични данни — трябва да се квалифицира като „съвместен администратор“(2). Съдът определя и границите на съвместната отговорност на такава организация.
IAB Europe e установено в Белгия сдружение с нестопанска цел, което представлява предприятията от сектора на цифровата реклама и дигиталния маркетинг на европейско равнище.
IAB Europe е разработило Transparency & Consent Framework (Рамка за прозрачност и съгласие, наричана по-нататък „TCF“), която е рамка от правила, насочени към гарантиране на съответствието с ОРЗД на обработването на лични данни на потребител на уебсайт или на приложение от страна на някои оператори. TCF улеснява спазването на ОРЗД, когато тези оператори прилагат протокола OpenRTB, използван при Real Time Bidding (офериране в реално време), което е система за автоматизирани онлайн търгове в реално време на потребителски профили за целите на закупуването и продажбата на рекламно пространство в интернет.
В този контекст TCF улеснява записването на предпочитанията на потребителите, които впоследствие се кодират и съхраняват в съставен от комбинация от букви и символи низ, посочван от IAB Europe с наименованието Transparency and Consent String (наричан по-нататък „TC низът“). Същият се споделя с брокерите на лични данни и с рекламните платформи, участващи в прилагането на протокола OpenRTB, с цел те да знаят за какво е дал съгласие потребителят. Освен това една cookie (бисквитка) се запазва на устройството на потребителя, която в комбинация с TC низа може да бъде свързана с IP адреса на този потребител.
След поредица от жалби срещу IAB Europe с решение от 2 февруари 2022 г. съставът за уреждане на споровете на Gegevensbeschermingsautoriteit (Орган за защита на данните, Белгия) изисква от IAB Europe, в качеството му на администратор на лични данни, да приведе в съответствие с разпоредбите на ОРЗД обработването на данни, извършвано в контекста на TCF.
IAB Europe обжалва това решение пред Hof van beroep te Brussel (Апелативен съд Брюксел, Белгия). Тъй като има съмнения по въпроса дали TC низът, евентуално в комбинация с IP адрес, представлява набор от лични данни, и евентуално дали IAB Europe трябва да се разглежда като администратор на данни в контекста на TCF, по-специално с оглед на обработването на ТС низа, Апелативен съд Брюксел сезира Съда с преюдициално запитване.
Съображения на Съда
На първо място, Съдът отбелязва, че съставен от комбинация от букви и символи низ, какъвто е ТС низът, съдържа предпочитанията на потребител на интернет или на приложение, свързани със съгласието на този потребител за обработване от трети страни на лични данни, отнасящи се до него, или свързани с евентуалното му възражение срещу обработването на такива данни въз основа на твърдян легитимен интерес(3).
В това отношение Съдът счита, че доколкото свързването на ТС низа с IP адреса на устройството на потребител или с други идентификатори позволява идентифицирането на този потребител, то ТС низът съдържа информация относно потребител, който може да бъде идентифициран, и следователно представлява набор от лични данни(4). Освен това обстоятелството, че IAB Europe не може само да свърже ТС низа с IP адреса на устройството на потребителя и не разполага с възможност за пряк достъп до данните, обработвани от неговите членове в контекста на TCF, не е пречка за квалифицирането на ТС низ като набор от „лични данни“(5).
В допълнение, членовете на IAB Europe са длъжни по негово искане да му съобщят цялата информация, която да му позволи да идентифицира потребителите, чиито данни са предмет на ТС низ. Ето защо, освен ако се установи друго при проверките, които запитващата юрисдикция следва да извърши, IAB Europe разполага с разумни средства, позволяващи му да идентифицира определено физическо лице въз основа на ТС низ и благодарение на информацията, която неговите членове и други участващи в TCF организации са длъжни да му предоставят(6).
Поради това Съдът заключава, че ТС низът представлява набор от „лични данни“ по смисъла на член 4, точка 1 от ОРЗД. Без значение е обстоятелството, че без външен принос, какъвто тя има право да изисква, такава браншова организация не може нито да има достъп до данните, обработвани от членовете ѝ в рамките на установените от нея правила, нито да свърже ТС низа с други идентификатори като IP адреса на устройството на потребителя.
На второ място, Съдът разглежда въпроса дали IAB Europe може да се счита за „съвместен администратор“(7). За тази цел следва да се прецени дали то влияе за собствени цели върху обработването на лични данни (като ТС низа) и определя съвместно с други целите и средствата на такова обработване.
Най-напред, що се отнася до целите на такова обработване на данни, Съдът отбелязва, че установената от IAB Europe TCF по същество има за цел да улесни и да позволи продажбата и покупката на рекламно пространство в интернет от някои оператори, участващи в онлайн търгове на рекламно пространство. Ето защо, освен ако се установи друго при проверките, които запитващата юрисдикция следва да извърши, IAB Europe влияе за собствени цели върху операциите по обработване на лични данни и така определя съвместно със своите членове целите на такива операции.
По-нататък, що се отнася до средствата, използвани за същото обработване, Съдът приема, освен ако се установи друго при проверките, които запитващата юрисдикция следва да извърши, че TCF представлява рамка от правила, която членовете на IAB Europe трябва да приемат, за да се присъединят към това сдружение. По-специално, ако някой от членовете му не се съобразява с тези правила, IAB Europe може да приеме решение за несъответствие и за спиране, което може да доведе до изключването на посочения член от TCF и до невъзможност за него да се ползва от гаранцията за съответствие с ОРЗД, която TCF предоставя във връзка с обработването на данни посредством ТС низове. В допълнение, установената от IAB Europe TCF съдържа технически спецификации относно обработването на ТС низа, както и конкретни правила относно съдържанието на ТС низа, неговото съхраняване и неговото споделяне. Освен това Съдът подчертава, че в рамките на тези правила IAB Europe предписва стандартизирания начин, по който различните субекти, участващи в TCF, могат да консултират съдържащите се в ТС низовете предпочитания, възражения и съгласия на потребителите.
При това положение Съдът заключава, че освен ако се установи друго при споменатите проверки, браншова организация като IAB Europe влияе за собствени цели върху операциите по обработване на лични данни и така определя съвместно със своите членове средствата за такива операции. Следователно тя трябва да се разглежда като „съвместен администратор“(8).
Накрая, Съдът уточнява, че следва да се направи разграничение между, от една страна, обработването на лични данни, извършвано от членовете на IAB Europe, тоест от доставчиците на уебсайтове или на приложения, от брокерите на данни или от рекламните платформи, при записването в ТС низ на предпочитанията относно съгласието на съответните потребители в съответствие с установените в TCF правила, и от друга страна, последващото обработване на тези данни, извършвано от тези оператори, както и от трети страни въз основа на тези предпочитания, като например предаването на данните на трети страни или предлагането на персонализирана реклама на въпросните потребители.
Следователно браншова организация като IAB Europe би могла да отговаря като администратор за такова последващо обработване само когато е установено, че тя е оказала влияние върху определянето на целите и средствата на това обработване, като запитващата юрисдикция следва да провери това.