Υπόθεση C‑604/22
IAB Europe
κατά
Gegevensbeschermingsautoriteit
(αίτηση του hof van beroep te Brussel για την έκδοση προδικαστικής αποφάσεως)
Απόφαση του Δικαστηρίου (τέταρτο τμήμα) της 7ης Μαρτίου 2024
«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Ρυθμιστική κλαδική οργάνωση που προτείνει στα μέλη της κανόνες σχετικά με την επεξεργασία της συγκατάθεσης των χρηστών – Άρθρο 4, σημείο 1 – Έννοια των “δεδομένων προσωπικού χαρακτήρα” – Συμβολοσειρά αποτελούμενη από γράμματα και χαρακτήρες η οποία καταγράφει, κατά τρόπο δομημένο και αναγνώσιμο από μηχάνημα, τις προτιμήσεις ενός χρήστη του διαδικτύου σχετικά με τη συγκατάθεσή του ως προς την επεξεργασία των προσωπικών του δεδομένων – Άρθρο 4, σημείο 7 – Έννοια του “υπευθύνου επεξεργασίας” – Άρθρο 26, παράγραφος 1 – Έννοια των “από κοινού υπευθύνων επεξεργασίας” – Οργάνωση η οποία δεν έχει η ίδια πρόσβαση στα προσωπικά δεδομένα που επεξεργάζονται τα μέλη της – Ευθύνη της οργάνωσης η οποία εκτείνεται στη μεταγενέστερη επεξεργασία δεδομένων από τρίτους»
1. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Έννοια των δεδομένων προσωπικού χαρακτήρα – Συμβολοσειρά αποτελούμενη από γράμματα και χαρακτήρες η οποία περιέχει τις προτιμήσεις ενός χρήστη του διαδικτύου σχετικά με τη συγκατάθεσή του στην επεξεργασία των προσωπικών του δεδομένων – Εμπίπτει – Προϋπόθεση – Συμβολοσειρά που καθιστά δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων – Αδυναμία κλαδικής οργάνωσης, η οποία έχει στην κατοχή της τη συμβολοσειρά αυτή, να έχει πρόσβαση στα δεδομένα που επεξεργάζονται τα μέλη της ή να συνδυάσει τη συμβολοσειρά με άλλα στοιχεία – Δεν ασκεί επιρροή
(Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρο 4, σημείο 1)
(βλ. σκέψεις 41-51, διατακτ. 1)
2. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Έννοια των από κοινού υπευθύνων επεξεργασίας – Ρυθμιστική κλαδική οργάνωση που προτείνει στα μέλη της κανόνες σχετικά με την επεξεργασία της συγκατάθεσης των χρηστών – Εμπίπτει – Προϋπόθεση – Η οργάνωση αυτή επηρεάζει την επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα και καθορίζει, από κοινού με τα μέλη της, τους σκοπούς και τα μέσα της εν λόγω επεξεργασίας – Οργάνωση η οποία δεν έχει άμεση πρόσβαση στα προσωπικά δεδομένα που επεξεργάζονται τα μέλη της – Δεν ασκεί επιρροή
(Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρα 4, σημείο 7, και 26 § 1)
(βλ. σκέψεις 57-68, 77, διατακτ. 2)
3. Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Από κοινού ευθύνη για την επεξεργασία – Ρυθμιστική κλαδική οργάνωση που προτείνει στα μέλη της κανόνες σχετικά με την επεξεργασία της συγκατάθεσης των χρηστών – Από κοινού ευθύνη της οργάνωσης αυτής η οποία εκτείνεται αυτομάτως στη μεταγενέστερη επεξεργασία δεδομένων που πραγματοποιείται από τρίτους – Δεν υφίσταται
(Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρα 4, σημείο 7, και 26 § 1)
(βλ. σκέψεις 74-77, διατακτ. 2)
Σύνοψη
Το Δικαστήριο, αποφαινόμενο στο πλαίσιο προδικαστικής παραπομπής, παρέχει διευκρινίσεις, αφενός, ως προς την έννοια των «δεδομένων προσωπικού χαρακτήρα» (1) και, αφετέρου, ως προς τις προϋποθέσεις υπό τις οποίες μια κλαδική οργάνωση, στο μέτρο που προτείνει στα μέλη της πλαίσιο κανόνων σχετικά με τη συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, πρέπει να χαρακτηριστεί ως «από κοινού υπεύθυνος επεξεργασίας» (2). Το Δικαστήριο καθορίζει επίσης τα όρια της από κοινού ευθύνης μιας τέτοιας οργάνωσης.
Η IAB Europe είναι μη κερδοσκοπική ένωση με έδρα το Βέλγιο, η οποία εκπροσωπεί τις επιχειρήσεις του κλάδου της ψηφιακής διαφήμισης και του ψηφιακού μάρκετινγκ σε ευρωπαϊκό επίπεδο.
Η IAB Europe ανέπτυξε το Transparency & Consent Framework (πλαίσιο διαφάνειας και συγκατάθεσης, στο εξής: TCF), δηλαδή ένα πλαίσιο κανόνων το οποίο αποσκοπεί στο να διασφαλιστεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ενός χρήστη ιστοτόπου ή εφαρμογής, η οποία διενεργείται από ορισμένους φορείς, είναι σύμφωνη με τον ΓΚΠΔ. Το TCF προωθεί την τήρηση του ΓΚΠΔ όταν οι εν λόγω φορείς κάνουν χρήση του πρωτοκόλλου OpenRTB, το οποίο χρησιμοποιείται για το Real Time Bidding, ένα σύστημα στιγμιαίων και αυτοματοποιημένων διαδικτυακών δημοπρασιών για προφίλ χρηστών, με σκοπό την πώληση και την αγορά διαφημιστικού χώρου στο διαδίκτυο.
Στο πλαίσιο αυτό, το TCF διευκολύνει την καταχώριση των προτιμήσεων των χρηστών, οι οποίες στη συνέχεια κωδικοποιούνται και αποθηκεύονται σε συμβολοσειρά αποτελούμενη από συνδυασμό γραμμάτων και χαρακτήρων που καθορίζεται από την IAB Europe με την ονομασία Transparency and Consent String (στο εξής: TC String). Η συμβολοσειρά κοινοποιείται σε μεσίτες δεδομένων προσωπικού χαρακτήρα και διαφημιστικές πλατφόρμες που μετέχουν στο πρωτόκολλο OpenRTB, προκειμένου οι μεσίτες και οι πλατφόρμες αυτές να γνωρίζουν σε τι έχει ή δεν έχει συγκατατεθεί ο χρήστης. Τοποθετείται επίσης cookie στη συσκευή του χρήστη, το οποίο, συνδυαζόμενο με την TC String, μπορεί να συνδεθεί με τη διεύθυνση IP του εν λόγω χρήστη.
Κατόπιν πλειόνων καταγγελιών κατά της IAB Europe, το τμήμα επίλυσης διαφορών της Gegevensbeschermingsautoriteit (Αρχής Προστασίας Δεδομένων, Βέλγιο), με την από 2 Φεβρουαρίου 2022 απόφασή του, έδωσε εντολή στην IAB Europe, ως υπεύθυνη επεξεργασίας δεδομένων, να εναρμονίσει με τις διατάξεις του ΓΚΠΔ την επεξεργασία των δεδομένων που πραγματοποιείται στο πλαίσιο του TCF.
Η IAB Europe προσέβαλε την απόφαση αυτή ενώπιον του hof van beroep te Brussel (εφετείου Βρυξελλών, Βέλγιο). Το εφετείο Βρυξελλών, έχοντας αμφιβολίες ως προς το ζήτημα αν μια TC String, συνδυαζόμενη ή όχι με διεύθυνση IP, συνιστά δεδομένο προσωπικού χαρακτήρα και, σε περίπτωση καταφατικής απάντησης, αν η IAB Europe πρέπει να χαρακτηριστεί ως υπεύθυνος επεξεργασίας δεδομένων στο πλαίσιο του TCF, ιδίως όσον αφορά την επεξεργασία της TC String, υπέβαλε στο Δικαστήριο αίτηση προδικαστικής αποφάσεως.
Εκτίμηση του Δικαστηρίου
Πρώτον, το Δικαστήριο επισημαίνει ότι μια συμβολοσειρά αποτελούμενη από συνδυασμό γραμμάτων και χαρακτήρων, όπως η TC String, περιέχει τις προτιμήσεις ενός χρήστη του διαδικτύου ή εφαρμογής σχετικά με τη συγκατάθεση του χρήστη αυτού στην επεξεργασία, από τρίτους, δεδομένων προσωπικού χαρακτήρα που τον αφορούν ή σχετικά με την τυχόν εναντίωσή του σε επεξεργασία τέτοιων δεδομένων στηριζόμενη σε προβαλλόμενο έννομο συμφέρον (3).
Συναφώς, το Δικαστήριο κρίνει ότι, στο μέτρο που η σύνδεση της TC String με τη διεύθυνση IP της συσκευής ενός χρήστη ή με άλλα αναγνωριστικά στοιχεία ταυτότητας καθιστά δυνατή την ταυτοποίηση του χρήστη, η TC String περιέχει πληροφορίες που αφορούν ταυτοποιήσιμο χρήστη και, επομένως, συνιστά δεδομένο προσωπικού χαρακτήρα (4). Επιπλέον, το γεγονός ότι η IAB Europe δεν θα μπορούσε να συνδυάσει η ίδια την TC String με τη διεύθυνση IP της συσκευής ενός χρήστη και δεν θα είχε τη δυνατότητα να έχει άμεση πρόσβαση στα δεδομένα που επεξεργάζονται τα μέλη της στο πλαίσιο του TCF δεν εμποδίζει τον χαρακτηρισμό μιας TC String ως «δεδομένου προσωπικού χαρακτήρα» (5).
Εξάλλου, τα μέλη της IAB Europe υποχρεούνται να της κοινοποιούν, κατόπιν αιτήματός της, όλες τις πληροφορίες που της επιτρέπουν να ταυτοποιήσει τους χρήστες των οποίων τα δεδομένα αποτελούν αντικείμενο μιας TC String. Επομένως, υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, η IAB Europe διαθέτει μέσα που ευλόγως της επιτρέπουν να ταυτοποιήσει ένα συγκεκριμένο φυσικό πρόσωπο βάσει μιας TC String, χάρη στις πληροφορίες τις οποίες υποχρεούνται να της παρέχουν τα μέλη της και άλλες οργανώσεις που μετέχουν στο TCF (6).
Ως εκ τούτου, το Δικαστήριο καταλήγει στο συμπέρασμα ότι μια TC String αποτελεί δεδομένο προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ. Ελάχιστη σημασία έχει το ότι, χωρίς εξωτερική συμβολή την οποία δικαιούται να απαιτήσει, μια τέτοια κλαδική οργάνωση δεν μπορεί ούτε να έχει πρόσβαση στα δεδομένα που επεξεργάζονται τα μέλη της στο πλαίσιο των κανόνων που αυτή έχει θεσπίσει ούτε να συνδυάσει την TC String με άλλα αναγνωριστικά στοιχεία ταυτότητας, όπως είναι η διεύθυνση IP της συσκευής ενός χρήστη.
Δεύτερον, το Δικαστήριο εξετάζει αν η IAB Europe μπορεί να θεωρηθεί ως από κοινού υπεύθυνος επεξεργασίας (7). Προς τούτο, πρέπει να εκτιμηθεί αν η εν λόγω οργάνωση επηρεάζει, για δικούς της σκοπούς, την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως είναι η TC String, και καθορίζει, από κοινού με άλλους, τους σκοπούς και τα μέσα της επεξεργασίας αυτής.
Όσον αφορά, κατ’ αρχάς, τους σκοπούς μιας τέτοιας επεξεργασίας δεδομένων, το Δικαστήριο σημειώνει ότι το TCF που κατάρτισε η IAB Europe αποσκοπεί, κατ’ ουσίαν, στο να προωθήσει και να καταστήσει δυνατή την πώληση και την αγορά διαφημιστικού χώρου στο διαδίκτυο από ορισμένους φορείς που συμμετέχουν σε διαδικτυακές δημοπρασίες διαφημιστικού χώρου. Συνεπώς, υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, η IAB Europe επηρεάζει, για δικούς της σκοπούς, τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα και καθορίζει, ως εκ τούτου, από κοινού με τα μέλη της, τους σκοπούς των πράξεων αυτών.
Εν συνεχεία, ως προς τα μέσα που χρησιμοποιούνται για την εν λόγω επεξεργασία, το Δικαστήριο διαπιστώνει, υπό την επιφύλαξη των εξακριβώσεων στις οποίες θα προβεί το αιτούν δικαστήριο, ότι το TCF συνιστά πλαίσιο κανόνων το οποίο τα μέλη της IAB Europe πρέπει να αποδεχθούν προκειμένου να ενταχθούν στην ένωση αυτή. Ειδικότερα, εάν ένα από τα μέλη της δεν συμμορφώνεται με τους εν λόγω κανόνες, η IAB Europe δύναται να λάβει απόφαση περί μη συμμόρφωσης και περί αναστολής η οποία μπορεί να έχει ως συνέπεια να αποκλειστεί το μέλος αυτό από το TCF και να μην έχει πλέον τη δυνατότητα να επικαλεστεί, για την επεξεργασία δεδομένων την οποία πραγματοποιεί μέσω των TC Strings, την εγγύηση συμμόρφωσης με τον ΓΚΠΔ που παρέχει το TCF. Επιπλέον, το TCF που κατάρτισε η IAB Europe περιέχει τεχνικές προδιαγραφές σχετικά με την επεξεργασία της TC String καθώς και συγκεκριμένους κανόνες σχετικά με το περιεχόμενο της TC String, την αποθήκευσή της και την από κοινού χρήση της. Περαιτέρω, το Δικαστήριο υπογραμμίζει ότι η IAB Europe καθορίζει, στο πλαίσιο των κανόνων αυτών, τον τυποποιημένο τρόπο με τον οποίο τα διάφορα μετέχοντα στο TCF μέρη μπορούν να ανατρέχουν στις προτιμήσεις, τις αντιρρήσεις και τις συγκαταθέσεις των χρηστών που περιέχονται στις TC Strings.
Υπό τις συνθήκες αυτές, και υπό την επιφύλαξη των εξακριβώσεων του αιτούντος δικαστηρίου, το Δικαστήριο κρίνει ότι μια κλαδική οργάνωση όπως η IAB Europe επηρεάζει, για δικούς της σκοπούς, τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα και καθορίζει, ως εκ τούτου, από κοινού με τα μέλη της, τα μέσα για τη διενέργεια των εν λόγω πράξεων. Επομένως, η οργάνωση αυτή πρέπει να θεωρηθεί ως «από κοινού υπεύθυνος επεξεργασίας» (8).
Τέλος, το Δικαστήριο διευκρινίζει ότι πρέπει να γίνει διάκριση μεταξύ, αφενός, της επεξεργασίας δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται από τα μέλη της IAB Europe, όπως είναι οι πάροχοι ιστοτόπων ή εφαρμογών, οι μεσίτες δεδομένων ή, ακόμη, οι διαφημιστικές πλατφόρμες, κατά την καταχώριση σε μια TC String των προτιμήσεων ως προς τη συγκατάθεση των ενδιαφερόμενων χρηστών σύμφωνα με τους κανόνες που καθορίζονται στο TCF και, αφετέρου, της μεταγενέστερης επεξεργασίας των εν λόγω δεδομένων η οποία πραγματοποιείται από τους φορείς αυτούς καθώς και από τρίτους βάσει των ανωτέρω προτιμήσεων, όπως είναι η διαβίβαση των δεδομένων σε τρίτους ή η προσφορά εξατομικευμένης διαφήμισης στους εν λόγω χρήστες.
Επομένως, μια κλαδική οργάνωση, όπως η IAB Europe, μπορεί να θεωρηθεί υπεύθυνη για μια τέτοια μεταγενέστερη επεξεργασία μόνον όταν αποδεικνύεται ότι η οργάνωση αυτή άσκησε επιρροή στον καθορισμό των σκοπών και του τρόπου της επεξεργασίας, πράγμα το οποίο εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει.