C‑604/22. sz. ügy
IAB Europe
kontra
Gegevensbeschermingsautoriteit
(a hof van beroep te Brussel [Belgium] által benyújtott előzetes döntéshozatal iránti kérelem)
A Bíróság ítélete (negyedik tanács), 2024. március 7.
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A felhasználók hozzájárulásának kezelésére vonatkozó szabályokat javasló szabványalkotó ágazati szervezet – A 4. cikk 1. pontja – A »személyes adatok« fogalma – Az internetfelhasználó személyes adatainak kezelésével kapcsolatos preferenciáit tagolt és géppel olvasható módon rögzítő betű‑ és karakterlánc – A 4. cikk 7. pontja – Az »adatkezelő« fogalma – A 26. cikk (1) bekezdése – A »közös adatkezelők« fogalma – Olyan szervezet, melynek magának nincs hozzáférése a tagjai által kezelt személyes adatokhoz – A szervezetnek az adatok harmadik felek általi későbbi kezelésére kiterjedő felelőssége”
1. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – A személyes adatok fogalma – Az internetfelhasználó személyes adatainak kezelésével kapcsolatos preferenciáit tagolt és géppel olvasható módon rögzítő betű‑ és karakterlánc – Bennfoglaltság – Feltétel – Az érintett személy azonosítását lehetővé tévő lánc – Annak lehetetlensége, hogy az e lánccal rendelkező ágazati szervezet a tagjai által kezelt adatokhoz hozzáférjen, vagy az említett láncot más elemekkel összekapcsolja – Hatás hiánya
(2016/679 európai parlamenti és tanácsi rendelet, 4. cikk, 1. pont)
(lásd: 41–51. pont és a rendelkező rész 1. pontja)
2. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – A „közös adatkezelők” fogalma – A felhasználók hozzájárulásának kezelésére vonatkozó szabályokat javasló szabványalkotó ágazati szervezet – Bennfoglaltság – Feltétel – E szervezet által az érintett személyes adatok kezelésére gyakorolt befolyás, valamint az ilyen adatkezelés céljainak és eszközeinek a tagjaival együttesen történő meghatározása – Olyan szervezet, amelynek nincs közvetlen hozzáférése a tagjai által kezelt személyes adatokhoz – Hatás hiánya
(2016/679 európai parlamenti és tanácsi rendelet, 4. cikk, 7. pont, és 26. cikk, (1) bekezdés)
(lásd: 57–68., 77. pont és a rendelkező rész 2. pontja)
3. A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Közös adatkezelés – Tagjainak a felhasználók hozzájárulásának kezelésére vonatkozó szabályokat javasló szabványalkotó ágazati szervezet – A szervezetnek az adatok harmadik felek általi későbbi kezelésére kiterjedő együttes felelőssége – Hiány
(2016/679 európai parlamenti és tanácsi rendelet, 4. cikk, 7. pont, és 26. cikk, (1) bekezdés)
(lásd: 74–77. pont és a rendelkező rész 2. pontja)
Összefoglalás
Az előzetes döntéshozatal céljából megkeresett Bíróság pontosítja egyrészt a „személyes adatok”(1) fogalmát, másrészt pedig azokat a feltételeket, amelyek mellett „közös adatkezelőnek”(2) kell minősíteni valamely ágazati szervezetet, amely tagjai számára a személyes adatok kezeléséhez való hozzájárulást érintő szabálykeretet kínál. A Bíróság meghatározza továbbá az ilyen szervezet közös felelősségének korlátait.
Az IAB Europe egy belgiumi székhelyű nonprofit egyesület, amely európai szinten képviseli a digitális reklám- és marketingágazatban tevékenykedő vállalkozásokat.
Az IAB Europe kifejlesztette a „Transparency & Consent Framework”‑öt (átláthatósági és hozzájárulási keret, a továbbiakban: TCF), amely az annak biztosítására irányuló szabályok kerete, hogy valamely honlap vagy alkalmazás felhasználója személyes adatainak kezelése összeegyeztethető legyen az általános adatvédelmi rendelettel. A TCF előmozdítja az általános adatvédelmi rendeletnek való megfelelést abban az esetben, ha e szereplők a „Real Time Bidding”‑hez használt „OpenRTB” protokollt alkalmazzák, amely előbbi a felhasználói profilok internetes reklámfelületek adásvétele céljából való, valós idejű és automatizált elektronikus árverésen történő értékesítésének rendszere.
Ebben az összefüggésben a TCF megkönnyíti a felhasználók preferenciáinak rögzítését, amelyeket ezt követően az IAB Europe által Transparency and Consent Stringnek nevezett, betűk és karakterek kombinációjából álló láncban (a továbbiakban: TC String) kódolnak és tárolnak. Ez utóbbit megosztják az OpenRTB protokollban részt vevő személyesadat‑közvetítőkkel és reklámplatformokkal annak érdekében, hogy azok tudják, hogy a felhasználó mihez adta hozzájárulását vagy mit utasított el. Egy süti is elhelyezésre kerül a felhasználó eszközén, amely a TC Stringgel együttesen összekapcsolható a felhasználó IP‑címével.
Az IAB Europe ellen benyújtott több panaszt követően a Gegevensbeschermingsautoriteit (adatvédelmi hatóság, Belgium) vitarendezési tanácsa 2022. február 2‑i határozatával arra kötelezte az IAB Europe‑ot, mint adatkezelőt, hogy hozza összhangba a személyes adatoknak a TCF keretében végzett kezelését az általános adatvédelmi rendelet rendelkezéseivel.
Az IAB Europe e határozattal szemben keresetet nyújtott be a hof van beroep te Brusselhez (brüsszeli fellebbviteli bíróság, Belgium). A brüsszeli fellebbviteli bíróság, mivel kétségei merültek fel azzal kapcsolatban, hogy a TC String személyes adatnak minősül‑e, függetlenül attól, hogy az IP‑címmel összekapcsolják‑e, vagy sem, és amennyiben igen, annyiban az IAB Europe a TCF keretében kezelt személyes adatok kezelőjének minősül‑e, különös tekintettel a TC String kezelésére, előzetes döntéshozatal iránti kérelemmel fordult a Bírósághoz.
A Bíróság álláspontja
Először is a Bíróság megállapítja, hogy a betűk és karakterek kombinációjából álló olyan lánc, mint a TC String, valamely internet‑ vagy alkalmazásfelhasználónak a rá vonatkozó személyes adatok harmadik személyek általi kezeléséhez való hozzájárulásával kapcsolatos preferenciáit vagy ezen adatoknak egy állítólagos jogos érdeken alapuló kezelésével szembeni esetleges tiltakozását tartalmazza.(3)
E tekintetben a Bíróság úgy találja, hogy amennyiben a TC Stringnek a felhasználó készülékének IP‑címével vagy más azonosítókkal való összekapcsolása lehetővé teszi e felhasználó azonosítását, a TC String azonosítható felhasználókra vonatkozó információkat tartalmaz, és így személyes adatnak minősül.(4) Azon körülmény, hogy maga az IAB Europe nem tudná a TC Stringet összekapcsolni a felhasználó készülékének IP‑címével, és nincs lehetősége közvetlenül hozzáférni a tagjai által a TCF keretében kezelt adatokhoz, nem képezi akadályát annak, hogy a TC String „személyes adatnak” minősüljön.(5)
Egyébként pedig az IAB Europe tagjai az IAB Europe kérésére kötelesek közölni vele minden olyan információt, amely lehetővé teszi számára azon felhasználók azonosítását, akiknek az adatai a TC String tárgyát képezik. Úgy tűnik tehát – a kérdést előterjesztő bíróság által elvégzendő vizsgálatok függvényében –, hogy az IAB Europe rendelkezik olyan észszerű eszközökkel, amelyek lehetővé teszik számára a TC Stringből egy meghatározott természetes személy azonosítását azon információk alapján, amelyeket tagjai és a TCF‑ben részt vevő más szervezetek kötelesek a rendelkezésére bocsátani.(6)
Így a Bíróság megállapítja, hogy a TC String az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett személyes adatnak minősül. Nincs jelentősége, hogy az ilyen ágazati szervezet – olyan külső hozzájárulás nélkül, amelyet jogosult megkövetelni – nem férhet hozzá a tagjai által az általa megállapított szabályok keretében kezelt adatokhoz, és nem is kapcsolhatja össze a TC Stringet más olyan azonosítókkal, mint például a felhasználó készülékének IP‑címe.
Másodsorban a Bíróság megvizsgálja, hogy az IAB Europe közös adatkezelőnek tekinthető‑e.(7) Ehhez meg kell tehát vizsgálni, hogy e szervezet saját céljaiból befolyást gyakorol‑e az olyan személyes adatok kezelésére, mint a TC String, és másokkal együtt meghatározza‑e az ilyen adatkezelés céljait és eszközeit.
Először is a személyes adatok ilyen kezelésének céljait illetően a Bíróság megjegyzi, hogy az IAB Europe által létrehozott TCF lényegében arra irányul, hogy elősegítse és lehetővé tegye az internetes reklámfelületeknek az e reklámfelületek online árverésén részt vevő bizonyos szereplők általi internetes adásvételét. Ennélfogva – a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra figyelemmel – az IAB Europe saját céljaiból befolyást gyakorol a személyesadat‑kezelési műveletekre, és emiatt tagjaival együtt határozza meg az ilyen műveletek céljait.
Ezt követően, a személyes adatok ilyen kezeléséhez használt eszközöket illetően, a Bíróság megállapítja – a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel –, hogy a TCF olyan szabálykeretet képez, amelyet az IAB Europe tagjainak el kell fogadniuk az e szervezethez való csatlakozáshoz. Közelebbről, amennyiben valamelyik tagja nem felel meg e szabályoknak, az IAB Europe e taggal szemben meg nem felelésről és felfüggesztésről szóló határozatot hozhat, amely az említett tag TCF‑ből való kizárásához, és ennélfogva annak megakadályozásához vezethet, hogy e tag az általános adatvédelmi rendeletnek való megfelelés azon garanciájára hivatkozzon, amelyet e mechanizmus a TC Stringek segítségével végzett személyesadat‑kezelés tekintetében nyújt. Ezenkívül az IAB Europe által létrehozott TCF műszaki előírásokat tartalmaz a TC String kezelésére vonatkozóan, valamint pontos szabályokat tartalmaz a TC String tartalmára, tárolására és megosztására vonatkozóan. Ezenfelül a Bíróság hangsúlyozza, hogy az IAB Europe e szabályok keretében azt írja elő, hogy a TCF‑ben részt vevő különböző felek milyen egységesített formában tekinthetnek be a felhasználók TC Stringekben foglalt preferenciáiba, elutasításaiba és hozzájárulásaiba.
E körülmények között, és a kérdést előterjesztő bíróság által elvégzendő vizsgálatokra is figyelemmel, a Bíróság megállapítja, hogy az olyan ágazati szervezet, mint az IAB Europe saját céljaiból befolyást gyakorol a személyesadat‑kezelési műveletekre, és emiatt tagjaival együtt meghatározza az ilyen műveletek alapjául szolgáló eszközöket. Következésképpen „közös adatkezelőnek” kell tekinteni.(8)
Végül a Bíróság pontosítja, hogy különbséget kell tenni egyrészt az IAB Europe tagjai, vagyis a honlapok vagy alkalmazások szolgáltatói, valamint az adatközvetítők vagy a reklámplatformok által az érintett felhasználók hozzájárulásra vonatkozó preferenciáinak a TC Stringben, a TCF‑ben megállapított szabályok alapján történő rögzítése során végzett személyesadat‑kezelés, másrészt pedig a személyes adatoknak az e szereplők és harmadik személyek által e preferenciák alapján végzett későbbi kezelése, mint például ezen adatok harmadik személyek részére történő továbbítása vagy személyre szabott reklámok e felhasználók részére történő felajánlása között.
Ennélfogva az olyan ágazati szervezet, mint az IAB Europe, csak akkor tekinthető az ilyen későbbi adatkezelések tekintetében adatkezelőnek, ha bizonyított, hogy befolyást gyakorolt ezen adatkezelések céljainak és eszközeinek meghatározására, aminek vizsgálata a kérdést előterjesztő bíróság feladata.