Mål C‑604/22
IAB Europe
mot
Gegevensbeschermingsautoriteit
(begäran om förhandsavgörande från Hof van beroep te Brussel)
Domstolens dom (fjärde avdelningen) av den 7 mars 2024
”Begäran om förhandsavgörande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning (EU) 2016/679 – Normerande branschorganisation som tillhandahåller sina medlemmar regler avseende behandling av användares samtycke – Artikel 4 led 1 – Begreppet ’personuppgifter’ – En bokstavs- och teckenföljd som, på ett strukturerat och maskinläsbart sätt, ger uttryck för en internetanvändares preferenser vad gäller denna användares samtycke till behandling av sina personuppgifter – Artikel 4 led 7 – Begreppet ’personuppgiftsansvarig’ – Artikel 26.1 – Begreppet ’gemensamt personuppgiftsansvariga’ – Organisation som inte själv har tillgång till de personuppgifter som dess medlemmar behandlar – Organisationens ansvar omfattar även senare behandlingar som utförs av tredje man”
1. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Begreppet ”personuppgifter” – En bokstavs- och teckenföljd som innehåller en internetanvändares preferenser vad gäller denna användares samtycke till behandling av sina personuppgifter – Omfattas – Villkor – Teckenföljd som möjliggör identifiering av den registrerade – En branschorganisation som innehar denna teckenföljd kan varken få tillgång till de uppgifter som behandlas av dess medlemmar eller kombinera denna teckenföljd med andra uppgifter – Saknar betydelse
(Europaparlamentets och rådets förordning 2016/679, artikel 4 led 1)
(se punkterna 41–51 samt punkt 1 i domslutet)
2. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Begreppet ”gemensamt personuppgiftsansvariga” – Normerande branschorganisation som tillhandahåller sina medlemmar regler avseende behandling av användares samtycke – Omfattas – Villkor – Denna organisations möjlighet att påverka den berörda behandlingen av personuppgifterna och att, tillsammans med sina medlemmar, bestämma ändamålen och medlen för en sådan behandling – Organisation som inte har direkt tillgång till de personuppgifter som dess medlemmar behandlar – Saknar betydelse
(Europaparlamentets och rådets förordning 2016/679, artiklarna 4 led 7 och 26.1)
(se punkterna 57–68 och 77 samt punkt 2 i domslutet)
3. Skydd för fysiska personer med avseende på behandling av personuppgifter – Förordning 2016/679 – Gemensamt personuppgiftsansvar – Normerande branschorganisation som tillhandahåller sina medlemmar regler avseende behandling av användares samtycke – Utvidgning av denna organisations gemensamma ansvar till att automatiskt omfatta senare behandlingar som utförs av tredje man – Föreligger inte
(Europaparlamentets och rådets förordning 2016/679, artiklarna 4 led 7 och 26.1)
(se punkterna 74–77 samt punkt 2 i domslutet)
Resumé
Efter att ha mottagit en begäran om förhandsavgörande preciserar domstolen begreppet personuppgifter(1) och de villkor som ska vara uppfyllda för att en branschorganisation, som erbjuder sina medlemmar ett regelverk avseende samtycke till behandling av personuppgifter, ska anses vara ”gemensamt personuppgiftsansvarig”.(2) Domstolen fastställer även gränserna för en sådan organisations gemensamma ansvar.
IAB Europe är en ideell organisation med säte i Belgien som företräder företag inom branschen för digital reklam och marknadsföring på europeisk nivå.
IAB Europe har utvecklat Transparency & Consent Framework (ram för öppenhet och samtycke) (nedan kallad TCF), som är ett regelverk som syftar till att säkerställa att vissa aktörers behandling av personuppgifter som rör en användare av en webbplats eller en applikation är förenlig med dataskyddsförordningen. TFC främjar efterlevnaden av dataskyddsförordningen när dessa aktörer använder OpenRTB-protokollet, vilket används för Real Time bidding, som är ett system för ögonblicklig och automatiserad online-auktion av användarprofiler i försäljningssyfte och för köp av reklamutrymme på internet.
I detta sammanhang underlättar TCF registreringen av användarnas preferenser, vilka därefter kodas och lagras i en sträng som består av en kombination av bokstäver och tecken som IAB Europe har gett namnet Transparency and Consent String (nedan kallad TC‑sträng). Denna TC‑sträng delas med personuppgiftsmäklare och reklamplattformar som deltar i OpenRTB-protokollet, så att dessa vet vad användaren har samtyckt till eller motsatt sig. Det placeras också en kaka på användarens utrustning, vilken, när den kombineras med TC‑strängen, kan kopplas till användarens IP-adress.
Till följd av flera klagomål mot IAB Europe förelade tvisteavdelning vid Gegevensbeschermingsautoriteit (Dataskyddsmyndigheten, Belgien), genom beslut av den 2 februari 2022, IAB Europe att, i egenskap av personuppgiftsansvarig, se till att den behandling av personuppgifter som utfördes inom ramen för TCF var förenlig med bestämmelserna i dataskyddsförordningen.
IAB Europe överklagade detta beslut till Hof van beroep te Brussel (Appellationsdomstolen i Bryssel, Belgien). Denna domstol hyste tvivel om huruvida en TC‑sträng, eventuellt i kombination med en IP-adress, utgör en personuppgift och, om så är fallet, huruvida IAB Europe ska anses vara personuppgiftsansvarig inom ramen för TCF, särskilt med hänsyn till behandlingen av TC‑strängen, och begärde därför ett förhandsavgörande från EU-domstolen.
Domstolens bedömning
För det första påpekar domstolen att en bokstavs- och teckenföljd, såsom TC‑strängen, innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av tredje man eller vad gäller hans eller hennes eventuella invändning mot att sådana uppgifter behandlas på grundval av ett påstått berättigat intresse.(3)
Domstolen anser i detta hänseende att TC‑strängen, eftersom det – när TC‑strängen kopplas till IP-adressen för en användares utrustning eller andra identifierare – är möjligt att identifiera denna användare, innehåller information om en identifierbar användare och således utgör en personuppgift.(4) Den omständigheten att IAB Europe inte själv kan kombinera TC‑strängen med IP-adressen för en användares utrustning och inte har möjlighet att direkt få tillgång till de uppgifter som dess medlemmar behandlar inom ramen för TCF utgör inget hinder för att en TC‑sträng ska anses utgöra en personuppgift.(5)
För övrigt är IAB Europes medlemmar skyldiga att, på IAB Europes begäran, lämna all information som gör det möjligt för organisationen att identifiera de användare vars uppgifter har samlats i en TC‑sträng. Det framstår således, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, som om IAB Europe förfogar över rimliga medel för att identifiera en bestämd fysisk person utifrån en TC‑sträng, med hjälp av den information som dess medlemmar och andra organisationer som deltar i TCF är skyldiga att tillhandahålla denna organisation.(6)
Domstolen finner således att en TC‑sträng utgör en personuppgift i den mening som avses i artikel 4 led 1 i dataskyddsförordningen. Det saknar betydelse att en sådan branschorganisation, utan någon extern medverkan, som den har rätt att kräva, varken kan få tillgång till uppgifter som behandlas av dess medlemmar enligt de regler som den har fastställt eller kombinera TC‑strängen med andra identifierare, såsom bland annat IP-adressen för en användares utrustning.
För det andra undersöker domstolen huruvida IAB Europe kan anses vara gemensamt personuppgiftsansvarig för behandlingen.(7) I detta syfte bedömer den huruvida IAB Europe, för sina egna ändamål, påverkar behandlingen av personuppgifter, såsom TC‑strängen, och tillsammans med andra bestämmer ändamålen och medlen för en sådan behandling.
Vad gäller ändamålen med en sådan behandling av personuppgifter, noterar domstolen att det TCF som inrättats av IAB Europe huvudsakligen syftar till att främja och möjliggöra för vissa aktörer som deltar i online-auktioner avseende reklamutrymme att sälja och köpa reklamutrymme på internet. Med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, påverkar IAB Europe således, för sina egna ändamål, behandlingen av personuppgifter och bestämmer därmed, tillsammans med sina medlemmar, ändamålen med sådana åtgärder.
Vad gäller de medel som används för denna behandling konstaterar domstolen, med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, att TCF utgör ett regelverk som IAB Europes medlemmar förväntas godta för att ansluta sig till denna organisation. Om en av IAB Europes medlemmar inte följer dessa regler, kan organisationen anta ett beslut om bristande efterlevnad och avstängning, vilket kan leda till att medlemmen utesluts från TCF och hindras från att göra gällande den garanti för efterlevnad av dataskyddsförordningen som TFC tillhandahåller med avseende på den behandling av personuppgifter som utförs med hjälp av TC‑strängar. Det TCF som upprättats av IAB Europe innehåller dessutom tekniska specifikationer för behandlingen av TC‑strängar och precisa regler för TC‑strängens innehåll samt för lagring och delning av TC‑strängar. Domstolen understryker dessutom att IAB Europe, inom ramen för dessa regler, föreskriver ett standardiserat sätt för hur de olika parter som är inblandade i TCF kan få tillgång till de preferenser, invändningar och samtycken avseende användarna som TC‑strängarna innehåller.
Under dessa omständigheter, och med förbehåll för den prövning som det ankommer på den hänskjutande domstolen att göra, finner domstolen att en sådan branschorganisation som IAB Europe, för sina egna ändamål, påverkar behandlingen av personuppgifter och därmed, tillsammans med sina medlemmar, fastställer de medel som ska användas för att utföra en sådan behandling. IAB Europe ska därmed anses vara ”gemensam personuppgiftsansvarig”.(8)
Slutligen preciserar domstolen att det ska göras åtskillnad mellan å ena sidan den behandling av personuppgifter som utförs av IAB Europes medlemmar, det vill säga leverantörer av webbplatser eller applikationer samt datamäklare och reklamplattformar, i samband med att de berörda användarnas preferenser avseende samtycke registreras i en TC‑sträng enligt de regler som fastställts i TCF, och, å andra sidan, den senare behandling av personuppgifter som dessa aktörer och tredje man utför på grundval av dessa preferenser, såsom exempelvis överföring av dessa uppgifter till tredje man eller erbjudande av personlig reklam till dessa användare.
En branschorganisation, såsom IAB Europe, kan endast anses vara ansvarig för sådana senare behandlingar när det har fastställts att organisationen har påverkat ändamålen och medlen för dessa behandlingar, vilket det ankommer på den hänskjutande domstolen att pröva.