IAB Europe

przeciwko

Gegevensbeschermingsautoriteit,

TRYBUNAŁ (czwarta izba),

w składzie: C. Lycourgos, prezes izby, O. Spineanu-Matei, J.‑C. Bonichot, S. Rodin i L.S. Rossi (sprawozdawczyni), sędziowie,

rzecznik generalny: T. Ćapeta,

sekretarz: A. Lamote, administratorka,

uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 21 września 2023 r.,

rozważywszy uwagi, które przedstawili:

–        w imieniu IAB Europe – P. Craddock, avocat, i K. Van Quathem, advocaat,

–        w imieniu Gegevensbeschermingsautoriteit – E. Cloots, J. Roets i T. Roes, advocaten,

–        w imieniu Jefa Ausloosa, Pierre’a Dewitte’a, Johnny’ego Ryana, Fundacji Panoptykon, Stichting Bits of Freedom i Ligue des Droits Humains VZW – F. Debusseré i R. Roex, advocaten,

–        w imieniu rządu austriackiego – J. Schmoll i C. Gabauer, w charakterze pełnomocników,

–        w imieniu Komisji Europejskiej – A. Bouchagiar i H. Kranenborg, w charakterze pełnomocników,

podjąwszy, po wysłuchaniu rzecznik generalnej, decyzję o rozstrzygnięciu sprawy bez opinii,

wydaje następujący

Wyrok

1        Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 4 pkt 1 i 7 oraz art. 24 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”) w świetle art. 7 i 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”).

2        Wniosek ten został złożony w ramach sporu pomiędzy stowarzyszeniem IAB Europe a Gegevensbeschermingsautoriteit (organem ochrony danych, Belgia) (zwanym dalej „OOD”) w przedmiocie wydanej przez izbę ds. rozstrzygania sporów OOD względem tego stowarzyszenia decyzji dotyczącej zarzucanego mu naruszenia szeregu przepisów RODO.

 Ramy prawne

 Prawo Unii

3        Motywy 1, 10, 26 i 30 RODO mają następujące brzmienie:

„(1)      Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art[ykuł] 8 ust. 1 [Karty] oraz art. 16 ust. 1 [TFUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

[…]

(10)      Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. […]

[…]

(26)      Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

[…]

(30)      Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób”.

4        Artykuł 1 RODO, zatytułowany „Przedmiot i cele”, stanowi w ust. 2:

„Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”.

5        Artykuł 4 wspomnianego rozporządzenia przewiduje:

„Na użytek niniejszego rozporządzenia:

1)      »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2)      »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

[…]

7)      »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

[…]

11)      »zgoda« osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

[…]”.

6        Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, ma następujące brzmienie:

„1.      Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)      osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

[…]

f)      przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

[…]”.

7        Artykuł 24 tego rozporządzenia, zatytułowany „Obowiązki administratora”, stanowi w ust. 1:

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

8        Artykuł 26 wspomnianego rozporządzenia, zatytułowany „Współadministratorzy”, stanowi w ust. 1:

„Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. […]”.

9        Rozdział VI RODO, dotyczący „[n]iezależn[ych] organ[ów] nadzorcz[ych]”, obejmuje art. 51–59 tego rozporządzenia.

10      Artykuł 51 tego rozporządzenia, zatytułowany „Organ nadzorczy”, przewiduje w ust. 1 i 2:

„1.      Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii […].

2.      Każdy organ nadzorczy przyczynia się do spójnego stosowania niniejszego rozporządzenia w całej Unii. W tym celu organy nadzorcze współpracują ze sobą i z Komisją [Europejską] zgodnie z rozdziałem VII”.

11      Artykuł 55 RODO jest zatytułowany „Właściwość”. Zgodnie z jego ust. 1 i 2:

„1.      Każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego.

2.      Jeżeli przetwarzania dokonują organy publiczne lub podmioty prywatne działające na podstawie art. 6 ust. 1 lit. c) lub e), organem właściwym jest organ nadzorczy danego państwa członkowskiego. W takich przypadkach art. 56 nie ma zastosowania”.

12      Artykuł 56 tego rozporządzenia, zatytułowany „Właściwość wiodącego organu nadzorczego”, stanowi w ust. 1:

„Bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający”.

13      Artykuł 57 wspomnianego rozporządzenia, zatytułowany „Zadania”, stanowi w ust. 1:

„Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:

a)      monitoruje i egzekwuje stosowanie niniejszego rozporządzenia;

[…]

g)      współpracuje z innymi organami nadzorczymi, w tym dzieli się informacjami oraz świadczy wzajemną pomoc, w celu zapewnienia spójnego stosowania i egzekwowania niniejszego rozporządzenia;

[…]”.

14      Sekcja 1, zatytułowana „Współpraca”, rozdziału VII owego rozporządzenia, zatytułowanego „Współpraca i spójność”, obejmuje art. 60–62 tego rozporządzenia. Artykuł 60, dotyczący „[w]spółprac[y] między wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy”, przewiduje w ust. 1:

„Wiodący organ nadzorczy współpracuje z innymi organami nadzorczymi, których sprawa dotyczy, zgodnie z niniejszym artykułem w celu osiągnięcia porozumienia. Wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, wymieniają się wszelkimi stosownymi informacjami”.

15      Artykuł 61 RODO, zatytułowany „Wzajemna pomoc”, stanowi w ust. 1:

„Organy nadzorcze przekazują sobie stosowne informacje i świadczą sobie wzajemną pomoc w celu spójnego wdrażania i stosowania niniejszego rozporządzenia oraz wprowadzają środki na rzecz skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o udzielenie uprzednich zezwoleń i przeprowadzenie uprzednich konsultacji oraz o przeprowadzenie kontroli i postępowań wyjaśniających”.

16      Artykuł 62 tego rozporządzenia, zatytułowany „Wspólne operacje organów nadzorczych”, przewiduje w ust. 1 i 2:

„1.      Organy nadzorcze prowadzą w stosownych przypadkach wspólne operacje, w tym wspólne postępowania i wspólne działania egzekucyjne, w których uczestniczą członkowie lub personel organów nadzorczych innych państw członkowskich.

2.      Jeżeli administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w kilku państwach członkowskich lub jeżeli operacje przetwarzania mogą istotnie wpłynąć na znaczną liczbę osób, których dane dotyczą, w więcej niż jednym państwie członkowskim, organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć we wspólnych operacjach. […]”.

17      Sekcja 2, zatytułowana „Spójność”, rozdziału VII wspomnianego rozporządzenia obejmuje art. 63–67 tego rozporządzenia. Artykuł 63, zatytułowany „Mechanizm spójności”, ma następujące brzmienie:

„Aby przyczynić się do spójnego stosowania niniejszego rozporządzenia w całej Unii, organy nadzorcze współpracują ze sobą, a w stosownym przypadku także z Komisją, stosując mechanizm spójności określony w niniejszej sekcji”.

 Prawo belgijskie

18      Wet tot oprichting van de Gegevensbeschermingsautoriteit (ustawa o utworzeniu organu ochrony danych) z dnia 3 grudnia 2017 r. (Belgisch Staatsblad z dnia 10 stycznia 2018 r., s. 989, zwana dalej „LCA”) stanowi w art. 100 § 1 pkt 9:

„Izba ds. rozstrzygania sporów może:

[…]

9)      nakazać zapewnienie zgodności przetwarzania danych z prawem”.

19      Artykuł 101 LCA przewiduje:

„Izba ds. rozstrzygania sporów może postanowić o nałożeniu grzywny administracyjnej na strony, przeciwko którym toczy się postępowanie, zgodnie z ogólnymi zasadami określonymi w art. 83 [RODO]”.

 Postępowanie główne i pytania prejudycjalne

20      IAB Europe jest stowarzyszeniem o celu niezarobkowym z siedzibą w Belgii, które reprezentuje przedsiębiorstwa z sektora reklamy cyfrowej i marketingu cyfrowego na szczeblu europejskim. Członkami IAB Europe są zarówno przedsiębiorstwa z tego sektora, takie jak wydawcy, przedsiębiorstwa zajmujące się handlem elektronicznym i marketingiem czy pośrednicy, jak i stowarzyszenia krajowe, w tym krajowe IAB (Interactive Advertising Bureaus), których członkami również są przedsiębiorstwa z tego sektora. Wśród członków IAB Europe znajdują się w szczególności przedsiębiorstwa, które generują wysokie dochody ze sprzedaży powierzchni reklamowych na stronach internetowych lub w aplikacjach.

21      IAB Europe opracowało Transparency & Consent Framework (ramy przejrzystości i zgody, zwane dalej „TCF”) – zbiór reguł, na który składają się wytyczne, instrukcje, specyfikacje techniczne, protokoły i zobowiązania umowne umożliwiające zarówno dostawcom stron internetowych lub aplikacji, jak i brokerom danych lub platformom reklamowym zgodne z prawem przetwarzanie danych osobowych użytkowników stron internetowych lub aplikacji.

22      Celem TCF jest w szczególności wspieranie przestrzegania RODO przy używaniu przez wspomnianych operatorów protokołu OpenRTB, to znaczy jednego z najczęściej stosowanych protokołów służących do korzystania z Real Time Bidding, który jest internetowym systemem zautomatyzowanej i odbywającej się w czasie rzeczywistym sprzedaży w drodze aukcji profili użytkowników na potrzeby sprzedaży i zakupu powierzchni reklamowych w Internecie (zwanego dalej „RTB”). Ze względu na pewne stosowane przez członków IAB Europe praktyki w ramach tego systemu masowej wymiany danych osobowych dotyczących profili użytkowników zaprezentowało ono TCF jako rozwiązanie mogące zapewnić zgodność tego systemu aukcyjnego z RODO.

23      W szczególności, jak wynika z akt sprawy przedłożonych Trybunałowi, z technicznego punktu widzenia, gdy użytkownik przegląda stronę internetową lub korzysta z aplikacji z powierzchnią reklamową, zajmujące się technologiami reklamowymi przedsiębiorstwa – zwłaszcza brokerzy danych i platformy reklamowe – które reprezentują tysiące reklamodawców, mogą w czasie rzeczywistym licytować zza kulis w celu uzyskania tej powierzchni reklamowej za pośrednictwem zautomatyzowanego systemu aukcyjnego wykorzystującego algorytmy, aby na powierzchni tej zostały wyświetlone ukierunkowane reklamy, specjalnie dopasowane do profilu takiego użytkownika.

24      Przed wyświetleniem takich ukierunkowanych reklam konieczne jest jednak uzyskanie uprzedniej zgody wspomnianego użytkownika. W związku z tym gdy przegląda on stronę internetową lub korzysta z aplikacji po raz pierwszy, w wyskakującym okienku wyświetla się platforma do zarządzania zgodą – Consent Management Platform (zwana dalej „CMP”) – umożliwiająca temu użytkownikowi, po pierwsze, wyrażenie względem dostawcy strony internetowej lub aplikacji zgody na zbieranie i przetwarzanie jego danych osobowych do wcześniej określonych celów, takich jak w szczególności marketing lub reklama, lub na udostępnianie tych danych pewnym dostawcom, a po drugie, wyrażenie sprzeciwu wobec różnych rodzajów przetwarzania danych lub wobec ich udostępniania opartych na prawnie uzasadnionych interesach w rozumieniu art. 6 ust. 1 lit. f) RODO, na które to interesy powołują się dostawcy. Te dane osobowe dotyczą w szczególności lokalizacji użytkownika, jego wieku, historii wyszukiwania i ostatnich zakupów.

25      W tym kontekście TCF przewiduje reguły dotyczące przetwarzania danych osobowych na dużą skalę i ułatwia rejestrację informacji o preferencjach użytkowników za pomocą CMP. Owe informacje o preferencjach są następnie kodowane i przechowywane w składającym się z kombinacji liter i znaków ciągu określanym przez IAB Europe jako Transparency and Consent String (zwanym dalej „TC String”), który jest udostępniany brokerom danych osobowych i platformom reklamowym wykorzystującym protokół OpenRTB, aby owi brokerzy i owe platformy wiedzieli, na co użytkownik wyraził zgodę, a wobec czego wyraził sprzeciw. CMP umieszcza również na urządzeniu użytkownika plik cookie (euconsent-v2). TC String i plik cookie  euconsent-v2, w powiązaniu, można połączyć z adresem IP tego użytkownika.

26      TCF odgrywa zatem pewną rolę w działaniu protokołu OpenRTB, ponieważ umożliwia transkrypcję informacji o preferencjach użytkownika, aby przekazać je potencjalnym sprzedawcom i osiągnąć różne cele w zakresie przetwarzania, obejmujące proponowanie reklam indywidualnie dopasowanych. Celem TCF jest w szczególności zapewnienie, by wykorzystywanie TC String przez brokerów danych osobowych oraz platformy reklamowe odbywało się zgodnie z RODO.

27      Od 2019 r. OOD otrzymał szereg pochodzących zarówno z Belgii, jak i z państw trzecich skarg przeciwko IAB Europe dotyczących zgodności TCF z RODO. Po rozpatrzeniu tych skarg OOD, jako wiodący organ nadzorczy w rozumieniu art. 56 ust. 1 RODO, uruchomił mechanizm współpracy i spójności zgodnie z art. 60–63 tego rozporządzenia, aby podjąć wspólną decyzję zatwierdzoną łącznie przez wszystkie 21 krajowych organów nadzorczych uczestniczących w tym mechanizmie. I tak w decyzji z dnia 2 lutego 2022 r. (zwanej dalej „decyzją z dnia 2 lutego 2022 r.”) izba ds. rozstrzygania sporów OOD uznała, że IAB Europe działa jako administrator danych osobowych w odniesieniu do rejestrowania sygnału zgody oraz informacji o sprzeciwach i preferencjach indywidualnych użytkowników za pomocą TC String, który zdaniem izby ds. rozstrzygania sporów OOD jest powiązany z możliwym do zidentyfikowania użytkownikiem. Ponadto we wspomnianej decyzji izba ds. rozstrzygania sporów OOD zgodnie z art. 100 § 1 pkt 9 LCA nakazała IAB Europe zapewnienie zgodności dokonywanego stosownie do TCF przetwarzania danych osobowych z przepisami RODO, zastosowała wobec niego szereg środków zaradczych i nałożyła na nie grzywnę administracyjną.

28      IAB Europe wniosło skargę na tę decyzję do hof van beroep te Brussel (sądu apelacyjnego w Brukseli, Belgia), będącego sądem odsyłającym. Przed wspomnianym sądem domaga się ono uchylenia decyzji z dnia 2 lutego 2022 r. Kwestionuje między innymi to, że uznano, iż działa jako administrator. Utrzymuje ponadto, że wspomniana decyzja – z uwagi na to, iż stwierdzono w niej, że TC String stanowi dane osobowe w rozumieniu art. 4 pkt 1 RODO – jest niewystarczająco precyzyjna i uzasadniona, a w każdym razie błędna. IAB Europe zwraca w szczególności uwagę na to, że jedynie pozostali uczestnicy TCF mogą powiązać TC String z adresem IP, aby przekształcić go w dane osobowe, że TC String nie jest przypisany do konkretnego użytkownika oraz że IAB Europe nie ma dostępu do danych przetwarzanych w tym zakresie przez jego członków.

29      OOD, który w postępowaniu krajowym popierają Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom i Ligue des Droits Humains VZW, podnosi w szczególności, że TC Strings stanowią dane osobowe, ponieważ CMP mogą łączyć TC Strings z adresami IP, a ponadto że uczestnicy TCF mogą identyfikować użytkowników również na podstawie innych danych, że IAB Europe ma dostęp do informacji, aby to uczynić, oraz że ta identyfikacja użytkownika jest właśnie celem TC String, który służy ułatwianiu sprzedaży ukierunkowanych reklam. Co więcej, OOD twierdzi między innymi, że konieczność uznania IAB Europe za administratora w rozumieniu RODO wynika z jego decydującej roli w przetwarzaniu TC Strings. OOD dodaje, że organizacja ta ustala odpowiednio cele i sposoby przetwarzania danych, sposób generowania, modyfikowania i odczytywania TC Strings, sposób i miejsce przechowywania niezbędnych plików cookie, kto otrzymuje dane osobowe oraz na podstawie jakich kryteriów można ustalać okresy przechowywania TC Strings.

30      Sąd odsyłający ma wątpliwości co do tego, czy TC String – w powiązaniu z adresem IP lub bez takiego powiązania – stanowi dane osobowe, a jeżeli tak, to czy IAB Europe należy uznać za administratora danych osobowych w ramach TCF, w szczególności w odniesieniu do przetwarzania TC String. W tym względzie sąd ten wskazuje, że o ile prawdą jest, iż decyzja z dnia 2 lutego 2022 r. odzwierciedla wspólne stanowisko przyjęte łącznie przez różne zaangażowane w sprawę krajowe organy nadzorcze, o tyle Trybunał nie miał jeszcze sposobności wypowiedzenia się w przedmiocie tej nowej i mającej dalekosiężne skutki technologii w postaci TC String.

31      W tych okolicznościach hof van beroep te Brussel (sąd apelacyjny w Brukseli) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      a)      Czy art. 4 pkt 1 [RODO] w związku z art. 7 i 8 [Karty] należy interpretować w ten sposób, że ciąg znaków, który zawiera preferencje użytkownika Internetu w odniesieniu do przetwarzania jego danych osobowych w sposób ustrukturyzowany i nadający się do odczytu maszynowego, stanowi dane osobowe w rozumieniu wyżej wymienionego przepisu w odniesieniu do (1) organizacji sektorowej, która udostępnia swoim członkom standard, w którym określa dla nich praktyczny i techniczny sposób generowania, przechowywania lub rozpowszechniania tego ciągu, oraz (2) podmiotów, które wdrożyły ten standard na swoich stronach internetowych lub w swoich aplikacjach, a zatem mają w ten sposób dostęp do tego ciągu znaków?

b)      Czy ma przy tym znaczenie to, czy implementacja tego standardu oznacza, że ten ciąg znaków jest dostępny razem z adresem IP?

c)      Czy odpowiedź na [pytanie pierwsze lit. a) i b)] byłaby inna, gdyby ta określająca normy organizacja sektorowa sama nie miała z mocy prawa dostępu do tych danych osobowych, które są w ramach tego standardu przetwarzane przez jej członków?

2)      a)      Czy art. 4 pkt 7 i art. 24 ust. 1 [RODO] w związku z art. 7 i 8 [Karty] należy interpretować w ten sposób, że określającą normy organizację sektorową należy uznać za administratora danych osobowych, w sytuacji gdy udostępnia ona swoim członkom standard zarządzania zgodami, który oprócz wiążących ram technicznych zawiera reguły określające dokładnie, w jaki sposób te dane zawierające zgody, stanowiące dane osobowe, powinny być przechowywane i rozpowszechniane?

b)      Czy odpowiedź na [pytanie drugie lit. a)] byłaby inna, gdyby ta organizacja sektorowa sama nie miała z mocy prawa dostępu do tych danych osobowych, które są w ramach tego standardu przetwarzane przez jej członków?

c)      Jeżeli określającą normy organizację sektorową należy uznać za administratora lub współadministratora danych zawierających preferencje użytkowników Internetu, to czy ten status (współ)administratora określającej normy organizacji sektorowej rozciąga się również automatycznie na kolejne przetwarzanie przez podmioty trzecie, dla których uzyskano preferencje użytkowników Internetu, takie jak na przykład stosowanie ukierunkowanych reklam internetowych przez wydawców i sprzedawców?”.

 W przedmiocie pytania pierwszego

32      Poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 4 pkt 1 RODO należy interpretować w ten sposób, że ciąg składający się z kombinacji liter i znaków, taki jak TC String, zawierający informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych przez dostawców stron internetowych lub aplikacji, a także przez brokerów takich danych i przez platformy reklamowe, stanowi dane osobowe w rozumieniu tego przepisu, w sytuacji gdy organizacja sektorowa ustanowiła zbiór reguł, zgodnie z którymi ów ciąg powinien być generowany, przechowywany lub rozpowszechniany, a członkowie takiej organizacji wdrożyli takie reguły, w związku z czym mają do wspomnianego ciągu dostęp. Sąd ten zmierza również do ustalenia, czy dla udzielenia odpowiedzi na to pytanie ma znaczenie, w pierwszej kolejności, czy wspomniany ciąg jest powiązany z identyfikatorem, takim jak w szczególności adres IP urządzenia owego użytkownika, umożliwiającym identyfikację osoby, której dane dotyczą, oraz, w drugiej kolejności, czy taka organizacja sektorowa ma prawo bezpośredniego dostępu do danych osobowych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami.

33      Na wstępie należy przypomnieć, iż ze względu na to, że RODO uchyliło i zastąpiło dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), a właściwe przepisy tego rozporządzenia mają w istocie zakres identyczny jak właściwe przepisy tej dyrektywy, orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje również co do zasady zastosowanie w odniesieniu do tego rozporządzenia (wyrok z dnia 17 czerwca 2021 r., M.I.C.M., C‑597/19, EU:C:2021:492, pkt 107).

34      Należy również przypomnieć, że z utrwalonego orzecznictwa wynika, iż wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, lecz także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią (wyrok z dnia 22 czerwca 2023 r., Pankki S, C‑579/21, EU:C:2023:501, pkt 38 i przytoczone tam orzecznictwo).

35      W tym względzie należy zauważyć, że art 4 pkt 1 RODO wskazuje, iż danymi osobowymi są „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, i precyzuje, że „możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

36      Użycie w zawartej w tym przepisie definicji pojęcia „danych osobowych” wyrażenia „wszelkie informacje” odzwierciedla przyświecający prawodawcy Unii zamiar przypisania szerokiego zakresu temu pojęciu, które obejmuje potencjalnie informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, jaki muszą one spełniać, jest to, aby „dotyczyły” danej osoby (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 23 i przytoczone tam orzecznictwo).

37      Trybunał orzekł w tym względzie, że informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na treść, cel lub skutek taka informacja jest powiązana z możliwą do zidentyfikowania osobą (wyrok z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 24 i przytoczone tam orzecznictwo).

38      W odniesieniu do tego, czy dana osoba jest „możliwa do zidentyfikowania”, z treści art. 4 pkt 1 RODO wynika, że za możliwą do zidentyfikowania uznaje się osobę, która może zostać zidentyfikowana nie tylko bezpośrednio, lecz także pośrednio.

39      Jak orzekł już Trybunał, użycie przez prawodawcę Unii określenia „pośrednio” służy wskazaniu, że aby móc uznać informację za dane osobowe, nie jest konieczne, by informacja ta umożliwiała sama w sobie zidentyfikowanie osoby, której dane dotyczą (zob. analogicznie wyrok z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 41). Przeciwnie, z art. 4 pkt 5 RODO w związku z motywem 26 tego rozporządzenia wynika, że dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej (wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 58).

40      Co więcej, w owym motywie 26 uściślono, że aby stwierdzić, czy dana osoba jest „możliwa do zidentyfikowania”, należy wziąć pod uwagę „wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej”. Brzmienie to sugeruje, że aby dane mogły zostać uznane za „dane osobowe” w rozumieniu art. 4 pkt 1 tego rozporządzenia, nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, znajdowały się w rękach tylko jednej osoby (zob. analogicznie wyrok z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 43).

41      Wynika stąd, że pojęcie „danych osobowych” obejmuje nie tylko dane gromadzone i przechowywane przez administratora, lecz także wszelkie informacje wynikające z przetwarzania danych osobowych, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby (wyrok z dnia 22 czerwca 2023 r., Pankki S, C‑579/21, EU:C:2023:501, pkt 45).

42      W niniejszym wypadku należy zauważyć, że ciąg składający się z kombinacji liter i znaków, taki jak TC String, zawiera informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie przez osoby trzecie dotyczących go danych osobowych lub do wyrażonego przez niego ewentualnego sprzeciwu wobec przetwarzania takich danych opartego na podnoszonym prawnie uzasadnionym interesie zgodnie z art. 6 ust. 1 lit. f) RODO.

43      Otóż nawet gdyby TC String sam w sobie nie zawierał elementów umożliwiających bezpośrednią identyfikację osoby, której dane dotyczą, nie zmieniałoby to faktu, że w pierwszej kolejności zawiera on informacje o indywidualnych preferencjach konkretnego użytkownika w odniesieniu do jego zgody na przetwarzanie dotyczących go danych osobowych, a informacje te są informacjami „o […] osobie fizycznej” w rozumieniu art. 4 pkt 1 RODO.

44      W drugiej kolejności niezaprzeczalne jest, że w przypadku gdy informacje zawarte w TC String są powiązane z identyfikatorem, takim jak w szczególności adres IP urządzenia takiego użytkownika, mogą one umożliwić stworzenie profilu owego użytkownika oraz faktyczną identyfikację osoby, której takie informacje konkretnie dotyczą.

45      Ze względu na to, że powiązanie ciągu składającego się z kombinacji liter i znaków, takiego jak TC String, z dodatkowymi danymi, w szczególności z adresem IP urządzenia użytkownika lub z innymi identyfikatorami, umożliwia identyfikację tego użytkownika, należy uznać, że TC String zawiera informacje dotyczące możliwego do zidentyfikowania użytkownika, a zatem stanowi dane osobowe w rozumieniu art. 4 ust. 1 RODO, co znajduje potwierdzenie w motywie 30 RODO, który wprost odnosi się do takiej sytuacji.

46      Wykładni tej nie podważa sama okoliczność, że IAB Europe nie może samo powiązać TC String z adresem IP urządzenia użytkownika i nie ma możliwości bezpośredniego dostępu do danych przetwarzanych przez jego członków zgodnie z TCF.

47      Jak bowiem wynika z orzecznictwa przypomnianego w pkt 40 niniejszego wyroku, okoliczność taka nie stoi na przeszkodzie uznaniu TC String za „dane osobowe” w rozumieniu art. 4 pkt 1 RODO.

48      Ponadto z akt sprawy, którymi dysponuje Trybunał, a w szczególności z decyzji z dnia 2 lutego 2022 r., wynika, że członkowie IAB Europe są zobowiązani do przekazania mu, na jego żądanie, wszelkich informacji umożliwiających mu identyfikację użytkowników, których dane są przedmiotem TC String.

49      Oznacza to, z zastrzeżeniem ustaleń, których dokonanie w tym względzie należy do sądu odsyłającego, że IAB Europe dysponuje, zgodnie z brzmieniem motywu 26 RODO, rozsądnie prawdopodobnymi sposobami umożliwiającymi mu identyfikację określonej osoby fizycznej na podstawie TC String dzięki informacjom, które jego członkowie i inne organizacje uczestniczące w TCF są zobowiązane mu przekazać.

50      Z powyższego wynika, że TC String stanowi dane osobowe w rozumieniu art. 4 pkt 1 RODO. Bez znaczenia jest w tym względzie fakt, że bez wsparcia z zewnątrz, którego ma prawo wymagać, taka organizacja sektorowa nie może ani uzyskać dostępu do danych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami, ani powiązać TC String z innymi identyfikatorami, takimi jak w szczególności adres IP urządzenia użytkownika.

51      Mając na względzie powyższe, na pytanie pierwsze trzeba odpowiedzieć, iż art. 4 pkt 1 RODO należy interpretować w ten sposób, że ciąg składający się z kombinacji liter i znaków, taki jak TC String, zawierający informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych przez dostawców stron internetowych lub aplikacji, a także przez brokerów takich danych i przez platformy reklamowe, stanowi dane osobowe w rozumieniu tego przepisu w zakresie, w jakim – gdy za pomocą rozsądnie prawdopodobnych sposobów można go powiązać z identyfikatorem, takim jak w szczególności adres IP urządzenia owego użytkownika – umożliwia on identyfikację osoby, której dane dotyczą. W takiej sytuacji okoliczność, że bez wsparcia z zewnątrz organizacja sektorowa dysponująca tym ciągiem nie może ani uzyskać dostępu do danych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami, ani powiązać owego ciągu z innymi elementami, nie stoi na przeszkodzie temu, by ciąg ten stanowił dane osobowe w rozumieniu wspomnianego przepisu.

 W przedmiocie pytania drugiego

52      Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 4 pkt 7 RODO należy interpretować w ten sposób, że:

–        po pierwsze, organizację sektorową – w zakresie, w jakim proponuje ona swoim członkom ustanowiony przez siebie zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, zawierający nie tylko wiążące reguły techniczne, lecz również reguły szczegółowo określające warunki przechowywania i rozpowszechniania danych osobowych dotyczących tej zgody – należy uznać za „administratora” w rozumieniu tego przepisu, i czy dla udzielenia odpowiedzi na to pytanie ma znaczenie to, czy taka organizacja sektorowa sama ma bezpośredni dostęp do danych osobowych przetwarzanych przez jej członków zgodnie ze wspomnianymi regułami;

–        po drugie, ewentualna wspólna odpowiedzialność wspomnianej organizacji sektorowej rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej.

53      Na wstępie należy przypomnieć, że cel realizowany przez RODO, jak wynika z jego art. 1 oraz z jego motywów 1 i 10, polega w szczególności na zagwarantowaniu wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich prawa do życia prywatnego w zakresie przetwarzania danych osobowych, zapisanego w art. 8 ust. 1 Karty i w art. 16 ust. 1 TFUE [wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland (Skrzynka doręczeń elektronicznych w sprawach sądowych), C‑60/22, EU:C:2023:373, pkt 64].

54      Zgodnie z owym celem art. 4 pkt 7 tego rozporządzenia definiuje w sposób szeroki pojęcie „administratora” jako oznaczające osobę fizyczną lub prawną, organ publiczny, jednostkę lub każdy inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

55      Jak orzekł już bowiem Trybunał, celem tego przepisu jest zapewnienie, poprzez przyjęcie tej szerokiej definicji pojęcia „administratora”, skutecznej i pełnej ochrony osobom, których dane dotyczą (zob. analogicznie wyrok z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 28).

56      Co więcej, zważywszy, że – jak wyraźnie przewiduje art. 4 pkt 7 RODO – pojęcie „administratora” odnosi się do podmiotu, który „samodzielnie lub wspólnie z innymi” ustala cele i sposoby przetwarzania danych osobowych, pojęcie to nie odsyła koniecznie do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych (zob. analogicznie wyroki: z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, pkt 29; z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 65).

57      Trybunał uznał również, że osobę fizyczną lub prawną, która wpływa dla własnych celów na przetwarzanie danych osobowych i z tego powodu uczestniczy w ustalaniu celów i sposobów tego przetwarzania, można uznać za administratora w rozumieniu art. 4 pkt 7 RODO (zob. analogicznie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 68). W związku z tym zgodnie z art. 26 ust. 1 RODO, jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, to są oni „współadministratorami” (wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 40).

58      W tym względzie, o ile każdy współadministrator musi odpowiadać zawartej w art. 4 pkt 7 RODO definicji „administratora” w sposób niezależny, o tyle istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów w zakresie tego samego przetwarzania danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danego przypadku. Ponadto wspólna odpowiedzialność kilku podmiotów w zakresie tego samego przetwarzania na mocy tego przepisu nie wymaga, by każdy z nich miał dostęp do odnośnych danych osobowych (zob. analogicznie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 66, 69 i przytoczone tam orzecznictwo).

59      Udział w ustalaniu celów i sposobów przetwarzania może przybierać różne formy, ponieważ udział ten może wynikać zarówno ze wspólnej decyzji podjętej przez co najmniej dwa podmioty, jak i ze zbieżnych decyzji takich podmiotów. W tym ostatnim przypadku wspomniane decyzje powinny uzupełniać się w taki sposób, aby każda z nich miała konkretny wpływ na ustalenie celów i sposobów przetwarzania. Natomiast nie można wymagać, aby między tymi administratorami istniały formalne uzgodnienia co do celów i sposobów przetwarzania (wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 43, 44).

60      W świetle powyższego należy uznać, że poprzez część pierwszą pytania drugiego sąd odsyłający dąży do ustalenia, czy organizację sektorową, taką jak IAB Europe, można uznać za współadministratora w rozumieniu art. 4 pkt 7 i art. 26 ust. 1 RODO.

61      W tym celu trzeba zatem ustalić, czy – przy uwzględnieniu szczególnych okoliczności rozpatrywanego przypadku – organizacja sektorowa, taka jak IAB Europe, wpływa dla własnych celów na przetwarzanie danych osobowych, takich jak TC String, i ustala, wspólnie z innymi, cele i sposoby tego przetwarzania.

62      W pierwszej kolejności, co się tyczy celów takiego przetwarzania danych osobowych, z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego, z akt sprawy, którymi dysponuje Trybunał, wynika, że – jak przypomniano w pkt 21 i 22 niniejszego wyroku – ustanowiony przez IAB Europe TCF stanowi zbiór reguł mających na celu zapewnienie zgodności z RODO przetwarzania danych osobowych użytkownika strony internetowej lub aplikacji dokonywanego przez pewnych operatorów uczestniczących w aukcjach internetowych, których przedmiotem jest powierzchnia reklamowa.

63      W tych okolicznościach TCF ma w istocie na celu wspieranie i umożliwianie sprzedaży i zakupu powierzchni reklamowej w Internecie przez wspomnianych operatorów.

64      Można zatem uznać, z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego, że IAB Europe wpływa dla własnych celów na rozpatrywane w postępowaniu głównym operacje przetwarzania danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele takich operacji.

65      W drugiej kolejności, co się tyczy sposobów wykorzystywanych do takiego przetwarzania danych osobowych, z akt sprawy, którymi dysponuje Trybunał, wynika, z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego, że TCF stanowi zbiór reguł, które członkowie IAB Europe powinni zaakceptować, aby przystąpić do tego stowarzyszenia. W szczególności, jak na rozprawie przed Trybunałem potwierdziło IAB Europe, jeżeli jeden z jego członków nie stosuje się do reguł TCF, IAB Europe może wydać w stosunku do niego decyzję, w której stwierdza ono, że członek ten nie przestrzega tych reguł, mocą której zostaje on zawieszony i która może prowadzić do wykluczenia go z TCF, a tym samym – uniemożliwić mu powoływanie się na gwarancję zgodności z RODO, jaką system ten ma zapewniać w odniesieniu do dokonywanego przez niego za pomocą TC Strings przetwarzania danych osobowych.

66      Co więcej, z praktycznego punktu widzenia, jak wspomniano w pkt 21 niniejszego wyroku, ustanowiony przez IAB Europe TCF zawiera specyfikacje techniczne dotyczące przetwarzania TC String. Wydaje się w szczególności, że specyfikacje te dokładnie opisują sposób, w jaki CMP są zobowiązane do gromadzenia informacji o preferencjach użytkowników odnoszących się do przetwarzania dotyczących ich danych osobowych, a także sposób, w jaki takie informacje o preferencjach mają być przetwarzane w celu wygenerowania TC String. Ponadto ustanowiono również szczegółowe reguły dotyczące zawartości TC String oraz jego przechowywania i udostępniania.

67      Z decyzji z dnia 2 lutego 2022 r. wynika między innymi, że w regułach tych IAB Europe określa w szczególności standardowy sposób, w jaki różne strony uczestniczące w TCF mogą uzyskać wgląd do zawartych w TC Strings informacji o preferencjach, sprzeciwach i zgodach użytkowników.

68      W tych okolicznościach, z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego, należy uznać, że organizacja sektorowa taka jak IAB Europe wpływa dla własnych celów na rozpatrywane w postępowaniu głównym operacje przetwarzania danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, sposoby dokonywania takich operacji. Wynika stąd, że organizację sektorową taką jak IAB Europe należy uznać za „współadministratora” w rozumieniu art. 4 pkt 7 i art. 26 ust. 1 RODO, zgodnie z orzecznictwem przypomnianym w pkt 57 niniejszego wyroku.

69      Przywołana przez sąd odsyłający okoliczność, że taka organizacja sektorowa sama nie ma bezpośredniego dostępu do TC Strings, a w związku z tym – do danych osobowych przetwarzanych zgodnie ze wspomnianymi regułami przez jej członków, z którymi wspólnie ustala cele i sposoby przetwarzania tych danych, nie stoi na przeszkodzie, stosownie do orzecznictwa przypomnianego w pkt 58 niniejszego wyroku, możliwości uznania jej za „administratora” w rozumieniu tych przepisów.

70      Co więcej, w odpowiedzi na wątpliwości wyrażone przez ten sąd, należy wykluczyć automatyczne rozciągnięcie ewentualnej wspólnej odpowiedzialności tej organizacji sektorowej na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej.

71      W tym względzie należy zauważyć, po pierwsze, że art. 4 pkt 2 RODO definiuje „przetwarzanie” danych osobowych jako „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

72      Z definicji tej wynika, że na przetwarzanie danych osobowych może składać się jedna lub kilka operacji, z których każda odnosi się do innego etapu tego przetwarzania.

73      Po drugie, jak orzekł już Trybunał, z art. 4 pkt 7 i art. 26 ust. 1 RODO wynika, że osobę fizyczną lub prawną można uznać za współadministratora w odniesieniu do operacji przetwarzania danych osobowych tylko wtedy, gdy wspólnie ustala ona jego cele i sposoby. W związku z tym, bez uszczerbku dla ewentualnej odpowiedzialności cywilnej przewidzianej w tym względzie przez prawo krajowe, takiej osoby fizycznej lub prawnej nie można uznać za administratora w rozumieniu wspomnianych przepisów w odniesieniu do wcześniejszych lub późniejszych operacji łańcucha przetwarzania, których celów ani sposobów ona nie ustala (zob. analogicznie wyrok z dnia 29 lipca 2019 r., Fashion ID, C‑40/17, EU:C:2019:629, pkt 74).

74      W niniejszym wypadku należy dokonać rozróżnienia pomiędzy z jednej strony przetwarzaniem danych osobowych dokonywanym przez członków IAB Europe, a mianowicie dostawców stron internetowych lub aplikacji oraz brokerów danych czy platformy reklamowe, przy zapisywaniu w TC String informacji o preferencjach w zakresie zgody użytkowników, których dane dotyczą, stosownie do reguł ustanowionych w TCF, a z drugiej strony dalszym przetwarzaniem danych osobowych dokonywanym przez tych operatorów oraz przez osoby trzecie na podstawie tych informacji o preferencjach, takim jak przesyłanie tych danych osobom trzecim lub proponowanie tym użytkownikom spersonalizowanych reklam.

75      Z zastrzeżeniem ustaleń, których dokonanie należy do sądu odsyłającego, nie wydaje się bowiem, by to dalsze przetwarzanie wiązało się z udziałem IAB Europe, w efekcie czego należy wykluczyć ponoszenie przez taką organizację automatycznej odpowiedzialności wspólnie ze wspomnianymi operatorami oraz z osobami trzecimi w odniesieniu do przetwarzania danych osobowych dokonywanego na podstawie zawartych w TC String danych odnoszących się do preferencji użytkowników, których dane dotyczą.

76      Organizację sektorową, taką jak IAB Europe, można zatem uznać za administratora w odniesieniu do takiego dalszego przetwarzania tylko wtedy, gdy zostanie wykazane, że wywarła ona wpływ na ustalenie celów i sposobów tego przetwarzania, czego sprawdzenie w świetle wszystkich istotnych okoliczności sprawy w postępowaniu głównym należy do sądu odsyłającego.

77      Mając na względzie powyższe, na pytanie drugie trzeba odpowiedzieć, iż art. 4 pkt 7 i art. 26 ust. 1 RODO należy interpretować w ten sposób, że:

–        po pierwsze, organizację sektorową – w zakresie, w jakim proponuje ona swoim członkom ustanowiony przez siebie zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, zawierający nie tylko wiążące reguły techniczne, lecz również reguły szczegółowo określające warunki przechowywania i rozpowszechniania danych osobowych dotyczących tej zgody – należy uznać za „współadministratora” w rozumieniu tych przepisów, jeżeli w świetle szczególnych okoliczności danego przypadku wpływa ona dla własnych celów na odnośne przetwarzanie danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele i sposoby takiego przetwarzania; okoliczność, że taka organizacja sektorowa sama nie ma bezpośredniego dostępu do danych osobowych przetwarzanych zgodnie ze wspomnianymi regułami przez jej członków, nie stoi na przeszkodzie możliwości uznania jej za współadministratora w rozumieniu owych przepisów;

–        po drugie, wspólna odpowiedzialność wspomnianej organizacji sektorowej nie rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej.

 W przedmiocie kosztów

78      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (czwarta izba) orzeka, co następuje:

1)      Artykuł 4 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że:

ciąg składający się z kombinacji liter i znaków, taki jak TC String (Transparency and Consent String), zawierający informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych przez dostawców stron internetowych lub aplikacji, a także przez brokerów takich danych i przez platformy reklamowe, stanowi dane osobowe w rozumieniu tego przepisu w zakresie, w jakim – gdy za pomocą rozsądnie prawdopodobnych sposobów można go powiązać z identyfikatorem, takim jak w szczególności adres IP urządzenia owego użytkownika – umożliwia on identyfikację osoby, której dane dotyczą. W takiej sytuacji okoliczność, że bez wsparcia z zewnątrz organizacja sektorowa dysponująca tym ciągiem nie może ani uzyskać dostępu do danych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami, ani powiązać owego ciągu z innymi elementami, nie stoi na przeszkodzie temu, by ciąg ten stanowił dane osobowe w rozumieniu wspomnianego przepisu.

2)      Artykuł 4 pkt 7 i art. 26 ust. 1 rozporządzenia 2016/679

należy interpretować w ten sposób, że:

–        po pierwsze, organizację sektorową – w zakresie, w jakim proponuje ona swoim członkom ustanowiony przez siebie zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, zawierający nie tylko wiążące reguły techniczne, lecz również reguły szczegółowo określające warunki przechowywania i rozpowszechniania danych osobowych dotyczących tej zgody – należy uznać za „współadministratora” w rozumieniu tych przepisów, jeżeli w świetle szczególnych okoliczności danego przypadku wpływa ona dla własnych celów na odnośne przetwarzanie danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele i sposoby takiego przetwarzania; okoliczność, że taka organizacja sektorowa sama nie ma bezpośredniego dostępu do danych osobowych przetwarzanych zgodnie ze wspomnianymi regułami przez jej członków, nie stoi na przeszkodzie możliwości uznania jej za współadministratora w rozumieniu owych przepisów;

–        po drugie, wspólna odpowiedzialność wspomnianej organizacji sektorowej nie rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej.