C-604/22
Podsumowanie
TSUE orzekł, że ciąg znaków (TC String) zawierający preferencje użytkownika dotyczące zgody na przetwarzanie danych osobowych stanowi dane osobowe, a organizacja sektorowa tworząca standardy (IAB Europe) może być uznana za współadministratora, nawet jeśli nie ma bezpośredniego dostępu do danych.
Wniosek o wykładnię RODO dotyczył tego, czy ciąg znaków (TC String) rejestrujący preferencje użytkowników w zakresie zgody na przetwarzanie danych osobowych jest danymi osobowymi, oraz czy organizacja sektorowa (IAB Europe), która opracowała standardy (TCF) dla swoich członków, może być uznana za administratora. Trybunał Sprawiedliwości UE orzekł, że TC String stanowi dane osobowe, jeśli można go powiązać z identyfikatorem użytkownika (np. adresem IP), nawet jeśli organizacja nie ma bezpośredniego dostępu do danych. Ponadto, organizacja sektorowa może być uznana za współadministratora, jeśli wpływa na cele i sposoby przetwarzania danych przez swoich członków, nawet bez bezpośredniego dostępu do danych. Odpowiedzialność ta nie rozciąga się jednak automatycznie na dalsze przetwarzanie danych przez osoby trzecie.
Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 7 marca 2024 r. w sprawie C-604/22 rozstrzygnął kluczowe kwestie dotyczące wykładni RODO w kontekście przetwarzania danych osobowych w branży reklamy cyfrowej. Sprawa dotyczyła stowarzyszenia IAB Europe, które opracowało Transparency & Consent Framework (TCF) – zbiór reguł i standardów technicznych dla swoich członków, mający na celu zapewnienie zgodności z RODO przy przetwarzaniu zgód użytkowników na wykorzystanie ich danych. Sąd apelacyjny w Brukseli zwrócił się do TSUE z pytaniami, czy ciąg znaków (TC String), który rejestruje preferencje użytkowników dotyczące zgody na przetwarzanie danych osobowych, stanowi dane osobowe w rozumieniu RODO. Ponadto, czy organizacja sektorowa, która ustanawia takie standardy, może być uznana za administratora danych, nawet jeśli sama nie ma bezpośredniego dostępu do danych przetwarzanych przez jej członków. TSUE orzekł, że TC String stanowi dane osobowe, jeśli można go powiązać z identyfikatorem użytkownika, takim jak adres IP, za pomocą rozsądnie prawdopodobnych sposobów. Podkreślono, że nawet jeśli organizacja sektorowa nie ma bezpośredniego dostępu do danych ani możliwości samodzielnego powiązania TC String z identyfikatorem, nie wyklucza to uznania tych informacji za dane osobowe. Kluczowe jest, że istnieją sposoby umożliwiające identyfikację osoby. W kwestii statusu administratora, Trybunał uznał, że organizacja sektorowa, która proponuje swoim członkom zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, w tym wiążące reguły techniczne i warunki przechowywania danych, może być uznana za współadministratora. Dzieje się tak, gdy organizacja ta wpływa na cele i sposoby przetwarzania danych przez swoich członków, nawet jeśli sama nie ma bezpośredniego dostępu do tych danych. TSUE zaznaczył jednak, że wspólna odpowiedzialność nie rozciąga się automatycznie na dalsze przetwarzanie danych przez osoby trzecie, chyba że organizacja również wpływa na cele i sposoby tego dalszego przetwarzania.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (3)
Odpowiedź sądu
Tak, TC String stanowi dane osobowe, jeśli można go powiązać z identyfikatorem użytkownika (np. adresem IP) za pomocą rozsądnie prawdopodobnych sposobów, nawet jeśli organizacja sektorowa nie ma bezpośredniego dostępu do danych.
Uzasadnienie
Definicja danych osobowych w RODO jest szeroka. TC String zawiera informacje o preferencjach użytkownika, które są informacjami 'o osobie fizycznej'. Powiązanie z identyfikatorem (np. IP) umożliwia identyfikację, co czyni go danymi osobowymi, zgodnie z motywem 30 RODO. Brak bezpośredniego dostępu organizacji do danych nie wyklucza tego statusu.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
udzielono odpowiedzi na pytanie
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| IAB Europe | inne | skarżący |
| Gegevensbeschermingsautoriteit | organ_krajowy | pozwany |
| Jef Ausloos | osoba_fizyczna | interwenient |
| Pierre Dewitte | osoba_fizyczna | interwenient |
| Johnny Ryan | osoba_fizyczna | interwenient |
| Fundacja Panoptykon | inne | interwenient |
| Stichting Bits of Freedom | inne | interwenient |
| Ligue des Droits Humains VZW | inne | interwenient |
| rząd austriacki | panstwo_czlonkowskie | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (8)
Główne
RODO art. 4 § 1
Ogólne rozporządzenie o ochronie danych
Definicja 'danych osobowych' jest szeroka i obejmuje informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Identyfikator internetowy (np. TC String powiązany z IP) może stanowić podstawę do identyfikacji.
RODO art. 4 § 7
Ogólne rozporządzenie o ochronie danych
Definicja 'administratora' jest szeroka i obejmuje podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych. Obejmuje to również organizacje sektorowe, które wpływają na te cele i sposoby, nawet bez bezpośredniego dostępu do danych.
RODO art. 26 § 1
Ogólne rozporządzenie o ochronie danych
Definicja 'współadministratorów' dotyczy sytuacji, gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania. Organizacja sektorowa może być współadministratorem, jeśli wpływa na cele i sposoby przetwarzania przez swoich członków.
Pomocnicze
RODO art. 24 § 1
Ogólne rozporządzenie o ochronie danych
Obowiązki administratora w zakresie wdrażania odpowiednich środków technicznych i organizacyjnych.
Karta art. 7
Karta praw podstawowych Unii Europejskiej
Prawo do poszanowania życia prywatnego i rodzinnego.
Karta art. 8
Karta praw podstawowych Unii Europejskiej
Ochrona danych osobowych.
TFUE art. 16
Traktat o funkcjonowaniu Unii Europejskiej
Prawo do ochrony danych osobowych.
TFUE art. 267
Traktat o funkcjonowaniu Unii Europejskiej
Podstawa prawna odesłania prejudycjalnego.
Argumenty
Skuteczne argumenty
TC String stanowi dane osobowe, ponieważ zawiera informacje o preferencjach użytkownika i może być powiązany z identyfikatorem użytkownika (np. IP). Organizacja sektorowa (IAB Europe) może być uznana za współadministratora, jeśli wpływa na cele i sposoby przetwarzania danych przez swoich członków, nawet bez bezpośredniego dostępu do danych. Wspólna odpowiedzialność nie rozciąga się automatycznie na dalsze przetwarzanie danych przez osoby trzecie.
Odrzucone argumenty
IAB Europe nie powinno być uznane za administratora, ponieważ nie ma bezpośredniego dostępu do danych osobowych przetwarzanych przez członków. TC String nie stanowi danych osobowych, ponieważ samo w sobie nie umożliwia identyfikacji użytkownika. Odpowiedzialność za przetwarzanie danych powinna być ograniczona do podmiotów mających bezpośredni dostęp do danych.
Godne uwagi sformułowania
ciąg składający się z kombinacji liter i znaków, taki jak TC String, zawierający informacje o preferencjach użytkownika [...] stanowi dane osobowe rozsądnie prawdopodobne sposoby [...] umożliwiające identyfikację osoby, której dane dotyczą organizację sektorową [...] należy uznać za „współadministratora” [...] jeżeli [...] wpływa ona dla własnych celów na odnośne przetwarzanie danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele i sposoby takiego przetwarzania okoliczność, że taka organizacja sektorowa sama nie ma bezpośredniego dostępu do danych osobowych [...] nie stoi na przeszkodzie możliwości uznania jej za współadministratora wspólna odpowiedzialność [...] nie rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie
Skład orzekający
T. Ćapeta
rzecznik generalny
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia pojęć 'dane osobowe' i 'administrator' w kontekście standardów branżowych i przetwarzania zgód w internecie. Określenie zakresu odpowiedzialności organizacji sektorowych."
Ograniczenia: Orzeczenie dotyczy specyficznego mechanizmu (TCF) i jego wykładni w świetle RODO. Konieczność oceny każdego przypadku indywidualnie pod kątem wpływu na cele i sposoby przetwarzania.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnie stosowanych mechanizmów zgody na przetwarzanie danych w internecie (cookie walls, TCF) i wyjaśnia kluczowe kwestie odpowiedzialności w RODO, co jest niezwykle istotne dla branży cyfrowej i prawników.
“Czy standardy zgody na dane w internecie czynią Cię administratorem? TSUE wyjaśnia!”
Sektor
reklama cyfrowa
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI