«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Ρυθμιστική κλαδική οργάνωση που προτείνει στα μέλη της κανόνες σχετικά με την επεξεργασία της συγκατάθεσης των χρηστών – Άρθρο 4, σημείο 1 – Έννοια των “δεδομένων προσωπικού χαρακτήρα” – Συμβολοσειρά αποτελούμενη από γράμματα και χαρακτήρες η οποία καταγράφει, κατά τρόπο δομημένο και αναγνώσιμο από μηχάνημα, τις προτιμήσεις ενός χρήστη του διαδικτύου σχετικά με τη συγκατάθεσή του ως προς την επεξεργασία των προσωπικών του δεδομένων – Άρθρο 4, σημείο 7 – Έννοια του “υπευθύνου επεξεργασίας” – Άρθρο 26, παράγραφος 1 – Έννοια των “από κοινού υπευθύνων επεξεργασίας” – Οργάνωση η οποία δεν έχει η ίδια πρόσβαση στα προσωπικά δεδομένα που επεξεργάζονται τα μέλη της – Ευθύνη της οργάνωσης η οποία καταλαμβάνει τη μεταγενέστερη επεξεργασία δεδομένων από τρίτους»
Στην υπόθεση C‑604/22,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το hof van beroep te Brussel (εφετείο Βρυξελλών, Βέλγιο) με απόφαση της 7ης Σεπτεμβρίου 2022, η οποία περιήλθε στο Δικαστήριο στις 19 Σεπτεμβρίου 2022, στο πλαίσιο της δίκης
IAB Europe
κατά
Gegevensbeschermingsautoriteit,
παρισταμένων των:
Jef Ausloos,
Pierre Dewitte,
Johnny Ryan,
Fundacja Panoptykon,
Stichting Bits of Freedom,
Ligue des Droits Humains VZW,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τέταρτο τμήμα),
συγκείμενο από τους Κ. Λυκούργο, πρόεδρο τμήματος, O. Spineanu‑Matei, J.‑C. Bonichot, S. Rodin και L. S. Rossi (εισηγήτρια), δικαστές,
γενική εισαγγελέας: T. Ćapeta
γραμματέας: A. Lamote, διοικητική υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 21ης Σεπτεμβρίου 2023,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η IAB Europe, εκπροσωπούμενη από τον P. Craddock, avocat, και τον K. Van Quathem, advocaat,
– η Gegevensbeschermingsautoriteit, εκπροσωπούμενη από την E. Cloots, τον J. Roets και τον T. Roes, advocaten,
– οι Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom και Ligue des Droits Humains VZW, εκπροσωπούμενοι από τους F. Debusseré και R. Roex, advocaten,
– η Αυστριακή Κυβέρνηση, εκπροσωπούμενη από τις J. Schmoll και C. Gabauer,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους A. Μπουχάγιαρ και H. Kranenborg,
κατόπιν της αποφάσεως που έλαβε, αφού άκουσε τη γενική εισαγγελέα, να εκδικάσει την υπόθεση χωρίς ανάπτυξη προτάσεων,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρθρου 4, σημεία 1 και 7, καθώς και του άρθρου 24, παράγραφος 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2021, L 74, σ. 35, στο εξής: ΓΚΠΔ), σε συνδυασμό με τα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της IAB Europe και της Gegevensbeschermingsautoriteit (Αρχής Προστασίας Δεδομένων, Βέλγιο) (στο εξής: ΑΠΔ) με αντικείμενο απόφαση του τμήματος επίλυσης διαφορών της ΑΠΔ η οποία εκδόθηκε κατά της IAB Europe σχετικά με προβαλλόμενη παράβαση διαφόρων διατάξεων του ΓΚΠΔ.
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
3 Οι αιτιολογικές σκέψεις 1, 10, 26 και 30 του ΓΚΠΔ έχουν ως εξής:
«(1) Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα. Το άρθρο 8 παράγραφος 1 του [Χάρτη] και το άρθρο 16 παράγραφος 1 [ΣΛΕΕ] ορίζουν ότι κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]
[…]
(26) Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση, η οποία θα μπορούσε να αποδοθεί σε φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο. Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. Για να διαπιστωθεί κατά πόσον κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας. Οι αρχές της προστασίας δεδομένων δεν θα πρέπει συνεπώς να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο παρών κανονισμός δεν αφορά συνεπώς την επεξεργασία τέτοιων ανώνυμων πληροφοριών, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς.
[…]
(30) Τα φυσικά πρόσωπα μπορεί να συνδέονται με επιγραμμικά αναγνωριστικά στοιχεία ταυτότητας, τα οποία παρέχονται από τις συσκευές, τις εφαρμογές, τα εργαλεία και τα πρωτόκολλά τους, όπως διευθύνσεις διαδικτυακού πρωτοκόλλου, αναγνωριστικά cookies ή άλλα αναγνωριστικά στοιχεία όπως ετικέτες αναγνώρισης μέσω ραδιοσυχνοτήτων. Αυτά μπορεί να αφήνουν ίχνη τα οποία, ιδίως όταν συνδυαστούν με μοναδικά αναγνωριστικά στοιχεία ταυτότητας και άλλες πληροφορίες που λαμβάνουν οι εξυπηρετητές, μπορούν να χρησιμοποιηθούν για να δημιουργηθεί το προφίλ των φυσικών προσώπων και να αναγνωριστεί η ταυτότητά τους.»
4 Το άρθρο 1 του ΓΚΠΔ, το οποίο επιγράφεται «Αντικείμενο και στόχοι», ορίζει στην παράγραφο 2 τα εξής:
«Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.»
5 Το άρθρο 4 του εν λόγω κανονισμού προβλέπει τα ακόλουθα:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]
7) “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
[…]
11) “συγκατάθεση” του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, εν πλήρει επιγνώσει και αδιαμφισβήτητη, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
[…]».
6 Το άρθρο 6 του ΓΚΠΔ, το οποίο επιγράφεται «Νομιμότητα της επεξεργασίας», έχει ως εξής:
«1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
[…]
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.
[…]»
7 Το άρθρο 24 του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Ευθύνη του υπευθύνου επεξεργασίας», ορίζει στην παράγραφο 1 τα εξής:
«Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.»
8 Το άρθρο 26 του εν λόγω κανονισμού, το οποίο επιγράφεται «Από κοινού υπεύθυνοι επεξεργασίας», ορίζει στην παράγραφο 1 τα ακόλουθα:
«Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. […]»
9 Το κεφάλαιο VI του ΓΚΠΔ αφορά τις «Ανεξάρτητες εποπτικές αρχές» και περιλαμβάνει τα άρθρα 51 έως 59 του κανονισμού.
10 Το άρθρο 51 του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Εποπτική αρχή», προβλέπει στις παραγράφους 1 και 2 τα ακόλουθα:
«1. Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της [επεξεργασίας] και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση […]
2. Κάθε εποπτική αρχή συμβάλλει στη συνεκτική εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και με την [Ευρωπαϊκή] Επιτροπή σύμφωνα με το κεφάλαιο VII.»
11 Κατά το άρθρο 55, παράγραφοι 1 και 2, του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Αρμοδιότητα»:
«1. Κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της.
2. Όταν η επεξεργασία γίνεται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε), αρμόδια είναι η εποπτική αρχή του οικείου κράτους μέλους. Σε αυτές τις περιπτώσεις δεν εφαρμόζεται το άρθρο 56.»
12 Το άρθρο 56 του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Αρμοδιότητα της επικεφαλής εποπτικής αρχής», ορίζει στην παράγραφο 1 τα εξής:
«Με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.»
13 Το άρθρο 57 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Καθήκοντα», ορίζει στην παράγραφο 1 τα ακόλουθα:
«Με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον παρόντα κανονισμό, κάθε εποπτική αρχή στο έδαφός της:
α) παρακολουθεί και επιβάλλει την εφαρμογή του παρόντος κανονισμού,
[…]
ζ) συνεργάζεται, μεταξύ άλλων μέσω ανταλλαγής πληροφοριών, με άλλες εποπτικές αρχές και παρέχει αμοιβαία συνδρομή σε άλλες εποπτικές αρχές, με σκοπό να διασφαλίσει τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού,
[…]».
14 Το τμήμα 1, που επιγράφεται «Συνεργασία», του κεφαλαίου VII του ίδιου κανονισμού, το οποίο επιγράφεται «Συνεργασία και συνεκτικότητα», περιλαμβάνει τα άρθρα 60 έως 62 του κανονισμού. Το άρθρο 60 αφορά τη «Συνεργασία μεταξύ της επικεφαλής εποπτικής αρχής και των άλλων ενδιαφερόμενων εποπτικών αρχών» και προβλέπει στην παράγραφο 1 τα εξής:
«Η επικεφαλής εποπτική αρχή συνεργάζεται με τις άλλες ενδιαφερόμενες εποπτικές αρχές σύμφωνα με το παρόν άρθρο με σκοπό να επιτύχει συναίνεση. Η επικεφαλής εποπτική αρχή και οι ενδιαφερόμενες εποπτικές αρχές ανταλλάσσουν μεταξύ τους κάθε συναφή πληροφορία.»
15 Το άρθρο 61 του ΓΚΠΔ, με τίτλο «Αμοιβαία συνδρομή», ορίζει στην παράγραφο 1 τα εξής:
«Οι εποπτικές αρχές παρέχουν η μια στην άλλη σχετικές πληροφορίες και αμοιβαία συνδρομή, ώστε να υλοποιήσουν και να εφαρμόσουν τον παρόντα κανονισμό με συνεκτικό τρόπο, και θεσπίζουν μέτρα για την αποτελεσματική συνεργασία τους. Η αμοιβαία συνδρομή καλύπτει, ιδίως, αιτήματα παροχής πληροφοριών και μέτρα ελέγχου, παραδείγματος χάρη αιτήματα για προηγούμενες διαβουλεύσεις και εγκρίσεις, ελέγχους και έρευνες.»
16 Το άρθρο 62 του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Κοινές επιχειρήσεις αρχών ελέγχου», προβλέπει στις παραγράφους 1 και 2 τα ακόλουθα:
«1. Οι εποπτικές αρχές πραγματοποιούν, όταν χρειάζεται, κοινές επιχειρήσεις, μεταξύ άλλων και κοινές έρευνες και κοινά μέτρα επιβολής, στα οποία συμμετέχουν μέλη ή υπάλληλοι από εποπτικές αρχές άλλων κρατών μελών.
2. Όταν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι εγκατεστημένος σε πολλά κράτη μέλη ή σε περιπτώσεις στις οποίες σημαντικός αριθμός υποκειμένων των δεδομένων σε περισσότερα του ενός κράτη μέλη ενδέχεται να επηρεάζονται σημαντικά από πράξεις επεξεργασίας, μια εποπτική αρχή από καθένα από αυτά τα κράτη μέλη δικαιούται να συμμετέχει στις κοινές επιχειρήσεις. […]»
17 Το τμήμα 2 του κεφαλαίου VII του εν λόγω κανονισμού επιγράφεται «Συνεκτικότητα» και περιλαμβάνει τα άρθρα 63 έως 67 του κανονισμού. Το άρθρο 63, με τίτλο «Μηχανισμός συνεκτικότητας», έχει ως εξής:
«Προκειμένου να συμβάλλουν στη συνεκτική εφαρμογή του παρόντος κανονισμού στο σύνολο της Ένωσης, οι εποπτικές αρχές συνεργάζονται μεταξύ τους και, εφόσον απαιτείται, με την Επιτροπή, μέσω του μηχανισμού συνεκτικότητας όπως προβλέπεται στο παρόν τμήμα.»
Το βελγικό δίκαιο
18 Ο wet tot oprichting van de Gegevensbeschermingsautoriteit (νόμος για τη σύσταση της Αρχής Προστασίας Δεδομένων), της 3ης Δεκεμβρίου 2017 (Belgisch Staatsblad, 10 Ιανουαρίου 2018, σ. 989, στο εξής: ΝΣΑ), ορίζει στο άρθρο 100, παράγραφος 1, 9°, τα εξής:
«Το τμήμα επίλυσης διαφορών έχει την εξουσία:
[…]
9° να διατάξει να εναρμονιστεί η επεξεργασία με τους σχετικούς κανόνες».
19 Το άρθρο 101 του ΝΣΑ προβλέπει τα εξής:
«Το τμήμα επίλυσης διαφορών μπορεί να αποφασίσει να επιβάλει διοικητικό πρόστιμο στα μέρη κατά των οποίων έχει κινηθεί διαδικασία, σύμφωνα με τις γενικές αρχές που διαλαμβάνονται στο άρθρο 83 του [ΓΚΠΔ].»
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
20 Η IAB Europe είναι μη κερδοσκοπική ένωση με έδρα το Βέλγιο, η οποία εκπροσωπεί τις επιχειρήσεις του κλάδου της ψηφιακής διαφήμισης και του ψηφιακού μάρκετινγκ σε ευρωπαϊκό επίπεδο. Τα μέλη της IAB Europe είναι τόσο επιχειρήσεις του κλάδου αυτού, όπως εκδότες, επιχειρήσεις ηλεκτρονικού εμπορίου και μάρκετινγκ, μεσάζοντες, όσο και εθνικές ενώσεις, συμπεριλαμβανομένων των εθνικών IAB (Interactive Advertising Bureau), οι οποίες, με τη σειρά τους, έχουν ως μέλη επιχειρήσεις του εν λόγω κλάδου. Μεταξύ των μελών της IAB Europe συγκαταλέγονται και επιχειρήσεις που παράγουν σημαντικά έσοδα από την πώληση διαφημιστικού χώρου σε ιστοτόπους ή εφαρμογές.
21 Η IAB Europe ανέπτυξε το Transparency & Consent Framework (πλαίσιο διαφάνειας και συγκατάθεσης, στο εξής: TCF), το οποίο είναι ένα πλαίσιο κανόνων αποτελούμενο από κατευθυντήριες γραμμές, οδηγίες, τεχνικές προδιαγραφές, πρωτόκολλα και συμβατικές υποχρεώσεις που επιτρέπουν τόσο στον πάροχο ιστοτόπου ή εφαρμογής όσο και σε μεσίτες δεδομένων ή, ακόμη, σε διαφημιστικές πλατφόρμες να επεξεργάζονται νομίμως τα δεδομένα προσωπικού χαρακτήρα ενός χρήστη ιστοτόπου ή εφαρμογής.
22 Το TCF έχει, μεταξύ άλλων, ως σκοπό να προωθήσει την τήρηση του ΓΚΠΔ όταν οι εν λόγω φορείς κάνουν χρήση του πρωτοκόλλου OpenRTB, ήτοι ενός από τα ευρύτερα χρησιμοποιούμενα πρωτόκολλα για το Real Time Bidding, το οποίο είναι ένα σύστημα στιγμιαίων και αυτοματοποιημένων διαδικτυακών δημοπρασιών προφίλ χρηστών με σκοπό την πώληση και την αγορά διαφημιστικού χώρου στο διαδίκτυο (στο εξής: RTB). Λαμβανομένων υπόψη ορισμένων πρακτικών τις οποίες εφαρμόζουν μέλη της IAB Europe στο πλαίσιο του ανωτέρω συστήματος μαζικής ανταλλαγής δεδομένων προσωπικού χαρακτήρα σχετικών με προφίλ χρηστών, το TCF παρουσιάστηκε από την IAB Europe ως λύση ικανή να καταστήσει το εν λόγω σύστημα δημοπρασιών σύμφωνο με τον ΓΚΠΔ.
23 Ειδικότερα, όπως προκύπτει από τη δικογραφία που υποβλήθηκε στο Δικαστήριο, από τεχνική άποψη, όταν ένας χρήστης επισκέπτεται ιστότοπο ή εφαρμογή που περιέχει διαφημιστικό χώρο, οι επιχειρήσεις τεχνολογίας διαφήμισης, και ιδίως οι μεσίτες δεδομένων και οι διαφημιστικές πλατφόρμες, που αντιπροσωπεύουν χιλιάδες διαφημιζόμενους, μπορούν να υποβάλλουν προσφορές σε πραγματικό χρόνο, στο παρασκήνιο, για να αποκτήσουν τον διαφημιστικό αυτό χώρο μέσω αυτοματοποιημένου συστήματος δημοπρασιών το οποίο χρησιμοποιεί αλγορίθμους, προκειμένου να προβάλουν στον εν λόγω χώρο στοχευμένες διαφημίσεις ειδικά προσαρμοσμένες στο προφίλ του χρήστη.
24 Ωστόσο, πριν από την εμφάνιση τέτοιων στοχευμένων διαφημίσεων, πρέπει να έχει ληφθεί προηγουμένως η συγκατάθεση του χρήστη. Συγκεκριμένα, όταν ο τελευταίος επισκέπτεται ιστότοπο ή εφαρμογή για πρώτη φορά, εμφανίζεται αναδυόμενο παράθυρο που περιέχει μια πλατφόρμα διαχείρισης της συγκατάθεσης αποκαλούμενη «Consent Management Platform» (στο εξής: CMP), η οποία παρέχει στον χρήστη τη δυνατότητα, αφενός, να δώσει τη συγκατάθεσή του στον πάροχο του ιστοτόπου ή της εφαρμογής ενόψει της συλλογής και της επεξεργασίας των προσωπικών του δεδομένων για σκοπούς καθορισμένους εκ των προτέρων, όπως είναι, μεταξύ άλλων, το μάρκετινγκ ή η διαφήμιση, ή ενόψει της ανταλλαγής των δεδομένων αυτών με ορισμένους παρόχους και, αφετέρου, να αντιταχθεί σε διάφορα είδη επεξεργασίας δεδομένων ή στην ανταλλαγή τους βάσει έννομων συμφερόντων που επικαλούνται οι πάροχοι, κατά την έννοια του άρθρου 6, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ. Τα εν λόγω δεδομένα προσωπικού χαρακτήρα αφορούν ιδίως την τοποθεσία του χρήστη, την ηλικία του καθώς και το ιστορικό των αναζητήσεών του και των πρόσφατων αγορών του.
25 Στο πλαίσιο αυτό, το TCF παρέχει ένα πλαίσιο για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μεγάλη κλίμακα και διευκολύνει την καταχώριση των προτιμήσεων των χρηστών μέσω της CMP. Στη συνέχεια, οι εν λόγω προτιμήσεις κωδικοποιούνται και αποθηκεύονται σε συμβολοσειρά αποτελούμενη από συνδυασμό γραμμάτων και χαρακτήρων που καθορίζεται από την IAB Europe με την ονομασία Transparency and Consent String (στο εξής: TC String), η οποία κοινοποιείται σε μεσίτες δεδομένων προσωπικού χαρακτήρα και διαφημιστικές πλατφόρμες που μετέχουν στο πρωτόκολλο OpenRTB, προκειμένου οι μεσίτες και οι πλατφόρμες αυτές να γνωρίζουν σε τι έχει συγκατατεθεί ή αντιταχθεί ο χρήστης. Η CMP τοποθετεί επίσης cookie (euconsent-v2) στη συσκευή του χρήστη. Όταν η TC String και το cookie euconsent-v2 συνδυάζονται, μπορούν να συνδεθούν με τη διεύθυνση IP του εν λόγω χρήστη.
26 Επομένως, το TCF ασκεί επιρροή στη λειτουργία του πρωτοκόλλου OpenRTB, δεδομένου ότι καθιστά δυνατή την καταγραφή των προτιμήσεων του χρήστη ώστε αυτές να κοινοποιηθούν σε δυνητικούς πωλητές καθώς και την επίτευξη διαφόρων σκοπών επεξεργασίας, συμπεριλαμβανομένης της πρότασης εξατομικευμένων διαφημίσεων. Το TCF αποσκοπεί ιδίως στο να διασφαλιστεί, μέσω της TC String, ότι οι μεσίτες δεδομένων προσωπικού χαρακτήρα και οι διαφημιστικές πλατφόρμες τηρούν τον ΓΚΠΔ.
27 Από το 2019, η ΑΠΔ έλαβε πλείονες καταγγελίες κατά της IAB Europe, τόσο από το Βέλγιο όσο και από τρίτες χώρες, σχετικά με το κατά πόσον το TCF είναι σύμφωνο με τον ΓΚΠΔ. Αφού εξέτασε τις καταγγελίες αυτές, η ΑΠΔ, ως επικεφαλής εποπτική αρχή κατά την έννοια του άρθρου 56, παράγραφος 1, του ΓΚΠΔ, ενεργοποίησε τον μηχανισμό συνεργασίας και συνεκτικότητας, σύμφωνα με τα άρθρα 60 έως 63 του κανονισμού, προκειμένου να ληφθεί κοινή απόφαση την οποία θα ενέκρινε από κοινού το σύνολο των 21 εθνικών εποπτικών αρχών που συμμετέχουν στον εν λόγω μηχανισμό. Συγκεκριμένα, το τμήμα επίλυσης διαφορών της ΑΠΔ, με την από 2 Φεβρουαρίου 2022 απόφασή του (στο εξής: απόφαση της 2ας Φεβρουαρίου 2022), έκρινε ότι η IAB Europe ενεργούσε ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα όσον αφορά την καταχώριση της δήλωσης συγκατάθεσης, των αντιρρήσεων και των προτιμήσεων των επιμέρους χρηστών μέσω μιας TC String, η οποία, κατά το τμήμα επίλυσης διαφορών της ΑΠΔ, συνδέεται με ταυτοποιήσιμο χρήστη. Επιπλέον, με την απόφαση αυτή, το τμήμα επίλυσης διαφορών της ΑΠΔ έδωσε στην IAB Europe εντολή, σύμφωνα με το άρθρο 100, παράγραφος 1, 9°, του ΝΣΑ, να εναρμονίσει με τις διατάξεις του ΓΚΠΔ την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο του TCF, ενώ παράλληλα την υποχρέωσε να λάβει διάφορα διορθωτικά μέτρα και της επέβαλε διοικητικό πρόστιμο.
28 Η IAB Europe προσέβαλε την εν λόγω απόφαση ενώπιον του hof van beroep te Brussel (εφετείου Βρυξελλών, Βέλγιο), το οποίο είναι το αιτούν δικαστήριο. Η IAB Europe ζητεί από το δικαστήριο αυτό να ακυρώσει την απόφαση της 2ας Φεβρουαρίου 2022. Αμφισβητεί, μεταξύ άλλων, το γεγονός ότι η ίδια θεωρείται ότι ενήργησε ως υπεύθυνος επεξεργασίας. Υποστηρίζει επίσης ότι η απόφαση αυτή, καθόσον διαπιστώνει ότι η TC String αποτελεί δεδομένο προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ, δεν διαφοροποιείται επαρκώς, είναι ανεπαρκώς αιτιολογημένη και, εν πάση περιπτώσει, ενέχει σφάλμα. Ειδικότερα, η IAB Europe υπογραμμίζει ότι μόνον οι άλλοι συμμετέχοντες στο TCF θα μπορούσαν να συνδυάσουν την TC String με μια διεύθυνση IP για να τη μετατρέψουν σε δεδομένο προσωπικού χαρακτήρα, ότι η TC String δεν είναι συγκεκριμένη για τον εκάστοτε χρήστη και ότι η IAB Europe δεν έχει δυνατότητα πρόσβασης στα δεδομένα που επεξεργάζονται στο πλαίσιο αυτό τα μέλη της.
29 Η ΑΠΔ, υποστηριζόμενη στο πλαίσιο της εθνικής διαδικασίας από τους Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom και Ligue des Droits Humains VZW, ισχυρίζεται ιδίως ότι οι TC Strings συνιστούν δεδομένα προσωπικού χαρακτήρα, στο μέτρο που οι CMP μπορούν να συνδέουν τις TC Strings με τις διευθύνσεις IP, ότι, επιπλέον, οι συμμετέχοντες στο TCF μπορούν επίσης να ταυτοποιούν τους χρήστες βάσει άλλων δεδομένων, ότι η IAB Europe έχει πρόσβαση στις πληροφορίες προς τούτο και ότι η εν λόγω ταυτοποίηση του χρήστη αποτελεί ακριβώς τον σκοπό της TC String, ο οποίος συνίσταται στη διευκόλυνση της πώλησης της στοχευμένης διαφήμισης. Επιπλέον, η ΑΠΔ υποστηρίζει, μεταξύ άλλων, ότι το γεγονός ότι η IAB Europe πρέπει να θεωρηθεί ως υπεύθυνος επεξεργασίας κατά την έννοια του ΓΚΠΔ προκύπτει από τον καθοριστικό ρόλο της στην επεξεργασία των TC Strings. Η ΑΠΔ προσθέτει ότι η οργάνωση αυτή καθορίζει, αντιστοίχως, τους σκοπούς και τα μέσα της επεξεργασίας, τον τρόπο με τον οποίο δημιουργούνται, τροποποιούνται και διαβάζονται οι TC Strings, πώς και πού αποθηκεύονται τα απαραίτητα cookies, ποιος λαμβάνει τα προσωπικά δεδομένα και βάσει ποιων κριτηρίων μπορούν να οριστούν οι περίοδοι διατήρησης των TC Strings.
30 Το αιτούν δικαστήριο διατηρεί αμφιβολίες ως προς το αν μια TC String, συνδυαζόμενη ή όχι με διεύθυνση IP, συνιστά δεδομένο προσωπικού χαρακτήρα και, σε περίπτωση καταφατικής απάντησης, αν η IAB Europe πρέπει να χαρακτηριστεί ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του TCF, ιδίως όσον αφορά την επεξεργασία της TC String. Συναφώς, το εν λόγω δικαστήριο επισημαίνει ότι, μολονότι είναι αληθές ότι η απόφαση της 2ας Φεβρουαρίου 2022 απηχεί την κοινή θέση που υιοθέτησαν ενιαία οι διάφορες εθνικές εποπτικές αρχές οι οποίες εμπλέκονται στη συγκεκριμένη υπόθεση, εντούτοις το Δικαστήριο δεν είχε μέχρι σήμερα την ευκαιρία να αποφανθεί επί της νέας αυτής παρεμβατικής τεχνολογίας που αντιπροσωπεύει η TC String.
31 Υπό τις συνθήκες αυτές, το hof van beroep te Brussel (εφετείο Βρυξελλών) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) α) Έχει το άρθρο 4, σημείο 1, του [ΓΚΠΔ], σε συνδυασμό με τα άρθρα 7 και 8 του [Χάρτη], την έννοια ότι συμβολοσειρά που καταγράφει τις προτιμήσεις ενός χρήστη του διαδικτύου σχετικά με την επεξεργασία των προσωπικών του δεδομένων, κατά τρόπο δομημένο και αναγνώσιμο από μηχάνημα, αποτελεί δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ανωτέρω διάταξης έναντι 1) κλαδικής οργάνωσης που θέτει στη διάθεση των μελών της πρότυπο με το οποίο τους ορίζει τον πρακτικό και τεχνικό τρόπο με τον οποίο η συμβολοσειρά πρέπει να δημιουργείται, να αποθηκεύεται και/ή να διαδίδεται, και 2) των μερών που έχουν εφαρμόσει το πρότυπο αυτό στους ιστοτόπους ή τις εφαρμογές τους και, ως εκ τούτου, έχουν πρόσβαση στην εν λόγω συμβολοσειρά;
β) Έχει συναφώς σημασία αν η εφαρμογή του προτύπου συνεπάγεται ότι η συμβολοσειρά διατίθεται μαζί με διεύθυνση ΙΡ;
γ) Διαφέρει η απάντηση [στα στοιχεία αʹ και βʹ του πρώτου προδικαστικού ερωτήματος] αν η εν λόγω κλαδική οργάνωση δεν έχει η ίδια δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται τα μέλη της στο πλαίσιο του προτύπου αυτού;
2) α) Έχουν το άρθρο 4, σημείο 7, και το άρθρο 24, παράγραφος 1, του [ΓΚΠΔ], σε συνδυασμό με τα άρθρα 7 και 8 του [Χάρτη], την έννοια ότι μια ρυθμιστική κλαδική οργάνωση πρέπει να χαρακτηριστεί ως υπεύθυνος επεξεργασίας όταν προσφέρει στα μέλη της πρότυπο για τη διαχείριση της συγκατάθεσης το οποίο, πέραν ενός δεσμευτικού τεχνικού πλαισίου, περιέχει και κανόνες που καθορίζουν λεπτομερώς τον τρόπο αποθήκευσης και διάδοσης των εν λόγω δεδομένων συγκατάθεσης, τα οποία συνιστούν δεδομένα προσωπικού χαρακτήρα;
β) Διαφέρει η απάντηση [στο στοιχείο αʹ του δεύτερου προδικαστικού ερωτήματος] αν η εν λόγω κλαδική οργάνωση δεν έχει η ίδια δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται τα μέλη της στο πλαίσιο του προτύπου αυτού;
γ) Σε περίπτωση κατά την οποία η ρυθμιστική κλαδική οργάνωση πρέπει να χαρακτηριστεί ως υπεύθυνος επεξεργασίας ή από κοινού υπεύθυνος επεξεργασίας των προτιμήσεων των χρηστών του διαδικτύου, εκτείνεται η εν λόγω (από κοινού) ευθύνη της ρυθμιστικής κλαδικής οργάνωσης αυτομάτως και στη μεταγενέστερη επεξεργασία από τρίτους για τους οποίους έχουν συλλεγεί οι προτιμήσεις των χρηστών του διαδικτύου, όπως είναι η στοχευμένη διαδικτυακή διαφήμιση από εκδότες και πωλητές;»
Επί του πρώτου προδικαστικού ερωτήματος
32 Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 4, σημείο 1, του ΓΚΠΔ έχει την έννοια ότι συμβολοσειρά αποτελούμενη από συνδυασμό γραμμάτων και χαρακτήρων, όπως η TC String, η οποία περιέχει τις προτιμήσεις ενός χρήστη του διαδικτύου ή εφαρμογής σχετικά με τη συγκατάθεση του χρήστη αυτού στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούν από παρόχους ιστοτόπων ή εφαρμογών καθώς και από μεσίτες τέτοιων δεδομένων και από διαφημιστικές πλατφόρμες, συνιστά δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ανωτέρω διάταξης, όταν μια κλαδική οργάνωση έχει καθορίσει το πλαίσιο κανόνων βάσει του οποίου πρέπει να δημιουργείται, να αποθηκεύεται ή να διαδίδεται η συμβολοσειρά και τα μέλη της οργάνωσης αυτής έχουν εφαρμόσει τους εν λόγω κανόνες και, ως εκ τούτου, έχουν πρόσβαση στη συμβολοσειρά. Το αιτούν δικαστήριο ζητεί επίσης να διευκρινιστεί αν, για την απάντηση στο ερώτημα αυτό, έχει σημασία, πρώτον, το αν η εν λόγω συμβολοσειρά συνδέεται με αναγνωριστικό στοιχείο ταυτότητας, όπως είναι ιδίως η διεύθυνση IP της συσκευής του χρήστη, το οποίο καθιστά δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων, και, δεύτερον, το αν μια τέτοια κλαδική οργάνωση έχει δικαίωμα άμεσης πρόσβασης στα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται τα μέλη της εντός του πλαισίου κανόνων που αυτή έχει καθορίσει.
33 Προκαταρκτικώς, υπενθυμίζεται ότι, δεδομένου ότι ο ΓΚΠΔ κατάργησε και αντικατέστησε την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31), και ότι οι κρίσιμες διατάξεις του κανονισμού έχουν περιεχόμενο κατ’ ουσίαν ταυτόσημο προς εκείνο των κρίσιμων διατάξεων της ως άνω οδηγίας, η νομολογία του Δικαστηρίου σχετικά με την εν λόγω οδηγία έχει επίσης εφαρμογή, καταρχήν, όσον αφορά τον κανονισμό (απόφαση της 17ης Ιουνίου 2021, M.I.C.M., C‑597/19, EU:C:2021:492, σκέψη 107).
34 Υπενθυμίζεται επίσης ότι, κατά πάγια νομολογία, για την ερμηνεία διάταξης του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο αυτή εντάσσεται καθώς και οι σκοποί που επιδιώκονται με την πράξη της οποίας αποτελεί μέρος (απόφαση της 22ας Ιουνίου 2023, Pankki S, C‑579/21, EU:C:2023:501, σκέψη 38 και εκεί μνημονευόμενη νομολογία).
35 Συναφώς, επισημαίνεται ότι το άρθρο 4, σημείο 1, του ΓΚΠΔ ορίζει τα δεδομένα προσωπικού χαρακτήρα ως «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο» και διευκρινίζει ότι «το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».
36 Η χρήση της φράσης «κάθε πληροφορία» στο πλαίσιο του ορισμού της έννοιας των «δεδομένων προσωπικού χαρακτήρα», που περιλαμβάνεται στην ανωτέρω διάταξη, αντικατοπτρίζει τον σκοπό του νομοθέτη της Ένωσης να ορίσει ευρέως την έννοια αυτή, η οποία δυνητικά καλύπτει κάθε είδος πληροφοριών, τόσο αντικειμενικών όσο και υποκειμενικών, με τη μορφή γνώμης ή εκτίμησης, υπό την προϋπόθεση ότι οι πληροφορίες αυτές «αφορούν» το συγκεκριμένο πρόσωπο (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 23 και εκεί μνημονευόμενη νομολογία).
37 Συναφώς, το Δικαστήριο έχει κρίνει ότι η πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο όταν, λόγω του περιεχομένου της, του σκοπού της ή του αποτελέσματός της, συνδέεται με ταυτοποιήσιμο πρόσωπο (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 24 και εκεί μνημονευόμενη νομολογία).
38 Όσον αφορά τον «ταυτοποιήσιμο» χαρακτήρα ενός προσώπου, από το γράμμα του άρθρου 4, σημείο 1, του ΓΚΠΔ προκύπτει ότι ως ταυτοποιήσιμο πρόσωπο λογίζεται εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί όχι μόνον άμεσα, αλλά και έμμεσα.
39 Όπως έχει κρίνει το Δικαστήριο, η εκ μέρους του νομοθέτη της Ένωσης χρήση του όρου «έμμεσα» υποδηλώνει ότι, για τον χαρακτηρισμό πληροφορίας ως δεδομένου προσωπικού χαρακτήρα, δεν απαιτείται αυτή και μόνον η πληροφορία να καθιστά δυνατή την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων (βλ., κατ’ αναλογίαν, απόφαση της 19ης Οκτωβρίου 2016, Breyer, C‑582/14, EU:C:2016:779, σκέψη 41). Αντιθέτως, από το άρθρο 4, σημείο 5, του ΓΚΠΔ, σε συνδυασμό με την αιτιολογική σκέψη 26 του κανονισμού αυτού, προκύπτει ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία θα μπορούσαν να αποδοθούν σε φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών πρέπει να θεωρούνται πληροφορίες που αφορούν ταυτοποιήσιμο φυσικό πρόσωπο (απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, σκέψη 58).
40 Επιπλέον, η εν λόγω αιτιολογική σκέψη 26 διευκρινίζει ότι, για να κριθεί κατά πόσον ένα πρόσωπο είναι «ταυτοποιήσιμο», θα πρέπει να λαμβάνονται υπόψη «όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου». Από τη διατύπωση αυτή συνάγεται ότι, για να χαρακτηριστεί ένα στοιχείο ως «δεδομένο προσωπικού χαρακτήρα», κατά την έννοια του άρθρου 4, σημείο 1, του ανωτέρω κανονισμού, δεν απαιτείται όλες οι πληροφορίες που καθιστούν δυνατή την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων να βρίσκονται στη διάθεση ενός μόνον προσώπου (βλ., κατ’ αναλογίαν, απόφαση της 19ης Οκτωβρίου 2016, Breyer, C‑582/14, EU:C:2016:779, σκέψη 43).
41 Επομένως, η έννοια των «δεδομένων προσωπικού χαρακτήρα» δεν καλύπτει μόνον τα δεδομένα που συλλέγονται και διατηρούνται από τον υπεύθυνο επεξεργασίας, αλλά περιλαμβάνει επίσης όλες τις πληροφορίες που προκύπτουν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο (απόφαση της 22ας Ιουνίου 2023, Pankki S, C‑579/21, EU:C:2023:501, σκέψη 45).
42 Εν προκειμένω, επισημαίνεται ότι μια συμβολοσειρά αποτελούμενη από συνδυασμό γραμμάτων και χαρακτήρων, όπως η TC String, περιέχει τις προτιμήσεις ενός χρήστη του διαδικτύου ή εφαρμογής σχετικά με τη συγκατάθεση του χρήστη αυτού στην επεξεργασία, από τρίτους, δεδομένων προσωπικού χαρακτήρα που τον αφορούν ή σχετικά με την τυχόν εναντίωσή του σε επεξεργασία τέτοιων δεδομένων στηριζόμενη σε προβαλλόμενο έννομο συμφέρον, δυνάμει του άρθρου 6, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ.
43 Ακόμη όμως και αν μια TC String δεν περιέχει, αυτή καθεαυτήν, στοιχεία που να καθιστούν δυνατή την άμεση ταυτοποίηση του υποκειμένου των δεδομένων, γεγονός παραμένει, πρώτον, ότι περιέχει τις ατομικές προτιμήσεις ενός συγκεκριμένου χρήστη ως προς τη συγκατάθεσή του στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούν, οι δε πληροφορίες αυτές «αφορ[ούν] φυσικό πρόσωπο», κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ.
44 Δεύτερον, δεν αμφισβητείται επίσης ότι, όταν οι πληροφορίες που περιέχονται σε TC String συνδέονται με αναγνωριστικό στοιχείο ταυτότητας, όπως είναι ιδίως η διεύθυνση IP της συσκευής του χρήστη, μπορούν να καταστήσουν δυνατή τη δημιουργία ενός προφίλ του εν λόγω χρήστη και την ταυτοποίηση, εν τοις πράγμασι, του προσώπου το οποίο αφορούν συγκεκριμένα οι πληροφορίες αυτές.
45 Στο μέτρο που η σύνδεση μιας συμβολοσειράς αποτελούμενης από συνδυασμό γραμμάτων και χαρακτήρων, όπως η TC String, με πρόσθετα δεδομένα, ιδίως με τη διεύθυνση IP της συσκευής ενός χρήστη ή με άλλα αναγνωριστικά στοιχεία ταυτότητας, καθιστά δυνατή την ταυτοποίηση του χρήστη, πρέπει να γίνει δεκτό ότι η TC String περιέχει πληροφορίες που αφορούν ταυτοποιήσιμο χρήστη και, επομένως, συνιστά δεδομένο προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, παράγραφος 1, του ΓΚΠΔ, όπερ επιβεβαιώνεται από την αιτιολογική σκέψη 30 του ΓΚΠΔ, η οποία αναφέρεται ρητώς σε μια τέτοια περίπτωση.
46 Η ερμηνεία αυτή δεν αναιρείται από το γεγονός και μόνον ότι η IAB Europe δεν θα μπορούσε να συνδυάσει η ίδια την TC String με τη διεύθυνση IP της συσκευής ενός χρήστη και δεν θα είχε τη δυνατότητα να έχει άμεση πρόσβαση στα δεδομένα που επεξεργάζονται τα μέλη της στο πλαίσιο του TCF.
47 Πράγματι, όπως προκύπτει από τη νομολογία που υπομνήσθηκε στη σκέψη 40 της παρούσας απόφασης, το γεγονός αυτό δεν εμποδίζει τον χαρακτηρισμό μιας TC String ως «δεδομένου προσωπικού χαρακτήρα», κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ.
48 Εξάλλου, από τη δικογραφία που έχει στη διάθεσή του το Δικαστήριο, και ιδίως από την απόφαση της 2ας Φεβρουαρίου 2022, προκύπτει ότι τα μέλη της IAB Europe υποχρεούνται να της κοινοποιούν, κατόπιν αιτήματός της, όλες τις πληροφορίες που της επιτρέπουν να ταυτοποιήσει τους χρήστες των οποίων τα δεδομένα αποτελούν αντικείμενο μιας TC String.
49 Επομένως, υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί συναφώς το αιτούν δικαστήριο, η IAB Europe διαθέτει, σύμφωνα με τα όσα αναφέρει η αιτιολογική σκέψη 26 του ΓΚΠΔ, εύλογα μέσα που της επιτρέπουν να ταυτοποιήσει ένα συγκεκριμένο φυσικό πρόσωπο βάσει μιας TC String, χάρη στις πληροφορίες τις οποίες υποχρεούνται να της παρέχουν τα μέλη της και άλλες οργανώσεις που μετέχουν στο TCF.
50 Από τα ανωτέρω προκύπτει ότι μια TC String αποτελεί δεδομένο προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ. Δεν ασκεί συναφώς επιρροή το ότι, χωρίς εξωτερική συμβολή την οποία δικαιούται να απαιτήσει, μια τέτοια κλαδική οργάνωση δεν μπορεί ούτε να έχει πρόσβαση στα δεδομένα που επεξεργάζονται τα μέλη της στο πλαίσιο των κανόνων που αυτή έχει θεσπίσει ούτε να συνδυάσει την TC String με άλλα αναγνωριστικά στοιχεία ταυτότητας, όπως είναι ιδίως η διεύθυνση IP της συσκευής ενός χρήστη.
51 Κατόπιν των ανωτέρω, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 4, σημείο 1, του ΓΚΠΔ έχει την έννοια ότι συμβολοσειρά αποτελούμενη από συνδυασμό γραμμάτων και χαρακτήρων, όπως η TC String, η οποία περιέχει τις προτιμήσεις ενός χρήστη του διαδικτύου ή εφαρμογής σχετικά με τη συγκατάθεση του χρήστη αυτού στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούν από παρόχους ιστοτόπων ή εφαρμογών καθώς και από μεσίτες τέτοιων δεδομένων και από διαφημιστικές πλατφόρμες, συνιστά δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ανωτέρω διάταξης στο μέτρο που η εν λόγω συμβολοσειρά, όταν μπορεί, με εύλογα μέσα, να συνδεθεί με αναγνωριστικό στοιχείο ταυτότητας, όπως είναι ιδίως η διεύθυνση IP της συσκευής του χρήστη, καθιστά δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων. Υπό τις συνθήκες αυτές, το γεγονός ότι, χωρίς εξωτερική συμβολή, μια κλαδική οργάνωση η οποία έχει στην κατοχή της τη συμβολοσειρά δεν μπορεί ούτε να έχει πρόσβαση στα δεδομένα που επεξεργάζονται τα μέλη της στο πλαίσιο των κανόνων που αυτή έχει θεσπίσει ούτε να συνδυάσει τη συμβολοσειρά με άλλα στοιχεία δεν αποκλείει να συνιστά η εν λόγω συμβολοσειρά δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ανωτέρω διάταξης.
Επί του δεύτερου προδικαστικού ερωτήματος
52 Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 4, σημείο 7, του ΓΚΠΔ έχει την έννοια ότι:
– αφενός, μια κλαδική οργάνωση, στο μέτρο που προτείνει στα μέλη της πλαίσιο κανόνων το οποίο έχει καθορίσει η ίδια σχετικά με τη συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα και το οποίο περιέχει όχι μόνον δεσμευτικούς τεχνικούς κανόνες, αλλά και κανόνες που καθορίζουν λεπτομερώς τον τρόπο αποθήκευσης και διάδοσης των δεδομένων προσωπικού χαρακτήρα που αφορούν τη συγκατάθεση αυτή, πρέπει να χαρακτηριστεί ως «υπεύθυνος επεξεργασίας», κατά την έννοια της ανωτέρω διάταξης, και αν, για την απάντηση στο ερώτημα αυτό, έχει σημασία το αν μια τέτοια κλαδική οργάνωση έχει η ίδια άμεση πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται τα μέλη της στο πλαίσιο των εν λόγω κανόνων·
– αφετέρου, η τυχόν από κοινού ευθύνη της εν λόγω κλαδικής οργάνωσης εκτείνεται αυτομάτως στη μεταγενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τρίτους, όπως είναι οι πάροχοι ιστοτόπων ή εφαρμογών, όσον αφορά τις προτιμήσεις των χρηστών για τους σκοπούς της στοχευμένης διαδικτυακής διαφήμισης.
53 Προκαταρκτικώς, υπενθυμίζεται ότι ο σκοπός τον οποίο επιδιώκει ο ΓΚΠΔ, όπως απορρέει από το άρθρο 1 καθώς και από τις αιτιολογικές σκέψεις 1 και 10, συνίσταται, μεταξύ άλλων, στη διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ειδικότερα του δικαιώματός τους στην ιδιωτική ζωή έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο άρθρο 8, παράγραφος 1, του Χάρτη και στο άρθρο 16, παράγραφος 1, ΣΛΕΕ [απόφαση της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου), C‑60/22, EU:C:2023:373, σκέψη 64].
54 Σύμφωνα με τον σκοπό αυτό, το άρθρο 4, σημείο 7, του κανονισμού δίδει στην έννοια του «υπευθύνου επεξεργασίας» ευρύ ορισμό ο οποίος καλύπτει το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή άλλο φορέα που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
55 Πράγματι, όπως έχει κρίνει το Δικαστήριο, σκοπός της διάταξης αυτής είναι να διασφαλιστεί, μέσω του εν λόγω ευρέος ορισμού της έννοιας του «υπευθύνου επεξεργασίας», αποτελεσματική και πλήρης προστασία των υποκειμένων των δεδομένων (βλ., κατ’ αναλογίαν, απόφαση της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, σκέψη 28).
56 Επιπλέον, δεδομένου ότι, όπως ρητώς προβλέπει το άρθρο 4, σημείο 7, του ΓΚΠΔ, ως «υπεύθυνος επεξεργασίας» νοείται ο φορέας που, «μόν[ος] ή από κοινού με άλλ[ους]», καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η έννοια αυτή δεν αφορά κατ’ ανάγκη έναν μόνο φορέα, αλλά μπορεί να αφορά πολλούς φορείς που μετέχουν στην εν λόγω επεξεργασία, με αποτέλεσμα καθένας από τους φορείς αυτούς να υπόκειται στις διατάξεις που ισχύουν για την προστασία των δεδομένων (βλ., κατ’ αναλογίαν, αποφάσεις της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, σκέψη 29, και της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψη 65).
57 Το Δικαστήριο έχει επίσης κρίνει ότι φυσικό ή νομικό πρόσωπο το οποίο επηρεάζει, για δικούς του σκοπούς, την επεξεργασία δεδομένων προσωπικού χαρακτήρα και μετέχει κατ’ αυτόν τον τρόπο στον καθορισμό των σκοπών και του τρόπου της εν λόγω επεξεργασίας μπορεί να θεωρηθεί ότι είναι υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ (βλ., κατ’ αναλογίαν, απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψη 68). Επομένως, σύμφωνα με το άρθρο 26, παράγραφος 1, του ΓΚΠΔ, υπάρχουν «από κοινού υπεύθυνοι επεξεργασίας» όταν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας (απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, σκέψη 40).
58 Συναφώς, μολονότι κάθε από κοινού υπεύθυνος επεξεργασίας πρέπει να εμπίπτει αυτοτελώς στον ορισμό του «υπευθύνου επεξεργασίας» που περιέχεται στο άρθρο 4, σημείο 7, του ΓΚΠΔ, η ύπαρξη από κοινού ευθύνης δεν συνεπάγεται κατ’ ανάγκη ότι η ευθύνη την οποία υπέχουν οι διάφοροι φορείς που εμπλέκονται στην ίδια επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι ισοδύναμη. Αντιθέτως, οι εν λόγω φορείς ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας των δεδομένων και σε διαφορετικό βαθμό, με αποτέλεσμα το επίπεδο ευθύνης καθενός από αυτούς να πρέπει να εκτιμάται λαμβανομένων υπόψη όλων των κρίσιμων περιστάσεων της συγκεκριμένης περίπτωσης. Επίσης, η από κοινού ευθύνη διαφόρων φορέων για μία και την αυτή επεξεργασία, βάσει της ανωτέρω διάταξης, δεν απαιτεί να έχουν όλοι οι εν λόγω φορείς πρόσβαση στα σχετικά δεδομένα προσωπικού χαρακτήρα (βλ., κατ’ αναλογίαν, απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψεις 66 και 69 και εκεί μνημονευόμενη νομολογία).
59 Η συμμετοχή στον καθορισμό των σκοπών και των μέσων της επεξεργασίας μπορεί να λάβει διάφορες μορφές, δεδομένου ότι μπορεί να προκύπτει τόσο από κοινή απόφαση δύο ή περισσοτέρων οντοτήτων όσο και από συγκλίνουσες αποφάσεις των οντοτήτων. Στη δεύτερη περίπτωση, οι εν λόγω αποφάσεις πρέπει να αλληλοσυμπληρώνονται, ώστε καθεμία από αυτές να έχει συγκεκριμένο αντίκτυπο στον καθορισμό των σκοπών και των μέσων της επεξεργασίας. Αντιθέτως, δεν απαιτείται να υφίσταται μεταξύ των υπευθύνων επεξεργασίας τυπική συμφωνία όσον αφορά τους σκοπούς και τα μέσα της επεξεργασίας (απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, σκέψεις 43 και 44).
60 Κατόπιν των προεκτεθέντων, πρέπει να γίνει δεκτό ότι με το πρώτο σκέλος του δεύτερου προδικαστικού ερωτήματος ζητείται να διευκρινιστεί αν μια κλαδική οργάνωση, όπως η IAB Europe, μπορεί να θεωρηθεί ως από κοινού υπεύθυνος επεξεργασίας, κατά την έννοια του άρθρου 4, σημείο 7, και του άρθρου 26, παράγραφος 1, του ΓΚΠΔ.
61 Προς τούτο, πρέπει επομένως να εκτιμηθεί αν, λαμβανομένων υπόψη των ιδιαίτερων περιστάσεων της συγκεκριμένης περίπτωσης, η εν λόγω οργάνωση επηρεάζει, για δικούς της σκοπούς, την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως είναι η TC String, και καθορίζει, από κοινού με άλλους, τους σκοπούς και τα μέσα της επεξεργασίας αυτής.
62 Όσον αφορά, πρώτον, τους σκοπούς μιας τέτοιας επεξεργασίας δεδομένων προσωπικού χαρακτήρα, υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, από τη δικογραφία που έχει στη διάθεσή του το Δικαστήριο προκύπτει ότι, όπως υπομνήσθηκε στις σκέψεις 21 και 22 της παρούσας απόφασης, το TCF που κατάρτισε η IAB Europe συνιστά πλαίσιο κανόνων το οποίο αποσκοπεί στο να διασφαλιστεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ενός χρήστη ιστοτόπου ή εφαρμογής η οποία διενεργείται από ορισμένους φορείς που συμμετέχουν σε διαδικτυακές δημοπρασίες διαφημιστικού χώρου είναι σύμφωνη με τον ΓΚΠΔ.
63 Υπό τις συνθήκες αυτές, το TCF αποσκοπεί, κατ’ ουσίαν, στο να προωθήσει και να καταστήσει δυνατή την πώληση και την αγορά διαφημιστικού χώρου στο διαδίκτυο από τους εν λόγω φορείς.
64 Συνεπώς, μπορεί να γίνει δεκτό, υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, ότι η IAB Europe επηρεάζει, για δικούς της σκοπούς, τις επίμαχες στην υπόθεση της κύριας δίκης πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα και καθορίζει, ως εκ τούτου, από κοινού με τα μέλη της, τους σκοπούς των πράξεων αυτών.
65 Δεύτερον, όσον αφορά τα μέσα που χρησιμοποιούνται για την εν λόγω επεξεργασία δεδομένων προσωπικού χαρακτήρα, από τη δικογραφία που έχει στη διάθεσή του το Δικαστήριο προκύπτει, υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, ότι το TCF συνιστά πλαίσιο κανόνων το οποίο τα μέλη της IAB Europe πρέπει να αποδεχθούν προκειμένου να ενταχθούν στην ένωση αυτή. Ειδικότερα, όπως επιβεβαίωσε η IAB Europe κατά την επ’ ακροατηρίου συζήτηση ενώπιον του Δικαστηρίου, εάν ένα από τα μέλη της δεν συμμορφώνεται με τους κανόνες του TCF, η IAB Europe δύναται να λάβει έναντι του μέλους αυτού απόφαση περί μη συμμόρφωσης και περί αναστολής η οποία μπορεί να έχει ως συνέπεια να αποκλειστεί το εν λόγω μέλος από το TCF και, ως εκ τούτου, να μην έχει πλέον τη δυνατότητα να επικαλεστεί, για την επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία πραγματοποιεί μέσω των TC Strings, την εγγύηση συμμόρφωσης με τον ΓΚΠΔ που θεωρείται ότι παρέχει ο μηχανισμός αυτός.
66 Επιπλέον, από πρακτική άποψη, όπως αναφέρθηκε στη σκέψη 21 της παρούσας απόφασης, το TCF που κατάρτισε η IAB Europe περιέχει τεχνικές προδιαγραφές σχετικά με την επεξεργασία της TC String. Ειδικότερα, φαίνεται ότι οι προδιαγραφές αυτές περιγράφουν επακριβώς τον τρόπο με τον οποίο οι CMP υποχρεούνται να συλλέγουν τις προτιμήσεις των χρηστών σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν, καθώς και τον τρόπο με τον οποίο πρέπει να γίνεται η επεξεργασία των εν λόγω προτιμήσεων προκειμένου να δημιουργηθεί μια TC String. Επίσης, θεσπίζονται συγκεκριμένοι κανόνες όσον αφορά το περιεχόμενο της TC String καθώς και την αποθήκευση και την κοινή χρήση της.
67 Από την απόφαση της 2ας Φεβρουαρίου 2022 προκύπτει ιδίως ότι η IAB Europe καθορίζει στο πλαίσιο των κανόνων αυτών, μεταξύ άλλων, τον τυποποιημένο τρόπο με τον οποίο τα διάφορα εμπλεκόμενα στο TCF μέρη μπορούν να ανατρέχουν στις προτιμήσεις, τις αντιρρήσεις και τις συγκαταθέσεις των χρηστών που περιέχονται στις TC Strings.
68 Υπό τις συνθήκες αυτές, και υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, πρέπει να γίνει δεκτό ότι μια κλαδική οργάνωση όπως η IAB Europe επηρεάζει, για δικούς της σκοπούς, τις επίμαχες στην υπόθεση της κύριας δίκης πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα και καθορίζει, ως εκ τούτου, από κοινού με τα μέλη της, τα μέσα για τη διενέργεια των εν λόγω πράξεων. Επομένως, η οργάνωση αυτή πρέπει να θεωρηθεί ως «από κοινού υπεύθυνος επεξεργασίας», κατά την έννοια του άρθρου 4, σημείο 7, και του άρθρου 26, παράγραφος 1, του ΓΚΠΔ, σύμφωνα με τη νομολογία που υπομνήσθηκε στη σκέψη 57 της παρούσας απόφασης.
69 Το γεγονός ότι, όπως αναφέρει το αιτούν δικαστήριο, μια τέτοια κλαδική οργάνωση δεν έχει η ίδια άμεση πρόσβαση στις TC Strings και, επομένως, στα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται στο πλαίσιο των εν λόγω κανόνων τα μέλη της, με τα οποία η οργάνωση καθορίζει από κοινού τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων αυτών, δεν εμποδίζει, σύμφωνα με τη νομολογία που υπομνήσθηκε στη σκέψη 58 της παρούσας απόφασης, τον χαρακτηρισμό της ως «υπευθύνου επεξεργασίας», κατά την έννοια των ανωτέρω διατάξεων.
70 Επιπλέον, σε απάντηση στις αμφιβολίες που διατύπωσε το αιτούν δικαστήριο, πρέπει να γίνει δεκτό ότι η τυχόν από κοινού ευθύνη της εν λόγω κλαδικής οργάνωσης δεν εκτείνεται αυτομάτως στη μεταγενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τρίτους, όπως είναι οι πάροχοι ιστοτόπων ή εφαρμογών, όσον αφορά τις προτιμήσεις των χρηστών για τους σκοπούς της στοχευμένης διαδικτυακής διαφήμισης.
71 Ως προς το ζήτημα αυτό, επισημαίνεται, αφενός, ότι κατά το άρθρο 4, σημείο 2, του ΓΚΠΔ ως «επεξεργασία» δεδομένων προσωπικού χαρακτήρα νοείται «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή».
72 Από τον ορισμό αυτό προκύπτει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να περιλαμβάνει μία ή περισσότερες πράξεις, καθεμία από τις οποίες μπορεί να συνδέεται με διαφορετικό στάδιο της εν λόγω επεξεργασίας.
73 Αφετέρου, όπως έχει κρίνει το Δικαστήριο, από το άρθρο 4, σημείο 7, και από το άρθρο 26, παράγραφος 1, του ΓΚΠΔ προκύπτει ότι ένα φυσικό ή νομικό πρόσωπο μπορεί να θεωρηθεί ως από κοινού υπεύθυνος για τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα μόνον εφόσον καθορίζει από κοινού τους σκοπούς και τα μέσα διενέργειας των πράξεων αυτών. Συνεπώς, και υπό την επιφύλαξη της σχετικής αστικής ευθύνης που ενδεχομένως προβλέπει το εθνικό δίκαιο, το εν λόγω φυσικό ή νομικό πρόσωπο δεν μπορεί να θεωρηθεί υπεύθυνο, κατά την έννοια των ανωτέρω διατάξεων, για προγενέστερες ή μεταγενέστερες πράξεις στην αλληλουχία της επεξεργασίας για τις οποίες δεν καθορίζει ούτε τους σκοπούς ούτε τα μέσα (βλ., κατ’ αναλογίαν, απόφαση της 29ης Ιουλίου 2019, Fashion ID, C‑40/17, EU:C:2019:629, σκέψη 74).
74 Εν προκειμένω, πρέπει να γίνει διάκριση μεταξύ, αφενός, της επεξεργασίας δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται από τα μέλη της IAB Europe, ήτοι από τους παρόχους ιστοτόπων ή εφαρμογών καθώς και από τους μεσίτες δεδομένων ή, ακόμη, τις διαφημιστικές πλατφόρμες, κατά την καταχώριση σε μια TC String των προτιμήσεων ως προς τη συγκατάθεση των ενδιαφερόμενων χρηστών σύμφωνα με το πλαίσιο κανόνων που καθορίζεται στο TCF και, αφετέρου, της μεταγενέστερης επεξεργασίας δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται από τους φορείς αυτούς καθώς και από τρίτους βάσει των ανωτέρω προτιμήσεων, όπως είναι η διαβίβαση των δεδομένων αυτών σε τρίτους ή η προσφορά εξατομικευμένης διαφήμισης στους εν λόγω χρήστες.
75 Πράγματι, η μεταγενέστερη αυτή επεξεργασία, υπό την επιφύλαξη των εξακριβώσεων στις οποίες οφείλει να προβεί το αιτούν δικαστήριο, δεν φαίνεται να συνεπάγεται τη συμμετοχή της IAB Europe, οπότε πρέπει να αποκλειστεί η αυτόματη ευθύνη της εν λόγω οργάνωσης, από κοινού με τους ανωτέρω φορείς και τρίτους, ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται βάσει των περιεχόμενων σε μια TC String δεδομένων που αφορούν τις προτιμήσεις των ενδιαφερόμενων χρηστών.
76 Επομένως, μια κλαδική οργάνωση, όπως η IAB Europe, μπορεί να θεωρηθεί υπεύθυνη για μια τέτοια μεταγενέστερη επεξεργασία μόνον όταν αποδεικνύεται ότι η εν λόγω οργάνωση άσκησε επιρροή στον καθορισμό των σκοπών και του τρόπου της επεξεργασίας, πράγμα το οποίο εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει λαμβάνοντας υπόψη το σύνολο των σχετικών περιστάσεων της υπόθεσης της κύριας δίκης.
77 Κατόπιν όλων των ανωτέρω, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 4, σημείο 7, και το άρθρο 26, παράγραφος 1, του ΓΚΠΔ έχουν την έννοια ότι:
– αφενός, μια κλαδική οργάνωση, στο μέτρο που προτείνει στα μέλη της πλαίσιο κανόνων το οποίο έχει καθορίσει η ίδια σχετικά με τη συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα και το οποίο περιέχει όχι μόνον δεσμευτικούς τεχνικούς κανόνες, αλλά και κανόνες που καθορίζουν λεπτομερώς τον τρόπο αποθήκευσης και διάδοσης των δεδομένων προσωπικού χαρακτήρα που αφορούν τη συγκατάθεση αυτή, πρέπει να χαρακτηριστεί ως «από κοινού υπεύθυνος επεξεργασίας», κατά την έννοια των ανωτέρω διατάξεων, εάν, λαμβανομένων υπόψη των ιδιαίτερων περιστάσεων της συγκεκριμένης περίπτωσης, η εν λόγω οργάνωση επηρεάζει, για δικούς της σκοπούς, την επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα και καθορίζει, ως εκ τούτου, από κοινού με τα μέλη της, τους σκοπούς και τα μέσα της επεξεργασίας αυτής. Το γεγονός ότι μια τέτοια κλαδική οργάνωση δεν έχει η ίδια άμεση πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται τα μέλη της στο πλαίσιο των κανόνων αυτών δεν αποκλείει το ενδεχόμενο να έχει η εν λόγω οργάνωση την ιδιότητα του από κοινού υπευθύνου επεξεργασίας, κατά την έννοια των ανωτέρω διατάξεων·
– αφετέρου, η από κοινού ευθύνη της εν λόγω κλαδικής οργάνωσης δεν εκτείνεται αυτομάτως στη μεταγενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τρίτους, όπως είναι οι πάροχοι ιστοτόπων ή εφαρμογών, όσον αφορά τις προτιμήσεις των χρηστών για τους σκοπούς της στοχευμένης διαδικτυακής διαφήμισης.
Επί των δικαστικών εξόδων
78 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (τέταρτο τμήμα) αποφαίνεται:
1) Το άρθρο 4, σημείο 1, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχει την έννοια ότι:
συμβολοσειρά αποτελούμενη από συνδυασμό γραμμάτων και χαρακτήρων, όπως η TC String (Transparency and Consent String), η οποία περιέχει τις προτιμήσεις ενός χρήστη του διαδικτύου ή εφαρμογής σχετικά με τη συγκατάθεση του χρήστη αυτού στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούν από παρόχους ιστοτόπων ή εφαρμογών καθώς και από μεσίτες τέτοιων δεδομένων και από διαφημιστικές πλατφόρμες, συνιστά δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ανωτέρω διάταξης στο μέτρο που η εν λόγω συμβολοσειρά, όταν μπορεί, με εύλογα μέσα, να συνδεθεί με αναγνωριστικό στοιχείο ταυτότητας, όπως είναι ιδίως η διεύθυνση IP της συσκευής του χρήστη, καθιστά δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων. Υπό τις συνθήκες αυτές, το γεγονός ότι, χωρίς εξωτερική συμβολή, μια κλαδική οργάνωση η οποία έχει στην κατοχή της τη συμβολοσειρά δεν μπορεί ούτε να έχει πρόσβαση στα δεδομένα που επεξεργάζονται τα μέλη της στο πλαίσιο των κανόνων που αυτή έχει θεσπίσει ούτε να συνδυάσει τη συμβολοσειρά με άλλα στοιχεία δεν αποκλείει να συνιστά η εν λόγω συμβολοσειρά δεδομένο προσωπικού χαρακτήρα κατά την έννοια της ανωτέρω διάταξης.
2) Το άρθρο 4, σημείο 7, και το άρθρο 26, παράγραφος 1, του κανονισμού 2016/679
έχουν την έννοια ότι:
– αφενός, μια κλαδική οργάνωση, στο μέτρο που προτείνει στα μέλη της πλαίσιο κανόνων το οποίο έχει καθορίσει η ίδια σχετικά με τη συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα και το οποίο περιέχει όχι μόνον δεσμευτικούς τεχνικούς κανόνες, αλλά και κανόνες που καθορίζουν λεπτομερώς τον τρόπο αποθήκευσης και διάδοσης των δεδομένων προσωπικού χαρακτήρα που αφορούν τη συγκατάθεση αυτή, πρέπει να χαρακτηριστεί ως «από κοινού υπεύθυνος επεξεργασίας», κατά την έννοια των ανωτέρω διατάξεων, εάν, λαμβανομένων υπόψη των ιδιαίτερων περιστάσεων της συγκεκριμένης περίπτωσης, η εν λόγω οργάνωση επηρεάζει, για δικούς της σκοπούς, την επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα και καθορίζει, ως εκ τούτου, από κοινού με τα μέλη της, τους σκοπούς και τα μέσα της επεξεργασίας αυτής. Το γεγονός ότι μια τέτοια κλαδική οργάνωση δεν έχει η ίδια άμεση πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται τα μέλη της στο πλαίσιο των κανόνων αυτών δεν αποκλείει το ενδεχόμενο να έχει η εν λόγω οργάνωση την ιδιότητα του από κοινού υπευθύνου επεξεργασίας, κατά την έννοια των ανωτέρω διατάξεων·
– αφετέρου, η από κοινού ευθύνη της εν λόγω κλαδικής οργάνωσης δεν εκτείνεται αυτομάτως στη μεταγενέστερη επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τρίτους, όπως είναι οι πάροχοι ιστοτόπων ή εφαρμογών, όσον αφορά τις προτιμήσεις των χρηστών για τους σκοπούς της στοχευμένης διαδικτυακής διαφήμισης.
(υπογραφές)