C-604/22 IAB Europe
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 17 november 2022 Schriftelijke opmerkingen: 3 januari 2023
Trefwoorden: AVG, verwerkingsverantwoordelijke, persoonsgegevens
Onderwerp:
Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (AVG)
Feiten:
Sinds 2019 heeft de Gegevensbeschermingsautoriteit (GBA) bepaalde klachten ontvangen die gericht waren tegen Interactive Advertising Bureau Europe (IAB Europe). De klachten hadden betrekking op de overeenstemming van het zogenaamde Transparency & Consent Framework (TCF) met de AVG. Het TCF, dat door IAB Europe is ontwikkeld, heeft tot doel bij te dragen tot de naleving van de AVG door organisaties die vertrouwen op het OpenRTB-protocol. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor "Real Time Bidding", d.w.z. de ogenblikkelijke, geautomatiseerde online veiling van gebruikersprofielen voor het verkopen en het aankopen van advertentieruimte op het internet. Wanneer gebruikers voor het eerst een website of applicatie bezoeken, verschijnt een interface (een Consent Management platform of CMP) waar ze hun toestemming kunnen geven voor het verzamelen en delen van hun persoonsgegevens, of bezwaar kunnen maken tegen verschillende soorten van verwerking op basis van de gerechtvaardigde belangen van adtech-verkopers. het TCF vergemakkelijkt het vastleggen, via het CMP, van de voorkeuren van de gebruikers. Deze voorkeuren worden dan gecodeerd en opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt. De Geschillenkamer van de GBA oordeelt in de beslissing van 02-02-2022 dat IAB Europe als verwerkingsverantwoordelijke optreedt met betrekking tot de registratie van het toestemmingssignaal, de bezwaren en de voorkeuren van de individuele gebruikers door middel van een unieke Transparency and Consent (TC) String, die volgens de Geschillenkamer gekoppeld is aan een identificeerbare gebruiker. IAB Europe betwist dit.
Overweging:
In onderhavig dossier stellen zich voorafgaandelijk in essentie de volgende vragen. Allereest de vraag of de TC String al dan niet in combinatie met een IP-adres een persoonsgegeven is voor IAB Europe. Overweging 30 AVG verduidelijkt dat natuurlijke personen ook aan online-identificatoren kunnen worden gekoppeld, zoals deze worden teruggevonden in IP-adressen en identificatiecookies. IAB Europe stelt – samengevat – dat: a. niet zij, maar enkel de andere deelnemers de TC String zouden kunnen combineren met een IP adres om er een persoonsgegeven van te maken; b. de TC String niet uniek voor een gebruiker is; c. zij zelf geen wettelijke toegang heeft tot de persoonsgegevens die binnen deze standaard door haar leden worden verwerkt. De tweede vraag is of IAB Europe een gezamenlijke verwerkingsverantwoordelijke is. Het staat niet vast of IAB Europe voor de verwerking van persoonsgegevens binnen het TCF (in het bijzonder de TC String) als verwerkingsverantwoordelijke moet worden gekwalificeerd (hetgeen IAB Europe nog steeds betwist), en de klagers en de GBA suggereren het Marktenhof om over dit punt ook een prejudiciële vraag te stellen aan het Hof. De bestreden beslissing weerspiegelt immers de inzichten van verschillende nationale toezichthouders maar het Hof heeft nog niet de gelegenheid gehad om zich over deze nieuwe en ingrijpende technologie uit te spreken.
Prejudiciële vragen:
1. "a) Moet artikel 4.1 van verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, gelezen in samenhang met de artikelen en 8 van het Handvest van de grondrechten van de Europese Unie, in die zin uitgelegd worden dat een tekenreeks die de voorkeuren van een internetgebruiker in verband met de verwerking van zijn persoonsgegevens op gestructureerde en machine-leesbare manier capteert, een persoonsgegeven in de zin van de voormelde bepaling vormt ten aanzien van (1) een sectororganisatie die aan haar leden een standaard ter beschikking stelt waarbij zij hen voorschrijft op welke wijze die tekenreeks praktisch en technisch gegenereerd, opgeslagen en/of verspreid moet worden, en (2) de partijen die op hun websites of in hun apps die standaard geïmplementeerd hebben en op die manier dus toegang hebben tot die tekenreeks?
b) Maakt het daarbij een verschil uit als de implementatie van de standaard inhoudt dat deze tekenreeks samen met een IP-adres beschikbaar is?
c) Leidt het antwoord op vraag a) + b) tot een andere conclusie indien deze normerende sectororganisatie zelf geen wettelijke toegang heeft tot de persoonsgegevens die binnen deze standaard door haar leden worden verwerkt?"
2. "a) Moeten de artikelen 4.7) en 24.1) van verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, gelezen in samenhang met de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie, aldus worden uitgelegd dat een normerende sectororganisatie als verwerkingsverantwoordelijke moet worden gekwalificeerd, wanneer zij aan haar leden een standaard voor het beheer van toestemming aanbiedt die naast een bindend technisch kader voorschriften bevat waarin gedetailleerd wordt bepaald hoe deze toestemmingsgegevens, die persoonsgegevens uitmaken, opgeslagen en verspreid moeten worden?
b) Leidt het antwoord op vraag a) tot een andere conclusie indien deze sectororganisatie zelf geen wettelijke toegang heeft tot de persoonsgegevens die binnen deze standaard door haar leden worden verwerkt?
c) indien de normerende sectororganisatie als verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijke voor de verwerking van de voorkeuren van Internetgebruikers [moet] worden aangeduid, strekt die (gezamenlijke) verantwoordelijkheid van de normerende sectororganisatie zich dan ook automatisch uit naar de daaropvolgende verwerkingen door derden waarvoor de voorkeuren van de internetgebruikers werd[en] bekomen, zoals gerichte online reclame door uitgevers en vendors?
Aangehaalde (recente) jurisprudentie:
Specifiek beleidsterrein: JenV