Суд ЄС підтверджує попередню прецедентну справу щодо широкого тлумачення "персональних даних" і пропонує широку інтерпретацію "спільного контролю"

7 березня 2024 року Суд Європейського Союзу ("CJEU") виніс своє рішення у справі IAB Europe, відповідаючи на запит про попереднє рішення за статтею 267 ДФЄС від Брюссельського ринкового суду. [1] Справа обертається навколо IAB Europe's Transparency and Consent Framework ("TCF") і ретельно контролюється індустрією AdTech з тих пір, як бельгійська DPA розслідувала і згодом наклала на IAB Europe штраф у розмірі 250 000 євро за передбачувані порушення правил GDPR та електронної конфіденційності ще в 2022 році. [2]

Також читайте:

Особисті дані. Суд ЄС прийняв рішення щодо можливого звільнення від відповідальності контролера даних у випадку порушення прав третіми особами

Особисті дані. Суд ЄС прийняв рішення щодо кваліфікації "контролером даних" офіційного журналу держави-члена

Особисті дані. Суд ЄС постановив рішення про накладення адміністративно-фінансових санкцій на юридичну особу

Особисті дані. Суд щодо діяльності, яка не підпадає до сфери дії GDPR та права ЄС

Особисті дані. Суд ЄС підтвердив право зацікавіленої особи на ефективний засіб судового захисту проти наглядового органу

Це Факти

IAB Europe - це асоціація встановлення стандартів європейського рівня для екосистеми цифрового маркетингу та реклами. Ще в 2018 році, коли GDPR набув чинності, він розробив TCF як набір правил та керівних принципів, які вирішують проблеми, що виникають у GDPR та правилах електронної конфіденційності в контексті аукціонів онлайн-реклами (наприклад, торгів у режимі реального часу). Мета полягала в тому, щоб допомогти компаніям AdTech, які не мають прямої взаємодії з користувачем веб-сайту (тобто будь-якій компанії в екосистемі AdTech, яка не є видавцем веб-сайту, наприклад, рекламні мережі, біржі оголошень, платформи на стороні попиту), забезпечити, щоб згода, яку видавець веб-сайту отримав (за допомогою файлів cookie або подібних технологій), була дійсною відповідно до GDPR (тобто вільно надана, конкретна, поінформована та однозначна) і що, отже, ці компанії AdTech можуть покладатися на цю згоду для показ реклами цим користувачам відповідно до правил GDPR та електронної конфіденційності.

На технічному рівні, надмірно спрощеному, TCF використовується для запису згоди (або її відсутності) або заперечень проти покладання на законні інтереси відповідно до GDPR серед членів IAB, зберігаючи інформацію про згоди та заперечення в рядку прозорості та згоди ("рядок TC"). Рядок TC - це закодоване представлення (рядок букв і цифр) переваг користувача, яке ділиться з брокерами даних та рекламними платформами, які беруть участь у протоколі аукціону TCF, які інакше не мали б способу дізнатися, чи погодилися користувачі або заперечували проти обробки своїх персональних даних. [3]

Перше питання: Чи є рядок TC особистими даними?

CJEU тепер постановив, повторюючи своє попереднє рішення в Breyer, [4], що TC String може становити персональні дані відповідно до GDPR в тій мірі, в якій ці дані можуть бути пов'язані з ідентифікатором, таким як IP-адреса, що дозволяє (повторно) ідентифікувати суб'єкту даних. Той факт, що IAB Europe не може ні отримати доступ до даних, які обробляються її членами відповідно до правил членства, без зовнішнього внеску, а також не може об'єднати TC String з іншими факторами, не перешкоджав потенційно вважати TC String особистими даними відповідно до CJEU.[5]

Друге питання: чи виступає IAB Europe контролером даних?

По-друге, Суд вирішив, що IAB Europe, як галузева організація, що пропонує рамки правил щодо згоди на обробку персональних даних, які містять не тільки обов'язкові технічні правила, але й правила, що детально викладають заходи щодо зберігання та поширення персональних даних, слід вважати спільним контролером разом зі своїми членами, якщо і в тій мірі, в якій вона впливає на обробку "для власних цілей" і разом зі своїми членами визначає засоби, що лежать в основі таких операцій (наприклад, за допомогою технічних стандартів). У справі IAB Europe це стосується, зокрема, сприяння IAB продажу та купівлі рекламного простору серед своїх членів та дотримання правил щодо вмісту та обробки TC String. Суду також здавалося особливо актуальним, що IAB Europe може призупинити членство у разі порушення правил TC String та технічних вимог одним із своїх членів, що може призвести до виключення цього члена з TCF.

Крім того, відповідно до попередньої прецедентної прави Суду ЄС[6], Суд визнав неактуальним, що IAB Europe сама не має прямого доступу до персональних даних, що обробляються її членами. Це саме по собі не перешкоджає IAB Europe утримувати статус спільного контролера відповідно до GDPR.

Однак Суд також повторив, що спільний контролер автоматично не поширюється на подальшу обробку третіми сторонами, такими як - в цьому випадку - постачальники веб-сайтів або додатків, які додатково обробляють рядок TC після його початкового створення, якщо спільний контролер не продовжує (спільно) визначати мету та засоби цієї подальшої обробки. Це відповідає рішенню Суду за 2019 рік Fashion ID. [7] Крім того, Суд висунув думку, що існування спільного контролю "не обов'язково передбачає рівну відповідальність" різних операторів, які займаються обробкою персональних даних. Рівень відповідальності кожного окремого оператора повинен оцінюватися у світлі всіх відповідних обставин конкретного випадку, включаючи ступінь залучення різних операторів на різних етапах обробки даних або в різному ступені. Таким чином, не всі спільні контролери створені рівними.

Ключові висновки

На наш погляд, перший висновок не є новаторським. Це значною мірою підтверджує попередню прецедентну праву Суду, яка встановлює, що "персональні дані" повинні тлумачитися широко відповідно до GDPR, що означає, що стандарт для справді "анонімізованих даних" продовжує бути дуже високим. Тепер Брюссельський ринковий суд визначить, чи, на основі конкретних фактів справи IAB Europe, TC String дійсно є особистими даними.

Друга знахідка, можливо, застала більше людей зненацька. Хоча Брюссельський ринковий суд знову буде визначати, чи дійсно IAB Europe є спільним контролером щодо персональних даних, які, як стверджується, включені до TC String, експансивне тлумачення Судом концепції спільного контролю (тобто де "два або більше контролерів спільно визначають цілі та засоби обробки" (стаття 26 GDPR)) може мати більш широкі наслідки за межами галузі AdTech.

Організації, які до цього часу послідовно займали позицію, що вони не кваліфікуються як контролер даних щодо діяльності з обробки даних своїх членів, користувачів або клієнтів, можливо, доведеться переоцінити цю позицію і, виходячи з конкретних фактичних обставин, що мають відношення до них, розглянути, чи можуть вони насправді підпадати під обтяжливі зобов'язання GDPR, накладені на контролерів даних. Це може бути особливо актуальним для органів, що встановлюють стандарти, та галузевих асоціацій, активних або створених у Європі, що потенційно перешкоджає їх здатності продовжувати розробку відповідних стандартів та правил. Можливо, це може навіть охопити певних постачальників або розгортачів програмного забезпечення та інших комп'ютерних систем, включаючи тих, хто розробляє або розгортає моделі та системи ШІ, якщо буде виявлено, що вони видають "обов'язкові технічні правила" та "правила, що детально викладають механізми зберігання та поширення персональних даних", і вони фактично будуть застосовувати ці правила проти третіх сторін, які використовують свої моделі та системи для обробки персональних даних.

Навіть якщо деяку розраду можна знайти з точки зору відповідальності у підтвердженні Судом того, що спільний контроль, пов'язаний з початковим збором персональних даних, автоматично не поширюється на подальшу діяльність з обробки, що здійснюється третіми сторонами, і що не всі спільні контролери створені рівними, тягар дотримання вимог на "новознайдених спільних контролерів", тим не менш, може бути обтяжливим, оскільки ключові зобов'язання щодо законності, прозорості, безпеки даних та підзвітності спрацьовуються незалежно від "ступеня" відповідного контролю.

На нашу думку, це вивело б концепцію "спільного контролю" занадто далеко за межі її буквального значення та первісної мети, але ще належить з'ясувати, які інші примусові дії будуть вжиті, а які інші справи, що порушують подібні питання, можуть знайти свій шлях через європейські суди в найближчі місяці та роки.

Переглянути оригінальне джерело

[1] Суд ЄС, рішення від 7 березня 2024 року, IAB Europe, C-604/22, ECLI:EU:C:2024:214 (https://curia.europa.eu/juris/document/document.jsf? text=&docid=283529&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=167405).

[2] Для отримання додаткової інформації про оригінальний випадок перед бельгійським DPA див. спеціальну цільову сторінку DPA: https://www.dataprotectionauthority.be/iab-europe-held-responsible-for-a-mechanism-that-infringes-the-gdpr.

[3] Для отримання додаткової інформації відвідайте веб-сайт IAB Europe: https://iabeurope.eu/.

[4] Суд ЄС, рішення від 19 жовтня 2016 року, Брейер, C‐582/14, EU:C:2016:779, пункти 41-49 (https://curia.europa.eu/juris/document/document.jsf? text=&docid=184668&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=1303370).

[5] Підзапис 26 GDPR додатково уточнює, що "для того, щоб з'ясувати, чи є засоби, які з розумовою ймовірністю будуть використані для ідентифікації фізичної особи, слід враховувати всі об'єктивні фактори, такі як витрати та кількість часу, необхідного для ідентифікації, беручи до уваги наявну технологію на момент обробки та технологічних розробок". Це завжди вимагатиме фактомісткого, в кожному конкретному випадку розслідування, але тепер ще більш зрозуміло, що "не потрібно, щоб вся інформація, що дозволяє ідентифікувати суб'єкта даних, була в руках однієї особи" (суд Європейського суду ЄС, IAB Europe, §40).

[6] CJEU, рішення від 10 липня 2018 року, Jehovan todistajat, C‐25/17, EU:C:2018:551, пункт 69 (https://curia.europa.eu/juris/document/document.jsf? text=&docid=203822&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=1305431), і CJEU; рішення від 5 червня 2018 року, Wirtschaftsakademie Schleswig-Holstein, C‐210/16, EU:C:2018:388, пункт 38 (https://curia.europa.eu/juris/document/document.jsf? text=&docid=202543&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=1305548).

[7] CJEU, рішення від 29 липня 2019 року, Fashion ID, C‐40/17, EU:C:2019:629, пункт 74 (https://curia.europa.eu/juris/document/document.jsf? text=&docid=216555&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=1305826), як було прокоментовано в нашому попередньому дописі в блозі тут:https://www.clearycyberwatch.com/2019/08/cjeu-judgment-in-the-fashion-id-case-the-role-as-controller-under-eu-data-protection-law-of-the-website-operator-that-features-a-facebook-like-button/; Див. також Керівні принципи EDPB 07/2020 щодо концепцій контролера та процесора в GDPR (версія 2.1, прийнята 7 липня 2021 року), щодо концепції "конвергентних рішень", у параграфах 54-58 (https://www.edpb.europa.eu/system