RODO a systemy kodowania danych o zgodach użytkowników. TSUE w sprawie systemu IAB Europe

Czy zakodowany zbiór informacji o zgodach użytkowników udostępniany reklamodawcom to dane osobowe w rozumieniu RODO? Czy organizacja, która koduje te dane, jest administratorem danych?

TSUE na pierwsze pytanie odpowiedział twierdząco. Na drugie – że nie do końca.

7 marca 2024 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sporze IAB Europe z belgijskim organem nadzorczym Gegevensbeschermingsautoriteit. Ten stwierdził, że kodowany – dla celów świadczenia reklam – system informacji o zgodach użytkowników na przetwarzanie danych sam w sobie zawiera dane osobowe. Bowiem funkcjonuje on w połączeniu z IP użytkownika i plikami cookie. To w sumie pozwala na identyfikację danej osoby.

IAB Europe odwołała się od tej decyzji, a sąd odwoławczy skierował pytanie prejudycjalne do TSUE.

Na czym polegał problem?
IAB Europe, zrzeszający przedsiębiorstwa z sektora reklamy cyfrowej i marketingu cyfrowego, opracował system pozwalający reklamodawcom na licytowanie w czasie rzeczywistym miejsca reklamowego na stronach i w aplikacjach, które przegląda użytkownik (Real Time Bidding).

System korzysta z danych dotyczących m.in. lokalizacji, wieku, historii wyszukiwania i ostatnich zakupów użytkownika. Przekazywane są one jednak tylko wtedy, gdy użytkownik wyraził na to zgodę. Dane te są kodowane i przechowywane w Transparency and Consent String (TC String) – ciągu składającym się z kombinacji liter i znaków.

Dodatkowo to, co można zrobić z danymi osobowymi, jest szczegółowo określone w obowiązujących uczestników systemu ramach przejrzystości i zgody (Transparency & Consent, TCF). Są w nich wytyczne, instrukcje, specyfikacje techniczne, protokoły i zobowiązania umowne, których stosowanie pozwala na zgodne z prawem przetwarzanie danych osobowych użytkowników.

Zdaniem IAB Europe system jest zgodny z RODO, a samo TC String nie stanowi danych osobowych. Zatem IAB Europe nie jest takich danych administratorem.

Spór o TC String
W 2019 r. grupa organizacji to rozumowanie podważyła i wskazała, że mamy tu do czynienia  z danymi osobowymi, bo TC String w powiązaniu z umieszczanym na urządzeniu użytkownika plikiem cookie i numerem IP pozwala już człowieka zidentyfikować.

Organizacje te wniosły do krajowych organów ochrony danych osobowych skargi na IAB Europe. Była wśród nich polska Fundacja Panoptykon. Wniosła skargę do Prezesa UODO.

Ponieważ IAB Europe ma siedzibę w Belgii, wszystkie skargi były rozpatrywane tam – pod jedną sygnaturą DOS – 2019 – 01377.

Decyzja
Belgijski organ nadzorczy w decyzji z 2 lutego 2022 r. uznał, że kod TC String stanowi dane osobowe w rozumieniu RODO, a IAB jest ich administratorem.

IAB Europe musi więc – zgodnie z tą decyzją – znaleźć ważną podstawę prawną przetwarzania i udostępniania preferencji użytkownika w formie TC String. Nie może po prostu powołać się na uzasadniony interes.

Belgijski organ nakazał też IAB Europe dostosowanie operacji przetwarzania do przepisów RODO poprzez:

•zapewnienie skutecznych środków monitorowania integralności i poufności TC String,

•prowadzenie ścisłego audytu, czy organizacje, które przystąpiły do TCF, spełniają wymogi RODO,

•doprowadzenie do tego, aby niemożliwe było domyślne zaznaczenie zgody oraz autoryzacja w oparciu o uzasadniony interes,

•oraz przyjęcie jednolitego i zgodnego z RODO podejścia do informacji,
które są przekazywane użytkownikom.

IAB został również zobowiązany do:

•zaktualizowania rejestrów czynności tak, aby uwzględniały przetwarzanie danych w ramach TCF,

•przeprowadzenia oceny skutków dla ochrony danych w odniesieniu do czynności przetwarzania  w ramach TCF oraz ich wpływu na późniejsze przetwarzanie,

•dostosowania oceny skutków dla ochrony danych do przyszłych wersji bądź modyfikacji obecnej wersji TCF,

•wyznaczenia inspektora ochrony danych.

Biorąc pod uwagę skalę stwierdzonych naruszeń, belgijski organ nadzorczy nałożył na IAB Europe administracyjną karę w wysokości 250 000 EUR.

Rola UODO
Prezes UODO współpracował z belgijskim organem nadzorczym oraz pozostałymi organami nadzorczymi przy kolejnych wersjach projektu decyzji. Przesyłał też kierowane do niego stanowiska IAB Europe i IAB Polska. Komentarze i uwagi Prezesa UODO miały przede wszystkim charakter techniczny. Prezes UODO zgodził się z ustaleniami belgijskiego odpowiednika i zastosowanymi środkami zaradczymi.

Pytanie do TSUE
IAB Europe wniosła skargę na decyzję organu belgijskiego do sądu apelacyjnego w Brukseli. Ten zaś zwrócił się z pytaniami prejudycjalnymi do Trybunału Sprawiedliwości. I to właśnie na to pytanie TSUE odpowiedział w wyroku C-604/22.

TSUE potwierdził, że TC String zawiera informacje dotyczące możliwego do zidentyfikowania użytkownika, a zatem stanowi dane osobowe w rozumieniu RODO. Jeżeli bowiem informacje zawarte w TC String powiąże się z identyfikatorem, takim jak adres IP urządzenia użytkownika, mogą one umożliwić stworzenie profilu owego użytkownika i jego identyfikację.

Jednak IAB Europe nie jest administratorem tych danych, ale „współadministratorem” w rozumieniu RODO.

IAB Europe jest administratorem, bo wpływa na operacje przetwarzania danych przy zapisywaniu  w TC String informacji o preferencjach w zakresie zgody użytkowników. Ustala też wspólnie ze swoimi członkami zarówno cele tych operacji, jak i sposoby ich dokonywania.

Nie jest jednak administratorem w rozumieniu RODO, bowiem nie ma wpływu na operacje przetwarzania danych, które dzieją się już po zapisaniu w TC String informacji o zakresie zgód użytkowników.

TSUE wskazał, że IAB Europe można by uznać za administratora, gdyby udało się dowieść, że stowarzyszenie wywarło wpływ na ustalenie celów dalszych operacji i sposobów ich dokonywania.