Bedrijven moeten voor het tonen van gerichte reclame op een website of applicatie eerst aan de gebruiker toestemming vragen voor het verzamelen en verwerken van gegevens - zoals locatie, leeftijd of zoekgeschiedenis - voor marketing- en reclamedoeleinden, of om die gegevens te mogren delen met bepaalde aanbieders. De gebruiker kan daar ook bezwaar tegen maken. IAB Europe is een in België gevestigde vereniging zonder winstoogmerk. Zij heeft een oplossing uitgewerkt waarvan zij stelt dat deze dat veilingsysteem in overeenstemming kan brengen met de AVG. De voorkeuren van de gebruikers worden gecodeerd en opgeslagen in een letter- en tekenreeks Transparency and Consent String (TC-string) genaamd, die wordt gedeeld met makelaars in persoonsgegevens en reclameplatformen, opdat deze weten waarvoor de gebruiker toestemming heeft verleend of waartegen hij bezwaar heeft gemaakt. Er wordt ook een cookie op het toestel van de gebruiker geplaatst. In combinatie met elkaar kunnen de TC-string en de cookie worden gekoppeld aan het IP-adres van de gebruiker. De Belgische Gegevensbeschermingsautoriteit heeft geoordeeld dat de TC-string een persoonsgegeven in de zin van de AVG vormt en dat IAB Europe als verwerkingsverantwoordelijke heeft gehandeld zonder de voorschriften van de AVG ten volle na te leven.

Arrest HvJ EU

In zijn arrest bevestigt het HvJ EU dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven in de zin van de AVG vormt. De koppeling van de in een TC-string vervatte informatie aan een identificator - zoals met name het IP-adres van het toestel van de gebruiker - kan het namelijk mogelijk maken om een profiel van deze gebruiker op te stellen en hem te identificeren. Daarnaast moet IAB Europe worden beschouwd als een ‘gezamenlijke verwerkingsverantwoordelijke’ in de zin van de AVG. Onder voorbehoud van de verificaties die de verwijzende rechter dient te verrichten, lijkt zij bij de registratie van de toestemmingsvoorkeuren van de gebruikers in een TC-string immers invloed uit te oefenen op de gegevensverwerkingen, en samen met haar leden zowel het doel van als de middelen voor die verwerkingen vast te stellen. IAB Europe kan echter, onverminderd een eventuele civielrechtelijke aansprakelijkheid waarin het nationale recht voorziet, niet worden geacht in de zin van de AVG verantwoordelijk te zijn voor gegevensverwerkingen die plaatsvinden na de registratie van de toestemmingsvoorkeuren van de gebruikers in een TC-string, tenzij kan worden aangetoond dat zij invloed heeft uitgeoefend op de vaststelling van het doel van die latere verwerkingen en van de wijze waarop deze worden verricht. Het HvJ EU verklaart voor recht:

1. Artikel 4, punt 1, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moet aldus worden uitgelegd dat een letter- en tekenreeks als de TC-string (Transparency and Consent String), die de voorkeuren van een internetgebruiker of een gebruiker van een applicatie bevat met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens door aanbieders van internetsites of applicaties alsook door makelaars in persoonsgegevens en reclameplatformen, een persoonsgegeven in de zin van die bepaling is aangezien deze tekenreeks het mogelijk maakt om de betrokken gebruiker te identificeren wanneer zij met redelijke middelen kan worden gekoppeld aan een identificator zoals met name het IP-adres van het toestel van die gebruiker. Dat een sectororganisatie die in het bezit is van deze tekenreeks, zonder externe medewerking geen toegang heeft tot de gegevens die haar leden binnen de door haar opgestelde standaard verwerken, en dat zij die tekenreeks evenmin kan koppelen aan andere gegevens, staat er dan ook niet aan in de weg dat die tekenreeks een persoonsgegeven in de zin van voornoemde bepaling is.
2. Artikel 4, punt 7, en artikel 26, lid 1, van verordening 2016/679 moeten aldus worden uitgelegd dat een sectororganisatie die haar leden een door haar opgestelde standaard aanbiedt die betrekking heeft op de toestemming voor de verwerking van persoonsgegevens en die behalve bindende technische regels ook voorschriften bevat waarbij gedetailleerd is bepaald hoe de persoonsgegevens met betrekking tot die toestemming moeten worden opgeslagen en verspreid, dient te worden aangemerkt als ‘gezamenlijke verwerkingsverantwoordelijke’ in de zin van die bepalingen, indien zij gelet op de specifieke omstandigheden van het geval voor eigen doeleinden invloed uitoefent op de betreffende verwerking van persoonsgegevens en aldus samen met haar leden het doel van en de middelen voor die verwerking vaststelt. Dat een dergelijke sectororganisatie niet zelf rechtstreeks toegang heeft tot de persoonsgegevens die haar leden binnen die standaard verwerken, staat er niet aan in de weg dat zij de hoedanigheid van gezamenlijke verwerkingsverantwoordelijke in de zin van voornoemde bepalingen heeft; en dat de gezamenlijke verantwoordelijkheid van die sectororganisatie zich niet automatisch uitstrekt tot latere verwerkingen van persoonsgegevens door derden – zoals aanbieders van internetsites of applicaties – wat de voorkeuren van gebruikers met het oog op gerichte online reclame betreft.

ECLI:EU:C:2024:214

Bron: www.curia.europa.eu