In het arrest van het Hof van Justitie van de Europese Unie (“het Hof”) in de zaak van IAB Europe tegen de Belgische Gegevensbeschermingsautoriteit (“GBA”) stonden twee prejudiciële vragen centraal (1). Over het antwoord van het Hof op de eerste prejudiciële vraag, of een Transparency and Consent String (“TC-string”) een persoonsgegeven is in de zin van de Algemene Verordening Gegevensbescherming (“AVG”), schreven wij een eerste blog . Het antwoord van het Hof op tweede prejudiciële vraag, of een normerende sectororganisatie als (gezamenlijk) verwerkingsverantwoordelijke moet worden gekwalificeerd, staat in dit blog centraal.
IAB Europe is een in België gevestigde sectororganisatie (een vereniging zonder winstoogmerk) voor digitale reclame en marketing in Europa. Zij heeft een Transparency and Consent Framework (“TCF”) ontwikkeld dat gebruikt wordt bij de real time verkoop en aankoop van online gepersonaliseerde advertentieruimte op basis van het zogenaamde OpenRTB-protocol (RTB staat voor real time bidding). Het TCF is een standaard die bestaat uit richtsnoeren, instructies, technische specificaties, protocollen en contractuele verplichtingen die zowel aanbieders van een internetsite of applicatie als gegevensmakelaars of reclameplatformen in staat zouden moeten stellen om rechtmatig (in overeenstemming met de AVG) persoonsgegevens van gebruikers van een internetsite of applicatie te verwerken. Onderdeel van het TCF is het Consent Management Platform (“CMP”) door middel waarvan betrokkenen hun toestemmingen en bezwaren kunnen uiten, die vervolgens worden opgeslagen in de TC-string. Vanaf 2019 ontvangt de GBA diverse klachten uit verschillende landen en in februari 2022 oordeelt (2) de geschillenkamer van de GBA dat IAB Europe voor de verwerking van de persoonsgegevens in de TC-string verwerkingsverantwoordelijke is en in die hoedanigheid de AVG heeft overtreden, wat IAB Europe op een boete van € 250.000 komt te staan. IAB Europe komt onder andere tegen de kwalificatie van verwerkingsverantwoordelijke op bij het hof van beroep Brussel, welk hof als verwijzende rechter de prejudiciële vragen in deze procedure stelt.
De tweede prejudiciële vraag geeft antwoord op de vraag of artikel 4, punt 7, AVG, zo moet worden uitgelegd dat [1] een sectororganisatie die haar leden een door haar opgestelde standaard (inclusief bindende technische regels en voorschriften over hoe persoonsgegevens moeten worden opgeslagen en verspreid) aanbiedt, dient te worden aangemerkt als „verwerkingsverantwoordelijke”, en of het voor het antwoord op deze vraag van belang is of die sectororganisatie zelf rechtstreeks toegang heeft tot de persoonsgegevens die haar leden binnen die standaard verwerken en [2] de eventuele gezamenlijke verantwoordelijkheid van die sectororganisatie zich automatisch uitstrekt tot latere verwerkingen van persoonsgegevens door derden – zoals aanbieders van internetsites of applicaties – wat de voorkeuren van gebruikers met het oog op gerichte online reclame betreft.
Het Hof toetst concreet of IAB Europe – gelet op de bijzondere omstandigheden van het geval – voor eigen doeleinden invloed uitoefent op de verwerking van onder andere de TC-string (persoonsgegevens) en (daardoor) samen met anderen het doel van en de middelen voor die verwerking vaststelt.
Doel
Het Hof stelt – onder voorbehoud van de verificaties die de verwijzende rechter moet verrichten – vast dat het TCF er in wezen op is gericht de verkoop en aankoop van advertentieruimte op het internet via online veiling te bevorderen en rechtmatig, namelijk in overeenstemming met de AVG, mogelijk te maken. Daarom kan volgens het Hof worden aangenomen dat IAB Europe voor eigen doeleinden invloed uitoefent op de verwerkingen van persoonsgegevens die in het hoofdgeding aan de orde zijn en daardoor samen met haar leden het doel van die verwerkingen vaststelt.
Middelen
Het Hof stelt – op basis van het dossier en wederom onder voorbehoud van de verificaties die de verwijzende rechter moet verrichten – vast dat het TCF een standaard is die leden van IAB Europe worden geacht te aanvaarden, als voorwaarde voor lidmaatschap van de vereniging. Leeft een lid van IAB Europe de regels van het TCF niet na, dan kan IAB Europe het betreffende lid schorsen vanwege niet-naleving. Dit schorsingsbesluit kan er vervolgens toe leiden dat het betrokken lid wordt uitgesloten van het TCF en zich bijgevolg niet meer kan beroepen op de AVG-conformiteitswaarborg die het TCF geacht wordt te bieden. Bovendien bevat het TCF zeer precieze technische specificaties over de registratie en verwerking van voorkeuren van betrokkenen om een TC-string te genereren, over inhoud, opslag en het delen van de TC-string en regels over het kunnen raadplegen van in de TC-string opgeslagen voorkeuren, bezwaren en toestemmingen door verschillende bij het TCF betrokken partijen. Uit vorenstaande blijkt volgens het Hof dat IAB Europe voor eigen doeleinden invloed uitoefent op de verwerkingen van persoonsgegevens en aldus samen met haar leden de middelen voor die verwerkingen vaststelt. IAB Europe moet daarom als gezamenlijke verwerkingsverantwoordelijke in de zin van artikel 4, punt 7 en artikel 26 lid 1 AVG worden aangemerkt.
Geen toegang tot persoonsgegevens
Met verwijzing naar het Hof-arrest Jehovan todistajat uit 2018, merkt het Hof op dat de omstandigheid dat IAB Europe zelf geen rechtstreekse toegang heeft tot de TC-strings en de persoonsgegevens die haar leden binnen het TCF verwerken, er niet aan in de wegstaat dat IAB Europe als (gezamenlijke) verwerkingsverantwoordelijke wordt aangemerkt.
(Geen) automatische gezamenlijke verantwoordelijke latere verwerkingen
Het Hof oordeelt verder dat gezamenlijke verwerkingsverantwoordelijkheid zich niet automatisch uitstrekt tot de latere verwerkingen van persoonsgegevens door derden (aanbieders van internetsites of applicaties en gegevensmakelaars of reclameplatforms). Volgens het Hof is, onder voorbehoud van verificatie door de verwijzende rechter, IAB Europe alleen betrokken bij de verwerking van persoonsgegevens door haar leden (aanbieders van internetsites of applicaties en gegevensmakelaars of reclameplatforms) bij de opslag van toestemmingsvoorkeuren van betrokkenen in de TC-string volgens de TCF-standaard en niet bij de verwerking van persoonsgegevens die ondernemingen en derden later op basis van die voorkeuren verrichten (bijvoorbeeld door doorzending van die gegevens aan derden of door het aanbieden van gepersonaliseerde advertenties). De gezamenlijke verwerkingsverantwoordelijkheid van de TC-strings binnen het TCF betekent dus niet (automatisch) ook gezamenlijke verwerkingsverantwoordelijkheid voor latere verwerkingen van persoonsgegevens door derden van de voorkeuren van betrokkenen met het oog op gerichte online reclame.
Uit eerdere Hof-arresten (Wirtschaftsakademie Schleswig-Holstein, Jehovan todistajat, Fashion ID) viel al af te leiden dat de lat om te spreken van gezamenlijke verwerkingsverantwoordelijkheid laag ligt. Dit arrest past in die lijn van jurisprudentie. Bovendien is de beantwoording gezien in het licht van het waarborgen van een hoog niveau van bescherming niet verwonderlijk.
De invloed van IAB Europe op het bepalen van de middelen is, uitgaande van de feiten in het arrest, evident. IAB Europe creëerde een standaard (het TCF) en gaf zeer specifieke technische specificaties en regels over het genereren en gebruiken van de persoonsgegevens (onder andere de TC-string). Daardoor bepaalde IAB Europe duidelijk de wezenlijke middelen (3) en aldus ‘het hoe’ van de verwerking. Door de wezenlijke middelen te bepalen kreeg IAB Europe een privacy rechtelijke rol en ontsteeg zij bovendien de rol van verwerker. IAB Europe moest, alleen al door het bepalen van de wezenlijke middelen, dus wel kwalificeren als verwerkingsverantwoordelijke.
Daar komt bij dat IAB Europe volgens het Hof voor eigen doeleinden invloed uitoefende op het vaststellen van het doel van gegevensverwerking. Hoewel het Hof aan die vaststelling weinig woorden vuilmaakt – wat jammer is voor de praktijk en in het bijzonder voor sectororganisaties – is dit oordeel van het Hof gelet op de feiten in deze zaak op zich wel te volgen. Als sectororganisatie is het van levensbelang om optimaal dienstbaar te zijn aan de leden. Aan deze dienstbaarheid wordt immers het eigen bestaansrecht ontleend. Een manier is de standaard in de betreffende sector te ontwikkelen en er voor te zorgen dat die standaard (afdwingbaar) wordt nageleefd. Zo ontstaat een win-winsituatie: de sectororganisatie is dienstbaar aan haar leden en versterkt daarmee tegelijkertijd haar bestaansrecht. Hieruit volgt een (al dan niet bescheiden) eigen belang van IAB Europe dat – onder voorbehoud van verificatie door de verwijzende rechter – volgens het Hof voldoende is om te concluderen dat IAB Europe voor eigen doeleinden invloed uitoefent op de verwerking. Het is echter nog wel de vraag of de verwijzende rechter tot dezelfde conclusie komt. Bovendien roept het arrest de vraag op of een eigen belang van een sectororganisatie als zodanig al voldoende is voor de vaststelling dat ‘voor eigen doeleinden’ invloed wordt uitgeoefend, of dat er (toch) sprake moet zijn van een aanzienlijke mate van eigen belang bij de sectororganisatie, en waar in de praktijk de grens dan ligt. Wordt (hopelijk) vervolgd.
Tegelijkertijd handelde IAB Europe natuurlijk niet alleen: het succes van het TCF valt of staat bij het aantal gebruikers daarvan en bij de betrokkenheid van de relevante en verschillende bij real time bidding betrokken partijen. Daarmee is de gezamenlijkheid gegeven, zij het dat deze gezamenlijke verwerkingsverantwoordelijkheid van IAB Europe geen gezamenlijke verantwoordelijk- en aansprakelijkheid voor alle bewerkingen in de keten betekent.
Voor sectororganisaties en brancheverenigingen kan deze uitspraak (verstrekkende) gevolgen hebben. Het is belangrijk om als sectororganisatie bij reeds bestaande en toekomstige verwerkingen stil te staan bij de eigen invloed op een gegevensverwerking (die kan bestaan uit verschillende stadia en tal van bewerkingen). Het als sectororganisatie ‘voor eigen doeleinden invloed uitoefenen’ op de vaststelling van het doel van een gegevensverwerking zal indachtig dit arrest mogelijk relatief snel aangenomen worden. Het aannemen van invloed op het vaststellen van de middelen hangt echter erg af van de feiten. Wat verder relevant lijkt te zijn is of er sprake is van een lidmaatschapsverplichting die, bij niet-naleving, nadelige gevolgen kan hebben voor het lid.
Indien er sprake is van gezamenlijke verwerkingsverantwoordelijkheid betekent dit dat de sectororganisatie moet voldaan aan de verplichtingen uit de AVG die gelden voor verwerkingsverantwoordelijken. Bovendien moet worden voldaan aan de verplichtingen uit artikel 26 AVG, op grond waarvan een gezamenlijke regeling tussen de betrokken gezamenlijk verwerkingsverantwoordelijken moet worden vastgelegd. De wezenlijke inhoud van die regeling moet vervolgens aan betrokkenen bekend worden gemaakt.
Hoewel in de praktijk relatief veel weerstand bestaat tegen de privacy rechtelijke rol van gezamenlijke verwerkingsverantwoordelijke – wat indachtig de gezamenlijke verantwoordelijkheid en hoofdelijke aansprakelijkheid op zich niet vreemd is – kunnen veel bezwaren worden weggenomen door een goede onderlinge regeling. Daarin is het dan in ieder geval van groot belang de verschillende stadia en bewerkingen per stadium van de gegevensverwerking af te bakenen. Dit komt de transparantie tegenover betrokkenen ten goede en leidt – als het goed is – bij de gezamenlijk verwerkingsverantwoordelijken tot consensus over de mate van betrokkenheid, verantwoordelijkheid en de daarmee gepaard gaande (aanvaarding van) aansprakelijkheid.
(1) ECLI:EU:C:2024:214.
(2) https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-21-2022.pdf
(3) “Wezenlijke middelen” zijn middelen die nauw verband houden met het doel en de reikwijdte van de verwerking, zoals het soort persoonsgegevens dat wordt verwerkt (“welke gegevens worden verwerkt?”), de duur van de verwerking (“hoelang worden zij verwerkt?”), de categorieën ontvangers (“wie heeft daartoe toegang?”) en de categorieën betrokkenen (“van wie worden persoonsgegevens worden verwerkt?”). Richtsnoeren 7/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, European Data Protection Board, 7 juli 2021, randnummer 40.