Wanneer je als internetgebruiker een website bezoekt waarop gepersonaliseerde advertenties worden getoond, kunnen adverteerders binnen splitseconden bieden op advertentieruimte om reclame aan de internetgebruiker te laten zien. Dit wordt ook wel ‘Real Time Bidding’ genoemd. IAB Europe, een sectororganisatie voor digitale reclame en marketing in Europa, heeft het ‘Transparency and Consent Framework’ (“TCF”) ontwikkeld waarmee zij beoogde deze Real Time Bidding-praktijk in lijn te brengen met de Algemene Verordening Gegevensbescherming (“AVG”). Dit houdt onder andere in dat de cookievoorkeuren van de internetgebruiker worden opgeslagen in een Transparency and Consent string (“TC-string”). De Belgische toezichthouder, de Gegevensbeschermingsautoriteit (“GBA”), legde een boete op aan IAB Europe omdat – kort samengevat – de TC-string een persoonsgegeven is en IAB Europe als verwerkingsverantwoordelijke niet conform de AVG heeft gehandeld.
Op 7 maart 2024 oordeelde het Hof van Justitie van de Europese Unie (“ het Hof ”) in het IAB Europe/GBA-arrest in antwoord op de eerste prejudiciële vraag dat een TC-string een persoonsgegeven is in de zin van de AVG (1). In dit eerste blog wordt uiteengezet hoe het Hof tot die conclusie komt. Het antwoord op de tweede prejudiciële vraag, of een normerende sectororganisatie als (gezamenlijk) verwerkingsverantwoordelijke moet worden gekwalificeerd, staat in het tweede blog centraal.
De TC-string bestaat uit letter- en tekenreeksen waarin de voorkeuren van de internetgebruiker worden gecodeerd. Uit deze TC-string kan worden afgeleid of een internetgebruiker toestemming heeft gegeven voor, of bezwaar heeft gemaakt tegen, de verwerking van zijn/haar persoonsgegevens. Deze voorkeuren hebben betrekking op de specifieke doeleinden voor de verwerking, zoals marketing of reclame, als ook op de partijen met wie de persoonsgegevens gedeeld mogen worden.
Een persoonsgegeven betreft alle informatie over een geïdentificeerde of identificeerbare persoon (art. 4, onder 1, AVG). Daarvan is sprake wanneer informatie direct of indirect tot een natuurlijke persoon herleidbaar is. De verwijzende Belgische rechter twijfelt echter of een TC-string onder deze definitie valt. Vastgesteld is dat een TC-string samen met een specifieke cookie, gekoppeld kan worden aan het IP-adres van de internetgebruiker. IAB Europe geeft echter te kennen dat alleen haar deelnemers over de benodigde gegevens beschikken om de TC-string aan een IP-adres te koppelen. Zelf heeft zij geen toegang tot die aanvullende gegevens van haar deelnemers. De verwijzende rechter stelt aan het Hof specifiek de vraag of de TC-string (i) voor IAB Europe en (ii) voor de deelnemers gekwalificeerd kunnen worden als persoonsgegeven.
In het licht van eerder gewezen jurisprudentie van het Hof over het begrip ‘persoonsgegeven’ is het begrijpelijk dat de verwijzende rechter specifiek vraagt of de TC-string een persoonsgegeven is vanuit de positie van IAB Europe en die van haar deelnemers.
Uit het Breyer-arrest (2) volgt namelijk dat het voor het antwoord op de vraag of informatie een persoonsgegeven is niet uitmaakt dat een partij niet zelf beschikt over alle informatie die tot identificatie van een persoon kan leiden. Het gaat om het antwoord op de vraag of een partij over middelen beschikt die redelijkerwijs kunnen worden ingezet om een persoon te identificeren (3). In de Breyer-casus beschikte de aanbieder van online mediadiensten over juridische middelen om aanvullende gegevens bij de internetserviceprovider op te vragen aan de hand waarvan de internetgebruiker aan het dynamische IP-adres gekoppeld kon worden. Het dynamische IP-adres was daarom voor de aanbieder van online mediadiensten een persoonsgegeven.
Begin april 2023 oordeelde het Gerecht in het SRB/EDPS-arrest (4) dat uit het Breyer-arrest volgt dat je vanuit de positie van iedere afzonderlijke partij moet beoordelen of informatie voor die afzonderlijke partij persoonsgegevens betreft. Dat de ene partij (de ‘Single Resolution Board’, of in het Nederlands de ‘Gemeenschappelijke Afwikkelingsraad’, (“SRB”)) over (aanvullende) gegevens beschikt om een persoon te identificeren, betekent niet automatisch dat de andere partij (Deloitte) daar ook redelijkerwijs over kan beschikken. De EDPS moest van het Gerecht nader onderzoeken en onderbouwen dat Deloitte daadwerkelijk een persoon zou kunnen identificeren aan de hand van de aan haar door SRB beschikbaar gestelde informatie en gelet op de middelen die Deloitte redelijkerwijs kan inzetten om een persoon te identificeren (5).
Vervolgens oordeelde het Hof in het geschil tussen Gesamtverband Autoteile-Handel eV tegen Scania eind 2023 (6), dat een voertuigidentificatienummer (“VIN”) op zich geen persoonsgegeven is voor autofabrikanten en onafhankelijke marktdeelnemers. Het VIN wordt echter een indirect herleidbaar persoonsgegeven wanneer een partij (autofabrikant of onafhankelijke marktdeelnemer) over redelijke middelen beschikt om het VIN, in combinatie met aanvullende gegevens, te gebruiken om een natuurlijke persoon te identificeren.
Dat bij de beoordeling of een gegeven een ‘persoonsgegeven’ is rekening moet worden gehouden met de ontvangers en de redelijke middelen waarover zij beschikken om tot herleiding over te gaan, werd recent nog door het Hof bevestigd in het OC/Commissie-arrest (7). Daarin oordeelde het Hof dat bij het publiceren van gegevens in een persbericht, rekening moet worden gehouden met de vraag of lezers over middelen beschikken om die gegevens te herleiden. Het Hof acht daarbij relevant of de inhoud van het persbericht nieuwswaardig is en daarbij de lezers, en met name journalisten, ertoe aanzet om onderzoek te doen.
Terug naar de casus van IAB Europe, lijkt het Hof niet af te wijken van de lijn in de hiervoor genoemde arresten. Het Hof concludeert dat een TC-string een persoonsgegeven kan zijn omdat een gebruiker geïdentificeerd kan worden door de gegevens uit de string te koppelen aan andere gegevens, zoals het IP-adres. In de beoordeling benadrukt het Hof dat het in deze situatie niet relevant is dat IAB Europe zelf het IP-adres niet aan de TC-string zou kunnen koppelen. Evenmin is het van belang dat IAB Europe geen toegang had tot de gegevens die binnen TCF door zijn leden worden verwerkt (8). Daarmee lijkt het Hof geen belang te hechten aan het feit dat IAB Europe geen directe toegang heeft tot alle gegevens die tot identificatie kunnen leiden. Het Hof vervolgt echter dat IAB Europe zijn leden klaarblijkelijk kan verplichten om op verzoek alle informatie te verstrekken waarmee zij gebruikers kunnen identificeren van wie de gegevens zijn opgeslagen in een TC-string. Wanneer deze regels niet werden nageleefd konden de leden geschorst en uitgesloten worden van het TCF. Doordat IAB Europe dit met haar leden is overeengekomen, had zij mogelijk wel (indirect) toegang tot gegevens. Het Hof oordeelt dat dit laatste moet worden geverifieerd door de nationale rechter.
In navolging op het Breyer-arrest, wordt in het IAB Europe/GBA-arrest bevestigd dat een contractuele verplichting een middel kan zijn dat redelijkerwijs kan worden ingezet om gegevens te verkrijgen die tot identificatie kunnen leiden van een persoon. Het Hof laat echter ruimte voor de vraag wat de kwalificatie van de gegevens is voor IAB Europe wanneer de verwijzende rechter tot de conclusie komt dat IAB Europe niet zelf over de middelen beschikt die redelijkerwijs kunnen leiden tot de identificatie van een persoon. In lijn met de genoemde jurisprudentie, zou de conclusie kunnen zijn dat het voor IAB Europe in dat geval indirecte persoonsgegevens zijn. De arresten bieden handvatten om te bepalen of een gegeven een persoonsgegeven is, echter wordt het er niet eenvoudiger op.
(1) ECLI:EU:C:2024:214
(3) Van redelijke middelen was volgens het Hof in het Breyer-arrest geen sprake als identificatie op grond van de wet verboden of in de praktijk ondoenlijk was.
(5) Tegen deze uitspraak is een hogere voorziening ingesteld bij het Hof.
(6)ECLI:EU:C:2023:837
(7) ECLI:EU:C:2024:215
(8) ECLI:EU:C:2024:214, r.o. 46