Dne 7. března 2024 vydal čtvrtý senát Soudního dvora Evropské Unie (dále jen „SDEU“) rozsudek ve věci C-604/22 IAB Europe v Gegevensbeschermingsautoriteit (dále jen „IAB Europe“), ve kterém se zabýval výkladem pojmů „osobní údaj“ a „společní správci“ ve smyslu nařízení GDPR.

SDEU vyložil oba pojmy expanzivně, v důsledku čehož by správci a zpracovatelé osobních údajů měli přehodnotit své interní postupy pro zpracovávání osobních údajů. V tomto článku Vám představíme technologicky zajímavé podrobnosti případu IAB Europe a představíme hlavní praktické dopady rozsudku na správce a zpracovatele osobních údajů.

Okolnosti případu

Neziskové sdružení IAB Europe vydává rámcový soubor pravidel závazný pro své členy, jehož deklarovaným cílem je zajištění zákonnosti zpracovávání osobních údajů uživatelů internetových stránek nebo aplikací provozovaných členy sdružení. Dotčená pravidla obsahují též konkrétní technická řešení, specifikace a protokoly k implementaci v rámci prodeje a nákupu reklamního prostoru na internetu.

Jedním z technických řešení poskytovaných sdružením IAB Europe je tzv. Transparency and Consent String (dále jen „TC String“) – řetězec složený z kombinace písmen a znaků, představující zakódované preference uživatelů webových stránek či aplikací ohledně zpracovávání jejich osobních údajů. Každý TC String se zakódovanými preferencemi je následně sdílen se zprostředkovateli osobních údajů a reklamními platformami účastnícími se protokolu OpenRTB – systému, prostřednictvím kterého podnikatelé v reálném čase obchodují s reklamním prostorem na internetu. Na základě informací obsažených v TC Stringu a obchodu realizovaného prostřednictvím protokolu OpenRTB se pak uživateli, jehož údaje jsou v dotčeném konkrétním TC Stringu zakódovány, zobrazí či nezobrazí konkrétní reklama.

Právě v souvislosti s fungováním TC Stringu se sdružení IAB Europe dostalo do hledáčku belgického úřadu pro ochranu údajů, který IAB Europe uložil řadu nápravných opatření. IAB se proti rozhodnutí úřadu odvolalo a v rámci soudního řízení vyvstala otázka, zda lze TC Stringy považovat za osobní údaje a IAB Europe za správce těchto údajů.

Posouzení SDEU – osobní údaje

• IAB Europe v řízení o předběžné otázce argumentovala tím, že TC String nemůže být osobním údajem, protože se jedná jen o technické řešení. Sám o sobě neobsahuje údaje umožňující přímou identifikaci subjektu údajů.
• SDEU rozhodl, že TC String je osobním údajem z důvodu, že jeho spojením s jiným údajem či identifikátorem (např. IP adresou uživatele) bude možné dosáhnout identifikace subjektu údajů.
• Skutečnost, že samotné IAB Europe dotčenými jinými údaji či identifikátory nedisponovalo, SDEU považoval za irelevantní.

Posouzení SDEU – správa osobních údajů

• IAB Europe mělo za to, že není správcem osobních údajů, jelikož samo pouze poskytovalo svým členům technické řešení a pravidla pro jeho implementaci.
• SDEU rozhodl, že IAB Europe je společným správcem osobních údajů z důvodu, že pro své vlastní účely vykonávalo vliv na operace zpracování osobních údajů a společně se svými členy určovalo prostředky, které jsou základem operací s osobními údaji.

Praktické dopady

Nejakutnější praktický dopad lze očekávat na členské společnosti IAB Europe. Rozsudek má ale významný přesah nad rámec činnosti IAB Europe i nad rámec sféry online marketingu.

S ohledem na to, že osobním údajem je dle SDEU i údaj, který sám o sobě neumožňuje identifikaci subjektu údajů, ale mohl by identifikaci umožnit ve spojení s jiným údajem, je důležité, aby každý správce a zpracovatel interně vyhodnotil (i) zda takové údaje zpracovává, a (ii) zda je zpracovává zákonně.

V návaznosti na provedené interní šetření může být nezbytné:

1. Přiměřeně aktualizovat záznamy o činnostech zpracování, zejména
   • kategorie zpracovávaných osobních údajů;
   • kategorie příjemců osobních údajů;
   • zabezpečení osobních údajů.

2. Poučit osoby odpovědné za vyřizování práv subjektu údajů o tom, které údaje mohou být předmětem výkonu práv subjektu údajů dle GDPR.
3. Vyzvat obchodní partnery disponující korespondujícími údaji umožňujícími identifikaci subjektu údajů k vyhotovení ujednání společných správců.

S aktualizací GDPR dokumentace Vám rád pomůže expertní tým GT Legal.