Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w marcu 2024 r. wydał dwa wyroki, które potwierdzają, że dane osobowe to pojęcie, które należy definiować szeroko. W pierwszym z omawianych wyroków (C-479/22 P) Trybunał orzekł, że ochrona danych osobowych dotyczy także osoby, którą może zidentyfikować tylko określona grupa osób na podstawie posiadanych przez nich dodatkowych informacji (identyfikacja pośrednia). Z kolei drugi wyrok (C‑604/22) dotyczy sposobu zbierania zgód marketingowych na reklamę śledzącą przy okazji informowania o zbieraniu plików cookies.
Dane osobowe a identyfikacja pośrednia
Okoliczności powstania sporu
Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) opublikował 5 maja 2020 r. na swojej stronie komunikat prasowy. Dotyczył on raportu końcowego z prowadzonego dochodzenia w sprawie ewentualnych nieprawidłowości lub ewentualnych nadużyć finansowych w toku realizacji projektu. Chodziło o rozliczenie projektu naukowego prowadzonego przez badaczkę uniwersytecką, obywatelkę grecką.
OLAF w komunikacie prasowym nie podawał danych identyfikacyjnych osób związanych z projektem, ale używał określeń, takich jak:
- „projektu badawczego prowadzonego pod nadzorem obiecującej młodej naukowczyni, której ojciec pracował we wspomnianym uniwersytecie”;
- „Projekt obejmował sieć ponad 40 badaczy z całego świata, znajdującą się pod kierownictwem greckiej naukowczyni”;
- „główna naukowczyni otworzyła rachunki bankowe wykorzystywane do dokonywania „płatności” na rzecz badaczy międzynarodowych, przy czym była ona współwłaścicielką tych rachunków”.
W związku z tym komunikatem badaczka, obywatelka grecka, wniosła skargę o zasądzenie od Komisji zadośćuczynienia za krzywdę, jaką miał jej wyrządzić sporny komunikat prasowy do Sądu Unii Europejskiej. Sąd oddalił w całości wniesioną przez nią skargę, a od wyroku złożono odwołanie do Trybunału Sprawiedliwości Unii Europejskiej.
Pośrednia identyfikacja osoby, której dane osobowe dotyczą
Komunikat prasowy opublikowany przez OLAF nie zawierał danych osobowych, które bezpośrednio pozwoliły zidentyfikować osobę, której dane dotyczą. Zawierał jednak informacje, które rozpatrywane łącznie mogły pośrednio do tego doprowadzić.
TSUE potwierdził, że sporny komunikat prasowy zawiera informacje, które mogą umożliwić identyfikację Skarżącej. Dane te to m.in.: jej płeć, obywatelstwo, działalność jej ojca, kwotę dotacji na projekt naukowy i lokalizację geograficzną podmiotu goszczącego ten projekt naukowy. Dane te rozpatrywane łącznie zawierają informacje umożliwiające identyfikację osoby, której dotyczy ten komunikat prasowy. W szczególności przez osoby pracujące w tej samej dziedzinie naukowej i znające przebieg jej kariery zawodowej.
Nie miało także znaczenia, że osoba, która tworzyła ten komunikat nie potrafiłaby zidentyfikować tej osoby na podstawie posiadanych danych. Wystarczy, że osoby, które przeczytają ten komunikat będą mogły to zrobić. Bez wątpienia inni badacze z tej uczelni będą wiedzieli, kogo dotyczy komunikat.
TSUE potwierdził też, że nie ma konieczności udowadniania, że konkretna osoba zidentyfikowała Skarżącą na podstawie komunikatu prasowego. Wystarczy wykazać, że osoba jest możliwa do zidentyfikowania na podstawie ujawnionych danych osobowych.
Jakie konsekwencje ma orzeczenie TSUE?
Orzeczenie TSUE potwierdza, że należy zawsze uwzględnić ochronę danych osobowych w komunikatach, w których ujawnia się dane osobowe. Niezależnie bowiem od tego, czy podajemy wprost dane osoby, o której informacje ujawniamy czy opisowo próbujemy wskazać o kogo chodzi, to dane te podlegają ochronie RODO. Wystarczy, że na podstawie treści komunikatu ktoś może zidentyfikować osobę, np. jego współpracownicy, pracodawcy, kontrahenci, grupa znajomych. W tym przypadku nie ma przestrzeni na rozwiązania pośrednie. Można albo nie ujawniać danych osoby wcale, albo ujawnić, uwzględniając zasady ochrony danych osobowych i inne przepisy prawa cywilnego.
Przeczytaj więcej artykułów z kategorii RODO (klik).
Zbieranie zgód marketingowych na reklamę śledzącą
Okoliczności powstania sporu
Orzeczenie TSUE zostało wydane na skutek wniosku o wydanie orzeczenia w trybie prejudycjalnym w sprawie między stowarzyszeniem IAB Europe a belgijskim organem ochrony danych osobowych.
IAB Europe, stowarzyszenie firm z branży reklamy interaktywnej stworzyło system Transparency & Consent Framework (TCF). TCF miał umożliwić działanie giełd reklamowych zgodnie z RODO. Na stronach, które dołączyły do tego systemu pojawia się baner “pop-up” z żądaniem „zgody” na śledzenie i przekazywanie danych tzw. zaufanym partnerom IAB Europe. Zgoda pozwalała na śledzenie aktywności użytkownika i wyświetlanie mu reklam reklamodawcy o zbieżnym profilu, który wygrał aukcję na giełdzie reklamowej. Partnerami IAB Europe są m.in. “giganci”, jak Google, Amazon, Microsoft.
W orzeczeniu analizowano konkretne narzędzie z tego systemu. Chodziło o wykorzystanie narzędzia TC String, które ma na celu wspieranie i umożliwianie sprzedaży i zakupu powierzchni reklamowej w Internecie przez reklamodawców i pośredników. Chodzi o to, aby reklamodawca mógł wykupić powierzchnię reklamową na stronie, którą właśnie ogląda użytkownik potencjalne zainteresowany jego produktami. Zainteresowanie użytkownika ocenia się na podstawie historii jego aktywności w Internecie.
TC String to ciąg składający się z kombinacji liter i znaków. Zawiera informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych.
TSUE zajął się w tym przypadku dwoma zagadnieniami:
- czy ciąg składający się z kombinacji liter i znaków, taki jak TC String stanowi dane osobowe w rozumieniu RODO;
- czy IAB Europe ma status administratora danych, jeśli nie posiada dostępu do danych z TC String. (Dostęp mają poszczególni reklamodawcy i brokerzy reklamowi). W tym pytaniu chodziło także o odpowiedzialność za naruszenie ochrony danych na różnych etapach przetwarzania danych za pośrednictwem takiego narzędzia.
Pośrednia identyfikacja osoby, której dane osobowe dotyczą w reklamie behawioralnej
TSUE potwierdził, że ciąg składający się z kombinacji liter i znaków, taki jak TC String, zawierający informacje o preferencjach użytkownika Internetu lub aplikacji odnoszących się do zgody tego użytkownika na przetwarzanie dotyczących go danych osobowych, stanowi dane osobowe w rozumieniu RODO w zakresie, w jakim umożliwia on identyfikację osoby, której dane dotyczą, tj.gdy za pomocą rozsądnie prawdopodobnych sposobów można go powiązać z identyfikatorem, takim jak w szczególności adres IP urządzenia owego użytkownika.
Zasada ta obowiązuje, nawet jeśli bez wsparcia z zewnątrz organizacja sektorowa dysponująca tym ciągiem nie może ani uzyskać dostępu do danych przetwarzanych przez jej członków zgodnie z ustanowionymi przez nią regułami, ani powiązać owego ciągu z innymi elementami.
Z kolei w drugim pytaniu organizacja sektorowi IAB Europe została uznana za współadministratora danych, ale tylko w ograniczonym zakresie. Chodzi o zakres, w jakim proponuje ona swoim członkom ustanowiony przez siebie zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, zawierający nie tylko wiążące reguły techniczne, lecz również reguły szczegółowo określające warunki przechowywania i rozpowszechniania danych osobowych dotyczących tej zgody.
TSUE podkreślił jednak, że „wspólna odpowiedzialność wspomnianej organizacji sektorowej nie rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej” .
Jakie konsekwencje ma orzeczenie TSUE?
TSUE jednoznacznie potwierdziło, że narzędzie reklamowe, śledzące aktywność użytkownika, nawet w powiązaniu z jego zgodą czy danymi IP są traktowane jako dane osobowe i należy im się ochrona zgodna z przepisami RODO. Administratorzy tych danych natomiast ponoszą odpowiedzialność za przetwarzanie tych danych zgodnie z RODO. Reklamodawcy muszą to uwzględnić w swojej dokumentacji dotyczącej RODO, w tym w publikowanych klauzulach informacyjnych.
Wydaje się, że zbieranie tych danych za pośrednictwem bannerów “pop-up” powinno być bardziej transparentne dla użytkownika. Przykładowym rozwiązaniem byłoby np. umożliwienie wyboru grup reklamodawców, którym dane mogą być udostępnione.
Chcesz upewnić się, czy w Twojej sytuacji właściwie chronisz dane osobowe? A może potrzebujesz zlecić audyt i wdrożenie RODO w Twojej firmie?
Umów się z nami na e-spotkanie (klik) lub skorzystaj z formularza kontaktowego