Hova vezethet egy “Tetszik” modul elhelyezése? Meddig mehet el a Facebook és egy vállalat az adatkezelés területén? Adatkereskedelem, Európai Uniós Irányelvek, s azok értelmezése, méghozzá az Európai Bíróságtól.
Az Európai Unióban a 2016-ban elfogadott Általános Adatvédelmi Rendelet (közismertebb nevén a GDPR) átfogóan szabályozza a személyes adatok kezelésének és továbbításának legfontosabb követelményeit. Az uniós jogi norma megszületésére éppen egy, a cikk témáját képező esethez kapcsolódó ügy, az első Maximillian Schrems Ítélet meghozatala után került sor (azóta már két ezt követő ügyben is döntött a az Európai Unió Bírósága, legutóbb 2020. július 16-án). Ezekben az ügyekben a Facebook Ireland Ltd. (a továbbiakban: Facebook) az európai felhasználók személyes adatait továbbította egy, Európai Unión kívüli, harmadik országba, amely nem állta ki a személyes önrendelkezési alapjog, valamint az uniós követelmények próbáját immáron másodszor sem. E cikk azonban egy másik ügyet vesz górcső alá, amely szintén a Facebookhoz kapcsolódik adatvédelmi szempontból. Ez az ügy nem más, mint a Fashion ID GmbH & Co.KG kontra Verbraucherzentrale NRW eV (a továbbiakban: Fashion ID).
A cikk tárgyát képező ügy tényállása dióhéjban az alábbiak szerint foglalható össze: a Fashion ID egy német online divatruha-értékesítő vállalkozás, amely elhelyezte honlapján a Facebook közösségi oldal által biztosított „Tetszik” kiegészítő modult, amely valójában a Facebook által tömegesen alkalmazott „Tetszik” gombot jeleníti meg az egyes honlapokon. Ez azzal járt, hogy
ha egy látogató a Fashion ID weboldalát megtekintette, személyes adatait (úgy, mint IP címét, illetve böngészési eseményeit) automatikusan továbbították a Facebook számára, tekintet nélkül arra, hogy az értintett rákattintott-e a „Tetszik” gombra, illetve, hogy a felhasználó rendelkezik-e egyáltalán Facebook fiókkal.
Egy német fogyasztóvédelmi egyesület, a Verbraucherzentrale NRW emiatt bírósághoz fordult, keresetében kifogásolva, hogy az adatok gyűjtésére és továbbítására, egyrészt az érintettek tudomása nélkül, másrészt az előírt tájékoztatási kötelezettség megsértésével került sor. Az eljáró düsseldorfi bíróság az ügyre vonatkozóan a 95/46/EK irányelv, valamint a GDPR rendelkezéseinek értelmezését kérte az Európai Unió Bíróságától. A Bíróság az eljárás során az irányelv rendelkezéseit alkalmazta, annak ellenére, hogy 2018. május 25-én hatályukat vesztették, azokat más jogszabály (a GDPR) előírásai váltották fel. A ma már nem hatályos jogszabály alkalmazására azért került sor, mert ahogyan a Bíróság fogalmazott döntésében „[a]z alapügyre azonban tényállásának időpontjára tekintettel az irányelvet kell alkalmazni.” [3. bek.]
A német bíróság előterjesztésében az alábbi kérdésekkel kapcsolatban kérte az EUB-tól az uniós jog értelmezését:
- Lehetséges-e a fogyasztók érdekében eljáró non-profit szervezetek (fogyasztóvédelmi egyesületek) számára, hogy fellépjenek a fogyasztói érdekek védelmében a 95/46/EK irányelv alapján?
- A Fashion ID, amely a Facebook Tetszik gomb-ját elhelyezte a honlapján, adatkezelőnek minősül-e a 95/46/EK irányelv 2. cikkének d) pontja szerint?
- Az előző kérdésre adott nemleges válasz esetén, a 95/46/EK irányelv lényegében kizárja-e, adatkezelőnek nem minősülő harmadik fél [azaz Fashion ID] polgári jogi felelősségre vonását, aki létrehozza az adatkezelési művelet okát anélkül, hogy befolyásolhatná azt?
- Kinek a „jogos érdekétől” függ a 95/46/EK irányelv 7. cikkének f) pontja szerint elvégzendő mérlegelés?
- Kinek a részére kell megadni a 95/46/EK irányelv 7. cikkének a) pontja, valamint 2. cikkének h) pontja szerinti hozzájárulást?
- A 95/46/EK irányelv 10. cikke szerinti tájékoztatási kötelezettség azt a honlapfenntartót [azaz Fashion ID-t] is terheli, aki harmadik fél tartalmára hivatkozik, és ezzel okot teremt a személyes adatok harmadik fél általi kezelésére?
Az első kérdésben a Fashion ID és a Facebook azzal érvelt, hogy a 95/46/EK irányelv értelmében egy fogyasztói érdekvédelmi egyesület számára nem megengedett a fogyasztókkal szembeni jogsértés elleni fellépés adatvédelmi területen, mivel az Irányelv teljes mértékben harmonizálta a nemzeti adatvédelmi rendelkezéseket, ennél fogva minden, az Irányelvben kifejezetten nem szabályozott bíróság előtti igényérvényesítést ki kell zárni. Az Európai Unió Bírósága ezt az érvelést nem tartotta elfogadhatónak. A Bíróság álláspontja szerint az említett Irányelv egyetlen rendelkezése sem kötelezi vagy jogosítja fel kifejezetten a tagállamokat arra, hogy a nemzeti jogukban biztosítsák az egyesületek vagy más civil szervezetek számára annak lehetőségét, hogy a természetes személyt vagy személyeket bírósági eljárásban képviseljenek, vagy, hogy önállóan bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben. Ezzel szemben a Bíróság megállapította, hogy ebből nem következik, hogy a 95/46/EK irányelvvel ellentétes lenne az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy az ilyen jogsértés feltételezett elkövetőjével szemben bírósághoz forduljanak. Az ilyen rendelkezés nem sérti az Irányelv célkitűzéseit, hanem éppen ezzel ellenkezőleg, kifejezetten hozzájárul ahhoz, hogy e célokat elérjék. [48. bek.]
A második kérdés tekintetében az Európai Unió Bírósága megállapította, hogy a Fashion ID és a Facebook közös adatkezelőnek minősülnek az adatok gyűjtése, valamint továbbítás általi közlése tekintetében. Az EUB fenntartotta korábbi álláspontját, hogy az adatkezelő fogalmát tágan kell értelmezni, ezáltal könnyen válhat bármely szervezet a személyes adatok kezelőjévé, azt a célt szolgálva, hogy az érintettek hatékony és teljes védelme biztosított legyen. Az EUB ítéletében – korábbi gyakorlatával összhangban – kimondta, hogy „annak, hogy ugyanazon adatkezelés tekintetében több szereplő e rendelkezés értelmében együttes felelősséget viseljen, nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz” [69. bek.]. Emellett a Bíróság azt is leszögezte, hogy ez nem jelenti, hogy az adatkezelés egyes mozzanatai tekintetében a szereplőket azonos felelősség terhelné [70. bek.]. Az adatkezelői minőség, csak arra a személyesadat-kezelési műveletre vagy műveletcsoportra vonatkozik, amelyek célját, illetve módját ténylegesen az adatkezelő határozza meg [85. bek].
Az EUB úgy ítélte meg, hogy a Fashion ID és a Facebook együttesen határozták meg a személyes adatok gyűjtésének módját, amely megállapítását a következőkre alapozta: a Fashion ID a Facebook „Tetszik” gombjának a honlapján történő elhelyezésével lehetőséget biztosított a Facebook számára, hogy személyes adatokat szerezzen meg a honlapra látogatóktól, amelyre a honlap megtekintésének időpontjával nyílik lehetősége, függetlenül attól, hogy a látogatók tagjai‑e a Facebook közösségi hálózatnak, vagy hogy rákattintottak‑e a Facebook „Tetszik” gombra és, hogy tudomásuk van‑e erről a műveletről [75. bek.]. A Fashion ID pedig „a közösségi modulnak a honlapján történő elhelyezésével döntően az említett modul szolgáltatója, vagyis a Facebook Ireland javára befolyásolja az említett honlap látogatóira vonatkozó személyes adatok gyűjtését és továbbítás általi közlését, amelyekre az említett modul elhelyezése nélkül nem kerülne sor” [78. bek.].
A Bíróság továbbá amellett foglalt állást, hogy a Fashion ID illetve a Facebook együttesen határozták meg a személyes adatok gyűjtésének célját is. A cél meghatározásának együttessége abból következik a Bíróság szerint, hogy a Facebook „Tetszik” gomb saját a honlapján történő elhelyezése lehetővé teszi a Fashion ID számára az általa forgalmazott áruk reklámozásának optimalizálását azáltal, hogy láthatóbbá teszi azokat a Facebook közösségi hálózatán, amikor a honlapjának látogatója rákattint az említett gombra.
A Fashion ID vélhetően azért működik közre az adatgyűjtésben és továbbításban, hogy ezáltal a hatékonyabb reklámozásból üzleti előnyökhöz jusson,
„mivel ezeket az adatkezelési műveleteket mind a Fashion ID, mind pedig a Facebook Ireland gazdasági érdekében végzik, az utóbbi számára pedig az tekinthető a Fashion ID‑nak nyújtott előny ellenértékének, hogy ezekkel az adatokkal saját kereskedelmi célokból rendelkezhet” [80. bek.].
A Bíróság összességében tehát azt a megállapítást tette, hogy „a Fashion ID‑hoz hasonló olyan honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, ˙[…] adatkezelőnek minősíthető. Az adatkezelői minőség azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen ő határozza meg, azaz a szóban forgó adatok gyűjtésére és továbbítás általi közlésére” [85. bek.]. A Bíróság Ítéletében ezzel szemben kiemelte, hogy a Fashion ID nem minősíthető adatkezelőnek a személyes adatok továbbítását követően, azaz a Facebook által utóbb végzett adatkezelési műveletek tekintetében [77. bek.]. Ugyanakkor, ha a fentiek szerinti üzleti kapcsolat áll fenn a Fashion ID és a Facebook között, akkor joggal feltehetjük a kérdést: nem valószínűsíthetjük-e azt, hogy előbbi igen is tudja befolyásolni az adatok kezelését, legalább a cél tekintetében.
Az EUB a harmadik kérdés tekintetében megállapította, hogy „[a] második kérdésre adott válaszra tekintettel a harmadik kérdésre nem szükséges válaszolni” [86. bek.]. Tette ezt azért mert, a fentiek alapján megállapítható a közös adatkezelői minőség, ezért a felvetett polgári jogi felelősségnél jelentősebb kötelezettségek és felelősség terhelik az adatkezelés kapcsán a Fashion ID-t.
A jogos érdek kérdésében a Bíróság azt a választ adta, hogy mind a két szereplőnek, jelesül a Fashion ID-nak, mint a honlap üzemeltetőjének és a Facebook-nak, mint a közösségi modul szolgáltatójának, esetében fenn kell állnia a modul elhelyezéséhez kapcsolódóan egy jogos érdeknek, ahhoz, hogy jogszerűnek lehessen minősíteni a személyes adatok gyűjtését, illetve továbbítását, egyszerűbben szólva kezelését. Az adatkezelés jellegéből fakadóan ez az adatkezelési jogalap a legalkalmasabb a műveletek megalapozására. Ha a közös adatkezelők erre a jogalapra építik az adatkezelésüket, a jogszerű adatkezeléshez alapvető fontosságú lesz a jogos érdek jogszerűségének, szükségességének és arányosságának bizonyítása, amely érdekmérlegelési teszt készítésével lehetséges [97. bek.]
Azzal, hogy a Fashion ID honlap üzemeltetője elhelyezte weblapján a Facebook modult, az adatkezeléshez kapcsolódó tájékoztatási kötelezettség, valamint az adatkezelés jogszerűségét megalapozó hozzájárulás beszerzésének kötelezettsége is őt terhelné. Utóbbi kötelezettség kikerülhető az érdekmérlegelés jogalapjának alkalmazásával. A tájékoztatási- és a hozzájárulás beszerzési kötelezettség alapvetően abból következik, hogy az adatkezelési folyamat a weboldal megtekintésével indul meg. A Bíróság álláspontja ebből következően szerint nem lenne összhangban az érintettek jogainak effektív védelmével, ha annak a közös adatkezelőnek kellene beszereznie a hozzájárulást, illetve a tájékoztatást megtenni, aki csupán az adatkezelési folyamatba csak egy későbbi ponton kapcsolódik be. A hozzájárulásnak azonban csak arra az adatkezelési műveletre kell vonatkoznia, amelynek céljait, módját ténylegesen az adott adatkezelő határozza meg, amely ebben az ügyben az adatok gyűjtését, és továbbítás általi közlését foglalja magába. Így értelemszerűen a Fashion ID-t terheli az ehhez kapcsolódó tájékoztatási kötelezettség is, ez azonban a jogos érdekből történő adatkezelés esetében is így van [101-103. bek.]. A hozzájárulás beszerzésének és a tájékoztatási kötelezettségnek azonban csak azokra az adatkezelésekre kell vonatkoznia, amelynek céljait és módját ténylegesen az adott adatkezelő határozza meg, tehát sem az azt esetlegesen megelőző, vagy az azt követő adatkezelések esetében e kötelezettség nem a plug-in-t elhelyező weboldal üzemeltetőt terhelik [102. és 105. bek.].
A Bíróság a 95/46 irányelv alapján járt el, és hozott döntés, viszont megállapításai a GDPR értelmében is alkalmazhatóak, ugyanis az irányelv és a rendelet használt fogalomrendszer lényegében megegyezik. Különbség lehet, hogy utóbbi jobban kifejti a közös adatkezelésre vonatkozó szabályokat a 26. cikkben, így a GDPR hatályba lépését követően a honlap üzemeltetőknek és a „Tetszik” gombhoz hasonló modulok szolgáltatóinak a rendelet rendelkezéseire is tekintettel kell lenniük. Ebből kifolyólag, és a EUB kvázi precedens ítélkezési rendszerének köszönhetően az ügyben hozott döntésnek kihatása lehet a GDPR hatálya alá tartozó ügyekre.
Álláspontom szerint a döntés helyénvalóan, a fogyasztók személyes adatainak védelme érdekében hoz rendelkezéseket, és ennek megfelelően értelmezi az Irányelv és a GDPR rendelkezéseit a közös adatkezelők felelősségét illetően. Az internet világában, a felhasználók személyes adatainak védelme, az adatkezelés biztonságossága, az adatokkal való visszaélések megakadályozása kiemelt jelentőségű, különösen a multinacionális óriás cégek vonatkozásában, akikkel szemben a felhasználók kiszolgáltatott helyzetben vannak.
A döntés jelentős hatást gyakorolhat a honlap-üzemeltetők és a közösségi média szolgáltatók, valamint egyéb harmadik szereplők viszonyára (pl. online marketing- és hirdetési piac szereplőire, szinte minden online kereskedelmi tevékenységet folytatóra) és az adatkezelési műveletek megvalósíthatóságára. Ezen túlmenően is fontos tanulsága az ügynek, az adatkezelő fogalmának bíróság általi széles értelmezése és a közös adatkezelői szerepkör feltételeinek megállapítása. Számos olyan helyzet fordulhat elő a jövőben, ahol annak megítélése, hogy az adatkezelés módjának és céljának együttes meghatározására került-e sor, a Fashion ID-ügyben is alkalmazott szempontok alapján történhet. A GDPR szabályai alapján a közös adatkezelők között a GDPR 26. cikkének megfelelő megállapodásoknak kell születniük, illetve biztosítani kell a szükséges tájékoztatást az érintettek felé.
Ahogy az a vizsgált ügyből és a Bíróság döntéséből kitűnik, annak az adatkezelőnek kötelessége a tájékoztatást megadni, aki közvetlenül kapcsolatba kerül az érintettel, legyen az akár – a Fashion ID-hez hasonlóan – a honlap üzemeltetője, akár az adatkezelés más szereplője.
A közös adatkezelői megállapodásban a feleknek meg kell egyezniük az adatvédelmi jog szerinti kötelezettség teljesítésért fennálló kötelezettségeik teljesítésének módjáról, ilyen különösen az érintettek jogainak gyakorlásával kapcsolatos feladatok, valamint a tájékoztatási kötelezettség is. Emellett kiemelést érdemel, hogy a közös adatkezelők egymás közötti felelősségének megoszlását is rendezniük kell. Nagy jelentősége van e megállapodásnak, mivel a közös adatkezelők felelősségének pontos megállapításával, elkerülhetőek az olyan szituációk, amelyben az egyik adatkezelők olyan művelet miatt vonják felelősségre, amelyet saját maga tényleges nem, vagy csak nagyon csekély mértékben befolyásolt. Ezáltal, amennyiben valaki saját webáruházat üzemeltet, vagy más szolgáltatást nyújt online, és a Facebook „Tetszik” gombot, vagy más hasonló plug-int szeretne az oldalon elhelyezni, annak komoly lépéseket kell tennie az adatkezelés jogszerűségének biztosítása érdekében.
A cikk az Óriás Nándor Szakkollégium „Jog és Technológia” Munkacsoportjának műhelyében készült. Amennyiben adatvédelmi tanácsadásra lenne szüksége különösen az online kereskedelem és online szolgáltatások kérdéskörében, vegye fel velünk a kapcsolatot a info@dataprotectionsolutions.hu e-mail címen.
Puskás Tamás, szakkollégista, Óriás Nándor Szakkollégium
Irodalomjegyzék Európai Unió Bíróság: Felhasznált jogszabályok: Felhasznált irodalom: Felhasznált képek: 2. kép.: Designed by Freepik
***
Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.
