GDPR

Adatvédelem mindenkinek / Data protection for everyone

A közös adatkezelés lesz a divat?

2019. augusztus 16. 11:30 - poklaszlo

Az Európai Bíróság Fashion ID-ügyben hozott ítélete

Július végén hirdetett ítéletet az Európai Bíróság a Fashion ID-ügy néven elhíresült ügyben (C-40/17. sz.), amely az adatkezelő fogalmának értelmezésével és a közös adatkezelés kérdésével foglalkozott. Az alapvetően tisztázandó kérdést az jelentette, hogy a weboldal üzemeltetőjének és a Facebooknak miként alakul a szerepe a Facebook "Tetszik" ("Like") gombjának elhelyezése és a "Tetszik" gomb használatához kapcsolódó adatkezelések tekintetében. 

Emlékezetes, hogy tavaly nyáron a C-210/16. sz., Wirtschaftsakademie Schleswig‑Holstein-ügyben a Facebook rajongói oldalak (fan page) kapcsán hozott a Bíróság olyan ítéletet, amely kimondta, hogy a rajongói oldal üzemeltetője és a Facebook közös adatkezelőnek minősülnek: "az „adatkezelő” [...] fogalma kiterjed a valamely közösségi hálózaton fenntartott rajongói oldal adminisztrátorára.

Az ügy

A Fashion ID egy online divatruha‑értékesítő vállalkozás, amely elhelyezte honlapján a Facebook által biztosított "Tetszik" kiegészítő modult (egyszerűbben fogalmazva: a "Like" gombot). "Ha a honlap üzemeltetője ilyen harmadik félhez tartozó tartalmakat kíván megjeleníteni, akkor honlapján a külső tartalomra mutató hivatkozást helyez el. Amikor az említett honlap látogatójának böngészője ilyen hivatkozást talál, lekéri a külső tartalmat, és a kívánt helyen megjeleníti azt a honlapon. Ehhez a böngésző továbbítja a külső szolgáltató szerverére az említett látogató számítógépének IP‑címét és a böngésző műszaki adatait ahhoz, hogy a szerver megállapíthassa, milyen formátumban kell erre a címre rendelkezésre bocsátani a tartalmat. A böngésző ezek mellett a kért tartalomról is küld információkat. A honlapján külső tartalmat kínáló honlap‑üzemeltető nem tudja befolyásolni azt, hogy a böngésző milyen adatokat továbbít, és hogy a külső szolgáltató mit csinál ezekkel az adatokkal, például hogy tárolja és felhasználja‑e azokat." (lásd ítélet 26. pont) 

A Facebook "Like" használata esetén, "[...] ha egy látogató megtekinti a Fashion ID honlapját, akkor – abból következően, hogy a honlapon fent van az említett gomb – a személyes adatait továbbítják a Facebook Irelandnek. Ez a továbbítás az említett látogató tudomása nélkül megy végbe, függetlenül attól, hogy tagja‑e a Facebook közösségi hálózatnak, vagy hogy rákattintott‑e a Facebook „Tetszik” gombra." (lásd ítélet 27. pont) 

Az ügyben - annak tisztázásán túl, hogy közhasznú szervezetek felléphetnek-e az érintettek érdekei védelmében - a feltett kérdések alapvetően arra vonatkoztak, hogy a Fashion ID‑hoz hasonló olyan honlap‑üzemeltető, aki személyes adatok gyűjtését lehetővé tévő közösségi modult helyez el a honlapon, "adatkezelőnek minősíthető‑e, ha nincs befolyása az említett modul szolgáltatójának továbbított adatok kezelésére." A kérdések kiterjedtek arra is, hogy amennyiben a Fashion ID‑t nem lehet adatkezelőnek minősíteni, akkor ellentétes-e az irányelvvel (az ügy még GDPR alkalmazandóvá válása előtt indult, így a 95/46 irányelv értelmezésén alapul) az olyan nemzeti szabályozás, amely gyakorlatilag harmadik személy polgári jogi felelősségét írja elő a személyes adatokhoz fűződő jogok megsértése esetén (a kérdést előterjesztő bíróság szerint ugyanis a német nemzeti jog szerint meg lehet állapítani a Fashion ID mint „zavaró” („Störer”) felelősségét). Kérdés tett fel az előterjesztő bíróság arra vonatkozóan is, hogy kinek a jogos érdekétől függ az elvégzendő érdekmérlegelés. Továbbá tisztázandó volt, hogy kinek a részére kell megadni a hozzájárulást és kit terhel a tájékoztatási kötelezettség (az kiterjed-e a honlap fenntartójára is, aki harmadik fél tartalmát beillesztette). 

Adatkezelőnek minősül-e a honlap üzemeltetője a "Tetszik" gomb elhelyezése kapcsán?

Az adatkezelői minőség vizsgálata kapcsán a Bíróság rögzítette, hogy az „adatkezelő” fogalmának tág meghatározása azt a célt szolgálja, hogy ezáltal biztosított legyen az érintettek hatékony és teljes védelme. 

Szintén leszögezte a Bíróság (a korábbi gyakorlatával összhangban), hogy "[...] annak, hogy ugyanazon adatkezelés tekintetében több szereplő e rendelkezés értelmében együttes felelősséget viseljen, nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz" (lásd ítélet 69. pont). Ez viszont nem jelenti azt, hogy ugyanazon adatkezelés tekintetében az egyes szereplőkre azonos felelősség hárulna (lásd ítélet 70. pont).

Az adatkezelési műveletek módjának meghatározása körében, a Bíróság szerint - természetesen még a kérdéseket előterjesztő bíróság további vizsgálataitól függően - azt kell megállapítani (ítélet 79. pont), hogy

[...] a Facebook Ireland és a Fashion ID együttesen határozzák meg a Fashion ID honlapjának látogatóira vonatkozó személyes adatok gyűjtésének és továbbítás általi közlésének alapjául szolgáló műveletek módját.

A fenti következtetést a Bíróság arra alapozta, hogy 

  • a Fashion ID a Facebook „Tetszik” gombnak a honlapján történő elhelyezésével lehetőséget biztosított a Facebook Ireland számára arra, hogy személyes adatokat szerezzen meg a honlapjára látogatóktól, és erre a honlap megtekintésének időpontjával nyílik lehetőség, függetlenül attól, hogy a látogatók tagjai‑e a Facebook közösségi hálózatnak, hogy rákattintottak‑e a Facebook „Tetszik” gombra, vagy hogy tudomásuk van‑e erről a műveletről (ítélet 75. pont);
  • azok az adatkezelési műveletek, amelyek céljait és módját a Facebook Irelanddel együtt a Fashion ID határozhatja meg, adatkezelésnek minősülnek (a Fashion ID honlapjára látogatókra vonatkozó személyes adatok gyűjtése és továbbítása);
  • a további adatkezelési műveletek tekintetében viszont - a Bíróság álláspontja szerint - az adatkezelés céljait és módját már kizárólag a Facebook határozza meg és  a Fashion ID e műveletek tekintetében nem minősíthető adatkezelőnek;
  • a Fashion ID annak ellenére helyezte el honlapján a Facebook Ireland által a honlap‑üzemeltetők rendelkezésére bocsátott Facebook „Tetszik” gombot, hogy tisztában volt azzal, hogy olyan eszközről van szó, amely a honlap látogatóira vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére szolgál, függetlenül attól, hogy a látogatók tagjai‑e a Facebook közösségi hálózatnak (ítélet 77. pont);
  • a Fashion ID pedig "a közösségi modulnak a honlapján történő elhelyezésével döntően az említett modul szolgáltatója, vagyis a Facebook Ireland javára befolyásolja az említett honlap látogatóira vonatkozó személyes adatok gyűjtését és továbbítás általi közlését, amelyekre az említett modul elhelyezése nélkül nem kerülne sor" (ítélet 78. pont).

Az adatkezelés céljának meghatározása körében, a Bíróság szerint megállapítható (ítélet 81. pont), hogy

[...] a Fashion ID és a Facebook Ireland együttesen határozza meg az alapügy tárgyát képező személyes adatok gyűjtésének és továbbítás általi közlésének céljait.

A cél meghatározásának együttessége abból következik a Bíróság szerint, hogy a Facebook „Tetszik” gombjának a Fashion ID által a honlapján történő elhelyezése lehetővé teszi a Fashion ID számára az árui reklámozásának optimalizálását azáltal, hogy láthatóbbá teszi azokat a Facebook közösségi hálózatán, amikor a honlapjának látogatója rákattint az említett gombra. A Fashion ID vélhetően azért működik közre az adatgyűjtésben és -továbbításban, hogy ezáltal a hatékonyabb reklámozásból üzleti előnyökhöz jusson, "mivel ezeket az adatkezelési műveleteket mind a Fashion ID, mind pedig a Facebook Ireland gazdasági érdekében végzik, az utóbbi számára pedig az tekinthető a Fashion ID‑nak nyújtott előny ellenértékének, hogy ezekkel az adatokkal saját kereskedelmi célokból rendelkezhet." (ítélet 80. pont)

Összefoglalóan tehát megállapítja a Bíróság, hogy "a Fashion ID‑hoz hasonló olyan honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, [...] adatkezelőnek minősíthető." Az adatkezelői minőség csak arra az adatkezelési "műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen ő határozza meg, azaz a szóban forgó adatok gyűjtésére és továbbítás általi közlésére." (ítélet 85. pont)

A jogos érdeket firtató kérdésre azt a választ adta a Bíróság, hogy mind a honlap‑üzemeltető, mind a közösségi modul szolgáltatója esetében is fenn kell állnia a modul elhelyezéséhez kapcsolódóan a jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősíteni az adatkezelést (ítélet 97. pont).

A modul elhelyezése útján megvalósuló adatkezelés kapcsán a honlap‑üzemeltetőnél merül fel a szükséges hozzájárulás megszerzésének, illetve az előzetes tájékoztatás biztosításának a kötelezettsége azon adatkezelési műveletre vagy műveletcsoportra nézve, amelynek céljait és módját ő határozza meg (ítélet 106. pont).

Mi a helyzet a GDPR alapján?

Az ítélet még a 95/46 irányelv értelmezésén alapul, ugyanakkor a megállapításai a GDPR alapján is alkalmazhatóak, mivel az irányelv és a Rendelet fogalmai lényegében megegyező tartalommal bírnak. A GDPR az irányelvhez képest némileg jobban kibontja a közös adatkezelésre vonatkozó szabályokat (lásd a Rendelet 26. cikkét), így a honlap üzemeltetőknek és a közösségi modulok szolgáltatóinak (a Facebook mellett szóba jöhet pl. Twitter, LinkedIn is) ezekre a rendelkezésekre is figyelemmel kell eljárniuk. 

A GDPR mellett a formálódó e-Privacy Rendeletnek is szerepe lehet annak meghatározásában, hogy a Fashion ID-ügyhöz hasonló helyzetekben, milyen kötelezettsége merül fel az adatkezelőknek. Az e-Privacy Rendelet elfogadásáig a 2009/136/EK irányelvvel módosított 2002/58/EK irányelv (elektronikus hírközlési adatvédelmi irányelv) szabályai alapján elfogadott nemzeti jogszabályok rendezik, hogy a felhasználó végberendezésén milyen módon tárolhatók adatok és azokhoz miként férhetnek hozzá a szolgáltatók. (A sütik alkalmazása az utóbbi időben több adatvédelmi hatóság célkeresztjébe került, elsősorban a francia és brit hatóságok ezzel kapcsolatban kiadott iránymutatásai kaptak figyelmet.)

Milyen hatása lehet az ítéletnek? 

A Fashion ID-ügyben hozott ítélet (figyelemmel a Wirtschaftsakademie Schleswig‑Holstein-ügyben tett megállapításokra is) jelentős hatást gyakorolhat a honlap-üzemeltetők és a közösségi média szolgáltatók, valamint egyéb harmadik feles szereplők viszonyára (pl. online hirdetési piac szereplői). Ezen túlmenően is fontos tanulsága az ügynek az adatkezelő fogalmának széles értelmezése és a közös adatkezelői szerepkör megállapítása. Számos olyan helyzet fordulhat elő a jövőben, ahol annak megítélése, hogy az adatkezelés módjának és céljának együttes meghatározására került-e sor, a Fashion ID-ügyben is alkalmazott szempontok alapján történhet.

A GDPR 26. cikkének megfelelő megállapodásoknak kell születniük a közös adatkezelők között, és az érintettek felé a szükséges tájékoztatást is biztosítani kell (mégpedig elsősorban annak a félnek, aki kapcsolatba kerül az érintettekkel, azaz a Fashion ID-ügyhöz hasonló esetekben a honlap üzemetetőjének). A közös adatkezelőket terhelő kötelezettségeknek történő megfelelés kapcsán segítséget nyújthat a Baden-Württemberg Adatvédelmi Hatósága által kidolgozott megállapodás és a közös adatkezelésre vonatkozó tájékoztató minta is.   

Szólj hozzá!
Címkék: portfolioblogger adatkezelő Facebook Európai Unió Németország Európai Bíróság HU Fashion ID Rendelet közös adatkezelés

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr1615002768

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása