GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az Európai Bíróság újabb Meta-ügyben hozott döntése: bajban az online hirdetési szektor?

2023. július 07. 11:30 - poklaszlo

Nagy figyelemmel kísért ügyben (C-252/21.) hozott ítéletet az Európai Bíróság július 4-én, amikor a Meta Platforms és a német versenyhatóság, a Bundeskartellamt között folyamatban lévő peres eljárásban, a düsseldorfi bíróság által feltett kérdésekben adott iránymutatást. A feltett kérdések és így az ítélet is számos, a konkrét ügyön is jóval túlmutató jelentőséggel bírnak. Az ítélet többek között érinti a nemzeti versenyhatóságok eljárását, miszerint erőfölénnyel való visszaélés vizsgálata során, a GDPR-nak való megfelelés megsértését is megállapíthatják. Ezen túlmenően a döntés az adatkezelés GDPR szerint alkalmazható jogalapjainak alkalmazhatóságát szintén alaposan vizsgálja az online hirdetések kontextusában, különös tekintettel a szerződés teljesítéséhez szükséges adatkezelésre és a jogos érdek alkalmazhatóságára, illetve a hozzájárulásra. Továbbá a különleges adatok kezelésének egyes kérdései ugyancsak terítékre kerülnek. 

Az alábbiakban az ítélet főbb megállapításait és egyes lehetséges hatásait foglalom össze röviden. 

1. Előzmények: a Bundeskartellamt Facebook-al szembeni vizsgálata

Az ügy előzményei 2016-ig nyúlnak vissza, amikor a Bundeskartellamt vizsgálatot indított a Facebookkal (azóta Meta Platforms) szemben erőfölénnyel való visszaélés miatt. Ez önmagában nem lenne meglepő, hiszen versenyjogi kérdésnek tűnik, azonban a Bundeskartellamt vizsgálatában és döntésében is kiemelt szerepet játszottak a Facebook adatkezelésének jogszerűségével, a GDPR-nak való megfeleléssel kapcsolatos megállapítások. 2019-ben meghozott döntésében a Bundeskartellamt úgy foglalt állást, hogy a Facebook adatkezelési gyakorlata, különösen a különböző szolgáltatásokkal (WhatsApp, Instagram, Oculus), illetve harmadik feles szolgáltatók honlapjáról és applikációiból származó adatainak összekapcsolása és kezelése nem felel meg a GDPR követelményeinek, és a Facebook ezirányú gyakorlata erőfölénnyel történő visszaélést valósít meg. 

A Bundeskartellamt fenti döntését természetesen bíróság előtt támadta meg a Facebook, amely során először a düsseldorfi regionális bíróság (Oberlandesgericht Düsseldorf, OGHD) hajlott arra, hogy elfogadja a Facebook keresetét és felfüggesztette a versenyhatósági határozat végrehajtását. Ezt követően a Német Szövetségi Legfelsőbb Bíróság (Bundesgerichtshof, BGH) elé került az ügy, amely elfogadhatónak tartotta a Bundeskartellamt által alkalmazott megközelítést az erőfölénnyel való visszaélés vizsgálata körében arra tekintettel, hogy a Facebook által alkalmazott eljárás a felhasználó döntési szabadságát, önrendelkezési jogát sérti. (A BGH döntés rövid magyar nyelvű összefoglalója és hatásának értékelése Dr. Pünkösty Andrástól itt olvasható.)

A Meta és a Bundeskartellamt közötti jogvitában végül a düsseldorfi bíróság előzetes döntéshozatali eljárás keretében 2021. áprilisában az Európai Bírósághoz fordult, amely a most közzé tett ítéletében adott válaszokat a feltett kérdésekre. 

2. Az Európai Bíróság ítéletének főbb megállapításai 

2.1 A nemzeti versenyhatóság adatvédelmet érintő vizsgálódása erőfölényes ügyekben 

Az egyik kulcskérdés a Bundeskartellamt vizsgálata kapcsán, hogy a nemzeti versenyhatóság egyáltalán értékelhet-e adatvédelmi kérdéseket az eljárása során, nem vonja-e el ezzel a nemzeti adatvédelmi hatóságok hatáskörét. 

A Bíróság egyértelműen úgy foglalt állást, hogy "a tagállami versenyhatóság – feltéve, hogy tiszteletben tartja a felügyeleti hatóságokkal való lojális együttműködésre vonatkozó kötelezettségét – valamely vállalkozás EUMSZ 102. cikk értelmében vett erőfölénnyel való visszaélésének vizsgálata keretében megállapíthatja, hogy e vállalkozásnak a személyes adatok kezelésére vonatkozó általános felhasználási feltételei és azok alkalmazása nem felel meg a fenti rendeletnek*, amennyiben e megállapítás szükséges az ilyen visszaélés fennállásának bizonyításához." (*azaz a GDPR-nak)

Az adatvédelmi szabályozásnak való megfelelés vizsgálatára olyan mértékben kerülhet csak sor a versenyhatóság által, amennyire ez feltétlenül szükséges az erőfölénnyel történő visszaélés vizsgálata körében

  • "[...] az, hogy az ilyen magatartás megfelel‑e vagy sem az általános adatvédelmi rendelet rendelkezéseinek, adott esetben az ügy releváns körülményei közé tartozó fontos valószínűsítő körülménynek minősülhet annak megállapítása szempontjából, hogy e magatartás a rendes versenyt meghatározó eszközök igénybevételének minősül‑e, valamint annak értékelése céljából, hogy egy bizonyos gyakorlat milyen következményekkel jár a piacra vagy a fogyasztókra nézve." (ítélet 47. pont)
  • "Ebből következik, hogy a valamely vállalkozás által egy meghatározott piacon tanúsított erőfölénnyel való visszaélés vizsgálata keretében az érintett tagállam versenyhatósága számára annak vizsgálata is szükségesnek bizonyulhat, hogy e vállalkozás magatartása megfelel‑e a versenyjog szabályaitól eltérő olyan normáknak, mint az általános adatvédelmi rendeletben előírt, a személyes adatok védelmére vonatkozó szabályok." (ítélet 48. pont)

Lényeges azonban, hogy a versenyhatóság egyrészt együttműködni köteles az érintett adatvédelmi hatósággal vagy hatóságokkal, másrészt nem vonhatja el az adatvédelmi hatóságok hatásköreit

  • "[...] sem az általános adatvédelmi rendelet, sem más uniós jogi aktus nem ír elő konkrét szabályokat a nemzeti versenyhatóság és az érintett nemzeti felügyeleti hatóságok vagy a fő felügyeleti hatóság közötti együttműködésre vonatkozóan. Ezenkívül e rendelet egyetlen rendelkezése sem tiltja meg a nemzeti versenyhatóságoknak, hogy feladataik ellátása keretében megállapítsák, hogy az erőfölényben lévő vállalkozás által végzett olyan adatkezelés, amely ezen erőfölénnyel való visszaélésnek minősülhet, nem felel meg a fenti rendeletnek" (ítélet 43. pont)
  • "Ebből következik, hogy amennyiben valamely vállalkozás EUMSZ 102. cikk értelmében vett erőfölénnyel való visszaélésének megállapítására irányuló vizsgálat keretében a nemzeti versenyhatóság úgy ítéli meg, hogy meg kell vizsgálni e vállalkozás magatartásának az általános adatvédelmi rendelet rendelkezéseivel való összeegyeztethetőségét, az említett hatóságnak ellenőriznie kell, hogy e magatartás vagy hasonló magatartás már tárgyát képezte‑e az illetékes nemzeti felügyeleti hatóság, a fő felügyeleti hatóság vagy akár a Bíróság határozatának. Ha ez az eset áll fenn, a nemzeti versenyhatóság attól nem térhet el, jóllehet szabadon vonhatja belőle a versenyjog alkalmazására vonatkozó következtetéseit." (ítélet 56. pont, kiemelés tőlem)
  • "Amennyiben e hatóságnak kétségei vannak az illetékes nemzeti felügyeleti hatóság vagy a fő felügyeleti hatóság által végzett értékelés terjedelmével kapcsolatban, ha a szóban forgó magatartást vagy az ahhoz hasonló magatartást e hatóságok egyidejűleg vizsgálják, vagy ha az említett hatóságok által végzett vizsgálat hiányában úgy ítéli meg, hogy a vállalkozás magatartása nem felel meg az általános adatvédelmi rendelet rendelkezéseinek, a nemzeti versenyhatóságnak konzultálnia kell e hatóságokkal, és együttműködésüket kell kérnie annak érdekében, hogy eloszlassa kétségeit, vagy eldöntse, hogy meg kell‑e várni az érintett felügyeleti hatóság határozatának meghozatalát, mielőtt megkezdené saját értékelésének elvégzését." (ítélet 57. pont, kiemelés tőlem)

A hatóságoknak tehát a lojális együttműködés kötelezettségére (duty of sincere cooperation) figyelemmel kell együttműködniük és a nemzeti versenyhatóság nem térhet el az illetékes nemzeti adatvédelmi felügyeleti hatóság vagy az illetékes fő felügyeleti hatóság adatvédelmi kérdéseket érintő jogértelmezésétől. Kétség esetén a versenyhatóság konzultálnia kell az érintett adatvédelmi felügyeleti hatóságokkal.

Fontos kiemelni, hogy a versenyhatóságok nem gyakorolhatják az adatvédelmi felügyeleti hatóságok GDPR szerinti hatásköreit. (Lásd az ítélet 49. pontját.)

2.2 Az egyes jogalapokat érintően tett megállapítások 

Az ítéletben a GDPR 6. cikkében szereplő valamennyi jogalap alkalmazhatósága terítékre került, ugyanakkor a szerződés teljesítésével összefüggő, a jogos érdeken és a hozzájáruláson alapuló adatkezelések körében tett megállapításokat érdemes kiemelni. Ezek nem feltétlenül jelentenek újdonságot az eddigi bírósági, illetve hatósági gyakorlattal, illetve az Európai Adatvédelmi Testület iránymutatásaival kapcsolatban, de egyrészt tovább nyomatékosítanak egyes korábbi megállapításokat, másrészt egy konkrét kontextusban vizsgálva adnak iránymutatást. 

a) Szerződés teljesítéséhez szükséges adatkezelés 

A Bíróság megerősítette, hogy ahhoz, hogy az adatkezelés a "[...] szerződés teljesítéséhez szükségesnek lehessen tekinteni, annak objektíve elengedhetetlennek kell lennie az érintettnek nyújtott szerződéses szolgáltatás szerves részét képező cél megvalósításához." Az adatkezelőnek pedig tudnia kell igazolni azt, hogy a szerződés fő célja a vizsgált adatkezelés nélkül nem teljesíthető. (ítélet 98. pont) Szintén fontos elem az adatkezelés szükségessége vizsgálata során, hogy  "[...] ne álljanak rendelkezésre más, a gyakorlatban megvalósítható és kevésbé beavatkozó jellegű megoldások." (ítélet 99. pont, kiemelés tőlem)   

Ezzel kapcsolatban érdemes felidézni az Európai Adatvédelmi Testület 2/2019. sz. iránymutatását a személyes adatoknak az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja szerinti kezeléséről az érintettek részére nyújtott online szolgáltatások összefüggésében, amely a "szükségesség" fogalmának értelmezése kapcsán leszügezi: 

"A „szükséges” kitétel értékelése magában foglalja az adatkezelés összetett, tényeken alapuló értékelését „az elérni kívánt cél és annak érdekében, hogy ez kevésbé legyen beavatkozó jellegű az ugyanazon cél eléréséhez szükséges egyéb lehetőségekhez képest”. Ha reális, kisebb beavatkozással járó alternatívák állnak rendelkezésre, akkor az adatkezelés nem „szükséges”. A 6. cikk (1) bekezdésének b) pontja nem terjed ki az olyan adatkezelésre, amely hasznos, de objektíve nem szükséges a szerződéses szolgáltatás teljesítéséhez vagy az érintett kérésére a szerződéskötést megelőző megfelelő lépések megtételéhez, még akkor sem, ha az az adatkezelő egyéb üzleti céljaihoz szükséges." (iránymutatás, 25. pont, kiemelés tőlem)

A Testület iránymutatása - többek között - hivatkozik az Európai Bíróság korábbi gyakorlatára is, amely a kevésbé beavatkozó jellegű alternatív intézkedéseket figyelembevételére irányuló követelményt kimondta pl.a C‑92/09. és C‑93/09. sz., Volker und Markus Schecke GbR és Hartmut Eifert kontra Land Hessen egyesített ügyekben is. Majd ezt az álláspontot a Bíróság megismételte a C‑13/16 sz., Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde kontra Rīgas pašvaldības SIA ‘”īgas satiksme’” ügyben. (Ezek az ügyek még a 95/46/EK irányelv alapján születtek, ugyanakkor az irányelv e tekintetben a GDPR-ban foglaltakkal lényegében megegyező szabályokat tartalmazott.)  

A Bíróság szerint  a szerződéses jogalap vizsgálata kapcsán - amennyiben a szerződés több szolgáltatásból vagy ugyanazon szolgáltatás különböző elemeiből áll, amelyek egymástól függetlenül teljesíthetők -  a GDPR 6. cikk (1) bek. b) pontja szerinti jogalap "[...] alkalmazhatóságát minden egyes szolgáltatással összefüggésben külön–külön kell értékelni." (ítélet 100. pont, kiemelés tőlem) Ennek megfelelően a Bíróság az alábbi szolgáltatáselemekkel összefüggésben végzi el ezt az értékelést: 

  • a tartalmak személyre szabása, 
  • a Meta‑csoport saját szolgáltatásainak egységes és zökkenőmentes használata.

A fenti elemek kapcsán arra jutott a Bíróság, hogy nem tűnik szükségesnek az adatkezelés ahhoz, hogy a szerződés szerinti szolgáltatást, azaz az online közösségi hálózati szolgáltatásokat kínálni tudják. (Lásd ítélet 102-104. pontok)

A szerződéses jogalap vizsgálata kapcsán érdemes utalni a Testület fent indézett iránymutatásának (2/2019. sz. iránymutatás) 3.3. pontjára, amely kifejezetten az online viselkedés alapú hirdetések céljából végzett adatkezelés tekintetében vizsgálja a "szerződés teljesítéséhez szüskéges" kitétel alkalmazhatóságát és arra jut, hogy ez nem megfelelő jogalap az online profilalkotáshoz és hirdetésekhez. Ráadásul a Testület véleménye a 29-es Cikk szerinti Munkacsoport 2014-es véleményére is hivatkozik, amely szintén ezt az álláspontot képviselte, igaz még a 95/46/EK irányelv - GDPR-ral lényegében azonos - szabályai alapján. Láthatjuk tehát, hogy a Bíróság ítélete lényegi újdonságot nem hoz, de újra megerősíti az eddig is következetes hatósági és bírósági álláspontot a "szerződés teljesítéséhez szükségesség" kapcsán, különös tekintettel az online hirdetési szektor működésére.    

b) Jogos érdek    

Az ítélet a jogos érdeken alapuló adatkezelés kapcsán röviden áttekinti az érdekmérlegelés főbb lépéseit, és megjelöl néhány kiemelt szempontot, amelyre az érdekmérlegelés során az adatkezelőnek figyelemmel kell lennie. (A Bíróság utal a korábbi gyakorlatára is, amikor a jogos érdeken alapuló adatkezelés három alapvető feltételét megjelöli: "[...] az első feltétel az adatkezelő vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítése, a második feltétel az, hogy a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, a harmadik pedig, hogy az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek az adatkezelő vagy a harmadik fél jogos érdekénél.", lásd ítélet 106. pont) A jogos érdek alapján végezhető adatkezelés kapcsán is jelentős szerepet játszik a "szükségesség" szempontjának az adott kontextusban való értékelése, figyelemmel a GDPR alapelveire is, így különösen a célhoz kötöttségre és az adattakarékosságra. (Lásd ítélet 108. pont)  

Az alábbi célok tekintetében merülhet fel a jogos érdeken alapuló adatkezelés a vizsgált esetben:

  • a hirdetések személyre szabása,
  • a hálózat biztonsága,
  • a termékek fejlesztése,
  • az illetékes bűnüldöző és büntetés‑végrehajtási szervek tájékoztatása,
  • a felhasználó kiskorúsága,
  • a társadalmi célú kutatás és innováció, valamint
  • a hirdetőknek és más szakmai partnereknek szánt, a felhasználó irányában folytatott kereskedelmi kommunikációval kapcsolatos szolgáltatások és a teljesítményük értékeléséree szolgáló elemzési eszközök nyújtása. (lásd ítélet 113. pont)

A hirdetések személyre szabása kapcsán a jogos érdeken alapuló adatkezelés alkalmazhatósága körében fontos mérlegelési szempontokra hívja fel a Bíróság a figyelmet, többek között figyelembe kell venni: 

  • az érintett észszerű elvárásait, valamint
  • a szóban forgó adatkezelés terjedelmét és annak az említett személyre gyakorolt hatását. (lásd ítélet 116. pont)

A Bíróság arra jutott, hogy - a Facebookhoz hasonló online közösségi hálózat szolgáltatásainak ingyenessége ellenére - "annak felhasználója észszerűen nem számíthat arra, hogy a hozzájárulása nélkül e közösségi hálózat üzemeltetője a hirdetések személyre szabása céljából feldolgozza e felhasználó személyes adatait." (lásd ítélet 117. pont) Továbbá azt is megállapította a Bíróság, hogy a "[...] szóban forgó adatkezelés különösen széles körű, mivel potenciálisan korlátlan adatokra vonatkozik, és jelentős hatással van a felhasználóra, akinek az online tevékenységeinek nagy részét, sőt szinte egészét a Meta Platforms Ireland nyomon követi, ami e felhasználóban a magánélete folyamatos megfigyelésének érzését keltheti." (lásd ítélet 118. pont)

A hálózat biztonsága kapcsán különösen az igényel vizsgálatot, hogy a közösségi hálózaton kívüli forrásokból gyűjtött személyes adatok kezelése ténylegesen szükséges‑e, és ha igen, milyen mértékben a hálózat biztonságának biztosításával összefüggésben. A kérdést feltevő bíróságnak a vizsgálata során erre is ki kell majd térnie. (lásd ítélet 120. pont) 

A termék fejlesztésére irányuló cél tekintetben a kérdést előterjesztő bíróságnak mérlegelnie kell, hogy  – figyelembe véve az adatkezelés terjedelmét és annak a felhasználóra gyakorolt jelentős hatását, valamint azt a körülményt, hogy ez utóbbi észszerűen számíthat arra, hogy ezeket az adatok kezelésre kerülnek – az adatkezelői érdek elsőbbséget élvezhet-e az ilyen felhasználó érdekeivel és alapvető jogaival szemben, különösen abban az esetben, ha e felhasználó gyermek. (lásd ítélet 123. pont) 

Az illetékes bűnüldöző és büntetés‑végrehajtási szerveknek a bűncselekmények megelőzése, felderítése és üldözése érdekében történő tájékoztatásával kapcsolatos cél kapcsán azt állapította meg a Bíróság, hogy ez a cél főszabály szerint nem minősülhet az adatkezelő által követett jogos érdeknek, hiszen egy magánjogi gazdasági szereplő nem hivatkozhat ilyen, a gazdasági és kereskedelmi tevékenységétől idegen jogos érdekre. Az említett cél csak akkor igazolhatja az adatkezelést, ha az objektív módon szükséges a gazdasági szereplőt terhelő jogi kötelezettség teljesítéséhez. (lásd ítélet 124. pont) 

c) Jogi kötelezettség teljesítése, közérdek, létfontosságú érdek            

A fenti jogalapok kapcsán sok újdonsággal nem szolgál az ítélet, ezek a jogalapok érdemben nem jöhetnek szóba a vizsgált adatkezelések kapcsán. 

d) Hozzájárulás  

A Bíróság foglalkozik - röviden - a hozzájárulás, mint lehetséges jogalap kérdésével is. Elsősorban azt a szempontot vizsgálta a Bíróság, hogy az erőfölényben lévő adatkezelő (a vizsgált ügyben az online közösségi hálózat üzemeltetője) alapíthatja-e az adatkezelést hozzájárulásra, azaz meg tud-e feleni a GDPR-ban a hozzájárulással kapcsolatban támasztott követelményeknek. 

A  Bírság arra jut, hogy "az a körülmény, hogy az online közösségi hálózat üzemeltetője erőfölényben van az online közösségi hálózatok piacán, önmagában nem zárja ki, hogy az ilyen hálózat felhasználói a fenti rendelet 4. cikke 11. pontjának értelmében véve érvényesen hozzájárulhassanak a személyes adataik ezen üzemeltető általi kezeléséhez. E körülmény azonban fontos tényezőnek minősül annak meghatározása szempontjából, hogy a hozzájárulást ténylegesen érvényesen, és különösen szabadon adták‑e meg, amit az említett üzemeltetőnek kell bizonyítania." (lásd ítélet 154. pont, kiemelés tőlem)

Az ítéletben tehát a hozzájárulás feltételeinek vizsgálatához kapcsolódóan ad szempontot a Bíróság, amely természetesen nem csak a közösségi hálózatok piacán erőfölényben lévő adatkezelő esetében, hanem minden esetben alkalmazandó, ahol az adatkezelő erőfölényben lehet.

Ahogy arra többen is felhívták a figyelmet (lásd pl. Marosi Zoltán bejegyzését, illetve Miroslav Jakúbek posztját), az az érdekes helyzet állhat elő, hogy a versenyhatóságok "áttévedhetnek" az adatvédelmi hatóságok területére, amikor az adatvédelmi megfelelést vizsgálhatják az erőfölényes helyzet megállapítása kapcsán, ugyanakkor - az ítélet hozzájárulással kapcsolatos megállapításai alapján - az adatvédelmi hatóságok is "kirándulást tehetnek" a versenyjog területére, amikor abban kell dönteniük, hogy a hozzájárulás önkéntessége fennállt-e a felek közötti egyenlőtlen viszonyra tekintettel, hiszen ilyenkor adott esetben a versenyjogi szempontból meglévő erőfölény fennállását kell vizsgálniuk annak megállapítása érdekében, hogy fennállt-e olyan "egyenlőtlen hatalmi viszony", amely az érintettek hozzájárulásának önkéntességére is kihatással lehetett. 

A hozzájárulás önkéntessége kapcsán szükséges utalni az Európai Adatvédelmi Testület hozzájárulásról szóló 5/2020 iránymutatására, amely külön is foglalkozik az erőfölényes helyzetben lévő adatkezelők által gyűjtött hozzájárulások kérdésével. Az "erőfélény" a Testület iránymutatásában nem versenyjogi értelemben szerepel, hanem a felek közötti "egyenlőtlen hatalmi viszonyokra" utal, mint pl. a közhatalmi szervekkel szembeni viszony vagy a foglalkoztatási jogviszonyok. Az iránymutatás is rögzíti, hogy ilyen helyezetek szélesebb körben is előfordulhatnak:   

"Az egyenlőtlen hatalmi viszonyok nem korlátozódnak a közhatalmi szervekre és a munkáltatókra, más helyzetekben is előfordulhatnak. Ahogyan a 29. cikk szerinti munkacsoport több véleményben kiemeli, a hozzájárulás kizárólag akkor lehet érvényes, ha az érintett élni tud a valódi választás lehetőségével, és a hozzájárulás megtagadása esetén nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény (például jelentős többletköltségek) kockázata. A hozzájárulás nem önkéntes olyan esetekben, ha kényszer, nyomás vagy a szabad akarat gyakorlására való képtelenség bármely eleme felmerül." (iránymutatás, 24. pont) 

A kulcs tehát a döntési szabadság, amely a Bundesgerichtshof fent hivatkozott érvelésében is visszaköszön. 

A hozzájárulás kapcsán érdemes megemlíteni az ítélet egy másik, talán kevésbé szembeötlő elemét: "Így e felhasználóknak jogosultnak kell lenniük arra, hogy a szerződéskötési folyamat keretében egyedileg megtagadják a szerződés teljesítéséhez nem szükséges konkrét adatkezelési műveletekhez való hozzájárulásukat, anélkül azonban, hogy kötelesek lennének teljes egészében lemondani az online közösségi hálózat üzemeltetője által kínált szolgáltatás igénybevételéről, ami azt jelenti, hogy az említett felhasználónak – adott esetben megfelelő díjazás ellenében – olyan egyenértékű alternatívát ajánlanak fel, amelyhez nem kapcsolódnak ilyen adatkezelési műveletek." (ítélet 150. pont, kiemelés tőlem) Ez a téma a közelmúltban az ún. sütifalak kapcsán került előtérbe, ahol a felhasználó előtt az alábbi két lehetőség áll: (i) a tartalomhoz való hozzáférésért cserébe hozzájárul a sütik telepítéséhez és így az aktivitása nyomon követéshez vagy (ii) nem fogadja el a sütiket, viszont egy meghatározott összeget fizet a szolgáltatásért (pl. tartalomhoz való hozzáférésért). A témában több hatósági iránymutatás is napvilágot látott az utóbbi időben, pl. Németországban és Dániában.   

2.3 Különleges adatok kezelése 

Az ítélet kitér a különleges adatok kezelésének is egy aspektusára, mégpedig a GDPR 9. cikk (2) bekezdés e) pontja szerinti kivétel alkalmazhatóságára, miszerint a különleges adatok kezelésére vonatkozó tilalom nem alkalmazandó, ha "az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott".

A kérdés e körben az volt, hogy ha az online közösségi hálózat felhasználója különleges adatokkal kapcsolatos weboldalakat vagy alkalmazásokat nyit meg, és adott esetben feliratkozás vagy online megrendelések során ott adatokat ad meg, az a közösségi hálózat üzemeltetője általi „személyes adatok különleges kategóriáira vonatkozó adatkezelésnek” kell-e tekinteni, és amennyiben erre igen a válasz, akkor az adatok megadása, illetve a „tetszik” vagy a „megosztás” gombra, vagy egyéb gombokra kattintást, amely a felhasználót azonosítja, úgy kell-e tekinteni, hogy ez az aktus az online közösségi hálózat üzemeltetője által a fentiek kapcsán cookie‑k vagy hasonló rögzítési technológiák útján gyűjtött adatok tekintetében kifejezetten nyilvánosságra hozatalra irányult. 

A Bíróság a fentiek kapcsán megállapította, hogy megvalósul a különleges adatok kezelése, azaz a GDPR 9. cikke alkalmazandó. Azt is leszögezte a Bíróság, hogy a különleges adatokkal összefüggésbe hozható weblapok vagy alkalmazások felhasználó általi megtekintéséből nem lehet arra következtetni, hogy az említett személyes adatokat a felhasználó kifejezetten nyilvánosságra hozta.

Továbbá az eljáró bíróságnak vizsgálnia kell, hogy "[...] az érintett felhasználóknak lehetőségük van‑e arra, hogy a tények ismeretében elvégzett beállítások útján úgy döntsenek, hogy a weboldalakon vagy a szóban forgó alkalmazásokban bevitt adatokat, valamint az azokba beépített kiválasztási gombokra való kattintásból származó adatokat a nyilvánosság, vagy éppen ellenkezőleg, többé‑kevésbé korlátozott számú kiválasztott személyek számára teszik hozzáférhetővé." (ítélet 81. pont) Amennyiben az érintett felhasználók ténylegesen rendelkeznek választási lehetőséggel az adatok nyilvánosságra hozatala kapcsán és a felhasználók ennek megfelelően önkéntesen visznek be adatokat valamely weboldalon vagy egy alkalmazásban, vagy az azokba beépített kiválasztási gombokra kattintanak, csak abban az esetben tekinthetők úgy, mint "akik kifejezetten nyilvánosságra hozzák a rájuk vonatkozó adatokat, ha a tények teljes ismeretében végzett egyéni beállítás alapján egyértelműen kifejezték azon döntésüket, hogy ezeket az adatokat korlátlan számú személy számára hozzáférhetővé teszik, aminek a vizsgálata a kérdést előterjesztő bíróság feladata." (ítélet 82. pont, kiemelés tőlem)

Összességében tehát - nem meglepő módon - a Bíróság úgy foglalt állást, hogy az érintettek tájékozott és kifejezett döntésére van szükség ahhoz, hogy nyilvánosságra hozatalról beszélhessünk, azaz a különleges adatok kezelésére vonatkozó kivételszabályt szigorúan kell értelmezni.  

A különleges adatok online hirdetésekkel összefüggésben történő kezelése kapcsán a digitális szolgáltatásokra vonatkozó rendelet (2022/2065. sz. rendelet) rendelkezései is változásokhoz vezetnek, hiszen az online platformot üzemeltető szolgáltatók nem jeleníthetnek meg "[...] profilalkotáson alapuló hirdetéseket a szolgáltatások igénybe vevői számára a személyes adatoknak az (EU) 2016/679 rendelet 9. cikkének (1) bekezdésében említett különleges kategóriáinak felhasználásával." (lásd DSA 26. cikk (3) bekezdés) A digitális szolgáltatásokra vonatkozó rendeletet teljes egészében 2024. február 17-től kell alkalmazni, ugyanakkor az online óriásplatformot és a nagyon népszerű online keresőprogramot üzemeltető szolgáltatóknak már idén augusztusban meg kell felelnie a rendeletben foglaltaknak.  

3. Az ítélet hatásai a Meta működésére 

Az ítélet jelentős hatással lehet a Meta üzleti modelljére, hiszen az adatkezelés jogalapját illetően a "választási lehetőség" érdemben szűkűlt és a személyre szabott hirdetések kapcsán lényegében a hozzájárulásra korlátozódhat, különösen ha több forrásból származó adatok összekapcsolására is sor kerül. A Meta a szerződés teljesítéséhez szükséges adatkezelésről már korábban váltott a jogos érdekre, ugyanakkor a fentiek alapján a jelen formájában ez a megoldás is problémássá vált (lásd például a NOYB által adott reakciót az ítéletre). 

Természetesen az alapügy (amelyben a düsseldorfi bíróság előzetes döntéshozatal iránt fordult az Európai Bírósághoz) megy tovább és azokon a pontokon, ahol az Európai Bíróság iránymutatásokat adott, a düsseldorfi bíróságnak további helyzetértékelést és mérlegelést kell végeznie a döntés meghozatala során. Ezek eredménye is érdekes lesz a gyakorlat alakulása számára.       

4. Az ítélet általánosabb, Meta-n túlmutató lehetséges hatásai 

Az ítélet hatásai természetesen túlmutatnak a Metán, egyes megnyilatkozások a Meta, Google és más technológiai óriások perszonalizált hirdetéseken alapuló üzleti modelljének, illetve az online tevékenységek megfigyelésén alapuló gazdasági modellnek (surveillance capitalism) a leáldozásáról beszélnek. Az nyitott kérdés, hogy valóban ilyen messzire vezetnek-e a hatások, ugyanakkor az online hirdetési piac egészét érintheti a döntés és kézzelfogható üzleti hatása lehet, hasonlóan ahhoz, amikor az Apple által bevezetett adatvédelmi változtatások okoztak a Facebooknál több milliárd dolláros bevételkiesést. Az Interactive Adverising Bureau (IAB), amely az online hirdetési piacon működő szakmai szervezetként összefogja az iparág legfontosabb szereplőit, emellett kereteket, sztenderdeket alkot az iparág számára, szintén arra kényszerülhet, hogy felülvizsgálja az ún. "Transparency & Consent Framework" (TCF) néven ismert keretrendszerében (amely korábban a belga adatvédelmi hatóság célkeresztjében is szerepelt) foglaltakat, hiszen több ponton a jogos érdekre alapoz, amely a fenti Meta ítélet fényében, és szempontjaira tekintettel újbóli átgondolásra szorulhat.   

Természetesen az ítélet hatásai nem csak a közösségi média szolgáltatókra vagy az online hirdetési piacra terjedhetnek ki, hanem ezen túlmutató jelentősége van minden adatkezelő vonatkozásában, hiszen az ítélet számos, az egyes jogalapok alkalmazhatóságát illető szempontot is megfogalmaz, megerősít (igaz, ezek nagy része a korábbi gyakorlat alapján nagy meglepetést nem jelenthet). E körben érdemes kiemelni a "szükségesség" értelmezése kapcsán tett megállapításokat, amelyek lényegében minden jogalap vizsgálata körében - az alapelvekre (különösen az adattakarékosságra) tekintettel - iránymutatást jelenthetnek.   

Az ítélet fontos hatása lehet az adatvédelmi szabályoknak való megfeleléssel kapcsolatos vizsgálódás lehetőségének elismerése a versenyhatósági eljárásokban is. Ez a többoldalú fenyegetettség hozzájárulhat ahhoz, hogy az érintett szereplők fokozzák az adatvédelmi megfelelés érdekében tett erőfeszítéseiket, hiszen ennek hiányában nem csupán adatvédelmi, hanem versenyjogi jogkövetkezményekkel is számolniuk kell. 

Összefoglalásként, az ítélet "főbb üzenetei": 

  • A tagállami versenyhatóságok az erőfölényes ügyekben vizsgálhatják az adatvédelmi szabályoknak való megfelelést. E körben a hatóságoknak a lojális együttműködés kötelezettségére figyelemmel kell eljárniuk. 
  • Megerősítésre került, hogy a szerződés teljesítése, mint jogalap tekintetében a szükségességet szigorúan kell értelmezni, azaz az adatkezelésnek objektíve elengedhetetlennek kell lennie a szerződés teljesítése (vagy a szerződés létrehozatala) érdekében.  
  • Szintén megerősítésre kerül, hogy a jogos érdek, mint jogalap alkalmazhatósága kapcsán több fontos szempontot is vizsgálni szükséges, így például az érintettek elvárásait az adatkezeléssel kapcsolatban, illetve az alternatív, az érintettek jogait és szabadságait kevésbé veszélyeztető eszközök esetleges alkalmazhatóságát. A szükségesség vizsgálata - az alapelvekkel, különösen az adattakarékossággal együtt értelmezve - a jogos érdeken alapuló adatkezelések jogszerűsége szempontjából is komoly jelentőséggel bír.   
  • A hozzájárulások önkéntessége kapcsán a felek közötti viszony, az esetleges erőfölény megléte az adatkezelői oldalon fontos szempontként vizsgálandó
Szólj hozzá!
Címkék: online marketing hozzájárulás versenyjog közösségi média erőfölény profilalkotás portfolioblogger Németország Európai Bíróság HU Meta Rendelet jogalap különleges adatok Európai Adatvédelmi Testület jogos érdek szerződés teljesítése Bundeskartellamt versenyhatósági eljárás

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr4018160322

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása