Az elmúlt napokban számos cikket olvashattunk, miszerint az Európai Adatvédelmi Testület (EDPB) döntésével megtiltja a Meta-nak, hogy a Facebook és az Instagram szolgáltatásokkal összefüggésben személyes adatokat használjon a célzott hirdetésekhez (lásd például itt, itt, itt és itt). A Testület döntéséről azt követően érkezett a hír, hogy a Meta - hivatalosan is - bejelentette, miszerint fizetős opcióként lehetőséget biztosít a felhasználóknak a Facebook és Instagram szolgáltatások reklámmentes igénybevételére.
A személyre szabott hirdetések és a célzáshoz felhasznált személyes adatok, illetve az ehhez szükségszerű profilozás már hosszú ideje komoly vita tárgyát képezi az EU-ban, különösen a GDPR alkalmazandóvá válása óta. A Meta a Facebook és Instagram szolgáltatások révén különösen a célkeresztben volt és - a Meta tekintetében az EU-ban vezető hatóságként eljáró ír adatvédelmi hatóságtól (DPC) - a társaság az elmúlt két évben több, nagyon jelentős összegű bírságot is kapott, beleértve a GDPR alapján kiszabott bírságok közül eddig rekordnak számító 1.2 milliárd euró összegű bírságot is.
A Meta-ra az ír hatóság által 2022-ben és 2023-ban kiszabott bírságok az alábbiak voltak:
- 2023. május: 1.2 milliárd eurós bírság a Facebook szolgáltatás kapcsán az USA-ba történő adattovábbítás miatt.
- 2023. január: összesen 390 millió eurós bírság a Facebook és az Instagram szolgáltatásokkal összefüggésben. Ebben az ügyben az adatkezelés jogalapja, különösen a szerződés teljesítéséhez szükséges adatkezelés is a vizsgálat tárgyát képezte és a végleges döntést az Európai Adatvédelmi Testület kötelező erejű döntései előzték meg (Facebookot érintő döntés, Instagramot érintő döntés).
- 2022. november: 265 millió eurós bírság alapvetően az alapértelmezett és beépített adatvédelem elveinek sérlme miatt.
- 2022. szeptember: 405 millió eurós bírság gyermekek adatainak az Instagram szolgáltatás igénybevételével összefüggésben történő kezelésére tekintettel.
- 2022. március: 17 millió eurós bírság adatbiztonsági hiányoságokkal összefüggésben, miután több adatvédelmi incidens történt.
(A fenti listában nem szerepel, de említést érdemel a szintén a Meta-hoz tartozó WhatsApp-ot érintően 2021-ben kiszabott 225 millió eurós bírság, amely elsősorban az átláthatósággal kapcsolatos mulasztásokat szankcionált.)
Az ír hatóság által kiszabott bírságokon kívül is több adatvédelmi eljárásban volt érintett a Meta (korábban Facebook) az EU-ban, így több nagy jelentőségű (nem csak a hirdetési célú adatkezeléssel összefüggő) Európai Bíróság által hozott ítélet is a Metát (Facebookot) érintő ügyre tekintettel született (pl. Schrems I. és II. az USA-ba történő adattovábbítások kapcsán, Fashion ID a közös adatkezelést érintően, stb.).
1. A Testület döntésének közvetlen előzményei
Az európai adatvédelmi szabályok és a Meta kapcsolata tehát - amint azt a fentiek elég jól mutatják - elég viharosnak tekinthető.
Az Európai Adatvédelmi Testület döntésének közvetlen előzménye, hogy 2023. nyarán a norvég adatvédelmi hatóság (Datatilsynet) - az Európai Bíróság C-252/21. sz. ügyben hozott döntését követően (erről itt írtam részletesebben) - úgy döntött, hogy 2023. augusztus 4-től kezdődően 3 hónapos átmeneti tilalmat vezet be a norvég felhasználók tekintetében, a Facebookon és az Instagramon történő, a felhasználók profilozásána alapuló viselkedésalapú reklámozásra. A norvég hatóság kérte a Testületet, hogy a viselkedésalapú reklámokhoz kapcsolódó adatkezelések tekintetében hozzon az egész EGT-re kiterjedő döntést. Ennek tett most eleget a Testület a 3 hónapos időtartam lejártát néhány nappal megelőzően.
A GDPR 66. cikke biztosítja a lehetőséget az Európai Adatvédelmi Testület sürgősségi eljárására. Eszerint, ha egy érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén, úgy véli, hogy az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség, akkor haladéktalanul legfeljebb három hónapra szóló meghatározott érvényességi idejű ideiglenes intézkedéseket fogadhat el abból a célból, hogy saját tagállama területén joghatást váltson ki. A felügyeleti hatóság haladéktalanul közli az ilyen intézkedéseket és elfogadásuk indokait a többi érintett felügyeleti hatósággal, a Testülettel és a Bizottsággal.
Ha egy felügyeleti hatóság ilyen intézkedést hozott, és úgy véli, hogy végleges intézkedések sürgős elfogadására van szükség, kérését megindokolva kérheti a Testületet, hogy sürgősségi eljárás keretében bocsásson ki véleményt vagy fogadjon el kötelező erejű döntést.
Kérését a sürgős fellépés szükségességére kiterjedően is megindokolva bármely felügyeleti hatóság kérheti a Testületet, hogy sürgősségi eljárás keretében az esettől függően bocsásson ki véleményt vagy fogadjon el kötelező erejű döntést, ha valamely illetékes felügyeleti hatóság nem tett megfelelő intézkedést olyan helyzetben, amikor az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség.
2. Mit tartalmaz a Testület döntése?
A Testület kötelező erejű döntése az ír adatvédelmi hatóságot (DPC) kötelezi, hogy két héten belül hozzon végleges intézkedést, amellyel megtiltja a Metanak, hogy személyes adatokat viselkedésalapú reklámozás céljára kezeljen a szerződés teljesítéséhez fűződő (GDPR 6. cikk (1) bekezdés b) pont), illetve a jogos érdeken alapuló (GDPR 6. cikk (1) bekezdés f) pont) jogalapokon az EGT egész területén. A Testület tehát nem közvetlenül a Metát, hanem az ír adatvédelmi hatóságot, mint a Meta tekintetében eljáró fő felügyeleti hatóságot kötelezte intézkedés megtételére.
A GDPR által megteremtett egykapus ügyintézés (one stop shop) lehetővé teszi, hogy határon átnyúló adatkezelések esetében az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság járjon el fő felügyeleti hatóságként az adatkezelő vagy az adatfeldolgozó tekintetében.
A Meta-hoz tartozó különböző szolgáltatások, mint a Facebook vagy az Instagram tipikusan éppen ilyen határon árnyúló adatkezelést valósítanak meg és - tekintettel az írországi tevékenységi központra - az ír adatvédelmi hatóság (DPC) jár el a határon átnyúló ügyekben fő felügyeleti hatóságként.
3. Egyáltalán nem kezelhet a Meta személyes adatot hirdetési célra?
A Testület döntése alapján a személyes adatokat viselkedésalapú reklámozás céljára történő felhasználását érintő tilalomnak
- a szerződés teljesítéséhez fűződő (GDPR 6. cikk (1) bekezdés b) pont), illetve
- a jogos érdeken alapuló (GDPR 6. cikk (1) bekezdés f) pont)
jogalapokon megvalósuló kezelésére kell vonatkoznia.
Ennek megfelelően, hozzájárulás alapján (GDPR 6. cikk (1) bekezdés a) pont) - az egyéb feltételek fennállása esetén - továbbra sem lenne kizárt a viselkedésalapú reklámozás céljára történő adatkezelés. (Ez olvasható ki lényegében az Európai Bíróság C-252/21. sz. ügyben hozott döntéséből is. Erről lásd részletesebben ezt a korábbi posztot.)
A Bírság a C-252/21. sz. ügyben arra jutott, hogy "az a körülmény, hogy az online közösségi hálózat üzemeltetője erőfölényben van az online közösségi hálózatok piacán, önmagában nem zárja ki, hogy az ilyen hálózat felhasználói a fenti rendelet 4. cikke 11. pontjának értelmében véve érvényesen hozzájárulhassanak a személyes adataik ezen üzemeltető általi kezeléséhez. E körülmény azonban fontos tényezőnek minősül annak meghatározása szempontjából, hogy a hozzájárulást ténylegesen érvényesen, és különösen szabadon adták‑e meg, amit az említett üzemeltetőnek kell bizonyítania." (lásd ítélet 154. pont, kiemelés tőlem)
4. A digitális szolgáltatásokra vonatkozó rendelet és a személyre szabott (profilalkotáson alapuló) hirdetések
Az online platformot üzemeltető szolgáltatóknak (így a Facebook és Instagram, mint online óriásplatformok tekintetében a Metának is) alkalmaznia kell az EU digitális szolgáltatásokról szóló rendelet (DSA). A DSA - a GDPR szabályainak változatlan alkalmazandósága mellett - bizonyos körben maga is meghatároz tilalmakat az online platformok üzemeltetői felé, így különösen:
- az online platformot üzemeltető szolgáltatók nem jeleníthetnek meg a GDPR szerinti profilalkotáson* alapuló hirdetéseket a szolgáltatások igénybe vevői** számára a személyes adatoknak GDPR 9. cikke szerinti különleges kategóriáinak felhasználásával (DSA 27. cikk (3) bekezdés),
- az online platformot üzemeltető szolgáltatók nem jeleníthetnek meg a GDPR szerinti, a szolgáltatás igénybe vevőinek adatait felhasználó profilalkotáson alapuló hirdetéseket interfészeiken, ha kellő bizonyossággal tudatában vannak annak, hogy a szolgáltatás igénybe vevője kiskorú (DSA 28. cikk (2) bekezdés).
* A GDPR szerint, profilalkotás: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.
** A DSA értelmében, a szolgáltatás igénybe vevője: bármely természetes vagy jogi személy, aki, illetve amely igénybe veszi az érintett közvetítő szolgáltatást, különösen abból a célból, hogy információhoz jusson vagy az információt hozzáférhetővé tegye.
Az online platformot üzemeltető azon szolgáltatóknak, akik online interfészükön hirdetéseket jelenítenek meg, - többek között - biztosítaniuk kell, hogy a szolgáltatások igénybe vevői számára – az egyes igénybe vevőknek megjelenített minden egyes hirdetés vonatkozásában – világosan, tömören, egyértelműen és valós időben feltüntessék, melyek a szolgáltatás hirdetéssel megcélzott igénybe vevőjének meghatározására szolgáló paraméterekkel kapcsolatos érdemi információk – amelyeknek közvetlenül és könnyen hozzáférhetőnek kell lenniük a hirdetésből –, és adott esetben az, hogy hogyan lehet módosítani e paramétereket (DSA 27. cikk (1) bekezdés d) pont).
A DSA fenti és további követelményei tehát kötelezően alkalmazandók az online platformok üzemeltetőire, ezeket még a GDPR szerinti hozzájárulással sem írhatják felül.
5. Kérhet-e pénzt a Meta a személyes adatok hirdetési célú kezelésének mellőzéséért?
Figyelemmel arra, hogy a Meta éppen a Testület döntésének bejelentését röviddel megelőzően jelentette be hivatalosan a fizetős, reklámmentes használat lehetőségét, érdemes elgondolkodni azon a kérdésen is, hogy egyáltalán lehetséges-e a személyes adatkezelés bizonyos célból történő mellőzéséért díjat kérni és ha igen, milyen mértékűt.
A Meta bejelentése alapján a díj webes használat esetén 9.99 EUR lenne havonta, míg mobilos használat esetén 12.99 EUR-t kellene fizetni.
Az Európai Bíróság fent már többször hivatkozott, júliusi döntése szerint:
Így e felhasználóknak jogosultnak kell lenniük arra, hogy a szerződéskötési folyamat keretében egyedileg megtagadják a szerződés teljesítéséhez nem szükséges konkrét adatkezelési műveletekhez való hozzájárulásukat, anélkül azonban, hogy kötelesek lennének teljes egészében lemondani az online közösségi hálózat üzemeltetője által kínált szolgáltatás igénybevételéről, ami azt jelenti, hogy az említett felhasználónak – adott esetben megfelelő díjazás ellenében – olyan egyenértékű alternatívát ajánlanak fel, amelyhez nem kapcsolódnak ilyen adatkezelési műveletek.
A Bíróság ítélete alapján tehát felmerülhet a díjazás bevezetésének lehetősége a szolgáltatások igénybevétele kapcsán.
A Max Schrems által alapított jogvédő szervezet, a NOYB még október elején (amikor a díjazás ellenében történő használat lehetőségét először szellőztették meg komolyabban a sajtóban) közleményt adott ki és egyrészt a bevezetni tervezett díj tervezett mértékét (akkori hírek szerint még kicsit magasabb, évi 160 euró körüli díjra lehetett számítani) kifogásolta, miszerint annak szükségszerűsége és "megfelelősége" a Bíróság ítéletére figyelemmel is, de ezen túlmenően is kifogásolható. Másrészt kiemelte azt is, hogy a bírósági ítélet ominózus pontja (150. pont) nem kötelező erejű, a feltett kérdésekre adott válaszoknak nem része, és lényegében túl is megy az eredeti kérdések megválaszolásához feltétlenül szükséges körön. Egyértelművé tette azt is, hogy minden fórumon harcolni fognak az alapjogok áruba bocsátása, azaz a jogok érvényesítésének fizetéshez kötése ellen.
Érdemes azt is felidézni, hogy a viselkedésalapú hirdetésekhez szükséges profilozási célú adatkezelés fizetés ellenében történő mellőzése nem teljesen új találmány (ahogy ezt a NOYB közleménye is felidézi), hanem éppen a BigTech cégek (Facebook, Google) tevékenysége által a hirdetési bevételeinek jelentős részétől megfosztott sajtótermékeknek kínált az elmúlt években menekülőutat. A megoldást ugyan viták övezték, de egyes adatvédelmi hatóságok nem voltak elutasítóak a megoldással szemben. Legutóbb a német adatvédelmi hatóságok konferenciája tartotta elfogadhatónak a megoldást, hogy a sütimentes böngészésért cserébe a sajtótermékek bizonyos összegű előfizetési díjat kérjenek. (Lásd erről ezt a korábbi posztot.) Hasonló megközelítést láthattunk a dán és a francia hatóságnál is.
Az Európai Adatvédelmi Testület is érintette a témát és a fizetős, illetve nem fizetős szolgáltatások összemérhetősége kapcsán leszögezve:
Az Európai Adatvédelmi Testület úgy véli, hogy a hozzájárulás nem tekinthető önkéntesnek, ha az adatkezelő azzal érvel, hogy van választási lehetőség egyrészt a további célra történő személyesadat felhasználáshoz való hozzájárulást tartalmazó saját szolgáltatása, másrészt egy másik adatkezelő által kínált egyenértékű szolgáltatás között. Ilyen esetben a választás szabadsága attól függne, hogy más piaci szereplők mit tesznek, és hogy az egyes érintettek valóban egyenértékűnek találnák-e a másik adatkezelő szolgáltatásait. Ez ráadásul azzal a kötelezettséggel járna az adatkezelők számára, hogy az adatkezelési tevékenységeiket érintő hozzájárulás folyamatos érvényességének biztosításához figyelemmel kellene kísérniük a piaci fejleményeket, mivel előfordulhat, hogy egy-egy versenytárs később módosítja a szolgáltatását. Ezért ennek az érvnek az alkalmazása azt jelenti, hogy egy harmadik fél által kínált alternatív lehetőségen alapuló hozzájárulás nem felel meg az általános adatvédelmi rendeletnek, vagyis a szolgáltató nem akadályozhatja meg az érintetteket abban, hogy valamely szolgáltatáshoz hozzáférjenek azon az alapon, hogy a hozzájárulásukat nem adják meg. (Lásd 2020/05. sz. iránymutatás, 38. pont, 13. o.)
Látható, hogy a kérdésben a vita még nem jutott nyugvópontra, így nem egyértelmű, miszerint a Meta fizetős megoldása (ha nem is a bejelentett díjak mellett, de valamilyen ésszerű díjazással) kiállja-e a próbát vagy e téren is változtatnia kell a Metának a gyakorlatán (a norvég adatvédelmi hatóság sajtóközleményében, amelyben a Testület döntéséről tudosított, egyébként szintén kétségének adott hangot, hogy a Meta által bevezetni szándékozott fizetős megoldás jogszerűnek minősülhet-e). Irónikus egyébként, hogy a Meta most egy olyan kiskapunt próbál használni, amit éppen az nyitott, hogy az online hirdetési bevételek elszipkázása miatt az online sajtótermékek próbáltak a nagy techcégekkel szemben, beleértve a Meta-t is, túlélési technikákat kidolgozni. Most ezt a megoldást venné át a Meta....
Egy fontos szempontot érdemes hangsúlyozni a "fizess vagy fogadd el az adatkezelést (adj hozzájárulást)" típusú megközelítéssel kapcsolatban. A személyes adatok védelme, mint alapvető jog tekintetében az alapjog érvényesülésének ellenszolgáltatáshoz kötése lényegében a fizetőképes személyek kiváltságává tenné az alapjogok gyakorlását, hiszen sokan nem engedhetik meg maguknak, hogy - az egyébként ingyenesen is elérhető - szolgáltatások kapcsán összességében jelentős összegeket fizessenek az adataik bizonyos (tipikusan hirdetési) célú kezelésének elkerülése érdekében. Ha ez a gyakorlat szélesebb körben létjogosultságot nyerne és terjedne, akkor a Metát követően más nagy, a mindennapokban sokaknak szinte megkerülhetetlen szolgáltatást nyújtó társaság választaná ezt a megoldást. Ez pedig olyan anyagi terheket jelentene, amit nagyon kevesen engedhetnének meg maguknak.
(Érdemes elolvasni erről Alexander Hanff véleményét és a NOYB fent hivatkozott közleményét, amelyben Max Schrems is hasonló érveket fogalmaz meg.)
