GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adalékok a közös adatkezelés megállapításához

2024. március 08. 16:00 - poklaszlo

Az Európai Bíróság frissen publikát ítéletében megállapította, hogy az IAB Europe, a digitális hirdetési piac ágazati szervezeteként közös adatkezelőnek minősül az online hirdetések megjelenítéséhez szükséges adatkezelési hozzájárulások kezelésére létrehozott szabályozási keret meghatározása és alkalmazása révén. Megállapításra került ugyanis, hogy ágazati szervezetként, az IAB Europe befolyást gyakorol az érintett személyes adatok kezelésére, és ennélfogva tagjaival együtt meghatározza az ilyen adatkezelés céljait és eszközeit. 

Az alábbiakban az EUB ítéletének a közös adatkezelés vonatkozásában tett néhány megállapítását emelem ki, amelyeknek talán a digitális hirdetési piacon túlmenően is jelentősége lehet.

(Az ítélet egyébként két kérdésben ad iránymutatást, egyrészt a közös adatkezelői minőség vonatkozásában, másrészt a személyes adat fogalmának meghatározása kapcsán. Ez utóbbi kérdést jelent posztban nem tárgyalom részletesebben, de azt érdemes rögzíteni, hogy a Bíróság megerősítette a korábbi értelmezést, amikor kimondta, hogy egy betűk és karakterek kombinációjából álló lánc, amely egy felhasználónak a rá vonatkozó adatok kezeléséhez való hozzájárulásával kapcsolatos preferenciáit tartalmazza személyes adatnak minősül, amennyiben észszerű eszközökkel összekapcsolható egy azonosítóval, mint például az említett felhasználó készülékének IP‑címével, és így lehetővé teszi az érintett személy azonosítását. A személyes adatnak minősítést nem befolyásolja az a körülmény, hogy az e lánccal rendelkező ágazati szervezet külső hozzájárulás nélkül nem tud a tagjai által az általa megállapított szabályok keretében kezelt adatokhoz hozzáférni, és nem is tudja az említett láncot más elemekkel összekapcsolni.)  

1. Az ügy (rövid) háttere 

Az ügy alapját az IAB Europe-al szemben Belgiumban folytatott adatvédelmi hatósági eljárás és annak megállapításai képezték (az IAB Europe székhelye Belgiumban található, így a GDPR alapján vezető hatóságként a belga adatvédelmi hatóság járt el az IAB Europe-ot érintően előterjeszetett adatvédelmi panaszok tekintetében). Az elmarasztaló határozattal szemben az IAB Europe fordult bírósághoz és a belga bíróság kérdései kapcsán foglalt most állást az EUB. 

Az ügy hátterét az IAB Europe által kifejlesztett ún. átláthatósági és hozzájárulási keret, a „Transparency & Consent Framework” (TCF) adta, amely irányelvekből, utasításokból, műszaki előírásokból, protokollokból és szerződéses kötelezettségekből álló olyan szabályok kerete, amelyek lehetővé teszik mind valamely honlap vagy alkalmazás szolgáltatója, mind pedig adatközvetítők vagy reklámplatformok számára, hogy jogszerűen kezeljék valamely honlap vagy alkalmazás felhasználójának személyes adatait (lásd ítélet, 21. pont). (Legalábbis a cél az adatkezelési szabályoknak való megfelelés előmozdítása volt, amely azonban, ahogy a belga adatvédelmi hatóság megállapításai mutatták, nem feltétlenül eredményezett teljes megfelelést a digitális hirdetési szektorban.)

2. A közös adatkezelést érintően tett megállapítások 

A Bíróság az ügyben több korábbi ítéletére is hivatkozik, ezek az alábbiak: 

  • 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16),
  • 2018. július 10‑i Jehovan todistajat ítélet (C‑25/17), 
  • 2019. július 29‑i Fashion ID ítélet (C‑40/17) - erről itt írtam korábban,
  • 2023. december 5‑i Nacionalinis visuomenės sveikatos centras ítélet (C‑683/21)

(A fenti első három ítélet rövid jogirodalmi feldolgozása angol nyelven elérhető pl. az alábbi cikkben: Charlotte Ducuing-Jessica Schroers: "The recent case law of the CJEU on (joint) controllership: have we lost the purpose of ‘purpose’?", Computerrecht Tijdschrift voor Informatica, Telecommunicatie en Recht 2020(6), 424-429, 2020.)

A közös adatkezelés kapcsán a fenti ítélkezési gyakorlatra hivatkozva az alábbi főbb megállapításokat lehet kiemelni az ítéletből: 

  • ".... adatkezelőnek minősülhet az a természetes vagy jogi személy, aki vagy amely – saját céljaiból – befolyást gyakorol a személyes adatok kezelésére, és emiatt részt vesz a kezelés céljainak és eszközeinek meghatározásában [...]. Így az általános adatvédelmi rendelet 26. cikkének (1) bekezdése szerint „közös adatkezelőkről” akkor van szó, ha két vagy több adatkezelő közösen határozza meg az adatkezelés céljait és eszközeit". (ítélet, 57. pont)
  • ".... a közös adatkezelők mindegyikének önállóan meg kell felelnie az „adatkezelő” általános adatvédelmi rendelet 4. cikkének 7. pontjában szereplő fogalommeghatározásának, az együttes adatkezelői felelősség fennállása nem feltétlenül jelenti ugyanazon személyesadat‑kezelés tekintetében a különböző szereplők azonos felelősségét. Éppen ellenkezőleg, mivel e szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, a felelősségük mértékét az adott ügyre jellemző valamennyi releváns körülmény figyelembevételével kell értékelni. Egyébiránt az ugyanazon adatkezelés tekintetében több szereplő e rendelkezés szerinti együttes felelőssége fennállásának nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz. ...." (ítélet, 58. pont)   
  • "Az adatkezelés céljainak és eszközeinek meghatározásában való részvétel különböző formákban nyilvánulhat meg: következhet két vagy több jogalany által hozott közös döntésből, vagy e jogalanyok egybehangzó döntéseiből. Az utóbbi esetben az említett határozatoknak ki kell egészíteniük egymást, így mindegyiknek konkrét hatása van az adatkezelés céljainak és eszközeinek meghatározására. Ezzel szemben nem követelhető meg, hogy az adatkezelők között alakszerű megállapodás jöjjön létre az adatkezelés céljait és eszközeit illetően ..." (ítélet, 59. pont)   

A korábbi joggyakorlat alapján a Bíróság az alábbi további megállapításokat tette a közös adatkezelés tekintetében a konkrét ügy tényállása alapján: 

  • "... a TCF lényegében arra irányul, hogy elősegítse és lehetővé tegye reklámfelületeknek az említett szereplők általi internetes adásvételét. [...] úgy tekinthető, hogy az IAB Europe saját céljaiból befolyást gyakorol az alapeljárásban szóban forgó személyesadat‑kezelési műveletekre, és emiatt tagjaival együtt határozza meg az ilyen műveletek céljait." (ítélet, 63-64. pontok) 
  • "... ami a személyes adatok ilyen kezeléséhez használt eszközöket illeti, [...] a TCF olyan szabálykeretet képez, amelyet az IAB Europe tagjainak el kell fogadniuk az e szervezethez való csatlakozáshoz. Közelebbről, amint azt az IAB Europe a Bíróság előtti tárgyaláson megerősítette, ha valamelyik tagja nem felel meg a TCF szabályainak, az IAB Europe e taggal szemben meg nem felelésről és felfüggesztésről szóló határozatot hozhat, amely az említett tag TCF‑ből való kizárásához, és ennélfogva annak megakadályozásához vezethet, hogy e tag az általános adatvédelmi rendeletnek való megfelelés azon garanciájára hivatkozzon, amelyet e mechanizmus a TC Stringek segítségével végzett személyesadat‑kezelés tekintetében állítólag nyújt." (ítélet, 65. pont) 
  • "... Úgy tűnik különösen, hogy ezek az előírások pontosan leírják, hogy a CMP‑k milyen módon kötelesek összegyűjteni a felhasználóknak a velük kapcsolatos személyes adatok kezelésére vonatkozó preferenciáit, valamint azt, hogy az ilyen preferenciákat hogyan kell kezelni a TC String generálása érdekében. Ezenkívül pontos szabályokat állapítanak meg a TC String tartalmára, valamint annak tárolására és megosztására vonatkozóan is." (ítélet, 66. pont) 
  • "...az olyan ágazati szervezet, mint az IAB Europe saját céljaiból befolyást gyakorol az alapeljárásban szóban forgó személyesadat‑kezelési műveletekre, és emiatt tagjaival együtt meghatározza az ilyen műveletek alapjául szolgáló eszközöket. Ebből következik, hogy az IAB Europe‑ot a jelen ítélet 57. pontjában felidézett ítélkezési gyakorlatnak megfelelően az általános adatvédelmi rendelet 4. cikkének 7. pontja és 26. cikkének (1) bekezdése értelmében vett „közös adatkezelőnek” kell tekinteni." (ítélet, 68. pont) 
  • "... ki kell zárni, hogy ezen ágazati szervezet esetleges együttes felelőssége automatikusan kiterjedjen a személyes adatok harmadik személyek – például honlapok vagy alkalmazások szolgáltatói – általi, a felhasználói preferenciák tekintetében, célzott online reklámozás céljából végzett további kezelésére." (ítélet, 70. pont + lásd még 73-75. pontok) 

3. Mi következik az ítéletből?

A konkrét ügyre nézve a döntés elsődleges következménye, hogy a folyamatban lévő bírósági eljárásban - a belga adatvédelmi hatóság felülvizsgálat alatt álló döntésének megfelelően - személyes adat kezelésről és az IAB Europe közös adatkezelői minőségéről lehet beszélni, így az eljárást ennek megfelelően lehet lefolytatni. (Az IAB Europe elsődleges reakcióját az EUB ítéletre lásd itt.) 

A konkrét ügyre nézve jelentkező hatásokon túlmenően is érdekes - összeolvasva az eddigi és folyamatosan alakuló - közös adatkezelést érintő joggyakorlatra, hogy milyen hatása lehet az ítéletnek.

Megerősítésre került, hogy 

  • a közös adatkezelés fennállása ténybeli kérdés, nem szorítkozhat a formális feltételek elemzésére (pl. közös adatkezelői megállapodás megléte),
  • a közös adatkezelői felelősség megállapításának nem feltétele, hogy mindegyik adatkezelő hozzáférjen az adatokhoz
  • az egyes (közös) adatkezelők adatkezelésért történő felelőssége - az adatkezelésben betöltött tényleges szerepüktől függően - eltérő lehet
  • az adatkezelési döntés nemcsak közös döntés, hanem a felek egybehangzó döntése is lehet, de utóbbi esetben lényeges, hogy mindegyiknek döntésnek konkrét hatása van az adatkezelés céljainak és eszközeinek meghatározására. (A fenti szempontok kapcsán lásd az Európai Adatvédelmi Testület 07/2020. sz. iránymutatásának 3. pontját is.)

Amiben az ítélet további értelmezési segítséget adhat - a korábbi gyakorlathoz kapcsolódóan - az elsősorban a közös adatkezelői minőség megállapíthatósága egy adatkezelés keretrendszerének meghatározásával összefüggésben. Az Európai Adatvédelmi Testület 07/2020. sz. iránymutatása szerint: 

Ez a helyzet különösen a platformok, szabványosított eszközök vagy más olyan infrastruktúra esetében merülhet fel, amelyek lehetővé teszik a felek számára, hogy ugyanazokat a személyes adatokat kezeljék, és amelyeket az egyik fél úgy hozza létre, hogy azokat más olyan felek is felhasználhassák, akik szintén dönthetnek megalkotásuk módjáról. Egy már meglévő technikai rendszer használata nem zárja ki a közös adatkezelést abban az esetben, ha a rendszer felhasználói dönthetnek a személyes adatok ezzel összefüggésben történő kezeléséről. (lásd iránymutatás, 65. pont, 23. o.)

A fenti logikáját továbbgörgetve jelen ítéletben a szabálykeret kialakítása és érvényesítése jelenti az adatkezelői minőség megállapíthatóságának az alapját, ráadásul a Fashion ID-ügyhöz, illetve Wirtschaftsakademie ítélethez képest fordított logika érvényesül, amennyiben a Fashion ID-ügyben, illetve a Wirtschaftsakademie ítéletben a közös adatkezelői minőséget a közös infrastruktúra felhasználói szemszögéből vizsgálva, az ő tekintetükben állapította meg a Bírósáság (kimondva, hogy a Facebook-on rajongói oldalt létrehozó vállalkozások, illetve a honlapjukon "Like" gombot elhelyező vállalkozások a Facebook-kal (Meta) közös adatkezelőnek minősülnek). Jelen ügyben pedig a közös szabálykeret kialakítója és érvényesítője tekintetében kerül megállapításra a közös adatkezelői minőség. 

Miért fontos ez? 

Az IAB Europe, amely egy ágazati szakmai szervezet és mint ilyen, egy adott ágazaton belül kínált lényegében kötelezően érvényesülő szabálykeretet az adatvédelmi megfelelés érdekében, közös adatkezelőnek minősül. Ez alapján - hasonlóan ahhoz, ahogy arra a közös adatkezelés kapcsán hozott korábbi ítéletek is rámutattak - joggal merülhet fel más szektorokban, más szervezett együttműködési keretek kapcsán is, hogy - függően persze az adatkezelésre gyakorolt befolyás tényleges meglététől és módjától -  szélesebb körben lehetnek jelen közös adatkezelői konstrukciók, mint amennyire ez a jelenlegi gyakorlatból esetleg kitűnik. Természetesen e körben (is) az adatkezelés alapos - ténybeli - elemzésére van szükség, illetve annak gondos vizsgálatára, hogy az adatkezelés célja és eszközei tekintetében jelen van-e a felek közös vagy egybehangzó döntése, ugyanakkor a Bíróság friss ítélete ezen viták előtt is további utat nyithat. 

Szólj hozzá!
Címkék: joggyakorlat személyes adat portfolioblogger adatkezelő Európai Unió Belgium Európai Bíróság HU Rendelet GDPR Belga Hatóság közös adatkezelés

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr1618348981

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása