A Facebook „Tetszik” gomb adatkezelésnek minősül

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Egy német fogyasztóvédelmi egyesület eljárást kezdeményezett egy honlap üzemeltető ellen, mert az oldalán elhelyezte a Facebook tetszik gombot, amellyel személyes adatokat gyűjtött a honlap látogatóitól.

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

A Fashion ID egy online divatruha‑értékesítő vállalkozás, amely elhelyezte honlapján a Facebook közösségi oldal által biztosított „Tetszik” gombot.

Az előzetes döntéshozatalra utaló határozat szerint az internet egyik sajátossága, hogy az internetfelhasználó böngészője különböző forrásokból származó tartalmakat jeleníthet meg. Így például fotók, videók, hírek és a szóban forgó Facebook „Tetszik” gomb is összekapcsolódhat egy weboldallal és megjelenhet ott.

Ha a honlap üzemeltetője ilyen harmadik félhez tartozó tartalmakat kíván megjeleníteni, akkor honlapján a külső tartalomra mutató hivatkozást helyez el. Amikor az említett honlap látogatójának böngészője ilyen hivatkozást talál, lekéri a külső tartalmat, és a kívánt helyen megjeleníti azt a honlapon. Ehhez a böngésző továbbítja a külső szolgáltató szerverére az említett látogató számítógépének IP‑címét és a böngésző műszaki adatait ahhoz, hogy a szerver megállapíthassa, milyen formátumban kell erre a címre rendelkezésre bocsátani a tartalmat. A böngésző ezek mellett a kért tartalomról is küld információkat. A honlapján külső tartalmat kínáló honlap‑üzemeltető nem tudja befolyásolni azt, hogy a böngésző milyen adatokat továbbít, és hogy a külső szolgáltató mit csinál ezekkel az adatokkal, például hogy tárolja és felhasználja‑e azokat.

Ha egy látogató megtekinti a Fashion ID honlapját a személyes adatait továbbítják a Facebook Irelandnek. Ez a továbbítás az említett látogató tudomása nélkül megy végbe, függetlenül attól, hogy tagja‑e a Facebook közösségi hálózatnak, vagy hogy rákattintott‑e a Facebook „Tetszik” gombra.

A Verbraucherzentrale NRW közhasznú fogyasztói érdekvédelmi egyesület azt kifogásolja, hogy a Fashion ID a honlapját felkereső egyének személyes adatait – egyrészt azok tudomása nélkül, másrészt a személyes adatok védelmére vonatkozó rendelkezésekben előírt tájékoztatási kötelezettségeket megsértve – a Facebook Ireland részére továbbította.

A Fashion ID másrészt úgy vélte, hogy a Landgericht Düsseldorf tévesen állapította meg róla, hogy a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősül, mivel egyáltalán nincs befolyása a honlapjára látogató böngészője által továbbított adatokra, sem

A kérdést előterjesztő bíróság első kérdése lényegében arra vonatkozott, hogy a 95/46 irányelv 22–24. cikkét úgy kell‑e értelmezni, mint amelyekkel ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben.

Az EUB kiemelte, hogy az irányelv egyetlen rendelkezése sem kötelezi vagy jogosítja fel kifejezetten a tagállamokat azonban arra, hogy a nemzeti jogukban biztosítsák az egyesületek számára annak lehetőségét, hogy ilyen személyt bírósági eljárásban képviseljenek, vagy hogy önállóan bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben.

Ebből ugyanakkor nem következik, hogy a 95/46 irányelvvel ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a fogyasztói érdekvédelmi egyesületek számára, hogy az ilyen jogsértés feltételezett elkövetőjével szemben bírósághoz forduljanak.

Az EUB úgy vélte, hogy a  fogyasztói érdekvédelmi egyesületek kereshetőségi jogának biztosítása nem sérti az irányelv célkitűzéseit, hanem épp ellenkezőleg, hozzájárul az adatvédelmi irányelv céljainak eléréséhez.

Az EUB szerint a 95/46 irányelv viszonylag általános szabályokat tartalmaz, mivel számos nagyon eltérő helyzetre alkalmazandó. Ezeket a szabályokat bizonyos fokú rugalmasság jellemzi, számos esetben a tagállamokra hagyva a részletek meghatározását vagy a lehetőségek közötti választást, és így a tagállamok több tekintetben is mozgástérrel rendelkeznek az említett irányelv átültetését illetően.

Az EUB felhívta a figyelmet, hogy a 95/46 irányelvet hatályon kívül helyező és annak helyébe lépő, 2018. május 25‑jétől alkalmazandó 2016/679 rendelet 80. cikkének (2) bekezdésében kifejezetten megengedi a tagállamoknak, hogy lehetővé tegyék a fogyasztói érdekvédelmi egyesületek számára a bírósági eljárás kezdeményezését a személyes adatok védelmét feltételezetten megsértő személlyel szemben, semmiképpen nem azt jelenti, hogy a tagállamok a 95/46 irányelv alapján nem ruházhatták volna rájuk ezt a jogot, hanem éppen ellenkezőleg, megerősíti, hogy a jelen ítéletben elfogadott irányelv‑értelmezés az uniós jogalkotó szándékát tükrözi.

A Fashion ID adatkezelői minőségéről

A kérdést előterjesztő bíróság második kérdése lényegében arra vonatkozott, hogy a Fashion ID, mint honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, akkor is a 95/46 irányelv 2. cikkének d) pontja értelmében vett adatkezelőnek minősíthető‑e, ha nincs befolyása az említett szolgáltatónak továbbított adatok kezelésére.

Az EUB szerint az irányelv az „adatkezelő” fogalmának tág meghatározása révén biztosítja az érintettek hatékony és teljes védelmét.

A 95/46 irányelv 2. cikkének d) pontja szerint az „adatkezelő” fogalma arra a szervre vonatkozik, amely „önállóan vagy másokkal együtt” meghatározza a személyes adatok kezelésének céljait és módját, ez a fogalom nem feltétlenül egyetlen szervre utal, hanem több, az adatkezelésben részt vevő szereplőt is érinthet, és így mindegyikükre vonatkoznak a személyes adatok védelmére vonatkozó rendelkezések.

Több szereplőnek az adatkezelés tekintetében való együttes felelősségének nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz.

Az együttes felelősség fennállása nem feltétlenül jelenti azt, hogy ugyanazon személyesadat‑kezelés tekintetében az egyes szereplőkre azonos felelősség hárul. Éppen ellenkezőleg, mivel e szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, a felelősségük mértékét a jelen ügyre jellemző valamennyi releváns körülmény figyelembevételével kell értékelni.

A főtanácsnok indítványával egyetértve az EUB úgy értékelte, hogy egy természetes vagy jogi személy csak az olyan személyesadat‑kezelési műveletek tekintetében minősíthető másokkal együtt a 95/46 irányelv 2. cikkének d) pontja értelmében adatkezelőnek, amelyek céljait és módját másokkal együtt ő határozza meg. Ugyanakkor ez a természetes vagy jogi személy nem tekinthető az említett rendelkezés értelmében adatkezelőnek az adatkezelési lánc olyan korábbi vagy későbbi műveletei tekintetében, amelyek céljait és módját nem ő határozza meg.

A jelen esetben úgy tűnik, hogy a Fashion ID a Facebook „Tetszik” gombnak a honlapján történő elhelyezésével lehetőséget biztosított a Facebook Ireland számára arra, hogy személyes adatokat szerezzen meg a honlapjára látogatóktól, és erre a honlap megtekintésének időpontjával nyílik lehetőség, függetlenül attól, hogy a látogatók tagjai‑e a Facebook közösségi hálózatnak, hogy rákattintottak‑e a Facebook „Tetszik” gombra, vagy hogy tudomásuk van‑e erről a műveletről.

Ezen információk alapján meg kell állapítani, hogy azok a személyesadat‑kezelési műveletek, amelyek céljait és módját a Facebook Irelanddel együtt a Fashion ID határozhatja meg, a „személyes adatok kezelése” fogalmának a 95/46 irányelv 2. cikkének b) pontjában szereplő meghatározására tekintettel a Fashion ID honlapjára látogatókra vonatkozó személyes adatok gyűjtésének és továbbítás általi közlésének minősül.

Azonban kizártnak tűnik, hogy a Fashion ID határozná meg azoknak a későbbi személyesadat‑kezelési műveleteknek a céljait és módját, amelyeket a Facebook Ireland végez el a személyes adatok Fashion ID általi továbbítását követően, és ezért a Fashion ID e műveletek tekintetében nem minősíthető a 2. cikk d) pontja értelmében vett adatkezelőnek.

Az EUB szerint a Fashion ID annak ellenére helyezte el honlapján a Facebook Ireland által a honlap‑üzemeltetők rendelkezésére bocsátott Facebook „Tetszik” gombot, hogy tisztában volt azzal, hogy olyan eszközről van szó, amely a honlap látogatóira vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére szolgál.

A Fashion ID másfelől ennek a közösségi modulnak a honlapján történő elhelyezésével döntően az említett modul szolgáltatója, vagyis a Facebook Ireland javára befolyásolja az említett honlap látogatóira vonatkozó személyes adatok gyűjtését és továbbítás általi közlését, amelyekre az említett modul elhelyezése nélkül nem kerülne sor.

E körülményekre, valamint a kérdést előterjesztő bíróság által e tekintetben még elvégzendő vizsgálatokra is figyelemmel meg kell állapítani, hogy a Facebook Ireland és a Fashion ID együttesen határozzák meg a Fashion ID honlapjának látogatóira vonatkozó személyes adatok gyűjtésének és továbbítás általi közlésének alapjául szolgáló műveletek módját.

A személyes adatok kezelésére irányuló, említett műveletek elvégzésének céljait illetően úgy tűnik, hogy a Facebook „Tetszik” gombjának a Fashion ID által a honlapján történő elhelyezése lehetővé teszi utóbbi számára az árui reklámozásának optimalizálását azáltal, hogy láthatóbbá teszi azokat a Facebook közösségi hálózatán, amikor a honlapjának látogatója rákattint az említett gombra. Az EUB szerint a Fashion ID azért járult hozzá a honlapjának látogatóira vonatkozó személyes adatok gyűjtéséhez és továbbítás általi közléséhez, hogy hasznot húzhasson az árui szélesebb körben történő reklámozására irányuló kereskedelmi előnyből, mivel ezeket az adatkezelési műveleteket mind a Fashion ID, mind pedig a Facebook Ireland gazdasági érdekében végzik, az utóbbi számára pedig az tekinthető a Fashion ID‑nak nyújtott előny ellenértékének, hogy ezekkel az adatokkal saját kereskedelmi célokból rendelkezhet.

Az a körülmény, hogy magának a Fashion ID‑nak nincs hozzáférése a közösségi modul azon szolgáltatója számára gyűjtött és továbbított személyes adatokhoz, akivel együttesen határozza meg a személyes adatok kezelésének módját és céljait, nem zárja ki, hogy a 95/46 irányelv 2. cikkének d) pont értelmében „adatkezelőnek” minősülhessen.

Az EUB hangsúlyozta, hogy a honlapokat olyanok is látogatják, akik nem tagjai a Facebook közösségi hálózatnak, de a Facebook „Tetszik” gombot tartalmazó honlap puszta megtekintése elindítja a személyes adataik Facebook Ireland általi kezelését.

A fentiek alapján az EUB megállapította, hogy a Fashion ID a 95/46 irányelv 2. cikkének d) pontja értelmében a Facebook Irelanddel együtt „adatkezelőnek” minősül a honlapjára látogatókra vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére irányuló műveletek tekintetében.

A jogos érdek megítélése

A kérdést előterjesztő bíróság negyedik kérdése arra vonatkozott, hogy, amikor a honlap‑üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, a honlap‑üzemeltetőnek vagy a közösségi modul szolgáltatójának a jogos érdekét kell figyelembe venni, mint adatkezelési jogalapot.

Az irányelv 7. cikkének f) pontja három együttes feltételhez köti a személyes adatok kezelésének jogszerűségét: az első feltétel az adatkezelő, vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítése, a második feltétel az, hogy a személyes adatok kezelése valamely jogos érdek érvényesítéséhez szükséges, a harmadik pedig, hogy az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek.

Az EUB szerint a közös adatkezelésre tekintettel a honlapra látogatókra vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére irányuló műveletek tekintetében, mindkét adatkezelő esetében fenn kell állnia ezen adatkezelési műveletek tekintetében a 95/46 irányelv 7. cikkének f) pontja szerinti jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősíteni ezeket a műveleteket.

Az érintettek tájékoztatása és a hozzájárulás beszerzése

A kérdést előterjesztő bíróság együttesen vizsgálandó ötödik és hatodik kérdése lényegében arra irányult, hogy egyrészt a 95/46 irányelv 2. cikkének h) pontját és 7. cikkének a) pontját úgy kell‑e értelmezni, hogy amikor a honlap‑üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon, akkor a honlap‑üzemeltetőnek vagy a közösségi modul szolgáltatójának kell beszereznie az e rendelkezések szerinti hozzájárulást, másrészt pedig, hogy az ezen irányelv 10. cikkét úgy kell‑e értelmezni, hogy a honlap fenntartóját ilyen esetben az ebben a rendelkezésben előírt tájékoztatási kötelezettség terheli.

A 95/46 irányelv alapján az érintetti hozzájárulás beszerzésére vonatkozó kötelezettségnek, valamint az irányelv 10. cikkében előírt tájékoztatási kötelezettségnek arra a személyesadat‑kezelési műveletre vagy műveletcsoportra kell vonatkoznia, amelynek céljait és módját ténylegesen az adatkezelő határozza meg.

Az érintettnek a hozzájárulását a személyes adatainak gyűjtését és továbbítás általi közlését megelőzően kell megadnia. Az EUB értékelése szerint a hozzájárulás beszerzése a honlap üzemeltetőjének, nem pedig a közösségi modul szolgáltatójának feladata, mivel a személyesadat‑kezelési folyamatot az indítja el, hogy a látogató megtekinti ezt a honlapot. Nem lenne megfelelő az érintett jogainak védelme szempontjából, ha a hozzájárulást annak a közös adatkezelőnek kellene adni, aki csak egy későbbi szakaszban játszik szerepet, vagyis az említett modul szolgáltatójának. Az érintett honlap‑üzemeltetőnek adandó hozzájárulás azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen a honlap‑üzemeltető határozza meg. Ugyanez vonatkozik a 95/46 irányelv 10. cikkében előírt tájékoztatási kötelezettségre is.

(curia.europa.eu)

---