A közösségi médiamegjelenés adatvédelmi buktatói

Minden cég márkaépítésének és kommunikációjának egyik legfontosabb platformja a közösségi média. Szinte elképzelhetetlen, hogy egy jól felépített Facebook, LinkedIn, Instagram, vagy YouTube felület nélkül hatékonyan tudjuk megszólítani ügyfeleinket vagy leendő munkavállalóinkat. Sokan elfeledkeznek azonban arról, hogy a fényképek, videók közzététele szinte minden esetben személyes adatok kezelésével jár, ha pedig az ebből eredő feladatainkra elmulasztunk ügyelni, könnyen elégedetlen ügyfelekkel, jogosan felháborodott munkavállalókkal, végső esetben pedig adatvédelmi bírsággal találhatjuk szemben magunkat.

A közösségi médiamegjelenés adatvédelmi kérdéseiről Dr. Gera Dániel, ügyvéd, munkajogász, a Schönherr Hetényi Ügyvédi Iroda partnere és munkajogi praxisának vezetője és Dr. Hegyi Áron Antal, ügyvédjelölt, a Schönherr Hetényi Ügyvédi Iroda munkatársa beszéltek a Wolters Kluwer Hungary által szervezett webináriumon. A webinárium felvételét itt tekintheti meg. 

Mire használjuk a közösségi média felületeit? 

Az előadók mindenekelőtt fontosnak tartották tisztázni, hogy mi a közösségi média funkciója, mi az, amire a céges közösségi média felületet használjuk. Elsődleges rendeltetése a megosztás (share), amely lehetővé teszi, hogy a követőkhöz eljusson az adott tartalom. 

A cégeknek figyelembe kell venni azt is, hogy amit ebben a minőségünkben tesznek közzé a közösségi médiában, az gyakran olyan emberekhez is eljut, akikről nem is gondolják, hogy figyelemmel kísérik ezeket a felületeket. Sok esetben a posztokban személyes adatokat – jellemzően képeket – is közzétesznek. Az előadók hangsúlyozták, hogy kiemelt figyelmet kell fordítani a közösségi médiatartalmakkal kapcsolatos adatvédelmi szabályozásra. 

A legtöbbet használt platformok jelenleg Európában a Facebook, a Twitter, a YouTube, a LinkedIN, az Instagram, a Pinterest, a TikTok, valamint a Snapchat. 

A platformok rövid bemutatása 

• Facebook: eredetileg egy egyetemi kapcsolattartásra létrejött felület volt, amely mára világméretűvé nőtte ki magát. A kapcsolattartáson túl használják a különböző rendezvényekre való meghívásra, az érdeklődési körnek megfelelő csoportokban való részvételre. 
• Instagram: világszerte népszerű, nagy felhasználószámmal rendelkező kép-, illetve videómegosztó alkalmazás. 
• Twitter: Magyarországon kevésbé népszerű felület, különböző gondolatok (tweet-ek), hírek, illetve hozzájuk kapcsolódó képek megosztására használják. 
• YouTube: videómegosztó szolgáltatás. 
• LinkedIn: többek között álláshirdetések megjelenítésére használt felület. 
• Pinterest: különböző témákkal kapcsolatban képek megosztását teszi lehetővé. 
• TikTok: leginkább a 18 év alatti korosztály körében népszerű alkalmazás, rövid videók megosztására használható. 
• Snapchat: szintén rövid videók megosztásra alkalmas felület, amelyek a megosztás után csak korlátozott ideig érhetőek el. 

Mire használják a cégek a közösségi médiát? 

1. Általános információk közlése

A közösségi média vagy social media posztok elsődleges témáját az általános információk adják, ennek során az adott céggel kapcsolatos tudnivalókat bocsátják így a cégek az ügyfeleik rendelkezésére. Adatvédelmi vonatkozásai nem igazán vannak, hiszen itt főleg olyan posztokról lehet szó, amikor a cég egy egyszerű információt próbál átadni az ügyfeleknek (pl. „Megnyitott az új üzletünk!”). 

2. Interakció növelése, követők gyűjtése

A következő, talán leggyakrabban előforduló poszt-típus a cégek közösségi média oldalain megjelenő, interakció növelését célzó tartalom. Ilyenek lehetnek például a „Válaszolj a kérdésre!” posztok, vagy amikor arra buzdítják a követőket, hogy jelöljék meg egy ismerősüket a poszt alatt. Ezen posztok célja, hogy az adott felület interakcióját növelje, minél több látogatót érjen el, ezzel népszerűsítve a vállalat termékeit vagy szolgáltatásait. 

3. Employer branding

Egyre nagyobb népszerűségnek örvend manapság az employer-branding, amelyet adatvédelmi szempontból, illetve a közösségi média szempontjából úgy definiálhatunk, hogy egy cég próbál vonzóvá válni ügyfelei, illetve a leendő munkavállalók előtt. Sok esetben saját kollégái bevonásával róluk készült posztokat, fényképeket vagy céges rendezvényekről készült tartalmat oszt meg. Fontos azonban kiemelni, hogy ezeknek a posztoknak a többsége szinte minden alkalommal személyes adatok közlésével jár, amelyeket az adott cég kezel egy-egy ilyen poszt közzétételekor.
Előfordul, hogy ezeket a munkavállalókról, ügyfelekről készült kép-, videó-, illetve hangfelvételeket a cég úgy teszi közzé a különböző platformokon, hogy nem kér hozzájárulást az ügyfelektől, munkavállalóktól. Alapvetően két eset látható, hogy miért nem szerzi be a cég az érintettektől a hozzájárulást. 

Az első, viszonylag egyszerűbb eset az, hogy a cég egy másik adatkezelési jogalapot határoz meg a személyes adatok kezelésére. A GDPR 6. cikke összesen hat jogalapot sorol fel, amely alapján személyes adatokat lehet kezelni, ezek közül a legelső a hozzájárulás, azonban a másik öt jogalapon is érvényesen lehet ezen adatokat kezelni. A hozzájárulás bekérésének a hiánya elsőlegesen azért fordulhat elő, mert arra hivatkozik a cég, hogy nem hozzájárulás alapján kezelik a social médiában megjelenő fényképeket, hanem egy másik adatkezelési jogalapon, ami jellemzően az adatkezelő jogos érdeke. A jogos érdek lényege, hogy kifejezett hozzájárulás hiányban is lehet a személyes adatokat kezelni, azonban az adatkezelőnek kell azt bizonyítania, hogy a cég népszerűsítéséhez fűzött érdek erősebb, mint a magánszemély személyes adatainak védelméhez való joga. 

A másik eset, amikor a munkavállaló vagy az ügyfél aláír ugyan egy hozzájáruló nyilatkozatot, azonban az valamilyen oknál fogva adatvédelmi jogi szempontból érvénytelen. Ennek elsődleges oka az lehet, hogy a cégek nincsenek tisztában azzal, hogy mik a hozzájárulás pontos követelményei. Itt fontos megemlíteni, hogy a hozzájárulás az adatvédelmi jogban más jelentéssel bír, mint a hétköznapi nyelvben. Hétköznapi értelemben hozzájárulásnak számít az, ha valaki például tud arról, hogy róla videó készül, nem tiltakozik a megjelenés ellen vagy ráutaló magatartással hozzájárul ahhoz. Ezzel szemben az adatvédelmi jogban azt tekintjük hozzájárulásnak, amit megfelelő tájékoztatást követően, önkéntesen ad valaki, illetve konkrétan meg van jelölve, hogy mire, mihez adja hozzájárulását. Ennek megfelelően az adatvédelmi jogban a „tud róla” és a „nem tiltakozik” nem elegendő ahhoz, hogy a hozzájárulás elfogadható legyen, ezért ráutaló magatartással nem lehet hozzájárulni az adatkezeléshez. 

4. Az érvényes adatvédelmi hozzájárulás feltételei

Az első, illetve legfontosabb eleme az érvényes hozzájárulásnak az önkéntesség. Az adatvédelmi hatóság, illetve több más EU-s jogalkalmazó szerv is kimondta már azt, hogy munkaviszonyban a hozzájárulás önkéntessége nagyon ritkán áll fenn. Ennek oka abban keresendő, hogy a munkaviszony jellegéből adódóan egy alá-fölé rendeltségi viszony van a munkavállaló és a munkáltató között.
Megtörtént eset, hogy egy adott cégnél 8 értékesítő munkatárs dolgozott és a cég egy kilencedig sales-es kolléga felvételén gondolkozott. A munkavállalótól az ügyvezető megkérdezte, hogy hozzájárul-e ahhoz, hogy a korábbi 8 kolléga mellett ő is megjelenjen a cég weboldalán. Ebben az esetben érezhető az, hogy ez a hozzájárulás nem lesz feltétlenül önkéntes, hiszen az interjú résztvevője alappal tarthat attól, hogy ha az értékesítő munkatársak közül egyedül ő nem járul hozzá ahhoz, hogy a weboldalon megjelenjen, akkor nem fogják alkalmazni az adott cégnél. 

Problémát okozhat a hozzájárulás tekintetében a visszavonás kérdése. Az adatvédelmi jog szerint ugyanis a hozzájárulás bármikor visszavonható. Könnyű belátni, hogy a közösségi médiában kezelt adatok esetén a munkáltató vagy a cég nincs mindig abban a helyzetben, hogy egy hozzájárulás visszavonás esetén a további adatkezelést megszüntesse. 

Általában a hozzájáruló nyilatkozatokat a cégek a belépő munkavállalókkal íratják alá, ilyenkor egy általános, minden social media felületre kiterjedő nyilatkozatról van szó, amiben az aláíró minden közösségi médiás adatkezeléshez (készítéshez, publikáláshoz, továbbításhoz) hozzájárul. Az ilyen általános hozzájáruló nyilatkozatoknál gyakran hiányzik a konkrétság eleme, ami a nyilatkozat érvénytelenségét eredményezi. 

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy korábbi, Magyar Éremkibocsátóval szemben kiszabott 30 millió forintos adatvédelmi bírságról szóló döntésben egyértelműen úgy foglalt állást, hogy a konkrétságból az is következik, hogy csatornánként (platformonként) kell a munkavállalónak a hozzájárulást megadni az adatkezeléshez. Példával szemléltetve: ha a munkavállaló ahhoz adja hozzájárulását, hogy személyes adatait a LinkedIN felületére posztolhatja a cég, akkor pusztán ezen hozzájárulásra alapítva nem posztolhatja a személyes adatokat a cég a Facebookra, hiszen ehhez egy külön hozzájárulásra lenne szükség a munkavállalótól. 

Bonyolítja a helyzetet az is, hogy amikor létrejön a munkaviszony, és az új munkavállaló aláírja ezeket a nyilatkozatokat, akkor egy olyan személyes adat, kép publikálásához járul hozzá, ami még nem is létezik. 

Mindezekre tekintettel azt a következtetést vonhatjuk le, hogy a munkaviszonyokban a felek között aláírt hozzájáruló nyilatkozatok nagy része érvénytelen vagy az önkéntesség, vagy a konkrétság hiánya miatt. Ebből kifolyólag pedig az adatkezelés jogellenes, ami egy adatvédelmi hatósági vizsgálat esetén azt eredményezi, hogy a cég nem tudja bizonyítani a hozzájárulás jogszerűségét, amely akár bírság kiszabását is vonhatja maga után. 

Olvasson tovább itt a közösségi média használatakor felmerülő leggyakoribb problémákról, valamint arról, hogy mi lesz az adatok sorsa a közösségi médiában és mik a jogszerű közzététel feltételei. 

A teljes előadás itt ingyenesen elérhető. 

A Wolters Kluwer Hungary a Jogászvilág kiadója.  A cikk a Wolters Kluwer Hungary termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz. 

---