A Facebook rajongói oldal adminisztrátora a Facebookkal együttesen felelős az oldalát meglátogató személyek adatainak kezeléséért . Azon tagállam adatvédelmi hatósága, amelyben ezen adminisztrátor székhelye található, a 95/46 irányelv (1) alapján felléphet ezen adminisztrátorral és a Facebook ugyanezen tagállamban letelepedett leányvállalatával szemben is – áll az Európai unió Bíróságának ítéletében.
A C-210/16. sz. ügyben hozott ítélet Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein kontra Wirtschaftsakademie Schleswig-Holstein GmbH
A német Wirtschaftsakademie Schleswig-Holstein társaság az oktatás területén tevékenykedik. Képzési szolgáltatásokat ajánl a Facebookon a www.facebook.com/wirtschaftsakademie címen fenntartott rajongói oldalán.1
A rajongói oldalak adminisztrátorai, így a Wirtschaftsakademie, ezen oldalak látogatóira vonatkozó anonim statisztikai adatokhoz juthatnak a Facebook által ingyenesen és nem módosítható felhasználási feltételek mellett a rendelkezésükre bocsátott Facebook Insights elnevezésű eszköz révén. Ezen adatokat olyan, két évig működőképes és a Facebook által a rajongói oldal látogatói számítógépének merevlemezére vagy más eszközére mentett információcsomagok („cookie-k” vagy „sütik”) segítségével gyűjtik, amelyek mindegyike egyedi felhasználói azonosítót tartalmaz. Ezen azonosítót, amely összefüggésbe hozható a Facebookon regisztrált felhasználó bejelentkezési adataival, a rajongói oldalak megnyitásának pillanatában gyűjtik be és kezelik.
Az Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Schleswig Holstein-i független regionális adatvédelmi hatóság, Németország) felügyelő hatóságkénti minőségében – amelynek feladata a 95/46 adatvédelmi irányelv2 értelmében a Németország által ezen irányelv értelmében elfogadott rendelkezéseknek a Schleswig–Holstein szövetségi tartomány területén történő alkalmazásának felügyelete – 2011. november 3-i határozatával rajongói oldalának felfüggesztésére kötelezte a Wirtschaftsakademie-t. Az Unabhängiges Landeszentrum szerint ugyanis sem a Wirtschaftsakademie, sem pedig a Facebook sem tájékoztatta a rajongói oldal látogatóit arról, hogy utóbbi cookie-k segítségével gyűjtött rájuk vonatkozó személyes adatokat, valamint ezt követően kezelték ezen információkat.
A Wirtschaftsakademie kerestet indított e határozat ellen a német közigazgatási bíróságok előtt arra hivatkozva, hogy a személyes adatok Facebook általi kezelése nem tudható be neki, és általa ellenőrzött vagy befolyásolható adatkezeléssel sem bízta meg a Facebookot. A Wirtschaftsakademie ebből azt a következtetést vonta le, hogy az Unabhängiges Landeszentrumnak közvetlenül a Facebookkal szemben kellett volna fellépnie, és nem vele szemben.
E körülmények között határozott úgy a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Németország), hogy a 95/46 adatvédelmi irányelv értelmezését kéri a Bíróságtól.
A mai napon kihirdetett ítéletében a Bíróság mindenekelőtt megállapítja, hogy a jelen ügyben nem kétséges, hogy az amerikai Facebook társaságot, az Unió tekintetében pedig annak ír leányvállalatát, a Facebook Irelandot kell a Facebook-használók, valamint a Facebookon fenntartott rajongói oldalakat korábban meglátogató személyek személyes adatai „kezelőjének” tekinteni. E társaságok határozzák meg ugyanis elsődlegesen ezen adatok kezelésének céljait és módját.
A Bíróság ezt követően megállapítja, hogy a Wirtschaftsakademie-hez hasonló adminisztrátort a Facebook Irelanddal együttesen kell a kérdéses adatok kezeléséért felelős személynek minősíteni az Unióban.
Az ilyen adminisztrátor ugyanis a (többek között a célközönsége, valamint a saját tevékenységeinek irányítási vagy reklámozási céljai alapján végzett) beállítási tevékenysége révén részt vesz a rajongói oldalát meglátogató személyek személyes adatai kezelésének céljai és módja meghatározásában. A Bíróság e tekintetben kiemeli, hogy a rajongói oldal adminisztrátora (anonimizált formában) kérheti a célközönségére (többek között annak kor, nem, családi állapot és szakmai helyzet szerinti összetételre) vonatkozó demográfiai adatok, a célközönsége életmódjára és érdeklődési körére vonatkozó adatok (ideértve az oldalát meglátogató személyek online vásárlásaira és vásárlási szokásaira, továbbá az őket leginkább érdeklő termékek vagy szolgáltatások kategóriáira vonatkozó adatokat is), ezenfelül olyan földrajzi adatok gyűjtését – tehát ilyen adatok kezelését –, amelyek alapján a rajongói oldal adminisztrátora eldöntheti, hogy hol nyújtson különleges kedvezményeket vagy szervezzen eseményeket, és általában célzottabbá teheti az információszolgáltatását.
A Bíróság szerint az, hogy valamely rajongói oldal adminisztrátora a Facebook által létrehozott felületet az ahhoz kapcsolódó szolgáltatások igénybe vétele céljából használja, nem mentesíti őt a személyes adatok védelme terén fennálló kötelezettségeinek tiszteletben tartása alól.
A Bíróság kiemeli, hogy a közösségi hálózat üzemeltetőjének és az e hálózaton fenntartott rajongói oldal adminisztrátorának az e rajongói oldal látogatóira vonatkozó személyes adatok kezelése tekintetében fennálló együttes felelősségének elismerése hozzájárul azon jogok teljesebb védelmének biztosításához, amelyekkel a rajongói oldalt meglátogató személyek a 95/46 adatvédelmi irányelv követelményeinek megfelelően rendelkeznek.
A Bíróság továbbá megállapítja, hogy az Unabhängiges Landeszentrumnak kiterjed a hatásköre arra, hogy a személyes adatok védelmére vonatkozó szabályok német területen történő tiszteletben tartásának biztosítása érdekében a 95/46 irányelvet átültető nemzeti rendelkezések alapján rendelkezésére álló valamennyi jogkörét ne csak a Wirtschaftsakademie-vel szemben, hanem a Facebook Germany-val szemben is gyakorolja.
Ugyanis, amennyiben valamely, az Unión kívül letelepedett vállalkozás (mint az amerikai Facebook társaság) különböző tagállamokban több telephellyel rendelkezik, valamely tagállam felügyelő hatósága még akkor is gyakorolhatja a 95/46 irányelv3 értelmében ráruházott jogosultságokat az e tagállam területén letelepedett szervezettel szemben, ha a vállalatcsoporton belüli feladatmegosztás alapján egyfelől e szervezet (a jelen ügyben a Facebook Germany) az szóban forgó tagállam területén kizárólag a hirdetési felületek értékesítéséért és más marketingtevékenységekért felel, másfelől a személyes adatok gyűjtésének és kezelésének kizárólagos felelőssége az Unió egész területén egy másik tagállamban letelepedett szervezetre (a jelen ügyben Facebook Irelandre) hárul.
A Bíróság továbbá rámutat arra, hogy amennyiben valamely tagállam felügyelő hatósága (a jelen ügyben a németországi Unabhängiges Landeszentrum) a személyes adatok védelmére vonatkozó szabályoknak az ezen adatok kezeléséért felelős és egy másik tagállamban székhellyel rendelkező harmadik személy (a jelen ügyben a Facebook Ireland) általi megsértése miatt az e tagállam területén letelepedett szervezettel (a jelen ügyben a Wirtschaftsakademie-vel) szemben kívánja gyakorolni a 95/46 irányelvben szereplő beavatkozási jogköreit4, e felügyelő hatóság hatásköre kiterjed arra, hogy az utóbbi tagállam (Írország) felügyelő hatóságától függetlenül értékelje az ilyen adatkezelés jogszerűségét, és a területén letelepedett szervezettel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy e másik tagállam felügyelő hatóságát előzetesen beavatkozásra hívná fel.
_________________________________________________________________________________
1A rajongói oldalak olyan felhasználói fiókok, amelyeket magánszemélyek vagy vállalkozások hozhatnak létre. Ennek érdekében a rajongói oldal létrehozója, miután regisztrálta magát a Facebookon, a Facebook által kifejlesztett felületet felhasználhatja arra, hogy bemutassa magát e közösségi oldal felhasználóinak és a rajongói oldal látogatóinak, valamint bármilyen tartalmat megosszon a média- és véleménypiacon.
2A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.). Ezen irányelvet 2018. május 25-i hatállyal hatályon kívül helyezte a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i európai parlamenti és tanácsi (EU) 2016/679 rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.).
3Konkrétan a 95/46 irányelv 28. cikkének (3) bekezdése.
4Konkrétan az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, valamint az adatkezelés átmeneti vagy végleges tilalma (a 95/46 irányelv 28. cikkének (3) bekezdése).
