Akár jelentős bírsággal is zárulhatott volna, de végül még 2019-ben peren kívüli megegyezéssel és a Facebook adatkezelésének változtatásával zárult a Patel v. Facebook ügy [1]. A felperesek azt vitatták, hogy a Facebook kifejezett beleegyezésük nélkül készítette és használta arclenyomatukat, mint biometrikus adatukat, ezzel megsértve a – jogszabály által is védett – magánszférához való jogukat.

Egy-egy fénykép, videó, s már el is készült rólunk egy arclenyomat, melyen alapvetően nem tudunk változtatni. Közelednek az ünnepek, érdemes áttekinteni a Facebook arcfelismerési beállításait, mely kontrollálásával meghatározhatjuk, hogy engedélyezzük-e egy ún. arcfelismerési sablon létrehozását, mellyel összevethető más fénykép, videó tartalma, az adott személyt keresve.

A Patel v. Facebook ügy fő kérdése az volt, hogy egy ilyen, modern technológia által okozott sérelem esetén is megvalósult-e a tényleges “károkozás”. A precedens értékű ügy hatással lehet az Általános adatvédelmi rendelet, vagyis a GDPR 79. cikke által lehetővé tett bírósági igényérvényesítés fejlődésére is, bizonyítva, hogy a magánszféra sérelme igenis valódi érdeksérelem a XXI. században, amelyet mind az érintetteknek, mind az adatkezelőknek komolyan kell venniük.

Az amerikai fellebbviteli bíróság igazoltnak látta a kerületi bíróság döntését, amely szerint az amerikai polgári perrendtartás szövetségi szabályai (Federal Rules of  Civil Procedure) 23. szakasza alapján létrehozott csoport magánszférához való jogát megsértette a Facebook azzal, hogy az általa alkalmazott arcfelismerő technológia a illinois-i Biometrikus Adat Védelméről szóló törvény (Biometric Information Privacy Act, továbbiakban: BIPA) rendelkezéseibe ütközött.

Az eset alapja, hogy a Facebook 2010-ben bevezette az ún. jelölési, taggelési funkciót. Amennyiben ez nem volt letiltott a felhasználó fiókjában – a tiltáshoz külön felhasználói beavatkozásra volt szükség -, a Facebook arcfelismerő technológiát használhatott, annak céljából, hogy felmérje, az adott személy ismerősei által feltöltött fényképek, videók között megtalálható-e a személy. Amikor egy fényképet feltöltöttek, a technológia azt vizsgálta és egyúttal döntést is hozott, hogy arcok találhatók-e rajta vagy sem. Ha igen, akkor az algoritmus olyan egyedi jellemzőket vizsgált a képen, amelyek az arcot azonosíthatóvá tették, így például a két szem közötti távolság, az orr és a fülek formája, amely alapján egy arclenyomat vagy arctérkép generálható. Így egy, a felhasználó profiljához rendelhető arclenyomat jött létre.

Ha a felhasználó egy ismerőse által újonnan feltöltött fényképen a rendszer által beszkennelt arc és a már meglévő, profilhoz rendelt arclenyomat megegyezett, akkor a Facebook javasolta az adott személy megjelölését a fotón. A Facebook az arclenyomatokat a szerverein tárolta, amelyek kilenc adatközpontban voltak megtalálhatók, összesen hat államban, míg a társasági székhely Kaliforniában van.

Ezt méltánytalannak és sérelmesnek érezve Illinois-ban élő Facebook felhasználók csoportos keresetet, ún. class action-t indítottak a kaliforniai helyi, kerületi bíróságon 2015 augusztusában, azt állítva, hogy a Facebook arcfelismerő technológiája sérti az illinois-i jogot, jelesül a már említett BIPA-t.

A BIPA 14. szakasza értelmében a törvényben foglalt jogok megsértése esetén az érintett személyt jogorvoslati lehetőség illeti meg a jogsértő féllel szemben. A felperesek szerint a Facebook a BIPA 15(a) és 15(b) szakaszait – és ezáltal a magánszférához való jogukat – sértette meg azzal, hogy gyűjtött, felhasznált és tárolt biometrikus azonosítókat – az arcgeometria beszkennelésével és feldolgozásával – anélkül, hogy írásos hozzájárulást kért volna és megfelelő megőrzési időt határozott volna meg. A fellebbviteli bíróság a következő, az érvelés két végpontján álló eseteket hozta példának, amelyek véleményem szerint is kiválóan szemléltetik az érdeksérelem ténylegességének vizsgálatakor figyelembe veendő, alapvetően ellentétes szempontokat.

Az egyik ügyben, a Van Patten v. Vertical Fitness Group, LLC esetnél az amerikai telefonos fogyasztóvédelmi törvény (Telephone Consumer Protection Act, továbbiakban: TCPA) alapján nem megengedett, hogy telemarketinges ügynök telefonon vagy szöveges üzenetben megkeresse az érintettet, annak hozzájárulása nélkül. Mindennek ellenére a megkeresések megtörténtek. A bíróság úgy érvelt, hogy a TCPA meghatározta a felperes lényeges, magánszférához való jogát, az ahhoz való jogot, hogy ne kapjon kéretlen hívásokat vagy üzeneteket, amelyek behatolnak a magánszférájába és szükségtelenül zavarják. Mivel pedig a telemarketinges hívása éppen ezt a jogot sértette, a bíróság azt állapította meg, hogy a felperesnek nem kell további sérelmet bizonyítania azon felül, amelyet már a jogszabály is meghatározott, így a konkrét eset megalapozza a tényleges sérelmet.

Ezzel ellentétben a Bassett v. ABM Parking Services, Inc. esetben az amerikai tisztességes hitelinformációról szóló törvény (Fair Credit Reporting Act, továbbiakban: FCRA) előírása szolgált alapul, amely szerint az egyes vállalkozásoknak meghatározott bankkártya-adatokat tilos szerepeltetni a kinyomtatott bizonylatokon, így például a kártya lejárati dátumát, az adott személy pénzügyi adatainak védelme érdekében. A felperes azt állította, hogy a parkolóház ezt a követelményt sértette meg azzal, hogy az automata által kiadott bizonylaton a kártya teljes lejárati dátuma olvasható volt. A bíróság azt állapította meg, hogy bár az FCRA valóban előírja, hogy az érintett pénzügyi adatai védendők a nyilvánosságra hozataltól, azonban az esetben felperesen kívül más nem láthatta a lejárati dátumot, így ebben az esetben a felperes nem állíthatta megalapozottan, hogy tényleges sérelem érte, még akkor sem, ha a jogszabálysértés ténye nem vitatható.

Ezeket sarokkövekként véve a bíróság érvelése szerint, amint egy adott érintett arclenyomata elkészül, a Facebook azt használhatja az érintett azonosítására a Facebookra naponta százmilliós nagyságrendben feltöltött kép bármelyikén, továbbá így az algoritmus alkalmas annak meghatározására is, hogy az érintett egy adott földrajzi helyen tartózkodott. A Facebook emelett azonosítani tudja az érintett Facebook barátait vagy ismerőseit, akik a fényképen szerepelnek. A technológia jövőbeli fejlődésére is figyelemmel valószínűsíthető, hogy az arclenyomat alapján a későbbiekben az érintett egy térfigyelő kamera – akár irodai, akár utcai – képe alapján azonosíthatóvá válik. Vagy a biometrikus lenyomat arra is használható, hogy az érintett telefonjának zárját feloldják vele. A bíróság megállapítása szerint az arcfelismerő algoritmussal készített arclenyomat hozzájárulás nélküli elkészítése az érintett magánszféráját és meghatározott érdekeit sérti. A fellebbviteli bíróság szerint a BIPA védelme különösen fontos a modern, digitális világban, mert amint egy piaci szereplő nem tartja be a jogszabályi korlátokat, az azt eredményezi hogy az egyén biometrikus adataihoz való joga rögvest szertefoszlik.

Az eset rávilágított, hogy a fellebbviteli bíróság mennyire hatékonyan ki tudja tágítani a “sérelem” fogalmát. Mivel az ügy peren kívüli megegyezéssel zárult, nem ismerhettük meg a bíróság döntését a tényleges sérelem mértékéről és a kapcsolódó kompenzációról. 

Ugyanakkor a BIPA által meghatározott, jogsértésenkénti 5000 dollár, a Facebook nagyszámú felhasználóját is figyelembe véve, könnyen dollármilliárdokban mérhető veszteséget okozott volna az alperesnek. Ugyanakkor az bizonyosan elmondható, hogy a fellebbviteli bíróság a sérelem tág értelmezésével egyrészt kitárta a kaput az érintettek igényérvényesítésének, másrészt az adatkezelőket még fokozottabb jogkövető magatartására ösztönzi az egyes tagállami jogszabályok követése és betartása kapcsán.

Az esetet követően a Facebook egyébként változatott a gyakorlatán, így amennyiben az arcfelismerés nincsen kifejezetten bekapcsolva a beállításokban, úgy a Facebook nem javasolja automatikusan a barátoknak, hogy jelöljék be a felhasználót a fotókon. A felhasználók manuálisan továbbra is tudnak jelölni másokat, de a Facebook nem ad külön javaslatokat javaslatokat adni, ha a felhasználónál az arcfelismerés nincsen bekapcsolva.

Az eset tanulságos és látható, hogy az érintettek igényérvényesítése és a bíróságok általi tág jogértelmezés egyaránt szükséges ahhoz, hogy az adatok, mint a XXI. század legértékesebb nyersanyagának védelme méltó helyre kerüljön az állampolgárok jogai között. Az egyesült államokbeli precedens és a remélhetőleg ezt követő további esetek segíthetnek minket abban, hogy a szabályozás – így például a GDPR 79. cikke, illetve Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 24. §-a – kiegészítő értelmezésével a joggyakorlást megkönnyítsék. Addig is érdemes átgondolni ezen beállításokat.

______________________________________________________________________________

1Patel v. Facebook, Inc., No. 3:15-cv-03747 (N.D. Cal.)