A Facebook „Tetszik” gombjával ellátott honlap üzemeltetője a honlap látogatójára vonatkozó személyes adatok gyűjtése és a Facebook részére történő továbbítása tekintetében a Facebookkal közös adatkezelőnek minősülhet. Főszabály szerint azonban nem minősül adatkezelőnek az ezen adatoknak kizárólag a Facebook általi későbbi kezelése tekintetében – áll az Európai Unió Bíróságának ítéletében.
A C-40/17. sz. ügyben hozott ítélet – Fashion ID GmbH & Co. KG kontra Verbraucherzentrale NRW eV
A német Fashion ID online divatruha-értékesítő vállalkozás elhelyezte honlapján a Facebook „Tetszik” gombot. Ez azzal a következménnyel jár, hogy ha egy látogató megtekinti a Fashion ID honlapját, akkor a személyes adatait továbbítják a Facebook Ireland részére. Ez a továbbítás az említett látogató tudomása nélkül megy végbe, függetlenül attól, hogy tagja-e a Facebook közösségi hálózatnak, vagy hogy rákattintott-e a „Tetszik” gombra.
A német Verbraucherzentrale NRW közhasznú fogyasztói érdekvédelmi egyesület azt kifogásolja, hogy a Fashion ID a honlapját felkereső egyének személyes adatait – egyrészt azok tudomása nélkül, másrészt a személyes adatok védelmére vonatkozó rendelkezésekben előírt tájékoztatási kötelezettségeket megsértve – a Facebook Ireland részére továbbította.
A jogvitában eljáró Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) az 1995-ös korábbi adatvédelmi irányelv1 több rendelkezésének értelmezését kéri a Bíróságtól (amelyek az ügyre alkalmazandók voltak, és amelyeket a 2018. május 25-től alkalmazandó 2016-os adatvédelmi rendelet2 felváltott).
Ítéletében a Bíróság mindenekelőtt tisztázza, hogy a korábbi adatvédelmi irányelvvel nem ellentétes az, hogy a fogyasztói érdekvédelmi egyesületek bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértő személlyel szemben. A Bíróság rámutat, hogy az új általános adatvédelmi rendelet jelenleg kifejezetten rendelkezik is erről a lehetőségről.
A Bíróság ezt követően megállapítja, hogy úgy tűnik, hogy a Fashion ID nem minősíthető adatkezelőnek az adatok továbbítását követően a Facebook Ireland által végzett adatkezelési műveletek tekintetében. Első látásra ugyanis kizártnak tűnik, hogy a Fashion ID határozná meg ezeknek a műveleteknek a céljait és módját.
A Fashion ID ezzel szemben a Facebook Irelanddel közös adatkezelőnek minősíthető a szóban forgó személyes adatok gyűjtésére és a Facebook Ireland részére történő továbbítás általi közlésére irányuló műveletek tekintetében, amennyiben megállapítható (és ezt az Oberlandesgericht Düsseldorfnak kell megvizsgálnia), hogy a Fashion ID és a Facebook Ireland együttesen határozza meg ezek céljait és módját.3
Többek között úgy tűnik, hogy a Facebook „Tetszik” gombjának a Fashion ID által a honlapján történő elhelyezése lehetővé teszi utóbbi számára az árui reklámozásának optimalizálását azáltal, hogy láthatóbbá teszi azokat a Facebook közösségi hálózatán, amikor a honlapjának látogatója rákattint az említett gombra. Úgy tűnik, hogy a Fashion ID azért járult hozzá – legalábbis hallgatólagosan – a gomb elhelyezése révén a honlapjának látogatóira vonatkozó személyes adatok gyűjtéséhez és továbbítás általi közléséhez, hogy hasznot húzhasson ebből a kereskedelmi előnyből. Úgy tűnik tehát, hogy ezeket az adatkezelési műveleteket mind a Fashion ID, mind pedig a Facebook Ireland gazdasági érdekében végzik, az utóbbi számára pedig az tekinthető a Fashion ID-nak nyújtott előny ellenértékének, hogy ezekkel az adatokkal saját kereskedelmi célokból rendelkezhet.
A Bíróság hangsúlyozza, hogy a Fashion ID-hoz hasonló honlap-üzemeltetőnek, mint a honlapjára látogatók személyes adataira irányuló egyes adatkezelési műveletek – például a honlapjára látogatók személyes adatainak gyűjtése a Facebook Ireland részére történő továbbítása – tekintetében (közös) adatkezelőnek már az adatgyűjtés időpontjában a honlaplátogatók rendelkezésére kell bocsátania bizonyos – például a kilétére és az adatkezelés céljára vonatkozó – információkat.
A Bíróság pontosításokat tesz továbbá a jogszerű személyesadat-kezelés irányelvben előírt hat esete közül kettővel kapcsolatban.
Azzal az esettel kapcsolatban, amikor az érintett hozzájárulását adta, a Bíróság úgy határozott, hogy a Fashion ID-hoz hasonló honlap-üzemeltetőnek a hozzájárulást (kizárólag) azon műveletek tekintetében kell előzetesen beszereznie, amelyekért (együttesen) felel, vagyis az adatok gyűjtése és továbbítása tekintetében.
Azzal az esettel kapcsolatban, amikor az adatkezelés jogos érdek érvényesítéséhez szükséges, a Bíróság úgy határozott, hogy mindkét (társ)adatkezelő esetében, nevezetesen a honlap-üzemeltető és a közösségimodul-szolgáltató esetében is fenn kell állnia a személyes adatok gyűjtése és továbbítása tekintetében a jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősíteni e műveleteket.
_________________________________________________________________________________
1A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24 i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).
2A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27 i (EU) 2016/679 európai parlamenti és tanácsi rendelet (HL 2016. L 119., 1. o.; helyesbítés: HL 2016. L 314., 72. o.).
3Emlékeztetőül: a Bíróság a 2018. június 5-i Wirtschaftsakademie Schleswig Holstein ítéletben (C-210/16; lásd: CP 81/18) kimondta, hogy a Facebookon fenntartott rajongói oldal adminisztrátora a Facebookal együttesen felel az oldal látogatóira vonatkozó személyes adatok kezeléséért.
