Adatkezeléssel kapcsolatos ügyben döntött az EUB

  • 2019/08/12
  • Kutatócsoport2

Újabb Facebookkal kapcsolatos ügyben hozott döntést az Európai Unió Bírósága. A tényállás szerint a német Fashion ID online divatruha-értékesítő vállalkozás saját weboldalán elhelyezte a Facebook “Tetszik” gombját. Azoknak a felhasználóknak az adataik, akik az oldalra látogattak, automatikusan továbbításra kerültek a Facebook Ireland számára. Mindez úgy ment végbe, hogy a látogatók nem tudtak és nem egyeztek bele az adatközlésbe.

Egy német közhasznú fogyasztóvédelmi érdekegyesület azt kifogásolta a düsserdolfi regionális felsőbíróság előtt, hogy a Fashion ID megsértette a személyes adatok védelmére vonatkozó szabályozás által megkövetelt tájékoztatási kötelezettségét. Az Európai Unió Bírósága az eljárása során, a német nemzeti bíróság kérésére megállapította, hogy az új adatvédelmi rendelet lehetőséget biztosít ilyen esetekben a fogyasztóvédelmi szervezetek számára a kereset indítására.
A német bíróság által feltett második kérdés arra keresi a választ, hogy a Fashion ID honlap-üzemeltető jelen esetben adatkezelőnek minősül-e, ugyanis nincs befolyása a szolgáltatónak továbbított adatok kezelésére. A Bíróság a kérdés megválaszolásához a 95/46. irányelv 2. cikkének d) pontját vette figyelembe, amely kimondja, hogy adatkezelőnek minősül az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját.  Mindezekre tekintettel a Bíróság megállapította, hogy a Fashion ID nem minősíthető adatkezelőnek az adatok továbbítását követően, a Facebook Ireland által végzett adatkezelési műveleteket tekintetében.  Nem állapítható meg ugyanis, hogy a Fashion ID határozná meg az adatkezelési műveletek célját és módját.
   A Bíróság ugyanakkor megállapította, hogy a Fashion ID közös adatkezelőnek minősül a Facebook Irelanddel, az adatgyűjtés és azok továbbításának folyamata során. Ennek meghatározása során figyelemmel kell lenni a már korábban hivatkozott irányelv rendelkezéseire, miszerint az adatkezelés céljának és módjának meghatározója minősül adatkezelőnek. Azonban ennek a vizsgálatát a Bíróság a nemzeti bíróságok hatáskörébe utalja.
   Az Európai Unió Bírósága hangsúlyozta továbbá, hogy a Fashion ID-hoz hasonló honlap-üzemeltetőknek már az adatgyűjtés időpontjában a látogatók rendelkezésére kell bocsájtania bizonyos információkat az adatkezelőről (pl.: a kilétét).
  A nemzeti bíróság által feltett kérdésre válaszolva a Bíróság pontosításokat tett az adatvédelmi irányelv rendelkezéseihez. Abban az esetben, ha az adatkezelés jogos érdek érvényesítéséhez szükséges, a honlap-üzemeltető és a közösségimodul-szolgáltató esetében is fenn kell állnia a személyes adatok gyűjtése és továbbítása tekintetében a jogos érdeknek, hogy ezen tevékenységük jogszerűnek minősüljön.
  Az érintett hozzájárulása körében megállapításra kerül, hogy a hozzájárulás beszerzése a honlap-üzemeltetőjének-feladata, nem pedig egy, a folyamatban később részvetető közös adatkezelő feladata. Az érintett honlap‑üzemeltetőnek adandó hozzájárulás azonban csak azokra a személyesadat‑kezelési műveletekre, amelyek céljait és módját ténylegesen a honlap‑üzemeltető határozza meg.

Az összefoglalót készítette: Dr. Salya Fruzsina, DE ÁJK

 

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099hu.pdf

http://curia.europa.eu/juris/document/document.jsf;jsessionid=C382380B4D1C9EC0CA37CF56D7BDE62D?text=&docid=216555&pageIndex=0&doclang=hu&mode=lst&dir=&occ=first&part=1&cid=5552772

Brexit Eng: 

Hozzászólások

A  Fashion ID divat cég nem jól választotta meg a marketing eszközt, vagy direkt használta fel a Facebook tetszik gombját?

Vagy tényleg nem volt tisztába vele, ha honlapjára teszi, a tetszik gombot, akik az lájkolják az oldalt azoknak az adatait a Facebook gyűjti.

 Probléma oka nem lettek előre tájékoztatva az oldal használói, megkérdezésük nélkül lettek adataik továbbítva. Vagy senki nem szólt nekik, hogy a személyes adataik fel lesznek használva.

Ilyen hiba elkerülése végett egy hozzájárulás gombot kell divat cégnek az oldalára rakni, hogy hozzájárul a személyes adatok felhasználáshoz.

Központi kérdés, hogy ki hibázott a divat cég vagy Facebook, mely alapján megsérült a személyes adatok védelmére vonatkozó szabályozás által megkövetelt tájékoztatási kötelezettségét.

Bíróság megállapította a divatcég honlapjának kezelője az nem adatközlő, nem tudja befolyásolni az adatok kezelését. Divatcég nem határozza meg az adatkezelés célját és módját, ő csak egy tetszik gombot tett fel a honlapjára.

Egy másik döntés alapján Fashion ID közös adatkezelőnek minősül a Facebook Irelanddel, az adatok továbbításának folyamatában. Ennek a megoldása során figyelemmel kell lenni az irányelv rendelkezéseire, miszerint az adatkezelés céljának és módjának meghatározója minősül adatkezelőnek.

Ennek a problémának a vizsgálatát a Bíróság a nemzeti bíróságok hatáskörébe utalja.

Honlap üzemeltetője hibázott véleményem szerint, mert az adatgyűjtés kezdetén nem osztotta meg a honlapjára látogatókkal, hogy a tetszik gomb megnyomásával facebook használni fogja az adataikat, nem volt nyilvánosságra hozva az adatkezelő mikéntje.

  Fontos probléma:

Mi is a jogos érdek ebben az esetben az előterjesztő bíróság kérdése a következő volt, amikor a honlap-üzemeltető a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult helyez el a honlapon. Melyik félnek számít a jogos érdeke, aki a honlapot üzemelteti a divatcégnek vagy közösségi modul szolgáltatójának?

Facebooknak a jogos érdekét kell figyelembe venni, mint adatkezelési jogosultságot. Idézve az irányelv 7. cikkének f) pontjából, ami 3 feltételhez köti, aminek együttesen kell meglenni a személyes adatok használatának a jogszerűségét.

Első feltétel adat kezelő, vagy az adatokat megkapó 3 fél, vagy a felek jogos érdekeinek az érvényesítése, személyes adatok kezelése valamilyen jogos érdekhez kelljen, a harmadik pedig, hogy az adatvédelemmel érintett személy alapvető jogai és szabadságai nem magasabb rendűek.

Jó, hogy német közhasznú fogyasztóvédelmi érdekegyesület bolygatta témát, így remélhetőleg többi honlap sem használják fel a gyanútlan böngészők adatait, személyes adatait a tájékoztatásuk nélkül.

 Azóta az ítéletben használt irányelve hatályon kívül lett helyezve:cikk 94 EU általános adatvédelmi rendelet a 95/46/EK irányelv.
Az oldal fenntartóját ebben a rendelkezésben előírt tájékoztatási kötelezettség terheli. A 95/46 irányelv alapján az érintett hozzájárulás beszerzésére vonatkozó kötelezettségnek, valamint az irányelv 10. cikkében előírt tájékoztatási kötelezettségnek arra a személyesadat-kezelési műveletre vagy műveletcsoportra kell vonatkoznia, amelynek céljait és módját ténylegesen az adatkezelő határozza meg.

 Véleményem szerint az érintettnek a hozzájárulását a személyes adatainak gyűjtését és továbbítás által pedig a közösségi modul szolgáltatójának feladata, mivel a személyesadat-felhasználási folyamat első lépcsője,hogy a gyanútlan felhasználó megtekinti a honlapot és lájkolja tetszik gombot.

Nem lenne korrekt az érintett jogainak védelme szempontjából, ha a hozzájárulást az adat használatához annak a közös kezelőnek kellene adni, aki csak egy későbbi szakaszban lép be a folyamatba, vagyis az említett modul szolgáltatójának honlap-üzemeltetőnek adandó hozzájárulás azonban csak arra a személyesadat-kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen a honlap-üzemeltető határozza meg.

Ez vonatkozik  a 95/46 irányelv 10. cikkében előírt tájékoztatási kötelezettségre is.

 

 

 

Fashion ID egy német online divatruha‑értékesítő vállalkozás, mely a weboldalán helyezte el a Facebook közösségi oldal által biztosított „Tetszik” gomb modult,melyre ha rákattintottak a fogyasztók adatokat nyertek. A német fogyasztói egyesület úgy gondolom jogosan kezdeményezett eljárást a Fashion ID ellen, hiszen az adatvédelmi szabályokat megsértétték.  A düsseldorfi körzeti bíróság az ügyet az Európai Unió Bírósága (EUB) elé terjesztette.

Az alábbi kérdések merülnek fel az eset kapcsán:

Az EK 95/46/EK irányelv alapján a Fashion ID, adatkezelőnek minősül-e az által, hogy a Facebook „Tetszik” gombot elhelyezte a honlapján?

Mit jelent a közös adatkezelés és egyetemleges felelősség jelen esetben?

Milyen felelőssége van a honlapfenntartónak?

A EUB ítélettel egyetértek a tekintetben is, hogy az adatkezelésben résztvevő felek közös adatkezelőnek akkor is, ha azt valamelyik félnek nincs tényleges hozzáférése a gyűjtött adatokhoz.

Közös adatkezelés és egyetemleges felelősség terheli a Fashion ID vállalkozást és a Facebook Ireland, mert közös gazdasági céljaik vannak, mind a kettő egy profitorientált gazdasági szereplő, melyeknek célja például a vásárlók ösztönzése és visszatérése a minél magasabb profit elérése érdekében.Bár közös adatkezelőknek, még is a Fashion ID-t terheli az a felelősség, hogy a hozzájárulást a az érintettektől köteles megszerezni és  tájékoztatást kell nyújtania az érintettek számára a jelenlegi adatkezelőket tekintve, hiszen ők vannak a fogyasztókkal közvetlen viszonyban. A 95/46/EK irányelv 10. cikke szerinti tájékoztatási kötelezettség azt a honlapfenntartót is terheli, aki harmadik fél tartalmára hivatkozik, és ezzel okot teremt a személyes adatok harmadik fél általi kezelésére.

Európai Unióban az egyik legkiemelkedő alkotmányos érték az emberi méltóság és az ehhez kapcsolódó elv, hiszen minden alapjogot, így a személyes adatok védelméhez való jogot is ebből vezetik le.

Az esetet a Bíróság a 95/46/EK irányelv alapján bírálta el, azonban az ügy olyan kérdéseket is érint, amiket a GDPR is hasonlóan szabályoz.

General Data Protection Regulation (GDPR), az Általános adatvédelmi rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásárólról rendelkezik. GDPR 26. cikke szabáályozza a közös adatkezelők közötti megállapodást “megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat.” Tehát a közös adatkezelők közötti megállapodásokat úgy kell kialakítani, hogy az biztosítsa az érintettek jogainak hatékony és megfelelő időben történő védelmét.

A felelősség a honlap a tulajdonost terheli, mert létrehozott egy saját weboldalt, amelynek a jogi hátterét neki kell biztosítani. Tájékoztatási kötelezettsége van, hogy melyik modulja milyen adatokat használ fel és neki kell körültekintően eljárnia ahhoz, hogy az ügyfeleket, akik az oldalt meglátogatják megfelelően tudja tájékoztatni, arról, hogy milyen tőlük származó adatokat használ fel és ezeket kinek továbbítja. Csak abban az esetben mentesül a honlap tulajdonosa, ha a harmadik fél akihez kikerültek a tudtán kívül használták fel az adatokat.

 

 

 

Véleményem szerint az adatkezelés témakörével mindig egy nagyon érzékeny pontot érintünk. Napjainkban a minket körülvevő, hihetetlenül gyorsan változó világban szinte a közösségi média a bőrünk alá is beköltözött. Éppen a Facebook adta nagy mértékű népszerűséget igyekezte kihasználni az említett német cég is. 

Az Európai Unió már a fennállásának kezdetétől mintegy szívügyeként kezeli a fogyasztóvédelmet, hiszen minden tagállamra irányadó követelményrendszert támaszt. A tagállamoknak pedig csak annyiban van önálló autonómiájuk, hogy ezen rájuk irányadó kötelezettséget hogyan valósítják meg. 

Mindenképpen jogosnak érzem a német fogyasztóvédelmi egyesület azon indíttatását, miszerint eljárást kezdeményezett a Fashion ID ellen, hiszen olyan módon továbbította az oldalra látogatók adatait, amelyről egyáltalán nem tájékoztatta előzetesen a felhasználókat. Pozitívan értékelem a Bíróság azon álláspontját is, ami alapján a némethez hasonló szervek eljárást indíthassanak. A fogyasztók az aszimmetrikus jogviszonyban az ún. “gyengébb” felek, így szükségük van egy olyan szervre, amely képes (akár helyettük is) jogérvényesítésre. 

Osztom a bíróság azon álláspontját, miszerint a Fashion ID és a Facebook Ireland közös adatkezelőnek minősülnek. Véleményem szerint a Facebook nem tudta volna hasznosítani az oldalra látogatók adatait, amennyiben az nem nyújt rá számukra lehetőséget. Éppen ezért maximálisan egyetértek azzal, hogy egy ilyen weboldal, mint a Fashion ID ugyancsak adatkezelőnek minősül még akkor is, ha az általa megszerzett adatok felhasználását nem közvetlenül ő végzi, csupán továbbítja azokat.

Álláspontom szerint a jelen ügyben született ítélet szükségszerűen példát statuál minden más, hasonló esetben. Másképpen, egyéb, hasonló jellegű tevékenységet végzők számára ettől fogva egyértelművé válik, hogy szükségképpen értesítenie kell az oldalukra látogatókat arról, ha a begyűjtött adataikat továbbítják, illetve hasznosítják más szervek a későbbiekben.

Annak érdekében, hogy a későbbiekben ne fordulhasson elő ilyen probléma, egy rendkívül egyszerű, mindössze néhány másodpercet igénybe vevő weboldal beállítás szükséges tájékoztatás gyanánt. Én személy szerint leginkább olyan felugró ablakot tudok elképzelni az adatok kezelésére vonatkozóan, akárcsak az ún. cookie-k esetében, melyről a felhasználónak szüségszerűen döntenie kell, mielőtt megkezdené a weboldal látogatását.

Oldalak