Biztonságban vannak az adataink? A Facebook legújabb adatvédelmi és fogyasztóvédelmi kérdései

  • 2023/03/20
  • Kutatócsoport2

A következőkben a Facebook közösségi oldalt vizsgálom meg fogyasztóvédelmi és adatvédelmi aspektusból, különös figyelmet fordítva a személyes adatokkal való visszaélésre és az adatvédelmi hatóságok hatáskörének elemzésére a határon-átnyúló adatkezelésekkel összefüggésben. Felmerülhet a kérdés, hogy mi adja a téma fontosságát, hiszen ezen közösségi média felület láthatólag semmilyen jogszabályt nem szeg meg, próbálja a felhasználóknak a legjobb élményt nyújtani. Azonban a Facebookról elhíresült, hogy igen „liberálisan” bánik az adatainkkal és éppen ezért veszélyes is lehet, hiszen a felhasználó számára alig észrevehetően alkalmaz olyan megoldásokat, amelyek fogyasztóvédelmi, adatvédelmi és versenyjogi szempontból aggályosnak tűnhetnek.

A fogyasztóvédelmet az alábbiak szerint lehet meghatározni: „A fogyasztóvédelem (a fogyasztók védelme) olyan szemléletet, illetve politikát jelent, amely a jogviszonyban szereplő gyengébb fél szükséges védelmének teóriájaként jelenik meg.” [1] A terület további esszenciája az egyensúly helyreállítása, illetve az egyensúlytalanság csökkentése a fogyasztók védelmére a piaci viszonyok között. A fogyasztóvédelem egy fontos aspektusa, hogy a felhasználók adatai megfelelő védelemben részesüljenek. Az Európai Unióban 2018-ban lépett hatályba az általános adatvédelmi rendelet (továbbiakban: GDPR), amely hatékony adatvédelmi és fogyasztóvédelmi rendelkezések bevezetésére kötelezi és ösztönzi az uniós tagállamokat. A rendelkezések fókuszában az érintettek jogainak biztosítása kell, hogy álljon, hiszen a felhasználók megfelelő tájékoztatása az adatkezelésről ugyanis nem csak adatvédelmi, hanem fogyasztóvédelmi és versenyjogi kérdés is. A következőkben a fogyasztóvédelem és az adatvédelem Facebookal való komplex összefüggéseit szeretném megvizsgálni a legfrissebb EUB döntéseken keresztül.
   A Facebook weboldalán az olvasható, hogy a szolgáltatásai ingyenesen igénybevehetőek és nem tervez ezen a jövőben sem változtatni. Viszont sokan nem tudják, hogy közvetve a saját személyes adatainkkal fizetünk a szolgáltatásokért cserébe. Ahogy egyre inkább elmélyülünk a közösségi médiában, egyre több adatot szolgáltatunk magunkról, ami egyre több lehetőséget ad arra, hogy harmadik helyről származó weboldalak megszerezhessék és kiértékeljék azokat. Piacszerkezeti szempontokból kijelenthető, hogy a Facebook (a Twitterhez hasonlóan) monopolhelyzetben van Európában a közösségi médiumok terén. Éppen ezért tartom kiemelkedőnek azt a kérdést, hogy a Facebook meddig marad meg egy ilyen „vízfejű” és (jogi, illetve verseny szempontból) megközelíthetetlen intézménynek?
   A Facebook feddhetetlenségét mindenképpen rontja, hogy az ír adatvédelmi hatóság (DPC) 2018. március 15-én tizenhétmillió eurós pénzbírságot szabott ki a Meta Platforms Ireland Limited-re, mert 2018-ban a közösségimédia-cég több mint harminc millió Facebook-felhasználóját érintett egy adatvédelmi incidens. A DPC azt vizsgálta, hogy a Meta megfelel-e a GDPR személyesadat-kezelési szabályainak.[2] Végül a hatóság az eljárása során arra a következtetésre jutott, hogy a vállalat megsértette a GDPR 5. cikk (2) bekezdését és a 24. cikk (1) bekezdését azáltal, hogy nem vezetett be „megfelelő technikai és szervezési intézkedéseket, amelyek lehetővé tették volna számára, hogy azonnal bemutassa azokat a biztonsági intézkedéseket, amelyeket a gyakorlatban alkalmazott az uniós felhasználók adatainak védelme érdekében.” [3]
   Viszont nemcsak Európában, hanem az USA-ban is előfordulnak hasonló esetek. Az egyikben négy személy nyújtotta be azt a csoportos keresetet a kaliforniai szövetségi bíróságon, amely alapján 15 milliárd dolláros kártérítést követeltek a Facebook, a kaliforniai Menlo parkban 2010 áprilisa és 2011 szeptembere közötti elkövetett jogsértéseiért. A felperesek állítása szerint olyan „cookie” -nak nevezett digitális fájlokat alkalmaznak a közösségi oldal üzemeltetői, amelyek alapján az internet-felhasználók azonosíthatók, hiszen azokat összecsomagolták a plug-inektől (nyomon követi a felhasználók böngészési előzményeit) származó információkkal és kereskedelmi célból eladták a hirdetőknek.[4] Ezen esetek nem egyedülállóak, hiszen a személyes adatok tisztességtelen felhasználásával kapcsolatban nemcsak a Facebook, hanem más szolgáltatók (pl.: Google) is hatalmas büntetéseket kaptak már. Ami azonban látszik, hogy ezen szankcióknak eddig nem volt visszatartó erejük a jövőbeni jogsértések megakadályozására.
   Felmerülhet a kérdés, hogy akkor milyen eszközei vannak a tagállamoknak, vagy akár az Európai Uniónak személyes adataink védelméhez? Egy 2021. június 15-i EUB ítélet[5] nagy valószínűséggel úttörő jelleggel bír ebben a kérdésben. A belga magánélet védelméért felelős bizottság (a továbbiakban: CBPL, később a helyébe lépő adatvédelmi hatóság, GBA) elnöke 2015. szeptember 11‑én abbahagyásra kötelezés iránti keresetet nyújtott be a Facebook Ireland, a Facebook Inc. és a Facebook Belgium ellen a brüsszeli holland nyelvű elsőfokú bíróság előtt. A CBPL elnökének az volt a célja,  hogy megszüntesse azt a helyzetet, amely a bizottság leírása szerint többek között „a magánélet védelmére vonatkozó jogszabályok Facebook általi súlyos és nagy számban történő megsértését” valósítja meg, és amely abban áll, hogy e közösségi hálózat különböző technológiák – például a sütik, közösségi média beépülő modulok (például a „Tetszik”, illetve a „Megosztás” gomb) vagy képpontok – révén információkat gyűjt mind a Facebook‑fiókok tulajdonosainak, mind pedig a Facebook‑szolgáltatásokat igénybe nem vevők szörfölési magatartására vonatkozóan. Ezen elemek lehetővé teszik az érintett közösségi hálózat számára, hogy megszerezze az internetes honlap valamelyik oldalát megtekintő internethasználó bizonyos adatait, amelyek magukban foglalják például ezen oldal címét, az említett oldal látogatójának IP‑címét, valamint a szóban forgó megtekintés dátumát és időpontját.

Az elsőfokú bíróság megállapította, hogy a szóban forgó közösségi hálózat nem tájékoztatta kellőképpen a belga internethasználókat az érintett információk gyűjtéséről és ezen információk felhasználásáról. Egyébiránt az internethasználók által az említett információk gyűjtéséhez és kezeléséhez adott hozzájárulást érvénytelennek nyilvánította. Ennélfogva arra kötelezte a Facebookot, hogy a Belgium területén letelepedett valamennyi internethasználó vonatkozásában hagyjon fel azzal, hogy a beleegyezésük nélkül olyan sütiket alkalmaz, amelyek két évig aktívak maradnak azokon az eszközökön, amelyeket akkor használnak, amikor a Facebook.com domain alá tartozó internetes oldalakon szörfölnek vagy amikor harmadik fél honlapjára jutnak. Továbbá kötelezte az amerikai székhelyű céget, hogy hagyjon fel azzal a gyakorlattal, hogy sütiket helyez el a közösségi média beépülő modulok (példának okáért, különböző képek vagy posztok likeolása, megosztása vagy különböző cikkek megnyitása) vagy hasonló technológiai eszközök révén a Facebook közösségi hálózat által ily módon követett célokra tekintettel túlzott mértékben gyűjt adatokat. Ezentúl szolgáltasson olyan információkat, amelyekről észszerűen feltételezhető, hogy az érintett személyeket megtévesztik - az e közösségi hálózat által - a sütik használata érdekében rendelkezésre bocsátott mechanizmusok valós tartalmát, végül pedig a sütik és közösségi média beépülő modulok révén szerzett valamennyi személyes adatot – a jogszabály előírásainak megfelelően - semmisítse meg.

A Facebook Ireland (és mások) fellebbezést nyújtott be, végül a másodfokú bíróság csupán a Facebook Belgiumnak adta meg a fellebbezési lehetőséget és azt állította, hogy kizárólag az ír adatvédelmi biztos rendelkezik illetékességgel arra, hogy abbahagyásra kötelezés iránti keresetet indítson a Facebook Irelanddel szemben, mivel kizárólag az utóbbi felelős az említett közösségi oldal felhasználói személyes adatainak az Unióban történő kezeléséért.
   A másodfokú bíróság előzetes döntéshozatali kérelemmel fordult az EUB-hez, amelyben az Alapjogi Charta összefüggésben értelmezett GDPR-ral kapcsolatban arra kereste a választ, hogy az adatvédelmi rendelet hatálybalépésének időpontját (2018. május 25-ét) követően bekövetkező tények vonatkozásában eljárhat-e a Facebook Belgiummal szemben. Ez a kérdés azért merült fel, mert a GDPR „egyablakos ügyintézés” szabálya alapján (tekintettel arra, hogy a Facebook Irelandet tekintették az érintett adatok adatkezelőjének), kizárólag az ír adatvédelmi biztos rendelkezik hatáskörrel arra, hogy abbahagyásra kötelezés iránti eljárást indítson, és amely felett az ír bíróságok gyakorolnak felülvizsgálatot.
    Az EUB megállapította, hogy a rendelet bizonyos feltételek mellett lehetővé teszi a tagállami felügyeleti hatóság számára, hogy eljárást indítson akkor is, ha nem minősül fő felügyeleti hatóságnak. Tehát az uniós jog nem követeli meg, hogy - a határokon átnyúló személyesadat-kezelés szempontjából- adatkezelőnek vagy adatfeldolgozónak minősülő személy, aki ellen ezen eljárást kezdeményezik, a tagállam (csupán azt, hogy az EU) területén tevékenységi központtal rendelkezzen.
   Érdemes megemlíteni az EUB 2022. április 28-i ítéletét[6], amely álláspontom szerint új szintre emeli a fogyasztóvédelem eredményességét. Az alap probléma az volt, hogy a Facebook internetes platform többek között a www.facebook.de internetes címen tartalmaz egy App Center nevű területet, amelyen a Meta Platforms Ireland harmadik felek által biztosított ingyenes játékokat tesz elérhetővé a felhasználók számára. Amikor egyes játékokat az App Centerében keresnek, megjelenik egy jelzés, amely tájékoztatja a felhasználót arról, hogy az érintett alkalmazás használata lehetővé teszi a szerencsejáték-társaság számára, hogy személyes adathoz jusson, és engedélyt kap arra, hogy adatokat (például pontszámát és egyéb információkat) tegyen közzé az adott felhasználó nevében. A felhasználó az alkalmazás használatával automatikusan elfogadja az általános feltételeket és az adatvédelmi szabályzatot is. 
    A Federal Union, a jogsértési tilalmakról szóló törvény 4. §-a értelmében kereshetőségi joggal rendelkező testület úgy vélte, hogy az érintett játékok által az App Centerben nyújtott információk tisztességtelenek, különösen az alkalmazandó jogi követelmények be nem tartása tekintetében. Ezen túlmenően úgy véli, hogy az a kijelentés, miszerint  az alkalmazás jogosult a felhasználó bizonyos személyes adatainak a nevében történő közzétételére, olyan általános feltételnek minősül, amely indokolatlanul hátrányosan érinti a felhasználót. Fellebbezések folytán az ügy a  Szövetségi Bírósághoz került, amely előzetes döntéshozatali eljárás keretében az EUB-hez fordult. Arra a kérdésre kereste a választ, hogy a GDPR-ral ellentétesek e azon nemzeti szabályok, amelyek lehetővé teszik a versenytársak, illetve a jogszabályban megjelölt szervezetek számára, hogy jogaik konkrét megsértése nélkül eljárást indítsanak.
   A Bíróság úgy határozott, hogy a GDPR 80. cikkének (2) bekezdése nem zárja ki azokat a nemzeti jogszabályokat, amelyek lehetővé teszik a fogyasztóvédelmi egyesület számára, hogy a tisztességtelen kereskedelmi gyakorlatok tilalmára, valamely fogyasztóvédelmi törvény megsértésére vagy az érvénytelen általános szerződési feltételek alkalmazásának tilalmára hivatkozva – konkrét jogsértés nélkül - bírósági eljárást indítson. A fenti – tisztességtelen gyakorlattal kapcsolatos - kérdéseket pedig a nemzeti bíróság vizsgálja majd meg.

Összességében megállapíthatjuk, hogy az az ítélkezési gyakorlat alakul ki Európában, hogy a nemzeti fogyasztóvédelmi szervezetek konkrét jogsértés bekövetkezése nélkül  is tudnak igényt érvényesíteni – bizonyos feltételek teljesülése esetén -  a Facebook ellen. Viszont véleményem szerint még messze vagyunk attól, hogy az a természetes személyek, mint fogyasztók egyéni keresettel élhessenek. Mindazonáltal mindenképpen pozitívum a számomra, hogy a nagy techóriás ellen már a tagállami hatóságok és egyéb non-profit szervezetek is képesek az egyensúlytalanságot csökkenteni, mint a fogyasztóvédelem egyik fő célját, éppen ezért ilyen eklatáns példákkal (mint ezek az ítéletek) járulnak hozzá, hogy az átlag felhasználó kevésbé érezhesse magát kiszolgáltatva.

Készítette: Boros Dominik, DE ÁJK, negyedéves joghallgató

Források jegyzéke:


[1] Csécsy György - Fézer Tamás - Hajnal Zsolt - Károlyi Géza-Törő Emese - Zoványi Nikolett: Az üzleti élet szerződéseinek joga. Debreceni Kiadó, Debrecen, 2015.  243. oldal

[2] Az Európai Parlament és a Tanács  (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet). 5. cikk (1) bekezdés f) pontja, 5. cikk (2) bekezdése, 24. cikkének (1) bekezdése és 32. cikkének (1) bekezdése.

[5]C‑645/19 sz. ügy Facebook Ireland Limited és társai kontra Gegevensbeschermingsautoriteit ügy[ECLI:EU:C:2021:483]

[6] C‑319/20 sz. ügy a Meta Platforms Ireland Limited, és a Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. között folyamatban lévő ügy [ECLI:EU:C:2022:322]

 

Brexit Eng: 
Fogyasztóvédelem: 
Consumer Protection: 
16th Anniversary: