A nemzeti versenyhatóságok hatásköréről és az adatok helyes kezeléséről döntött az EUB

  • 2023/07/10
  • Kutatócsoport2

Az Európai Unió Bírósága értelmezésében a nemzeti versenyhatóság az erőfölénnyel való visszaélés vizsgálata keretében megállapíthatja az általános adatvédelmi rendelet megsértését. A lojális együttműködés elvének megfelelően azonban figyelembe kell vennie az e rendelet alapján hatáskörrel rendelkező felügyeleti hatóság valamennyi határozatát vagy vizsgálatát.

Ki ne ismerné a Meta-csoportot? Mindenki láthatja a „from Meta” jelzést 2-2 másodpercig mikor megnyitja kedvenc applikációit. Az Európai Unióban a Meta Platforms Ireland működteti a Facebook online közösségi hálózat kínálatát, illetve a Meta-csoport vállalkozásai szolgáltatják az Instagram, WhatsApp és az Oculus alkalmazásokat. A szolgáltatások ingyenesek, így fenntartásukat az online hirdetések biztosítják, amelyeket szintén rendszeresen kisebb-nagyobb „örömmel” tapasztalhatunk. Ezen hirdetések személyre szabását, adataink kezelésének módját és az általános feltételeket a regisztrációnkkal együttesen fogadjuk el. Jelen ügyben a szövetségi versenyhatóság kötelezte a szolgáltatót, hogy az „off Facebook adatok”[1] kezelését külön hozzájárulás alapján végezze a Németországban lakóhellyel rendelkező magánfelhasználók esetében. Így igazítsák ki az általános feltételeket úgy, hogy belőle egyértelműen kitűnjön, hogy ezen adatokat külön hozzájárulás nélkül nem gyűjtik össze, nem használják fel és nem kapcsolják össze felhasználói fiókkal.

A Meta Platforms Ireland az általános feltételeknek megfelelően a felhasználóknak a közösségi hálózaton belüli és kívüli tevékenységére vonatkozó adatokat gyűjt, és ezen adatokat összekapcsolja az érintett felhasználók Facebook-fiókjaival. A német szövetségi versenyhatóság határozatát azzal indokolta, hogy mivel ezen adatkezelés nem felel meg az általános adatvédelmi rendeletnek (GDPR)[2] , a Meta Platforms Ireland visszaélésszerűen kihasználta a közösségi hálózatok németországi piacán fennálló erőfölényét.

A fellebbezés ügyében eljáró düsseldorfi regionális felsőbíróság azt kérdezi a Bíróságtól, hogy a nemzeti versenyhatóságok ellenőrizhetik-e, hogy az adatkezelés megfelel-e az általános adatvédelmi rendeletben meghatározott követelményeknek. Ezenkívül a német bíróság az általános adatvédelmi rendeletnek az online közösségi hálózat üzemeltetője által végzett adatkezelésre vonatkozó egyes rendelkezéseinek az értelmezését és alkalmazását illetően terjeszt kérdést a Bíróság elé.

Az ítéletében a Bíróság rámutat, hogy a valamely vállalkozás által tanúsított erőfölénnyel való visszaélés vizsgálata keretében az érintett tagállam versenyhatósága számára szükséges annak vizsgálata is, hogy e vállalkozás magatartása megfelel-e a versenyjog szabályaitól eltérő olyan normáknak, mint az általános adatvédelmi rendeletben előírt szabályok. Márpedig, amikor a nemzeti versenyhatóság megállapítja az általános adatvédelmi rendelet megsértését, nem helyettesíti az e rendelettel létrehozott felügyeleti hatóságokat. Az általános adatvédelmi rendelet tiszteletben tartásának értékelése ugyanis kizárólag az erőfölénnyel való visszaélés megállapítására és az e visszaélés megszüntetésére irányuló intézkedéseknek a versenyjogi szabályok szerinti előírására korlátozódik, így a rendeletben szereplő egyik feladatát sem lája el és a számára fenntartott hatáskörökkel sem él.

Az EUSZ 4. cikk (3) bekezdésében rögzített lojális együttműködés elvére tekintettel és az általános adatvédelmi rendelet következetes alkalmazásának biztosítása érdekében a nemzeti versenyhatóságoknak konzultálniuk kell, és lojálisan együtt kell működniük az e rendelet tiszteletben tartását biztosító hatóságokkal. Amennyiben a nemzeti versenyhatóság úgy ítéli meg, hogy valamely vállalkozás magatartásának megfelelőségét az általános adatvédelmi rendelettel összefüggésben kell megvizsgálni, ellenőriznie kell, hogy e magatartás vagy hasonló magatartás már tárgyát képezte-e az illetékes felügyeleti hatóság vagy akár a Bíróság határozatának. Ha ilyen eset áll fenn, attól nem térhet el, azonban szabadon vonhatja le belőle a versenyjog alkalmazására vonatkozó következtetéseit. Ha a határozattal kapcsolatban kétségei merülnek fel, konzultálnia kell e hatóságokkal és együttműködésüket kell kérnie a kétségek eloszlatása érdekében.

Egyébiránt a Bíróság megállapítja, hogy úgy tűnik, hogy az adatkezelés olyan különleges adatkategóriákra is vonatkozik, amelyek többek között a faji vagy etnikai származásra, politikai véleményre, vallási meggyőződésre vagy szexuális irányultságára utalhatnak, és amelyek kezelése az általános adatvédelmi rendelet 9.cikk (1) bekezdése alapján tilos. A nemzeti bíróság feladata tehát annak meghatározása, hogy a gyűjtött adatok önmagukban vagy a Facebook-fiókkal való összekapcsolás révén ténylegesen lehetővé teszik-e ilyen információk felfedését, függetlenül attól, hogy ezen információk e közösségi hálózat valamely felhasználójára vagy bármely más természetes személyre vonatkoznak.

Ami azt a kérdést illeti, hogy az ilyen, úgynevezett „különleges” adatok kezelése kivételesen megengedett-e azon oknál fogva, hogy azokat az érintett személy kifejezetten nyilvánosságra hozta, a Bíróság kifejti, hogy önmagában az a tény, hogy a felhasználó olyan weboldalakat vagy alkalmazásokat nyit meg, amelyek ilyen információkra utalhatnak, egyáltalán nem jelenti azt, hogy szándékában áll adatait kifejezetten nyilvánosságra hozni. Ugyanez vonatkozik továbbá arra az esetre is, ha a felhasználó ilyen weboldalakon vagy ilyen alkalmazásokban adatokat visz be, vagy ha az e weboldalakba és alkalmazásokba beépített kiválasztási gombokra (például „tetszik” vagy „megosztás”) kattint, kivéve, ha kifejezetten kinyilvánította azon döntését, hogy a rá vonatkozó adatokat korlátlan számú személy számára nyilvánosan hozzáférhetővé teszi.

Ami általánosabban a Meta Platforms Ireland által végzett adatkezelést illeti, ideértve a „nem különleges” adatok kezelését is, a Bíróság ezt követően azt vizsgálja, hogy esetében fennállnak-e az általános adatvédelmi rendelet által előírt azon indokok, amelyek lehetővé teszik, hogy az érintett hozzájárulása nélkül végzett adatkezelést jogszerűnek lehessen tekinteni. Ezzel kapcsolatban úgy véli, hogy azon szerződés teljesítésének szükségessége, amelyben e személy szerződő félként szerepel, csak azzal a feltétellel igazolja a vitatott gyakorlatot, hogy az adatkezelés objektíve elengedhetetlen és ezért e szerződés fő célja ezen adatkezelés hiányában nem érhető el. A Bíróság – a kérdést előterjesztő bíróság által elvégzendő vizsgálat függvényében – kétségeit fejezi ki azzal kapcsolatban, hogy a tartalmak személyre szabása vagy a Meta-csoporthoz tartozó szolgáltatások egységes és zökkenőmentes használata megfelelhet e kritériumoknak. Ráadásul a Bíróság szerint a Facebook online közösségi hálózatot finanszírozó hirdetések személyre szabása nem igazolhatja a szóban forgó, az érintett személy hozzájárulása nélkül történő adatkezelést. A rendelet értelmében akkor igazolt, ha az ténylegesen az uniós jog vagy az érintett tagállam joga alapján az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, e jogalap közérdekű célt szolgál, és arányos az elérni kívánt jogszerű céllal, valamint ezen adatkezelésre a feltétlenül szükséges határokon belül kerül sor.

Végül a Bíróság kiemeli, hogy az a körülmény, hogy az online közösségi hálózat üzemeltetője adatkezelőként erőfölényben van a közösségi hálózatok piacán, önmagában nem zárja ki, hogy e közösségi hálózat felhasználói az általános adatvédelmi rendelet értelmében érvényesen hozzájárulhassanak személyes adataik e gazdasági szereplő általi kezeléséhez. Az ilyen erőfölényes helyzet azonban érintheti e felhasználók választási szabadságát, így fontos tényezőnek minősül annak meghatározása szempontjából, hogy a hozzájárulást ténylegesen érvényesen és különösen szabadon adták-e meg. Ennek bizonyítása az említett szolgáltató kötelezettsége.

Az összefoglalót készítette: Balogh Lilla, joghallgató DE ÁJK

Források:

C-252/21. sz. Meta Platforms és társai (Közösségi hálózat általános felhasználási feltételei) ügy https://curia.europa.eu/juris/document/document.jsf?docid=275125&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=HU&cid=559111


[1] egyrészt a harmadik weboldalak és alkalmazások megnyitására vonatkozó adatokról, másrészt pedig a Meta-csoporthoz tartozó egyéb online szolgáltatások (köztük az Instagram és a WhatsApp) használatára vonatkozó adatokról van szó

[2] A természetes személyeknek a személyes adatok kezelése vonatkozásában történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o., HL 2021. L 74., 35. o).

Kategória: 
Brexit Eng: 
Fogyasztóvédelem: 
Consumer Protection: 
16th Anniversary: