Ki felel a személyes adataink biztonságáért, ha egy weboldalon a beágyazott Like gombra kattintunk? Ebben a kérdésben hozott fontos döntést a Luxemburgban székelő Európai Unió Bírósága, amely pontosítja az általános adatvédelmi rendelet alkalmazását is.

Egy német fogyasztóvédelmi szervezet, a Verbraucherzentrale NRW azért fordult bírósághoz, mert kifogásolta, hogy a Fashion ID nevű német online divatáruház a honlapját felkeresők személyes adatait – egyrészt azok tudomása nélkül, másrészt a személyes adatok védelmére vonatkozó rendelkezésekben előírt tájékoztatási kötelezettségeket megsértve – a Facebook részére továbbította. A szervezet szerint ugyanis a Fashion ID ebben az esetben is adatkezelőnek minősül, és csak akkor továbíthatta volna az adatokat, ha ahhoz kifejezetten kérni a felhasználók hozzájárulását.

Az ügyet tárgyaló düsseldorfi regionális felsőbíróság azonban nem hozott döntést, hanem az Európai Unió Bíróságához fordult. A német bíróság arra vonatkozóan kért jogértelmezést, hogy ebben az esetben hogyan kell alkalmazni az Unió általános adatvédelmi rendeletét, a GDPR-t.

Közös adatkezelés – közös felelősség

Az Európai Unió Bírósága végül tegnap hozott döntés, melyben hangsúlyozta a fogyasztói érdekvédelmi egyesületek jogát, hogy bírósági eljárást kezdeményezzenek a személyes adatok védelmét feltételezetten megsértőkkel szemben. Mint a bíróság a közleményében [PDF] írta, az új általános adatvédelmi rendelet jelenleg kifejezetten rendelkezik is erről a lehetőségről.

Innentől azonban a helyzet némileg bonyolódik. Merthogy azt kellett eldönteni, hogy ki az adatkezelő, azaz jelen esetben a Facebooknak vagy a Fashion ID-nek kell kérnie a felhasználó hozzájárulását személyes adatai kezeléséhez?

A bíróság végül úgy foglalt állást, hogy az online shop és a Facebook közös adatkezelőnek minősíthető abban a folyamatban, melynek során a Like gombon keresztül személyes adatokat gyűjtenek, és azt a Facebooknak továbbítják. Ehhez azonban a német bíróságnak meg kell vizsgálnia, hogy a webáruház és közösségi oldal együttesen határozta-e meg az adatkezelés céljait és módját.

Az állásfoglalás szerint valószínűsíthető, hogy a Fashion ID azért ágyazta be az oldalára a Like gombot, hogy termékei reklámozását optimalizálja, és magát még inkább láthatóvá tegye a közösségi oldalon, azaz végső soron hasznot húzzon ebből. Ez viszont a bíróság szerint azt jelenti, hogy a Fashion ID legalább hallgatólagosan hozzájárult a honlapjának látogatóira vonatkozó személyes adatok gyűjtéséhez és továbbításához. Tehát – mondja ki a bíróság – mind a Fashion ID, mind pedig a Facebook gazdasági érdekből végzett adatgyűjtést, így közös adatkezelőnek minősülnek, közös a felelősségük. Ugyanakkor az állásfoglalás egy kitétele szerint a webáruház azért már nem felel, hogy a továbbítás után a Facebook hogyan dolgozza fel az adatokat.

Pontosították a GDPR alkalmazását

A bíróság az ügy vizsgálata során általánosan arra jutott, hogy minden hasonló esetben a weboldal üzemeltetőjének tájékoztatnia kell a felhasználót arról, hogy a Like gombon keresztül hozzáfér személyes adatokhoz, melyeket a Facebooknak is továbbít (ha nem továbbítaná, nyilván a közösségi oldalon sem lenne hatása az ilyen like-oknak). Emellett tájékoztatnia kell a látogatókat a közös adatkezelők (jelen esetben a Fashion ID és a Facebook) kilétéről és az adatkezelés céljáról.

Az állásfogalás egyben pontosította is a jogszerű személyesadat-kezelés irányelvét. Ha a felhasználó már hozzájárult ahhoz, hogy az adott weboldal üzemeltetője kezelje a személyes adatait (például a számlázás, postázás miatt), akkor az üzemeltetőnek kizárólag ahhoz kell hozzájárulást kérnie, hogy ezeket az adatokat továbbíthassa másik adatkezelőnek.

A bíróság ugyanakkor felhívja a figyelmet arra, hogy közös adatkezelők esetében jogos érdekre csak abban az esetben lehet hivatkozni, ha az honlap üzemeltetője és a közösségimodul-szolgáltató esetében is fennáll.

A Facebook a Reutersnek csupán annyival kommentálta a luxemburgi bíróság döntését, hogy az egyértelművé teszi az ilyen pluginokra vonatkozó szabályozást, ami azért fontos, mert azok az internet fontos funkcióit valósítják meg.