2021. július 26-án nyilvánosságra hozott döntésében a francia adatvédelmi hatóság („CNIL”) 400.000 EUR ( körülbelül 144.592.000 HUF) bírságot szabott ki a GDPR és a francia adatvédelmi törvény (78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, elérhető francia nyelven ITT) megszegése miatt a Monsanto Company („Monsanto”) mezőgazdasági-biotechnológiai tevékenységet folytató vállalatra.
A bírság oka, hogy a Monsanto nyilvánosan elérhető személyes adatokat gyűjtött és elemzett az általa végzett lobbitevékenység céljából, de erről a GDPR-t megszegve nem tájékoztatta az érintett személyeket, és az általa megbízott céggel kötött szerződés sem tartalmazott megfelelő adatvédelmi rendelkezéseket.
Az ügy legfontosabb tanulsága, hogy
önmagában nem jogellenes nyilvános adatokat felhasználni lobbitevékenység során, az érintetteket azonban a GDPR alapján erről megfelelően tájékoztatni kell.
A gyakorlati kérdés, amit a CNIL határozata már nem tárgyalt, hogy a tájékoztatási kötelezettség teljesítése az adatvédelmi szempontokon túl mennyiben életszerű elvárás – vagyis sikeres lehet-e egy szervezet egyébként jogszerű, és üzleti szempontból ésszerű lobbitevékenysége, ha az érintett döntéshozók már előzetesen tudnak arról, hogy részletes adatelemzés után, előre meghatározott szempontok alapján kereste meg őket a szervezet egy adott ügyben.
Tekintettel arra, hogy a jogszerűen végzett lobbitevékenység végzése ma már számos társaság normál üzletmenetének része, az alábbiakban összefoglaljuk, pontosan milyen jogsértéseket állapított meg a CNIL a Monsanto ügyében, és ennek alapján mire érdemes figyelni az adatvédelmi szempontból megfelelő lobbitevékenység kialakítása során.
Mi történt az ügyben?
A Monsanto egy, az Európai Bizottság glifozát-használati (a Monsanto legismertebb növényvédő szerének hatóanyaga) engedélyének megújítását célzó kampány részeként a Fleishman-Hillard PR és marketing tevékenységgel foglalkozó vállalatot (későbbi nevén „OPRG”) bízta meg érdekképviseleti feladatok ellátásával. E szolgáltatás keretében a Fleishman-Hillard azonosította és rögzítette a glifozát európai felhasználási engedélyének megújításáról szóló párbeszédben részt vevő személyekkel kapcsolatos információkat, és készített egy ezzel kapcsolatos dokumentumot.
A dokumentum célja feltelhetőleg a Monsanto lobbitevékenységének elősegítését szolgálta és több, mint 200, a témában befolyással bíró személyről (köztük politikusokról, újságírókról, aktivistákról, tudósokról) tartalmazott egyébként nyilvánosan elérhető információt (elérhetőségek, a témában releváns publikációk, kontakthálók, rendezvény megjelenések). Ezen túlmenően, a dokumentumban minden személyt több szempont szerint pontoztak a Monsantoval fennálló viszonya alapján, és egy szabadon kitölthető rovatban különböző egyéb szempontok szerinti megjegyzéseket tettek, mint például látogatott rendezvények, kapcsolati hálók, tagságok, az adott személlyel kapcsolatban azonosított, „bizalom kiépítésének” lehetséges módjai.
A CNIL 2019 májusában kérelemre indított eljárást, mely során a Monsanto által megbízott Fleishman-Hillard és annak alvállalkozója irataiba tekintett be, ellenőrizte dokumentumaikat, meghallgatásokat tartott, továbbá magánál a Monsantonál is tartott dokumentum-ellenőrzést.
A lobbitevékenységben részt vevő felek viszonya
A GDPR 4. cikk 7. pontja szerint adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.” A CNIL álláspontja szerint az ügyben a Monsantot kellett adatkezelőnek tekinteni, hiszen az adatkezelés célja egy célzott kommunikációs stratégia kialakítása és végrehajtása.
A Monsanto álláspontja szerint azonban az adatkezelésért kizárólag a Fleishman-Hillard társaság felelt, aminek szolgáltatásait a területen meglévő szakértelme miatt vette igénybe, és akinek a feladat végrehajtásának módjára vonatkozóan soha nem adott utasítást. A Fleishman-Hillard volt az, aki tanácsadásra és PR-tevékenységre szakosodott vállalatként önállóan, saját maga által meghatározott módszertan szerint készítette el az aktát, és ezt követően továbbította azt a Monsantonak. A Monsanto elmondása szerint az eredménnyel elégedetlen volt és fel sem használta a szóba forgó dokumentumot, pedig ha ő maga lett volna az adatkezelő, nyilvánvalóan módosította volna azt az igényeinek megfelelően. Továbbá a Monsanto felhívta arra is a figyelmet, hogy a Fleishman-Hillard a weboldalán az ügyfelei által rábízott adatok adatkezelőjeként jelent meg, továbbá a Fleishman-Hillard volt az a fél, aki válaszolt az érintettek jogainak gyakorlására irányuló kérelmekre a szóban forgó adatkezeléssel kapcsolatban.
A CNIL a GDPR 4. cikk 7. pontjában foglalt „adatkezelő” definíció értelmezésével és az Európai Adatvédelmi Testület 2020. szeptember 2-án elfogadott az adatkezelő és adatfeldolgozó GDPR szerinti fogalmáról szóló 07/2020 iránymutatásával kiemelte azt, hogy a Monsanto adatkezelői minőségben járt el, hiszen
„a célok és az eszközök meghatározása az adatkezelési művelet „miértjének és hogyanjának” eldöntését jelenti”.
Az adatkezelőnek kell döntenie a célról és a módokról is, az adatfeldolgozó soha nem határozhatja meg az adatkezelés célját. Jelen esetben a CNIL álláspontja szerint a Monsanto célja annyira konkrét volt, hogy a Fleishman-Hillard-al 2013. július 18-án kelt szerződés 13. számú 2016. augusztus 5-i módosítása kifejezetten megbízta a Fleishman-Hillard-ot a fent említett témában jártas és befolyással bíró személyek listájának összeállításával.
A CNIL megjegyezte továbbá, hogy a Monsanto állításával ellentétben a két vállalat közötti elektronikus levelezésből egyértelműen kiderül, hogy a Monsanto szorosan részt vett a szóban forgó dokumentum összeállításában, tájékoztatás és konkrét kérések megfogalmazása formájában. A levelezésből úgy tűnik, hogy a Monsanto irányítási jogkört gyakorolt a Fleishman-Hillard tevékenysége felett, mely azt mutatja, hogy az a GDPR 4. cikk 7. pontja szerinti adatfeldolgozóként járt el.
A CNIL kifejtette, hogy irreleváns az, hogy a Monsanto felhasználta-e az elkészült dokumentumot vagy sem, hiszen az adatkezelés tényét a két társaság közötti szerződéses viszony támasztja alá, valamint felhívja a figyelmet arra, hogy a GDPR 28. cikk (3) bekezdés e) pont értelmében
az adatfeldolgozó „az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett III. fejezetben foglalt jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében”,
tehát azért, mert a Fleishman-Hillard válaszolt a kérelmekre, még nem feltételezi azt, hogy adatkezelő volna.
A GDPR 14. cikke szerinti adatvédelmi tájékoztatás elmulasztása
A GDPR 14. cikke előírja, hogy amennyiben a személyes adatokat nem az adatkezelési művelet érintettjétől szerezték be, az adatkezelő “a személyes adatok megszerzését követő ésszerű időn belül, de legfeljebb egy hónapon belül, – tekintettel a személyes adatok kezelésének különleges körülményeire, vagy ha az információt más címzettnek kívánják átadni – de legkésőbb a személyes adatok első átadásának időpontjáig” megadja az érintettnek az említett cikkben említett tájékoztatást.
A CNIL álláspontja szerint az ügyben nem állt fenn olyan körülmény, amely mentesítette volna a Monsantot, mint adatkezelőt a fenti tájékoztatási kötelezettség alól. Az egyes érintetteket azonban mégis csak 2019-ben tájékoztatták, miután a Bayer Cropscience gyógyszeripari és agrokémiai csoport megvásárolta a Monsantot.
A Monsanto álláspontja szerint, mivel nem ő gyakorolta a szóban forgó adatok fölött az ellenőrzést, nem őt terhelte a tájékoztatási kötelezettség. Ezen túlmenően érvelése szerint a begyűjtött adatok nyilvánosak voltak, az érintettek észszerűen számíthattak rá, hogy adataikat különböző célú adatkezelések során esetlegesen felhasználják.
A CNIL elismerte, hogy az ilyen típusú adatgyűjtésre lehetősége van egy társaságnak, amennyiben jogos érdeke fűződik hozzá és az érintettek alapvető jogai és érdekei nem élveznek elsőbbséget az adatkezelő jogos érdekével szemben. Ugyanakkor az ilyen adatkezelést végrehajtó adatkezelőnek minden esetben biztosítania kell a GDPR-ban meghatározott kötelezettségek betartását, különösen az egyének tájékoztatására vonatkozó kötelezettségeket
A CNIL szerint a Monsanto számára nem igényelt volna aránytalan erőfeszítést a listán szereplő személyek tájékoztatása, hiszen szinte mindenkihez rendeltek elérhetőséget, és az érintettek köre is szűk, körülbelül 200 fő.
Az adatfeldolgozási szerződés hiányosságai
A GDPR 28. cikke előírja, hogy
„az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben.”
A CNIL szerint a két társaság közötti szerződés nem felelt meg a 28. cikk követelményeinek, és nem minősült megfelelő adatkezelő és adatfeldolgozó közötti megállapodásnak.