Tényleg betiltanák a Facebook-ot és az Instagram-ot Európában? - Nézzük a tényeket!

Az ír adatvédelmi hatóság (Data Protection Commissioner – „DPC”) 2022. júliusi sajtóértesülések szerint megtiltaná a Facebookot és Instagramot Európában üzemeltető Meta Platforms Ireland Ltd.-nek az amerikai anyavállalata (Meta Inc.) részére történő adattovábbításokat.

Az erről szóló szalagcímek a Facebook és az Instagram európai betiltását vizionálják – a cikkünkben közelebbről megvizsgáljuk, valóban sor kerülhet-e erre, és ha igen, mikor, valamint milyen jogi eljárásokat követően.

Mit mond pontosan az ír adatvédelmi hatóság?

A DPC eljárásának közvetlen előzménye, hogy az Európai Unió Bírósága („CJEU”) 2020. júliusában az úgynevezett „Schrems II döntésében” érvénytelenítette az USA „Privacy Shield” adatvédelmi keretrendszeréhez csatlakozott vállalatok (mint például a Meta Inc.) számára történő adattovábbításokat engedélyező Európai Bizottsági határozatot. Ezen túlmenően

a CJEU ítélete szerint az Európai Gazdasági Térségen kívülre történő adattovábbítások során a legtöbb cég által használt általános adattovábbítási feltételek (standard contractual clauses – “SCC“) is csak további szerződéses és technikai biztosítékok mellett használhatók.

A Schrems II ítélet nyomán a DPC az USA-ba történő adattovábbítások megfelelőségét hivatalból indított eljárásban vizsgálja. A DPC készülő határozatának („Határozattervezet”) a fent említett sajtóértesülés szerint központi eleme, hogy

megtiltaná a Meta által az SCC alapján EU-ból az USA-ba történő adattovábbításokat.

A Határozattervezet elfogadása esetén

a Meta számára tehát nem maradna további eszköz a Facebook és az Instagram működéséhez szükséges, rendszeres EU-US adattovábbítások jogszerűségének biztosítására.

Ezek az adattovábbítások ugyanakkor szükségesek az említett közösségi platformok működéséhez, így azok leállítása valóban a Facebook és az Instagram szünetelését jelentheti Európában.

Mi jön most?

A Határozattervezet nem nyilvános, ezért a lehetséges következmények elemzése során a sajtóértesülésben írtakból lehet kiindulni.

A DPC a GDPR 60. cikke (Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között) szerinti együttműködési mechanizmus keretében elküldte a Határozattervezetét az EU összes érintett adatvédelmi hatóságának, amelyeknek ezen mechanizmus keretében lehetőségük van kifogásolni a Határozattervezetben foglaltakat.

Az érintett adatvédelmi hatóságok a GDPR 4. cikk 22. pontja értelmében azok a hatóságok, amelyeket a vizsgált adatkezelés érint, mert 1) a Meta Platforms Ireland Ltd. a felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel; 2) az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket; vagy 3) panaszt nyújtottak be az említett felügyeleti hatósághoz. Ugyan a DPC által megszólított adatvédelmi hatóságok pontos köre nem ismert, a fenti definíció 2) pontja alapján számos uniós hatóság tekinthető érintett felügyeleti hatóságnak.

Ezzel megindult a GDPR VII. fejezetében szabályozott, az érintett adatvédelmi hatóságok bevonásával zajló együttműködési eljárás. Az együttműködési eljárásban, mint eljárást kezdeményező fél, a DPC jár el fő felügyeleti hatóságként.

Mit mondhat a többi adatvédelmi hatóság?

Az eljárás ezt követően az alábbiak szerint alakul:

1. Az érintett adatvédelmi hatóságok négy héten belül, azaz 2022. augusztus 4-ig emelhettek releváns és megalapozott kifogást a Határozattervezettel szemben.

2. Amennyiben valamely érintett adatvédelmi hatóság kifogást nyújt be, és

a) azzal a DPC egyetért: A GDPR 60. cikk (5) bekezdése értelmében a DPC a kifogás alapján módosított döntéstervezetet benyújtja a többi érintett adatvédelmi hatóságnak, hogy azok véleményezhessék. A módosított Határozattervezet tekintetében az érintett hatóságoknak további két hét áll rendelkezésre a véleményezésre.

b) azzal a DPC nem ért egyet: A GDPR 60. cikk (4) bekezdése értelmében az ügyet a GDPR 63. cikke szerinti egységességi mechanizmus keretében, a GDPR 65. cikkében meghatározott vitarendezési eljárásban

A vitarendezési eljárás keretében az Európai Adatvédelmi Testület („EDPB”) a tagjai kétharmados többségével, egy hónapon belül kötelező erejű döntést fogad el, amely kiterjed a releváns és megalapozott kifogásban szereplő összes kérdésre, különösen arra, hogy a GDPR rendelkezéseit megsértette-e a Meta. Ez az egy hónapos határidő szükség esetén további egy hónappal meghosszabbítható. A döntést az EDPB részéről indokolni kell, és el kell küldeni a DPC-nek, valamint minden érintett felügyeleti hatóságnak, amelyekre nézve kötelező erővel rendelkezik.
Amennyiben az EDPB nem tud a tagjai kétharmados többségével döntést hozni, a második hónap leteltét követő két héten belül, tagjainak egyszerű többségével fogadja el.
A DPC indokolatlan késedelem nélkül, de legkésőbb egy hónappal azt követően, hogy az EDPB bejelentette döntését elfogadja jogerős döntését.

3. Amennyiben egyik érintett felügyeleti hatóság sem nyújt be kifogást: A GDPR 60. cikk (6) bekezdése értelmében úgy kell tekinteni, hogy a DPC és az érintett felügyeleti hatóságok egyetértenek a döntéstervezettel és az így rájuk nézve kötelező.

Gyakorlati következmények

Ahogy az a fenti elemzésből is látszik,

a DPC eljárása a Határozattervezet megküldésével még kezdeti fázisában tart, és a jelenlegi körülmények között távol áll attól, hogy abból biztos és végleges következtetéseket lehessen levonni az eljárás kimenetelére vonatkozóan

– már csak azért sem, hiszen a DPC Határozattervezete nem nyilvános, így a hatóság pontos érvelése egyelőre nem ismert.

Továbbá, tekintve, hogy a DPC határozatát az illetékes ír bíróságok előtt a későbbiekben meg lehet támadni, az eljárás akár évekig is elhúzódhat.

Az adatvédelmi jogi szempontú elemzést tovább árnyalja, hogy a kérdés a Meta piaci helyzetéből adódóan számos felet érint, és közvetve a teljes EU-US adattovábbítási problémakörre kihatással van. Mivel jelenleg is zajlanak a Joe Biden amerikai elnök és Ursula Van der Leyen, ez Európai Bizottság elnöke által 2022. március 25-én bejelentett új EU-US adattovábbítási keretrendszert előkészítő tárgyalások, még az is lehet, hogy a DPC eljárása okafogyottá válik, és a Meta a Privacy Shield-en, valamint az SCC-n túl egy új keretrendszer szerint biztosítani tudja az adatvédelmi megfelelést. A megfelelő adattovábbítási mechanizmusok kialakításán kívül az adatvédelmi megfelelés másik alternatívája lehet a Meta által már kezdeményezett uniós adatközpontok létrehozása (például: 1 milliárd euróból épülő adatközpont Spanyolországban). Az adatközpontok működése kialakításakor szintén figyelembe kell venni a GDPR megfelelési követelményeit, különösen az US székhelyű anyavállalatok uniós adatközpontokban tárolt adatokhoz való hozzáférési jogosultságait, és a részükre történő adattovábbításokat.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Tényleg betiltanák a Facebook-ot és az Instagram-ot Európában? – Nézzük a tényeket!

Kapcsolódó tartalmak

Megfelelés az AI Act-nek – gyakorlati példák az adatvédelmi feladatokra

Állásra jelentkezők személyes adatainak megőrzése

A munkavállalói fényképek használatának GDPR szerinti jogalapja

Parkolóőrök testkamerával az atrocitásokkal szemben: jogszerű-e?

Egészségügyi adatokhoz való hozzáférési jog – mire érdemes figyelni?

Whistleblowing és adatvédelem – amiről nem beszél a jogszabály

Új fejezet a transzatlanti adatforgalom terén – elfogadásra került a Privacy Framework

Az új Bejelentővédelmi Törvény – gyorstalpaló a felkészüléshez

NAIH: rugalmasabb megközelítés a munkavállalói dokumentumok lemásolásával kapcsolatban