Az ír adatvédelmi hatóság (Data Protection Commissioner – „DPC”) 2022. december 31-én hozott két döntésében 390 millió euró bírságot szabott ki a Facebookot és Instagramot Európában üzemeltető Meta Platforms Ireland Ltd.-re, mert az tévesen állapította meg a 2016/679 (EU) általános adatvédelmi rendelet („GDPR”) szerint szükséges adatkezelési jogalapot a viselkedésalapú, azaz a felhasználók korábban végzett tevékenysége (pl. kattintások, olvasással eltöltött idő, kedvelések) alapján személyreszabottan megjelenített reklámok felhasználók részére való megjelenítéséhez.
A Facebook ügyében hozott döntés ITT, az Instagram ügyében hozott döntés ITT érhető el.
Cikkünkben közelebbről megvizsgáljuk, mit mondott pontosan az ügyben fő felügyeleti hatóságként eljáró DPC, valamint a végső döntésbe a GDPR egységességi mechanizmusa révén bevont Európai Adatvédelmi Testület („EDPB”), továbbá összefoglaljuk a döntés gyakorlati jelentőségét.
Mit vizsgált pontosan az ír adatvédelmi hatóság?
A DPC a Max Schrems adatvédelmi aktivista nevével fémjelezett noyb jogvédő szervezet által 2018. május 25-én beadott érintetti panaszok alapján vizsgálatot indított a Facebook és az Instragram platformok által viselkedésalapú reklámok megjelenítése céljából végzett adatkezelés jogalapját illetően.
Az érintetti panasz azt kifogásolta, hogy a Meta a GDPR alkalmazandóvá válását megelőzően úgy változtatta meg a szolgáltatási feltételeit, hogy a felhasználói személyes adatok viselkedésalapú reklámok megjelenítése céljából való kezelését a korábbi, a felhasználók hozzájárulásán alapuló modelltől eltérően a továbbiakban a GDPR 6. cikk (1) bekezdés b) pontja szerinti jogalapra alapítja. Eszerint
a felhasználói adatok kezelése akkor jogszerű, ha az olyan szerződés teljesítéséhez szükséges, amelyben az érintett felhasználó az egyik fél.
A Meta álláspontja szerint
a frissített szolgáltatási feltételek elfogadásával olyan szerződés jön létre a Meta és a felhasználók között, amelynek teljesítéséhez, azaz a Facebook- és Instagram platformokon elérhető szolgáltatások nyújtásához a viselkedésalapú reklámok nyújtása elengedhetetlen, központi lényeges elem.
Ennek megfelelően, amennyiben a felhasználók 2018. május 25-ét követőentovábbra is hozzá kívántak férni a Facebook és az Instagram szolgáltatásaihoz, a meglévő (és új) felhasználók kötelesek voltak az “Elfogadom” gombra kattintva jelezni, hogy elfogadják a frissített szolgáltatási feltételeket – aki ezt nem tette meg, annak a platformok nem voltak elérhetőek.
A noyb a beadott érintetti panaszokban a Meta által kifejtett állásponttal ellentétben úgy érvelt, hogy a Meta valójában továbbra is a hozzájárulásra támaszkodik a felhasználók adatainak kezeléséhez szükséges jogalapként azáltal, hogy a Meta a szolgáltatásaihoz való hozzáférést a felhasználóknak a frissített szolgáltatási feltételek elfogadásához kötötte. Ezzel
a Meta valójában kényszerítette a felhasználókat arra, hogy hozzájáruljanak személyes adataiknak a viselkedésalapú reklámozás és más személyre szabott szolgáltatások céljából történő kezeléséhez.
Ez sérti a GDPR megfelelő jogalap azonosítását előíró alapelveit és követelményeit, valamint a GDPR 7. cikk (3) bekezdésében foglalt, hozzájárulás önkéntességére és feltételhez kötöttség tilalmára vonatkozó követelményt.
A DPC a kérdésben előkészített határozattervezetében megállapította:
- a Meta megszegte a GDPR 5. cikk (1) bekezdés a) pontjában, 12. cikkében és 13. cikk (1) bekezdés c) pontjában foglalt tájékoztatási kötelezettséget, mert a hivatkozott jogalapra vonatkozó információkat nem ismertette egyértelműen a felhasználókkal, aminek következtében a felhasználók nem voltak megfelelően tisztában azzal, hogy milyen adatkezelési műveleteket végez a Meta a személyes adataikkal, milyen célból, és milyen jogalapon.
- a Meta nem támaszkodott közvetve a felhasználók GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulására, mint a személyes adatok kezelésének jogalapjára, a noyb által az érintetti panaszban kifejtettekkel ellentétben a „kényszerített hozzájárulás” szempontja nem volt helytálló. A DPC ezzel kapcsolatban megjegyezte továbbá, hogy a Meta a GDPR rendelkezéseivel összhangban szabadon dönthet a GDPR 6. cikk (1) bekezdés b) pontja szerinti szerződéses jogalap használatáról, és téves jogalapra vonatkozóan adatvédelmi jogsértést nem állapított meg.
Tekintettel arra, hogy a Meta által folytatott vizsgált adatkezelés az összes uniós tagállamot érintette, a DPC a GDPR VII. fejezetében foglalt „Együttműködés és egységesség” keretein belül a GDPR 60. cikk (3) bekezdésével összhangban a határozattervezetét megküldte véleményezésre a többi EU/EGT adatvédelmi hatóságnak.
Hogyan működött az európai adatvédelmi hatóságok együttműködése?
Az uniós adatvédelmi hatóságok közötti együttműködési eljárást a GDPR VII. fejezete szabályozza. Ennek értelmében a fő felügyeleti hatóság, jelen esetben a DPC, a több tagállamot érintő adatkezelés vizsgálata esetén, mint amilyen a kérdéses Meta adatkezelés is, köteles a többi érintett felügyeleti hatóságot is bevonni a döntéshozatalba. Az érintett adatvédelmi hatóságok a GDPR 4. cikk 22. pontja értelmében azok a hatóságok, amelyeket a vizsgált adatkezelés érint, mert az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket.
Ezzel megindult a GDPR 60. cikkében szabályozott együttműködési eljárás. Az eljárás ezt követően az alábbiak szerint alakult:
- Az érintett adatvédelmi hatóságok a GDPR 60. cikk (4) bekezdés értelmében releváns és megalapozott kifogást tehettek a DPC határozattervezetével szemben. Kifogást tett az osztrák, német, francia, olasz, holland, norvég, svéd, lengyel és portugál hatóság. A kifogások egyöntetűen arra irányultak, hogy a Meta nem hivatkozhat a GDPR 6. cikk (1) bekezdés b) pontja szerinti szerződéses jogalapra, mivel a személyre szabott reklámok nyújtása (a Facebook és az Instagram szolgáltatások részeként kínált szélesebb körű személyre szabott szolgáltatáscsomag részeként) nem tekinthető szükségesnek egy sokkal korlátozottabb (a közösségi háló használatát lehetővé tevő) szerződési forma alapvető elemeinek teljesítéséhez.
- A DPC nem értett egyet az érintett adatvédelmi hatóságok kifogásával, és a GDPR 60. cikk (4) bekezdése értelmében az ügyet a GDPR 63. cikke szerinti egységességi mechanizmus keretében, a GDPR 65. cikkében meghatározott vitarendezési eljárásba utalta. A vitarendezési eljárás keretében az EDPB 2022. december 5-én kötelező erejű döntést fogadott el, amely kiterjedt a releváns és megalapozott kifogásban szereplő fő kérdésre, hogy a GDPR rendelkezéseit megsértette-e a Meta.
Mit mondott az Európai Adatvédelmi Testület (EDPB), és mi a vitarendezési eljárás eredménye?
Az EDPB kötelező erejű döntésében a kifogást benyújtó adatvédelmi hatóságokkal összhangban megállapította, hogy Meta nem hivatkozhat a GDPR 6. cikk (1) bekezdés b) pontja szerinti szerződéses jogalapra a felhasználók személyes adatainak viselkedésalapú reklámozás céljából történő kezeléséhez. Az EDPB hivatkozott a személyes adatoknak az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja szerinti kezeléséről az érintettek részére nyújtott online szolgáltatások összefüggésében c. 2/2019 iránymutatásra , melyben kimondta, hogy a „6. cikk (1) bekezdése b) pontjának alkalmazhatósága érdekében fontos, hogy az adatkezelés objektíve szükséges legyen a szerződéses szolgáltatás érintett részére történő teljesítésének szerves részét képező cél eléréséhez”.
Az EDPB ezzel kapcsolatban a kötelező erejű döntésben kifejti, a Meta üzleti modellje, miszerint a felhasználó számára pénzbeli ellenérték nélkül nyújt Facebook és Instagram szolgáltatásokat, hogy ezt követően ezen szolgáltatások révén viselkedésalapú reklámokkal bevételt generáljon, nem teszi ezt az adatkezelést a szerződés teljesítéséhez szükségessé. Ezzel az EDPB a viselkedésalapú reklámok megjelenítéséhez szükséges GDPR 6. cikk (1) bekezdés szerinti jogalap kérdésében a DPC-től eltérő álláspontot képviselt, mert a DPC értelmezése szerint a viselkedésalapú reklámot a Meta és a felhasználók közötti szerződés és kereskedelmi tranzakció „alapvető”, és „kereskedelmi szempontból lényeges” elemének tekinti. Az EDPB továbbá megjegyzi, bár igaz, hogy a GDPR 6. cikk (1) bekezdésében felsorolt jogalapok között nincs hierarchikus kapcsolat, ez nem jogosítja fel az adatkezelőt, hogy a kereskedelmi igényeinek legmegfelelőbb jogalapot válassza.
A DPC által 2022. december 31-én elfogadott végleges határozat tükrözi az EDPB kötelező érvényű megállapításait. Ennek megfelelően a DPC határozata szerint
a Meta nem jogosult a GDPR 6. cikk (1) bekezdés b) pontja szerinti „szerződéses” jogalapra hivatkozni a Facebook- és Instagram-szolgáltatásai részét képező viselkedésalapú reklámok nyújtásával kapcsolatban, és hogy a felhasználók adatainak ezen jogalapra támaszkodó eddigi kezelése a GDPR 6. cikkének megsértését jelenti.
A DPC kötelezte a Metát, hogy az adatkezelését a döntés kézhezvételét követő három hónapon belül hozza összhangba a GDPR rendelkezéseivel.
A szankciókat illetően és a GDPR ezen további megsértésére tekintettel
a DPC a Metával szemben kiszabott közigazgatási bírság összegét a Facebook esetében 210 millió euróra, az Instagram esetében 180 millió euróban határozta meg.
A jogsértés megállapítása és a bírság kiszabása mellett az EDPB továbbá kötelezte a DPC-t egy, a Meta által Facebookon és Instagramon végzett adatkezelések egészét érintő átfogó vizsgálat lefolytatására is. A DPC szerint ugyanakkor az EDPB nem rendelkezik a tagállami bíróságokhoz hasonló általános felügyeleti szereppel a tagállami független adatvédelmi hatóságok tekintetében, és nem áll módjában utasítani és irányítani egy hatóságot, hogy ilyen jellegű átfogó vizsgálatot folytasson. A DPC ezért kilátásba helyezte az EDPB döntésének megsemmisítése iránti kereset benyújtását az Európai Unió Bírósága felé.
Gyakorlati következmények
A DPC döntése több gyakorlati szempontból is különleges helyzetet teremt:
- Uniós jogi aktus alapján kötelező érvényű döntés megtámadása tagállami bíróság által: A Meta sajtótájékoztatóban jelezte szándékát, hogy az ír tagállami bíróság előtt megtámadja a DPC döntését. A felülvizsgálati kérelem befogadása során az illetékes ír bíróságnak arról kell dönteni, hogy egy kötelező erejű uniós jogi aktus, a GDPR 65. cikk (2) bekezdése értelmében a tagállami adatvédelmi hatóságra nézve kötelező erejű uniós testületi (EDPB) döntés alapján hozott tagállami (DPC) döntés megtámadható-e tagállami nemzeti bíróság előtt. Tekintettel arra, hogy ez a kérdés uniós jog értelmezését teszi szükségessé, valószínűsíthető, hogy a tagállami bíróság az ügyet előzetes döntéshozatali eljárás keretében az Európai Unió Bírósága elé utalja.
- A közösségi média ingyenességének kérdése: Magyar szempontból érdemes a döntést a GVH korábbi, Facebook ellen 1,2 milliárd forintos bírságot kiszabó döntése tükrében (a GVH döntése ITT elolvasható) vizsgálni. A GVH megállapításai szerint a Facebook félrevezetően állította, hogy a szolgáltatása „ingyenes”, mert a felhasználók azzal, hogy adataikkal üzleti értéket teremtettek, közvetve fizettek a szolgáltatásért. A GVH értelmezésében a Facebook és a felhasználó között létrejött szolgáltatási szerződés alapján felhasználók által megadott személyes adatok jelentik a Facebook szolgáltatásának ellentételezését. A Kúria – adatvédelmi jogszabályokat nem vizsgálva – Kfv.IL37.243/2021/11 ítéletében a GVH döntését megsemmisítette (erről ITT írtunk korábban), utalva rá, hogy bár a személyes adatok vitathatatlanul értéket képviselnek, azok eltérő jogszabályi rendelkezés hiányában nem tekinthetők pénzzel egyenértékű fizetőeszköznek, valamint, hogy csak akkor tekinthető valami ellenértéknek, ha az i) nem az igénybe vett szolgáltatás szerves része, és ii) valamilyen hátrányt jelent az ellenértéket szolgáltató felhasználónak. Az, hogy a felhasználó a közösségi média használata során személyes adatokat ad meg, a Kúria szerint a szolgáltatás szerves része, és emellett nem hátrányos a fogyasztóra nézve, így az ilyen adatszolgáltatás nem lehet ellenérték a fogyasztói percepció szempontjából. Az EDPB kötelező erejű döntése nyomán a DPC jelenlegi döntése a viselkedésalapú reklámok tekintetében annyiban árnyalja a GVH korábbi döntését, és a Kúria azt megsemmisítő ítéletét, hogy kimondja, a viselkedésalapú reklámok nyújtása alapvetően sem képezheti a Facebook (és Instagram), mint közösségi média platform szolgáltatására irányuló szerződés (szolgáltatási feltételek) lényeges elemét. Ez a jelenlegi szabályozói környezetben azt jelenti, hogy i) az alapvetően hirdetési bevételeken alapuló üzleti modellben működő szolgáltató által nyújtott szolgáltatásnak nem lényeges része a viselkedésalapú reklám, akkor sem, ha a szolgáltatás (a Kúria álláspontját követve) ingyenes, és ii) amennyiben (a GVH álláspontját követve) a felhasználó által megadott adatok ellenszolgáltatásnak minősülnének, a viselkedésalapú reklám szintén nem nyújtható együttesen a szolgáltatás lényeges elemével, azaz a közösségi platform eléréssel, hiszen a felhasználó a közösségi platform használatért „fizet”, nem az azon megjelenő viselkedésalapú reklámért.
- Viselkedésalapú reklámok megjelenítése: a döntés tanulságul szolgálhat más adatkezelők számára is, ugyanis az együttműködési és vitarendezési eljárás során nyilvánvalóvá vált, hogy az uniós adatvédelmi hatóságok többségi álláspontja szerint a viselkedésalapú reklámok megjelenítése kizárólag a felhasználó GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulása alapján lehet jogszerű. Nem változtat ezen az sem, ha az adatkezelő által nyújtott szolgáltatásnak egyébként lényeges részét képezi a személyreszabott tartalomajánlás (pl. streaming szolgáltatás keretében), ebben az esetben ugyanis az alapszolgáltatásként nyújtott viselkedésalapú tartalomajánlás alapozható a GDPR 6. cikk (1) bekezdés b) pontja szerinti szerződéses jogalapra, míg a viselkedésalapú reklám (hirdetések) megjelenítéséhez az adatkezelő köteles a felhasználó hozzájárulását kérni. Az EDPB korábban a virtuális hangasszisztensekről szóló 2/2021 véleménye szintén ezt támasztja alá, mely szerint az adatkezelés alapulhat a GDPR 6. cikke (1) bekezdésének b) pontján, amennyiben „a személyre szabás szerződéses jogviszony keretében és a végfelhasználó által kifejezetten kért szolgáltatás részeként történik (és az adatkezelés a szolgáltatás nyújtásához feltétlenül szükséges mértékre korlátozódik)”.