Felelős-e a Facebook rajongói oldal adminisztrátora az oldalát meglátogató személyek adatainak kezeléséért? Amennyiben igen, milyen mértékű a felelőssége? – Az Európai Unió Bírósága ítéletében választ adott , tisztázva ezzel a GDPR adatkezelő-fogalma által felvetett kérdéseket.
Az Európai Unió Bírósága közelmúltban hozott döntésében, előzetes döntéshozatali eljárás keretében vizsgálta azt az ügyet, amelyben a Német Adatvédelmi Hatóság arra kötelezte egy rajongói oldal adminisztrátorát, hogy bírság terhe mellett függessze fel a rajongói oldal működését, tekintettel arra, hogy sem ő, sem pedig a Facebook nem tájékoztatta a rajongói oldal látogatóit arról, hogy utóbbi cookie‑k (sütik) segítségével gyűjtött rájuk vonatkozó személyes adatokat, és hogy a Facebook ezt követően kezelte ezen információkat. Bár az ítélet még a korábbi 95/46 irányelv alapján került elbírálásra, tekintettel arra, hogy az adatkezelői minőség fogalma lényegében azonos a GDPR-ban is, az ítélet relevanciával bír a 2018. május 25-ét követően a GDPR által kialakított új jogi környezetben is.
Az ítélet szerint a rajongói oldalak olyan felhasználói fiókok, amelyeket magánszemélyek vagy vállalkozások hozhatnak létre. Ennek érdekében a rajongói oldal létrehozója, miután regisztrálta magát a Facebookon, a Facebook által kifejlesztett felületet felhasználhatja arra, hogy bemutassa magát e közösségi oldal felhasználóinak és a rajongói oldal látogatóinak, valamint bármilyen tartalmat megosszon a média‑ és véleménypiacon. A rajongói oldalak adminisztrátorai a Facebook által ingyenesen és nem módosítható felhasználási feltételek mellett a rendelkezésükre bocsátott Facebook Insights elnevezésű eszköz segítségével hozzájuthatnak ezen oldalak anonim látogatottsági statisztikáihoz. Ezen adatokat két évig működőképes és a Facebook által a rajongói oldal látogatói számítógépének merevlemezére vagy más eszközére mentett sütik segítségével gyűjtik, amelyet a Facebook a rajongói oldalak megnyitásának pillanatában gyűjt be és kezel.
Az adminisztrátor panaszt nyújtott be a hatóság határozatával szemben, arra hivatkozva, hogy ő csak anonim látogatottsági statisztikát kap a Facebooktól, vagyis nem kezel személyes adatot, így a Facebook által végzett adatkezelésért és az általa elhelyezett cookie‑kért felelősségre sem vonható. Az ügy több bírósági fórumot is megjárt Németországban és valamennyi eljáró bíróság megállapította, hogy az adminisztrátor az irányadó adatvédelmi szabályok alapján nem minősül adatkezelőnek a Facebook által gyűjtött adatok tekintetében. Ugyanis egyedül a Facebook határozza meg a Facebook Insights eszköz keretében felhasznált személyes adatok gyűjtésének és kezelésének célját és eszközeit, az adminisztrátor csak anonimizált statisztikai adatokhoz juthat hozzá. A Német szövetségi közigazgatási bíróság álláspontja is az volt, hogy az adminisztrátor nem tekinthető adatkezelőnek, ugyanakkor úgy ítélte meg, hogy az adatkezelő fogalmát főszabály szerint tágan kell értelmezni, a magánélethez való jog hatékony védelme érdekében, ezért felfüggesztette az előtte folyamatban lévő eljárást és előzetes döntéshozatal céljából az Európai Bírósághoz fordult.
Az Európai Unió Bíróság annak megválaszolása érdekében, hogy a rajongó oldal adminisztrátora tekinthető-e adatkezelőnek, azt vizsgálta meg, hogy az adminisztrátor hozzájárul‑e, és ha igen, milyen mértékben a rajongói oldal látogatói személyes adatai kezelése céljának és módjának a meghatározásához.
Az Európai Unió Bírósága megállapította, hogy a Facebookon fenntartott rajongói oldal adminisztrátora közreműködik az oldalát meglátogató személyek személyes adatainak kezelésében, többek között azzal, hogy a Facebook a rajongói oldal adminisztrátorától, a rajongói oldal létrehozásakor beállítási tevékenységet követel meg. Az adminisztrátor ugyanis a Facebook által rendelkezésére bocsátott szűrők segítségével határozhatja meg azon kritériumokat, amelyek alapján a Facebook a statisztikákat elkészítheti, illetve meghatározhatja azon személy-kategóriákat is, amelyek személyes adatait a Facebook felhasználhatja (vagyis az ő beállításai nélkül ezekhez az adatokhoz a Facebook nem juthatna hozzá). Mindezek alapján, függetlenül attól, hogy az adminisztrátor kizárólag anonim statisztikai adatokat lát, e statisztikák elkészítése a Facebook által a látogatók számítógépén vagy más eszközén elhelyezett sütik alapján történik.
E körülményekre tekintettel az Európai Bíróság megállapította, hogy a Facebookon fenntartott rajongói oldal adminisztrátora, beállítási tevékenysége révén közreműködik a rajongói oldalát meglátogató személyek személyes adatainak kezelésére vonatkozó célok és ezen adatkezelés módjának meghatározásában. Ezért ezen adminisztrátorokat adatkezelőnek kell tekinteni. Az Európai Bíróság mindazonáltal hozzátette, hogy az adminisztrátor is adatkezelőként vesz részt a Facebook‑használók, valamint a Facebookon fenntartott rajongói oldalakat korábban meglátogató személyek személyes adatai kezelésében, nem feltétlenül jelenti a személyesadat‑kezeléssel érintett különböző szereplők (jelen esetben a Facebook és az adminisztrátor) azonos felelősségét. Éppen ellenkezőleg, mivel e szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, a felelősségük mértékét valamennyi releváns körülmény figyelembevételével kell értékelni.
Az Európai Bíróság azt is kiemelte, hogy a Facebookon fenntartott rajongói oldalakat olyan személyek is meglátogathatják, akik nem Facebook‑felhasználók, és akik így nem rendelkeznek e közösségi hálózaton felhasználói fiókkal, azonban a Facebook által az eszközükre mentett cookie‑k segítségével az adatokat a rajongói oldal megnyitásának pillanatában gyűjtik be és kezelik, amelyek – ha nem törlik őket – két évig működőképesek maradnak. Ebben az esetben a rajongói oldal adminisztrátorának az e személyek személyes adatainak védelme tekintetében fennálló felelőssége fokozottabb, mivel a rajongói oldal általuk történő egyszerű felkeresése automatikusan előidézi a személyes adataik kezelését.
„Az Európai Bíróság fenti döntése álláspontunk szerint nem csak a Facebook adatkezelései tekintetében, hanem például a hasonló elven működő Google Analitics adatkezeléseire is alkalmazható” – véli Párkányi Rita, a KCG Partners Ügyvédi Társulás partnere és adatvédelmi szakértője.
„Felvetődik ugyanakkor a kérdés, hogy a fenti döntés következtében a Facebook rajongói oldalt működtető szervezeteknek milyen lépéseket kell tenniük a jogszabályoknak megfelelő adatkezelés tekintetében? Álláspontunk szerint célszerű lehet az ilyen oldalakat üzemeltetőknek megfelelő tájékoztatást elhelyezniük a weboldalukon, illetve a közösségi hálózaton fenntartott rajongói oldalukon is a sütik használatáról, mely többek között arról is tájékoztatja a látogatókat, hogy hogyan tudják törölni a sütiket számítógépükről/egyéb eszközükről, illetve letiltani a böngészőjükben a sütik alkalmazását. Célszerű lehet továbbá arról is tájékoztatni a látogatókat, hogy a Facebook adatkezelésére, valamint a sütik használatára vonatkozó tájékoztatója hol érhető el. Mindazonáltal a döntés sok kérdést is felvet, tekintettel arra, hogy amennyiben ez a tájékoztató csak a Facebook oldalon kerül elhelyezésre, azt a látogatók jellemzően csak akkor kapják meg, ha a kérdéses oldalra már beléptek, mely esetben a Facebook a sütit már elhelyezte a gépükön, így az előzetes tájékoztatás kötelezettsége ez esetben sérül. Célszerű lehet ezért megvizsgálni annak lehetőségét, hogy a Facebook lehetőséget nyújt-e arra, hogy a rajongói oldal megnyitásakor, például egy felugró ablakban kapja meg a megfelelő tájékoztatást a látogató és a hozzájárulása hiányában a Facebook ne helyezhessen el sütiket a gépén vagy egyéb eszközén.” – véli Párkányi Rita.