Kokoly Zsolt: Új adatvédelemmel kapcsolatos ítélet az Európai Bíróság gyakorlatában: 
a Facebook rajongói oldalak felelőssége az oldalt látogatók személyi adatainak kezelésében

A rendkívül széles nyilvánosságnak örvendő Általános Adatvédelmi Rendelet (GDPR) alkalmazásának kezdete – 2018. május 25 – után alig több mint egy héttel, június 5-én az Európai Unió Bírósága ítéletet hirdetett a C-210/16 sz. ügyben, melyben kimondta, hogy a Facebook rajongói oldal adminisztrátora a Facebookkal együttesen felelős az oldalát meglátogató személyek adatainak kezeléséért. 

Az ítéletet annak ellenére relevánsnak tekinthetjük a GDPR alkalmazása után is, hogy még a korábbi uniós adatvédelmi jogszabály (95/46/EK irányelv) figyelembevételével történt. Az ügy egyik csomópontja ugyanis a személyes adatok, adatkezelő, adatfeldolgozó fogalmának értelmezésére irányul, ezt azonban az irányelvet váltó rendelet nem módosítja, ennélfogva a jogeset az uniós védelmi jogszabályok jövőbeni alkalmazása szempontjából is jelentőséggel bír. A német szakirodalom, mely élénk figyelemmel követte az Európai Unió Bírósága előtti eljárást, helyenként úgy is fogalmaz, hogy ez a GDPR egyik első jelentős „lecsapódása”. 

A C-210/16 sz. ügyben az eredeti jogvita az Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Schleswig Holstein-i független regionális adatvédelmi hatóság, Németország) és egy szintén német oktatási és képzési intézmény, a Wirtschaftsakademie Schleswig-Holstein között keletkezett, mely Facebook rajongói oldalt tartott fent, ezen is hirdetve képzési szolgáltatásait. 

Az ítélet kihirdetése után a Facebook érdemi reakciója egyelőre jelen pillanatig is várat magára, mivel a közösségi platform egyelőre csak Newsroom felületén közölt egy általános állásfoglalást június 15-én, melyben nem térve ki arra, hogy milyen konkrét lépéseket kíván foganatosítani. Közleményben reagáltak viszont a németországi adatvédelmi szakmai fórumok (Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) – Adatvédelmi felelősök szakmai szövetsége, illetve Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) – Tartományi és szövetségi független adatvédelmi szervek grémiuma), az ügy felperese (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein), illetve több elemzés is született média és adatvédelmi szakjogászok tollából, melyek az ítélet gyakorlati hatását, alkalmazásának „problémakatalógusát” részletezik. A jövőbeli hatások latolgatása az ügy analógiás vonatkozásai miatt is nagy téttel bír: kiterjeszthető a Facebook rajongói oldalak mellett a Facebook csoportokra, illetve a hasonló közösségi platformokra is. 

De mielőtt az ítélet boncolgatásába kezdenénk, térjünk vissza a tényállás és az ítélet, valamint a főtanácsnoki indítvány ismertetéséhez. 

A C-210/16 sz. ügyben az eredeti jogvita amiatt keletkezett, hogy az adatvédelmi hatóság, felügyelői minőségében eljárva, 2011-ben a Facebook-rajongói oldal felfüggesztésére kötelezte a Wirtschaftsakademie-t. Az Unabhängiges Landeszentrum szerint ugyanis sem a Wirtschaftsakademie, sem pedig a Facebook nem tájékoztatta a rajongói oldal látogatóit arról, hogy utóbbi cookie-k („sütik” – a felhasználók számítógépén elhelyezett kis adatcsomagok) segítségével gyűjtött rájuk vonatkozó személyes adatokat, valamint ezt követően az információkat kezelte is.

A Wirtschaftsakademie ezt a határozatot a német közigazgatási bíróságok előtt megtámadta, arra hivatkozva, hogy nem vonható felelősségre a Facebook által kezelt személyes adatok miatt, és a közösségi oldalt általa ellenőrzött vagy befolyásolható adatkezeléssel sem bízta meg. Érvelése szerint ezért az Unabhängiges Landeszentrumnak közvetlenül a Facebookkal, és nem vele szemben kellett volna fellépnie.

Zárójelben meg kell jegyeznünk, hogy a német nyelvű háttéranyagokból kiderül, miszerint az Unabhängiges Landeszentrum a jogvita idején illetékesség hiányában nem tudott közvetlenül a Facebook Ireland (írország) ellen fellépni, ezért keresett német honossággal rendelkező Facebook adminisztrátort. A cél az (is) volt, hogy precedens értékű perben a bíróság mondhassa ki, miszerint a Facebook által alkalmazott személyes adatgyűjtési gyakorlat jogellenes. Időközben az Európai Bíróság joggyakorlata tisztázta, hogy közvetlenül is lehetséges a harmadik országból származó közösségi platformok ellen fellépni.

Az ügyben eljáró Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Németország) az eljárást felfüggesztve a 95/46 adatvédelmi irányelv értelmezését kérte a Bíróságtól. Az előzetes döntéshozatali eljárás keretében több kérdés is szerepelt, ezek közül a jelen írásban az első kettővel fogunk foglalkozni. Az első és a második kérdést a Bíróság összevonva, együttesen vizsgálta meg, lényegében arra keresve választ, hogy az adatvédelmi irányelv rendelkezései lehetővé teszik-e egy olyan szerv felelősségre vonását, amely valamely közösségi hálózaton rajongói oldalt tart fent és ilyen minőségében adminisztrátorként jár el (azaz megsértette-e a személyes adatok védelmére vonatkozó szabályokat azzal a döntésével, hogy információ-kínálatának terjesztéséhez e közösségi hálózatot vette igénybe).

Még jobban leegyszerűsítve, a Bíróság elé terjesztett első két kérdést úgy fogalmazhatnánk át, hogy személyes adatkezelőnek tekinthetünk-e egy intézményt, amely rajongói oldalt működtet a Facebookon, még akkor is, hogyha a célközönségére vonatkozó adatokat csak anonimizált formában kérheti le és kezelheti (azaz a célközönség demográfiai összetételére, életmódjára és érdeklődési körére, illetve földrajzi adataira vonatkozó anonim statisztikai információk formájában). 

A kérdést az is aktuálissá teszi, hogy különösen a kis- és középvállalkozások esetében jóval egyszerűbb Facebook rajongói oldalt létrehozni és adminisztrálni, mint egy honlapot (a fiók nyitása és fenntartása ingyenes, és a tartalomfeltöltés sem követel meg összetett digitális készségeket). 

Az eljárás során Yves Bot főtanácsnok kiemelte indítványában, hogy az ügy hátterét és aktualitását a webtracking jelensége adja, amely az internetfelhasználók viselkedésének kereskedelmi és marketing célból történő megfigyelését és elemzését jelenti. A webtracking az internetfelhasználók böngészési viselkedésének megfigyeléséből kiindulva lehetővé teszi többek között érdeklődési köreik azonosítását, a felhasználók viselkedését nyomon követő webtracking pedig (szükséges, funkcionális, kényelmi, stb.) cookie-k használatával történik. A webtrackinget többek között a weboldalak optimalizációja és minél hatékonyabb konfigurációja érdekében alkalmazzák. Lehetőséget nyújt továbbá a hirdetők számára arra is, hogy célzottan szólítsák meg a közönség különböző csoportjait.

A gyakorlatban minden weboldal használ cookie-kat – meg is tapasztalhattuk, hogy május 25 után a honlapok túlnyomó többsége az oldalra látogatókról azt igényli, hogy a különféle cookie-k elfogadásával/elutasításával szabja testre személyes adatkezelés fokozatait, ezáltal akár a kereskedelmi és marketing célból történő webtracking mértékét is korlátozva. A Facebook esetében a különböző cookie-k kezelése nem ilyen leegyszerűsített formában történik, amely két szempontból problematikus: nyilvánosan hozzáférhetővé tett tartalmait olyan személyek is böngészhetik, akik nem Facebook-felhasználók és nem rendelkeznek felhasználói fiókkal; illetve, a közösségi oldal összetett működéséből kifolyólag, regisztrált felhasználói sem lehetnek teljes mértékben biztosak abban, hogy elutasítás esetén mennyire teljeskörű a böngészői viselkedést monitorizáló eszközök tiltása.

Míg a weboldalak a látogatottsági statisztikákhoz különböző (ingyenes vagy fizetős) programokat választhatnak, a Facebook rajongói oldal esetében az adminisztrátor ingyenesen, de nem módosítható felhasználói feltételek mellett fér hozzá a „Facebook Insights” nevű modulhoz. A látogatottsági statisztikák összeállítása érdekében a közösségi portál legalább egy, egyedi azonosítót tartalmazó cookie-t helyez a rajongói oldalt látogató személy számítógépének merevlemezére, amely két évig működőképes marad (amennyiben nem törlik). Az egyedi azonosítót, amely összefüggésbe hozható a Facebookon regisztrált felhasználó bejelentkezési adataival, a Facebook-oldalak megnyitásának pillanatában gyűjtik be és kezelik. 

A főtanácsnoki indítvány részletezi, hogy a Facebook rajongói oldalak adminisztrátora mindenekelőtt a Facebook felhasználója, amelyhez annak érdekében fordul, hogy részesüljön az eszközei által nyújtott előnyökből, és azok által nagyobb nyilvánosságot érjen el. Ez ugyanakkor nem zárja ki, hogy őt egyúttal a személyes adatoknak az alapeljárás tárgyát képező kezeléséért, vagyis az ilyen adatok Facebook általi gyűjtéséért adatkezelőnek lehessen tekinteni.

Ennél a pontnál tisztázni kell azt a kérdést, hogy lehetősége van-e a Facebook rajongói oldal adminisztrátorának arra, hogy „meghatározza-e” az adatkezelés céljait és módjait, azaz gyakorol-e az adminisztrátor jogi vagy tényleges befolyást ezekre a célokra és módokra. Mind a korábbi irányelv, mind a kimondja a fogalommeghatározásoknál, hogy az adatkezelő nem az, aki a személyes adatok kezelését végzi, hanem az, aki annak módjait és céljait meghatározza. A rajongói oldal adminisztrátorának lehetősége van arra, hogy a célközönségére vonatkozó különböző statisztikai adatokat kérjen le, különböző szűrőket alkalmazzon, mellyel egy-egy kategória viselkedéséről többet tudjon. Ezeknek az adatoknak a kezelése alapján teheti a rajongói oldal adminisztrátora célzottabbá információszolgáltatását (pl. hol nyújtson különleges kedvezményeket vagy szervezzen eseményeket). 

Következésképpen, méghogyha nem is minősül a „Facebook Insights” eszköz létrehozójának, az adminisztrátor igénybe veszi ezt az eszközt, amikor az oldalára látogatók személyes adatai kezelésének célját és módját meghatározza. A főtanácsnok érvelése szerint (amelyet következtetéseiben a Bíróság is asszimilált) ez az adatkezelés nem valósulhatna meg az adminisztrátor arra vonatkozó előzetes döntésének hiányában, hogy rajongói oldalt hoz létre és tart fenn a Facebook közösségi hálózaton. Azzal, hogy lehetővé teszi a rajongói oldal felhasználóira vonatkozó személyes adatok kezelését, az oldal működtetője csatlakozik a Facebook által bevezetett rendszerhez, ily módon pedig nagyobb rálátást szerez rajongói oldala felhasználóinak profiljára. A fentiekből következik, hogy ezáltal lehetőséget nyújt a Facebook számára, hogy a közösségi hálózaton belül közzétett reklámokat célzottabbá tegye. Következésképpen: annak köszönhetően, hogy elfogadja a személyes adatok kezelésének módjait és céljait, úgy, ahogyan azokat a Facebook előzetesen meghatározta, a rajongói oldal működtetőjét is úgy kell tekinteni, mint aki részt vesz ezek meghatározásában. Ennek megfelelően, ahogyan a rajongói oldal adminisztrátora meghatározó befolyást gyakorol az oldalra látogató személyek személyes adatai kezelésének megkezdésére, ugyanígy megilleti őt a jogosultság arra, hogy rajongói oldalának megszüntetésével véget vessen ezen adatkezelésnek. 

Amikor a Facebook a rajongói oldal adminisztrátorának javaslatot tesz oldala látogatói körének meghatározására vagy módosítására, jelzi neki, hogyan teheti a legtöbbet annak érdekében, hogy oldalát a számára legfontosabb személyeknek jelenítse meg. A rajongói oldal adminisztrátora szűrők segítségével egyéni célközönséget határozhat meg, amely nem csupán azt teszi lehetővé számára, hogy szűkítse azon személyek körét, akik felé a kereskedelmi ajánlatával kapcsolatos információkat közvetítik, hanem elsősorban azon személyek csoportjának meghatározását is, akiknek a személyes adatait a Facebook összegyűjti. Ily módon, az általa elérni kívánt közönség meghatározásával a rajongói oldal adminisztrátora egyúttal azt a célközönséget is azonosítja, amelynek személyes adatait a Facebook összegyűjtheti és felhasználhatja. A rajongói oldal adminisztrátora tehát azonkívül, hogy oldalának létrehozásával ő indítja el az adatkezelést, a Facebook által végzett adatkezelés teljesítésében is vezető szerepet játszik. Ily módon részt vesz az említett adatkezelés céljainak és módjainak meghatározásában azzal, hogy tényleges befolyást gyakorol azokra.

Látjuk tehát, hogy abban a kérdésben, lehet-e adatkezelőnek tekinteni egy olyan adminisztrátort, amely csupán megköthet vagy elutasíthat valamely szerződést, a főtanácsnok és a Bíróság pozitív választ adott: attól a pillanattól kezdve, hogy ugyanez a szerződő fél szabad akaratából megállapodást köt, az adatkezelés módjaira és céljaira gyakorolt konkrét befolyására tekintettel adatkezelő is lehet.

Az adatkezelői minőség megállapítása szempontjából nem követelmény az, hogy egy adott adminisztrátor az adott adatkezelés valamennyi szempontja felett teljes ellenőrzéssel rendelkezzék, mivel az adatkezelések egyre inkább összetettek abban az értelemben, hogy több olyan elkülönült adatkezelésről van szó, amelyek több, különböző fokú ellenőrzési jogosultsággal bíró felet foglalnak magukban. 

Ennek kapcsán, a hasonló tényállás miatt, a Bíróság utalt a C-131/12. sz. Google Spain és Google ügyre, melyben szintén több adatszolgáltatót magában foglaló helyzetet kellett értelmezni, és a különböző felek mindegyike külön befolyást gyakorolt az adatkezelésre. A jelen esethez hasonlóan (közösségi oldal és az adminisztrátor együttes felelőssége), a 2014-es esetben is felmerült ez a lehetősége (keresőmotor működtetője és a honlapszerkesztők együttes felelőssége). 

Az együttes felelősség nem jelenti ugyanakkor az azonos felelősséget: mivel e szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, a felelősségük mértékét a jelen ügyre jellemző valamennyi releváns körülmény figyelembevételével kell értékelni.

Főtanácsnoki indítványában Yes Bot kifejtette, hogy nem kell különbséget tenni az olyan vállalkozás között, amely internetes oldalát a Facebook által ajánlotthoz hasonló eszközökkel látja el, és az olyan vállalkozás között, amely csatlakozik a Facebook közösségi hálózatához és ennek eszközeit veszi igénybe erre a célra. Biztosítani kell tehát, hogy azok a piaci szereplők, amelyek internetes oldaluk fenntartásához tárhelyszolgáltatást vesznek igénybe, a szolgáltató általános szerződési feltételeinek alávetve magukat ne bújhassanak ki a felelősség alól. 

A főtanácsnok a tág értelmezés érdekében még messzebbre menő következtetéseket is megfogalmazott, és úgy érvelt, hogy nincs alapvető különbség egy rajongói oldal adminisztrátorának és egy olyan honlap üzemeltetőjének helyzete között, aki a weboldalára valamely webtrackingszolgáltató kódját építi be, és így a webtrackingszolgáltató javára adatokat továbbít, gyűjt és cookiekat telepít a felhasználó tudta nélkül. A tág értelmezés szerint a cookie-k, illetve a tracking tools (nyomkövető eszközök) és a külső szolgáltatók social media plugin-ja (közösségi beépülő modul) között sem kell mesterségesen különbséget tenni. Ennek a véleménynek azért lehet a közeljövőben nagy súlya, mivel az Európai Bíróság előtt egy tényállásában nagyon hasonló ügy zajlik (Fashion ID GmbH & Co. KG kontra Verbraucherzentrale NRW eV – C-40/17. sz. ügy), így pedig akár az ítélethirdetésre is hatással lehet. 

Az ítélet hatásait, különösen a gyakorlatban történő megvalósulását a szakmai fórumok egyelőre még csak körvonalazzák. A Facebookon rajongói oldalt fenntartó intézmények előtt egyelőre, gyakorlati útmutatás hiányában, kevés járható út mutatkozik: a két véglet közül a szakemberek véleménye szerint nem szükséges a radikális megoldást (az oldal felfüggesztését vagy láthatatlanná tételét) választani, de a teljes figyelmen kívül hagyás sem lehet opció (Nichtstun ist keine Option!” – áll az Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2018. június 8-iki sajtónyilatkozatában). 

Az oldal bezárásától azért sem kell félnünk, mivel az Európai Bíróság ítélete nem dönti el a tagállami bíróság előtti jogvitát (ennek elbírálása a nemzeti hatóság feladata), az alapeljárásnak pedig nem az volt a tárgya, hogy jogellenes-e a Facebook rajongói oldal fenntartása. A felügyelői minőségben eljáró nemzeti adatvédelmi hatóságok pedig csak abban az esetben rendelhetik el a jövőben a rajongói oldal bezárását, hogyha bizonyítást nyer, hogy a Facebook a rajongói oldalak működtetése révén megsérti a személyes adatok védelmére vonatkozó szabályokat. Júniusi bejegyzésében a Facebook azt állította, hogy a rajongói oldalak adminisztrátorainak nem kell az oldalt lezárni.

Mivel nem tűnik életszerűnek, hogy a jogszabályi háttér (GDPR 26. cikk) által megkövetelt együttes felelősségvállalási szerződést (Joint Controllship Agreement) minden egyes Facebook rajongói oldal adminisztrátora egyenként tárgyalja és kösse meg a közösségi oldal képviselőivel, inkább az tűnik valószínűnek, hogy a közösségi platform fog kidolgozni egy szabványszöveget, amely a két fél közötti együttes felelősségvállalást rögzíti. 

Egyelőre ennek hiányában a Facebook rajongói oldalak adminisztrátorai figyelmeztethetnék látogatóikat adatvédelmi tájékoztatóban a személyes adatok gyűjtésére vonatkozóan, azonban a közösségi platform által kezelt személyes adatok mibenlétét nem ismerve, ez sem tűnik célravezető megoldásnak. Amennyiben a rajongói oldal adminisztrátora nem ismeri a Facebook személyes adatkezelési gyakorlatát, nem fog tudni eleget tenni annak a kötelezettségének, melynek értelmében az érintett személyeknek joguk van tájékoztatást nyeri arról, hogy az adatkezelő milyen információkat gyűjt róla (GDPR 13. cikk). 

Az adatvédelmi tájékoztatásba a szakemberek megítélése szerint ajánlatos kitérni a Facebook-szolgáltatásaik mibenlétére, azonban ez nem elégséges, hiszen az információs kötelezettség és a személyes adatok kezeléséhez való hozzájárulás külön adatvédelmi kötelezettségi kategóriákat képeznek. 

Ezenkívül, míg az opt-in típusú beleegyezés (mely a személyes adatok kezelését jóváhagyja) elméletben a social media plugin-t használó honlapon szóba jöhet, a Facebook rajongói oldalon több okból sem tűnik megvalósíthatónak, mivel többszörösen összetett, egymásra rétegződő adatkezelési gyakorlatának megértetése komoly erőfeszítést kívánna a felhasználóktól. 

Említettük, hogy az ítélet túlmutat a Facebook rajongói oldalakon és analógiás alapon az együttes felelősségvállalást a Facebook csoportokra is lehetne alkalmazni. Egyes elemzők azt is kiemelik, hogy vannak vállalatok, melyek bátorítják alkalmazottaik közösségi médiahasználatát a vállalati érdekek megvalósítása céljából. Ilyen esetben az alkalmazottak Facebook (vagy más közösségi médiabeli) tevékenységét tanácsos a vállalati megfeleltetés szempontjából is megvizsgálni és ebbe beleépíteni.

Pesszimista becslések szerint a Facebook akár azt is választhatná, hogy inkább lemond európai felhasználóiról, mintsem a személyes adatok gyűjtésén és a célzott marketingen alapuló üzleti modelljét feladja. Bár csekély a valószínűsége, a közösségi portál fizetőssé tétele is szóba jöhetne (a Forbes magazin példája alapján: az ingyenes verzióhoz való hozzáférés a cookie-k telepítésével járna az előfizetés alapúval szemben). 

Az ítélet kihirdetése az online tartalomszolgáltatók teljes palettájára rávetült, hiszen alkalmazható Twitter és Instagram, Linkedin profilokra, Google Map térkép- vagy videóbeágyazásra, ezért a további fejleményeket valamennyi érintett fél: adatvédelmi hatóságok, közösségi platformok, Facebook rajongói oldalak adminisztrátorai, felhasználók, joggyakorlók és az akadémiai szféra képviselői is érdeklődéssel várják. 

A szerző a Sapientia EMTE egyetemi adjunktusa.