GDPR és a Facebook Custom Audience
A bajor adatvédelmi hatóság (DPA) nemrég kimondta, hogy a Facebook Custom Audience (CA) használata előzetes, kifejezett érintetti hozzájárulás hiányában jogellenes.
A FACEBOOK CUSTOM AUDIENCE ÉS A SZEMÉLYES ADATOK KEZELÉSE
A Custom Audience lehetőséget ad a hirdetőknek arra, hogy könnyen elérhessék azokat az érintetteket, akikkel korábban valamilyen formában (korábbi vásárlás, feliratkozás hírlevélre, részvétel nyereményjátékon, stb.) már kapcsolatba kerültek. A gyakorlatban ez úgy történik, hogy a hirdető feltöltheti azokat az adatokat (pl. e-mail cím, telefonszám), amikkel már rendelkezik korábbi vásárlóiról, melyeket a Facebook összevet a saját adataival annak érdekében, hogy megtalálja az érintettet. Ez általában sikerül is, jó eséllyel még akkor is, ha az illető nem is regisztrált a Facebookon. Ez úgy lehetséges, hogy pl. a Facebook Pixelen keresztül abban az esetben is továbbít a meglátogatott oldal adatokat az érintettről a Facebooknak, ha ő nem is Facebook felhasználó.
A DPA szerint nem kérdéses, hogy a fent leírt folyamat személyesadat-kezeléssel jár, hiszen ha más nem is történik, de a Facebook tudomást szerez arról, hogy az érintett valamely vállalkozásnak az ügyfele, mely személyes adat. Önmagában lehet, hogy ez nem tűnik lényeges adatkezelésnek, azonban ha világszerte több millió üzlet vásárlóit tudja azonosítani így a Facebook – mert ezeket az adatokat CA-n keresztül feltöltik a hirdetők – és ezeket az adatokat összeköti – márpedig senkinek ne legyen kétsége, hogy megteszi – abból már rengeteg további információt tud leszűrni az érintettről. A CA-n keresztül megszerzett adatokat a Facebook tehát tovább kezeli saját céljára, hogy ezzel is tökéletesebben tudja célozni a hirdetéseit.
A DPA a vizsgálat során nem találtak olyan hirdetőt, aki a Custom Audience használatához, azaz a szemlyes adatok “feltöltéséhez” az érintettektől előzetesen megfelelő hozzájárulást kért volna.
ELLENTÉTES ÁLLÁSPONTOK
A döntés kritikusai azzal érvelnek, hogy az adatok összevetése csak azután történik, hogy azok “hash”-elése megtörtént. A hash-elés során az adatok kvázi álnevesítésre kerülnek mindkét félnél ugyanazzal a módszerrel, és ezt követően történik csak a CA-ba feltöltött adatok és a Facebook adatbázisának az összevetése. Ezen álnevesített adatok “visszaalakítására” azonban bármelyik fél képes.
A DPA – összhangban a GDPR (26) preambulum bekezdésével – megállapította, hogy a fenti eljárás, tehát az álnevesítés, nem változtat az adatok személyes adat jellegén. A Custom Audience működése nem is lehetne anonim, hiszen az egész eljárás célja, hogy egyező személyes adatok alapján a konkrét érintettet azonosítsa a Facebook, és emellett a megszerzett adatokat is hozzákapcsolja az érintett profiljához.
A DPA az eljárás során nem vizsgálta a Facebook más hirdetési eszközei, így a Lookalike Audience és a Facebook Pixel adatkezelését, de Kristin Benedikt, a DPA képviselője elmondta, hogy a Facebook Pixel esetében is az az álláspontjuk, hogy kizárólag előzetes hozzájárulás lehet az adatkezelés jogalapja, akár Facebook felhasználókról, akár olyanokról van szó, akik nem regisztráltak a közösségi oldalon.
Nehezményezte továbbá a DPA, hogy az átlag felhasználó számára a Facebook különböző eszközein és platformjain keresztül megvalósuló adatkezelések teljességgel átláthatatlanok, mely alapelvi szinten sérti az érintettek jogait. Erre tekintettel is szükségesnek tartják az előzetes hozzájárulást, aminek érthető és megfelelően részletes tájékoztatáson kell(ene) alapulnia.
A DÖNTÉS HATÁSAI
A döntés még a GDPR alkalmazása előtti német adatvédelmi törvény hatálya alatt született, azonban elmondta a DPA, hogy a lényegi megállapítások és elvek, melyeket tartalmaz, a GDPR alkalmazását követően is helytállónak fogják tekinteni.
A jogos érdek, mint jogalap használatával kapcsolatban elmondta, hogy ilyen esetekben, amikor az adatkezelés ennyire átláthatatlan, akkor álláspontjuk szerint az érdekmérlegelés nem hozhat az adatkezelőre nézve pozitív eredményt, így az adatkezelés jogalapja ez nem lehet.
Kristin Benedikt elmondása szerint más adatvédelmi hatóságok is osztják a bajor álláspontot, és sokan üdvözölték a döntésüket.
Facebook Like gomb használatával kapcsolatos adatkezelés (Európai Bíróság FashionID ügy)
Kamerarendszer üzemeltetésével kapcsolatos EU állásfoglalás
EDPB (29-es Munkacsoport állásfoglalás a szerződéses jogalap használatáról
NAIH határozat elemzés: Érintetti joggyakorlás teljesítése során megvalósuló jogsértés
Adatvédelmi tisztviselő: kinevezés kötelező esetei (1. rész)
Forrás:
https://bit.ly/2UqnX3N
https://bit.ly/2Ve5EDv