GDPR – Facebook Like gomb adatkezelése – Európai Bíróság FashionID ügy
Az ügy:
A Fashion ID online divatruha‑értékesítő vállalkozás elhelyezte honlapján a Facebook közösségi oldal által biztosított „Tetszik” kiegészítő modult, azaz a Facebook “Tetszik” gombot. Az eljárás során megállapításra került, hogy abban az esetben, ha egy látogató megtekinti a Fashion ID honlapját, akkor – abból következően, hogy a honlapon fent van az említett gomb – a személyes adatai továbbításra kerülnek a Facebook Ireland részére. Ez a továbbítás az említett látogató tudomása nélkül megy végbe, függetlenül attól, hogy tagja‑e a Facebook közösségi hálózatnak, vagy hogy rákattintott‑e a Facebook „Tetszik” gombra.
Kérdések:
1. A honlap üzemeltetője adatkezelőnek minősül-e ebben az esetben?
2. Ha az adatkezelés jogalapja jogos érdek, akkor ez esetben a honlap üzemeltetőjének vagy a közösségi modul szolgáltatójának a jogos érdekét kell figyelembe venni az érdekek mérlegelésénél?
3. Hozzájárulás jogalap esetén kinek a részére kell megadni a hozzájárulást? Honlap üzemeltetőjének vagy a Facebooknak?
4. Kit terhel a tájékoztatási kötelezettség?
A Bíróság döntése:
1. A Fashion ID‑hoz hasonló minden olyan honlap‑üzemeltető, aki a honlap látogatójának böngészője számára a közösségi modul szolgáltatója által biztosított tartalom elérését és ehhez a látogató személyes adatainak e szolgáltató részére való továbbítását lehetővé tévő közösségi modult (tehát „Tetszik” gombot) helyez el a honlapon, adatkezelőnek minősíthető.
Az adatkezelői minőség azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen ő határozza meg, azaz a szóban forgó adatok gyűjtésére és továbbítás általi közlésére. Amennyiben megállapítható, hogy ezen adatkezelési műveletekben a Facebook Ireland és a Fashion ID együttesen határozzák meg a Fashion ID honlapjának látogatóira vonatkozó személyes adatok gyűjtésének és továbbítás általi közlésének alapjául szolgáló műveletek módját és célját is, akkor közös adatkezelőnek minősíthetők.
Mindazonáltal a Bíróság kiemeli, hogy nem minősíthető viszont adatkezelőnek a honlap üzemeltetője az adatok továbbítását követően a Facebook Ireland által végzett adatkezelési műveletek tekintetében (hiszen első látásra a Bíróság számára kizártnak tűnik, hogy a Fashion ID határozná meg ezeknek a műveleteknek a céljait és módját).
2. A honlapra látogatókra vonatkozó személyes adatok gyűjtésére és továbbítás általi közlésére irányuló műveletek tekintetében a Bíróság úgy határozott, hogy mindkét adatkezelő, azaz a honlap-üzemeltető és a közösségimodul-szolgáltató (Facebook) esetében is fenn kell állnia ezen adatkezelési műveletek tekintetében a jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősíteni ezeket a műveleteket.
3. A hozzájárulással kapcsolatban a Bíróság hangsúlyozta, hogy azt az érintett személyes adatainak gyűjtését és továbbítás általi közlését megelőzően kell beszerezni. Ilyen körülmények között a hozzájárulás beszerzése a honlap üzemeltetőjének, nem pedig a közösségi modul szolgáltatójának feladata, mivel a személyesadat‑kezelési folyamatot az indítja el, hogy a látogató megtekinti ezt a honlapot. Nem lenne ugyanis a Bíróság szerint összhangban az érintett jogainak hatékony és megfelelő időben történő védelmével, ha a hozzájárulást annak a közös adatkezelőnek kellene adni, aki csak egy későbbi szakaszban játszik szerepet, vagyis az említett modul szolgáltatójának. Az érintett honlap‑üzemeltetőnek adandó hozzájárulás azonban csak arra a személyesadat‑kezelési műveletre vagy műveletcsoportra vonatkozik, amelynek céljait és módját ténylegesen ő határozza meg, azaz jelen esetben a szóban forgó adatok gyűjtésére és továbbítás általi közlésére a Facebook „Tetszik” gombon keresztül.
4. Az előző pontban írtakra is figyelemmel a GDPR szerint előírt tájékoztatási kötelezettség a honlap üzemeltetőjét is terheli, azzal, hogy ez esetben a tájékoztatásnak csak az adatok gyűjtésére és továbbítás általi közlésére kell kiterjednie.
Korábbi blogposztjaink:
Kamerarendszer üzemeltetésével kapcsolatos EU állásfoglalás
GDPR és a Facebook Custom Audience
NAIH határozat elemzés: Érintetti joggyakorlás teljesítése során megvalósuló jogsértés
Adatvédelmi tisztviselő: kinevezés kötelező esetei (1. rész)
