Megint bajban van a Facebook

Az ügy háttere

Az ügy a Német Szövetségi Közigazgatási Bíróságtól származó előzetes döntéshozatal iránti kérelem miatt került az Európai Bíróság elé – írja Orla Lynskey IT szakértő és adatvédelmi szakjogász. A per résztvevői a Schleswig-Holstein adatvédelmi hatóság (továbbiakban: ULD) és az oktatás területén tevékenykedő Wirtschaftsakademie. A Wirtschaftsakademie oktatási szolgáltatásait a Facebook platform által szervezett "rajongói oldalon" kínálja, amelyet az érdeklődők bármikor látogathatnak. A Wirtschaftsakademie anonimizált statisztikai adatokat kapott a Facebooktól ("Facebook Insights") a rajongói oldal látogatása esetén. A statisztikai adatok megszerzése sütik elhelyezése révén valósult meg. A sütik két évig aktívak maradnak, s a rajongói oldal meglátogatásakor automatikusan adatokat gyűjtenek a látogatóról a tudta nélkül.

Tények

Mivel a rajongói oldal kezelői nem tájékoztatták a látogatókat arról, hogy folyamatos adatgyűjtés történik, az ULD 2011. november 3-i határozatával a rajongói oldal felfüggesztésére kötelezte a Wirtschaftsakademie-t. A Wirtschaftsakademie vitatta ezt a döntést azzal érvelve, hogy nem felelős a cookie-k felhasználói eszközön történő telepítéséért, és a későbbi Facebook-adatfeldolgozásért. Az ULD nem értett egyet, megjegyezve, hogy a Wirtschaftsakademie aktívan és szándékosan hozzájárult az adatok gyűjtéséhez.. A per további részeinek középpontjában a vitatott adatok feldolgozásával kapcsolatos felelősség megállapítása állt.

A német bíróság hat kérdést terjesztett az Európai Unió Bírósága elé. Az első és második kérdése arra irányult, hogy a Wirtschaftsakademie felelős-e az adatvédelmi jog megsértéséért. A harmadik és negyedik kérdésében arra volt kíváncsi, hogy az ULD-nek volt-e jogosultsága a hatáskörének gyakorlására, mivel a Facebook elsődleges adatvédelmi célú telephelye egy másik uniós tagállamban található. Ötödik és hatodik kérdése viszont arra irányult, hogy vannak-e korlátozások az ULD hatásköreire, tekintettel arra, hogy annak értékelése önmagában egy másik EU-tagállamban letelepedett harmadik fél (ebben az esetben Írországban létrehozott Facebook) tevékenységének jogszerűségét értékeli. 

Megállapítások

A felelősség megállapításánál a Bíróság emlékeztetett arra, hogy az adatvédelmi irányelv célja az alapvető jogok magas szintű védelme, és az "adatkezelő" fogalma széles körben definiálható a "hatékony és teljes" védelem biztosítása érdekében. Ezután megjegyezte, hogy az irányelv nem korlátozza az "adatkezelőt" egyetlen jogalanyra, hanem több olyan szereplőre is kiterjedhet, akik részt vesznek a feldolgozásban. Ezért úgy találta, hogy a Facebook Inc. és a Facebook Ireland elsősorban meghatározzák a fan-oldal felhasználói adatainak feldolgozásának céljait és eszközeit, ezért ők is vezérlők a folyamatban.

Ezután megvizsgálta, hogy a fan-oldal adminisztrátorai hozzájárulnak-e ehhez az adatgyűjtéshez, illetve felelősek-e az adott szituációban. A Bíróság megjegyezte, hogy a rajongói oldalak létrehozói egy bizonyos szerződést kötnek a Facebook Ireland-del, és mint ilyenek, feliratkoznak a fan-oldal használati feltételeire, beleértve a cookie-politikát is. 

A Bíróság kiemelte, hogy a rajongói oldal adminisztrátora meghatározhat és kérhet anonimitás nélküli demográfiai adatokat (ideértve például az életkorra vonatkozó információkat), amelyek szükségessé tehetik ezen adatok feldolgozását. A cookie-kból kinyert adatok feldolgozása személyes adatfeldolgozást jelent még akkor is, ha a fan-oldal adminisztrátoraihoz továbbított végleges adatok anonimak.

Az Európai Unió Bírósága hangsúlyozta, hogy a Facebook platform használata nem mentesíti a rajongói oldal adminisztrátorait az adatvédelmi szabályok betartása alól, sőt, felelősségük tovább erősödik, ha a rajongói oldal látogatója nem regisztrált Facebook-felhasználó. A közös felelősség ilyen elismerése - a Bíróság szerint - hozzájárul a rajongói látogatók teljesebb jogvédelméhez. 

A joghatósági kérdések második csoportjára vonatkozóan a Bíróság újból megismételte, hogy először is valamely tagállam nemzeti joga alkalmazható a feldolgozásra, ha a feldolgozást az adott tagállamban működő vállalkozás tevékenysége keretében folytatják. Az ilyen létesítmény megköveteli a valódi és hatékony tevékenység gyakorlását stabil intézkedések mellett, jogi formájától függetlenül.

Előzetes joggyakorlatának megfelelően a Bíróság úgy ítélte meg, hogy a feldolgozást nem feltétlenül az említett intézménynek kell elvégeznie , hanem "tevékenységével összefüggésében" máshol is történhet az adatfeldolgozás. A Bíróság emiatt úgy döntött, hogy a feldolgozás Németországban zajlott le egy német cégnél, ezért a német jog alkalmazandó a feldolgozás tekintetében, és a német hatóság jogosult a nemzeti jog alapján ráruházott valamennyi hatáskör gyakorlására.

(European Law Blog)