„CSAK” STATISZTIKAI ADATOT KAPOK A FACEBOOK-TÓL – ADATKEZELŐ VAGYOK A GDPR SZERINT?

18 June 2018

Ma már kevés olyan vállalkozás van, melynek céges honlapja mellett ne lenne Facebook, Linkedin vagy hasonló oldala valamelyik közösségi hálón. Vajon céged a személyes adatok kezelésért elsődlegesen felelős adatkezelővé válik-e pusztán azért, mert a látogatókról statisztikai információt kap? Az Európai Unió Bírósága egy friss döntésében a fenti kérdésre adott választ.

Tények

A Wirtschaftsakademie Schleswig-Holstein Gmbh egy Németországban bejegyzett, szakmai képzéseket nyújtó cég, amelynek internetes honlapja van, de emellett ún. rajongói oldalt is üzemeltet a Facebook-on.

A Wirtschaftsakademie a Facebook oldal létrehozásával együtt alkalmazni kezdte az „Facebook Insights” funkciót is, melyet a Facebook ingyen tett elérhetővé számára egy nem tárgyalható szerződés keretében.

A Facebook Insights funkción keretében a Facebook „cookie”-kat („sütiket”) helyez el a rajongói oldalt meglátogató személy számítógépének merevlemezén, mely egyedi kódot tartalmaz és két évig aktív. A sütik segítségével a Facebook személyes adatokat tud gyűjteni a felhasználóról és ezt anonimizált formában továbbítja a rajongói oldal adminisztrátorának.

Mivel a sütik elhelyezéséről sem a Wirtschaftsakademie, sem a Facebook nem tájékoztatta a felhasználókat, a német adatvédelmi hatóság megállapította a személyes adatok kezelésére vonatkozó szabályok megszegését és arra kötelezte a Wirtschaftsakademie-t, hogy inaktiválja a Facebook oldalát.

A Wirtschaftsakademie szerint a német adatvédelmi hatóságnak közvetlenül a Facebook ellen kellett volna eljárást indítani, hiszen ő csak egy ingyenes funkciót használt. A cég szerint a személyes adatokat nem ő, hanem a Facebook gyűjtötte, akit jelen esetben adatkezelőnek kell tekinteni, míg ő csak anonimizált, statisztikai információt kapott az adatkezelőtől, így a felhasználók tájékoztatásért nem volt felelős.

Az ügy Luxembourgban

Az Európai Unió Bíróságának abban a kérdésben kellett állást foglalni, hogy egy ilyen helyzetben vajon ki az adatkezelő, aki elsődlegesen felelős az adatkezelés jogszerűségéért: a Facebook, a Wirtschaftsakademie, vagy esetleg mindketten?

Az EU Bíróság kiindulási pontként leszögezte, hogy az adatkezeléssel érintett személyek védelme érdekében az „adatkezelő” fogalmát nem szűken, hanem tágan kell értelmezni, mely adott esetben több személyre is vonatkozhat.

Az EU Bíróság szerint az nem kétséges, hogy a Facebook adatkezelőnek minősül, hiszen elsődlegesen ő határozza meg a Facebook használók személyes adatai vonatkozásában az adatkezelés célját és módját.

Ugyanakkor az EU Bíróság szerint kiemelt jelentősége van annak, hogy a Wirtschaftsakademie jelentősen hozzájárult az adatkezelés céljának és módjának meghatározásához: a rajongói oldal létrehozásakor ugyanis különböző szűrőket állított be, melyek alapján meghatározta azokat a kritériumokat, melyek szerint a Facebook a statisztikákat elkészíti.

A Wirtschaftsakedemie e körben kérhette a Facebook-tól, hogy a célközönségére vonatkozó demográfiai adatokat (életkor, nem, családi állapot, stb.), a célközönség életmódjára, érdeklődési körére, vagy vásárlási szokásaira vonatkozó adatokat gyűjtsön, annak érdekében, hogy célzottabbá tegye oktatási szolgáltatásai reklámozását.

Az EU Bíróság álláspontja szerint a fentiekkel a Wirtschaftsakademie részt vett az adatkezelés céljának és módjának meghatározásában, mely alapján a Facebook-kal együtt közös adatkezelőnek minősül.

Az EU Bíróság megjegyezte, hogy nincs jelentősége annak, hogy a személyes adatokat a Facebook gyűjtötte, és a Wirtschaftsakademie azokat csak anonimizált formában, statisztikai adatként kapta meg. Az adatkezelői szerepnek ugyanis nem szükséges feltétele, hogy az adatkezelő ténylegesen hozzá is férhessen a részére gyűjtött személyes adatokhoz.

Tanulság

Ha céged saját oldalt tart fenn bármelyik közösségi médiában, és a fentiekhez hasonlóan közreműködik a felhasználói adatok gyűjtésében, akkor is fontos meggyőződni arról, hogy a közösségi oldal üzemeltetője megfelelően tájékoztatja-e a felhasználókat az adatkezelésről, ha pusztán statisztikai információt kapsz a felhasználókról.

A közös adatkezelés következménye ugyanis az, hogy a közös adatkezelők egyetemlegesen felelősek a felhasználóval szemben. Így az a felhasználó, aki úgy véli, hogy megsértették a GDPR által biztosított jogait, választhat, hogy a közösségi oldal üzemeltetőjét, vagy cégedet panaszolja be az adatvédelmi hatóságnál.