Az Európai Adatvédelmi Testület (EDPB) 2020. szeptember 2-án tette közzé régen várt iránymutatásának tervezetét, amely az adatkezelő és az adatfeldolgozó fogalmának elhatárolására ad egy új koncepciót. A testület ezzel egyidejűleg szintén közzétette a közösségi média célzott reklámkampányaival kapcsolatos iránymutatásának tervezetét is, mely a közösségi média reklámkampányaival kapcsolatos adatkezelések tekintetében ad eligazítást többek között a közös adatkezelés fogalmának értelmezésére. A tervezetek nyilvános konzultációja nemrég zárult le, így az iránymutatások hamarosan véglegesítésre kerülnek. Mi már erre előre tekintve, de még a tervezetek alapján készítettük el az összefoglalónkat, amelyet frissítünk majd a végleges változatok megjelenése után, ha ezekben lesznek jelentős változások.

A két, bevezetőben említett iránymutatás tehát az alábbi:

Míg az adatkezelő és az adatfeldolgozó fogalma a GDPR-ban nem változott a korábbi Adatvédelmi 95/46/EK Irányelvhez képest, a GDPR hatálybalépése sok kérdést vetett fel a piaci szereplők számára e szerepek gyakorlati meghatározásakor. A 07/2020 Iránymutatás és a 08/2020 Iránymutatás tovább pontosítja a GDPR 26. cikke szerinti „közös adatkezelő” fogalmát az Európai Unió Bíróságának esetjogát is figyelembe véve. A 07/2020 Iránymutatás az adatfeldolgozókra vonatkozó, a GDPR 28. cikkében előírt kötelezettségeket is ízekre szedi.

Ki az adatkezelő?

Az adatkezelő definícióját a GDPR 4. cikk 7. pontja tartalmazza, amelyet öt jól elhatárolható fogalmi elemre bonthatunk fel a következők szerint:

  1. az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely
  2. a személyes adatok kezelésének
  3. céljait és eszközeit
  4. önállóan vagy másokkal együtt
  5. meghatározza.

Az 1. pont nem is érdemel külön kiemelést, a személyi hatály tulajdonképpen mindenkire kiterjed, a 2. pont esetén pedig a WP29 által kiadott, a személyes adat fogalmáról szóló 4/2007 Vélemény már elemezte. A többi pontot viszont részletesen végig vezeti az EDPB a 07/2020 Iránymutatásban, így az alábbiakban részletezzük a Testület meglátásait.

Ad 3 – „céljait és eszközeit”

Az adatkezelés céljainak és eszközeinek meghatározása az egyik legfontosabb kérdés annak értékelésekor, hogy a szóban forgó adatkezelést folytató személyek mely szerepet töltik be. A „célt” úgy lehet felfogni, mint „egy szándékosan elérni kívánt várható eredményt”, míg az „eszköz” az, hogy „hogyan fogják elérni ezt az eredményt”.

Másképpen fogalmazva ezt úgy határozhatjuk meg, hogy felmérjük, ki dönti el, hogy miért kezelik a személyes adatokat (ez a „cél”), és hogy a személyes adatok miként kerülnek kezelésre a cél elérése érdekében (ez az „eszköz”). A gyakorlatban azonban az adatfeldolgozók gyakran hoznak bizonyos döntéseket, különösen az adatkezelés „mikéntjéről”. Ezért az EDPB elismeri, hogy bizonyos mozgástér fennállhat az adatfeldolgozó számára ahhoz, hogy képes legyen döntéseket hozni, ezért az adatkezelés „eszközeit” két részre osztja: „alapvető eszközök” („essential means”) és „nem alapvető eszközök” („non-essential means”).

Az EDPB néhány példát is hoz az „alapvető eszközökre”. Ezek az adatkezelés alá eső személyes adatok típusának, az adatkezelés időtartamának, a címzettek kategóriáinak és az érintettek kategóriáinak a meghatározását jelentik. Ezzel szembe állítva az EDPB példákat hoz a feldolgozás „nem alapvető eszközeire”: ilyen például egy adott típusú hardver vagy szoftver kiválasztása az adatkezeléshez vagy az adatbiztonsági intézkedések pontos meghatározása, amely feladatokat jellemzően az adatfeldolgozó lát el.

Ad 4 – „önállóan vagy másokkal együtt”

A GDPR 4. cikke elismeri, hogy az adatkezelés céljait és eszközeit több szereplő is meghatározhatja. Más szóval, több különböző entitás lehet adatkezelő ugyanazon adatkezelés során. Ennek megfelelően egy szervezet akkor is adatkezelő lehet, ha nem ő hoz meg minden döntést az adatkezelés céljaival és eszközeivel kapcsolatban (a közös adatkezeléssel kapcsolatos érvelést lásd később).

Ad 5 – „meghatározza”

Az utolsó fogalmi elem az adatkezelő befolyására utal a személyes adatok kezelése felett, és ennek értelmében az adatkezelő döntési jogkörének terjedelmét jelenti a személyes adatok kezelése felett. Az adatkezelő az az entitás, amely az adatkezelés bizonyos kulcselemeiről dönt.

A szerepek gyakorlati meghatározásánál mindig meg kell vizsgálni a kérdéses adatkezelési műveleteket, és fel kell mérni, hogy ki határozza meg azokat. Ez praktikusan a következő kérdésre adott válaszoktól függ: miért zajlik az adatkezelés, illetve ki döntött úgy, hogy a személyes adatokat egy bizonyos célból kell kezelni?

Bizonyos helyzetekben a döntésthozó személy könnyen azonosítható, különösen azokban az esetekben, amikor az adatkezelési műveleteket, adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog határozza meg. Gyakori, hogy a jogszabály feladatot állapít meg vagy kötelez valakit személyes adatok gyűjtésére és kezelésére.

A jogszabályi rendelkezésekből levezethető adatkezelői minőség hiányában az adott adatkezelés tényszerű körülményeinek értékelése alapján lehet meghatározni az adatokat kezelő entitás pozícióját.

Az EDPB példája szerint, ha A ügyvédi irodát megbízza az ABC vállalat peres ügyeinek intézésére, akkor ugyan a szerződés alapján kerülnek át adatok, mégsem adatfeldolgozói pozícióba kerül az ügyvédi iroda, sokkal inkább adatkezelő, mert igen széles döntési jogköre van a személyes adatok kezelése kapcsán.

Az EDPB emlékeztet arra, hogy a szerződéses feltételek nem minden körülmények között meghatározók, mivel ez egyszerűen lehetővé tenné a felek számára a felelősség elosztását a saját belátásuk szerint. Az EDPB rámutat, nem lehet sem adatkezelővé válni, sem az adatkezelői kötelezettségek alól mentesülni azzal, hogy a szerződést erre tekintettel látták el bizonyos klauzulákkal, ha a tényszerű körülmények mást mutatnak. Az ilyen szerződéses kikötések adatvédelmi jogi szempontból tehát nem relevánsak.

Kik a közös adatkezelők?

Közös adatkezelésről beszélünk egy adott adatkezelési tevékenység tekintetében, ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg (GDPR 26. cikk).

Mint mindig, az értékelést tényszerű, nem pedig formális elemzés alapján kell elvégezni.

A közös adatkezelés azt jelenti, hogy egynél több szervezetnek van döntő befolyása arra, hogy a személyes adatok kezelése miért és hogyan történik. Az a tény, hogy az egyik fél nem fér hozzá a személyes adatokhoz, nem elegendő a közös adatkezelés kizárásához. A C‑25/17. sz. ügyben (Jehova Tanúi ügy) az Európai Unió Bírósága az egyházzal közös adatkezelőnek tekintette annak tagjait házaló térítés folytán kezelt személyes adatok körében. A közösségnek nem volt hozzáférése a személyes adatokhoz, de tagjai tevékenységének megszervezésével és összehangolásával vett részt a célok és eszközök meghatározásában, ami elősegítette a közösség céljainak elérését.

Ezenkívül a közös adatkezelés akkor is bekövetkezhet, ha az adatkezelőknek nem ugyanaz a célja az adatok kezelésével, de legalább ezek a célok szorosan kapcsolódnak egymáshoz, vagy kiegészítik egymást és mindegyik adatkezelőnek érzékelhető befolyása („tangible impact”) van az adatkezelés céljainak vagy eszközeinek a meghatározására. Ehhez a megállapításhoz az EDPB a Fashion ID ügyet (C-40/17., összefoglalónk itt olvasható) is példaként hozta.

Jelen esetben is praktikus példákat hoz az EDPB. Leírásuk szerint közös adatkezelés, ha például egy hotel, egy utazási iroda és egy légitársaság közös platformot hoz létre, ahol csomagajánlatokat nyújt a turistáknak, de nem közös adatkezelés az, amikor egy vállalat a munkavállalói adatokat továbbítja az adatóhatóságnak, jóllehet mindkét adatkezelés ugyanazon személyes adatokra vonatkozik, mégis hiányzik a közös adatkezelési cél.

A közös adatkezelés a közösségi média célzott reklámkampányai esetén

A 08/2020 Iránymutatás a közösségi média célzott reklámkampányait vizsgálja. Az EDPB ebben a célzott reklámokkal kapcsolatos adatkezeléseket az alábbi kategóriákba sorolja

  1. a személyes adatokat az érintett adja meg a közösségi média szolgáltatónak (például, az érintett a közösségi média profilja létrehozásakor megadja a nevét, életkorát, munkahelyét, stb);
  2. a személyes adatokat az érintett adja meg a hirdetőnek (például, az érintett megadja az email címét a hirdetőnek, aki később ezt az email címet közösségi média szolgáltató által nyújtott célzott reklámkampányokra használja stb.);
  3. a személyes adatokat a szolgáltatás vagy eszköz érintett általi használatának megfigyelésével szerzi meg a közösségi média szolgáltató (például, megosztások, like-olás, a használt eszköz adatainak, GPS koordinátáinak gyűjtése, harmadik felek weboldalain keresztül gyűjtött adatok, közösségi „plug-in”-ek (pl. Facebook Tetszik gomb) vagy pixelek által gyűjtött adatok, közösségi média szolgáltató egyéb szolgáltatásain keresztül gyűjtött adatok, stb.);
  4. (iv) a személyes adatokat a közösségi média szolgáltató más személyes adatokból következteti ki („inferred data”).

Mindegyik esetben az EDPB arra a következtetésre jut, hogy a hirdető és a közösségi média szolgáltató valamilyen szinten közös adatkezelőnek minősül. Lássuk milyen következtetésekre jut a testület az egyes kategóriák esetében:

Ad 1 – a személyes adatokat az érintett adja meg a közösségi média szolgáltatónak

Az EDPB szerint a hirdető és a közösségi média szolgáltató közösen határozzák meg az adatkezelés célját, mely célzott reklámok megjelenítése.

A hirdető és a közösségi média szolgáltató az adatkezelés eszközeit is közösen határozzák meg. A hirdető választja ki a hirdetési szolgáltatást a közösségi média szolgáltató kínálatából és a hirdető választja ki azokat a kritériumokat, amelyek alapján a célközönség meghatározásra kerül. A közösségi média szolgáltató alakítja ki ezeket választható kritériumokat, mely során a közösségi média szolgáltató az adatkezelés alapvető eszközeit meghatározza (például, a közösségi média szolgáltató dönti el, hogy mely személyes adatok kezelése útján kerüljenek kialakításra a kritériumok, illetve a közösségi média szolgáltató határozza meg, hogy reklámkampány során kezelt személyes adatokhoz ki férhet hozzá).

Ugyanakkor fonts hangsúlyozni, hogy a hirdető csak azon az adatkezelési műveletek tekintetében számít közös adatkezelőnek a közösségi média szolgáltatóval, amelyek esetében valóban közösen állapítják meg az adatkezelés célját és eszközeit. Például, a hirdető nem közös adatkezelő azon adatkezelési műveletek tekintetében, amelyeket a kritériumok kiválasztását megelőzően, vagy a reklámkampánnyal kapcsolatos statisztikai jelentések megküldését követően végez a közösségi média szolgáltató.

Ad 2 – a személyes adatokat az érintett adja meg a hirdetőnek

A hirdető önálló adatkezelőként jár el mikor a személyes adatokat (például az érintett email címét) bekéri az érintettől és azt a közösségi média szolgáltatónak továbbítja célzott reklámkampány indítása céljából. A közösségi média szolgáltató önálló adatkezelőként jár el mikor létrehozza azt a szolgáltatást, hogy az érintettől gyűjtött személyes adatok (például az érintett email címe) alapján célzott reklámokat tud megjeleníteni a hirdető kérésére. A hirdető és a közösségi média szolgáltató közös adatkezelőnek minősül ugyanakkor az alábbi adatkezelési műveletek tekintetében:

  • a hirdető feltölti érintett egyedi azonosítóját (például email címét) a közösségi média szolgáltató szolgáltatásába;
  • a közösségi média szolgáltató ez alapján meghatározza a célközönséget és nekik célzott reklámokat jelenít meg; illetve
  • a közösségi média szolgáltató a reklámkampányról a hirdetőnek jelentést küld.

A közös adatkezelés akkor kezdődik, mikor a hirdető a személyes adatokat továbbítja a közösségi média szolgáltatónak célzott reklámkampány céljából és a személyes adatok törléséig tart. Tehát a hirdető kezdeti adatkezeléskor önálló adatkezelőnek minősül, míg a fent részletezett „későbbi adatkezelés” („subsequent processing”, lásd lent) esetén közös adatkezelőnek minősül a közösségi média szolgáltatóval. A hirdető azonban nem felelős azon adatkezelési műveletekért, amelyeket a reklámkampányról készült jelentések megküldését követően végez a közösségi média szolgáltató. A közösségi média szolgáltató ezen adatkezelési műveletek tekintetben újra önálló adatkezelőnek minősül.

Az „későbbi adatkezelés” („subsequent processing”) és a „további adatkezelés” („further processing”) két külön helyzetre utal. A későbbi adatkezelés a 08/2020 Iránymutatás tekintetében azon adatkezelési műveleteket jelenti, melyeket személyes adatok gyűjtését követően végez az adatkezelő. A későbbi adatkezelésnek főként a sütik, pixelek, és hasonló technológiák útján gyűjtött személyes adatok kezelésekor van jelenősége, például az érvényes hozzájárulás feltételeinek vagy az adatkezelés jogalapjának meghatározása tekintetében. A további adatkezelés viszont arra a helyzetre vonatkozik, amikor ugyanazon adatkezelő ugyanazon személyes adatokat az eredeti adatkezelési célhoz képest más célból kívánja kezelni. Ebben az esetben a GDPR 6. cikk (4) bekezdését kell alkalmazni. Amennyiben a későbbi adatkezelés további adatkezelést is megvalósít, akkor az csak akkor lesz jogszerű, ha a GDPR 6. cikk (4) bekezdésében foglalt feltételeknek megfelel.

Ad 3- a személyes adatokat a közösségi média szolgáltatás vagy az érintett által használt eszköz megfigyelésével szerzi meg a közösségi média szolgáltató

Amikor a hirdető a weboldalán pixeleket vagy közösségi plug-int helyez el az ehhez kapcsolódó adatkezelések tekintetében a hirdető és a közösségi média szolgáltató közös adatkezelőnek minősül.

A hirdető és a közösségi média szolgáltató közösen határozzák meg az adatkezelés célját, mely a célzott reklámok megjelenítése.

A hirdető a pixel vagy közösségi plug-in elhelyezésével az adatkezelés alapvető eszközeire döntő befolyást gyakorol, hiszen e nélkül a személyes adatok gyűjtése és továbbítása a közösségi média szolgáltatónak nem lenne lehetséges. A közösségi média szolgáltató eközben a szolgáltatás kifejlesztésével és a hirdetők számára kínálásával szintén meghatározza az adatkezelés alapvető eszközeit.

Hasonlóan a hirdető és a közösségi média szolgáltató közös adatkezelőnek minősül, ha a közösségi média szolgáltató az érintett helymeghatározási (például GPS) adatait gyűjti, majd ezek alapján célzott reklámok megjelenítését teszi lehetővé a hirdetőnek, aki ezt a szolgáltatást ki is használja. A hirdető a célzott reklámkampány paramétereinek meghatározásakor az adatkezelésre döntő befolyást gyakorol emiatt úgy kell tekinteni, hogy a hirdető az adatkezelés céljainak és eszközeinek meghatározásában részt vesz.

Ad 4 – a személyes adatokat a közösségi média szolgáltató más személyes adatokból következteti ki („inferred data”)

A fentiekhez hasonlóan közös adatkezelőnek minősül a hirdető és a közösségi média szolgáltató a célközönség meghatározásához szükséges kritériumok megválasztása, a reklámkampány megjelenítése és a jelentés elkészítése tekintetében.

Ki az adatfeldolgozó?

Az adatfeldolgozó definícióját a GDPR 4. cikk 8. pontja tartalmazza, amelyet három jól elhatárolható fogalmi elemre bonthatunk fel a következők szerint:

  1. az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely
  2. az adatkezelő nevében
  3. személyes adatokat kezel.

Ebben az esetben sem szorul magyarázatra az 1. pont, csakúgy mint a 3. pont sem, ezért ezekre nem térünk ki. Az „adatkezelő nevében” fordulatot azonban érdemes alaposabb körüljárni.

Az „adatkezelő nevében” történő adatkezelés azt jelenti, hogy az adatfeldolgozó csak az adatkezelő érdekei szerint járhat el és hajtja végre az adatkezelő által adott utasításokat, legalábbis az adatkezelés céljának és az eszközeinek lényeges elemeire tekintettel. Az „adatkezelő nevében” történő adatkezelés azt is jelenti, hogy az adatfeldolgozó semmilyen adatkezelést nem végezhet saját céljaira. Amint azt a GDPR 28. cikkének (10) bekezdése is szabályozza, az adatfeldolgozó megsérti a GDPR-t, ha túllép az adatkezelő utasításain, és ő határozza meg saját adatkezelési céljait és az adatkezelés eszközeit. Ilyen helyzetekben az adatfeldolgozót adatkezelőnek kell tekinteni és szerződésszegő magatartása miatt az utasításokat adó adatkezelő vele szemben polgári jogi úton jogorvoslatot kereshet.

Az EDPB emlékeztet arra, hogy az adatfeldolgozó szerepe nem a személyes adatokat kezelő entitás természetéből fakad, hanem konkrét tevékenységeiből egy adott adatkezelési kontextusban. Ezért továbbra is esetről esetre szükséges megítélni, hogy ki minősül adatkezelő és ki adatfeldolgozónak.

Az adatkezelőn, adatfeldolgozón és a közös adatkezelésen kívül a „harmadik személyek” és „címzettek” kategóriáival is foglalkozik a testület, de ezekkel kapcsolatban nincsenek említésre méltó változások a korábbi jogértelemzéshez képest.

Az adatkezelők és adatfeldolgozók, valamint a közös adatkezelők közötti megállapodások

A 07/2020 Iránymutatás II. része a GDPR 26. és 28. cikke szerinti közös adatkezelési megállapodás és az adatfeldolgozói szerződés, illetve ezek gyakorlati következményeivel foglalkozik.

Az EDPB megállapításai azt sugallják, hogy a nagy adatfeldolgozók, jellemzően felhőszolgáltatók, nem járnak el megfelelően akkor, ha az adatfeldolgozásra vonatkozó szerződéses feltételeiket egyszerűen frissítik az azokat tartalmazó weboldalon, mert a változásokra ténylegesen fel kell hívniuk ügyfeleik figyelmét. Hasonlóképpen, az EDPB megkérdőjelezi az adatfeldolgozó által időnként frissítésre kerülő al-adatfeldolgozók listájának elfogadhatóságát és a feleknek tényleges konzultációját és részvételét hangsúlyozza az új al-adatfeldolgozók kinevezésekor.

A 08/2020 Iránymutatás részletesen foglalkozik a hirdetők és a közösségi média szolgáltatók közötti GDPR 26. cikke szerinti közös adatkezelési megállapodás tartalmával. Az ilyen megállapodásnak minden olyan adatkezelési műveletre ki kell terjednie, amelyért a hirdető és a közösségi média szolgáltató közös adatkezelőkként közösen felelősek.

A megállapodásnak az ilyen adatkezelési műveletekkel kapcsolatos minden olyan információt tartalmaznia kell (vagy azokra utalnia kell), mely szükséges ahhoz, hogy a felek a GDPR szerinti kötelezettségeinek meg tudjanak felelni, például hogy a GDPR-nak megfelelően tudják tájékoztatni az érintetteket az adatkezelésről, hogy jogos érdek jogalap esetén megfelelően el tudják végezni az érdekmérlegelési tesztet, vagy hogy a GDPR-nak megfelelést az elszámoltathatóság elvének megfelelően tudják igazolni.

Az adatkezelés célját és a jogalapot szintén meg kell nevezni a megállapodásban. Az EDPB szerint az a jó gyakorlat, ha a közös adatkezelők ugyanarra a jogalapra alapítják az adatkezelésüket, bár ennek ellenkezőjét nem tiltja a GDPR.

A megállapodásban egyéb GDPR szerinti kötelezettségek rendezésére is szükség van, például az érintettek tájékoztatásával, az adatkezelés biztonságával, a beépített és alapértelmezett adatvédelemmel, az adatvédelmi incidensekkel kapcsolatos bejelentésekkel, az adatvédelmi hatásvizsgálattal és a harmadik országokba történő adattovábbításokkal kapcsolatos kötelezettségek tekintetében. E tekintetben a megállapodásnak arra is ki kell térnie, hogy a fenti kötelezettségeknek a gyakorlatban hogyan tudnak megfelelni a közös adatkezelők.

Az 07/2020 Iránymutatás mellékletét képezi két folyamatábra, amely segíti az adatkezelésben résztvevőket szerepük könnyebb minősítésében. Az első folyamatábra az adatkezelő és adatfeldolgozó minőség közötti döntést segíti, míg a második a közös adatkezelés egyes aspektusainak felmérésében lehet hasznos.