Fashion ID egy német online divatruha‑értékesítő vállalkozás, mely elhelyezte honlapján a Facebook közösségi oldal által biztosított „Tetszik” gomb modult. Amikor egy felhasználó megnyitotta a Fashion ID weboldalát, a felhasználó IP címét és a böngészési eseményeket továbbításra kerültek a Facebook Irelandnek. Ez az adattovábbítás automatikusan történt, tekintet nélkül arra, hogy a felhasználó rákattintott-e a Tetszik gombra, és hogy a felhasználónak volt-e Facebook fiókja.

Az ügyet az EUB a GDPR által felváltott 95/46/EK irányelv alapján bírálta el, azonban az ügy olyan kérdéseket érint, amiket a GDPR is hasonlóan szabályoz. Az ítéletet főként a közös adatkezeléssel és az abból eredő felelősségi kérdésekkel kapcsolatban nyújt további iránymutatást, főként a korábbi Wirtschaftsakademie ügyben felvetett kérdések mentén.

Az ügy háttere

Egy német fogyasztói egyesület eljárást kezdeményezett a Fashion ID ellen az adatvédelmi szabályok megsértése miatt. A düsseldorfi körzeti bíróság az ügyet a EUB elé terjesztette és az uniós jog értelmezését kérelmezte az alábbi kérdésekkel kapcsolatban:

  1. Lehetséges-e a non-profit fogyasztói egyesületek számára, hogy fellépjenek a fogyasztói érdekek védelmében a 95/46/EK irányelv alapján?
  2. A Fashion ID, mely a Facebook Tetszik gomb-ot elhelyezte a honlapján, adatkezelőnek minősül-e a 95/46/EK irányelv 2. cikkének d) pontja szerint?
  3. Az előző kérdésre adott nemleges válasz esetén, a 95/46/EK irányelv lényegében kizárja-e, adatkezelőnek nem minősülő harmadik fél [azaz Fashion ID] polgári jogi felelősségre vonását, aki létrehozza az adatkezelési művelet okát anélkül, hogy befolyásolhatná azt?
  4. Kinek a „jogos érdekétől” függ a 95/46/EK irányelv 7. cikkének f) pontja szerint elvégzendő mérlegelés?
  5. Kinek a részére kell megadni a 95/46/EK irányelv 7. cikkének a) pontja, valamint 2. cikkének h) pontja szerinti hozzájárulást?
  6. A 95/46/EK irányelv 10. cikke szerinti tájékoztatási kötelezettség azt a honlapfenntartót [azaz Fashion ID] is terheli, aki harmadik fél tartalmára hivatkozik, és ezzel okot teremt a személyes adatok harmadik fél általi kezelésére?

Bobek Főtanácsnok indítványában úgy találta, hogy a Fashion ID és a Facebook Ireland közös adatkezelőnek minősülnek a személyes adatok gyűjtése és továbbítása tekintetében. Amennyiben az adatkezelés egy részére nem vonatkozik az Elektronikus hírközlési adatvédelmi (e-Privacy) irányelv 5. cikk (3) bekezdése (azaz cookie-k és ahhoz hasonló technológiát nem használnak az adatkezelők), a jogos érdek lehet az adatkezelés jogalapja. Ebben az esetben, mindegyik közös adatkezelő jogos érdekét figyelembe kell venni az érdekmérlegelés során. Amennyiben hozzájárulás megszerzése szükséges, azt a weboldal üzemeltetőnek (Fashion ID) kell megszereznie. Hasonlóképpen, a weboldal üzemeltető köteles tájékoztatást nyújtani az érintettek számára. Ahogy az a lentiekből látható lesz, az EUB nagyjából követte a főtanácsnok ajánlásait.

Az EUB ítélete

1. Közös adatkezelés – egyetemleges felelősség

Az, hogy adott esetben közös adatkezelés áll-e fenn az adatkezelésben résztvevő felek között attól függ, hogy a felek közösen határozzák-e meg az adatkezelés célját és eszközeit. Az EUB fenntartja azt az álláspontját ebben az ítéletben is, hogy az adatkezelő fogalmát tágan kell értelmezni, ezért a közös adatkezelés feltételei továbbra is könnyen teljesülhetnek.

Az EUB szerint a Fashion ID és a a Facebook Ireland közösen állapítják meg az adatkezelés célját, azért mert az adatkezelés mindkettőjük (gazdasági) célját szolgálja. Ez az álláspont lényegében megerősíti a Wirtschaftsakademie ügyben már kimondott megállapításokat.

Az adatkezelés eszközeinek közös meghatározását illetően, az EUB szerint elegendő volt az, hogy a Fashion ID lehetővé tette a Facebook Ireland számára, hogy a személyes adatokat gyűjtsön az érintettektől azáltal, hogy a Facebook “Tetszik” gombot a elhelyezte a weboldalán, miközben tudomása volt arról, hogy ez lehetővé teszi a weboldal felhasználói személyes adatainak gyűjtését. A közösségi modul weboldalon való elhelyezése úgy értelmezhető, hogy a Fashion ID döntően az említett modul szolgáltatója, vagyis a Facebook Ireland javára befolyásolja az említett honlap látogatóira vonatkozó személyes adatok gyűjtését és továbbítását, amelyekre az említett modul elhelyezése nélkül nem kerülne sor.

A EUB ítélet megerősítette újra, hogy az adatkezelésben résztvevő felek tekinthetőek közös adatkezelőnek akkor is, ha egyiküknek nincs tényleges hozzáférése a gyűjtött adatokhoz.

Másrészről, az EUB további iránymutatást nyújtott a közös adatkezeléshez kötődő felelősségkorlátozással kapcsolatban. Az EUB korábban egyértelművé tette a Wirtschaftsakademie ügyben, hogy a közös adatkezelésből eredő egyetemleges felelősség nem jelenti azt, hogy az adatkezelőkre azonos mértékű felelősség hárul. Valójában, az egyes adatkezelők felelősségét külön-külön kell vizsgálni figyelembe véve az eset összes körülményeit, például, hogy az adatkezelők az adatkezelés mely szakaszaiban vettek részt és milyen mértékben.

Az ítélet megerősíti ezt az álláspontot azzal is, hogy megállapítja, hogy az adatkezelést adatkezelési műveletenként kell értékelni. A Fashion ID felelőssége nem vonatkozik azokra az adatkezelési műveletekre, amelyek esetében az adatkezelés célját és eszközeit nem a Fashion ID határozta meg. A Fashion ID közös adatkezelő minősége és a felelőssége a Facebook Ireland által megvalósított teljes adatkezelésen belül csak bizonyos adatkezelési műveletekre terjed ki, konkrétan, a személyes adatok gyűjtésére és továbbítására.

2. Az adatkezelési műveletek jogalapja és a tájékoztatási kötelezettség

Miután az EUB úgy találta, hogy a Fashion ID közös adatkezelőnek minősül a Facebook Ireland-del együtt bizonyos adatkezelési műveletek tekintetkében, az EUB azt is áttekintette, hogy a Fashion ID-nek milyen feladatai vannak a két lehetséges jogalap, a jogos érdek és a hozzájárulás tekintetében, illetve az érintetteknek nyújtandó tájékoztatási kötelezettséggel kapcsolatban.

Az EUB úgy találta, hogy abban az esetben, ha a közös adatkezelők jogos érdek alapján kívánják kezelni a személyes adatokat, az érdekmérlegelés alapján mindkét közös adatkezelő jogos érdekének elsőbbséget kell élveznie az érintetttek érdekei vagy alapvető jogai és szabadságaival szemben. Abban az esetben, ha a közös adatkezelők hozzájárulás alapján kívánják kezelni a személyes adatokat, az EUB szerint a hozzájárulást a Fashion ID köteles megszerezni az érintettől, illetőleg a Fashion ID köteles tájékoztatást nyújtani az érintettek számára az adatgyűjtés időpontjában.

Az ítélet következményei

1. Ugyanazon adatkezelési tevékenység egyes műveleteinek elkülönített értékelése

Az EUB jelen ítéletében egyértelműen elismeri, hogy egyetlen adatkezelési tevékenység különböző adatkezelési műveletekre osztható. Továbbá, az EUB megerősíti, hogy az ugyanazon adatkezelésben résztvevő felek minősítését és az adatkezelés jogalapját adatkezelési műveletenként is meg lehet határozni.

Az ítélet alapján megállapítható, hogy az adatkezelési műveletek eltérő értékelése hatékonyan korlátozhatja az adatkezelő felelősségét, amennyiben az adatkezelő csak bizonyos adatkezelési műveletek esetében minősül adatkezelőnek.

Ugyanakkor, úgy tűnik, hogy lehetőség nyílik az ítélet alapján arra, hogy ugyanazon adatkezelésnek több jogalapja is legyen, ha az egyes adatkezelési műveletek jogalapját eltérően határozza meg az adatkezelő. Ebben az esetben az érintettek jogai bizonyos mértékben korlátozhatóak, például, a törléshez való jog hozzájárulás visszavonása esetében [lásd GDPR 17 cikk (1) bekezdés (b) pont].

2. A közös adatkezelők közötti megállapodás

A fentiek alapján, az ítélet szerint a közös adatkezelés esetén, az az adatkezelő köteles a hozzájárulás megszerzésére és a tájékoztatás nyújtására, amelyik az érintettel közvetlen kapcsolatban áll. Ez a megállapítás iránymutatást nyújthat a GDPR 26. cikkének értelmezéséhez, mely szerint a közös adatkezelők közötti megállapodásnak “megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat.” Ebben a tekintetben, az ítélet azt sugallja, hogy a közös adatkezelők közötti megállapodásokat úgy kell kialakítani, hogy az biztosítsa az “érintettek jogainak hatékony és megfelelő időben történő védelmét“.

3. Harmadik féltől származó (reklámcélú) cookie-k

Bár a 29. Cikk szerinti munkacsoport (WP29) korábban megállapította, hogy a közösségi modulok általában cookie-k bevonásával működnek [WP29 2012. június 7-i, 04/2012 számú véleménye a cookie hozzájárulás alóli kivételekről (WP194), 9-10. oldalak, 3.7 cím], a jelen ügyben az EUB a ténykérdés elbírálását, amely alapján az Elektronikus hírközlési adatvédelmi irányelv 5. cikk (3) bekezdése alkalmazandó lenne, a nemzeti bíróságra hagyta.

Mindazonáltal, az EUB hozzájárulás megszerzésével és a tájékoztatás nyújtásával kapcsolatos kötelezettségekre vonatkozó megállapításai hasznos iránymutatással szolgálhatnak az EUB harmadik féltől származó cookie-kkal kapcsolatos álláspontjáról.

Mivel az ítélet alapján a közös adatkezelőkénti minősítésnek a feltételei viszonylag könnyen teljesülnek, a weboldal üzemeltető és a harmadik fél, aki a cookie-kat telepít a weboldalon keresztül könnyen válhat közös adatkezelővé. Az harmadik féltől származó reklámcélú cookie-k esetében az adatkezelés haszonnal jár mind a weboldal üzemeltető számára (amely a hirdetési helyet biztosítja) és a hirdetési hálózat szolgáltató harmadik fél számára. A weboldal üzemeltető lehetőséget biztosít a hirdetési hálózat szolgáltató számára, hogy személyes adatokat gyűjtsön azáltal, hogy hirdetési felületet helyez el a weboldalán, miközben tudatában van annak, hogy személyes adatok gyűjtésére kerül sor ezáltal.

A fentiek alapján a weboldal üzemeltető és a hirdetési hálózat szolgáltató legtöbb esetben közösen fogja meghatározni az adatkezelés célját és eszközeit. Ennek eredményeképpen, az ítélet szerint a weboldal üzemeltető mint közös adatkezelő kötelezettsége lesz, hogy az érintetteket tájékoztassa azon adatkezelési műveletekre vonatkozóan, ahol közös adatkezelőnek minősül. Továbbá, a weboldal üzemeltető köteles lesz megszerezni a hozzájárulást legalább azokra az adatkezelési műveletekre vonatkozóan, amelyekre nézve az Elektronikus hírközlési adatvédelmi irányelv 5. cikk (3) bekezdése ezt kötelezően előírja.

Összefoglalva, úgy tűnik, hogy az ítélet elmozdítja a hangsúlyt a harmadik fél hirdetési hálózat szolgáltatók kellő gondosságáról a weboldal üzemeltetőket terhelő adatkezelési szerződéses biztosítékok tekintetében [lásd a CNIL MED 2018-042 számú, 2018. október 30-i Vectuary határozatát, angol összefoglalónk itt]. Ehelyett arra kerül a hangsúly, hogy a weboldal üzemeltetők felelősek a weboldalon keresztül harmadik fél által telepített cookie-kért, mivel közös adatkezelőnek tekinthetőek, ugyanakkor, ők vannak olyan helyzetben, hogy az érintettek hatékony és megfelelő időben történő védelmét biztosítsák.