Szerző: Dr. Ivanics Krisztina
Az adatvédelmi szakma számára hónapok óta nyilvánvaló volt, hogy a tavaly nyári első, a Facebook és a rajongói oldal üzemeltetőjének közös adatkezelését megállapító EU bírósági döntés után egy újabb ítélet várható, hasonlóan nagy számban érintve a piaci szereplőket. Ezúttal a Tetszik/Like gomb és a hozzá hasonló funkciókat betöltő, harmadik féltől származó ún. plug-in-k (jelen esetben social plug-in-ek) kerültek górcső alá.
A Like gombbal az a probléma, hogy a kódjának az oldalba történő beillesztését követően az oldalt meglátogató felhasználók gépére a Facebook sütit (cookie) helyez el, amely folyamatosan gyűjti az oldalmegnyitásokkor a látogatók pl. IP és eszköz adatát a Like gomb használatától függetlenül. Ha történetesen egy Facebook userről van szó, akkor a szolgáltató az adott személyről rendelkezésre álló egyéb adatokkal is összekapcsolja az így szerzett adatokat. Emiatt a Facebook pontosan ismeri a regisztrált felhasználóinak a harmadik fél által üzemeltetett, Like gombot tartalmazó oldalak látogatására vonatkozó szokásait. Az adatgyűjtés anélkül folyik, hogy a felhasználó bármit sejtene, és a nem Facebook userekre is vonatkozik.
A bíróság 2019. július 29-i döntésében megállapította, hogy abban az esetben, ha a Facebook és a plug-in-t beépítő cégnek azonos az érdeke az adatkezelés kapcsán, márpedig nagyon úgy tűnik, mert mindketten gazdasági előnyre (reklámozás) kívánnak szert tenni, akkor az adatkezelés szempontjából közös adatkezelést folytatnak. A Facebook üzleti érdekét a plug-in-n keresztül megszerzett adattömeg szolgálja, míg a cég növelheti láthatóságát a social media-ban. Nem mondhatja azt a cég, hogy fogalmam sincs, mi történik a plug-in-n keresztül, neki semmi köze hozzá, ő csak beillesztette a kódot, ő nem felel a Facebook adatkezeléséért, mert az EUB döntése szerint a plug-in beillesztésére vonatkozó döntést a cég hozta meg, ezért ha hallgatólagosan is, de hozzájárult a partnere (Facebook) által folytatott adatgyűjtéshez és továbbításhoz.
Eddig a weboldal üzemeltetők értelmezése az volt, hogy ők csak beépítik a Like vagy Share vagy Follow plug-inokat, de az azokon keresztül folyó adatgyűjtés és továbbítás kizárólag a Facebook felelőssége. A bíróság döntésével éppen ez változott meg, mert kimondta, hogy a social media plug-in-t beillesztő cég az oldala használatakor történő adatgyűjtésért és továbbításáért felelősséggel tartozik, mégpedig közös adatkezelői minőségben.
A gyakorlatban ez azt jelenti, hogy amennyiben a cég a weboldalába illesztve továbbra is alkalmazza a Like vagy Share vagy Follow gombokat, akkor az adatkezelési tájékoztatójában ki kell térnie a közös adatkezelésre, az adatkezelők személyére és az adatkezelés céljára, jogalapjára. Ha a jogalap a jogos érdek lesz, akkor mindkét fél (a cég és a Facebook) tekintetében meg kell állnia, érdekmérlegelési teszttel alátámasztva! Amennyiben a hozzájárulás lesz a Like gomb alkalmazásához kapcsolódó közös adatkezelés jogalapja, akkor a hozzájárulást a cégnek kell beszereznie, tárolnia és az előzetes tájékoztatást megadnia.
Nem fejtette ki a bíróság, hogy a hozzájárulás és a tájékoztatás tekintetében elegendő-e a cookie-k esetében alkalmazott tájékoztatás és hozzájárulás, vagy külön, egyedi eljárás keretében kellene azt beszerezni. Várhatóan nem ez az elvárás, mert az gyakorlatilag ellehetetlenítené a működést.
A Like gombot használó cég az adatkezelés azon részéért felel, amelyre volt ráhatása, jelen esetben az adatgyűjtésre és adattovábbításra. Sem az azt követően, a közös adatkezelés során gyűjtött adatok további felhasználásáért, sem pedig a Facebook egyéb adatkezeléséért nem felel a cég, az kizárólag a Facebookot érinti. Mint ahogyan a Facebook sem vonható felelősségre a cég által a weboldalon keresztül folytatott, más jellegű adatkezelések tekintetében. A közös adatkezelőknek szerződést kell kötniük egymással, amelyben rendezik az adatkezelés részleteit, a felelősségi kérdéseket és a magánszemélyektől érkező megkeresések kezelésének folyamatát.
A Facebook annyit reagált, hogy felül fogja vizsgálni a gyakorlatát és hamarosan megoldással áll elő, valószínűleg a Facebook Insight-hoz hasonlóan közzéteszi a nem tárgyalható szerződéses szabályait.
Tennivalók a social plug-in-ok tekintetében:
- fel kell tárni, hogy a cég (adatkezelő) által üzemeltetett weboldalakon milyen socail plug-in modulok kerültek beillesztésre
- át kell gondolni, ezek indokoltságát, jövőbeni alkalmazásukat
- jövőbeni alkalmazásuk esetén tájékoztatni kell a felhasználókat az adatkezelési tájékoztatóban vagy a cookie policy-ben a plug-inek alkalmazásáról és a folytatott közös adatkezelésről
- a hatályos hatósági értelmezés értelmében a social plug-in-ek által alkalmazott cookie-k hozzájárulást igényelnek, ezért az adatgyűjtés nem kezdődhet meg a hozzájárulást megelőzően (a Facebook gyakorlata pillanatnyilag ezzel ellentétes, mert az oldal megnyitást követően azonnal gyűjt adatot)
- figyelni kell a Facebook-nál történő fejleményeket, valamifajta értesítés várható tőlük a kapcsolattartók felé.
Feltárandó továbbá, hogy milyen egyéb harmadikfeles tartalomszolgáltató(k) modulja (video, kép, időjárás, árfolyam, tőzsdei adat, térkép, stb.) van beépítve az oldalba, és azon keresztül mikortól, milyen jellegű adatgyűjtés és továbbítás történik. A social plug-inekhez hasonló működés esetén azok azonos elvek mentén történő felülvizsgálata, módosítása, szabályozása javasolt.
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta az írást, iratkozzon fel hírlevelünkre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.