Nehéz napok jönnek a Facebook-oldalak adminjaira

2018. június 05. kedd - 11:01 / piacesprofit.hu
  •    

A Facebook rajongói oldal adminisztrátora a Facebookkal együttesen felelős az oldalát meglátogató személyek adatainak kezeléséért – mondta ki az Európai Bíróság. Azon tagállam adatvédelmi hatósága, amelyben ezen adminisztrátor székhelye található, a 95/46 irányelv alapján felléphet ezen adminisztrátorral és a Facebook ugyanezen tagállamban letelepedett leányvállalatával szemben is.

Az ügy Németországban pattant ki: a német Wirtschaftsakademie Schleswig-Holstein társaság az oktatás területén tevékenykedik. Képzési szolgáltatásokat ajánl a Facebookon a www.facebook.com/wirtschaftsakademie címen fenntartott rajongói oldalán. A rajongói oldalak adminisztrátorai, így a Wirtschaftsakademie, ezen oldalak látogatóira vonatkozó anonim statisztikai adatokhoz juthatnak a Facebook által ingyenesen és nem módosítható felhasználási feltételek mellett a rendelkezésükre bocsátott Facebook Insights elnevezésű eszköz révén.

Péterfalvi Attila: itt az idő
Eljött a dátum, amiről idestova két éve beszélünk, mától élesben kell alkalmazni az uniós adatvédelmi rendelet, közismertebb nevén a GDPR szabályait. Az uniós szabályozás készen áll, a magyar jogalkotás azonban lemaradt a dátumról, ami okozhat némi zavart a hazai cégek körében. Péterfalvi Attila, a NAIH elnöke azonban óva int attól, hogy bárki erre hivatkozva megszegje adatkezelői kötelezettségeit.

Ezen adatokat olyan, két évig működőképes és a Facebook által a rajongói oldal látogatói számítógépének merevlemezére vagy más eszközére mentett információcsomagok („cookie-k” vagy „sütik”) segítségével gyűjtik, amelyek mindegyike egyedi felhasználói azonosítót tartalmaz. Ezen azonosítót, amely összefüggésbe hozható a Facebookon regisztrált felhasználó bejelentkezési adataival, a rajongói oldalak megnyitásának pillanatában gyűjtik be és kezelik.

Az Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Schleswig Holstein-i független regionális adatvédelmi hatóság, Németország) felügyelő hatóságonkénti minőségében – amelynek feladata a 95/46 adatvédelmi irányelv értelmében a Németország által ezen irányelv értelmében elfogadott rendelkezéseknek a Schleswig–Holstein szövetségi tartomány területén történő alkalmazásának felügyelete – 2011. november 3-i határozatával rajongói oldalának felfüggesztésére kötelezte a Wirtschaftsakademie-t. Az Unabhängiges Landeszentrum szerint ugyanis sem a Wirtschaftsakademie, sem pedig a Facebook sem tájékoztatta a rajongói oldal látogatóit arról, hogy utóbbi cookie-k segítségével gyűjtött rájuk vonatkozó személyes adatokat, valamint ezt követően kezelték ezen információkat.

Ide kattintva érheti el az új uniós adatvédelmi rendelettel, ismertebb nevén a GDPR-al foglalkozó cikkeink gyűjteményét!

facebook jel törött üveg mögött

Kép:PP archív

A Wirtschaftsakademie kerestet indított e határozat ellen a német közigazgatási bíróságok előtt arra hivatkozva, hogy a személyes adatok Facebook általi kezelése nem tudható be neki, és általa ellenőrzött vagy befolyásolható adatkezeléssel sem bízta meg a Facebookot. A Wirtschaftsakademie ebből azt a következtetést vonta le, hogy az Unabhängiges Landeszentrumnak közvetlenül a Facebookkal szemben kellett volna fellépnie, és nem vele szemben.

A magyar cégek nagy része nem tudná fizetni a GDPR-bírságot
Amíg a nagyvállalatok rendelkeznek az ehhez szükséges és megfelelő apparátussal, és amennyiben szükséges a GDPR szakértők és tanácsadók magas óradíját is ki tudják fizetni, addig a mikro-vállalkozások döntő többsége képtelen erre erőforrásokat allokálni. Pedig a büntetési mértéke elrettentően nagy.

E körülmények között határozott úgy a Bundesverwaltungsgericht (szövetségi közigazgatási bíróság, Németország), hogy a 95/46 adatvédelmi irányelv értelmezését kéri a Bíróságtól.

A mai napon kihirdetett ítéletében a Bíróság mindenekelőtt megállapítja, hogy a jelen ügyben nem kétséges, hogy az amerikai Facebook társaságot, az Unió tekintetében pedig annak ír leányvállalatát, a Facebook Irelandot kell a Facebook-használók, valamint a Facebookon fenntartott rajongói oldalakat korábban meglátogató személyek személyes adatai „kezelőjének” tekinteni. E társaságok határozzák meg ugyanis elsődlegesen ezen adatok kezelésének céljait és módját.

A Bíróság ezt követően megállapítja, hogy a Wirtschaftsakademie-hez hasonló adminisztrátort a Facebook Irelanddal együttesen kell a kérdéses adatok kezeléséért felelős személynek minősíteni az Unióban.

Az ilyen adminisztrátor ugyanis a (többek között a célközönsége, valamint a saját tevékenységeinek irányítási vagy reklámozási céljai alapján végzett) beállítási tevékenysége révén részt vesz a rajongói oldalát meglátogató személyek személyes adatai kezelésének céljai és módja meghatározásában. A Bíróság e tekintetben kiemeli, hogy a rajongói oldal adminisztrátora (anonimizált formában) kérheti a célközönségére (többek között annak kor, nem, családi állapot és szakmai helyzet szerinti összetételre) vonatkozó demográfiai adatok, a célközönsége életmódjára és érdeklődési körére vonatkozó adatok (ideértve az oldalát meglátogató személyek online vásárlásaira és vásárlási szokásaira, továbbá az őket leginkább érdeklő termékek vagy szolgáltatások kategóriáira vonatkozó adatokat is), ezenfelül olyan földrajzi adatok gyűjtését – tehát ilyen adatok kezelését –, amelyek alapján a rajongói oldal adminisztrátora eldöntheti, hogy hol nyújtson különleges kedvezményeket vagy szervezzen eseményeket, és általában célzottabbá teheti az információszolgáltatását.

A Bíróság szerint az, hogy valamely rajongói oldal adminisztrátora a Facebook által létrehozott felületet az ahhoz kapcsolódó szolgáltatások igénybe vétele céljából használja, nem mentesíti őt a személyes adatok védelme terén fennálló kötelezettségeinek tiszteletben tartása alól.

GDPR: gyakorlati tanácsok online marketingeseknek
Már csak néhány nap és a gyakorlatban is alkalmaznunk kell az új uniós adatvédelmi rendelet, ismertebb nevén a GDPR rendelkezéseit, méghozzá az online marketingben is. Papp Gábor, közösségi marketing szakértő segítségével az ezen a területen dolgozóknak adunk néhány praktikus tanácsot.

A Bíróság kiemeli, hogy a közösségi hálózat üzemeltetőjének és az e hálózaton fenntartott rajongói oldal adminisztrátorának az e rajongói oldal látogatóira vonatkozó személyes adatok kezelése tekintetében fennálló együttes felelősségének elismerése hozzájárul azon jogok teljesebb védelmének biztosításához, amelyekkel a rajongói oldalt meglátogató személyek a 95/46 adatvédelmi irányelv követelményeinek megfelelően rendelkeznek.

A Bíróság továbbá megállapítja, hogy az Unabhängiges Landeszentrumnak kiterjed a hatásköre arra, hogy a személyes adatok védelmére vonatkozó szabályok német területen történő tiszteletben tartásának biztosítása érdekében a 95/46 irányelvet átültető nemzeti rendelkezések alapján rendelkezésére álló valamennyi jogkörét ne csak a Wirtschaftsakademie-vel szemben, hanem a Facebook Germany-val szemben is gyakorolja.

Ugyanis, amennyiben valamely, az Unión kívül letelepedett vállalkozás (mint az amerikai Facebook társaság) különböző tagállamokban több telephellyel rendelkezik, valamely tagállam felügyelő hatósága még akkor is gyakorolhatja a 95/46 irányelv3 értelmében ráruházott jogosultságokat az e tagállam területén letelepedett szervezettel szemben, ha a vállalatcsoporton belüli feladatmegosztás alapján egyfelől e szervezet (a jelen ügyben a Facebook Germany) az szóban forgó tagállam területén kizárólag a hirdetési felületek értékesítéséért és más marketingtevékenységekért felel, másfelől a személyes adatok gyűjtésének és kezelésének kizárólagos felelőssége az Unió egész területén egy másik tagállamban letelepedett szervezetre (a jelen ügyben Facebook Irelandre) hárul.

A Bíróság továbbá rámutat arra, hogy amennyiben valamely tagállam felügyelő hatósága (a jelen ügyben a németországi Unabhängiges Landeszentrum) a személyes adatok védelmére vonatkozó szabályoknak az ezen adatok kezeléséért felelős és egy másik tagállamban székhellyel rendelkező harmadik személy (a jelen ügyben a Facebook Ireland) általi megsértése miatt az e tagállam területén letelepedett szervezettel (a jelen ügyben a Wirtschaftsakademie-vel) szemben kívánja gyakorolni a 95/46 irányelvben szereplő beavatkozási jogköreit, e felügyelő hatóság hatásköre kiterjed arra, hogy az utóbbi tagállam (Írország) felügyelő hatóságától függetlenül értékelje az ilyen adatkezelés jogszerűségét, és a területén letelepedett szervezettel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy e másik tagállam felügyelő hatóságát előzetesen beavatkozásra hívná fel.

Elindult a Piac & Profit Online Akadémia!
Új szolgáltatással jelentkezik a Piac & Profit a hazai kkv-döntéshozók üzleti tudásának gyarapítása érdekében. Piac & Profit Online Akadémiát indítottunk a Piac & Profit Konferenciák legsikeresebb, legjobb előadói kurzusvezetői közreműködésével. Az online képzések egyre népszerűbbek, sokak számára elérhetőbbek. A konferenciákon felhalmozott tudásokat ajánljuk a kkv-döntéshozóknak és az adott szakma jövőjét előre megismerni akaróknak.

Feliratkozom a(z) Jogi kisokos téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek