Az Európai Bíróság (ECJ) júniusi ítéletében azt értelmezte, hogy a Facebook rajongói oldalakon keresztül végzett adatgyűjtések kapcsán ki minősül adatkezelőnek. Az eset jelentős kérdéseket vet fel a több adatkezelő közreműködésével járó adatkezelési műveletek értékelése kapcsán.
Az eset során egy társaság a Facebook egyik közösségi média alkalmazását (Facebook Insight) használta abból a célból, hogy a saját Facebook rajongói oldala látogatóiról gyűjtsön információkat. Ilyen információk: a Facebook rajongói oldal látogatottsági statisztikái, az érintettek érdeklődési köre és profiladatai, a szolgáltatásai minőségének javítása érdekében. Az ECJ arra a következtetésre jutott, hogy a Facebook mellett a társaság mint a rajongói oldal adminisztrátora is adatkezelőnek minősül, és így felelősség terheli az érintettek megfelelő tájékoztatásáért és adataik kezeléséért. A döntés egyik indoka, hogy az alkalmazás használata nem csak a Facebook számára előnyös, hanem az oldal adminisztrátora számára is. Az adminisztrátor látogatási statisztikák és egyéb felhasználói adatok révén fejleszteni tudja a szolgáltatásait, ezért szükséges az adminisztrátornak a Facebookkal való „közös felelősségének” elismerése.
Fontos tudni, hogy ez nem feltétlenül „egyetemleges” felelősséget jelent, még ha több hírben így is jelent meg. Az ECJ óvatosan fogalmazott, és kiemelte, hogy hasonló esetekben az egyes adatkezelők különböző behatással bírnak az adatkezelés céljának és eszközeinek meghatározására, így a felelősségük pontos mértéke esetről-esetre határozható meg. A GDPR ugyanakkor automatikusan abból indul ki, hogy ahol több adatkezelő érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő egyetemleges felelősséggel tartozik a teljes kárért. Az érintett a gyakorlatban bármely adatkezelőtől a teljes kára megtérítését követelheti. Az ECJ mostani ítélete így túlmutat a GDPR-on.
Az ECJ ítéletéből akár az a következtetés is levonható, miszerint a rajongói oldalak adminisztrátorai „külön” adatkezelőnek minősülnek, és az adatkezelésre való korlátozott behatásuk miatt csak ezen behatáshoz mért korlátozott felelősséggel tartoznak az okozott károkért. Olvastunk azonban olyan értelmezést is, miszerint az ECJ ítélete a Facebook és az adminisztrátor egyetemleges felelősségét határozná meg egymás jogsértéseiért. Egyelőre kérdéses, hogy az adatvédelmi hatósági és bírói gyakorlat hogyan kezeli majd a hasonló helyzeteket, kialakít-e többféle felelősségi konstrukciót. Hasonló, több adatkezelővel járó adatkezelési műveletek tömegesen fordulnak elő a direkt- és online marketing területén, így a résztvevőknek a jövőben kiemelt figyelmet kell fordítaniuk felelősségi körük pontos megfogalmazása: például szerződéseikben, adatkezelési tájékoztatóikban, tágabb értelemben pedig az adatkezelési műveletek megtervezésében és megszervezésében, valamint a különböző adatkezelők és adatfeldolgozók tevékenységének összehangolása során. Érdemes például rögzíteni a felhasználók felé, milyen adatkezelésekért vállal felelősséget az adminisztrátor, és milyen egyéb adatkezelések tartoznak általánosságban a Facebook érdekkörébe.
Leave a Comment