Amit a Facebook oldalt működtető vállalatoknak adatvédelmi szempontból tudniuk kell

Gyakori, hogy egy vállalkozás Facebook oldalt is üzemeltet, kihasználva a közösségi média által elérhető emberek sokaságát. Ez a lehetőség azonban számos adatvédelmi kérdést is felvet, hiszen a Facebook mellett az adott oldalt üzemeltető felhasználó is adatkezelőnek minősül. Ezzel a kérdéssel foglalkozott az Európai Unió Bírósága is, amely azért marasztalt el egy vállalkozást, mert elmulasztotta tájékoztatni az érintetteket a Facebookkal kapcsolatos adatkezelés körülményeit illetően[1].

A Facebookon a rajongói oldalak kezelői a Facebook által ingyenesen és nem módosítható felhasználási feltételek mellett a rendelkezésükre bocsátott Facebook Insights elnevezésű eszköz segítségével hozzájuthatnak ezen oldalak anonim látogatottsági statisztikáihoz. Ezen adatokat olyan, két évig működőképes és a Facebook által a rajongói oldal látogatói számítógépének merevlemezére vagy más eszközére mentett információcsomagok (a továbbiakban: cookie‑k vagy sütik) segítségével gyűjtik, amelyek mindegyike egyedi felhasználói azonosítót tartalmaz. A felhasználói azonosítót, amely összefüggésbe hozható a Facebookon regisztrált felhasználó bejelentkezési adataival, a rajongói oldalak megnyitásának pillanatában gyűjtik be és kezelik.

A Bíróság az említett adatkezelés céljaként az alábbiakat határozza meg: “E személyesadat‑kezelés különösen annak lehetővétételére irányul, hogy egyfelől a Facebook javítsa a hálózatán keresztül terjesztett hirdetési rendszerét, másfelől a rajongói oldal adminisztrátora tevékenysége reklámozásának irányítása céljából a Facebook által készített statisztikai adatokhoz jusson ezen oldal látogatottságára vonatkozóan, ami lehetővé teszi például a rajongói oldalát kedvelő látogatók vagy az alkalmazásait használó személyek profiljának megismerését abból a célból, hogy számukra relevánsabb tartalmat javasolhasson és nekik jobban tetsző eszközöket fejleszthessen ki.”[2]

Joggal merül fel a kérdés, hogy vajon egy Facebook oldal kezelője mégis hogyan lehet adatkezelő, amikor első látásra úgy tűnik, hogy semmilyen befolyása nincs a Facebook által elhelyezett sütikre. Azonban az ítélet kiemeli, hogy „Az adminisztrátor a Facebook által a rendelkezésére bocsátott szűrők segítségével meghatározhatja azon kritériumokat, amelyek alapján a Facebook e statisztikákat elkészítheti, és meghatározhatja azon személykategóriákat is, amelyek személyes adatait az utóbbi felhasználhatja. Következésképpen a Facebookon fenntartott rajongói oldal adminisztrátora közreműködik az oldalát meglátogató személyek személyes adatainak kezelésében.”[3]. Ezen okból kifolyólag a Bíróság megállapítja, hogy a Facebook oldal kezelője adatkezelőnek minősül.

Milyen lépéseket kell tennie az oldalak kezelőinek?

A Facebook székhelye szerint érintett ír adatvédelmi hatóságok nem tettek közzé állásfoglalást az üggyel kapcsolatban, azonban a német adatvédelmi szervek közzétettek egy iránymutatást, amely hasznos lehet az oldalakat kezelő adminisztrátorok számára[4]. Eszerint az adatvédelmi megfelelőség érdekében az oldal kezelőjének ajánlott a következő lépéseket tenniük:

– Az oldal kezelőjének szükséges átlátható, és érthető tájékoztatást adnia a Facebookkal, mint adatfeldolgozóval kapcsolatban.

– Az oldal kezelőjének meg kell győződnie arról, hogy a Facebook biztosítja a szükséges információkat ahhoz, hogy az oldal kezelője az érintett felé teljesíthesse tájékoztatási kötelezettségét.

– Az oldal kezelőjének szükséges igazolnia az érintett hozzájárulását a Facebook felületen végzett tevékenysége nyomon követése kapcsán.

– Az oldal kezelőjének közös adatkezelésre vonatkozó megállapodást kell kötnie a Facebookkal. Ennek oka, hogy az említett ítélet úgy határozta meg az oldal kezelőjét, mint olyan személyt, aki közreműködik az oldalt meglátogató személyek személyes adatainak kezelésében. Ebből kifolyólag az adatkezelés a GDPR 26. cikk (1) bekezdése hatálya alá esik. Ezen cikk előírja azt is, hogy a közös adatkezelőknek a közös adatkezelésre vonatkozóan megállapodást kell kötniük.

Örök kérdés: feltölthet-e a vállalkozás rendezvényeken készült fényképeket a saját Facebook oldalára?

 Az aggodalom nem alaptalan, hiszen a Facebook bonyolult algoritmusai adott esetben a fényképeken is számos adatkezelést végeznek. A Facebook saját adatkezelései azonban ebben az esetben az érintett hozzájárulásán alapulnak. A saját oldalunkra feltöltött képeken a Facebook az érintett kifejezett hozzájárulása nélkül semmilyen egyéb adatkezelést nem végez, így ebben az esetben a Facebook megmarad adatfeldolgozói, a fényképet feltöltő vállalkozás pedig adatkezelői minőségében.

A rendezvényekről készült fényképekkel kapcsolatban kiemeljük, hogy a Polgári Törvénykönyvről szóló 2013. évi V. törvény 2:48. § (2) bekezdése értelmében a tömegfelvétel, valamint a nyilvános közéleti szereplésről készült felvételhez nem szükséges az érintett hozzájárulása. Ettől azonban eltérő kategória az, amikor a kamera – akár tömegrendezvényen – a résztvevők közül kifejezetten egy személyre fókuszál (az ábrázolás módja egyedi), vagy olyan képet készít, amelyen egy vagy csekély számú érintett szerepel. Az ilyen fényképek készítéséhez az adatvédelmi – továbbá személyiségi jogi – megfelelés érdekében már szükséges kérni az érintett – előzetes tájékoztatáson alapuló megfelelő – hozzájárulását.

Kihez fordulhat az érintett, ha egy vállalkozás Facebook oldala sérti a jogait?

Az Adatvédelmi Hatóság (továbbiakban: NAIH) egy Facebookkal kapcsolatos ajánlásában a következőket írta[5]: „Az Infotv. 2. § (1) bekezdése szerint az Infotv. hatálya a Magyarország területén folytatott adatkezelésre terjed ki. Bár a Facebook tevékenysége magyarországi felhasználókra (is) irányul, és a közösségi oldalnak van magyar nyelvű változata, tekintettel arra, hogy a Facebooknak, mint adatkezelőnek nincs magyarországi tevékenységi helye és képviselője, a közösségi oldalra nem irányadó az Infotv., következésképpen a Hatóság nem rendelkezik joghatósággal, így vizsgálatot sem tud indítani a Facebookkal szemben.”

A Bíróság a fent említett ügyben azonban rámutatott arra, hogy “amennyiben valamely tagállam felügyelő hatósága (ebben az esetben: Unabhängiges Landeszentrum) a személyes adatok védelmére vonatkozó szabályoknak az ezen adatok kezeléséért felelős és egy másik tagállamban székhellyel rendelkező harmadik személy (ebben az esetben: Facebook Ireland) általi megsértése miatt az e tagállam területén letelepedett szervezettel (ebben az esetben: a Wirtschaftsakademie-vel) szemben kívánja gyakorolni a 95/46 irányelvben szereplő beavatkozási jogköreit, e felügyelő hatóság hatásköre kiterjed arra, hogy az utóbbi tagállam (Írország) felügyelő hatóságától függetlenül értékelje az ilyen adatkezelés jogszerűségét, és a területén letelepedett szervezettel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy e másik tagállam felügyelő hatóságát előzetesen beavatkozásra hívná fel.[6]”


[1]C-210/16. sz. ügyben hozott ítélet Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein kontra Wirtschaftsakademie Schleswig-Holstein GmbH

[2]C-210/16. 34. bek

[3]C-210/16. 36. bek.

[4]https://www.datenschutzzentrum.de/uploads/facebook/2018-06-05-Entschliessung-DSK-Fanpages-EuGH-Urteil.pdf

[5]NAIH/2018/2198/2/V

[6]A C-210/16. 74. bek.

close
ENEN