Ahogy az ilyen ügyekben már többször felhívtuk rá a figyelmet, az Európai Unió Bírósága (Court of Justice of the European Union – CJEU) nem ítéleteket hoz, hanem a tagállamok bíróságainak felkérésére konkrét ügyekben jogértelmezési munkát végez el, majd erről állásfoglalást ad ki. A tapasztalat szerint a kérést előterjesztő bíróságok szinte minden esetben ezen állásfoglalások alapján hoznak később ítéleteket a perekben.

Az ügy

A szóban forgó ügyben a lényegi kérdés az, hogy miképp kell adatvédelmi szempontból kezelni azt, ha egy honlap beágyazza oldalára a Facebook „like” lehetőséget.

Mint a bírósági állásfoglalás tényismertetőjében olvashatjuk:

A német Fashion ID online divatruha-értékesítővállalkozás elhelyezte honlapján a Facebook „Tetszik” gombot. Ez azzal a következménnyel jár, hogy ha egy látogató megtekinti a Fashion ID honlapját, akkor a személyes adatait továbbítják a Facebook Ireland részére. Ez a továbbítás az említett látogató tudomása nélkül megy végbe, függetlenül attól, hogy tagja-e a Facebook közösségi hálózatnak, vagy hogy rákattintott-e a „Tetszik” gombra. A német Verbraucherzentrale NRW közhasznú fogyasztói érdekvédelmi egyesület azt kifogásolja, hogy a Fashion ID a honlapját felkereső egyének személyes adatait – egyrészt azok tudomása nélkül, másrészt a személyes adatok védelmére vonatkozó rendelkezésekben előírt tájékoztatási kötelezettségeket megsértve – a Facebook Ireland részére továbbította. A jogvitában eljáró Oberlandesgericht Düsseldorf (düsseldorfi regionális felsőbíróság, Németország) az 1995-ös korábbi adatvédelmi irányelv több rendelkezésének értelmezését kéri a Bíróságtól (amelyek az ügyre alkalmazandók voltak, és amelyeket a 2018. május 25-től alkalmazandó 2016-os adatvédelmi rendelet felváltott).

Az állásfoglalás

Az Európai Bíróság nem kevés bizonytalanságot tükröző állásfoglalásában megállapítja, hogy a „like” gomb beágyazása két gazdasági szereplő olyan kereskedelmi akciója, melynél az adatvédelmi felelősségeket és kötelezettségeket csak részletes és mindenre kiterjedő vizsgálattal lehet megállapítani. Az állásfoglalás főbb pontjai:

• a fogyasztóvédelmi egyesület jogosult eljárás indítására
• „úgy tűnik, hogy a Fashion ID nem minősíthető adatkezelőnek az adatok továbbítását követően a Facebook Ireland által végzett adatkezelési műveletek tekintetében”
• ugyanakkor: „A Fashion ID ezzel szemben a Facebook Irelanddel közös adatkezelőnek minősíthető a szóban forgó személyes adatok gyűjtésére és a Facebook Ireland részére történő továbbítás általi közlésére irányuló műveletek tekintetében.”
• azt tisztázni kell, hogy milyen megállapodás alapján született a beágyazási döntés: „Úgy tűnik, hogy a Fashion ID azért járult hozzá – legalábbis hallgatólagosan – a gomb elhelyezése révén a honlapjának látogatóira vonatkozó személyes adatok gyűjtéséhez és továbbítás általi közléséhez, hogy hasznot húzhasson ebből a kereskedelmi előnyből.”
• a fenti pontból kötelezettségek is adódnak a beágyazó részére: „A Bíróság hangsúlyozza, hogy a Fashion ID-hoz hasonló honlap-üzemeltetőnek, mint a honlapjára látogatók személyes adataira irányuló egyes adatkezelési műveletek – például a honlapjára látogatók személyes adatainak gyűjtése a Facebook Ireland részére történő továbbítása – tekintetében (közös) adatkezelőnek, már az adatgyűjtés időpontjában a honlaplátogatók rendelkezésére kell bocsátania bizonyos – például a kilétére és az adatkezelés céljára vonatkozó–információkat.”
• „a Fashion ID-hoz hasonló honlap-üzemeltetőnek a hozzájárulást (kizárólag) azon műveletek tekintetében kell előzetesen beszereznie, amelyekért (együttesen) felel, vagyis az adatok gyűjtése és továbbítása tekintetében”
• „Azzal az esettel kapcsolatban, amikor az adatkezelés jogos érdek érvényesítéséhez szükséges, a Bíróság úgy határozott, hogy mindkét (társ)adatkezelő esetében, nevezetesen a honlap-üzemeltető és a közösségimodul-szolgáltató esetében is fenn kell állnia a személyes adatok gyűjtése és továbbítása tekintetében a jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősítenie műveleteket.”