A Facebook és a GDPR

július 16, 2020
Cikkek, GDPR hírek

Az Izlandi Adatvédelmi Hatóság (Persónuvernd) kapcsán legutóbb arról a két esetről írtunk, amikor személyes adatok kezelésére vonatkozó szabályok mulasztása miatt GDPR bírságban részesített egy középiskolát és a Nemzeti Kábítószer-egészségügyi Központot. Mai cikkünkben a Hatóság június végi tevékenységéről írunk, pontosabban két olyan ügyről, melyben a Facebook az „érintett”.

Az első esetben a Persónuvernd egy döntést hozott az Arion Bankkal kapcsolatban, megállapítva, hogy a cég megszegte a személyes adatok kezelésére vonatkozó szabályokat, amikor gyerekek fotóit tette közzé Facebook-oldalán a szülők hozzájárulása nélkül. A Hatóság megállapította, hogy az Arion vétett a GDPR 6. cikk (1) bekezdése ellen, mivel nem találták elégségesnek a bank által kihelyezett felhívásokat, hogy az általuk készített felvételek felhasználásra kerülnek az Arion Facebook-oldalán.

Gyermekek esetén az ilyen jellegű adatkezeléshez az adatkezelő a szülők hozzájárulását köteles megszerezni. A Persónuvernd felhívta a figyelmet, hogy a gyermekek a különösen védendő csoportba tartoznak személyes adataik kezelése tekintetében, különösen, ha adataik harmadik fél által marketing célokra felhasználásra kerülnek, amely a Facebookra történő feltöltés esetében megalapozott aggály. A Hatóság továbbá közölte, hogy a Bank nem rendelkezik megfelelő jogalappal az említett adatok kezelésére, illetve, ha a jogos érdek jogalapját használná, az sem alapozná meg a gyermekek fotónak ilyen jellegű és célú kezelését. Erre tekintettel utasította az Ariont, hogy korlátozza a hozzáférést a fotókhoz, és ezt legkésőbb 2020. július 27-ig tegye meg. Az ügyben bírság kiszabása nem történt.

A második esetben a Hatóság egy levelet küldött az Icelandic Genetics-nek (IG), ebben az esetben egy facebookos ’megosztás’ gomb volt a kiváltó ok. A cég genetikával és személyiségvonásokkal kapcsolatos kutatásokat végez, mellyel kapcsolatban egy tanulmányt is készített.

A tanulmányban való részvétel egy bizonyos ponttól kezdve nyitott volt bármelyik internetfelhasználó számára. 2020 februárjától a tanulmányban résztvevő érintettek megoszthatták eredményeiket Facebookon az IG weboldalán szereplő ’megosztás’ gomb segítségével, mely egy képet tartalmazott végeredményükről, illetve felhívást a tanulmányban való részvételre. Az IG célja ezzel az volt, hogy maguk az érintettek is népszerűsítsék a tanulmányban való részvételt.

A Hatóság kiemelte, hogy a Facebook minden esetben kezeli legalább a látogatók IP-címét azokon a weboldalakon, ahol Facebook Like gomb vagy Pixel került elhelyezésre, amely egy ilyen érzékeny területen tevékenykedő adatkezelő esetén problémás. Talán ennél is nagyobb probléma, hogy a valóságban tudjuk, hogy az IP cím mellett szinte minden más adatot is begyűjt a Facebook Like gombbal felvértezett weboldalakon az érintettekről, függetlenül a GDPR szabályaitól.

A fenti adatkör esetében a hatóság elvárja, hogy az adatkezelés átláthatóan és jogszerűen történjen, anélkül, hogy a Facebookhoz jutna minden ezzel kapcsolatos adat a weboldalon keresztül. Különös figyelmet kell fordítani azoknak az egészségügyi adatok kezelésére, melyekre a kérdőív rákérdezett, valamint arra, hogy ezek ne kerülhessenek harmadik felek kezelésébe.

A Persónuvernd közölte, hogy a jövőbeni tudománnyal kapcsolatos adatkezelési kérelmek elbírálásakor külön figyelmet fog fordítani arra, hogy megbizonyosodjon róla, történik-e közösségi médiával kapcsolatos adatkezelés, illetve az megfelel-e a GDPR vonatkozó rendelkezéseinek.

A Facebook Like és Pixel adatekzelésével részletesen foglalkozott a FashionID ügyben az európai Unió Bírósága is, az ítéletet ebben a cikkünkben dolgoztuk fel részletesen.

Bevételeihez képest nevetséges összegű bírságot kapott a Twitter

Boston is betiltotta az arcfelismerés használatát

Bírság az izlandi Nemzeti Kábítószer-egészségügyi Központnak