NOYB: FB kártérítés; EP panasz; hatóság döntésének megtámadása

február 23, 2021
Cikkek, GDPR hírek

Az osztrák adatvédelmi csoport, a None of Your Business (noyb), élén Max Schrems-szel gyakori szereplője cikkeinknek. Megérdemelten, hiszen azon túl, hogy hozzájuk fűződik az utóbbi évek egyik leglényegesebb döntése, folyamatos nyomást gyakorolnak a hatóságokra és a jogsértő cégekre azért, hogy az európai polgárok adatvédelmi önrendelkezési jogának érvényt szerezzenek. Alább a szervezet három közelmúltbeli ügyéről számolunk be.

Facebook: 500 euró kártérítés és a hozzáférési jog

A Bécsi Legfelsőbb Bíróság 2020. december 29-én jelentette be, hogy meghozta döntését, melyben kötelezi a Facebookot Max Schrems részére 500 euró kártérítés megfizetésére, illetve, hogy adjon neki teljeskörű hozzáférést a vele kapcsolatosan tárolt adatokhoz. A döntés arra is kitér, hogy a Facebooknak nem szükséges az adatkezeléshez a GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulás megszerzése, erre a célra ugyanis alkalmazhatja a GDPR 6. cikk (1) bekezdés b) pont szerinti szerződéses teljesítést.

A GDPR több lehetséges jogalapot is ad az adatkezelésre, ezek közül kettő a hozzájárulás, illetve egy szerződés teljesítése. A bécsi bíróság úgy találta, hogy a felhasználók és a Facebook között szerződés jött létre célzott hirdetések fogadására vonatkozóan. A szerződésekben foglalt adatkezelések teljesítéséhez így nem szükséges a hozzájárulás megszerzése, ez pedig azt jelenti, hogy a cégnek nem kötelessége választási lehetőséget adni felhasználóinak a velük kapcsolatos adatkezelésekkel összefüggésben…nem mintha eddig adtak volna. A szerződéses jogalap esetében az érintetteknek a hozzájárulásuk visszavonására sincs lehetőségük.

A GDPR 2018. május 25-i alkalmazása óta a Facebook a korábban hozzájáruláson alapuló rendszerét egyszerűen átmásolta a szerződéses feltételek közé, így most azt állítja, hogy a felhasználók adatainak kezelésére a velük kötött szerződés hatalmazza fel. A noyb álláspontja szerint ez egyértelműen a GDPR szabályrendszerének a kijátszása, hiszen az új rendszer bevezetésével a felhasználóknak még kevesebb joga van, mint a GDPR előtt.

A szervezet ezzel kapcsolatban egy kutatást is idéz, melyből kiderül, hogy 1.000 megkérdezett Facebook felhasználónak mindössze 1,6%-a fogta fel a Facebookkal való viszonyát „szerződésként”. Az Európai Adatvédelmi Testület (EDPB) szintén kifejezetten tiltja a szerződéses viszony jogalapként történő használatát hozzájárulás helyett.

Érdekes ezzel kapcsolatban felidézni a 29-es Munkacsoport jogos érdekkel kapcsolatos WP217 számú véleményét, mely az alábbiak szerint rendelkezik a GDPR 6. cikk (1) bekezdés b) pontja szerinti szerződéses jogalap alkalmazási lehetőségével kapcsolatban:

(A szöveg a hivatalos fordításból származik, azonban félrefordítás történt, és az adatkezelés adatfeldolgozásként került fordításra)

„A rendelkezést szigorúan kell értelmezni; a rendelkezés nem vonatkozik olyan helyzetekre, ahol az adatfeldolgozás valójában nem szerződés teljesítéséhez szükséges, hanem azt az adatkezelő egyoldalúan az érintettre erőlteti. Ezen felül az, hogy egyes adatfeldolgozási tevékenységeket szerződés fed, nem jelenti automatikusan azt, hogy az adatfeldolgozás a szerződés teljesítéséhez szükséges. A [95/46/EK irányelv – szerkesztő] 7. cikk b) pontja például nem megfelelő jogalap a felhasználó ízléséről és életmódbeli döntéseiről szóló profil alkotásához egy weboldalhoz kapcsolódó böngészési története és az általa megvásárolt áruk alapján. Ennek oka, hogy az adatkezelőt nem profilalkotásra szerződtették le, hanem azért, hogy például bizonyos árukat kiszállítson és szolgáltatásokat nyújtson. Még ha ezek a feldolgozási tevékenységek kifejezetten szerepelnek is a szerződés apró betűs részében, ettől még nem lesznek „szükségesek” a szerződés teljesítéséhez.”

Persze, ha a konkrét szerződés a Facebook és a felhasználók között kifejezetten célzott reklámok fogadására jön létre, nem kérdéses, hogy az ehhez szükséges adatkezelés valóban „szükséges”. Ez azonban a Facebook használatának egy elég egyedi értelmezése a bíróság által.

A GDPR 15. cikke szerinti hozzáférési joggal kapcsolatos vitát a Facebook azonban elvesztette; a Bíróság két esetben is megállapította, hogy a Facebook nem ad a felhasználóinak teljes körű hozzáférést az általa kezelt adataikhoz. A Bíróság szintén kimondta, hogy a felhasználóknak joguk van tudomást szerezni arról, hogy a Facebook velük kapcsolatosan milyen adatokat kap harmadik felektől, illetve maga a cég milyen személyes adatokat oszt meg más felekkel.

A Bíróság kötelezte a Facebookot 500 euró megtérítésére Max Schrems részére az általa átélt érzelmi szorongás kompenzálására; a döntés az osztrák legfelsőbb bíróságon megtámadható. Schrems már bejelentette, hogy élni kíván ezzel.

A noyb panasza az EP ellen

A noyb 2021. január 22-én hat EP képviselő nevében panaszt nyújtott be az Európai Parlament ellen az általuk működtetett koronavírus-tesztoldalon alkalmazott sütik, az átláthatatlan adatvédelmi nyilatkozat és az Egyesült Államokba megvalósuló jogellenes adattovábbítás miatt.

Az Európai Parlament ingyenes Covid-PCR tesztet nyújt minden képviselőjének és alkalmazottjának. Az ehhez szükséges intraneten működő regisztrációs felület megalkotására és működtetésével az EP az EcoCare nevű céget bízta meg. Az általuk felállított oldal vizsgálata során azonban kiderült, hogy a weboldal több, mint 150 harmadik félnek küldött adatokat, köztük olyan amerikai oldalaknak is, mint a Google és a Stripe.

Nem csak a Stripe sütiket telepítette automatikusan a weboldal minden látogató eszközére, az oldal adatvédelmi tájékoztatójában az is szerepel, hogy az Google Analytics (hirdetést célzó) sütiket használ. Szerencsére egészségügyi adatokat nem továbbított az oldal, mivel annak feladata csak a regisztrációk és időpontok foglalása volt.

A noyb nem meglepő módon kifogásolta, hogy a vezetőjükről elnevezett Schrems II döntés ellenére az oldal a Google és a Stripe részére is továbbított adatokat, holott az a CJEU döntése nyomán csak nagyon szigorú követelmények mentén történhet. Az oldalaknak tilos harmadik országba (köztük az USA-ba) adatot továbbítani, hacsak nem garantálható a továbbított adatok számára európai szintű védelem. Ezek a tiltások még fontosabbak politikusok (EP képviselők) adatai esetében egy belső intraneten.

A civil csoport felhívta a figyelmet, hogy az oldalon található banner szándékosan félrevezető, és nem tartalmazott megfelelő mennyiségű információt az adatkezeléssel kapcsolatban; a banner nem közölt listát az összes alkalmazott sütiről, illetve egyértelműen az összes süti elfogadása felé irányította a felhasználókat. Mivel az összes használt süti nem jelent meg az adatvédelmi tájékoztatóban vagy a banneren, ezért az érintettek nem adhatták tájékoztatáson alapulóan hozzájárulásukat az adatkezeléshez, így az nem felel meg a GDPR-ban foglaltaknak.

Az első panaszt a noyb még 2020 októberében tette Alexandra Geese EP képviselőasszony nevében, azonban az azóta eltelt időben újabb öt képviselővel bővült az azt támogatók száma. Az EDPS az elkövetkező időben meg fogja vizsgálni a panasz tartalmát, majd döntést hoz az ügyben. Bármilyen döntés is szülessen, azt majd meg lehet támadni az Európai Bíróság előtt, és a noyb biztosan nem fog megijedni, hogy ha kell, elvigye a végsőkig az ügyet.

Eljárás a Luxemburgi Hatóság ellen

A None of Your Business 2021. január 25-én megtámadta a Luxemburgi Adatvédelmi Hatóság (CNPD) két döntését. A noyb azt kifogásolta, hogy a CNPD két esetben is elutasított adatvédelmi panaszokat amerikai cégek ellen, mert bár azt beismerte, hogy a GDPR hatálya kiterjed rájuk, arra hivatkozott azonban, hogy nem járhat el ellenük, mivel a két érintett cég (Apollo és RocketReach) nem rendelkezik európai székhellyel.

Az eredeti panaszokat egy luxemburgi állampolgár tette meg, miután tudomására jutott, hogy adatait az Apollo és a RocketReach is kezelte abból a célból, hogy azt kereskedelemre bocsássa. Ezt követően az érintett levelet írt a két cégnek, melyekben megkísérelte gyakorolni hozzáféréshez és törléshez való jogait (GDPR 15. és 17. cikk), a cégek azonban arra nem válaszoltak megfelelően, így a CNPD-hez fordult.

A panaszos többszöri felhívására reagálva a Hatóság érdemi vizsgálat vagy döntéshozás nélkül elutasította a panaszokat, arra hivatkozva, hogy nem járhat el olyan cégek ellen, melyek nem rendelkeznek európai meghatalmazottal. A noyb itt figyelmeztet, hogy önmagában ennek ténye is sérti a GDPR-t.

A Hatóság vonakodása, illetve a tény, hogy a panaszokat vizsgálat nélkül elutasították, egyértelműen sérti a Rendeletet. A GDPR bevezetésekor az egyik alapvető “ígéret” az volt a jogalkotók részéről, hogy az segíteni fog az állampolgároknak jogaikat érvényesíteni akár nemzetközi cégek ellen is. A GDPR extraterritoriális hatálya egyértelműen meghatározza, hogy vonatkozik azokra az adatkezelőkre is, akik az Unió területén kívül kezelik például az Unió területén tartózkodó érintettek adatait, akiknek valamilyen árut vagy szolgáltatást értékesítenek, vagy ha megfigyelik az Unió területén folytatott viselkedésüket. Az ilyen ügyekben született döntések végrehajtása nehézkes lehet, azonban a belga hatóság például azt tervezi, hogy a GDPR-t ignoráló cégek weboldalát elérhetetlenné teszik az országban, amely valljuk be, elég hatékony nyomásgyakorlási eszköz lehet.

A noyb sajnálattal látja, hogy a CNPD inkább választja állampolgárai alapvető jogainak csorbulását, mint hogy kihasználná a lehetőségére álló eszközöket.

Azt is megjegyezték, hogy a Luxemburgi Hatóság nem az egyetlen, amely látszólag keveset tesz kötelességeinek ellátásáért, ezért a szervezet a jövőben több erőforrást csoportosít át annak érdekében, hogy ezeknek a hatóságnak a tevékenységét nyomon kövesse és felhívja rá a nagyközönség figyelmét, ha hiányosságokat tapasztal.

Napi GDPR linkgyűjtemény – 2020.05.21-27.

Erkölcsi bizonyítvány kezelése a munkáltatók részéről

NOYB: támadás az ír hatóság és egy pofátlan adatkezelő ellen