Adatvédelem 2020: az áttörés után

Akkor is adatkezelő, ha nem használja az adatot: a Fashion ID ítélet 

Az Általános Adatvédelmi Rendelet 2018. május 25-e óta történő alkalmazása a legtöbb vállalat életében jelentős adminisztratív terhet jelentett. A cégek nagyobbrészt 2018-ban kezdtek csak el részletekig menően ismerkedni az új adatvédelmi szabályokkal, az első érdemi hatósági döntések is az év végére születtek meg. 
2019 júliusa sem telt el újdonságok nélkül, egy előzetes döntéshozatali eljárásban ugyanis az Európai Unió Bírósága kimondta, hogy 

egy vállalkozás akkor is felel az adatkezelés megfelelőségéért, ha operatívan nem kezeli a hozzá érkező adatokat, „csak” gyűjti és továbbítja azokat egy másik, az adatokat összetett módon kezelő másik cég(csoport) számára. 

A kérdéses ügyben egy honlap-üzemeltető a látogatók böngészőjének számára a Facebook Ireland Ltd. (a továbbiakban: Facebook) által biztosított tartalom (Facebook oldal) elérését és ehhez a látogató személyes adatainak a Facebook számára történő továbbítását lehetővé tévő közösségi modult (like gomb) helyezett el az oldalán. A bíróság úgy találta, hogy a honlap-üzemeltető azért járult hozzá a honlap látogatóira vonatkozó személyes adatok Facebook általi gyűjtéséhez és továbbítás általi közléséhez, hogy hasznot húzzon árui szélesebb körben történő reklámozására irányuló kereskedelmi előnyből, mivel ezeket az adatkezelési műveleteket mind a honlap tulajdonosa, mind a Facebook gazdasági érdekből végzik.

Az ítélet számos, az adatvédelemmel foglalkozó szakma számára kiemelkedően fontos megállapítást tett, de a legfontosabb üzenet a vállalatok számára az lehet, hogy 
minden esetben vizsgálják felül, hová és milyen célból kerül továbbításra a hozzájuk, mint elsődleges kapcsolattartási ponthoz érkező személyes adat (ideértve a közösségi fórumokat és a cégcsoport egyéb tagvállalatait is). 
A GDPR – és ezt megelőzően az adatvédelmi irányelv – által meghatározott tájékoztatási kötelezettség és érintetti jogok biztosításának feladata ugyanis egyértelműen ehhez az adatkezelőhöz telepíthető a döntés értelmében.

adatmegadás, mint ellenszolgáltatás: a Facebook-ügy

Az év végén a Gazdasági Versenyhivatal is belépett az adatvédelem színterére. Az eljáró tanács ugyanis megállapította, hogy a Facebooknak a weboldalán a szolgáltatása ingyenességére utaló, magyarországi felhasználókkal szemben alkalmazott megtévesztő állítás révén a fogyasztókkal szembeni tisztességtelen kereskedelmi gyakorlatot valósított meg. A jogsértés miatt a versenytanács 1.200.000.000 Ft, azaz egymilliárd-kétszázmillió forint versenyfelügyeleti bírság megfizetésére kötelezte a Facebookot. 
Bár az ügy, várhatóan, bíróság előtt folytatódik, mindenképpen érdemes kiemelni, hogy a Versenyhivatal a személyes adatok értékére vonatkozóan tett megállapításokat, és megtévesztőnek minősítette, hogy a Facebook szolgáltatása ingyenességére vonatkozó állításokat (mint például „Ingyenes és az is marad”) tett. A tanács érvelése szerint a vizsgált időszakban a Facebook nem tette egyértelművé, hogy bár a felhasználóknak nem számít fel díjat, de azok – beleegyezve adataik megosztásába és a kereskedelmi hirdetésekbe – igenis nyújtanak ellenszolgáltatást a vállalkozásnak. Hiszen a Facebook üzleti modellje arra épül, hogy célzott reklámszolgáltatásokat értékesít a kereskedőknek a felhasználók profiljából származó adatok nagymértékű felhasználásával.

A döntés két szempontból is kiemelkedő jelentőségű.

1. Elvi éllel bír, hiszen az első magyarországi versenyhatósági döntés, amely a GDPR alkalmazása óta született, és amely kifejezetten jelentős adatvédelmi megfontolásokat tárgyal és ezek megsértése miatt milliárdos nagyságrendű bírságot szab ki.
2. Másrészt szakmai következtetésként felmerül, hogy ha a Facebooknak a felhasználók adataikkal „fizetnek”, akkor egy szerződés jön létre a felek között, amely valamennyi (személyes) adat felhasználásra épülő szolgáltatás esetén lehetővé teszi a Rendelet szerinti szerződéses jogalap használatát.