2023-07-03 | Adatvédelem, Data Protection, IT jog
A Facebook dilemma dióhéjban
A GDPR értelmében vett adatkezelés jogszerűségének egyik legjelentősebb előfeltétele, hogy az megfelelő jogalappal rendelkezzen. Érdemes tudni, hogy a viselkedésalapú hirdetési gyakorlatok jogszerűségét általában a GDPR 6. cikk a) pontja, vagyis az érintett megfelelő tájékoztatáson alapuló, önkéntes, konkrét és egyértelmű hozzájárulása alapozza meg. Ez lényegében egy „opt-in” rendszert eredményez, ahol a viselkedésalapú hirdetésekkel kapcsolatos adatkezelés az érintett erre irányuló beleegyezését követően kezdődhet meg.
Ezzel szemben a Facebook 2018. május 25., vagyis a GDPR alkalmazásának kezdete óta a viselkedésalapú hirdetésekkel kapcsolatos adatkezelésének jogalapjául a GDPR 6. cikk b) pontját jelöli meg, vagyis azt állítja, hogy az adatkezelés a Facebook és a felhasználói között létrejött szerződés teljesítéséhez szükséges. Noha e kritérium általában szűken értelmezendő, a Facebook olyan gyakorlatot alakított ki, melynek keretében a felhasználási feltételeinek tartalmát bővítette éppen azért, hogy a b) pontra hivatkozhasson. Mindez azt eredményezte, a Facebook felhasználóinak nem volt más választása, minthogy eltűrjék a viselkedésalapú hirdetésekhez szükséges adatkezelést, beleértve az alkalmazáson belüli tevékenységek teljeskörű monitorozását.
Az idei év elején azonban az EDPB, vagyis az Európai Adatvédelmi Testület döntése nyomán vége szakadt ennek a gyakorlatnak, ugyanis megállapításra került a Facebook évek óta tartó gyakorlatának jogellenessége – emellett a Facebookot egy 380 millió eurós bírsággal is sújtották, tekintettel egyebek mellett a jogsértés szándékos mivoltára.
Hogyan tovább?
A döntés ellen a Facebook jogorvoslattal élt, ám emellett is köteles volt az adatkezelési gyakorlatát áprilisig a GDPR rendelkezéseivel összhangba hozni. Súlyos anyagi érdeke fűződik ugyanakkor a Facebooknak ahhoz, hogy a hirdetésekhez szükséges adatkezelés ne opt-in rendszerben történjen, ezzel ugyanis kétségtelenül jelentős bevételektől esne el a cég. Ez történt egyébként annak hatására is, hogy 2021-ben az Apple a szoftvereinek frissítésével érte el, hogy az azokon futó alkalmazások a felhasználók hozzájárulását kérjék egyes adatgyűjtésekhez.
Feltehetően ilyen megfontolások mellett váltott a Meta a személyre szabott hirdetésekkel kapcsolatos adatkezelése tekintetében az f) pont azaz jogos érdek szerinti jogalapra. Ennek értelmében arra hivatkozik, hogy a cég, vagy harmadik felek jogos érdekei elsőbbséget élveznek a Facebook felhasználók érdekeihez és alapvető jogaihoz képest. Ilyen elsőbbséget élvező jogos érdekként jelöli meg a Facebook az adatkezelési szabályzatában egyebek mellett, hogy „olyan pozitív, a felhasználóra szabott élményt biztosítson, amellyel a felhasználók szívesen lépnek interakcióba”, valamint hogy „bevételhez juthasson, és folytathassa a Meta-termékek és új technológiák innovációját, tökéletesítését és fejlesztését”.
Ez lényegét tekintve azt jelenti, hogy a Meta az érdekmérlegelés elvégeztével arra jutott, hogy a saját pozitív üzleti renoméja és bevételszerzési lehetőségei elsőbbséget élveznek a felhasználók személyre szabott hirdetésekkel kapcsolatos adatkezelésre is kiterjedő adatvédelemhez fűződő jogához képest.
Az üzleti racionalitás talaján az lett volna meglepő, ha eltérő következtetésre jut a cég. Ez azonban nem jelenti azt, hogy a következtetés a GDPR rendelkezéseivel is teljesen összhangban lenne!
Mivel az érdekmérlegelési teszt alkalmazása számos kritérium figyelembevétele mellett lehet csak jogszerű, a fenti, meglehetősen általános érvekkel kapcsolatban számos aggály felmerülhet. A legjelentősebb ezek közül mégis az, hogy az Európai Adatvédelmi Testület töretlen gyakorlata értelmében a jogos érdek nem szolgálhat viselkedésalapú marketing jogalapjául, az csak hozzájáruláson alapuló, opt-in rendszerben lehet jogszerű.
Nyomós érvek szólnak tehát amellett, hogy a Meta jelenleg sem biztosítja a jogszabályok által megkövetelt szintjét a személyes adatok védelmének. Ezen feltételezés esetleges beigazolódására azonban csak további hosszú jogviták árán kerülhet sor. Addig is legalább az pozitív előrelépésként értékelhető, hogy a jogos érdeken alapú adatkezelés a felhasználók számára lehetőséget teremt az adatkezelésből való opt-out-ra.
Mi a tanulság mindebből?
A fentieket kicsit absztraktabban megragadva belátható, hogy az egyébként gyakran üzleti érdekek mentén operáló adatkezelők részéről az adatvédelmi szabályok érvényre juttatása során egy eltérő szemléletmód figyelembe vétele szükséges. Könnyű beleesni abba a hibába, hogy a jelentős anyagi szempontok megléte esetén feltételezzük az adatkezelés jogszerűségét. Mind adatkezelés által érintettként, mind adatkezelőként fontos azonban emlékeztetnünk magunkat arra, hogy ez nagyon gyakran nincs így.
