A felsőbb tartományi bíróság (Oberlandesgericht Wien, OLG) 2020.12.07-én (kézbesítve 2020.12.28-án) meghozta ítéletét a fellebbezési eljárásban. Schrems kontra Facebook Ireland Ltd. (GZ 11 R 153/20f, 154/20b).¹ A polgári ügyekben eljáró tartományi bíróság (Landesgericht für Zivilrechtssachen) döntését megerősítve megállapította, hogy a közösségi médiaplatform köteles volt a felperesnek teljes hozzáférést biztosítani a róla tárolt adatokhoz, így a társaságot 500 euró kártérítés megfizetésére kötelezte (GDPR 82. cikk).

Mindazonáltal azt is megállapította, hogy az adatfeldolgozási cselekményhez nem szükséges, hogy a platform az uniós adatvédelmi jog értelmében (GDPR 6. cikk (1) bekezdés a) pont) egyértelmű, külön hozzájárulást szerezzen be a felhasználóktól, hanem az ilyen adathasználati jog a Facebook számára a szerződési feltételek alapján természetszerűleg biztosított.

A határozat számos jogi panaszt tartalmaz, és három különböző kérdést vet fel, amelyeket az alábbiakban külön kiemelünk.

A felek szerepének elosztása az adatvédelmi jog alapján

Felperes

• A felperes szerint a platform felhasználója felelős félnek vagy "adatkezelőnek" minősül (GDPR 4. cikk (7) bekezdés) az általa személyes céljaira üzemeltetett adatalkalmazások tekintetében;
• Az alperes szerződés alapján "adatfeldolgozóként" jár el, ami megakadályozza, hogy a felperes utasításai nélkül vagy azokkal ellentétesen végezzen el bármilyen adatfeldolgozást;
• A GDPR 28. cikk (3) bekezdésében foglalt követelményeknek megfelelő szerződés nem jött létre, bár a felperes jogosult ilyen megállapodásra.

Alperes:

• Az alperest a felperes vonatkozásában egyedüli felelős félnek kell tekinteni, akinek nincs érdeke a megállapításhoz való jogorvoslathoz.

OLG (21-23. oldal)

• Egy közösségi hálózati platform puszta használata önmagában nem teszi a felhasználót egyetemlegesen felelőssé a személyes adatoknak az adott hálózat által végzett feldolgozásáért;
• Különbséget kell tenni a rajongói oldalak tekintetében, ahol az említett oldal üzemeltetője hozzájárul a látogatók személyes adatainak kezeléséhez, és ezáltal adatkezelővé válik (EB C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, különösen a következő bekezdés. 35., 36. és 41. pont).
• A Facebook-felhasználó tehát csak társfelelős harmadik felek személyes adatai tekintetében (GDPR 4. cikk (7) bekezdés), és csak a saját személyes adatai tekintetében érintett.

Hatékony hozzájárulás a személyes adatok feldolgozásához

Felperes

• A közösségi médiaplatform felhasználási feltételeihez és a kapcsolódó adatkezelési iránymutatásokhoz való hozzájárulás nem eredményez tényleges hozzájárulást a GDPR 6. cikkének (1) bekezdése és 7. cikke értelmében;
• A 2018.05.25-én hatályba lépett GDPR rendelkezéseivel ellentétben a korábbi adatvédelmi törvény hatálya alá tartozó polgári jogi szerződések nem írtak elő kifejezett "hozzájárulási" követelményeket;
• Azáltal, hogy a GDPR hatálybalépése előtt a vállalat általános szerződési feltételeibe beépítették az előzetes hozzájárulást, a felhasználók véletlenül új szerződésbe kényszerültek, ami lehetővé tette a platform számára, hogy megkerülje a GDPR jelenlegi rendelkezései szerinti szigorúbb adatvédelmi normákat;
• Így a felperes nem adott a GDPR értelmében vett tényleges hozzájárulást az alperes által végzett adatfeldolgozáshoz.

Alperes:

• A platform által végzett adatfeldolgozás összhangban volt a GDPR 6. cikke (1) bekezdésének b) pontjában foglalt rendelkezésekkel, mivel a szerződés teljesítésének szükséges részét képezte.

OLG (23-24. oldal)

• A GDPR lehetővé teszi a személyes adatok feldolgozásának különböző alapjait, többek között akkor, ha az olyan szerződés teljesítéséhez szükséges, amelyben az érintett félként vesz részt (GDPR 6. cikk (1) bekezdés b) pont);
• A szükségesség meghatározása eseti alapon történik, kellő figyelmet fordítva a szerződés céljára és a szerződés tartalmából eredő kötelezettségekre;
• A Facebook üzleti modelljének és szerződéses céljának lényege a következő:
  • A felhasználó számára: hozzáférés a személyre szabott kommunikációs platformhoz;
  • A platform esetében: a hozzáférés biztosítása további költségek nélkül;
• Így a platformot üzemeltető vállalat más finanszírozási forrásokhoz, például az adott felhasználóra szabott hirdetésekhez folyamodhat;
• A személyes felhasználói adatok feldolgozása a platform és a felhasználó közötti megállapodás egyik alapvető pillére, mivel ez az alapja annak, hogy a hirdetések az egyes felhasználók érdekeihez igazodjanak;
• Az adatfeldolgozással kapcsolatban a szükségszerűség összetevője abban áll, hogy az ilyen információk felhasználása egyrészt a felhasználók egyéni élményét alakítja, másrészt pedig pénzügyi csatornát jelent, amelyen keresztül a platform a nyereségéhez jut.

Információszolgáltatás iránti kérelem

Felperes

• Tájékoztatási kérelmet nyújtottak be, amelyre a GDPR 15. cikkével összhangban még nem érkezett válasz;
• A (személyes) adatok felhasználására és feldolgozására vonatkozó információk csak részben történő rendelkezésre bocsátása nem felel meg az alperes jogi kötelezettségeinek;
• Az adatkezeléssel kapcsolatos bizonytalanság érzelmi megrázkódtatást okozott, ami a felperest 500 euró nem vagyoni kártérítésre jogosítja.

Alperes:

• Az alperes nem mulasztotta el a kötelezettségét;
• A kártérítési igénnyel kapcsolatban a felperes nem tett perdöntő állítást.

OLG (24-29)

• A Facebook elmulasztotta biztosítani felhasználóinak az adatokhoz való hozzáférést a hozzáférési eszközeiben, ami a felperesnek a GDPR 15. cikkének (1) bekezdésében gyökerező kereseti jogot biztosít;
• A felperes jogosult a következőkre vonatkozó információkra:
  • A Facebook által kezelt személyes adatok és azok céljai (GDPR 15. cikk (1) bekezdés a) pont);
  • Kiknek adják át az adott személyes adatokat, azaz a címzettek (kategóriái) (GDPR 15. cikk (1) bekezdés b) pont);
  • Az adatok eredete, ha nem a panaszostól gyűjtötték őket (a GDPR 15. cikke (1) bekezdésének g) pontja);
• Az 500 eurós összeg tükrözi a felperes által elszenvedett kellemetlenségek csekély mértékét, és indokoltnak bizonyul.

Comment

A felperes beadványaival összhangban az Európai Adatvédelmi Ügynökség korábban kifejezetten megtiltotta a személyes adatok különleges kategóriáinak feldolgozását, kivéve, ha ahhoz kifejezett hozzájárulást adtak, vagy ha az ilyen feldolgozás jelentős közérdekből szükséges (GDPR 9. cikk (2) bekezdés g) pont). Bár az adathasználatra vonatkozó szerződéses záradékok továbbra is alkalmazhatók az adattovábbításra, ezek nem lennének elegendőek az ilyen hozzájárulás megadásának szükségességét helyettesíteni.²

Bár az osztrák legfelsőbb bírósághoz való fellebbezés jogát az OLG megadta, várhatóan a felmerült jogi kérdések idővel ismét az Európai Unió Bírósága elé kerülnek.

Lábjegyzetek

1 Ítélet elérhető németül a következő nyelven: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Európai Adatvédelmi Testület. Elérhető a következő címen: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [hozzáférés: 2021.02.05.]

E cikk tartalma általános útmutatást kíván nyújtani a témában. Az Ön konkrét körülményeivel kapcsolatban szakorvosi tanácsot kell kérni.