Ausztria: A bécsi felsőbíróság megerősítette a Facebook elleni kártérítési igényt

A felsőbíróság (Oberlandesgericht Wien, OLG) 2020.12.07-én (kézbesítve 2020.12.28-án) meghozta ítéletét a Schrems kontra Facebook Ireland Ltd. fellebbezési eljárásban. (GZ 11 R 153 / 20f, 154 / 20b)^, amelyben a polgári ügyekben eljáró tartományi bíróság (Landesgericht für Zivilrechtssachen) döntését megerősítve megállapította, hogy a közösségi médiaplatform köteles volt a felperesnek teljes körű hozzáférést biztosítani a róla tárolt adatokhoz, így a társaságot 500 EUR kártérítés megfizetésére kötelezte (GDPR 82. cikk).

Mindazonáltal arra is megállapította, hogy az adatfeldolgozási cselekményhez nem szükséges, hogy a platform az uniós adatvédelmi jog értelmében a felhasználóktól egyértelmű, külön hozzájárulást szerezzen be (GDPR 6. cikk (1) bekezdés a) pont), hanem az ilyen adathasználati jog a Facebook számára a szerződési feltételei alapján eleve biztosított.

A határozat középpontjában több jogi panasz áll, és három különböző kérdést vet fel, amelyeket az alábbiakban külön kiemelünk.

A felek szerepének elosztása az adatvédelmi jog alapján

Felperes

• A felperes szerint a platform felhasználója felelős félnek vagy "adatkezelőnek" (GDPR 4. cikk (7) bekezdés) minősül az általa személyes céljaira üzemeltetett adatalkalmazások tekintetében;
• Az alperes szerződés alapján "adatfeldolgozóként" jár el, megakadályozva őt abban, hogy a felperes utasításai nélkül vagy azokkal ellentétesen végezzen adatalkalmazásokat;
• A GDPR 28. cikkének (3) bekezdésében foglalt követelményeknek megfelelő szerződés nem jött létre, noha a felperes jogosult ilyen megállapodásra.

Alperes:

Az alperes a felperes vonatkozásában egyedüli felelős félnek tekintendő, akinek nincs érdeke a megállapításhoz való jogorvoslathoz.

OLG (21-23. oldal)

• Egy közösségi hálózati platform puszta használata önmagában nem teszi a felhasználót egyetemlegesen felelőssé a személyes adatok e hálózat által végzett feldolgozásáért;
• Különbséget kell tenni a rajongói oldalak tekintetében, amelyek esetében az említett oldal üzemeltetője hozzájárul a látogatók személyes adatainak kezeléséhez, és ezáltal adatkezelővé válik (EBHT C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, különösen a következő pontok. 35., 36. és 41. pont).
• A Facebook-felhasználó tehát csak társfelelős harmadik személyek személyes adatai tekintetében (GDPR 4. cikk (7) bekezdés), és csak a saját személyes adatai tekintetében érintett.

Hatékony hozzájárulás a személyes adatok kezeléséhez

Felperes

• A közösségi médiaplatform felhasználási feltételeihez és a kapcsolódó adatkezelési irányelvekhez való hozzájárulás nem eredményez a GDPR 6. cikkének (1) bekezdése és 7. cikke értelmében vett tényleges hozzájárulást;
• A 2018.05.25-én hatályba lépett GDPR rendelkezéseivel ellentétben a korábbi adatvédelmi törvény hatálya alá tartozó polgári jogi szerződések nem írtak elő kifejezett "hozzájárulási" követelményeket;
• Azáltal, hogy a GDPR hatálybalépése előtt a társaság általános szerződési feltételeibe beépítették az előzetes hozzájárulást, a felhasználókat akaratlanul új szerződésbe kényszerítették, ami lehetővé tette a platform számára, hogy megkerülje a jelenlegi GDPR rendelkezései szerinti szigorúbb adatvédelmi előírásokat;
• Így a felperes nem adott a GDPR értelmében vett tényleges hozzájárulást az alperes által végzett adatfeldolgozáshoz.

Alperes

A platform által végzett adatfeldolgozás összhangban volt a GDPR 6. cikke (1) bekezdésének b) pontjában foglalt rendelkezésekkel, mivel a szerződés teljesítésének szükséges részét képezte.

OLG (23-24. o.)

• A GDPR különböző jogalapokat tesz lehetővé a személyes adatok feldolgozására, többek között akkor, ha az olyan szerződés teljesítéséhez szükséges, amelyben az érintett félként vesz részt (GDPR 6. cikk (1) bekezdés b) pont);
• A szükségesség meghatározása ezúttal eseti alapon történik, kellő figyelemmel a szerződéses célra és a szerződés tartalmából eredő kötelezettségekre;
• A Facebook üzleti modelljének és szerződéses céljának lényege a következőkre összpontosul:
  • A felhasználó számára: a személyre szabott kommunikációs platformhoz való hozzáférés megszerzése;
  • A platform számára: a hozzáférés további költségek nélkül történő biztosítása;
• A platformot működtető vállalat így más finanszírozási forrásokra is támaszkodhat, pl. az adott felhasználóra szabott hirdetésekre;
• A személyes felhasználói adatok feldolgozása a platform és a felhasználó közötti megállapodás egyik alapvető tartóoszlopát mutatja, mivel ez az alapja annak, hogy a hirdetések az egyes felhasználók érdekeihez igazodjanak;
• Az adatfeldolgozással kapcsolatos szükségességi elemet az állapítja meg, hogy az ilyen információk felhasználása egyrészt a felhasználók személyre szabott élményét alakítja ki, másrészt pedig olyan pénzügyi csatornát jelent, amelyen keresztül a platform nyereségre tesz szert.

Információszolgáltatás iránti kérelem

Felperes:

• Tájékoztatás iránti kérelmet nyújtottak be, amelyre a GDPR 15. cikkének megfelelően még nem érkezett válasz;
• A (személyes) adatok felhasználására és feldolgozására vonatkozó információk csak részben történő rendelkezésre bocsátása nem felel meg az alperes jogszabályi kötelezettségeinek;
• Az adatkezeléssel kapcsolatos bizonytalanság érzelmi megrázkódtatást okozott, ami a felperest 500 EUR nem vagyoni kártérítésre jogosítja.

Alperes

• Az alperes nem mulasztotta el a kötelességét;
• A felperes a kártérítési igénnyel kapcsolatban nem terjesztett elő perdöntő állítást.

OLG (24-29)

• A Facebook elmulasztotta biztosítani felhasználóinak a hozzáférési eszközeiben szereplő adatokhoz való hozzáférést, ami a felperesnek a GDPR 15. cikkének (1) bekezdésében gyökerező kereseti jogot biztosít;
• A felperes jogosult a következőkre vonatkozó információkra:
  • A Facebook által kezelt személyes adatok és azok céljai (GDPR 15. cikk (1) bekezdés a) pont);
  • az érintett személyes adatok nyilvánosságra hozatala, azaz a címzettek (kategóriái) (GDPR 15. cikk (1) bekezdés b) pont);
  • Az adatok eredete, ha nem a panaszostól gyűjtötték őket (GDPR 15. cikk (1) bekezdés g) pont);
• Az 500 EUR összeg tükrözi a felperes által elszenvedett kellemetlenségek csekély mértékét, és indokoltnak bizonyul.

Megjegyzés:

A felperes beadványaival összhangban az Európai Adatvédelmi Ügynökség korábban kifejezetten megtiltotta a személyes adatok különleges kategóriáinak feldolgozását, kivéve, ha ahhoz kifejezett hozzájárulást adtak, vagy ha az ilyen feldolgozás jelentős közérdekből szükséges (a GDPR 9. cikke (2) bekezdésének g) pontja). Bár az adathasználatra vonatkozó szerződéses záradékok továbbra is alkalmazhatók az adattovábbításra, ezek nem lennének elegendőek az ilyen hozzájárulás megadásának szükségességét helyettesíteni^[2].

Bár az osztrák legfelsőbb bírósághoz való fellebbezés jogát az OLG megadta, várhatóan a felmerült jogi kérdések idővel ismét az Európai Unió Bírósága elé kerülnek.

Források

1. Az ítélet német nyelven elérhető a következő címen: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.
2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Európai Adatvédelmi Testület. Elérhető: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [hozzáférés: 2021.02.05.]

A cikk tartalma általános útmutatást kíván nyújtani a témában. Az Ön konkrét körülményeivel kapcsolatban szakember tanácsát kell kérni.