Az Európai Unió Bírósága egy nemrég hozott ítéletében[1] az online piactér üzemeltetőinek a GDPR[2] 9. cikke szerinti különleges adatok kezelésével kapcsolatosan fennálló kötelezettségeit, valamint a GDPR és az elektronikus kereskedelemről szóló irányelv[3] (E-kereskedelmi irányelv) viszonyát vizsgálta. Ítéletében az Európai Unió Bírósága jelentős kötelezettségeket rögzített az online piactereket üzemeltető gazdasági szereplők számára, a GDPR-E-kereskedelmi irányelv viszonyában pedig kimondta, hogy a személyes adatok védelme elsőbbséget élvez az E-kereskedelmi irányelvben rögzített mentességekkel szemben.
Az előzetes döntéshozatal tárgyát képező ügy középpontjában egy romániai online piactér üzemeltetője állt, amely árueladásra vagy szolgáltatásnyújtásra vonatkozó hirdetések közzétételére szolgáló platformot üzemeltetett. Az üzemeltető lehetővé tette, hogy egy azonosíthatatlan harmadik személy (hirdető) olyan hamis hirdetést tegyen közzé az általa üzemeltetett platformon, amelyben egy személyt – a róla készült fényképek és telefonszáma felhasználásával – szexuális szolgáltatások nyújtójaként tüntettek fel. Bár az érintett személy kérésére az online piactér üzemeltetője haladéktalanul eltávolította a személyes adatait tartalmazó hamis hirdetést, azt addigra más weboldal is átvette, ahonnan nem került eltávolításra.
Az ügyben a Kolozsvári Ítélőtábla (Curtea de Apel Cluj) fordult az Európai Unió Bíróságához, kérve annak állásfoglalását több jogkérdésben is. Az Ítélőtábla lényegében abban várt állásfoglalást az Unió Bíróságától, hogy:
- egy online piactér alapügyhöz hasonló üzemeltetője felelősségre vonható-e a GDPR szabályai alapján abban az esetben, ha egy – az általa üzemeltetett online piactéren közzétett – hirdetés a GDPR megsértésével került közzétételre;
- levezethető-e a GPDR-ból az online piactér üzemeltetőjének az a kötelezettsége, hogy a hirdetés közzétételét megelőzően ellenőrizze, hogy a hirdetésben szerepelnek-e különleges adatok, vagy hogy a különleges adatot tartalmazó hirdetések esetében a hirdető és a hirdetésben szereplő személy azonosak-e egymással; illetve
- a E-kereskedelmi irányelv szerinti mentességek ezen esetben miként alkalmazhatók.
A fenti kérdések vizsgálata előtt az Európai Unió Bírósága leszögezte, hogy a fenti hirdetés– tekintettel arra, hogy abból egy adott személy szexuális életére vonatkozó információk következtethetőek ki – a GDPR 9. cikke szerinti különleges adatot tartalmazott, függetlenül attól, hogy az adott hirdetés hamisnak minősült.
A fenti kérdésekre tekintettel, az Unió Bírósága először azt vizsgálta, hogy adatkezelőnek minősül-e az online piactér olyan üzemeltetője, amelynek a felhasználók hirdetéseinek közzétételében játszott szerepe tisztán technikai jellegű.
A GDPR 4. cikk 7. pontja tágan határozza meg az „adatkezelő” fogalmát, így az kiterjed azon természetes vagy jogi személyre, hatóságra, intézményre vagy bármely más szervre, amely önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és eszközeit. Az adatkezelő fogalmának ismertetésén felül, az Unió Bírósága a GDPR 26. cikke szerinti közös adatkezelők fogalmára is kitér ítéletében, így leszögezi, hogy abban az esetben, ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok „közös adatkezelőknek” minősülnek. Az Európai Unió Bírósága – a már jól kialakított joggyakorlatával megegyezően – leszögezi azt is, hogy a közös adatkezeléshez nem feltétlenül szükséges az, hogy a személyes adatok kezelése céljainak és eszközeinek meghatározásában közös döntést hozzanak az adatkezelők, ahogy annak nem előfeltétele az sem, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz. Az Unió Bíróságának joggyakorlata szerint továbbá az is lehetséges, hogy az egyes adatkezelők az adatkezelés eltérő szakaszaiban és különböző mértékben vegyenek részt a közös adatkezelésben.
Az Unió Bírósága megállapította, hogy az azonosíthatatlan hirdetőt – aki a jogsértő hirdetést az online piactérre feltette – úgy kell tekinteni, mint aki elsődlegesen meghatározta a hirdetésben lévő személyes adatok kezelésének céljait és eszközeit, és ennélfogva a GDPR szerinti „adatkezelő” fogalma alá tartozik.
A Bíróság álláspontja szerint, az online piactér üzemeltetője abban az esetben minősülhet adatkezelőnek, ha saját célból gyakorol befolyást az adatkezelésre. Ez lehet a helyzet többek között akkor, ha az online piactér üzemeltetője az érintett személyes adatokat olyan kereskedelmi vagy reklámcélokból teszi közzé, amelyek túlmutatnak a hirdetés felhasználójának nyújtott egyszerű szolgáltatáson[4]. Az ügyben érintett online piactér általános használati feltételei nagy szabadságot biztosítottak az üzemeltető számára az online piactéren közzétett információk hasznosítására, így például az üzemeltető az általános feltételekben fenntartotta magának a jogot a közzétett tartalmak felhasználására, terjesztésére, továbbítására, többszörözésére, módosítására, lefordítására, partnerek részére történő átengedésére és eltávolítására, akár „alapos indok” hiányában is. Az üzemeltető tehát a hirdetésekben szereplő személyes adatokat nem, vagy nem kizárólag a hirdető-felhasználók nevében tette közzé, hanem ezeket az adatokat saját kereskedelmi és reklámcéljaira is kezelhette és felhasználhatta. Erre tekintettel a Bíróság álláspontja szerint meg kell állapítani azt, hogy az üzemeltető saját célból befolyást gyakorolt a személyes adatok interneten való közzétételére, és ezáltal részt vett e közzététel, és így a szóban forgó adatkezelés céljainak meghatározásában. Tehát az üzemeltető részt vett az adatkezelés azon céljának meghatározásában, hogy a szóban forgó hirdetésben szereplő személyes adatokat – az adott közzététel felhasználása érdekében – hozzáférhetővé tegye az internetfelhasználók számára.
Ezenkívül az üzemeltető azáltal, hogy az alapügyben szóban forgó hirdetés közzétételéhez használt online piacterét a hirdető rendelkezésére bocsátotta, részt vett e közzététel eszközeinek meghatározásában. A Bíróság joggyakorlata szerint az a személy vesz részt az adatkezelés eszközeinek meghatározásában, aki, vagy amely meghatározó módon befolyásolja a személyes adatok gyűjtését és továbbítását, illetve aki vagy amely a tevékenységeinek irányítási, vagy reklámozási céljai alapján történő beállításai révén befolyásolja az ilyen adatok kezelését.[5] Így amikor egy üzemeltető az érintett címzettek függvényében határozza meg az esetlegesen személyes adatokat tartalmazó hirdetések terjesztési beállításait, akkor meghatározza a terjesztés megjelenítését, időtartamát, illetve a közzétett információkat strukturáló címsorokat, ezért részt vesz az érintett személyes adatok közzétételére vonatkozó alapvető eszközök meghatározásában.
A fentiekre tekintettel az Európai Unió Bírósága megállapította, hogy az online piactér üzemeltetője is adatkezelőnek minősül a hirdetésben szereplő személyes adatok vonatkozásában.
Ezt követően a Bíróság azt a kérdést vizsgálta, hogy az üzemeltetőnek van-e olyan, a GDPR rendeletből levezethető kötelezettsége, hogy az általa közzétett hirdetések vonatkozásában ellenőrizze azt, hogy hirdetésben szerepelnek-e különleges adatok, vagy azt, hogy az ilyen hirdetések vonatkozásában a hirdető és a hirdetésben szereplő személy(ek) azonosak-e egymással.
Abban a kérdésben, hogy az üzemeltetőnek kötelessége-e vizsgálni azt, hogy a hirdetés tartalmaz-e különleges kategóriájú személyes adatokat vagy sem, a Bíróság az integritás és bizalmas jelleg elvéből, valamint az elszámoltathatóság elvéből indul ki. Az integritás és bizalmas jelleg elve alapján a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve. Az ezen alapelv szerint fennálló kötelezettséget a GDPR 24. cikke pontosítja, amely szerint az adatkezelőnek az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint az adatkezelés természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatát figyelembevéve kell meghatározni, hogy mi minősül megfelelő technikai és szervezési intézkedésnek.
Ezen rendelkezések alapján tehát a megfelelő technikai és szervezési intézkedéseket mindig az adott adatkezelési művelet konkrét körülményeinek függvényében kell meghatározni, így az adatkezelő ezen kötelezettségének csak abban az esetben képes maradéktalanul eleget tenni, ha ismeri az adatkezelés során birtokába kerülő adatok természetét (a különleges adatok megsértése ugyanis különösen súlyos beavatkozást jelenthet a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogba, így nagyobb fokú védelme lehet indokolt). A fentiek alapján a Bíróság megállapította, hogy abban az esetben, ha az online piactér üzemeltetője tudja, illetve tudnia kellene, hogy általában véve a hirdetők az online piacterén a GDPR 9. cikke szerinti különleges adatokat tartalmazó hirdetéseket tehetnek közzé, akkor az üzemeltető, mint adatkezelő, köteles a szolgáltatása megtervezésétől kezdve megfelelő technikai és szervezési intézkedéseket bevezetni abból a célból, hogy az ilyen hirdetéseket még a közzétételük előtt azonosítsa, és így képes legyen ellenőrizni, hogy az azokban szereplő különleges adatokat a GDPR II. fejezetében foglalt elveknek megfelelően teszik‑e közzé.
A Bíróság ezen felül – és ezzel összefüggésben is – vizsgálta azt is, hogy az üzemeltetőnek kötelessége-e ellenőrizni azt, hogy a hirdető személye és a hirdetésben szereplő személyek azonosak-e vagy sem. Ennek ellenőrzéséhez először a platform üzemeltetőjének azt kell megállapítania, hogy a hirdetés tartalmaz-e különleges kategóriájú személyes adatot. A GDPR 9. cikk (1) bekezdése alapján a különleges kategóriájú személyes adatok kezelése – főszabályként – tilos. Mindazonáltal, a GDPR 9. cikk (2) bekezdése meghatároz olyan kivételes esetköröket, amelyek fennállása esetén a különleges adatok kezelésére is sor kerülhet. Az egyik ilyen eset az, ha az adott személy – érintett – a különleges kategóriájú személyes adatainak kezeléséhez kifejezett hozzájárulását adta. Bár a kialakult joggyakorlat az adott hirdetés közzétételét a különleges adatok kezeléséhez adott, GDPR 9. cikk (2) bek. a) pontja szerinti kifejezett hozzájárulásnak tekinti, az üzemeltetőnek feltétlenül szükséges ellenőrizni azt, hogy az adott hozzájárulás valóban az érintettől származik-e vagy sem.
Abban az esetben, ha az adott hirdetés közzétételét nem maga az érintett kéri, úgy a Bíróság ítélete alapján a hirdetés közzétételét kérő személy a platform üzemeltetőjével közös adatkezelőnek fog minősülni. Ebben az esetben az adatkezelőnek a GDPR 13. cikk (1) bek. a) pontja vagy a GDPR 14. cikk (1) bek. a) pontja alapján tájékoztatnia kell az érintettet az adatkezelők kilétéről és elérhetőségeiről, valamint, mint közös adatkezelőknek, közös adatkezelői megállapodást kell kötniük egymással, ami lehetetlennek bizonyulna, ha az egyik adatkezelő névtelen maradhatna a másikkal szemben. Így tehát a platform üzemeltetője – a jogszerű adatkezelés biztosítása érdekében – köteles ellenőrizni, hogy a különleges kategóriájú személyes adatot tartalmazó hirdetések feladója és az abban szereplő személy egymással azonos-e vagy sem.
A Bíróság ítéletében leszögezte azt is, hogy az üzemeltető a különleges adatot tartalmazó hirdetéssel kapcsolatosan (tekintettel az ilyen adatok érzékeny természetére) köteles megtenni minden olyan – a műszaki ismeretek jelenlegi állása szerint rendelkezésre álló – technikai intézkedést, amely alkalmas az online tartalom másolásának és többszörözésének megakadályozására. Ellenkező esetben, a másolás és többszörözés eredményeként, az érintett a törléshez való jogát nem tudná hatékonyan gyakorolni.
Végezetül, az Európai Unió Bírósága a GDPR és az E-kereskedelmi irányelv viszonyát vizsgálta. Az E-kereskedelmi irányelv – annak idején hatályban lévő – 14. cikke ugyanis előírta, hogy a tagállamoknak kötelessége előírni azt, hogy a tárhelyszolgáltatót ne terhelje felelősség a tárhelyszolgáltatás igénybevevőjének kérésére tárolt információért, azzal a feltétellel, hogy:
- a tárhelyszolgáltatónak nincsen tényleges tudomása a jogellenes tevékenységről vagy információról, és – ami a kárigényeket illeti – nincsen tudomása olyan tényekről vagy körülményekről, amelyek nyilvánvalóan jogellenes tevékenységre vagy információra utalnának; vagy
- a tárhelyszolgáltató, amint ilyenről tudomást szerzett, haladéktalanul intézkedik az információ eltávolításáról, vagy az ahhoz való hozzáférés megszüntetéséről.
Az E-kereskedelmi irányelv 14. cikke alapján tehát az online piactér üzemeltetőjének felelőssége – amennyiben az E-kereskedelmi irányelv szerinti tárhelyszolgáltatónak minősül – kizárható lett volna.
Erre tekintettel az Unió Bíróság vizsgálta a két uniós jogi aktus között kapcsolatot is, és megállapította, hogy az online piactér üzemeltetője – mint az online piacterén közzétett hirdetésekben szereplő személyes adatok kezelője – nem hivatkozhat a GDPR rendelkezéseinek megsértésével szemben az E-kereskedelmi irányelvben rögzített, felelősség alóli menteségre vonatkozó szabályokra.
A cikk szerzője dr. Pozsonyi Edvin, ügyvéd.
Kapcsolat
