Számonkérheti a versenyhatóság a GDPR megsértését?

Az EUB döntése értelmében a versenyhatóság köteles a vizsgálata során megkeresni az adatvédelmi hatóságot, azonban válasz hiányában megállapíthatja a GDPR megsértését, ha ez a versenyjogi felelősség megállapítása érdekében szükséges.

1. Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

A Meta Platforms Ireland működteti az Európai Unióban a facebook.com online közösségi hálózatot, amelynek szolgáltatásai ingyenesek a magánfelhasználók számára. A Meta‑csoport egyéb vállalkozásai további online szolgáltatásokat is kínálnak az Európai Unióban, köztük az Instagram, a WhatsApp, az Oculus és – 2020. március 13‑ig – a Masqurade szolgáltatásokat.

A Facebook üzleti modellje az online hirdetésekből történő finanszírozáson alapul, amelyeket a közösségi hálózat egyéni felhasználóira szabnak többek között fogyasztási szokásaik, érdeklődési körük, vásárlóerejük és élethelyzetük alapján. Az ilyen hirdetéseket technikailag a hálózat felhasználói igen részletes profiljának automatikus létrehozása és a Meta‑csoport szintjén kínált online szolgáltatások teszik lehetővé. E célból azon adatokon kívül, amelyeket e felhasználók közvetlenül az érintett online szolgáltatásokra való feliratkozásuk során maguk adnak meg a Facebookon és a Meta‑csoport által nyújtott online szolgáltatásokon belül és azokon kívül az említett felhasználókra és eszközeikre vonatkozó egyéb adatokat is gyűjtenek, és azokat összekapcsolják a különböző felhasználói fiókjaikkal. Az ezen adatok által alkotott átfogó kép alapján részletes következtetések vonhatók le a felhasználók preferenciáira és érdeklődési körére vonatkozóan.

A személyes adatok kezelése tekintetében a Meta Platforms Ireland arra a felhasználási szerződésre támaszkodik, amelyhez a Facebook közösségi hálózat felhasználói a „feliratkozás” gombra való kattintással csatlakoznak, és amellyel e felhasználók elfogadják az említett társaság által meghatározott általános feltételeket. A Facebook közösségi hálózat használatához el kell fogadni e feltételeket. A személyes adatok kezelését illetően az általános feltételek az említett társaság által meghatározott adatkezelési szabályzatra és cookie‑szabályzatra utalnak. Ez utóbbiak értelmében a Meta Platforms Ireland a felhasználókkal és a készülékekkel kapcsolatos, a felhasználóknak a közösségi hálózaton belüli és kívüli tevékenységére vonatkozó adatokat gyűjt, és ezeket az adatokat összekapcsolja az érintett felhasználók Facebook‑fiókjaival. Ami ez utóbbi, a közösségi hálózaton kívüli tevékenységekre vonatkozó adatokat (a továbbiakban szintén: off Facebook adatok) illeti, egyrészt a Facebookkal programinterfészeken – a „Facebook Business Tool”‑on – keresztül összekapcsolt harmadik weboldalak és alkalmazások megtekintésére vonatkozó adatokról, másrészt pedig a Meta‑csoporthoz tartozó egyéb online szolgáltatások, használatára vonatkozó adatokról van szó.

A német szövetségi versenyhatóság (Bundeskartellamt) eljárást indított a Meta Platforms, a Meta Platforms Ireland és a Facebook Deutschland ellen, amelynek eredményeként lényegében megtiltotta számukra, hogy az általános feltételekben a Facebook közösségi hálózat Németországban lakóhellyel rendelkező magánfelhasználók általi használatát az off Facebook‑adataik kezelésétől tegyék függővé, és hozzájárulásuk nélkül kezeljék ezen adatokat az akkor hatályos általános feltételek alapján. Ezenkívül arra kötelezte őket, hogy módosítsák az általános feltételeket oly módon, hogy azokból egyértelműen kitűnjön, hogy az említett adatokat nem gyűjtik, nem hozzák összefüggésbe a Facebook felhasználói fiókokkal, és nem használják fel az érintett felhasználó hozzájárulása nélkül, továbbá a Bundeskartellamt szerint az ilyen hozzájárulás nem érvényes, ha az a közösségi hálózat használatának feltételeként írják azt elő.

A Bundeskartellamt azzal indokolta határozatát, hogy az érintett felhasználók adatainak az általános feltételekben előírt és a Meta Platforms Ireland által végzett kezelésével a társaság a németországi magánfelhasználóknak szánt közösségi hálózatok piacán fennálló erőfölényét visszaélésszerűen használta. Közelebbről, a szövetségi versenyhatóság szerint ezen általános feltételek – mint az említett erőfölény megnyilvánulásai – visszaélésszerűek, mivel az off Facebook‑adatok e feltételekben előírt kezelése nem felel meg a GDPR rendelet 6. cikk (1) bekezdésének és 9. cikk (2) bekezdésének.

A Meta Platforms Ireland ezt követően új általános feltételeket vezetett be, amelyek kifejezetten kimondták, hogy a felhasználó a Facebook‑termékek használatáért történő fizetés helyett hozzájárul a hirdetések megjelenítéséhez. Ezenkívül 2020. január 28. óta a Meta Platforms világszinten kínálja az „Off‑Facebook‑Activity”‑t, amely lehetővé teszi a Facebook közösségi hálózat felhasználói számára, hogy összefoglalót kapjanak a rájuk vonatkozó azon információkról, amelyeket a Meta‑csoporthoz tartozó társaságok a más weboldalakon és alkalmazásokon végzett tevékenységükkel kapcsolatban szereznek meg, és ha úgy kívánják, ezen adatokat mind a múltra, mind a jövőre nézve elválasszák a Facebook.com fiókjuktól.

A Meta a Bundeskartellamt döntésével szemben az Oberlandesgericht Düsseldorfhoz (düsseldorfi regionális felsőbíróság) fordult, amely úgy ítélte meg, hogy az Európai Unió Bíróságához fordul előzetes döntéshozatalért.

2. Az EUB döntése

Az EUB szerint a GDPR rendelet 51. és azt követő cikkeit, valamint az EUSZ 4. cikk (3) bekezdését akként kell értelmezni, hogy a tagállami versenyhatóság – feltéve, hogy tiszteletben tartja a felügyeleti hatóságokkal való lojális együttműködésre vonatkozó kötelezettségét – valamely vállalkozás EUMSZ 102. cikk értelmében vett erőfölénnyel való visszaélésének vizsgálata keretében megállapíthatja, hogy e vállalkozásnak a személyes adatok kezelésére vonatkozó általános felhasználási feltételei és azok alkalmazása nem felel meg a fenti rendeletnek, amennyiben e megállapítás szükséges az ilyen visszaélés fennállásának bizonyításához.

A lojális együttműködés e kötelezettségére tekintettel a nemzeti versenyhatóság nem térhet el az illetékes nemzeti felügyeleti hatóság vagy az illetékes fő felügyeleti hatóság ezen általános feltételekre vagy hasonló általános feltételekre vonatkozó határozatától. Amennyiben a versenyhatóságnak kétségei támadnak az ilyen határozat hatályát illetően, amennyiben az említett feltételeket vagy hasonló feltételeket e hatóságok egyidejűleg vizsgálják, vagy ha az említett hatóságok által végzett vizsgálat vagy az általuk hozott határozat hiányában a versenyhatóság úgy ítéli meg, hogy a szóban forgó feltételek nem felelnek meg a GDPR-nak, akkor a versenyhatóságnak konzultálnia kell az adatvédelmi felügyeleti hatóságokkal, és kérnie kell azok együttműködését annak érdekében, hogy eloszlassa kétségeit, vagy eldöntse, hogy meg kell‑e várnia, hogy a saját értékelésének megkezdése előtt az adatvédelmi hatóságok határozatot hozzanak. Amennyiben az adatvédelmi hatóságok nem emelnek kifogást vagy észszerű határidőn belül nem adnak választ, a nemzeti versenyhatóság folytathatja saját vizsgálatát.

A GDPR rendelet 9. cikkének (1) bekezdését akként kell értelmezni, hogy abban az esetben, ha az online közösségi hálózat felhasználója az e rendelkezésben említett egy vagy több adatkategóriával kapcsolatos weboldalakat vagy alkalmazásokat nyit meg, és adott esetben feliratkozás vagy online megrendelések során ott adatokat ad meg, az ezen online közösségi hálózat üzemeltetője általi személyesadat‑kezelés, amely abból áll, hogy integrált interfészek, cookie‑k vagy hasonló adatrögzítési technológiák segítségével gyűjtik a weboldalak és ezen alkalmazások megnyitásából származó adatokat, valamint a felhasználó által bevitt adatokat, továbbá ezen adatok összességének a felhasználó közösségi hálózati fiókjával való összekapcsolásából, továbbá az említett adatoknak e gazdasági szereplő általi felhasználásából, az említett rendelkezés értelmében vett „személyes adatok különleges kategóriáira vonatkozó adatkezelésnek” kell tekinteni, amely főszabály szerint – az említett 9. cikk (2) bekezdésében foglalt eltérési lehetőségek mellett – tilos, ha ezen adatkezelés az e kategóriák valamelyikébe tartozó információra utalhat, függetlenül attól, hogy ezen információk e hálózat valamely felhasználójára vagy bármely más természetes személyre vonatkoznak.

A GDPR rendelet 9. cikke (2) bekezdésének e) pontja alapján amennyiben valamely online közösségi hálózat felhasználója olyan weboldalakat vagy alkalmazásokat nyit meg, amelyek a GDPR rendelet 9. cikkének (1) bekezdésében említett egy vagy több adatkategóriával kapcsolatos információkra utalhatnak, nem tekinthető úgy, hogy a felhasználó a cookie‑k vagy hasonló adatrögzítési technológiák révén gyűjtött adatokat nyilvánosságra hozza.

Amennyiben ilyen weboldalakon vagy ilyen alkalmazásokban adatokat visz be, vagy ha az e weboldalakba és alkalmazásokba beépített olyan kiválasztási gombokra kattint mint például a „tetszik”, a „megosztás”, vagy azon gombok, amelyek lehetővé teszik a felhasználó számára, hogy magát ezen oldalakon vagy alkalmazásokban a közösségi hálózat felhasználói fiókjához kapcsolódó csatlakozási azonosítók, a telefonszáma vagy az e‑mail‑címe használatával azonosítsa, az ilyen felhasználó csak abban az esetben hozza e 9. cikk (2) bekezdésének e) pontja értelmében kifejezetten nyilvánosságra az így bevitt vagy az e gombokra való kattintásból származó adatokat, ha előzetesen – adott esetben a tények teljes ismeretében végzett egyéni beállítás alapján – kifejezetten kinyilvánította azon döntését, hogy a rá vonatkozó adatokat korlátlan számú személy számára nyilvánosan hozzáférhetővé teszi.

A GDPR rendelet 6. cikk (1) bekezdése első albekezdésének b) pontja szerint az EUB úgy ítélte meg, hogy az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói a Meta csoport más szolgáltatásaiból, vagy harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származó adatok gyűjtéséből, továbbá a felhasználók közösségi hálózati fiókjával való összekapcsolásából és az említett adatok felhasználásából ered, csak azzal a feltétellel tekinthető úgy, mint amely a fenti rendelkezés értelmében véve olyan szerződés teljesítéséhez szükséges, amelynek az érintettek szerződő felei (szerződéses jogalap), hogy ezen adatkezelés objektíve elengedhetetlen az ugyanezen felhasználóknak nyújtott szerződéses szolgáltatás szerves részét képező cél megvalósításához, és ezért a szerződés fő célja ezen adatkezelés hiányában nem érhető el.

A GDPR rendelet 6. cikk (1) bekezdése első albekezdés f) pontját úgy kell értelmezni, hogy az ilyen hálózat felhasználói a Meta csoport más szolgáltatásaiból, vagy harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származó adatok gyűjtéséből, továbbá a felhasználók közösségi hálózati fiókjával való összekapcsolásából és az említett adatok felhasználásából ered, vagy valamely harmadik személy által e rendelkezés értelmében vett jogos érdekek érvényesítéséhez szükségesnek (jogos érdeken alapuló adatkezelés), hogy az említett gazdasági szereplő jelezte azon felhasználóknak, akiktől az adatokat gyűjtötték, hogy erre az adatkezelésre az adatkezeléshez feltétlenül szükséges határokon belül kerül sor, és hogy az ellentétes érdekeknek az összes releváns körülményre tekintettel történő mérlegeléséből kitűnik, hogy e felhasználók érdekei vagy alapvető jogai és szabadságai nem élveznek elsőbbséget az adatkezelő vagy valamely harmadik fél fent említett jogos érdekével szemben.

A GDPR rendelet 6. cikk (1) bekezdésének c) pontja alapján az EUB megállapította, hogy az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói a Meta csoport más szolgáltatásaiból, vagy harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származó adatok gyűjtéséből, továbbá a felhasználók közösségi hálózati fiókjával való összekapcsolásából és az említett adatok felhasználásából ered, e rendelkezés értelmében akkor igazolt, ha az ténylegesen az uniós jog vagy az érintett tagállam joga alapján az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (jogszabályon alapuló adatkezelés), e jogalap közérdekű célt szolgál, és arányos az elérni kívánt jogszerű céllal, valamint ezen adatkezelésre a feltétlenül szükséges határokon belül kerül sor.

A GDPR rendelet 6. cikk (1) bekezdése első albekezdésének d) és e) pontját a következőképpen kell értelmezni az EUB szerint: az online közösségi hálózat üzemeltetője által végzett személyesadat‑kezelés, amely az ilyen hálózat felhasználói a Meta csoport más szolgáltatásaiból, vagy harmadik weboldalak vagy alkalmazások e felhasználók általi megnyitásából származó adatok gyűjtéséből, továbbá a felhasználók közösségi hálózati fiókjával való összekapcsolásából és az említett adatok felhasználásából ered, – főszabály szerint – nem tekinthető szükségesnek a d) pont értelmében véve az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt, illetve az e) pont értelmében véve közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány (közérdekű adatkezelés) gyakorlásának keretében végzett feladat végrehajtásához.

Az EUB a GDPR rendelet 6. cikk (1) bekezdés a) pontja és 9. cikke (2) bekezdés a) pontja alapján kimondta, hogy azon körülmény, hogy valamely online közösségi hálózat üzemeltetője erőfölényben van az online közösségi hálózatok piacán, önmagában nem zárja ki, hogy az ilyen hálózat felhasználói a GDPR rendelet 4. cikk 11. pontjának értelmében véve érvényesen hozzájárulhassanak a személyes adataik ezen üzemeltető általi kezeléséhez. E körülmény azonban fontos tényezőnek minősül annak meghatározása szempontjából, hogy a hozzájárulást ténylegesen érvényesen, és különösen szabadon adták‑e meg, amit az említett üzemeltetőnek kell bizonyítania.

 (curia.europa.eu)