Korábbi cikkünkben foglalkoztunk már azzal, hogy egyes Facebook szolgáltatások igénybevétele esetén a Facebook-oldalak üzemeltetői adatkezelőnek minősülnek – ami nem minden esetben tudatosul bennük. Az Európai Unió Bírósága újabb ítélete a honlapok üzemeltetői számára tartalmaz fontos megállapításokat.
Manapság egyre ritkábban találkozni olyan weblappal, amely ne lenne összekapcsolódva a legnagyobb közösségi oldallal. A legtöbb üzemeltető él a lehetőséggel, hogy látogatók közvetlenül a honlapon keresztül kedvelhessék az adott weblap Facebook-oldalát, vagy megoszthassák az oldalon található tartalmakat egyetlen kattintással.
A konkrét ügy a Fashion ID GmbH & Co, egy németországi online ruházati áruház tevékenységét érintette, aki honlapján elhelyezte a Facebook „Tetszik” gombját. Ez azt eredményezte, hogy az oldal látogatóinak személyes adatai a Facebook részére továbbításra kerültek – függetlenül attól, hogy a „Tetszik” gombra kattintanak-e. Továbbá, a folytatott gyakorlattal az üzemeltető a tájékoztatási kötelezettségének sem tett eleget, mivel az adattovábbítás az érintettek tudta nélkül történt.
A Verbraucherzentrale NRW közhasznú fogyasztói érdekvédelmi egyesület által a társaság ellen indított perben a düsseldorfi regionális felsőbíróság az Európai Unió Bíróságához fordult a GDPR értelmezése iránt.
A Bíróság ítéletében megállapította, hogy a cég a Facebook Irelanddel közös adatkezelőnek minősíthető a GDPR alapján a szóban forgó személyes adatok gyűjtésére és a Facebook Ireland részére történő továbbítás általi közlésére irányuló műveletek tekintetében, amennyiben megállapítható, hogy a Fashion ID és a Facebook Ireland együttesen határozza meg ezek céljait és módját.
A Bíróság kifejtette, hogy az ilyen módon közös adatkezelőnek minősülő honlap-üzemeltetőnek már az adatgyűjtés időpontjában a honlaplátogatók rendelkezésére kell bocsátania bizonyos – például a kilétére és az adatkezelés céljára vonatkozó – információkat.
A vizsgált tevékenységgel kapcsolatban a Bíróság kifejtette továbbá, hogy a honlap-üzemeltetőnek a hozzájárulást (kizárólag) azon műveletek tekintetében kell előzetesen beszereznie, amelyekért (együttesen) felel, vagyis az adatok gyűjtése és továbbítása tekintetében.
Továbbá a Bíróság kifejtette, hogy ha pedig az adatkezelés jogos érdek érvényesítéséhez szükséges, a mindkét (társ)adatkezelő esetében, nevezetesen a honlap-üzemeltető és a közösségimodul-szolgáltató esetében is fenn kell állnia a személyes adatok gyűjtése és továbbítása tekintetében a jogos érdeknek ahhoz, hogy arra tekintettel jogszerűnek lehessen minősíteni e műveleteket.