Közösen felelnek az adatbiztonságért a rajongói oldalak kezelői és a Facebook

A Wirtschaftsakademie – egy oktatási tevékenységet végző német társaság – anonim statisztikai adatokra tehetett szert a Facebook Insights nevű eszközön keresztül, a rajongói oldalát meglátogató felhasználókra vonatkozóan. Ez az eszköz ún. cookie-kat (sütiket, azaz információcsomagokat) helyez el a regisztrált felhasználük számítógépére vagy merevlemezére a rajongói oldal megnyitásának pillanatában. Ezen cookie-k mindgyike egyedi azonosítót tartalmaz, amely összekapcsolható a Facebookon regisztrált felhasználó bejelentkezési adataival, és mint ilyen, személyes adatnak minősül.

Az Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Schleswig Holstein-i független német regionális adatvédelmi hatóság, a továbbiakban: „Hatóság”) felügyeleti jogkörében 2011-ben rajongói oldalának felfüggesztésére kötelezte a Wirtschaftsakademie-t. A Hatóság nehezményezte, hogy sem a Facebook, sem pedig a Wirtschaftsakademie (utóbbi mint az oldal adminisztrátora) nem tájékoztatta a felhasználókat arról, hogy cookie-k segítségével gyűjtenek róluk személyes adatokat.

A Wirtschaftsakademie keresetet nyújtott be a határozat ellen az illetékes német közigazgatási bíróságnál, és azzal érvelt, hogy a személyes adatok Facebook általi kezeléséért ő nem tehető felelőssé, a Hatóságnak közvetlenül a Facebook ellen kellett volna fellépnie.

A tényállással kapcsolatban a német szövetségi közigazgatási bíróság a 95/46 adatvédelmi irányelv értelmezését kérte az Európai Bíróságtól, amely az ügyben az alábbiak szerint határozott:

1. A jelen ügyben az amerikai Facebook-ot és annak ír leányvállalatát, a Facebook Irelandot egyértelműen adatkezelőnek kell tekinteni, mivel azok határozzák meg elsődlegesen a rajongói oldalakat meglátogató felhasználók személyes adatai kezelésének céljait. Nem elhanyagolható azonban a rajongói oldal adminisztrátorának felelőssége, mivel a rajongói oldal adminisztrátora az oldal beállítási tevékenységek beállításával részt vesz a személyes adatok kezelése céljainak meghatározásában, ezért a rajongói oldal adminisztrátorát a Facebookkal együttes felelősség terheli a személyes adatok kezeléséért.
2. Az Európai Bíróság megállapította továbbá azt is, hogy a Hatóság hatásköre nem csak a Wirtschaftsakademie-re, hanem a Facebook Germany-re is kiterjed. Mivel a Facebook mint unión kívüli székhelyű cég különböző tagállamokban több telephellyel rendelkezik, a német hatóság még akkor is gyakorolhatja a 95/46 irányelv értelmében ráruházott jogosultságokat a Németország területén letelepedett Facebook szervezettel szemben, ha egyébként a vállalatcsoporton belül a Facebook Germany Németország területén kizárólag a hirdetési felületek értékesítéséért és más marketingtevékenységekért felel, és a személyes adatok gyűjtésének és kezelésének kizárólagos felelőssége egy másik tagállamban letelepedett Facebook szervezetre (a Facebook Irelandre) hárul.
3. Kimondta továbbá az Európai Bíróság, hogy amennyiben a Hatóság a személyes adatok védelmére vonatkozó szabályoknak az ezen adatok kezeléséért felelős és egy másik tagállamban székhellyel rendelkező Facebook Ireland általi megsértése miatt a Németország területén letelepedett szervezettel, azaz a Wirtschaftsakademie-vel szemben kívánja gyakorolni a beavatkozási jogköreit, a hatásköre kiterjed arra, hogy Írország felügyelő hatóságától függetlenül értékelje az ilyen adatkezelés jogszerűségét, és a Wirtschaftsakademie-vel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy Írország felügyelő hatóságát előzetesen beavatkozásra hívná fel.

Az Európai Bíróság döntésében foglaltak irányadóak az ilyen jellegű adatkezelésekre és figyelemmel a 2016/679 rendelet (általános adatvédelmi rendelet) közelmúltban történő hatálybalépésére minden adatkezelő részére javasolt a jogszerű adatkezelés feltételeire kiemelt figyelmet fordítani és a közös adatkezelések esetén a felelősségi kérdéseket előre szerződésben rendezni az adatkezelők között.