Egy friss ügy kapcsán az Európai Unió Bírósága (EUB) egyértelművé tette, hogy egy online közösségi hálózat, mint például a Facebook, nem kezelheti a felhasználók személyes adatait korlátlanul és megkülönböztetés nélkül, még akkor sem, ha a cél célzott hirdetések megjelenítése.
Az ügy előzményei
Az osztrák bíróságok elé került ügyben Maximilian Schrems azt állította, hogy a Meta Platforms Ireland (a Facebook üzemeltetője) jogellenesen kezeli az ő személyes adatait. A panasz szerint a Facebook a felhasználók, köztük Schrems, tevékenységeiről szóló adatokat gyűjti össze nemcsak a közösségi platformon belül, hanem azon kívül is, például harmadik felek weboldalain és alkalmazásaiban.
Ezek az adatok az úgynevezett „cookie”-k, „social plug-in”-ek és „pixelek” révén kerülnek gyűjtésre, amely technológiák lehetővé teszik, hogy a Meta érzékeny témák iránti érdeklődést is azonosítson, például Schrems szexuális irányultságára vonatkozóan.
A vita középpontjában az állt, hogy Schrems egy nyilvános panelbeszélgetésen említést tett homoszexualitásáról. A Meta azt állította, hogy ezzel Schrems „nyilvánosan hozzáférhetővé tette” ezen adatot, és így jogosulttá vált a további kapcsolódó adatok feldolgozására a GDPR (általános adatvédelmi rendelet) alapján.
Az Európai Bíróság állásfoglalása
Az osztrák legfelsőbb bíróság az EUB-hoz fordult, hogy tisztázza a GDPR vonatkozó rendelkezéseit. Az EUB két kulcsfontosságú megállapítást tett:
1. Az adatminimalizálás elve és a célzott hirdetések
A GDPR által előírt adatminimalizálás elve szerint a Facebook nem gyűjtheti és nem elemezheti korlátlan ideig és megkülönböztetés nélkül a felhasználók személyes adatait célzott hirdetések céljából. Ez azt jelenti, hogy az összegyűjtött adatok feldolgozása nem történhet olyan módon, amely nem veszi figyelembe az adatok típusát és a gyűjtésük célját.
2. Nyilvános adatközlés korlátai
Az, hogy Schrems egy panelbeszélgetésen kijelentette szexuális irányultságát, nem jogosítja fel a Facebookot arra, hogy más forrásokból származó adatokat gyűjtsön és elemezzen ezzel kapcsolatban. Az EUB megállapította, hogy még ha Schrems „nyilvánosan hozzáférhetővé is tette” ezen adatot, ez nem jelenti azt, hogy a Meta harmadik felek weboldalairól származó további adatokat is feldolgozhat.
Mit jelent mindez a gyakorlatban?
Az ítélet megerősíti a GDPR adatvédelmi elveinek fontosságát és a személyes adatokkal való visszaélés elleni védelmet:
- Adatminimalizálás: A vállalatoknak csak olyan adatokat szabad gyűjteniük, amelyek feltétlenül szükségesek az adott cél eléréséhez.
- Nyilvános adatok feldolgozása: Ha egy személy nyilvánosan hozzáférhetővé tesz egy bizonyos adatot magáról, az nem jogosítja fel a cégeket arra, hogy további kapcsolódó adatokat dolgozzanak fel harmadik forrásokból.
Ügyfeleink számára javasolt lépések
Az ítélet világossá teszi, hogy az online platformokat üzemeltető vállalkozásoknak alaposan felül kell vizsgálniuk adatgyűjtési és adatkezelési gyakorlataikat.
- Adatvédelmi szabályzatok frissítése: Gondoskodni kell arról, hogy az adatkezelési eljárások összhangban legyenek az EUB által megerősített adatvédelmi elvekkel.
- Célzott hirdetések korlátozása: Az érzékeny adatok feldolgozása csak szigorúan meghatározott keretek között történhet.
- Adatvédelmi megfelelőség ellenőrzése: Az adatkezelési folyamatok rendszeres ellenőrzése biztosítja a szabályok betartását és csökkenti a jogi kockázatokat.
Amennyiben további kérdése van az ítélettel vagy az adatvédelemmel kapcsolatban, irodánk szakértői szívesen állnak rendelkezésére.