Az ügy azzal indult, hogy a német Wirtschaftsakademie Schleswig-Holsteinnek a Facebookon van egy rajongói oldala. A rajongói oldalak adminisztrátorai, így a Wirtschaftsakademie is, ezen oldalak látogatóira vonatkozó anonim statisztikai adatokhoz juthatnak a Facebook által ingyenesen és nem módosítható felhasználási feltételek mellett a rendelkezésükre bocsátott Facebook Insights elnevezésű eszköz révén.
Ezen adatokat olyan, két évig működőképes és a Facebook által a rajongói oldal látogatói számítógépének merevlemezére vagy más eszközére mentett információcsomagok (cookie vagy süti) segítségével gyűjtik, amelyek mindegyike egyedi felhasználói azonosítót tartalmaz. Ezen azonosítót, amely összefüggésbe hozható a Facebookon regisztrált felhasználó bejelentkezési adataival, a rajongói oldalak megnyitásának pillanatában gyűjtik be és kezelik.
A Schleswig Holstein-i adatvédelmi hatóság 2011. november 3-i határozatával rajongói oldalának felfüggesztésére kötelezte a Wirtschaftsakademiet, mondván sem az akadémia, sem a Facebook sem tájékoztatta a rajongói oldal látogatóit arról, hogy cookie-k segítségével gyűjtött rájuk vonatkozó személyes adatokat, valamint ezt követően kezelték ezen információkat.
Perre ment az akadémia
A Wirtschaftsakademie perre ment a határozat ellen, arra hivatkozva, hogy a személyes adatok Facebook általi kezelése nem tudható be neki, és általa ellenőrzött vagy befolyásolható adatkezeléssel sem bízta meg a Facebookot - azaz a hatóságnak közvetlenül a Facebookkal szemben kellett volna fellépnie. Majd az ügyben a német szövetségi közigazgatási bíróság a 95/46-os számú uniós adatvédelmi irányelv értelmezését kérte az Európai Bíróságtól.
A ma kihirdetett ítéletében az EB megállapította, hogy az ügyben a Facebookot, az EU-ban pedig annak ír leányvállalatát, a Facebook Irelandet kell a Facebook-használók, valamint a Facebookon fenntartott rajongói oldalakat korábban meglátogató személyek személyes adatai kezelőjének tekinteni. Azt is kimondta viszont, hogy a Wirtschaftsakademiehez hasonló adminisztrátort a Facebook Irelanddel együttesen kell a kérdéses adatok kezeléséért felelős személynek minősíteni az EU-ban.
Ráadásul az EB azt is kimondta, hogy a német adatvédelmi hatóságnak kiterjed a hatásköre arra, hogy ne csak a Wirtschaftsakademievel szemben, hanem a Facebook Germany-val szemben is eljárjon.
Ha ugyanis egy, az EU-n kívül letelepedett vállalkozás különböző tagállamokban több telephellyel rendelkezik, valamely tagállam felügyelő hatósága még akkor is gyakorolhatja az uniós irányelv értelmében ráruházott jogosultságokat a letelepedett szervezettel szemben, ha a vállalatcsoporton belüli feladatmegosztás alapján egyfelől e szervezet (a jelen ügyben a Facebook Germany) a szóban forgó tagállam területén kizárólag a hirdetési felületek értékesítéséért és más marketingtevékenységekért felel, másfelől a személyes adatok gyűjtésének és kezelésének kizárólagos felelőssége az EU egész területén egy másik tagállamban letelepedett szervezetre (a jelen ügyben Facebook Irelandre) hárul.
Ez azzal a következménnyel is jár, hogy a német hatóság az ír felügyelő hatóságától függetlenül értékelheti az adatkezelés jogszerűségét, és a területén letelepedett szervezettel szemben anélkül gyakorolhatja beavatkozási jogköreit, hogy e másik tagállam felügyelő hatóságát előzetesen beavatkozásra hívná fel.
Kép forrása: Pixabay