Két, nagyon fontos döntést is hozott az Európai Unió Bírósága a nyár folyamán a közös adatkezeléssel kapcsolatban. Mindkét esetben a 95/46 EK Irányelv (európai adatvédelmi irányelv) szerint értelmezte a bíróság a közös adatkezelést, azonban elvi jelentősége a két döntésnek túlmutat ezen és várhatóan a két ítéletben kifejtett szempontok mentén fog alakulni a jogértelmezés az általános adatvédelmi rendelet (GDPR) alatti érában is. A döntések jelentőségét növeli, hogy várhatóan a magyar adatvédelmi hatóság, a NAIH is ezek mentén fogja – a ténykérdésként kezelt – közös adatkezelői minőséget értelmezni.
Az adatkezelő az európai adatvédelmi jog központi fogalma, az személy, aki a személyes adatok kezelésének céljait és eszközeit meghatározza. Az adatkezelő meghatározása azon a megközelítésen alapul, hogy azonosításra kerüljön az a személy, aki az adatvédelmi kötelezettségekért, az adatkezelés jogszabályi megfeleléséért felelős.
“Közös adatkezelőnek” minősül, ha több személy közösen határozza meg, hogy miért és hogyan kell kezelni a személyes adatokat. A közös adatkezelőket egyetemleges felelősség terheli az érintettnek esetlegesen okozott károkért. A GDPR 26. cikk értelmében a közös adatkezelőknek megállapodást kell kötniük a fennálló felelősségeik, feladataik megoszlása tekintetében. E megállapodás lényegét közölni kell azon érintettekkel, akiknek személyes adatait kezelik.
A “közös adatkezelés” az 1992-es adatvédelmi törvény (Avtv.) hatálya alatt különösebb szerepet nem játszott, mivel az Avtv. nem ismerte ezt a fogalmat. Elsőként tehát a 2012. január 1. napja óta hatályos Információs önrendelkezési jogról és információszabadságról szóló törvény mondta ki az adatkezelő fogalom-meghatározásában a közös adatkezelés lehetőségét, ám a GDPR-hoz hasonló részletes szabályozást nem rögzített.
Az Európai Unió Bírósága az Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16) ügyben és a Tietosuojavaltuutettu v Jehovan todistajat (C-25/17) ügyben hozott döntést a “közös adatkezelés” értelmezéséről, jelentős vitát generálva ezzel szakmai körökben.
Az előbbi eset lényege szerint a Wirtschaftsakademie Schleswig-Holstein oktatással foglalkozó, németországi társaság, aki a Facebookon hozott létre egy rajongói oldalt, amely bárki számára nyilvánosan hozzáférhető az interneten. Mivel az oldalt a Facebook platformján üzemeltetik, a Facebook által kínált cookie-kal és egyéb technológiai megoldásokkal, így a Facebook által kínált adminisztrátori, analitikai szolgáltatásokhoz fért hozzá a Wirtschaftsakademie Schleswig-Holstein. A Wirtschaftsakademie a szolgáltatással kapcsolatosan nem fért hozzá érintett rajongók személyes adataihoz, mivel kizárólag statisztikai, aggregát adatokat kapott a Facebook-tól. A Wirtschaftsakademie arra hivatkozott, hogy ő maga nem adatkezelő, mivel kizárólag a Facebook kezeli a személyes adatokat.
Az utóbbi ügyben, Tietosuojavaltuutettu v Jehovan todistajat (C-25/17) esetben a Jehova Tanúi gyülekezetének tagjai gyűjtöttek személyes adatokat a meglátogatott családokról és rögzítették azokat az érintettek tudomása nélkül. Ezen listák alapján koordinálta a gyülekezet a tagjainak a látogatását, illetve ezen felül egy „fekete listát” is vezettek azokról, akik nem szerették volna, ha a jövőben felkeresik őket.
Mindkét esetben úgy döntött az Európai Unió Bírósága, hogy közös adatkezelésről van szó. Az első esetben az adatkezelő fogalmát a bíróság kiterjesztően értelmezte és kimondta, hogy a Wirtschaftsakademie Schleswig-Holstein GmbH és a Facebook Ireland Ltd. közös adatkezelők a rajongói weboldal üzemeltetésének vonatkozásában. Kimondta a bíróság, hogy a Facebook által felkínált platform létrehozásával és használatával a Wirtschaftsakademie Schleswig-Holstein GmbH lényegében a Facebookkal közösen döntött az adatkezelés eszközéről és céljáról, tehát arról, hogy a Facebook a rajongói oldal látogatóinak végfelhasználói berendezésére cookie-kat helyezhessen. A Wirtschaftsakademie meghatározhatta azokat a paramétereket (különösen a Facebook által rendelkezésre bocsátott filterek felhasználásával), melyek alapján a látogatókat reklámokkal targetálhatta, amely ezzel befolyásolta a személyes adatok analitikai célú kezelését a Facebook részéről. Ezen szempontok mérlegelésekor a bíróság figyelembe vette, hogy a használt platform mellett lehetősége volt az interneten bárkinek megtekintenie a Wirtschaftsakademie Schleswig-Holstein GmbH oldalát akár Facebook regisztráció nélkül is.
A másik esetben szintén nagyon fontos, elvi jelentőségű döntést hozott a bíróság. Kimondta, hogy egyrészről a látogató személyek adatkezelése nem esik a háztartási adatkezelési kivétel hatálya alá. Másrészről nagyon fontos, hogy a bíróság szerint abban az esetben is megállapítható a vallási gyülekezet és a látogatók közös adatkezelői minősége, ha az adatkezelő vallási gyülekezet nem fér hozzá – közvetlenül – a személyes adatokhoz, vagy nem adott közvetlen, írásos utasítást vagy útmutatást az adatok gyűjtésére. Önmagában a vallási gyülekezet azon tevékenysége, hogy meghatározza a látogatandó területeket, ösztönzi és koordinálja a látogatókat, útmutatást ad nekik a gyűjtendő adatokról és meghatározza a látogatások célját és eszközeit, közös adatkezelővé minősíti a vallási gyülekezetet azok látogatóival együtt. Ez a minőség akkor is fennáll, ha a gyülekezet nem jut az adatok birtokába, illetve a látogató maga dönthet az adat felvételéről.
Az Európai Bíróság fent hivatkozott döntései tehát a “közös adatkezelés” tág értelmezése mellett foglalnak állást, és felveti azt a kérdést, hogy az ilyen többes adatkezelési helyzeteket és szerződéses kapcsolatokat miként minősítsük. Az elemzés legfontosabb kérdés ekkor, hogy ki határozza meg a célok és – legalább a lényeges elemek vonatkozásában – az adatkezelés eszközeit és melyik fél milyen szerepet játszik a személyes adatok kezelésében. Mint ahogy ezt az Európai Bíróság döntése is megerősíti, melyet a 29. cikk szerinti munkacsoport az „adatkezelő” és az „adatfeldolgozó” fogalmáról szóló 1/2010 számú véleménye is megerősített: “… egyrészt az adatokhoz való hozzáférés önmagában nem jár adatkezeléssel, az adatokhoz való hozzáférés nem elengedhetetlen feltétele az adatkezelői minőségnek. Így a többszereplős, összetett rendszerekben a személyes adatokhoz való hozzáférést és az érintettek egyéb jogait különböző szinteken különböző szereplők is biztosíthatják.” Az adatkezelő fogalom-meghatározásának ugyanis nem része az adatok birtoklása. Ezért nem lehet azzal érvelni, hogy a közös adatkezelők valamelyike nincs az adatok birtokában és nem fér hozzá az adatokhoz, ha az adatkezelés céljának és (vagy) eszközeinek meghatározásában mindkét fél részt vállal. Mint az Európai Unió Bírósága is megerősíti, a közös adatkezelők felelőssége nem feltétlenül ugyanaz az adatkezelésért. A különböző adatkezelők sok esetben különböző szakaszokban és különböző mértékben lehetnek felelősek a személyes adatok feldolgozásáért. Az adatvédelmi jogi szabályozás célja, hogy többes adatkezelési szituációkban is egyértelmű legyen az adatvédelmi szabályok betartásáért és az e szabályok esetleges megszegéséért való felelősséget, annak elkerülése érdekében, hogy ne csökkenjen a személyes adatok védelme a többes adatkezelés okán.
Összefoglalva, az alábbi feltételek fennállása mentén valószínű, hogy a”közös adatkezelés” megállapítható:
- közös informatikai rendszer vagy platform használata, különösen, ha ez bárki számára hozzáférhető és elérhető tartalmakat jelent, ahol adatgyűjtés, adatkezelés történik (pl. franchise rendszerben működő szervezetek, közösségi média oldalak)
- közös pool-ba történő adatgyűjtések, pl. egységes CRM rendszer vagy adatbázisok, vagy marketing szolgáltatások használata
- egységes célok mentén, koordinációhoz, tevékenységek összehangolásával történő adatgyűjtések.
A személyes adatokhoz való hozzáférés, a személyes adatok fizikai birtoklása egyik esetben sem feltétele a közös adatkezelői minőségnek.
A közös adatkezelői minőségnek számos következménye van a GDPR szerint a belső, adminisztrációs teendőktől az adatalanyi jogosultságok kezelésén, az adatvédelmi incidensekért való belső feladatmegosztáson át a viszonyrendszert szabályozó, szükséges közös adatkezelői megállapodás megkötéséig.
2018. márciusában a Düsseldorfer Kreis (DSK), a német adatvédelmi hatóságok grémiuma bocsátott ki részletes állásfoglalást erről. A DSK szerint
- a közös adatkezelői státusz nem privilegizált, azaz a közös adatkezelők egymás között külön-külön is (GDPR 4. cikk 9. ponta szerinti) címzetteknek minősülnek és önálló jogalappal kell rendelkezniük a személyes adatok egymás közötti továbbításához. Így ha a vonatkozó adatkezelés hozzájáruláson alapul, a hozzájárulásnak a közös adatkezelők közötti adattovábbítást is át kell fognia. Új közös adatkezelő csak akkor léphet be egy folyamatban levő adatkezelésbe, ha erre megfelelő jogalap van és erről az érintetteknek tájékoztatást adnak.
- a közös adatkezelést el kell határolni az adatfeldolgozói kapcsolattól. Nem beszélhetünk adatfeldolgozói kapcsolatról, ha az adatokat kezelő adatfeldolgozónak lehetősége van a célok és a lényeges eszközük meghatározásában, így egy kiszervezési kapcsolat a közös adatkezelés hatálya alá tartozhat, ha megállapíthatóak a közös célok és a lényeges eszközökről való döntés.
- a közös célok és a lényeges eszközökről való döntés akkor áll fenn, ha ez meghatározó és tényleges. Ha egy cél elérése a másik (közös) adatkezelő nélkül nem lehetséges, a közös adatkezelés fennáll. Nem szükséges azonban, hogy a felek mindegyike azonos mértékben működjön közre meghatározó módon az adatkezelésben és nem kell mindegyik félnek átfognia az adatkezelés minden lépését, mert lehetséges, hogy a felek például csak az adatok felvételében működnek együtt. E befolyás számos formát ölthet. A közös adatkezelés nem jelent azonos mértékű felelősséget. Azt, hogy felek az adatkezelés egyes mozzanatainál és mennyiben felelősek, a közös adatkezelői megállapodásnak kell átfognia.
- a tartalom számít és nem a forma, azaz nem számít, hogy a felek hogyan minősítik a kapcsolatukat, mivel a felek tényleges tevékenysége alapján szükséges minősíteni a felek kapcsolatát, hogy közös adatkezelőnek minősülnek-e. Ha közös adatkezelés áll fenn, a felek közös adatkezelői megállapodás nélkül is egyetemlegesen felelnek.
- A közös adatkezelők különös kötelezettségei közé tartozik egy transzparens megállapodás megkötése, melynek lényeges elemeiről az érintetteket tájékoztatni szükséges, ideértve az együttműködés körét és feltételeit és azt, hogy ki teljesíti az érintettek jogait, ki adja meg számukra az adatkezelési tájékoztatást. E megállapodás ellenére az érintettnek jogában áll bármelyik adatkezelőhöz fordulnia. Egy közös adatkezelői megállapodásnak az ilyen kérelmek kezelését is át kell fognia.
- Mindegyik fél az érintett irányába egyetemlegesen felel az adatkezelés okozta károkért. A felek egymás közötti felelőssége ettől eltérő lehet.
- A DSK felhívja a figyelmet adatvédelmi hatásvizsgálatokkal kapcsolatosan, hogy a közös adatkezelési szituációk magasabb kockázatot jelenthetnek az érintett jogaira és szabadságaira, ennél fogva vizsgálni kell a feleknek, hogy szükséges-e a GDPR 35. cikk szerinti adatvédelmi hatásvizsgálatot lefolytatni a közös adatkezelés vonatkozásában.
Összefoglalva, a közös adatkezelés szabályozási előzményekkel nem rendelkezett, 2018. május 25. napja óta a GDPR 26. cikke szabályozza és a korábbi szabályokhoz képest új kötelezettségeket jelent. Az EU Bíróság gyakorlata pedig megerősítette: tágan kell értelmezni azokat az eseteket, mikor egy többes adatkezelői kapcsolat a közös adatkezelés hatálya alá tartozik. Nincs ugyanis a köztudatban, hogy a személyes adatok birtoklása, az adatokhoz való hozzáférés hiányában is közös adatkezelő lehet valaki. Az adatfeldolgozói szerződések mellett tehát érdemes felülvizsgálni az adattovábbítási tárgyú és az olyan szolgáltatási szerződéseket (így a piackutatási, CRM / marketing, munkaerő-közvetítési, franchise és forgalmazási szerződéseket), melyek részeként egy szerződő partner személyes adatokat kezel, ám a megbízó nem feltétlenül fér hozzá a partner által kezelt személyes adatokhoz.
dr. Liber Ádám és dr. Bereczki Tamás