BREAKING: Az osztrák legfelsőbb bíróság megkérdezi az EUB-t, hogy a Facebook "aláássa" a GDPR-t azzal, hogy összekeveri a "hozzájárulást" egy állítólagos "szerződéssel".
A Max Schrems és a Facebook között régóta húzódó polgári perben az osztrák legfelsőbb bíróság (Oberster Gerichtshof, vagy "OGH") elfogadta Schrems úr kérelmét, hogy több kérdést terjesszen az Európai Unió Bírósága (CJEU, az EU legfelsőbb bírósága) elé. A négy kérdés alapvető kétségeket vet fel a Facebook valamennyi uniós ügyfél adatfelhasználásának jogszerűségével kapcsolatban.
Ezzel párhuzamosan az osztrák legfelsőbb bíróság egy részítéletben úgy döntött, hogy Schrems úr 500 euró jelképes érzelmi kártérítést kap, mivel a Facebook nem adott teljes hozzáférést Schrems úr adataihoz, hanem "tojásvadászatot" rendezett a felhasználói adatokra.
- Hivatkozás az EUB-ra, beleértve a kérdéseket (német eredeti nyelven)
- Az EUB elé utalás, a kérdésekkel együtt (angol fordítás)
- Katharine Raabe-Stuppnig ügyvédünk nyilatkozata
(1) Hivatkozás az EUB-ra:
Alapvető kérdés: "Hozzájárulás" vagy "szerződés"? Az osztrák Legfelsőbb Bíróságnak kétségei vannak azzal a jogalapdal kapcsolatban, amelyet a Facebook a felhasználói adatok szinte valamennyi feldolgozásához használ. A GDPR hat lehetőséget sorol fel a személyes adatok jogszerű feldolgozására, köztük a "hozzájárulást" és a "szerződést". A "szerződésre" csak akkor lehet hivatkozni, ha az adatkezelés a szerződés teljesítéséhez szükséges.
A GDPR előtt a Facebook azt állította, hogy a felhasználók "hozzájárultak" a személyre szabott hirdetések feldolgozásához. A GDPR azonban megemelte a hozzájárulás érvényességére vonatkozó követelményeket, és a felhasználóknak jogot adott arra is, hogy bármikor visszavonhassák hozzájárulásukat.
Így 2018. május 25-én, amikor a GDPR alkalmazandóvá vált, a Facebook már nem hivatkozott a hozzájárulásra. Ehelyett a Facebook szerint a hozzájárulási záradékokat "szerződésnek" kell tekinteni, amelyben a felhasználók "megrendelték" a személyre szabott hirdetéseket. A Facebook szerint ez a megkerülés lehetővé teszi számukra, hogy megfosszák a felhasználókat a GDPR szerinti hozzájáruláshoz kapcsolódó valamennyi joguktól. A "szabadon adott" vagy "tájékozott" hozzájárulás követelményei többé nem lennének érvényesek, ha azt "szerződésként" értelmezik.
Max Schrems, a noyb.eu elnöke:"A Facebook megpróbálja megfosztani a felhasználókat számos GDPR szerinti jogától azzal, hogy a hozzájárulást egyszerűen polgári jogi szerződéssé "átértelmezi". Ez nem volt más, mint egy olcsó kísérlet a GDPR megkerülésére"
OGH: a Facebook jogellenesen "alááshatja" a GDPR-t. Úgy tűnik, az osztrák legfelsőbb bíróság osztja ezeket az aggályokat. Az EUB-hez intézett hivatkozásában az osztrák legfelsőbb bíróság a hivatkozás 54. pontjában foglalja össze kételyeit azzal kapcsolatban, hogy a Facebook egyszerűen átkapcsolhatja-e a GDPR 6. cikke (1) bekezdésének a) és b) pontját:
"A jelen eljárás egyik központi kérdése az, hogy a GDPR 6. cikke (1) bekezdésének b) pontja szerinti jogi fogalom szerint az alperes az adatkezelési szándéknyilatkozatot eltolhatja-e annak érdekében, hogy ezáltal "aláássa" azt a lényegesen magasabb szintű védelmet, amelyet a "hozzájárulás" jogalap nyújt a felperesnek."
Max Schrems:"Alapvetően minden olyan adatfelhasználás, amely az EU-ban a Facebook számára nyereséget termel, erre a jogi érvre támaszkodik. Ha a Facebook veszít az EUB előtt, akkor nem csak ezt kellene abbahagynia és törölnie kellene az összes jogellenesen generált adatot, hanem több millió felhasználónak kártérítést is kellene fizetnie. Nagyon örülök ennek a hivatkozásnak."
További kérdések az adatminimalizálással és az érzékeny adatokkal kapcsolatban. Az osztrák legfelsőbb bíróság további három kérdést terjesztett a Bíróság elé a Facebook személyes adatok felhasználásának jogszerűségével kapcsolatban. Az EUB-nek kell majd eldöntenie, hogy a facebook.com-on és számtalan más forrásból - például a Facebook "Tetszik" gombokat vagy reklámokat használó weboldalakról - származó valamennyi adat bármilyen célú felhasználása összeegyeztethető-e a GDPR "adatminimalizálás" elvével. Két másik kérdés az érzékeny adatok (például politikai vélemények vagy szexuális irányultság) Facebook általi, személyre szabott reklámozásra történő felhasználásával kapcsolatos.
Max Schrems:"Ezek a további kérdések kulcsfontosságúak. Lehet, hogy a Facebook már nem használhat fel minden adatot hirdetésekhez, még akkor sem, ha érvényes hozzájárulást kapott. Ugyanígy előfordulhat, hogy kénytelen lesz kiszűrni az olyan érzékeny adatokat, mint a politikai vélemények vagy a szexuális irányultságra vonatkozó adatok. Eddig a Facebook azzal érvelt, hogy nem tesz különbséget az ilyen típusú adatok között."
(2) Részleges ítélet a kártérítésről, a hozzáférésről, a szerepekről és a "húsvéti tojásokról"
Az osztrák legfelsőbb bíróság emellett végleges ítéletet hozott bizonyos olyan követelésekről, amelyekről az EUB elé terjesztés nélkül is lehet dönteni.
- A részítéletben foglalt jogi értekezés német nyelvű eredeti példánya
- A részítéletben foglalt jogi értekezés angol fordítása
500 euró "tömeges bosszantás", az adatokhoz való hozzáférés hiánya és "easter eggs" miatt. Az osztrák legfelsőbb bíróság úgy döntött, hogy Schrems úr 500 euró pénzbeli kártérítést kap, mert a Facebook nem biztosított számára teljes hozzáférést az adataihoz. A bíróság szerint nem kapta meg az összes nyers adatot, és nem kapott olyan lényeges információkat sem, mint például azt, hogy milyen jogalapon dolgozták fel az adatait. A bíróság kiemelte, hogy a Facebook által az online eszközén keresztül kínált adatok több mint 60 adatkategória között szóródtak szét, több száz, ha nem több ezer adatponttal, amelyek átnézése néhány órát vesz igénybe.
A Bíróság a 153. pontban megállapította: "A felperes jogosan mutat rá, hogy a GDPR egyszeri hozzáférési kérelemre, nem pedig "húsvéti tojáskeresésre" épül".
Az osztrák legfelsőbb bíróság meglehetősen egyértelműen fogalmazott a Facebook azon állításával kapcsolatban is, hogy a Facebook minden olyan adatot átadott Schrems úrnak, amelyet "relevánsnak" ítélt (152. pont):
"Az, hogy az adatszolgáltatási kötelezettség nem függhet az alperes puszta önértékelésétől ("releváns"), nem igényel további magyarázatot"
A bizonyítási teher a Facebookot terheli. A Legfelsőbb Bíróság azt is gyakran hangsúlyozta, hogy a Facebookot terheli a bizonyítási teher annak bizonyítására, hogy teljes körű hozzáférést biztosított, illetve hogy az adatkezelés jogszerű (pl. 151. bek.). A Facebook az eljárás során arra az álláspontra helyezkedett, hogy Schrems úrnak kell bizonyítania, hogy a Facebook nem adott meg minden adatot, és egyszerűen megtagadta a válaszadást Schrems úr kérdéseire.
Ki "birtokolja" az adatokat a Facebookon? Az ügy megkérdőjelezte a Facebook-platform szereplőinek szerepét. Schrems úr azzal érvelt, hogy elsősorban ő rendelkezik a Facebookon lévő profil- vagy üzenetadataival (jogilag "adatkezelőként"), ami azt jelenti, hogy a Facebooknak az ő utasításait kell követnie például az adatok törlésekor (egyszerű "feldolgozóként"). A Facebook azon az állásponton volt, hogy - bizonyos kivételekkel - a Facebookon található valamennyi felhasználói adat tekintetében "adatkezelő". Az osztrák Surpeme Bíróság szerint a kérdés irreleváns, mivel a Facebook használata a "háztartási kivétel" alá tartozna, és így a kérdés nem merülne fel.
Max Schrems:"Ezen az elemen technikailag "vesztettünk", de a bíróság álláspontja szerint a Facebook jogilag felelős lenne a facebook.com-on történő bármilyen jogellenes adatkezelésért - még akkor is, ha azt mások végzik. Mi egy árnyaltabb eredményt javasoltunk, de a Bíróság erre nem tért ki."
