
A bécsi felsőbíróság (Oberlandesgericht Wien) ma hozott ítéletében a Facebooknak 500 euró érzelmi kártérítést kell fizetnie Schrems úrnak, és teljes hozzáférést kell biztosítania számára a Facebook által róla tárolt összes adathoz. Az internetes óriáscégnek azonban az uniós adatvédelmi törvény (GDPR 6. cikk (1) bekezdés a) pontja) értelmében nem kell a felhasználók beleegyezését kérnie ahhoz, hogy felhasználhassa az adataikat. Ehelyett a Facebook egyszerűen jogot biztosíthat magának az összes adat felhasználására a szerződési feltételeiben (GDPR 6. cikk (1) bekezdés b) pont).
- Ítélet (német eredeti, a vonatkozó részek a 22. oldalról)
- Ítélet (angol gépi fordítás, releváns részek a 22. oldalról)
A Facebook "hozzájárulás megkerülése" jogszerű? A GDPR különböző jogalapokat tesz lehetővé a személyes adatok feldolgozására: Például hozzájárulás vagy szerződés. A polgári jogi szerződéseknek nem kell megfelelniük a GDPR szerinti "hozzájárulás" szigorú követelményeinek. Ez azt jelentené, hogy a vállalatnak nem kell szabad választási lehetőséget biztosítania a felhasználóknak, és külön és egyértelmű hozzájárulást kell beszereznie. A hozzájárulás rendszerétől eltérően a felhasználók nem vonhatják vissza hozzájárulásukat, ha meggondolják magukat.
Ezt az elképzelést követve a Facebook egyszerűen átmásolta a korábbi hozzájárulást a polgári jogi általános szerződési feltételeibe 2018.5.25-én este, amikor a GDPR hatályba lépett. A vállalat most már azt állítja, hogy "szerződéssel" rendelkezik a felhasználók adatainak kezelésére. Ez az új szerződés tehát a GDPR hatályba lépése előtt használt hozzájárulás helyébe lép. Ezzel egyértelműen az uniós jogalkotók által megkövetelt szigorúbb adatvédelmi követelményeket kívánták kijátszani: A Facebook-felhasználóknak most kevesebb joguk van a GDPR értelmében, mint korábban a régi adatvédelmi törvény alapján, mivel a Bécsi Felsőbb Bíróság szerint a felhasználók személyre szabott reklámok fogadására kötöttek szerződést.
Egy 1000 Facebook-felhasználó körében végzett reprezentatív felmérés szerint azonban a felhasználóknak csak 1,6 százaléka értette a megállapodást ilyen "szerződésnek". A többség "beleegyezést" feltételezett - ahogy a felperes is. Az Európai Adatvédelmi Testület (EDPB) szintén kifejezetten nem engedélyezi a hozzájárulás helyett az "adathasználati szerződéseket".
Schrems:"Az osztrák bíróság lehetővé teszi a Facebook számára, hogy megkerülje az új GDPR követelményeit. A Facebook egyszerűen átmásolta a "hozzájárulást" egy másik dokumentumba a GDPR hatályba lépésének éjszakáján, és azzal érvel, hogy ez szerződés lenne, nem pedig hozzájárulás. Ennek az lenne a következménye, hogy az európaiakat megfosztanák az új védelemtől. A Facebook egyértelműen visszaél a joggal, és ezt nem lehet eltűrni"
A Facebooknak 500 eurót kell fizetnie, és teljes hozzáférést kell biztosítania az adatokhoz. Másrészt a Facebook elvesztette a fellebbezését a hozzáférés jogával kapcsolatban. Az osztrák bíróságok két esetben is kimondták, hogy a Facebook nem biztosít a felhasználóknak teljes körű hozzáférést az összes releváns adathoz a különböző hozzáférési "eszközeikben". A bíróság azt is kimondta, hogy a felhasználóknak joguk van ahhoz, hogy megtudják, mely más felek adtak át adatokat a Facebooknak, illetve hogy a Facebook átadott-e és kinek adott át adatokat. Mivel a Facebook következetesen homályban hagyta Schrems urat ezekkel az adatokkal kapcsolatban, legalább a Schrems úr által kért 500 eurós jelképes összegű érzelmi kártérítés megfizetésére kötelesek.
Schrems:"Egyértelmű, hogy a Facebook tényszerűen nem adja meg a vonatkozó információkat. Örömmel látom, hogy a bíróság az ilyen esetekben is engedélyezte a kártérítést, amikor a vállalatok következetesen megtagadják a felhasználóktól azt a jogukat, hogy megtudják, milyen adatokat tárol róluk egy vállalat"."
Fellebbezés az osztrák legfelsőbb bírósághoz és esetlegesen az EUB elé terjesztés: A bécsi felsőbíróság engedélyezte az osztrák legfelsőbb bírósághoz (OGH) benyújtott fellebbezést. Schrems úr az ügyvédje, Katharina Raabe-Stuppnig révén nyújtja be ezt a fellebbezést. Valószínű, hogy az osztrák Legfelsőbb Bíróság az Európai Bíróság (EUB) elé utalhatja ezeket a kérdéseket. Az EU e legfelsőbb bírósága mondaná ki végső soron, hogy a Facebook GDPR megkerülése jogszerű-e.
Schrems:"Úgy tűnik, hogy a Bíróság nem igazán vizsgálta meg mélyebben az ügy által felvetett számos problémát. Egyértelműen megpróbáljuk ezt az ügyet egészen a legfelsőbb bíróságig eljuttatni. Az alapvető kérdésekkel kapcsolatban 2021 tavaszán kerülhet sor az EUB elé terjesztésre. Ha az iparágnak megengedik, hogy csak egy sort hozzáfűzzenek a feltételeikhez, hogy megkerüljék a GDPR hozzájárulási követelményeit, akkor a GDPR nagy részét széttéphetjük."