AC-252/21. sz. Meta Platforms és társai üggyel összefüggésben 2023. július 4-én az Európai Unió Bírósága meghozta azt az áttörő jelentőségű ítéletét, amely alapján „a nemzeti versenyhatóság az erőfölénnyel való visszaélés vizsgálata keretében megállapíthatja az általános adatvédelmi rendelet megsértését”. Az alábbiakban ennek a döntésnek a legfontosabb felvetéseit mutatjuk be röviden.
A Meta Platforms Ireland működteti a Facebook online közösségi hálózat kínálatát az Európai Unióban. Tevékenysége során adatokat gyűjt a felhasználók közösségi hálózaton belüli és kívüli aktivitásáról, és ezeket az adatokat összekapcsolja a felhasználók fiókjával. Ez lehetővé teszi a platform számára a felhasználóknak szánt reklámüzenetek személyre szabását.
Mit vizsgálhat a hatóság az erőfölénnyel való visszaélés megállapítása során?
A Bíróság egyik legfontosabb megállapítása az ügyben, hogy a nemzeti versenyhatóságok jogosultak az erőfölénnyel való visszaélés vizsgálata során a versenyjog szabályaitól eltérő normáknak való megfelelés vizsgálatára, mint például jelen esetben az általános adatvédelmi rendeletnek (GDPR) való megfelelés vizsgálatára. A versenyhatóságnak ugyanis a személyes adatok védelmére vonatkozó szabályokat is figyelembe kell venni az erőfölénnyel való visszaélés vizsgálata során, mivel annak kizárása sértené a versenyjog tényleges érvényesülését. Rögzíteni kell, hogy a nemzeti versenyhatóságok kizárólag a nem megfelelő adatkezelés megállapítására és a versenyjog alapján fennálló visszaélés megszüntetésére irányuló intézkedések előírására jogosultak, ezért az adatvédelmi hatóságok feladatkörét nem vonják el és nem járhatnak el helyettük. A nemzeti versenyhatóság vizsgálata tehát kizárólag az erőfölénnyel való visszaélés megállapítására és annak megszüntetésére irányuló intézkedéseknek a versenyjogi szabályok szerinti előírására korlátozódhat, továbbá a szervezetnek minden esetben egyedileg kell vizsgálnia azt, hogy az erőfölényben lévő vállalkozás magatartása korlátozza-e a verseny fenntartását vagy annak fejlődését. Emellett a nemzeti versenyhatóságoknak figyelembe kell venniük az adatvédelmi hatóságok korábbi döntéseit, és a GDPR rendelkezéseinek következetes alkalmazásának biztosítása érdekében a hatóságoknak együtt kell működniük, illetve konzultálniuk kell az eljárásaik során.
A közösségi médiaszolgáltatók adatkezelésének korlátai
A Meta Platforms Ireland adatkezelése kapcsán a Bíróság több kérdésben is döntött. Az első a különleges adatok kezelése, ami a GDPR főszabálya szerint tilos. Ezen adatok esetében a szolgáltató arra hivatkozott, hogy az adatkezelés jogszerű, hiszen a felhasználó ezen különleges adatokra utaló információkat bizonyos platformokon megosztotta (kitöltötte), így nyilvánosságra hozta. A Bíróság megállapította, hogy valóban a nyilvánosságra hozatal lenne a különleges adatok kezelésének jogszerű módja, azonban ez csak azon előzetes beállítás alapján lehetséges, amelyben a felhasználó korlátlan számú személyi körre engedélyezi a nyilvános hozzáférést ezen adatok, információk tekintetében. A Bíróság hangsúlyozta, hogy önmagában az a tény, hogy a felhasználó harmadik weboldalakon vagy alkalmazásokban különleges adatokra utaló információkat oszt meg, nem minősül a felhasználó általi kifejezett nyilvánosságra hozatalnak.
A Bíróság a platform általi egyéb (t.i., nem különleges adatokat érintő) adatkezeléssel összefüggésben megjegyzete, a felhasználók kifejezett hozzájárulásának hiányában akkor lehet jogszerűnek tekinteni az adatkezelést, ha az objektíve elengedhetetlen az adott szerződés teljesítéséhez. A Bíróság állaspontja szerint kétséges, hogy a tartalmak személyre szabása és a szolgáltatások egységes használata megfelelne ezen követelményeknek, illetve elengedhetetlenül szükséges lenne az online szolgáltatás nyújtásához. A Meta Platforms Ireland adatkezelői minőségben megmutatkozó erőfölényes helyzete a közösségi hálózatok piacán nem zárja ki, hogy a felhasználók a GDPR-nak megfelelő hozzájárulásukat adják személyes adataik kezeléséhez, azonban figyelembe kell venni, hogy az erőfölényes helyzet érintheti a felhasználók választási szabadságát, ezáltal pedig a hozzájárulás érvényességét.
Végül, a Bíróság megjegyezte, hogy az online hirdetések személyre szabása a közösségi média platformokon belül tekinthető úgy, hogy a személyes adatok közvetlen üzletszerzési célból való kezelése az adatkezelő jogos érdekén alapul. Ez csak abban az esetben lehetséges, ha az adatkezelésre a feltétlenül szükséges mértékben és korlátokon belül, illetve a felhasználók alapjogainak sérelme nélkül kerül sor. A vizsgált ügyben azonban az online közösségi hálózat használatának ingyenessége ellenére a platform üzemeltetője saját üzletszerzési céljára kezeli a felhasználók személyes adatait, amire tájékoztatás hiányában a felhasználó észszerűen nem számíthat. A Bíróság döntése szerint ez a gyakorlat nem felel meg a GDPR rendelkezéseinek. A felhasználó alapjogai mindenkor elsőbbséget élveznek a platform üzemeltetőjének gazdasági jogos érdekével szemben, ezáltal a személyes adatok kezeléséhez nem biztosít megfelelő jogalapot az üzletszerzési célból való adatkezelés, mint az üzemeltető jogos érdeke.