I. A Hatóság döntése az adatkezelési hozzájárulás kapcsán
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) 2022. február 21-én hivatalból megindított NAIH-3195-11/2022 számú adatvédelmi hatósági eljárás keretein belül megállapította, hogy a TV2 Média Csoport Zrt. (Továbbiakban: TV2) által üzemeltetett „tenyek.hu” és „tv2play.hu” weboldalakon nem valósult meg az érintettek személyes adataival kapcsolatban fellépő tájékoztatási kötelezettség, illetve a weboldalak hozzájáruláskezelési rendszere nem átlátható és világos módon gyűjtötte az érintettek személyes adataira vonatkozó hozzájárulásokat. A fentebbi körülmények végett a Hatóság arra a következtetésre jutott, hogy a Weboldalakon kezelt személyes adatok tekintetében a vizsgált időszakban a TV2 megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontja szerinti tisztességes és átlátható adatkezelés elvét, 5. cikk (1) bekezdés b) pontja szerinti célhoz kötöttség elvét, 6. cikk (1) bekezdését, 12. cikk (1) bekezdését és 13. cikkét. A felsorolt jogsértések miatt a Hatóság felszólította a TV2 Média Csoport Zrt.-t, hogy az általános adatvédelmi rendelet rendelkezéseiben előírtak szerint módosítsa gyakorlatát, továbbá 10 000 000 Ft adatvédelmi bírság megfizetésére kötelezte. A bírság mértékének megállapítása során a Hatóság figyelembe vette a jogsértő ügyfél szervezeti méretét, éves bevételét, az érintettek számát, továbbá a jogsértően folytatott gyakorlat időtartamát, annak bevett jellegét.
II. Az adatvédelmi hozzájárulás – a tényállás
Az ügy előzményét adó NAIH-2905/2021 számú vizsgálati eljárásban feltártak, valamint a jelen ügyet tárgyaló NAIH-3195-11/2022 számú adatvédelmi hatósági eljárásban megállapítottak alapján a TV2 „tenyek.hu” és „tv2play.hu” weboldalakon médiatartalmakat tesz közzé, amelyek megjelenítésével kapcsolatban sütiket használ, továbbá statisztikai, hirdetés megjelenítési, valamint a személyre szabott hirdetési és tartalom-megjelenítési céllal automatizált módon személyes preferenciákhoz igazítva az általános adatvédelmi rendelet 4. cikk 4. pontja szerinti profilalkotási célra is használja a sütikben található személyes adatokat. A sütikkel kapcsolatban működtetett hozzájáruláskezelő rendszerek egy több szintű, nehezen átlátható struktúrát valósítottak meg. A „tv2play.hu” weboldal tekintetében két különböző hozzájárulási keretrendszert alkalmaztak egyszerre -a TV2 állítása szerint- abból kifolyólag mivel a felugró ablak az atmedia Kft. kompetenciájába tartozó hirdetési felülethez kapcsolódó megoldás, az alul található kék sávon elérhető beállító felület pedig a TV2 kezelésébe tartozik. A kék sáv a hirdetési felületen kívüli sütikről nyújt tájékoztatást a felhasználóknak. A lenti kék sáv esetében problémaként merült fel, hogy annak elfogadása hiányában nincsen lehetőség a weboldal használatára, mivel a sáv a weboldal működését alapvetően meghatározó sütik rendezését hivatott szolgálni, ám ezáltal nem adott az érintettek számára a hozzá nem járulás lehetősége. A jogos érdek fülön találhatóak a weboldal működéséhez szükséges, valamint az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontja szerinti jogos érdeken alapuló sütikategóriák, amelyekkel szemben külön-külön tiltakozni lehet. A „jogos érdek” nem a jogalapra, hanem az egyes kategóriákra utal, mivel a sütik kezeléséhez való jogalapot minden esetben az érintett hozzájárulása jelentette. Ennek következtében nem került sor érdekmérlegelés lefolytatására.
III. A Hatóság döntésének indoklása az adatvédelmi hozzájárulás kezelésének tekintetében
A Hatóság döntésében mindenekelőtt megállapította, hogy a TV2 minősül az általános adatvédelmi rendelet 4. cikk 7. pontja alapján adatkezelőnek, mivel a TV2 az említett weboldalakat saját médiatartalmai terjesztésére használja a saját üzleti érdekében, továbbá az adatkezeléssel kapcsolatos célokat és eszközöket kizárólag a TV2 határozta meg. A TV2 adatkezelői minősége, valamint amiatt, mivel harmadik fél nem létesített az érintettekkel közvetlen kapcsolatot a vizsgált adatkezelésekkel kapcsolatos felelősség egyedül TV2-t terheli. Utóbbi következtetés alátámasztására szolgál az Európai Unió Bíróságának C-40/17. számú döntése, melyben kifejezésre juttatták, hogy az „adatvédelmi hozzájárulás beszerzése a honlap üzemeltetőjének, nem pedig a közösségi modul szolgáltatójának feladata.” Az általános adatvédelmi rendelet 12. cikk (1) bekezdése alapján az adatkezelő kiemelendő kötelezettsége, hogy megfelelő intézkedéseket hozzon „annak érdekében, hogy az érintettek részére a személyes adatok kezelésére vonatkozó, a 13. és 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa.”
A megfelelő tájékoztatás rendszere esszenciális előfeltétele az érintetti jogok kielégítő gyakorlásának. A tájékoztatás keretein belül az érintetteket többek között azzal kapcsolatban kell informálni, hogy mely személyes adataikat, mely adatkezelő, mely célból és hogyan fogja kezelni. Az általános adatvédelmi rendelet 4. cikk 11. pontja alapján a 6. cikk (1) bekezdés a) pontjára alapított adatkezelés esetén már „az adatvédelmi hozzájárulás megszerzése előtt köteles az adatkezelő olyan tájékoztatást nyújtani, amely alapján tájékozott hozzájárulás adható.” A hozzájárulással kapcsolatban fontos kiemelni, hogy az csak abban az esetben minősülhet érvényesnek, amennyiben azt megfelelő előzetes tájékoztatás megelőzte, valamint azt konkrétan meghatározott célokra külön-külön kérik. A Hatóság a tájékoztatási kötelezettséggel kapcsolatban továbbá kiemelte azt is, hogy az általános adatvédelmi rendelet cikkei e tekintetben eredmény produkálását határozták meg az adatkezelők számára.
Jelen esetben az adatkezelés jogalapja gyanánt az érintetti hozzájárulását jelölte meg a TV2, ám a Hatóság rávilágított arra, hogy egyes technikai sütik nélkül a Weboldalak ténylegesen nem tudnak működni, és a hozzájárulástól függetlenül mindenképpen használnak egyes sütiket adott egyedi azonosítókkal. Továbbá irreális elvárásnak, valamint átláthatatlan és tisztességtelen feltételnek minősül azt feltételezni, hogy az érintett a több, mint hétszáz partner adatkezelési tájékoztatóját elolvassa és ezeknél a harmadik személy partnereknél egyenként vonja vissza a megadott hozzájárulást. A TV2 azon érvelése, mely szerint utóbbi módszer bevett gyakorlatnak számít az iparágon belül a Hatóság álláspontja szerint nem teremt hivatkozási alapot, nem teszi a jogsértő gyakorlatot jogszerűvé.
A weboldalakon alkalmazott adatkezeléssel kapcsolatos tájékoztató szöveg vizsgálata során a Hatóság felhívta a figyelmet arra, hogy az sem tömörnek, sem világosnak nem mondható, többek között a szöveg hossza, megjelenítésének módja, az adatvédelmi hozzájárulás megadásának vagy elutasításának eltérő tagolása miatt. Emellett a Hatóság kifejezésre juttatta, hogy a TV2 által használt „jogos érdek” fogalmát vagy teljesen tévesen használta, ami miatt félrevezető jelleget öltött a tájékoztatás vagy megfelelően használta, de minden tájékoztatás és érdekmérlegelés nélkül. Utóbbi két esetben egyaránt tisztességtelen és átláthatatlan tájékoztatásról beszélhetünk.
A TV2 által felsorolt adatkezelési célok közül „Az eszközön tárolt információk tárolása és/vagy elérése” cél csupán a hozzájárulás megadás vagy megtagadás felületen található a jogos érdeknél viszont nem, annak ellenére, hogy a működéshez szükséges sütik esetében az adatvédelmi hozzájárulás helyett a jogos érdek jogalap lenne a megfelelő. Ebből kifolyólag a működéshez használatos sütik jogalapjának megjelölése esetén is megvalósul a tisztességtelen és átláthatatlan tájékoztatás esete. A működéshez szükséges személyes adatok és sütik esetében problémaként merült fel, hogy a tájékoztatás nem foglalja magába azok tételes megjelölését, pontos céljának meghatározását, illetve elmaradt a jogos érdeken alapuló jogalap megjelölése, annak érdekmérlegelésben történő alátámasztása is. Ennek következtében a tájékoztatás hiányos és félrevezető jellege mellett hasznos információk nyújtását is nélkülözi. Roppant aggályos továbbá, hogy egyik esetben sem valósul meg a hozzájárulás megadásával azonos könnyűségű visszavonhatóság lehetősége. Atekintben hogy, miért alkalmaz két külön, eltérő hozzájáruláskezelő rendszert a „tv2play.hu” esetében a TV2 nem tudta kielégítő módon megindokolni. Mivel a TV2 saját online tartalmával kapcsolatban éveken keresztül folytatódó gyakorlat által valósult meg a párhuzamos hozzájáruláskezelő rendszerek működtetése, arról feltehetőleg a TV2 tudhatott, ezáltal pedig szándékos jogsértést valósított meg. A fentebb felsorolt okok, körülmények vezettek ahhoz, hogy a TV2 megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontja szerinti tisztességes és átlátható adatkezelés elvét, valamint a 12. cikk (1) bekezdését és 13. cikkét.
Amennyiben nem kerül sor az érintettek megfelelő tájékoztatására a hozzájárulásra alapított adatkezelés önmagában jogszerűtlennek tekintendő, melyet az Európai Adatvédelmi Testület 5/2020 iránymutatásának (a továbbiakban: 5/2020 Iránymutatás) 62. bekezdése is alátámaszt. Az 5/2020 Iránymutatás 63. bekezdése szerint, hogy „a tájékoztatáson alapuló hozzájárulásra vonatkozó követelmények betartása elmaradásának az a következménye, hogy az adatvédelmi hozzájárulás érvénytelen lesz, és az adatkezelő megsértheti az általános adatvédelmi rendelet 6. cikkét. Az 5/2020 Iránymutatás 69. bekezdése tárgyalja az elektronikus úton történő tájékoztatás esetén történő többszintű tájékoztatást, mellyel kapcsolatban kifejezte, hogy annak pontosnak, teljes körűnek, valamint érthetőnek kell lennie. A fentebb kifejtetteknek megfelelően az 5/2020 Iránymutatás 64. bekezdése alapján „ahhoz, hogy az adatkezelési hozzájárulás tájékoztatáson alapuló legyen, tájékoztatni kell az érintettet bizonyos kulcsfontosságú elemekről.” Ezek a minimum követelményként funkcionáló elemek a következők: az adatkezelő kiléte; hogy milyen típusú adatok gyűjtésére és felhasználására kerül sor; a hozzájárulást igénylő adatkezelési műveletek célja; az adatkezelési hozzájárulás visszavonásához való jog létezése; az adatok automatizált döntéshozatal céljából történő felhasználására vonatkozó tájékoztatás (a 22. cikk (2) bekezdése c) pontjának megfelelően); végezetül az adattovábbításoknak a megfelelőségi határozat és a 46. cikkben ismertetett megfelelő garanciák hiányából fakadó lehetséges kockázatai. A TV2 ellen indított eljárás során az érvényes hozzájáruláshoz szükséges fentebb felsorolt elemek közül egyik sem lett közölve az érintettekkel, így nem voltak azon információk birtokában, mely elengedhetetlen a tájékozott és érvényes adatvédelmi hozzájárulás adásához.
A Hatóság külön kiemelte, hogy roppant nagy jelentőséggel bír a megfelelő jogalap megválasztása. Az Európai Adatvédelmi Testület 2/2019 iránymutatása (a továbbiakban: 2/2019 Iránymutatás) 17–21. bekezdései alapján esetileg szükségszerűen mérlegelendő, hogy az általános adatvédelmi rendelet 6. cikk (1) bekezdésének mely pontja szerinti jogalap a megfelelő az adott online adatkezelésre, mivel az nem mindig lehet az adatkezelési hozzájárulás. Jelen ügyben a TV2 kötelezettsége „konkrétan, adatonként és célokként lebontva egyértelműen indokolni, mérlegelni és a garanciáit megteremteni annak, hogy milyen célból és milyen jogalappal – jogos érdek esetén mely konkrét jogos érdekből – kíván mely személyes adatokat kezelni a Weboldalakon keresztül.” Utóbbi garanciális kritériumok teljesülése azért is különösképpen elengedhetetlen, mivel nélkülük az érintett adatkezeléssel kapcsolatos tájékozottsága hiányt szenvedne, mely hatására nem lenne képes teljeskörűen, kielégítően gyakorolni az adatkezeléssel szembeni tiltakozási jogát. A fentebb bemutatottak által a TV2 a Weboldalakon végzett adatkezeléssel megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontja szerinti célhoz kötöttség elvét és 6. cikk (1) bekezdését.
Kérdése van az adatvédelem kapcsán? Keressen bizalommal!
Miklós Péter – adatvédelmi jogász