Döntés a Facebook Pixel kapcsán

A svéd adatvédelmi hatóság (továbbiakban: Hatóság vagy IMY) 1,34 millió eurós (15 millió svéd korona) adatvédelmi bírsággal sújtotta az Avanza Bankot a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló rendelet (továbbiakban: általános adatvédelmi rendelet vagy GDPR) 5. cikk (1) bekezdés f) pontjába (integritás és bizalmas jelleg), valamint a 32. cikke (1) bekezdésébe (adatkezelés biztonsága) foglaltak megsértése miatt a Facebook Pixel (Meta Pixel) nem megfelelő kezelése miatt. 

Tényállás – a Facebook Pixel alfunkciói

A hivatkozott jogsértések a Facebook Pixel (Meta Pixel) szolgáltatás alfunkcióinak használata közben valósultak meg. A Facebook Pixel egy olyan hirdetéskezelő szolgáltatás, mely segítséget nyújt a hirdetések optimalizálásában, többek között azáltal, hogy rögzíti a vásárlásokat, kosárba helyezéseket, feliratkozásokat, illetve általa könnyen kijelölhető a megfelelő célcsoport, akiknek a hirdető meg kívánja jeleníteni hirdetéseit.

Az Avanza Bank weboldalán, valamint mobil alkalmazásában folyó marketing tevékenységgel összefüggésben vette igénybe a Facebook Pixel szolgáltatást. Az Avanza bank állítása szerint a 2019. november 15. és 2021. június 2. közötti időszakban a bank tudta nélkül vagy tévedésből együttesen aktiválásra kerültek a Meta Pixel Automatic Advanced Matching (AAM) és Automatic Events (AH) alfunkciói. Az előbbi alfunkció működése következtében a bejelentkezett és marketing sütiket elfogadó felhasználók számos személyes adata (személyi azonosító szám, elérhetőségi adatok, számlaszámok, munkaviszonnyal kapcsolatos adatok stb.) hashelt formában továbbításra kerültek a Meta számára. Az AH alfunkció automatikusan szöveges üzeneteket küldött a Meta számára az Avanza Bank weboldalán, és alkalmazásában történő felhasználói aktivitásról. Az adott időszakban az adatvédelmi incidens -az előbbiekben ismertetett módon- 500.000-1.000.000. érintett személyes adatának a jogosulatlan közlését, kiszivárgását eredményezte.

A weboldal tulajdonosa, amint tudomást szerzett róla gyorsan eltávolította a Pixelt, gondoskodott arról, hogy a Meta törölje az adatokat, illetve megfelelő eljárást vezetett be annak biztosítására, hogy senki ne telepíthessen szkripteket a webhelyre, valamint ne használhasson olyan eszközöket, amelyek veszélyeztetik az ügyfeleit és a látogatóit. Ennek ellenére az IMY ezeket a körülményeket nem vette figyelembe enyhítő körülményként. A Hatóság 20 millió euró bírságmaximum keretében állapította meg a kiszabott 1,34 millió eurós szankciót, mely a lefolytatott mérlegelés alapján megfelelő visszatartó erőt képviselve elősegíti a speciális és a generális prevenció megvalósulását.

Javaslat a Meta Pixel kapcsán

A svéd adatvédelmi hatóság döntése kifejezetten erre az ügyre vonatkozik, azonban döntés minden olyan weboldal-tulajdonos számára releváns lehet, aki az EU vagy az EGT valamely országában folytat üzleti tevékenységet. Amennyiben adatokat továbbít olyan szolgáltatásoknak, mint a Facebook, azáltal, hogy engedélyezi az ilyen szolgáltatásokat a webhelyén vagy alkalmazásán, akkor biztosítania kell, hogy mind az adatgyűjtés, mind az adatfeldolgozás célja és jogalapja megfelelő és helytálló legyen.

Webhely-tulajdonosként emellett érdemes lehet megvizsgálni, hogy milyen szkriptek vannak engedélyezve az adott weboldalon; ezek a szkriptek mire szolgálnak; illetve, hogy valamennyi szkript nélkülözhetetlen vagy esetleg, van olyan, ami eltávolítható-e. Abban az esetben, ha bizonytalan a webhelye állapotát illetően, és segítségre van szüksége annak megállapításához, hogy a Facebook Pixel jelen van-e az Ön oldalán, mindenképpen végezzen el egy vizsgálatot egy tanúsított hozzájáruláskezelő platform segítségével (CMP), mint például a Cookie Information-nel vagy kérje adatvédelmi szakjogász segítségét.

A felhasználók személyes adatok védelméhez fűződő jogának, valamint a GDPR rendelkezéseinek biztosítása érdekében megfelelő tájékoztatást követően átlátható módon gyűjtse az érintetti hozzájárulásokat, blokkolja a felhasználó által nem kívánt szkripteket, könnyítse meg a látogatók számára a hozzájárulás esetleges visszavonását, automatikusan és folyamatosan ellenőrizze webhelyét a különféle szolgáltatások által beállított új cookie-k vagy pixelek észlelése érdekében, továbbá biztosítson egy dinamikus cookie-szabályzatot, mely felsorolja az összes cookie-t és pixelt elhelyező szkriptet, részletezi azok időtartamát, illetve hivatkozik az egyes adatvédelmi irányelvekre.

Baffia Dániel
Dr. Miklós Péter

2024.09.18.

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap