Irodánk látta el az Időkép Kft. jogi képviseletét a NAIH előtti vizsgálati eljárásban a Google Analytics szolgáltatás használatával kapcsolatban. Az eljárásra az NYOB tömeges, 2020. augusztusában egyszerre benyújtott 101 panasza alapján került sor, melyet uniós székhelyű adatkezelőkkel szemben nyújtottak be a weboldalon használt Google Analytics és Facebook Connect szolgáltatások integrációjával kapcsolatban.
A panaszok az EU és USA közti adattovábbítások jogellenességén alapultak, mivel a Schrems II ítélet után a személyes adatok már nem voltak továbbíthatók az USA-ba a Privacy Shield nevű megfelelőségi határozat alapján.
Egy gyors kitekintés azok számára, akik esetleg nem ismernék a Privacy Shield-et, vagy a Schrems II ítéletet:
A Privacy Shield az Egyesült Államok Kereskedelmi Minisztériuma és az Európai Bizottság által felállított keretrendszer volt, amelyhez az egyesült államokbeli jogalanyok csatlakozhattak, önként vállalva, hogy betartják az EU kulcsfontosságú adatvédelmi elveit, egyben elfogadva az EGT adatvédelmi hatóságainak bizonyos joghatóságát is. Ez egy olyan mechanizmust biztosított, amely a személyes adatok USA-ba történő továbbítása során is biztosította a megfelelő szintű védelmet.
A Schrems II ítélet előtt tehát az Egyesült Államokba történő adattovábbítás egyik alapja egy ún. megfelelőségi határozat volt, név szerint az Adatvédelmi Pajzs (Privacy Shield).
A Schrems II ítélet viszont ezt az EU-USA Adatvédelmi Pajzsot (Privacy Shield) 2020. július 16-án érvénytelenné nyilvánította. Tette ezt egyrészt azért, mert egyes amerikai nemzetbiztonsági jogszabályok nem tartalmaztak megfelelő adatvédelmi korlátozásokat (pl. Section 702 FISA vagy EO 12333), így szinte korlátlan hozzáférést engedtek bármely, az USA bűnmegelőzési joga alá eső vállalkozás birtokában lévő adatokhoz, másrészt pedig azért, mert az EU-s állampolgárok jogorvoslathoz való joga bizonyos esetekben hiányzott.
Az EU-USA adattovábbításokra természetesen maradtak más megoldási lehetőségek, ugyanakkor azok lényegesen bonyolultabbak – és jelen pillanatban értelmezési anomáliákkal is vegyesek –, így gyakorlati nehézség elé állítják az adatkezelőket a transz-atlanti adattovábbítások során, nem beszélve a megnövekedett felelősségükről.
Jelen ügyben pontosan egy ilyen adattovábbítás volt az NYOB panaszának alapja: A bejelentés szerint egyes magyarországi adatkezelők – többek közt az Időkép Kft. is – a weboldalba beágyazva alkalmazta a Google Services kódjait, ideértve a Google Analytics-et. A bejelentő személy azt tapasztalta a weboldal látogatása során, hogy az Időkép Kft. kezeli a személyes adatait, legalább az IP-címét és a süti adatokat. A böngészés során arra a következtetésre jutott, hogy ezek a személyes adatai továbbításra kerültek a Google számára, majd mindezek a Google szerződéses feltételeinek megfelelően továbbításra kerültek az Amerikai Egyesült Államokba is.
Ügyfelünk, az Időkép Kft. természetesen semmilyen szándékos adattovábbításra nem törekedett az EGT-n kívül harmadik országba. A NAIH megkeresését követően az Időkép Kft. már az első felhívásra felfüggesztette a Google Analytics szolgáltatás használatát weboldalán, azonban a Google Ad Manager szolgáltatását továbbra is használta, olyan beállítások mellett, hogy az ne továbbítson személyes adatokat EGT-n kívüli harmadik országba, így az Amerikai Egyesült Államokba sem.
Az Időkép Kft. válaszát követően a NAIH ismételten ellenőrizte a weboldalt és megállapította, hogy a Google Analytics szolgáltatás valóban kikerült a weboldal kódjából, ugyanakkor a használt sütik ellenőrzésekor a NAIH keresője (feltehetően Cookiebot) a Google Ad Manager – korábban Doubleclick for Publishers nevű szolgáltatás – egyes sütijeit továbbra is kockázatosnak jelezte, annak ellenére, hogy azok kizárólag EGT államokon belüli továbbításra lettek beállítva.
A rövid bevezetőt követően összegyűjtöttük az üggyel kapcsolatos legfontosabb megállapításainkat:
- Fontos leszögezni, hogy a kódok használata önmagában nem jelent jogsérelmet senki számára, sőt, az ilyen eszközök használata nélkül online médiapiaci vállalkozást manapság lehetetlen lenne működtetni. A használt kódokkal kapcsolatban a probléma kifejezetten az Európai Unión kívüli, harmadik országokba való adattovábbítás lehetőségével kapcsolatban merült felt.
- A problémát az okozta, hogy a Google által használt sütik különböző domainekről állíthatók be, így akár a doubleclick.net domainről is. A domain név használata viszont nem befolyásolja az adatok mozgását. Az adatok mozgása (így továbbítása) szempontjából a mögöttes szerver helye számít, ami végrehajtja a sütivel végzett műveleteket, ezek viszont a Google által vállalt feltételek szerint az Európai Unió területén belül maradnak, azt egyszer sem hagyják el a folyamat során.
- Mint közismert, a domain nevek rendelkeznek egy legfelső szintű tartománnyal (top-level domain – TLD), mint pl. a .com, vagy .hu végződés. A TLD ugyanakkor információt is jelent arra vonatkozóan, hogy az adott domaint hol regisztrálták. A süti-auditáló szoftverekből kigyűjtött riportok feltehetően azért jelezték kockázatosnak a folyamatban érintett sütiket, mivel a hozzájuk társított domain regisztrált országa EU-n kívüli ország, nevezetesen az Egyesült Államok. Ez nem jelenti ugyanakkor azt, hogy a sütikhez kapcsolt adatok valóban elhagyják az Európai Unió területét.
- Érdemes megemlíteni az eljárásban érintett felek adatkezelésben megállapított szerepét is, főleg a Google Spain ügy tükrében. A NAIH az uniós döntéssel egyezően, mindösszesen azon tények alapján minősítette az Időkép Kft-t adatkezelőnek, hogy az önállóan döntött a sütik alkalmazását szükségessé tévő szolgáltatások (nevezetesen: a Google Services, így a Google Analytics és a Google Doubleclick for Publishers) használatáról, ahogyan önállóan dönthet a szolgáltatások használatának felfüggesztéséről és esetleges megszüntetéséről is.
- Figyelemre méltó ugyanakkor, hogy a NAIH a Google-t teljes egészében adatfeldolgozói pozícióba helyezte, annak ellenére, hogy a Google Spain ügyben pont annak alapján lett a Google adatkezelőként definiálva, hogy önálló adatkezelési műveleteket végez, melyeket a Google Inc. határoz meg, és ahol maga alakítja ki az adatkezelés módját és eszközeit.
Természetesen a Google Spain ügyben a keresőmotor volt a vizsgálat fókuszában, itt pedig a Google Analytics szolgáltatás, ugyanakkor sok hasonlóságot mutat a két ügy, mégis eltérő megállapítást vont le belőle a magyar hatóság. - Nyilvánvaló az is, hogy az adatkezelő Időkép Kft-nek nincsen kontrollja a Google szolgáltatásainak belső beállításai felett, és így az utasítások teljeskörű érvényesítését sem tudja garantálni, holott az adatfeldolgozókkal kapcsolatban fontos tilalmi szabály, hogy az adatfeldolgozó nem hozhat az adatkezelést érintő érdemi önálló döntést.
A fenti NAIH eljárás, – amelyben irodánk az Időkép Kft. jogi képviselőjeként működött közre – végül még a vizsgálati szakaszban lezárásra került, így nem volt szükség adatvédelmi hatósági eljárás megindítására, sem bírság kiszabására.
Az ügyből ugyanakkor jól látszik, hogy az új típusú vizsgálatok már túlmutatnak a jogszabályok puszta szövegén és értelmezésén. Az ilyen adatvédelmi ügyekhez legtöbbször komoly informatikai szakértelem is szükséges, annak érdekében, hogy megfelelően lehessen a hatóság felé kommunikálni a panaszra adott választ és a gyakorlati nehézségeket.
Amennyiben az Ön cége is adatvédelmi vizsgálat érintettje, vagy kíváncsi az online hirdetések jogszerű, GDPR-nek megfelelő használatára, keressen minket bizalommal.
