Jobb ma egy süti, mint holnap egy botnet? – Belgium válasza a Facebook adatkezelési politikájára
A Belga Privacy Commission kezdeményezésére a brüsszeli bíróság első fokon 250.000 eurós bírságot szabott ki tavaly novemberben a Facebook nyomkövető sütiket alkalmazó gyakorlatának megszüntetése érdekében. A precedens értékű ítélet oka, hogy a közösségi oldal, az azt elhagyó felhasználók böngészési adatait kijelentkezés után egy speciális süti alkalmazásával továbbra is monitorozta. Az ügy jelentősége, hogy e gyakorlat nem egyedül Belgium területére korlátozódik, így egy, a világméretű szervezet mindennapi működését behálózó – kérdéses adatvédelmi alapokon álló – technológia kerül ezúttal terítékre.
A Belga hatóságok által hozott ítéletet egy 2015 elején végzett kutatás alapozta meg, melynek értelmében a legnagyobb közösségi oldal egy „datr cookie”-nak nevezett, a felhasználók számítógépén akár két évig is fennmaradó naplózó adatcsomag segítségével a honlapról kijelentkezett, illetve regisztrációval egyáltalán nem rendelkező felhasználók végberendezéséről is képes adatokat gyűjteni. A bírósági ítéletből kiderül, hogy minden olyan weboldal, mely az ún. Facebook plug-in valamelyikét használja, automatikusan adatot továbbít az Írországban található szervereknek, azzal a kikötéssel, hogy a használónak interakcióba kell lépnie a beépülő modullal (így például rá kell kattintani a „like” vagy „share” gombra, illetve fel kell keresnie a Facebook valamely szolgáltatását, azonban nem szükséges regisztrált tagság). A Facebook európai központja védekezésében vitatta az ügy e pontját, mondván az oldalra végül be nem lépők, illetve nem regisztrálók böngészési adatai törlésre kerülnek, azonban a hatóság elutasította érvelését.
A novemberben meghozott ítéletben a bíróság a felhasználók beleegyezésének hiányára hivatkozva végül felszólította a Facebookot a nyomkövető sütik és plug-inek alkalmazásának beszüntetésére, ennek végrehajtásáig pedig naponta 250.000 eurós bírság megfizetésére kötelezte a céget. Erre válaszul a Facebook azonnal be is nyújtotta fellebbezését, melynek oka elsősorban az ügy precedensteremtő ereje.
Ennek megértése végett azonban az ítélet részletesebb taglalása helyett két jelentős jogalkalmazási kérdés igényel magyarázatot. E pontokon keresztül láthatóvá válik, hogy az ítélet jogerőssé válása az egész „közösségi média-piac” számára vízválasztó lehet.
A belga ítélet kapcsán mindenekelőtt elgondolkodtató, hogy a Facebook alapvetően kérdőjelezi meg a belga elsőfokú bíróság joghatóságát, mely állásfoglalása szerint nem terjed ki az Írországban lévő székhelyre, mely az adatkezelést végzi, így az általa hozott ítélet nem tekinthető legitimnek. Ez esetben az ír Data Protection Commission-el kellett volna konzultálnia Belgiumnak, hiszen csak ez jogosult saját hatáskörében eljárást indítani – fejtette ki a közösségi oldal képviselete. Az internet egyedi struktúrájából adódóan, így a magánélet védelmének alapvető kérdése mellett felvetődik az eltérő székhelyű adatfeldolgozás esetében az adatalanyok jogállása. A hatóság a 95/46/EK irányelvének 4. cikkére, - illetve ennek tagállamilag implementált változatára – hivatkozva e védekezési formát is elutasította. A dokumentum e pontja kimondja, hogy ha az adatkezelő az Európai Unió területén található és az adott országban rendelkezik képviselettel, az köteles megfelelni a nemzeti jog által megállapított követelményeknek.
Másik jelentős kérdés a címben is jelzett magánszféra vagy biztonság dilemmája. A Facebook süti használati és adatgyűjtési gyakorlatával kapcsolatban a vállalat hangsúlyozta, hogy a „datr cookie” célja nem a reklám-szolgáltatók számára hasznosítható információk küldése, hanem a felhasználók biztonságának növelése. Ez az jelenti, hogy az adatcsomag segítéségével képesek észlelni az ismeretlen böngészőkből érkező kéréseket és megakadályozni a felhasználói fiókok illetéktelen behatolásra, túlterheléses támadásokra, vagy adatlopásra történő felhasználását. A cég állításai szerint az ítéletet megelőző hónapban körülbelül 33,000 azonosítatlan belépést tudtak megakadályozni csak Belgiumban.
Az ügy jelentőségét tovább emeli, hogy az Egyesült Államokban 2010 májusa és 2011 novembere között 10 állam, köztük Kalifornia, Texas és Alabama egy 15 milliárd dollár értékű bírság kiszabását is kezdeményezte, valamint 2014 novemberében az ír DPC vizsgálata is a belga kutatással azonos eredményeket mutatott. E precedensteremtő kísérletek mind a közösségi háló globális gyakorlatának változatlanságát támasztják alá és figyelmeztetnek a szabályozás hiányosságaira, melyet súlyosbít, hogy az Egyesült Államok végül nem volt képes bizonyítani a felhasználóknak okozott kárt, így a procedúra a bírság eltörlésével zárult.
A közösségi oldal elmarasztalása ezen kívül számos egyéb kérdést is felvet, de a biztonság és a magánszféra védelmének kontextusában különösen nagy felelősség hárul mind a jogalkotókra, mind a jogalkalmazókra a helyes út megtalálásában. A túlszabályozás – és így a tartalomszolgáltatók lehetőségeinek szűkítése – jelentheti az üzleti érdekek csorbítását és az alapvető jogok megszilárdulását e téren, egyidejűleg okozhatja a biztonsági rések kiszélesedését és a visszaélések növekvő volumenét is. Kényszerhelyzet alakulhat ki abban, hogy a nehezen szabályozható és a nyomon követhető adatfelhasználást, vagy a nagyobb biztonsági kockázatot válasszák az egyes tagállamok. Jelen esetben Belgium a magánszférát helyezte előtérbe, azonban még így is erős alkupozícióban vannak a nagyobb technikai fejlettséggel rendelkező piaci szereplők világszerte.