A Facebook tetszik gombja vs. A GDPR [gyakorlati tippek]

Az Európai Bíróság döntése értelmében a Facebook és a weboldal üzemeltető közös adatkezelőnek minősül a Tetszik gomb használata esetén.

A tavalyi Facebook oldalakat érintő döntés után már vártuk, melyik következő közösségi platformhoz köthető megoldás lesz a következő, amin fogást talál az EU a GDPR fényében. Néhány napja meg is érkezett az újabb “áldozat”. Az Európai Bíróság ugyanis a Fashion ID webáruházhoz kapcsolódó ügyben megállapította, hogy a weboldal üzemeltetők közös adatkezelőnek minősülnek a Facebook Ireland-dal amennyiben a weboldalukba elhelyezik a Tetszik gombot.

Szeretnél képbe kerülni az online marketing megoldások GDPR-hez kapcsolódó gyakorlati alkalmazásával? Iratkozz fel a témában ősszel megjelenő könyvünk értesítőjére!

Maga a tetszik gomb, a többi közösségi megosztó gomhoz hasonlóan (például a Twitter, a YouTube, a LinkedIn vagy a Pinterest hasonló funkciójú weboldalba építhető gombjai) azért problémás, mert már akkor elkezd gyűjteni adatokat, amikor a gomb először betöltődik az oldalon. Nem kell megnyomni a gombot, ha betöltődött, a legtöbb esetben azonnal elkezdi küldeni a látogatói adatokat az “anya” platformnak.

Nincs ebben semmi újdonság, így működik a dolog évek óta.
Bár meglepő lehet, de valahol ez mindenkinek jó lehet. A közösségi platformok így jutnak adatokhoz a látogatókról (akár regisztráltak azok a platformra, akár nem), a weboldal üzemeltetők több megjelenésre számíthatnak, plusz a látogatóik jobb felhasználói élményt kapnak, ha látják, hogy mások is tettek valamit az oldalon. De ez a funkció jó szerintem a weboldal látogatóknak is, hiszen kényelmesebben tudják megosztani a nekik tetsző cikkeket, plusz egy érdekes téma esetén tudnak visszajelzést adni, nyomot hagyni, ami jobb élményt jelenthet.

Viszont adatvédelmi szempontból valóban kényes a helyzet. Hiszen a látogatók általában nem tudják, hogy a lájk gomb megjelenése milyen következménnyel jár. Ezt tisztázza most valamilyen szinten a Bíróság döntése, két részre bontva a folyamatot:

“A Bíróság ezt követően megállapítja, hogy úgy tűnik, hogy a Fashion ID nem minősíthető adatkezelőnek az adatok továbbítását követően a Facebook Ireland által végzett adatkezelési műveletek tekintetében. Első látásra ugyanis kizártnak tűnik, hogy a Fashion ID határozná meg ezeknek a műveleteknek a céljait és módját.

A Fashion ID ezzel szemben a Facebook Irelanddel közös adatkezelőnek minősíthető a szóban forgó személyes adatok gyűjtésére és a Facebook Ireland részére történő továbbítás általi közlésére irányuló műveletek tekintetében, amennyiben megállapítható (és  ezt az Oberlandesgericht Düsseldorfnak kell megvizsgálnia), hogy a Fashion ID és a Facebook Ireland együttesen határozza meg ezek céljait és módját.

A Bíróság hangsúlyozza, hogy a Fashion ID-hoz hasonló honlap-üzemeltetőnek, mint a honlapjára látogatók személyes adataira irányuló egyes adatkezelési műveletek – például a honlapjára látogatók személyes adatainak gyűjtése a Facebook Ireland részére történő továbbítása – tekintetében (közös) adatkezelőnek már az adatgyűjtés időpontjában a honlaplátogatók rendelkezésére kell bocsátania bizonyos – például a kilétére és az adatkezelés céljára vonatkozó – információkat.”

Mit jelent ez a gyakorlatban?

Ha a honlapodon Facebook Like gombot használsz, a gomb nem töltődhet be a felhasználó hozzájárulásáig, ha hozzájárulás az adatkezelés jogalapja.

Ezt általában úgy szoktuk megoldani, hogy amikor a honlap betöltésekor felugrik a “cookie banner” (ezt szerencsésebb lenne hozzájáruláskérő felületnek nevezni), és még nem adta meg a hozzájárulását a weboldal látogató, akkor még nem töltődik be a Tetszik gomb. Ezt a legegyszerűbben úgy lehet szabályozni, hogy a Tetszik gombhoz tartozó SDK-t nem engedjük betölteni.

A Facebook Like tomb megjelenéséhez a fenti két kódrészletet kell betölteni. Ha az SDK, (a felső) nem töltődik be, nem indul meg az adat átadás és nem jelenik meg a gomb.

Ami után a felhasználó megadja a hozzájárulását, betöltődik a Facebook SDK, megjelennek a Like gombok a weboldalon.

Ez azért lehet jó megoldás technikailag, mert a Tetszik gomb megjelenéséhez két kódrészlet kell (ha a JavaScript-es verziót választjuk). Az egyik a Facebook SDK adja az alap környezetet és ez biztosítja az adatok átadását is. A másik pedig azért felel, hol jelenhen meg a gomb. Így ha az SDK nem töltődik be, bent maradhat az elhelyezésért felelő kódrészlet, nem fog megjelenni a gomb és nem indul meg az adatok átadása. További részletek ősszel megjelenő könyvünkben.

Magát a hozzájárulás kérő felületet (leánykori nevén cookie banner) úgy érdemes kialakítani, hogy a Tetszik gombhoz tartozó hozzájárulás kategóriánál érdemes leírni, hogy közös adatkezelés történik, illetve megjelölni a Facebook Ireland-et.

A Bíróság döntése értelmében az Adatkezelési tájékoztatóban is ki kell emelni, hogy a weboldal üzemeltető és a Facebook Ireland közös adatkezelők a Tetszik gomb használata esetén, plusz nem utolsó sorban a GDPR is plusz előírásokat tartalmaz közös adatkezelők esetén, amit szintén teljesíteni kell (pl. a közös adatkezelői szerződés tartalmának a lényegét is közzé kell tenni.)

Felkészül…?

Ok, ez a helyzet a Tetszik gombbal. De nem ez az egyetlen hasonló módon működő megoldás. A Facebook és más közösségi platformok is szívesen használnak hasonló gombokat. Vagyis minden olyan esetben, ha használunk például LinkedIn vagy Pinterest gombot, szintén fel kell készülnünk a fent ismertetett megoldásokkal.

Persze maradt még kérdés a döntés után, hiszen a Like gombot tudjuk például úgy telepíteni, hogy ne nyújtson a Facebooknak analitikai információkat. HA így telepítjük a kódot, ez vajon változtat a jogi helyzeten? Egyébként valószínűleg nem, mert adatátadás ilyenkor is történik, de mégis más egy kicsit a helyzet.

Viszont…

Amennyiben közös adatkezelők leszünk a Facebookkal (és a többi közösségi oldallal), erre a platformoknak is fel kell készülniük technikailag és jogilag is. A Facebook azonban még nem változtatott a szabályzatán és a megoldásain, tehát azon túl nem érdemes egyelőre sokkal többet tenni, hogy a hozzájáruláskérő felületünkhöz (cookie banner) kapcsolódó megoldásokat ellenőrizzük, hogy megfelelnek-e az elvárásoknak.

Amint pedig a Facebook rendberakja a saját szabályzatait és átalakítja a megoldásait, igazodnunk kell hozzá. Feltéve persze, hogy akarjuk használni ezeket a funkciókat.

Várjuk tehát a Facebook reakcióját, ugyanis nagyon fontos elemről van szó, ami weboldalak százmillióit érintheti.

Addig is azt javaslom, ellenőrizd a saját weboldalad technikai megoldásait, ha pedig szeretnél többet tudni a hasonló témákról, iratkozz fel az értesítőre, ami az ősszel megjelenő könyvünkhöz tartozik. A könyv témája ugyanis az online marketing és GDPR kapcsolata lesz gyakorlati oldalról megközelítve. Kattints ide a feliratkozáshoz!