Szerzők: dr. Domokos Márton, dr. Horváth Anna Zsófia
Az Európai Unió Bírósága („EUB”) 2021. június 15-én megjelent előzetes döntéshozatali eljárásban hozott ítéletében (C-645/19) a határon átnyúló adatkezeléseket, ezen belül a tagállami adatvédelmi hatóságoknak a GDPR VI-VII. fejezeteiben szabályozott egységességi eljárás („one-stop-shop”, „egyablakos ügyintézés”) során felmerülő illetékességét és eljárási jogosultságait vizsgálta.
Az egyablakos ügyintézés a GDPR alapján
A GDPR által bevezetett egységességi eljárás új intézményként jelent meg a tényleges vagy feltételezett adatvédelmi jogsértések vizsgálatára. Eszerint az adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés esetén egy fő felügyeleti hatóság jár el („Lead Supervisory Authoriry”), amely illetékességét a GDPR 56. cikke szerint az adatkezelő vagy adatfeldolgozó (i) tevékenységi központja vagy (ii) egyetlen tevékenységi helye alapozza meg. A tevékenységi központ a fő felügyeleti hatóság megállapításának alapja akkor, ha az adatkezelő vagy adatfeldolgozó több tagállamban több tevékenységi helyen folytat adatkezelési tevékenységet (GDPR 4. cikk 23. pont a)). Ezzel szemben az egyetlen tevékenységi hely szempont érvényesül, ha az adatkezelésre az adatkezelő vagy az adatfeldolgozó egyetlen tagállamban lévő tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint érintetteket (GDPR 4. cikk 23. pont b)). Az egyablakos ügyintézés alapján ilyen határon átnyúló ügyekben a fő felügyeleti hatóság lesz az, amely a GDPR 60. cikk (1) bekezdés alapján konszenzusra törekedve együttműködik a többi érintett felügyeleti hatósággal.
Az alapügy tényállása és az előzetes döntéshozatalra előterjesztett kérdések
Az alapügyben a belga adatvédelmi hatóság a Facebook Belgium BVBA, a Facebook Inc. és a Facebook Ireland Ltd. (együttesen „Facebook”) ellen lépett fel, A közösségi oldalak profilalkotás és marketingcélból különböző technológiák, – például a sütik, közösségi média beépülő modulok (például a „Tetszik” vagy a „Megosztás” gomb) vagy képpontok – révén információkat gyűjtöttek mind a Facebook‑fiókok tulajdonosainak, mind pedig a Facebook‑szolgáltatásokat igénybe nem vevők interneten folytatott tevékenységére vonatkozóan. Ez lehetővé teszi a Facebook számára, hogy megszerezze az adott weboldalt megtekintő internethasználó egyes adatait, például az oldal címét, az oldal látogatójának IP‑címét, valamint az oldal megtekintésének dátumát és időpontját. Erre tekintettel a belga hatóság jogszerűtlen adatkezelés miatt eljárást indított a brüsszeli elsőfokú bíróságon. A GDPR 58. cikke (5) bekezdése lehetőséget ad a tagállamoknak arra, hogy lehetővé tegyék a felügyeleti hatóságok számára, hogy bírósági eljárást kezdeményezzenek. A belga adatvédelmi hatóság a hatályos belga jogszabályokban (az adatvédelmi hatóság létrehozásáról szóló 2017. december 3-i törvény, 6. cikk) megállapított hatásköre alapján járt el. A bíróság elsőfokon megállapította illetékességét, és ideiglenes intézkedésként elrendelte az említett adatkezelési gyakorlat megszüntetését.
A belga fellebbviteli bíróságon zajló fellebbezési eljárásban a fellebbviteli bíróság ezzel szemben megállapította saját illetékességének hiányát a Facebook Inc. és a Facebook Ireland Ltd. ellen indított keresetek tekintetében, míg a Facebook Belgium BVBA ellen indított kereset tekintetében fenntartotta saját illetékességét. A Facebook Belgium BVBA ezzel kapcsolatban azt állította, hogy a GDPR egyablakos ügyintézés mechanizmusának bevezetése óta a belga adatvédelmi hatóság elvesztette illetékességét a bírósági eljárás megindítására, mert nem minősül fő felügyeleti hatóságnak. Érvelésük szerint a szóban forgó határokon átnyúló adatkezelés tekintetében a fő felügyeleti hatóság az ír adatvédelmi hatóság („Data Protection Commission”) lenne. Az adatkezelő Európai Unión belüli tevékenységi központja Írországban található (Facebook Ireland Ltd). A belga fellebbviteli bíróság az eljárást felfüggesztette, és előzetes döntéshozatal iránti kérelmet nyújtott be az Európai Unió Bíróságához.
Az előzetes döntéshozatalban kért állásfoglalás elsősorban az egyablakos ügyintézés és a GDPR 58. cikk (5) bekezdésének azon rendelkezése kapcsolatára irányul, mely szerint egy felügyeleti hatóság hatáskörrel rendelkezik arra, hogy a GDPR megsértésével kapcsolatban adott esetben bírósági eljárást kezdeményezzen. A belga fellebbviteli bíróság által feltett kérdés lényegében arra irányul, hogy a GDPR 58. cikk (5) bekezdésére hivatkozással eljárhat-e a (a belga ügyben: kezdeményezhet-e bírósági eljárást) fő felügyeleti hatóságon kívül más hatóság határon átívelő adatvédelmi jogsértések esetén.
Az előterjesztő belga fellebbviteli bíróság megállapításai
Az előterjesztő bíróság két korábbi ügyben hozott döntésre alapozva érvelt illetékessége fenntartása mellett. Ezek egyike a 2018. június 5‑i Wirtschaftsakademie Schleswig‑Holstein ítélet (C‑210/16), amelyben az EUB kimondta, hogy a német felügyeleti hatóság hatáskörrel rendelkezik személyes adatok védelmével kapcsolatos jogviták eldöntésére, annak ellenére, hogy az érintett adatok adatkezelője (Facebook Ireland Ltd.) Írországban rendelkezik székhellyel, és a németországi székhelyű leányvállalata, a Facebook Germany GmbH Németország területén kizárólag marketingtevékenységekkel foglalkozik.
A másik – az ítéletben egy bekezdés terjedelemben hivatkozott – ügy a német versenyhatóság („Bundeskartellamt”) 2019-es „Facebook-döntése”, amelyben a hatóság az ír székhelyű Facebook Ireland Ltd. gazdasági erőfölénnyel való visszaélését állapította meg arra alapozva, hogy különböző forrásokból származó adatokat kapcsolt össze. A kérdést előterjesztő belga fellebbviteli bíróság szerint a német versenyhatóság is az akkor már létező egyablakos ügyintézés szabályai mellett állapította meg illetékességét.
Az Európai Unió Bírósága értelmezése
Az EUB több, egymással összefüggő szempontot vizsgált az egyablakos ügyintézés eljárási szabályaival kapcsolatban.
1. A fő felügyeleti hatóságnak nem minősülő tagállami felügyeleti hatóság eljárási jogosultsága
Az EUB hangsúlyozta, hogy az egyablakos ügyintézési mechanizmus célja a tagállamok közötti egységes jogalkalmazás létrehozása. Ennek megfelelően a kérdést három oldalról, (i) az egyablakos ügyintézési mechanizmus céljának érvényesülése, másrészt (ii) a felügyeleti hatóságok eljárási jogosultsága, harmadrészt (iii) a felügyeleti hatóságok közötti együttműködési és tájékoztatási kötelezettség szempontjait alapul véve vizsgálta.
Az EUB állásfoglalása értelmében a főszabály a fő felügyeleti hatóság adatkezelés GDPR-ba ütközését megállapító határozat meghozatalára való jogosultsága, a többi érintett felügyeleti hatóság ilyen határozat elfogadására vonatkozó, akár csak ideiglenesen fennálló jogosultsága kivételt képez.
Ilyen kivételt állapít meg a GDPR
- 56. cikk (2) bekezdése, „amely szerint minden felügyeleti hatóság jogosult […] a GDPR esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket”, és
- 66. cikke (1) és (3) bekezdése, amely szerint bármely felügyeleti hatóság „legfeljebb három hónap időtartamra ideiglenes intézkedéseket fogadhat el abból a célból, hogy saját tagállama területén joghatást váltson ki vagy kérheti az EDPB-t, hogy sürgősségi eljárás keretében az esettől függően bocsásson ki véleményt vagy fogadjon el kötelező erejű döntést, ha valamely illetékes felügyeleti hatóság nem tett megfelelő intézkedést olyan helyzetben, amikor az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség.”
Az EUB jelen döntésében lehetővé teszi, hogy az a tagállami felügyeleti hatóság, amely a GDPR 56. cikkének (1) bekezdése értelmében nem minősül fő felügyeleti hatóságnak, de a GDPR 58. cikke (5) bekezdésének (felügyeleti hatósági hatáskör bírósági eljárás indítására tagállami jog alapján, ld. fent) végrehajtása céljából elfogadott nemzeti jogszabályok szerint bármely állítólagos adatvédelmi jogsértés esetén jogosult e tagállam bíróságait tájékoztatni és adott esetben keresetet indítani, két feltétel együttes fennállása esetén gyakorolhatja e hatáskörét a határokon átnyúló adatkezelés vonatkozásában:
- erre azon helyzetek egyikében kerül sor, amikor a GDPR az említett felügyeleti hatóság illetékességét írja elő az azt megállapító határozat elfogadása tekintetében, hogy ezen adatkezelés sérti az abban foglalt szabályokat (pl. a fent említett 56. cikk (2) bekezdése, vagy a 66. cikk), és
- amennyiben tiszteletben tartják a GDPR által előírt együttműködési és egységességi eljárásokat.
A gyakorlatban ez azt jelenti, hogy az egyablakos ügyintézés mechanizmus ellenére a továbbiakban bármely érintett felügyeleti hatóság saját tagállami joga alapján eljárást kezdeményezhet olyan adatkezelővel és adatfeldolgozóval szemben, amelyekre nézve nem minősül fő felügyeleti hatóságnak, amennyiben a fenti két feltétel teljesül.
2. Illetékességet megalapozó tevékenységi központ vagy tevékenységi hely
Ehhez kapcsolódóan az EUB megállapította, hogy a GDPR 58. cikk (5) bekezdése nem kötötte valamely tagállam felügyeleti hatóságának eljárását olyan feltételhez, hogy ez az eljárás csak olyan adatkezelő ellen indítható, akinek a GDPR 4. cikk 23. pontja szerint megállapított tevékenységi központja az adott tagállamban található. Az EUB ebből arra következtetett, hogy „határokon átnyúló személyesadat-kezelés esetén a fő felügyeleti hatóságtól eltérő tagállami felügyeleti hatóság bírósági eljárás kezdeményezésére vonatkozó hatáskörének gyakorlása nem követeli meg, hogy a határokon átnyúló adatkezelés szempontjából adatkezelőnek vagy adatfeldolgozónak minősülő azon személy, aki ellen ezen eljárást kezdeményezik, e tagállam területén tevékenységi központtal vagy más tevékenységi hellyel rendelkezzen.”
A gyakorlatban ez azt jelenti, hogy olyan tagállami felügyeleti hatóság is kezdeményezhet bírósági eljárást, amely területén az adatkezelőnek/adatfeldolgozónak tevékenységi központja vagy más tevékenységi helye nincs, viszont az adatkezelés jelentős hatással van az adott tagállam területén élő érintettekre. Így például egy „A” tagállamban tevékenységi központtal rendelkező adatkezelő és egy „B” tagállamban tevékenységi hellyel rendelkező adatfeldolgozója tevékenységére kiterjed „C” tagállam adatvédelmi hatósága illetékessége, ha az adatkezelés „C” tagállam területén tartózkodó érintettekre irányul, és/vagy rájuk jelentős hatással van anélkül, hogy az adatkezelő vagy adatfeldolgozó „C” tagállamban bármilyen formában fizikailag jelen lenne.
3. A GDPR 58. cikk (5) bekezdés közvetlen hatálya
Végül, az EUB elismerte a GDPR 58. cikk (5) bekezdés közvetlen hatályát, amely szerint minden tagállamnak jogszabályban kell rendelkeznie arról, hogy a felügyeleti hatósága jogosult a GDPR megsértését az igazságügyi hatóságok tudomására hozni, és adott esetben bírósági eljárást kezdeményezni vagy más módon részt venni benne. A gyakorlatban ez azt jelenti, hogy egy tagállami adatvédelmi hatóság hivatkozhat erre a rendelkezésre a magánfelekkel szembeni peres eljárás megindítása vagy folytatása érdekében, még akkor is, ha azt a tagállam jogszabályai kifejezetten nem teszik lehetővé.
A döntés gyakorlati jelentősége
A döntés jelentősnek tekinthető abból a szempontból, hogy további értelmezéssel pontosítja az egyablakos ügyintézési mechanizmus szabályait, amely a hatóságok oldaláról, és az adatkezelők, valamint adatfeldolgozók oldaláról is nagyobb jogbiztonságot jelent. Az, hogy a fő felügyeleti hatóság eljárása főszabályként jelenik meg, de továbbra is teret enged az egyéb tagállami hatóságok eljárásának, adatkezelői és adatfeldolgozói oldalról szükségessé teszi határon átívelő adatkezelések esetén az összes érintett tagállam tagállami joga szerinti adatvédelmi megfelelőség szem előtt tartását. Ez elől az sem mentesít, ha az adatkezelő vagy adatfeldolgozó tevékenységi központja nem az adott tagállamban van, erre adatkezelők és adatfeldolgozók a döntés alapján nem hivatkozhatnak akkor, ha az adatkezelésük de facto hatással jár adott tagállam vonatkozásában.
Eddig a fő felügyeleti hatóságon kívüli többi 26 tagállam hatóságai általában nem szabtak ki bírságokat vagy adtak utasításokat az illetékességükön kívül eső vállalatokkal szemben az adatkezelési gyakorlatok miatt, és a vállalatok a helyi szabályozó hatóságukkal, nem pedig mind a 27 tagállammal álltak kapcsolatban.
A jelenlegi ítélet kiterjeszti a tagállami felügyeleti hatóságok illetékességét, amely a fenti gyakorlat megváltozását eredményezheti, szabályozói és vállalati oldalról egyaránt. Ez a kiterjesztés egyelőre csak a GDPR 58. cikk (5) bekezdés szerinti hatáskörökre (igazságügyi hatóságok tájékoztatása, bírósági eljárás kezdeményezése) korlátozódik. Másrészről, az EUB fenti első feltétele olyan esetekre is megállapítja egy tagállam felügyeleti hatósága illetékességét, ha egyébként a 66. cikk szerinti sürgősségi eljárás indítására jogosult lenne. A sürgősségi eljárásban ideiglenes intézkedések megtételének egyik feltétele, hogy a hatékony jogvédelem érdekében „sürgős fellépésre” van szükség. Hogy pontosan mi minősül sürgős fellépésre okot adó körülménynek, a GDPR alapján nem, hanem felügyeleti hatóság saját mérlegelése alapján dől el. Egy felügyeleti hatóság ennek alapján elméletileg kiterjesztheti saját illetékességét sürgős fellépésre hivatkozva, ami vállalati oldalról újabb bizonytalansághoz vezetne.
Az így kiszélesedő tagállami felügyeleti hatósági illetékesség oda vezethet, hogy a vállalatok a különböző országok szabályozó hatóságainak egymásnak ellentmondó döntéseivel szembesülhetnek. Az egységességi mechanizmustól való visszalépést jelentené, és határon átnyúló adatkezelés esetén nehezen kivitelezhető, hogy a vállalat változtasson a megközelítésén különböző tagállamokban.
A fentiek fényében az is kérdéses, hogy a szabályozó hatóságok számára mennyire lesz egyszerű a gyakorlatban betartani a GDPR együttműködési és egységességi mechanizmusait.
Az előzetes döntéshozatali eljárás eredményeképp hozott döntés elérhető itt.
A határon átnyúló adatkezelések során a fő felügyeleti hatóság azonosításáról szóló EDPB iránymutatás elérhető angol nyelven itt.