Az adatkezelő vagy adatfeldolgozó Európai Unión belüli tevékenységi központja szerinti tagállam adatvédelmi hatósága általános illetékességgel rendelkezik az általános adatvédelmi rendelet határokon átnyúló adatkezelés vonatkozásában történő megsértése miatti bírósági eljárás megindítására – Michal Bobek uniós főtanácsnok szerint. A többi érintett adatvédelmi hatóság mindazonáltal jogosult ilyen eljárásoknak a tagállamában való megindítására olyan helyzetekben, amikor erre az általános adatvédelmi rendelet kifejezetten feljogosítja – áll a főtanácsnok indítványában.
A főtanácsnok indítványa a C-645/19. sz. ügyben Facebook Ireland Limited, Facebook INC, Facebook Belgium BVBA kontra Gegevensbeschermingsautoriteit
2015 szeptemberében a belga adatvédelmi hatóság eljárást indított a belga bíróságok előtt a Facebook-csoporthoz (a továbbiakban: Facebook) tartozó több társaság, nevezetesen a Facebook INC és a csoport Európai Unión belüli tevékenyégi központja, a Facebook Ireland Ltd, valamint a Facebook Belgium BVBA (a továbbiakban: Facebook Belgium) ellen. Ezen eljárásban az adatvédelmi hatóság a Facebook arra való kötelezését kérte, hogy a Belgium területén letelepedett valamennyi internethasználó tekintetében hagyjon fel azzal, hogy beleegyezésük nélkül bizonyos cookie-kat helyez el azokon az eszközökön, amelyeket e személyek akkor használnak, amikor valamely weboldalon böngésznek a Facebook.com domén alatt, vagy amikor harmadik fél weboldalára kerülnek, valamint azzal, hogy harmadik fél weboldalain túlzott mértékben gyűjt adatokat „social pluginek” és „pixelek” segítségével. Emellett azt kérte, hogy a „cookie-k” és a „social pluginek” segítségével a Belgium területén letelepedett egyes internethasználókról megszerzett valamennyi személyes adatot töröljenek.
A szóban forgó eljárás jelenleg a Hof van beroep te Brussel (brüsszeli fellebbviteli bíróság, Belgium) előtt van folyamatban, bár annak hatálya a Facebook Belgiumra korlátozódik, mivel az említett bíróság korábban megállapította, hogy nem rendelkezik joghatósággal a Facebook INC és a Facebook Ireland Ltd elleni keresetek elbírálására. Ebben az összefüggésben a Facebook Belgium azt állítja, hogy attól az időponttól kezdve, amikortól az általános adatvédelmi rendelet (GDPR)1 alkalmazandó, a belga adatvédelmi hatóság elvesztette illetékességét a Facebook elleni szóban forgó eljárás folytatására. Arra hivatkozik, hogy az általános adatvédelmi rendelet alapján kizárólag a Facebook Európai Unión belüli tevékenységi központja szerinti állam adatvédelmi hatósága (a Facebook tekintetében az Európai Unión belül az ún. „fő” adatvédelmi hatóság), azaz az ír Data Protection Commission (adatvédelmi bizottság) jogosult bírósági eljárást indítani a Facebook ellen az általános adatvédelmi rendeletnek a határokon átnyúló adatkezelés vonatkozásában történő megsértése miatt.
E körülmények között a Hof van beroep te Brussel azzal a kérdéssel fordult a Bírósághoz, hogy az általános adatvédelmi rendelet ténylegesen megakadályozza-e, hogy a fő adatvédelmi hatóságtól eltérő valamely nemzeti adatvédelmi hatóság bírósági eljárást indítson a tagállamában e rendelet szabályainak a határokon átnyúló adatkezelés vonatkozásában történő megsértése miatt.
Indítványában Michal Bobek főtanácsnok először is megállapítja, hogy az általános adatvédelmi rendelet szövegéből2 kitűnik, hogy a fő felügyeleti hatóság általános illetékességgel rendelkezik a határokon átnyúló adatkezelés vonatkozásában, az általános adatvédelmi rendelet megsértése miatti bírósági eljárás megindítását is beleértve, és ebből adódóan a többi érintett adatvédelmi hatóság e tekintetben korlátozottabb hatáskörrel rendelkezik.
Azon tényt illetően, hogy az általános adatvédelmi rendelet bármely adatvédelmi hatóságnak hatáskört biztosít arra, hogy bírósági eljárást kezdeményezzen a területét érintő esetleges jogsértésekkel szemben, a főtanácsnok kifejti, hogy e hatáskör kifejezetten korlátozott a határokon átnyúló adatkezelés vonatkozásában, éppen abból a célból, hogy a fő adatvédelmi hatóság számára lehetővé váljon feladatainak e tekintetben való gyakorlása.
Másodszor, a főtanácsnok emlékeztet arra, hogy az általános adatvédelmi rendeletben szabályozott egységességi mechanizmust, amelynek révén jelentős szerepet biztosítottak a fő adatvédelmi hatóságnak és együttműködési mechanizmusokat hoztak létre a többi adatvédelmi hatóság bevonása céljából, éppen azért vezették be, hogy a korábbi jogszabályból3 eredő egyes hiányosságokat kiküszöböljék. A gazdasági szereplőknek ugyanis be kellett tartaniuk az említett jogszabályt végrehajtó különféle nemzeti szabályokat, és egyidejűleg egyeztetniük kellett valamennyi nemzeti adatvédelmi hatósággal, ami nemcsak költségesnek, nehéznek és időigényesnek bizonyult az említett gazdasági szereplők számára, hanem a bizonytalanság és a konfliktusok elkerülhetetlen forrása is számukra és fogyasztóik számára.
Az ahhoz kapcsolódó érvek kapcsán, hogy az adatkezeléssel érintett személy jogosult-e bírósági eljárást kezdeményezni, a főtanácsnok hangsúlyozza, hogy ezen érintettek közvetlenül keresetet indíthatnak az adatkezelő vagy az adatfeldolgozó ellen, többek között a tartózkodási helyük szerinti tagállam bíróságai előtt. Ezenkívül a főtanácsnok rámutat, hogy az adatkezeléssel érintett személyek panaszt nyújthatnak be a tagállamuk adatvédelmi hatóságához még akkor is, ha egy másik tagállam adatvédelmi hatósága minősül fő adatvédelmi hatóságnak. Amennyiben a panaszt részben vagy egészben elutasítják, az arról szóló határozatot az előbbi hatóság fogadja el, ezzel tehát lehetővé válik a panaszos számára, hogy azt a tartózkodási helye szerinti bíróságok előtt támadja meg.
Harmadszor, a főtanácsnok hangsúlyozza, hogy a fő adatvédelmi hatóság nem tekinthető úgy, mint amely a határokon átnyúló helyzetekben egyedül hajtja végre az általános adatvédelmi rendeletet, továbbá e hatóságnak az általános adatvédelmi rendeletben előírt vonatkozó szabályoknak és határidőknek megfelelően szorosan együtt kell működnie a többi érintett adatvédelmi hatósággal, amelyek álláspontja e területen rendkívüli jelentőséggel bír.
Negyedszer, a főtanácsnok kiemeli, hogy a nemzeti adatvédelmi hatóságok, még ha nem is fő hatóságként járnak el, különböző helyzetekben indíthatnak keresetet a tagállamuk bíróságai előtt a határokon átnyúló adatkezelés vonatkozásában. Ezek a helyzetek különösen a következők: ha a nemzeti adatvédelmi hatóságok i. az általános adatvédelmi rendelet tárgyi hatályán kívül járnak el; ii. a közhatalmi szervek által közérdekből, közhatalmi jogosítvány gyakorlása során végzett vagy az Unióban nem letelepedett adatkezelők által végzett, határokon átnyúló adatkezelést vizsgálnak; iii. sürgős intézkedéseket fogadnak el; vagy iv. azt követően lépnek fel, hogy a fő felügyeleti hatóság úgy határoz, hogy nem jár el az ügyben.
E körülmények között a főtanácsnok megállapítja, hogy az általános adatvédelmi rendelet lehetővé teszi valamely tagállam adatvédelmi hatósága számára, hogy eljárást kezdeményezzen e tagállam bírósága előtt az általános adatvédelmi rendeletnek a határokon átnyúló adatkezelés vonatkozásában történő állítólagos megsértése miatt, annak ellenére, hogy nem minősül az ilyen eljárás megindítása tekintetében általános illetékességgel rendelkező fő adatvédelmi hatóságnak, feltéve, hogy ezt olyan helyzetekben teszi, amikor az általános adatvédelmi rendelet e célból kifejezetten illetékességet biztosít a számára, és hogy az általános adatvédelmi rendeletben meghatározott megfelelő eljárások szerint jár el.
______________________________________________________________________________
1A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1 o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.). Az általános adatvédelmi rendelet 2016. május 24-én lépett hatályba, és 2018. május 25-től alkalmazandó.
2(124) preambulumbekezdés, az 56. cikk (1) és (6) bekezdése.
395/46/EK irányelv.