Az Európai Unió Bíróságának nagytanácsa a múlt héten a Facebook Ireland Ltd, Facebook Inc. és Facebook Belgium BVBA kontra Gegevensbeschermingsautoriteit (belga adatvédelmi hatóság) alapeljárásban kezdeményezett előzetes döntéshozatal iránti kérelem kapcsán hozott ítéletében több olyan kérdésben is állást foglalt, amelyek alapvetően meghatározzák a tagállamok adatvédelmi hatóságainak mozgásterét és ezáltal az adatvédelmi szabályokat sértő határon átnyúló adatkezelésekkel szembeni fellépés lehetőségét.

Az alapeljárás kezdete 2015-ig nyúlik vissza, amikor is a belga magánélet védelméért felelős bizottság elnöke (CBPL, ezen szervezet helyébe lépett később a Gegevensbeschermingsautoriteit) keresetet nyújtott be a Facebook és egyes leányvállalatai ellen. A kereseti kérelem arra irányult, hogy a Facebook a magánélet védelmére vonatkozó jogszabályok súlyos és nagy számban történő megsértését megvalósító adatkezeléseit szüntesse be. A jogsértések abban valósultak meg hogy a közösségi oldal sütik (cookies) közösségi média beépülő modulok (social plug-ins) illetve képpontok (pixels) segítségével adatokat gyűjtött a felhasználói, valamint a szolgáltatásait igénybe nem vevő személyek internetezési szokásairól. Ezen elemek lehetővé tették a Facebook számára, hogy megismerje az internetes honlap valamelyik oldalát megtekintő internethasználó bizonyos adatait, amelyek magukban foglalják például a megtekintett oldal címét, az említett oldal látogatójának „IP‑címét”, valamint megtekintés dátumát és időpontját.

A belga bíróság elsőfokon megállapította, hogy a Facebook valóban nem tájékoztatta megfelelően a felhasználókat ezen adatok gyűjtéséről, illetve ezek további felhasználásáról. Ezért arra kötelezte a Facebook csoport érintett tagjait, hogy a Belgium területén élő internet felhasználók vonatkozásában hagyjanak fel a hozzájárulás nélküli túlzott mértékű adatgyűjtéssel, továbbá szolgáltassanak információt az alkalmazott technológiákról és töröljék a nem megengedett eszközök révén gyűjtött adatokat.

Ezen döntéssel egyet nem értve fellebbezett a Facebook a brüsszeli fellebbviteli bíróságon, amely bíróság viszont csak a Facebook Belgium vonatkozásában állapította meg az illetékességét, valamint több meghatározó kérdésben kérte az Európai Unió Bíróságának döntését előzetes döntéshozatali eljárás keretében.

Az első és az ítélet gerincét képző legfontosabb kérdés miszerint, hogy a GDPR 58. cikkének (5) bekezdésében foglalt tagállami felügyeleti hatóságra vonatkozó jogkör – azaz, hogy a tagállami felügyeleti hatóság bírósághoz fordulhat adatvédelmi jogsértés esetén –  gyakorolható-e olyan felügyeleti hatóság által, amelyik az adott adatkezelés vonatkozásban nem a fő felügyeleti hatóság, azaz nem az illetékességi területén helyezkedik el az adatkezelő vagy adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye.

„A tagállamok jogszabályban előírják, hogy a felügyeleti hatóságuk hatáskörrel rendelkezik arra, hogy e rendelet megsértéséről tájékoztassa az igazságügyi hatóságokat, és adott esetben bírósági eljárást kezdeményezzen vagy abban más módon részt vegyen e rendelet rendelkezéseinek érvényre juttatása érdekében.”

Mind a Bíróság ítélete mind Bobek főtanácsnok korábban az ügyhöz fűzött indítványa kimondja, hogy főszabály szerint a határon átnyúló adatkezelések vonatkozásában az egyablakos ügyintézési mechanizmus értelmében a fő felügyeleti hatóságnak van illetékessége eljárni. Az egyablakos ügyintézési mechanizmus arra hivatott, hogy megkönnyítse az adatkezelők és adatfeldolgozók számára az adatvédelmi hatóságokkal való kommunikációt, azaz ne kelljen párhuzamosan több tagállam hatóságával is kapcsolatban állniuk. A Bíróság kiemeli azonban, hogy ez a „könnyítés” nem eredményezheti, hogy valamely hatóság nem látja el a rá háruló feladatait, hiszen ez teret engedne a forum shopping nem kívánatos gyakorlatának.

Az érintett hatóságoknak tehát egymással együttműködve kell eljárniuk azzal, hogy hatáskörüket azonban a fő felügyeleti hatósággal való együttműködés követelményének tiszteletben tartásával kell gyakorolniuk. A fő felügyeleti hatóságnak azonban minden esetben figyelembe kell vennie a többi érintett felügyeleti hatóság álláspontját.

Tehát bár alapvetően a fő felügyeleti hatóság feladata, hogy a kérdéses, határon átnyúló adatkezelés vonatkozásában szükség esetén döntést fogadjon el az adatkezelővel szemben, bizonyos esetekben a GDPR kivételszabályokat ír elő az egyablakos ügyintézési mechanizmus alapján a fő felügyeleti hatóságot megillető döntéshozatali jogosultság alól.

Ilyen esetek az alábbiak:

• az érintett hatóság jogosult a hozzá benyújtott panaszok kezelésére, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket;
• sürgősségi eljárás esetében az érintett felügyeleti hatóságnak lehetősége van, hogy haladéktalanul, de legfeljebb három hónapra ideiglenes intézkedést fogadjon el abból a célból, hogy saját tagállama területén joghatást váltson ki;
• amennyiben a fő felügyeleti hatóság úgy határoz, hogy az adott ügyben nem jár el, amire a GDPR 56. cikkének (5) bekezdése alapján lehetősége van, akkor a felügyeleti hatóság helyett az azt a vizsgálandó kérdésről tájékoztató érintett hatóság jár el.

A fentiekből látható, hogy a személyes adatok határon átnyúló kezelése területén a fő felügyeleti hatóság jogsértést megállapító döntési illetékessége tekinthető általánosnak, a többi felügyeleti hatóság jogosultsága csupán kivételt képez a főszabály aló. Ebből kifolyólag amennyiben egy fő felügyeleti hatóságnak nem minősülő felügyeleti hatóság a döntési illetékességénél szélesebb körben gyakorolhatná a GDPR 58. cikk (5) bekezdésébe foglalt bírósági eljárás kezdeményezésére vonatkozó jogosultságát azzal az egyablakos ügyintézési mechanizmus érvényesülését korlátozná.

„Az ilyen hatáskör gyakorlása ugyanis kötelező erejű bírósági határozat meghozatalát célozza, amely ugyanúgy sértheti a fenti célkitűzést és az említett mechanizmust, mint az olyan felügyeleti hatóság által hozott határozat, amely nem minősül fő felügyeleti hatóságnak.”

Fő felügyeleti hatóságnak nem minősülő felügyeleti hatóság tehát akkor gyakorolhatja a kereset indítási jogát határon átnyúló adatkezelések vonatkozásban is amennyiben a GDPR az adott kérdésben az érintett hatóság illetékességét írja elő annak megállapítására vonatkozó határozat meghozatalára, hogy az adatkezelés sérti a GDPR szabályait. Továbbá minden esetben tiszteletben kell tartania az együttműködési és egységességi eljárásokat.

A bíróság továbbá kimondta, hogy az ezen eljárás kezdeményezésre vonatkozó jogkör nem korlátozódik azokra az estekre mikor az adatkezelő vagy adatfeldolgozó a fő felügyeleti hatóságnak nem minősülő hatóság tagállamának területén tevékenységi központtal vagy más tevékenységi hellyel rendelkezik. Elegendő tehát ha az adatkezelő vagy adatfeldolgozó tevékenységi helye az Unió területén van és így az adatkezelés a GDPR hatálya alá tartozik. Ebből következik a Bíróság azon megállapítása, hogy ilyen kereset nem kizárólag az adatkezelő tevékenységi központja ellen indítható, jelen ügyben például ez teszi lehetővé a Facebook Belgium bíróság elé citálását, mert alapvetően a Facebook minden adatkezelése körében az írországi leányvállalat jár el adatkezelőként, ez tehát a vállalatcsoport Uniós tevékenységi központja, de amennyiben az adatkezelési tevékenység összefügg más tevékenységi hellyel is úgy az eljárás azzal az entitással szemben is kezdeményezhető.

A Bíróság továbbá megerősítette a GDPR 58. cikk (5) bekezdésének közvetlen hatályát, valamint ugyanezen rendelkezés időbeli hatálya esetében megállapította, hogy amennyiben az érintett hatóság még a GDPR hatálybalépését megelőzően keresetet indított úgy az a Rendelet hatálybalépését követően is fenntartható. A keresetindításra a Rendelet hatálybalépését követően elkövetett jogsértésekkel összefüggésben pedig fent leírt feltételeknek való megfelelés esetén van mód.

Végezetül sajnálatos módon a Bíróság a kérdés teoretikus jellegére és az ügyhöz való szoros kapcsolat hiányára hivatkozással megtagadta a válaszadást arra a kérdésre, hogy egy fő felügyeleti hatóságnak nem minősülő felügyeleti hatóság által kezdeményezett bírósági eljárásban hozott határozat akadályát képezheti-e a fő felügyeleti hatóság ellentétes döntésének. Így a res iudicata felügyeleti hatóságok döntési szabadságára gyakorolt hatásának tisztására egyelőre várnunk kell.

dr. Farkas Márton ügyvédjelölt

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.