Egy egész piacot forgat fel az uniós bíróság?

Sokakat meglepett, hogy a magyar adatvédelmi hatóság javára döntött az Európai Unió Bírósága egy előzetes döntéshozatali ügyben egy Magyarországon hirdetési szolgáltatást nyújtó szlovák székhelyű társaság tevékenységével kapcsolatban.

A történet azért érdekes, mert a bíróság határozata és a nemzeti adatvédelmi jogszabályok érvényesíthetőségéről kiadott állásfoglalása közvetlenül befolyásolja a Magyarország és más tagállam területére szolgáltatást nyújtó külföldi vállalkozások tevékenységét.
A bíróság októberben határozatot hozott a Weltimmo S. r. o nevű társaság adatkezelési tevékenységéről. A Szlovákiában bejegyzett cég németországi és ausztriai szervereken keresztül üzemeltette szolgáltatásait Magyarországon, amelyeken magyar nyelvű ingatlanhirdetések közzétételét kínálták. A hirdetések rövid ideig ingyenesek voltak, majd ezt követően a hirdetőknek díjat és kötbért is kellett fizetnie. Számos hirdető személyes adatok törlése és a hirdetések eltávolítása iránti kéréssel fordult a céghez, az azonban megtagadta ezt. Közben a Weltimmo a reklámozók személyes adatait a díjak behajtása érdekében hazai követeléskezelő cégeknek továbbította.

A panaszosok a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordultak, amely tízmillió forintos adatvédelmi bírságot szabott ki a szlovák társaságra. A Weltimmo megtámadta az adatvédelmi hatóság határozatát, arra hivatkozva, hogy a magyar hatóság nem járhatott el az ügyben. Hosszas huzavona után az EU Bíróságán kötött ki az ügy.
A bíróság döntése szerint a Weltimmo szlovák letelepedése ellenére megállapítható a magyar adatvédelmi jog alkalmazhatósága és a magyar adatvédelmi hatóság eljárási jogosultsága a szlovák társasággal szemben.

A bíróság kimondta, hogy a szlovák cég akkor is Magyarországon letelepedettnek minősül, és eljárhat vele szemben a magyar hatóság, ha tartós, de csupán csekély tevékenységet végez az országban. Vagyis olyan többletelemeket vett figyelembe, mint a helyi ingatlanok érintettsége, a szolgáltatás irányultsága és magyar nyelve, továbbá a képviselő követelések érvényesítésével kapcsolatos tevékenysége és jelenléte. A bíróság ezért kimondta, hogy a szlovák cégnek a magyar adatvédelmi követelményeket is be kell tartania.

A védelmi elv kiterjesztésével rendkívül alacsonyan húzták meg azt a határt, amelynek alapján egy online szolgáltatást nyújtó vállalkozás más tagállami adatvédelmi kötelezettségeknek, illetve egy külföldi adatvédelmi hatóság eljárásának lehet kitéve.

A Weltimmo-döntés ugyanis kétségtelenül arra ösztönzi a nemzeti adatvédelmi hatóságokat, hogy a külföldi vállalkozásokkal közvetlenül intézzék el a panaszokat, anélkül hogy az adatvédelmi hatóságok közötti együttműködés eszközeivel élnének.

A magyar adatvédelmi hatóság is örült a bíróság döntésének, és értelmezése szerint az online szolgáltatóknak minden olyan tagállam adatvédelmi jogszabályait kell betartaniuk, amelyekbe a szolgáltatásuk irányul. Ezért jelezte a hatóság, hogy nem engedi meg a nemzeti adatvédelmi szabályozás megkerülését. A magyar hatóság az EU Bírósága döntésének megfelelően teljes jogkörrel eljárhat a hozzá benyújtott panaszokkal kapcsolatosan, ami a panaszosok és a hatóság számára is jó hír.

A bíróság döntésének gyakorlati következményei mindazonáltal beláthatatlanok azon online vállalkozások számára, amelyek határon átnyúlóan végzik a tevékenységüket, többek között hirdetések közzétételével. Számos online vállalkozás – mint a Facebook – korábban egyetlen EU-tagállamban telepedett le, ugyanis eddig bizonyos lehetett abban, hogy az unión belül csak a székhelye állama szerinti adatvédelmi kötelezettségeket szükséges teljesítenie. A magyar vonatkozású Weltimmo-döntés után ez a helyzet alapjaiban megváltozott.

Ha egy vállalkozás adatkezelési tevékenysége több tagállamot érint, a jövőben már azzal számolhat, hogy minden olyan tagállam adatvédelmi követelményének meg kell felelnie, ahová a tevékenysége irányul. Bármely nemzeti adatvédelmi hatóság számon kérheti tőle az adatvédelmi bejelentési, nyilvántartási és tájékoztatási követelmények teljesítését. Ez bizonytalanságot okoz, és jelentősen megnöveli a megfelelés költségeit, ha egyszerre több, néha ellentmondó jogszabályi követelményeknek kell megfelelni.

A Weltimmo-döntés által okozott túlszabályozás problémájára valószínűleg csak az európai adatvédelmi rendelet elfogadása jelenthet megoldást. A rendelettel várhatóan 2017 év végéig egységes adatvédelmi szabályokat vezetnek be Európai Unió területén, és csak egyetlen felügyeleti hatóságnak lesz jogosítványa az eljárásra. Addig is a nemzeti adatvédelmi hatóságok által bevezetett nemzeti eljárások növekedése és további viták várhatók arról, hogy meddig terjed az egyes európai adatvédelmi hatóságok eljárási jogosultsága.