A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT

A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT

0836-02/10/HU WP 179

8/2010. számú vélemény az alkalmazandó jogról

Elfogadás id•pontja: 2010. december 16.

Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg. A titkársági feladatokat ellátja: Európai Bizottság, Jogérvényesülési F•igazgatóság, C. Igazgatóság (Alapvet• jogok és uniós polgárság), B-1049 Brüsszel, Belgium, MO59 06/036 sz. iroda. Honlap: http://ec.europa.eu/justice/policies/privacy/index_en.htm

Összefoglaló E vélemény a 95/46/EK irányelv, és különösen annak 4. cikke alkalmazási körét tisztázza. A 4. cikk azt határozza meg, hogy az ezen irányelvnek megfelel•en elfogadott nemzeti jogszabály(ok) közül mely(ek) alkalmazandó(k) a személyes adatok feldolgozására. A vélemény emellett néhány olyan területet is kiemel, amelyeken még lehetne javítani. Annak meghatározása, hogy az uniós jog mikor alkalmazandó a személyes adatok feldolgozására, az uniós adatvédelmi jog hatályának tisztázását szolgálja, mind az EU/EGT-n belül, mind tágabb nemzetközi összefüggésben. Az alkalmazandó jog egyértelm• meghatározása el•segíti majd, hogy jogbiztonságot nyújtsunk az adatkezel•k számára, valamint világosabb keretet teremtsünk az egyének és más érdekeltek számára. Ezenkívül az alkalmazandó jogra vonatkozó rendelkezések helyes értelmezése biztosítja, hogy ne mutatkozzanak joghézagok vagy kibúvók a személyes adatok 95/46 irányelv által biztosított magas szint• védelmében. A 4. cikk (1) bekezdésének a) pontját illet•en az „egy” szervezetre való utalás azt jelenti, hogy a tagállam jogának alkalmazandóságát az adatkezel• egy szervezetének adott tagállamban való elhelyezkedése váltja ki, míg az adatkezel• más szervezeteinek más tagállamokban való elhelyezkedése e tagállamok jogának alkalmazandóságához vezethet. A nemzeti jog alkalmazandóságának megalapozása szempontjából a szervezet „tevékenységeinek keretében” fogalma az irányadó. Ez arra utal, hogy az adatkezel• szervezete olyan tevékenységekben vesz részt, amelyek személyes adatok feldolgozásával járnak, figyelemmel az adatfeldolgozási tevékenységekben való részvételének fokára, a tevékenységek jellegére és a hatékony adatvédelem biztosításának szükségességére. A 4. cikk (1) bekezdésének c) pontjában az „eszközt alkalmaz” (az angolban: „use of equipment”) rendelkezést illet•en, amely ahhoz vezethet, hogy az irányelvet az EU/EGT területén nem letelepedett adatkezel•kre alkalmazzák, a vélemény egyértelm•vé teszi, hogy ezt olyan esetekben kell alkalmazni, amikor nincs olyan szervezet az EU/EGT területén, amely megalapozná a 4. cikk (1) bekezdése a) pontjának alkalmazását, vagy ahol az adatfeldolgozást nem ilyen szervezet keretében végzik. A vélemény megjegyzi továbbá, hogy az „equipment” (berendezés) fogalmának tág értelmezése – amelyet az indokol, hogy az angolon kívüli egyes uniós nyelveken ezt az eszköz („means”) megfelel•jével fejezik ki – egyes olyan esetekben is az európai adatvédelmi jog alkalmazandóságához vezethet, amikor a szóban forgó adatfeldolgozás nem áll valódi kapcsolatban az EU/EGT-vel. A vélemény továbbá iránymutatással és példákkal szolgál a következ•k tekintetében: a 4. cikk egyéb rendelkezései; a 17. cikk (3) bekezdése értelmében az alkalmazandó jogból ered• biztonsági követelmények; az adatvédelmi hatóságok azon lehet•sége, hogy hatásköreiket gyakorolva a területükön végzett adatfeldolgozási m•veleteket vizsgálják és beavatkozzanak, még ha másik tagállam joga alkalmazandó is (28. cikk (6) bekezdés). A vélemény továbbá megállapítja, hogy az irányelv szóhasználata, és a 4. cikk különböz• részei közötti összhang szempontjából hasznos lenne a további tisztázás az általános adatvédelmi keret felülvizsgálatának részeként. Ebb•l a szempontból az alkalmazandó jogra vonatkozó szabályok egyszer•sítése a származási ország elvéhez való visszalépést jelentene: így az adatkezel• EU-ban található összes szervezete ugyanazt a jogot – a székhely jogát – alkalmazná, függetlenül attól, hogy a szervezetek mely tagállam területén találhatók. Ez azonban csak akkor lehetne elfogadható, ha megvalósulna a nemzeti jogszabályok átfogó harmonizálása, ideértve a biztonsági kötelezettségek harmonizálását is. További kritériumok alkalmazhatók, ha az adatkezel• az EU-n kívül telepedett le, annak biztosítása érdekében, hogy megfelel• kapcsolat álljon fenn az EU területével, elkerülve ugyanakkor, hogy az EU területét harmadik országokban letelepedett adatkezel•k jogellenes adatkezelési m•veletek folytatására használják. E tekintetben az alábbi kritériumokat lehetne kidolgozni: az egyénekre -2-

irányulás, ami akkor vezetne az uniós adatvédelmi jog alkalmazásához, ha a személyes adatok feldolgozásával járó tevékenység az EU-ban céloz meg egyéneket; az eszköz-kritérium alkalmazása reziduális és korlátozott formában, ami a határesetekre vonatkozna (nem uniós érintettek adatai, az EU-hoz f•z•d• kapcsolattal nem rendelkez• adatkezel•k), amennyiben az EU-ban található releváns adatfeldolgozási infrastruktúra.

-3-

Az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport, amelyet az Európai Parlament és a Tanács 1995. október 24-i 95/46/EK irányelve (HL L 281., 1995.11.23., 31. o.) hozott létre, tekintettel a fenti irányelv 29. cikkére, valamint 30. cikke (1) bekezdésének a) pontjára és (3) bekezdésére, tekintettel a munkacsoport eljárási szabályzatára, elfogadta a következ• véleményt:

-4-

I. II.

Bevezetés ................................................................................................................6 Általános megállapítások és szakpolitikai kérdések .................................................8 II.1. Rövid történet: a 108. egyezményt•l a 95/46/EK irányelvig .............................8 II.2. A fogalmak szerepe .........................................................................................9 II.2.a) Kontextus és stratégiai jelent•ség.............................................................9 II.2.b) Az uniós jog és a nemzeti jog hatálya az EU/EGT-n belül........................9 II.2.c) A joghézagok és a túlzott átfedések elkerülése .......................................11 II.2.d) Alkalmazandó jog és joghatóság az irányelv összefüggéseiben ..............11 III. A rendelkezések elemzése .................................................................................12 III.1. Egy vagy több tagállam területén letelepedett adatkezel• (4. cikk (1) bekezdés a) pont) ......................................................................................................12 a) „… a tagállam területén az adatkezel• egy szervezete ...”...........................12 b) „… az adatfeldolgozást … tevékenységeinek keretében végzik … ” ..........14 III.2. Olyan helyen letelepedett adatkezel•, ahol valamely tagállam joga a nemzetközi közjog értelmében alkalmazandó (4. cikk (1) bekezdés b) pont)..............19 III.2.a) „ … az adatkezel• nem valamely tagállam területén telepedett le …”.....19 III.2.b) „…, hanem olyan helyen, amelynek nemzeti joga [helyesen: olyan helyen, ahol a tagállam nemzeti joga] – a nemzetközi közjog értelmében – alkalmazandó”19 III.3. A Közösség területén nem letelepedett adatkezel•, aki azonban valamely tagállam területén található eszköz alkalmazásával dolgoz fel adatokat (4. cikk (1) bekezdés c) pont) ......................................................................................................20 a) „ … az adatkezel• nem telepedett le a Közösség területén …” ...................21 b) „… és a személyes adatok feldolgozása céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található …” ........................22 c) „… kivéve, ha ezt az eszközt kizárólag a Közösség területén átmen• adatforgalom céljára használják …”...................................................................25 d) „… ki kell jelölnie egy, az adott tagállam területén letelepedett képvisel•t …” (4. cikk (2) bekezdés)..................................................................................25 III.4. A 4. cikk (1) bekezdése c) pontjának alkalmazásával járó gyakorlati következményekre vonatkozó megfontolások............................................................26 III.5. A biztonsági intézkedésekre alkalmazandó jog (17. cikk (3) bekezdés) ......27 III.6. A felügyel• hatóságok hatásköre és egymással való együttm•ködése (28. cikk (6) bekezdés) .....................................................................................................28 III.6.a) „… A felügyel• hatóságok, függetlenül a[z] … alkalmazandó nemzeti jogtól, … hatáskörrel rendelkeznek …” .................................................................28 III.6.b) „… saját tagállamuk területén hatáskörrel rendelkeznek a … jogosultságok gyakorlására …” .............................................................................28 III.6.c) „…a feladataik teljesítéséhez szükséges mértékben együttm•ködnek egymással …” .......................................................................................................30 IV. Következtetések.................................................................................................31 IV.1. A jelenlegi rendelkezések tisztázása...........................................................31 IV.2. A jelenlegi rendelkezések javítása..............................................................33 MELLÉKLET...............................................................................................................36

-5-

I.

Bevezetés

A 95/46/EK irányelv (a továbbiakban: az irányelv vagy a 95/46 irányelv) alapján a személyes adatok feldolgozására alkalmazandó jog meghatározása több okból is kulcsfontosságú kérdés. Az alkalmazandó jogra vonatkozó rendelkezések alapvet• jelent•ség•ek az uniós adatvédelmi jog küls• hatályának, vagyis annak meghatározása szempontjából, hogy az uniós adatvédelmi jog milyen mértékben alkalmazandó a személyes adatok olyan feldolgozására, amelyre teljesen vagy részben az EU/EGT-n kívül kerül sor, de amelyet még lényeges kapcsolat f•z az EU/EGT területéhez. Az alkalmazandó jogra vonatkozó szabályok azonban az EU/EGT-n belül is meghatározzák az adatvédelmi jog hatályát, az irányelvet végrehajtó EU/EGT tagállamok1 nemzeti joga közötti esetleges összeütközések és átfedések elkerülése érdekében. Ezenkívül az alkalmazandó jogra vonatkozó rendelkezések helyes értelmezése biztosítja, hogy ne mutatkozzanak joghézagok vagy kibúvók a személyes adatok 95/46 irányelv által biztosított magas szint• védelmében. Az irányelv több olyan rendelkezést tartalmaz, amelyek az alkalmazandó joggal kapcsolatos kérdéseket szabályoznak, nevezetesen a 4., a 17. és a 28. cikket. E rendelkezések határozzák meg, hogy az irányelv alapján melyik nemzeti jog lesz alkalmazandó, valamint az ezen jog érvényesítéséért felel•s hatóságot. Fontos szem el•tt tartani, hogy kölcsönhatás áll fenn az anyagi jog és a joghatóság között. Ezt az alábbiakban részletesebben vizsgáljuk. Egyes vélemények szerint az irányelv alkalmazandó jogra vonatkozó rendelkezéseinek végrehajtása és értelmezése messze nem egységes az Európai Unióban. Az adatvédelmi irányelv végrehajtásáról szóló els• bizottsági jelentés rámutatott, hogy a 4. cikk végrehajtása „több esetben hiányos, aminek következtében olyan fajta kollízió alakulhat ki, amelynek elkerülésére e cikk törekszik”2. A jelentés technikai melléklete szerint, amely számos nemzeti rendelkezés részletes elemzését tartalmazza, e hiányos átültetés részben magának e rendelkezésnek az összetettségével lehet magyarázható. Egy az Európai Bizottság által finanszírozott tanulmány3 szintén kiemeli az irányelvben szerepl•, az alkalmazandó jogra vonatkozó szabályok félreérthet•ségét és eltér• értelmezéseit, és ajánlásként fogalmazza meg, hogy „elengedhetetlenül szükség van jobb, világosabb és egyértelm• szabályokra az alkalmazandó jogot illet•en”. Újabban „A személyes adatok Európai Unión belüli védelmének átfogó megközelítése” cím• bizottsági közlemény4 említi, hogy „A Bizottság megvizsgálja, miként kell felülvizsgálni és tisztázni az alkalmazandó jogra vonatkozó meglév• rendelkezéseket, köztük a felel•s tagállam meghatározására vonatkozó kritériumokat annak érdekében, hogy javítsa a jogbiztonságot, tisztázza az adatvédelmi szabályok alkalmazásáért viselt 1

2

3

4

A 95/46/EK irányelv az EGT-megállapodás alapján Norvégia, Izland és Liechtenstein EFTAállamokra is alkalmazandó (lásd az EGT Vegyes Bizottság 1999. június 25-i 83/1999 határozatát az EGT-megállapodás 37. jegyz•könyvének és XI. mellékletének (távközlési szolgáltatások) módosításáról; HL L 296., 2000.11.23., 41. o.). Els• jelentés az adatvédelmi irányelv (95/46/EK) végrehajtásáról, 2003. május, 17. o. A jelentés elérhet• a következ• címen: http://ec.europa.eu/justice/policies/privacy/lawreport/report_en.htm. „Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments”, 2010. január, elérhet•: http://ec.europa.eu/justice/policies/privacy/studies/index_en.htm. COM(2010) 609 végleges, 2010.11.4. -6-

tagállami felel•sséget, és végs• soron azonos szint• védelmet biztosítson az uniós érintettek számára, függetlenül az adatkezel• földrajzi helyét•l”. Az alkalmazandó joggal kapcsolatos kérdések emellett a globalizáció fokozódása és az új technológiák fejl•dése következtében is egyre összetettebbé válnak: egyre több vállalkozás m•ködik, nyújt szolgáltatást és biztosít állandó támogatást több állam területén; az internet jelent•sen megkönnyíti a távolból történ• szolgáltatásnyújtást és a személyes adatok virtuális környezetben történ• gy•jtését és megosztását; a számítási felh• (cloud computing) megnehezíti a személyes adatok, valamint a felhasználó által adott id•pontban használt eszköz helyének meghatározását. Kulcsfontosságú, hogy az irányelv alkalmazandó jogra vonatkozó rendelkezéseinek pontos jelentése kell•en világos legyen az irányelv végrehajtásában, valamint a köz- és a magánszektorban a nemzeti adatvédelmi jogszabályok mindennapi alkalmazásában részt vev• valamennyi érintett számára. Ezért a munkacsoport úgy döntött, hozzájárul az irányelv egyes kulcsfontosságú rendelkezéseinek világosabbá tételéhez, és megvizsgálja az alkalmazandó jog fogalmát, mint ahogy azt személyes adat fogalmával, valamint az „adatkezel•” és a „feldolgozó” fogalmával már megtette5. E véleményben a munkacsoport hivatkozik továbbá más véleményeire is, amelyekben már foglalkozott az alkalmazandó jog kérdésével, ahol az az adott véleményekben6 tárgyalt konkrét témákkal összefüggésben merült fel. A munkacsoport végs• célja, hogy jogbiztonságot nyújtson az uniós adatvédelmi jog alkalmazása során. Ez egyrészt azt jelenti, hogy az érintettek tisztában legyenek azzal, hogy mely szabályok alkalmazandók a személyes adataik védelmére, és másrészt, hogy a vállalkozások, valamint más magánszférabeli és állami szervek tudják, hogy adatfeldolgozásukat mely adatvédelmi szabályok szabályozzák. Az alkalmazandó jog fogalmának tisztázása nagy jelent•séggel bír, függetlenül az irányelv jelenlegi rendelkezéseinek esetleges kés•bbi módosításától. A jelenlegi rendelkezések hatályban maradnak, amíg azokat nem módosítják, illetve amennyiben azokat nem módosítják. Ezért az alkalmazandó jogra vonatkozó rendelkezések egyértelm•bbé tétele el•segíti majd az irányelvnek való jobb megfelelést a jogszabály esetleges kés•bbi módosításáig. E vélemény el•készítése során továbbá a munkacsoport támaszkodni tudott a jelenlegi rendelkezések alkalmazásával összefüggésben szerzett tapasztalatokra, azzal a céllal, hogy iránymutatást nyújtson, amely segítheti a jogalkotót az irányelv esetleges kés•bbi felülvizsgálata során.

5

6

4/2007. számú vélemény a személyes adat fogalmáról (WP 136); 1/2010. számú vélemény az „adatkezel•” és a „feldolgozó” fogalmáról (WP 169). Minden vélemény elérhet• a következ• címen: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. Így különösen az uniós adatvédelmi jognak a személyes adatok interneten történ•, EU-n kívüli honlapok általi feldolgozására való nemzetközi alkalmazásának megállapításáról szóló munkadokumentum (WP 56), a személyes adatok Society for Worldwide Interbank Financial Telecommunication (SWIFT) általi feldolgozásáról szóló 10/2006. számú vélemény (WP 128) és a keres•motorokkal kapcsolatos adatvédelmi kérdésekr•l szóló 1/2008. számú vélemény (WP 148). -7-

Végül, az adatvédelem tekintetében az alkalmazandó jog meghatározására vonatkozó rendelkezések célja, hogy az irányelv 3. cikkben rögzített hatályán belül szabályozzák annak alkalmazását. Így gyakran kölcsönhatásba kerülnek más jogterületekkel, anélkül azonban, hogy azokra az irányelv hatályán kívül hatást gyakorolnának7. II.

Általános megállapítások és szakpolitikai kérdések

II.1.

Rövid történet: a 108. egyezményt•l a 95/46/EK irányelvig 1981-ben az Európa Tanács égisze alatt kidolgozott 108. egyezmény szerz•i azonosították a különböz• nemzeti jogok alkalmazása esetén felmerül• kollíziós kérdések vagy joghézagok jelentette kockázatokat. Az egyezmény azonban nem tartalmazott e problémák kezelésére irányuló külön szabályokat: a tényt, hogy az egyezmény „az anyagi jog közös magját” biztosítja, tekintették a f• garanciának a tekintetben, hogy még ha a szabályozások különböz•sége fennmarad is, az alkalmazott elvek végül azonosak lesznek, ami biztosítja a védelem szintjében mutatkozó különbségek elkerülését. Az adatvédelmi irányelv el•készítése során az Európai Bizottság foglalkozott az alkalmazandó jogot meghatározó tényez•k szükségességével. Eredeti javaslatában8 a Bizottság els•dleges meghatározó tényez•ként az adatállomány helyét jelölte meg, másodlagos meghatározó tényez•ként pedig, amennyiben az adatállomány harmadik országban található, az adatkezel• székhelyét. Az Európai Parlamentben és az Európai Unió Tanácsában zajló vita során elmozdulás történt az adatállomány helyére irányuló feltételt•l az adatkezel• szervezetére (letelepedésére) irányuló feltétel felé. Második feltételként, amennyiben az adatkezel• nem telepedett le (vagyis nem rendelkezik szervezettel) az EU-ban, az eszköz helyét állapították meg. A Tanács kiegészítette e kritériumokat, és a szervezet fogalmát illet•en további útmutatással szolgált. A Bizottság módosított javaslata9 úgy rendelkezett, hogy az adatfeldolgozást az adatkezel• „egy szervezete tevékenységeinek keretében” kell végezni, és figyelembe vette azt a lehet•séget is, hogy az adatkezel• több szervezettel rendelkezhet különböz• tagállamokban. Az egyik jelent•s változtatás arra vonatkozott, hogy az alkalmazandó jogot meghatározó f• tényez• nem az adatkezel• székhelye lett, hanem az a hely, ahol az adatkezel• egy szervezete található. E módosítások következményeit – több szervezet esetén a nemzeti jog

7

8

9

Bár az irányelv tartalmaz a felel•sségre (23. cikk) és a szankciókra (24. cikk) vonatkozó rendelkezéseket, ez elvben nem érinti a polgári jog vagy a büntet•jog általános elveit, mint azt az irányelv (21) preambulumbekezdése is rögzíti. Ezeket csak annyiban érinti, amennyiben az adatvédelmi elvek megsértése esetére vonatkozó szankciók el•írásához szükséges. A gyakorlatban az irányelv tagállamok általi végrehajtása különböz• megoldásokhoz vezetett, amelyek egy része tartalmaz büntet•jogi szankciókat, más része pedig nem. Egy másik példát említve, bár az irányelv tartalmaz a hozzájárulás szükségességére – lásd a 2. cikk h) pontját, a 7. cikk a) pontját és a 8. cikk (2) bekezdésének a) pontját – vagy a szerz•déses kötelezettségek relevanciájára – lásd a 7. cikk b) pontját – vonatkozó rendelkezéseket, nem terjed ki a szerz•dési jog területére (pl. a szerz•dés megkötésének feltételei, alkalmazandó jog) vagy saját rendelkezésein kívül a polgári jog más vonatkozásaira. COM(1990) 314 - 2, 1990.7.18., Javaslat: Az Európai Parlament és a Tanács irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelmér•l. COM(1992) 422 végleges, 1992.10.15. -8-

disztributív, nem pedig egységes alkalmazását illet•en – az alábbiakban részletesen bemutatjuk. II.2.

A fogalmak szerepe

II.2.a) Kontextus és stratégiai jelent•ség Mint azt fentebb említettük, annak meghatározása, hogy az uniós jog mikor alkalmazandó a személyes adatok feldolgozására, az uniós adatvédelmi jog hatályának tisztázását szolgálja, mind az EU/EGT-n belül, mind tágabb nemzetközi összefüggésben. Az alkalmazandó jog egyértelm• meghatározása el•segíti, hogy jogbiztonságot nyújtsunk az adatkezel•k számára, valamint világosabb keretet teremtsünk az érintett egyének és más érdekeltek számára. Az alkalmazandó jog azonosítása szorosan kapcsolódik az adatkezel•10 és szervezete(i) azonosításához: e kapcsolat f• következménye az adatkezel•, valamint – ha az adatkezel• harmadik országban telepedett le – képvisel•je felel•sségének meger•sítése. Mint azt az alábbiakban kifejtjük majd, ez nem jelenti azt, hogy mindig egy alkalmazandó jog lesz, különösen, ha az adatkezel• több szervezettel rendelkezik: e szervezetek helye és tevékenységeik jellege is meghatározó lesz. Az alkalmazandó jog és az adatkezel• közötti világos kapcsolat azonban a hatékonyság és a végrehajthatóság garanciáját jelentheti, különösen olyan összefüggésben, amikor nehéz, vagy néha lehetetlen lehet egy adatállomány helyének meghatározása (mint például a számítási felh• esetében). Az alkalmazandó jogra vonatkozó szabályok terén a világos iránymutatás hozzájárul majd a technológia (internet, hálózat alapú adatállományok/számítási felh•) vagy a kereskedelem (nemzetközi vállalatok) terén jelentkez• új fejlemények kezeléséhez. II.2.b) Az uniós jog és a nemzeti jog hatálya az EU/EGT-n belül Az alkalmazandó jog meghatározása során a f• kritérium az adatkezel• szervezetének helye és – amennyiben az adatkezel• az EGT-n kívül telepedett le – az eszköz vagy berendezés11 helye. Ez azt jelenti, hogy ebb•l a szempontból sem az érintettek állampolgársága vagy szokásos tartózkodási helye, sem a személyes adatok fizikai helye nem dönt•12. Ez tág alkalmazási körhöz vezet, amely az EGT területén túlterjed• joghatással jár: az irányelv – és a nemzeti végrehajtó jogszabályok – alkalmazandók lesznek a személyes adatok EGT-n kívüli feldolgozására (ha azt az adatkezel•nek az EGT területén található egy szervezete tevékenységeinek keretében végzik) és az EGT10 11

12

Lásd az 1/2010. számú véleményt az „adatkezel•” és a „feldolgozó” fogalmáról (WP 169). Mint azt lejjebb a III.2.b) pontban kifejtjük, a berendezés („equipment”) fogalmát más uniós nyelvekben az eszköz („means”) megfelel•jével fejezték ki. Ez a berendezés fogalmának tág értelmezését támasztja alá, és ez indokolja, hogy e dokumentumban mindkét fogalmat használjuk. Ugyanehhez lásd a bels• piacon az információs társadalommal összefügg• szolgáltatások, különösen az elektronikus kereskedelem, egyes jogi vonatkozásairól szóló 2000/31/EK irányelvet. A biztonsági intézkedésekre (17. cikk) alkalmazandó jog szempontjából további releváns tényez•t jelent az adatfeldolgozó helye. E tényez• azonban önmagában nem dönt•, azt az adatkezel• szervezetére vonatkozó f• tényez•vel együtt kell alkalmazni. -9-

n kívül letelepedett adatkezel•kre (ha az EGT-ben található eszközt alkalmaznak) is. Ennek következményeként az irányelv rendelkezései alkalmazandók lehetnek olyan nemzetközi vonatkozású szolgáltatásokra is, mint a keres•motorok, a közösségi hálózatok és a számítási felh•. E példákkal lejjebb részletesen is foglalkozunk. Ha a személyes adatok feldolgozását olyan adatkezel• (X) végzi, akinek egyetlen szervezete A tagállamban található, akkor az adatfeldolgozásra A tagállam nemzeti joga lesz alkalmazandó, függetlenül attól, hogy arra hol kerül sor. Ha X-nek B tagállamban is van egy szervezete (Y), akkor az Y általi adatfeldolgozásra B tagállam nemzeti joga lesz alkalmazandó, amennyiben az adatfeldolgozást Y tevékenységeinek keretében végzik. Ha az Y általi adatfeldolgozást X-nek az A tagállamban található szervezete tevékenységeinek keretében végzik, akkor az adatfeldolgozásra A tagállam joga lesz alkalmazandó. Ha a személyes adatokat olyan adatkezel• dolgozza fel, amely egyetlen tagállamban sem rendelkezik szervezettel, az adatfeldolgozásra bármely olyan tagállam nemzeti joga lesz irányadó, amelynek területén az adatkezel• által az adatfeldolgozáshoz használt berendezés (vagy eszköz) található. E véleményben megvizsgáljuk ezeket a különböz• forgatókönyveket.

E tág alkalmazási kör célja els•sorban annak biztosítása, hogy az egyéneket ne lehessen megfosztani attól a védelemt•l, amelyre az irányelv alapján jogosultak, valamint a jog megkerülésének megel•zése. Az irányelv kritériumokat fogalmaz meg annak megállapítására, hogy i. európai jog – harmadik ország jogával együtt vagy anélkül – alkalmazandó-e az adott személyesadat-feldolgozási tevékenységre; továbbá ii. amennyiben európai jog alkalmazandó az adatfeldolgozásra, úgy melyik tagállam nemzeti joga az alkalmazandó. Megjegyzend• továbbá, hogy egyes EU-n belüli adatfeldolgozási tevékenységek nem tartoznak az irányelv hatálya alá, azonban más uniós jogszabályok alkalmazásához vezethetnek, így például a büntet•ügyekben folytatott rend•rségi és igazságügyi együttm•ködés keretében feldolgozott személyes adatok védelmér•l szóló 2008/977/IB kerethatározat13, a személyes adatok közösségi intézmények és szervek által történ• feldolgozásáról szóló 45/2001/EK rendelet14, vagy egyes uniós szervekr•l vagy információs rendszerekr•l (pl. Europol, Eurojust, SIS, VIR stb.) szóló jogszabályok alkalmazásához15.

13

14

15

A Tanács 2008/977/IB kerethatározata (2008. november 27.) a büntet•ügyekben folytatott rend•rségi és igazságügyi együttm•ködés keretében feldolgozott személyes adatok védelmér•l (HL L 350., 2008.12.30., 60. o.). Az Európai Parlament és a Tanács 45/2001/EK rendelete (2000. december 18.) a személyes adatok közösségi intézmények és szervek által történ• feldolgozása tekintetében az egyének védelmér•l, valamint az ilyen adatok szabad áramlásáról (HL L 8., 2001.1.12., 1. o.). Europol: a Tanács 2009/371/IB határozata, HL L 121., 2009.5.15., 37. o.; Eurojust: a 2009/426/IB tanácsi határozattal, HL L 138., 2009.6.4., 14. o. módosított 2002/187/IB tanácsi határozat, HL L 63., 2002.3.6., 1. o. - 10 -

II.2.c) A joghézagok és a túlzott átfedések elkerülése Az alkalmazandó jog meghatározására vonatkozó világos kritériumok célja egyrészt, hogy ne lehessen megkerülni a tagállamok nemzeti szabályait, másrészt, hogy elkerüljük az e szabályok közötti átfedéseket. Az adatkezel• szervezeteinek számától és azok tevékenységeit•l függ, hogy az adatfeldolgozásra egy vagy több jog lesz alkalmazandó: o

Ha az adatkezel• egyetlen szervezettel rendelkezik, az EU/EGT egésze tekintetében egy jog lesz alkalmazandó, a szervezet helyét•l függ•en16.

o

Ha több szervezettel rendelkezik, a nemzeti jogszabályok alkalmazása az egyes szervezetek tevékenységeit•l függ•en alakul.

A kritériumok alkalmazása megakadályozza, hogy ugyanarra az adatfeldolgozási tevékenységre egyidej•leg több tagállam joga legyen alkalmazandó. II.2.d) Alkalmazandó jog és joghatóság az irányelv összefüggéseiben Az adatvédelem területén különösen fontos az alkalmazandó jog (amely egy adott ügyre alkalmazandó jogrendszert határozza meg) és a joghatóság (amely általában azt határozza meg, hogy egy adott nemzeti bíróság eljárhat-e egy ügyben vagy végrehajtathat-e egy ítéletet vagy végzést) fogalmának megkülönböztetése. Egy adott adatfeldolgozás vonatkozásában az alkalmazandó jog és a joghatóság nem feltétlenül esik mindig egybe. Az uniós jog küls• hatálya azon képességét jelenti, hogy a joghatósága alá tartozó alapvet• érdekek védelme érdekében szabályokat rögzítsen. Az irányelv rendelkezései a tagállamok nemzeti jogának alkalmazási körét is meghatározzák, nem érintik azonban a nemzeti bíróságok joghatóságát, amelynek alapján e bíróságok az el•ttük lev• ügyekben eljárhatnak és döntést hozhatnak. Az irányelv rendelkezései azonban utalnak az alkalmazandó jogot alkalmazó és azt végrehajtó felügyel• hatóságok illetékességére. Bár a legtöbb esetben e két fogalom – az alkalmazandó jog és a felügyel• hatóságok hatásköre – egybeesik és általában azt eredményezi, hogy A tagállam hatóságai A tagállam jogát alkalmazzák, az irányelv kifejezetten rendelkezik ett•l eltér• eset lehet•ségér•l. A 28. cikk (6) bekezdéséb•l következik, hogy a nemzeti adatvédelmi hatóságok akkor is gyakorolhatják hatáskörüket, ha a joghatóságuk alá tartozó területen végzett személyesadat-feldolgozásra más tagállam adatvédelmi joga alkalmazandó. E kérdés gyakorlati következményeit a munkacsoport egy kés•bbi véleményében részletesebben vizsgálja majd. Az ilyen helyzetek határokon átnyúló ügyek kezeléséhez vezetnek, és rámutatnak az adatvédelmi hatóságok közötti együttm•ködés szükségességére, figyelemmel az egyes érintett adatvédelmi hatóságok végrehajtási hatásköreire. Ez is alátámasztja továbbá annak szükségességét, hogy a nemzeti jogba megfelel•en ültessék át az irányelv vonatkozó rendelkezéseit, mivel ez dönt• szerepet játszhat a határon átnyúló együttm•ködés és végrehajtás eredményességében.

16

Kivéve a biztonsági intézkedéseket illet•en, mivel az ezekre irányadó jog az esetleges adatfeldolgozó helyét•l fog függni, az irányelv 17. cikkének (3) bekezdésében foglaltaknak megfelel•en. - 11 -

III.

A rendelkezések elemzése

Az alkalmazandó jogra vonatkozó legfontosabb rendelkezés a 4. cikk, amely meghatározza, hogy az irányelvnek megfelel•en elfogadott nemzeti adatvédelmi jogszabályok közül melyek lehetnek alkalmazandóak a személyes adatok feldolgozására. III.1. Egy vagy több tagállam területén letelepedett adatkezel• (4. cikk (1) bekezdés a) pont) A 4. cikk (1) bekezdése els•ként azt az esetet szabályozza, amikor az adatkezel• egy vagy több szervezettel rendelkezik az EU területén. A 4. cikk (1) bekezdése úgy rendelkezik, hogy a tagállam saját nemzeti adatvédelmi jogát alkalmazza, ha „[…] az adatfeldolgozást a tagállam területén az adatkezel• egy szervezete tevékenységeinek keretében végzik; amennyiben ugyanaz az adatkezel• több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek”. Célszer• felidézni, hogy az „adatkezel•” fogalmát az irányelv 2. cikkének d) pontja meghatározza. E meghatározást nem elemezzük e véleményben, mivel azt a 29. cikk szerinti munkacsoport az „adatkezel•” és a „feldolgozó” fogalmáról szóló véleményében17 már tisztázta. Fontos hangsúlyozni továbbá, hogy a szervezetnek nem kell jogi személyiséggel rendelkeznie, és a szervezet fogalma rugalmasan kapcsolódik az ellen•rzés fogalmához. Egy adatkezel• számos szervezettel rendelkezhet, és a közös adatkezel•k egy vagy több szervezetbe összpontosíthatják tevékenységüket. Az irányelv értelmében a szervezetnek min•sülés szempontjából a dönt• elem azon tevékenységek tényleges gyakorlása, amelyek keretében a személyes adatokat feldolgozzák. a) „… a tagállam területén az adatkezel• egy szervezete ...” A szervezet vagy letelepedés (az angolban: „establishment”) fogalmát az irányelv nem határozza meg. Az irányelv preambuluma azonban jelzi, hogy „a valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel [és hogy] e letelepedés – legyen akár egyszer•en fióktelep, akár jogi személyiséggel rendelkez• leányvállalat – jogi formája e tekintetben nem meghatározó tényez•” ((19) preambulumbekezdés). Az EUMSZ 50. cikke (korábban az EKSZ 43. cikke) szerinti letelepedés szabadságát illet•en az Európai Bíróság megállapította, hogy tartós letelepedésr•l akkor lehet szó, ha „a meghatározott szolgáltatások nyújtásához szükséges személyi és tárgyi feltételek együttesen és állandóan rendelkezésre állnak”18. 17 18

1/2010. számú vélemény az „adatkezel•” és a „feldolgozó” fogalmáról (WP 169). A Bíróság 168/84. sz., Bergholz-ügyben hozott ítéletének (EBHT 1985., 2251. o.) 14. pontja és a C390/96. sz., Lease Plan Luxembourg kontra Belgische Staat ügyben 1998. május 7-én hozott ítélete (EBHT 1998., I-2553. o.). Ez utóbbi ügyben azt kellett megállapítani, hogy a társaság egy szervere, amely a szolgáltató országától eltér• országban volt található, tartós letelepedésnek tekinthet•-e. Ennek célja annak azonosítása volt, hogy melyik országban kell héát fizetni. A Bíróság a számítógépes eszközöket nem tekintette virtuális letelepedésnek (visszatérve ezzel az értelmezéssel a „letelepedés” klasszikus fogalmához, amely különbözik attól, mint amelyet korábbi, a C-190/95. sz., - 12 -

Az irányelv preambulumában annak er•teljes hangsúlyozása, hogy a letelepedés magában foglalja „a tevékenység tényleges gyakorlását tartós jelleggel”, nyilvánvalóan a Bíróság által az irányelv elfogadásának idején megfogalmazott „tartós letelepedés[t]” tükrözi. Bár nem világos, hogy ez, valamint a Bíróságnak az EUMSZ 50. cikke szerinti letelepedési szabadságra vonatkozó kés•bbi értelmezései teljes mértékben alkalmazhatók-e az adatvédelmi irányelv 4. cikkében szabályozott helyzetekre, a Bíróság által az ilyen ügyekben nyújtott értelmezések hasznos iránymutatást jelenthetnek az irányelv szövegének elemzése során. Ezt az értelmezést alkalmazzuk az alábbi példákban: - Ha „tevékenység tényleges gyakorlásá[ra]” kerül sor „tartós jelleggel”, például egy ügyvédi irodában, az iroda letelepedésnek tekinthet•. - Egy szerver vagy számítógép valószín•leg nem tekinthet• letelepedésnek, mivel az csak az információfeldolgozáshoz használt technikai eszköz19. - Az egyszemélyes iroda letelepedésnek tekinthet•, amennyiben az iroda nem csupán a másutt letelepedett adatkezel• képviseletét látja el, és tevékenyen részt vesz azon tevékenységekben, amelyek keretében a személyes adatok feldolgozására sor kerül. - Mindenesetre nem az iroda formája a dönt•: egy egyszer• ügynök is tekinthet• releváns letelepedésnek, amennyiben a tagállamban való jelenléte kell• tartósságot mutat. 1. példa: Kiadvány utazók részére Egy A tagállamban letelepedett vállalkozás egy utazóknak szóló kiadvány céljára adatokat gy•jt a B tagállamban található benzinkutak által nyújtott szolgáltatásokról. Az adatokat egy munkavállaló gy•jti, aki B tagállamban való utazása során fényképeket és észrevételeket gy•jt, és azokat megküldi munkáltatójának A tagállamba. Ebben az esetben az adatokat B tagállamban gy•jtik (anélkül, hogy ott „szervezetr•l” beszélhetnénk), és azokat az A tagállamban található szervezet tevékenységeinek keretében dolgozzák fel, tehát A tagállam joga az alkalmazandó. A 4. cikk (1) bekezdésének a) pontja, amely a tagállam területén az adatkezel• egy szervezetére hivatkozik, – a letelepedés fogalmán kívül is – tisztázást igényl• kérdéseket vet fel. El•ször is az „egy” szervezetre való utalás azt jelenti, hogy a tagállam jogának alkalmazandóságát az adatkezel• egy szervezetének adott tagállamban való elhelyezkedése váltja ki, míg az adatkezel• más szervezeteinek más tagállamokban való elhelyezkedése e tagállamok jogának alkalmazandóságához vezethet. Még ha az adatkezel• székhelye harmadik országban található is, ha szervezetei közül akár egy is valamely tagállamban található, ez kiválthatja az adott ország jogának alkalmazandóságát, feltéve, hogy a 4. cikk (1) bekezdésének a) pontjában foglalt további

19

ARO Lease kontra Inspecteur der Belastingdienst Grote Ondernemingen te Amsterdam ügyben 1997. július 17-én hozott ítéletében (EBHT 1997., I-4383. o.) elfogadott). Azt, hogy másnak, például „eszköznek” min•sül-e, kés•bb vizsgáljuk. - 13 -

feltételek teljesülnek (lásd lejjebb a b) pontban). Ezt a rendelkezés második része is meger•síti, amely kifejezetten úgy rendelkezik, hogy amennyiben ugyanaz az adatkezel• több tagállam területén is letelepedett, biztosítania kell, hogy szervezeteinek mindegyike megfeleljen a releváns alkalmazandó jog által megállapított kötelezettségeknek. b) „… az adatfeldolgozást … tevékenységeinek keretében végzik … ” Az irányelv egy tagállam adatvédelmi jogának alkalmazandóságát a személyes adatok feldolgozásához köti. A „feldolgozás” fogalmával a munkacsoport más véleményeiben érint•legesen már foglalkozott, és kiemelte, hogy a személyes adaton végezhet• különböz• m•veletek vagy m•veletsorok egyidej•leg vagy különböz• szakaszokban végezhet•k20. Az alkalmazandó jog meghatározásának összefüggésében ez akár azt is jelentheti, hogy a személyes adatok feldolgozásának különböz• szakaszai különböz• jogok alkalmazandóságához vezethetnek. Míg az alkalmazandó jog többszöröz•dése így komoly kockázatot jelent, figyelembe kell venni annak lehet•ségét, hogy a különböz• feldolgozási tevékenységek közötti makroszint• kapcsolatok végül egyetlen nemzeti jog alkalmazásához vezethetnek. Annak megállapítása során, hogy egy vagy több jog alkalmazandó-e a feldolgozás különböz• szakaszaira, fontos szem el•tt tartani a feldolgozási tevékenységek átfogó képét: amennyiben különböz• tagállamokban végrehajtott m•veletek összességér•l van szó, amelyek azonban egyetlen célt szolgálnak, úgy ez végeredményben egyetlen nemzeti jog alkalmazásához vezethet. Ilyen körülmények között az alkalmazandó jog meghatározása szempontjából a „tevékenységeinek keretében” fogalma a dönt•, nem pedig az adatok helye. A „tevékenységeinek keretében” fogalma nem azt jelenti, hogy az alkalmazandó jog annak a tagállamnak joga, ahol az adatkezel• letelepedett, hanem ahol az adatkezel• egy szervezete az adatfeldolgozáshoz kapcsolódó tevékenységekben vesz részt. A különböz• forgatókönyvek vizsgálata segíthet annak tisztázásában, hogy mi értend• a „tevékenységeinek keretében” fogalma alatt, és hogyan befolyásolja ez a különböz• országokban folytatott különböz• adatfeldolgozási tevékenységekre alkalmazandó jog meghatározását. a. Ha az adatkezel• szervezettel rendelkezik Ausztriában, és e szervezet tevékenységeinek keretében Ausztriában személyes adatokat dolgoz fel, az alkalmazandó jog nyilvánvalóan az osztrák jog lesz – vagyis a szervezet helye szerinti jog. b. A második forgatókönyv szerint az adatkezel• szervezettel rendelkezik Ausztriában, és e szervezet tevékenységeinek keretében a honlapja útján gy•jtött személyes adatokat dolgoz fel. A honlap különböz• országok felhasználói számára elérhet•. Az alkalmazandó adatvédelmi jog továbbra is az osztrák jog lesz – vagyis a szervezet helye szerinti jog – függetlenül a felhasználók és az adatok helyét•l. c. A harmadik forgatókönyv szerint az adatkezel• szervezettel rendelkezik Ausztriában, az adatfeldolgozást pedig kiszervezi egy németországi feldolgozóhoz. A Németországban végzett adatfeldolgozásra az adatkezel• ausztriai tevékenységei 20

Lásd pl. az 1/2010. számú véleményt az „adatkezel•” és a „feldolgozó” fogalmáról (WP 169). - 14 -

keretében kerül sor, vagyis a feldolgozást az ausztriai szervezet üzleti céljaira és utasításai alapján végzik. A németországi feldolgozó által végzett adatfeldolgozásra az osztrák jog lesz alkalmazandó. Emellett a feldolgozóra a német jog követelményei vonatkoznak21 a feldolgozással összefüggésben hozandó biztonsági intézkedések tekintetében. Ebben az esetben a német és az osztrák adatvédelmi hatóság általi összehangolt felügyeletre lenne szükség. d. A negyedik forgatókönyv szerint az Ausztriában letelepedett adatkezel• képviseleti irodát nyit Olaszországban, amely a honlap olasz tartalmait kezeli és az olasz felhasználók kéréseivel foglalkozik. Az olasz iroda által végzett adatfeldolgozási tevékenységeket az olasz szervezet keretében folytatják, így e tevékenységekre az olasz jog lesz alkalmazandó. Az alkalmazandó jogra vonatkozó következtetéseket csak a „tevékenységeinek keretében” fogalmának pontos megértése alapján vonhatunk le. Ezen elemzés során az alábbi megfontolásokat kell figyelembe venni: Alapvet• jelent•ség• a szervezet(ek) részvételének mértéke azon tevékenységekben, amelyek keretében a személyes adatokat feldolgozzák. Itt azt kell vizsgálni, hogy ki, mit csinál, vagyis mely tevékenységeket mely szervezet végez, hogy el lehessen dönteni, a szervezet releváns-e olyan értelemben, hogy kiváltja-e a nemzeti adatvédelmi jog alkalmazását. Ha egy szervezet saját tevékenységei keretében dolgoz fel személyes adatokat, az alkalmazandó jog azon tagállam joga lesz, ahol e szervezet található. Ha a szervezet egy másik szervezet tevékenységei keretében dolgoz fel személyes adatokat, az alkalmazandó jog azon tagállam joga lesz, ahol a másik szervezet található. A szervezetek tevékenységeinek jellege másodlagos tényez•, azonban segít az egyes szervezetekre alkalmazandó jog azonosításában: nagyrészt az érintett tevékenységek jellegét•l függ annak a kérdésnek a megválaszolása, hogy egy tevékenység adatfeldolgozással jár-e, és hogy melyik feldolgozásra melyik tevékenység keretében kerül sor. Ha különböz• szervezetek teljesen különböz• tevékenységeket folytatnak, amelyek keretében személyes adatokat dolgoznak fel, ez szintén hatással lesz az alkalmazandó jogra. A 4. példa e megfontolásokat illusztrálja. Szintén figyelembe kell venni az irányelv általános célkit•zését, amely arra irányul, hogy hatékony védelmet nyújtson az egyéneknek, egyszer•, megvalósítható és el•relátható módon.

21

A 95/46/EK irányelv 17. cikkének (3) bekezdése értelmében a feldolgozóra a biztonsági intézkedések tekintetében vonatkoznak a letelepedése szerinti tagállam jogszabályai által megállapított kötelezettségek. A feldolgozó jogában, illetve az adatkezel• jogában el•írt anyagi jogi biztonsági kötelezettségek közötti összeütközés esetén a lex loci (a feldolgozó joga) az irányadó. Míg a végs• felel•sség az adatkezel•t terheli, a feldolgozónak bizonyítania kell, hogy az adatkezel•vel kötött szerz•désének, valamint a feldolgozó letelepedése szerinti tagállam jogában el•írt biztonsági kötelezettségeknek megfelel•en minden szükséges intézkedést megtett (részletesebben lásd a III.5. pontban). - 15 -

2. példa: Személyes adatok továbbítása faktoringgal összefüggésben Egy olasz közüzemi vállalkozás – a követelések értékesítése céljával – adósaira vonatkozó információkat továbbít egy francia befektetési banknak. Az adósok tartozásai kifizetetlen közüzemi számlákkal összefüggésben keletkeztek. Az követelésekre vonatkozó információk továbbítása magában foglalja az ügyfelek személyes adatainak továbbítását a francia befektetési bank, pontosabban a bank olaszországi fiókja (vagyis a francia bank olaszországi szervezete) részére. A továbbítást alkotó adatfeldolgozási m•veletek tekintetében az adatkezel• a francia befektetési bank, a követelések kezelését és behajtását pedig nevében olaszországi fiókja végzi. Az adatokat a franciaországi adatkezel• és az olaszországi fiók is feldolgozza. A francia adatkezel• az olasz fiók útján tájékoztatja az olasz ügyfeleket a fenti m•veletr•l. Az olasz fiók az irányelv értelmében szervezetnek min•sül, tevékenységeinek pedig – amelyek az ügyfelek tájékoztatása érdekében személyes adataik feldolgozásából állnak – meg kell felelniük az olasz adatvédelmi jogszabályoknak. Az olasz fiók által alkalmazott biztonsági intézkedéseknek szintén meg kell felelniük az olasz adatvédelmi jogszabályok követelményeinek, míg a francia adatkezel•nek a franciaországi szervezetében feldolgozott adatokra vonatkozó biztonsági intézkedések tekintetében a francia jog által el•írt biztonsági kötelezettségeknek kell eleget tennie. Az érintettek, vagyis az adósok az olasz fiókhoz fordulva gyakorolhatják adatvédelmi jogaikat, azaz az olasz jogban biztosított, a hozzáféréshez, kijavításhoz és törléshez való jogukat.

E szempontok elemzése során funkcionális megközelítést célszer• követni: a felek alkalmazandó jogra vonatkozó elméleti értékelése helyett gyakorlati magatartásukat és interakcióikat kell meghatározó tényez•nek tekinteni: mi az egyes szervezetek valódi szerepe, és mely tevékenységre mely szervezet keretében kerül sor? Figyelmet kell fordítani az egyes szervezetek részvételének mértékére azon tevékenységeket illet•en, amelyek keretében a személyes adatokat feldolgozzák. Ezért a „keretében” fogalmának megértése összetett esetekben, azonos vállalkozás különböz• uniós szervezetei által végzett különböz• tevékenységek megosztása szempontjából is hasznos lehet. 3. példa: Ügyfelek adatainak gy•jtése üzletek által Egy ruházati üzletlánc központja Spanyolországban található, azonban EU-szerte rendelkezik üzletekkel. Ügyfeleire vonatkozó adatokat minden üzletben gy•jtenek, de az adatokat a spanyol központba továbbítják, ahol az adatok feldolgozásához kapcsolódó egyes tevékenységeket végeznek (az ügyfelek profiljának elemzése, ügyfélszolgálat, célzott hirdetések). Az olyan tevékenységeket, mint például a direkt marketing az összes európai ügyfél vonatkozásában, kizárólag a spanyol központ irányítja. E tevékenységeket úgy kell tekinteni, hogy azokra a spanyol szervezet tevékenységei keretében kerül sor. Ezért e feldolgozási tevékenységekre a spanyol jog lesz alkalmazandó.

- 16 -

Az egyes üzletek azonban felel•sek az ügyfeleik személyes adatai feldolgozásának olyan vonatkozásaiért, amelyekre az üzlet tevékenységei keretében kerül sor (például az ügyfelek személyes adatainak gy•jtése). Amennyiben a feldolgozást az egyes üzletek tevékenységei keretében végzik, úgy arra az adott üzlet helye szerinti ország joga lesz irányadó. Ezen elemzés egyik közvetlen gyakorlati következménye, hogy minden üzletnek meg kell tennie a szükséges lépéseket annak érdekében, hogy az egyéneket saját nemzeti jogának megfelel•en tájékoztassa adataik gy•jtésének és további feldolgozásának feltételeir•l. Az ügyfelek panasz esetén közvetlenül saját országuk adatvédelmi hatóságához fordulhatnak. Ha a panasz a spanyol központ tevékenységei keretében folytatott direkt marketing akciókhoz kapcsolódik, a helyi adatvédelmi hatóságnak az ügyet a spanyol adatvédelmi hatósághoz kell továbbítania.

Így tehát lehetséges, hogy egy szervezet több különböz• típusú tevékenységben vesz részt, és az e különböz• tevékenységek keretében végzett adatfeldolgozásra különböz• nemzeti jogok alkalmazandók. Ahhoz, hogy kiszámítható és megvalósítható megközelítést biztosítsunk azokban az esetekben, amikor fennáll annak lehet•sége, hogy ugyanazon szervezet különböz• tevékenységeire több jog alkalmazandó, funkcionális megközelítést kell követni, amely magában foglalja a tágabb jogi kontextus figyelembevételét is. 4. példa: Központosított emberier•forrás-adatbázis A gyakorlatban egyre inkább fordulnak el• olyan esetek, amikor ugyanarra az adatbázisra több jog is alkalmazandó lehet. Erre gyakran kerül sor az emberi er•források területén, amikor a különböz• országokban található leányvállalatok/szervezetek egyetlen adatbázisban központosítják a munkavállalók adatait. Bár erre tipikusan méretgazdaságossági szempontok miatt kerül sor, ez nem lehet kihatással az egyes szervezetek helyi jog alapján fennálló kötelezettségeire. Ez nem csupán adatvédelmi szempontból, de a munkajogi és a közrendi rendelkezések összefüggésében is irányadó. Ha például egy ír leányvállalat (amely szervezetnek min•sül) munkavállalóinak adatait továbbítják egy központi adatbázisba az Egyesült Királyságba, ahol az egyesült királyságbeli leányvállalat/szervezet munkavállalóinak adatait is tárolják, két különböz• (az ír és az egyesült királyságbeli) adatvédelmi jog alkalmazandó. A két különböz• nemzeti jog alkalmazása nem pusztán annak a következménye, hogy az adatok két különböz• tagállamból származnak, hanem amiatt kerül rá sor, hogy az ír munkavállalók adatainak feldolgozását az egyesült királyságbeli szervezet az ír szervezet mint munkáltató tevékenységei keretében végzi. E példa rávilágít arra, hogy nem az a hely határozza meg, hogy melyik nemzeti jog alkalmazandó, ahova az adatokat küldik vagy ahol az adatok találhatók, a dönt• tényez• ehelyett azon rendes tevékenységek jellege és helye, amelyek meghatározzák a feldolgozás „kontextusát”: az emberi er•forrásokra vagy az ügyfelekre vonatkozó adatok így általában azon ország adatvédelmi joga alá tartoznak, ahol a tevékenységet – amelynek keretében az adatokat feldolgozzák – kifejtik. Ez meger•síti továbbá, hogy - 17 -

nincs közvetlen összefüggés az alkalmazandó nemzeti jog és a joghatóság között, mivel a nemzeti jog az adott ország joghatósága alá tartozó területen kívül is alkalmazandó lehet. Összefoglalva tehát az alkalmazandó jog meghatározásához használt kritériumok különböz• szinteken fejtik ki hatásukat: o

el•ször is segítenek megállapítani, adatvédelmi jog a feldolgozásra;

hogy egyáltalán alkalmazandó-e uniós

o

másodszor, amennyiben uniós adatvédelmi jog alkalmazandó, a kritériumok meghatározzák, hogy a) mely tagállam adatvédelmi joga alkalmazandó, és b) különböz• tagállamokban található szervezetek esetén mely tagállam adatvédelmi joga alkalmazandó mely feldolgozási tevékenységre;

o

harmadszor, a kritériumok segítenek abban az esetben is, ha a feldolgozási tevékenységek Európán kívüli vonatkozással is rendelkeznek – mint az alábbi példában, ahol az adatkezel• az EGT-n kívül letelepedett.

5. példa: Internetszolgáltató Egy internetszolgáltató (az adatkezel•) központja az EU-n kívül, például Japánban található. Az EU legtöbb tagállamában rendelkezik kereskedelmi irodával, továbbá egy irodával Írországban, amely a személyes adatok feldolgozásával összefügg• kérdésekkel foglalkozik, többek között informatikai támogatással. Az adatkezel• adatközpontot alakít ki Magyarországon, ahol munkavállalókat foglalkoztat és szervereket tart fenn a szolgáltatásait igénybe vev• felhasználókhoz kapcsolódó adatok feldolgozása és tárolása céljából. A japán adatkezel• az EU különböz• tagállamaiban rendelkezik szervezetekkel, amelyek különböz• tevékenységeket folytatnak: -

a magyarországi adatközpont csak a technikai karbantartást végzi;

-

a szolgáltató kereskedelmi irodái általános reklámkampányokat szerveznek;

-

az írországi iroda az egyetlen olyan szervezet az EU-ban, amelynek tevékenységei keretében ténylegesen személyes adatokat dolgoznak fel (a japán központtól származó adatoktól eltekintve).

Az írországi iroda tevékenységei megalapozzák az uniós adatvédelmi jog alkalmazását: az írországi iroda tevékenységei keretében személyes adatokat dolgoznak fel, ezért e feldolgozás az uniós adatvédelmi jog hatálya alá tartozik. Az írországi iroda tevékenységei keretében végzett feldolgozásra alkalmazandó jog az ír adatvédelmi jog, függetlenül attól, hogy a feldolgozásra Portugáliában, Olaszországban vagy bármely más tagállamban kerül sor.

- 18 -

Ez azt jelenti, hogy ebben a feltételezett esetben a magyarországi adatközpontnak a szolgálgató ügyfelei személyes adatainak feldolgozása tekintetében eleget kell tennie az ír adatvédelmi jog rendelkezéseinek. Ett•l függetlenül azonban a magyar jog lesz alkalmazandó a magyarországi adatközpont általi külön adatfeldolgozásra, amely saját tevékenységeihez kapcsolódik – például ha az adatközpont munkavállalóinak személyes adatait dolgozzák fel. Ami a más tagállamokban található kereskedelmi irodákat illeti, amennyiben tevékenységük általános, nem az egyes felhasználókat megcélzó reklámkampányokra korlátozódik, amelyek nem járnak a felhasználók személyes adatainak feldolgozásával, ezek nem tartoznak az uniós adatvédelmi jogszabályok hatálya alá. Ha azonban ezek az irodák úgy döntenek, hogy tevékenységük keretében a letelepedésük helye szerinti országbeli egyének személyes adatait dolgozzák fel (például saját üzleti céljukból célzott hirdetések küldése a felhasználóknak és lehetséges jöv•beli felhasználóknak), akkor eleget kell tenniük a helyi adatvédelmi jogszabályoknak. Ha nem állapítható meg kapcsolat az adatfeldolgozás és az írországi szervezet között (az informatikai támogatás nagyon sz•k kör• és nem jár személyes adatok feldolgozásával), az irányelv más rendelkezései még mindig megalapozhatják az adatvédelmi elvek alkalmazását, például ha az adatkezel• az EU-ban található eszközt használ. Ezt alább a III.3. fejezetben részletesebben vizsgáljuk.

III.2. Olyan helyen letelepedett adatkezel•, ahol valamely tagállam joga a nemzetközi közjog értelmében alkalmazandó (4. cikk (1) bekezdés b) pont) A 4. cikk (1) bekezdésének b) pontja azt a kevésbé gyakori esetet szabályozza, amikor egy tagállam adatvédelmi joga alkalmazandó, amennyiben „az adatkezel• nem valamely tagállam területén telepedett le, hanem olyan helyen, amelynek nemzeti joga [helyesen: olyan helyen, ahol a tagállam nemzeti joga] – a nemzetközi közjog értelmében – alkalmazandó”. III.2.a) „ … az adatkezel• nem valamely tagállam területén telepedett le …” Az els• feltételt a 4. cikk (1) bekezdésének egyes rendelkezései közötti összhang érdekében úgy kell értelmezni, hogy az adatkezel• nem rendelkezik valamely tagállam területén olyan szervezettel, amely kiváltaná a 4. cikk (1) bekezdése a) pontjának alkalmazandóságát (lásd még alább, a III.3. a) pontban). Más szóval, az EU-ban található releváns szervezet hiányában a 4. cikk (1) bekezdésének a) pontja alapján nem azonosítható alkalmazandó nemzeti adatvédelmi jog. III.2.b) „…, hanem olyan helyen, amelynek nemzeti joga [helyesen: olyan helyen, ahol a tagállam nemzeti joga] – a nemzetközi közjog értelmében – alkalmazandó” A nemzetközi közjogból ered• küls• kritériumok azonban egyes különleges helyzetekben az országhatárokon túlterjed•en is megállapíthatják a nemzeti adatvédelmi jog alkalmazását. Ilyen eset fordulhat el• például akkor, amikor a nemzetközi közjog vagy nemzetközi egyezmények meghatározzák egy követségen vagy konzulátuson alkalmazandó jogot, vagy egy hajóra vagy repül•gépre alkalmazandó jogot. Ezekben az esetekben, ha az adatkezel• e különleges helyek valamelyikén telepedett le, az alkalmazandó nemzeti adatvédelmi jogot a nemzetközi jog határozza meg. - 19 -

Fontos kiemelni azonban azt is, hogy a nemzeti adatvédelmi jog nem alkalmazható az EU területén található külföldi képviseletekre vagy nemzetközi szervezetekre, amennyiben ezek a nemzetközi jog értelmében különleges jogállással rendelkeznek, akár általában, akár székhely-megállapodás alapján: az ilyen mentesség megakadályozza a 4. cikk (1) bekezdése a) pontjának a külképviseletre vagy nemzetközi szervezetre történ• alkalmazását. 6. példa: Külföldi követségek Valamely uniós tagállam kanadai nagykövetsége az adott tagállam adatvédelmi joga alá tartozik, nem pedig a kanadai adatvédelmi jog alá. Bármely ország hollandiai nagykövetsége nem tartozik a holland adatvédelmi jog hatálya alá, mivel a nemzetközi jog értelmében minden nagykövetség különleges jogállással rendelkezik. Az adatbiztonság megsértése, amely a nagykövetség tevékenységei keretében következik be, ezért nem vezet a holland adatvédelmi jog alkalmazásához és az ebb•l következ• végrehajtási intézkedésekhez. Az EU tagállamaiban irodákkal rendelkez• nem kormányzati szervezet elvben nem élvez hasonló mentességet, kivéve, ha a fogadó országgal kötött nemzetközi megállapodás kifejezetten így rendelkezik.

III.3. A Közösség területén nem letelepedett adatkezel•, aki azonban valamely tagállam területén található eszköz alkalmazásával dolgoz fel adatokat (4. cikk (1) bekezdés c) pont) A 4. cikk (1) bekezdésének c) pontja az uniós irányelv által biztosított, a személyes adatok védelméhez való jog érvényesítésére törekszik még azokban az esetekben is, amikor az adatkezel• nem telepedett le az EU/EGT területén, a személyes adatok feldolgozása azonban egyértelm•en kapcsolódik e területhez, mint arra a (20) preambulumbekezdés22 is utal. A 4. cikk (1) bekezdésének c) pontja el•írja egy tagállam jogának alkalmazását, amennyiben „az adatkezel• nem telepedett le a Közösség területén, és a személyes adatok feldolgozása céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található, kivéve, ha ezt az eszközt kizárólag a Közösség területén átmen• adatforgalom céljára használják”. E rendelkezés különösen releváns az új technológiák, így különösen az internet fejl•dése fényében, mivel e technológiák megkönnyítik a személyes adatok távolból történ• gy•jtését és feldolgozását, függetlenül az adatkezel•nek az EU/EGT területén való esetleges fizikai jelenlétét•l23. 22

23

(20) preambulumbekezdés: „mivel az a tény, hogy az adatfeldolgozást valamely harmadik országban letelepedett személy végzi, nem gátolhatja az egyéneknek ebben az irányelvben el•írt védelmét; mivel ilyen esetekben az adatfeldolgozásra annak a tagállamnak a jogszabályai irányadóak, amelyben az alkalmazott eszközök találhatók, továbbá garanciákat kell találni arra, hogy ezen irányelvben meghatározott jogok és kötelezettségek a gyakorlatban is érvényesüljenek”. Lásd az adatvédelmi munkacsoport munkadokumentumát az uniós adatvédelmi jog nemzetközi alkalmazásáról a személyes adatok interneten történ•, EU-n kívüli honlapok általi feldolgozására (WP 56). - 20 -

a) „ … az adatkezel• nem telepedett le a Közösség területén …” E rendelkezés akkor válik relevánssá, ha az adatkezel•nek nincs olyan létesítménye az EU/EGT területén, amely – mint azt a fentiekben elemeztük – az irányelv 4. cikke (1) bekezdésének a) pontja értelmében szervezetnek min•sülne. Fontos tisztázni a „nem telepedett le” kifejezés értelmezését. Egyértelm•en le kell szögezni, hogy a 4. cikk (1) bekezdésének c) pontja csak akkor alkalmazandó, ha a 4. cikk (1) bekezdésének a) pontja nem alkalmazandó, azaz ha az adatkezel• nem rendelkezik olyan szervezettel az EU/EGT területén, amely a szóban forgó tevékenységek szempontjából releváns lenne. Így a tény, hogy az EU/EGT-n kívül letelepedett adatkezel• A tagállamban található eszközt vesz igénybe, és e tagállamban nem rendelkezik szervezettel, nem váltja ki az adott tagállam jogának alkalmazandóságát, ha az adatkezel• már rendelkezik szervezettel B tagállamban, és a személyes adatokat ez utóbbi szervezet tevékenységei keretében dolgozza fel. Az A tagállamban (ahol az eszközt használják) és a B tagállamban (ahol a szervezet található) folytatott feldolgozásra egyaránt B tagállam joga lesz alkalmazandó. Ezt a munkacsoport a keres•motorokkal kapcsolatos adatvédelmi kérdésekr•l szóló véleményében24 egyértelm•vé tette. Másrészt a 4. cikk (1) bekezdésének c) pontja alkalmazandó lesz, ha az adatkezel•nek „nem releváns” szervezete van az EU-ban, vagyis ha az adatkezel• rendelkezik szervezetekkel az EU-ban, ezek tevékenységei azonban nem függnek össze a személyes adatok feldolgozásával. Az ilyen szervezetek nem váltják ki a 4. cikk (1) bekezdése a) pontjának alkalmazását. Mivel az irányelv rendelkezéseinek alkalmazásában nem lehetnek joghézagok vagy következetlenségek, ezt azt jelenti, hogy az „eszköz” kritérium alkalmazását nem akadályozza egy nem releváns szervezet fennállása: alkalmazását egy szervezet léte csak annyiban akadályozhatja, amennyiben e szervezet ugyanezen tevékenységek keretében személyes adatokat dolgoz fel. Ezen értelmezés egyik következménye, hogy egy sokféle tevékenységet folytató társaság esetén a 4. cikk (1) bekezdésének a) és c) pontja egyaránt alkalmazható lehet, ha a társaság különböz• keretek között használ eszközöket és rendelkezik szervezetekkel. Más szóval, az EU/EGT-n kívül letelepedett és az EU-ban található eszközöket használó adatkezel•nek meg kell felelnie a 4. cikk (1) bekezdése c) pontjának, még ha rendelkezik is szervezettel az EU-ban, amennyiben e szervezet más tevékenységek keretében dolgoz fel személyes adatokat. E szervezet az adott tevékenységek tekintetében megalapozza a 4. cikk (1) bekezdése a) pontjának alkalmazását. Az adatvédelmi keret felülvizsgálata során lehet•ség nyílhat arra, hogy – összhangban az irányelv szellemével és a (20) preambulumbekezdés szövegével – tisztázzuk a 4. cikk (1) bekezdése c) pontjának hatályát, valamint azt, hogy mi értend• az alatt, hogy „az adatkezel• nem telepedett le a Közösség területén”. Az irányelv preambuluma világosan rögzíti, hogy célja az egyének védelme és a hézagok elkerülése az elvek alkalmazása során. Ezért a munkacsoport úgy véli, hogy a 4. cikk (1) bekezdése c) pontját azokban az esetekben kell alkalmazni, amikor nincs olyan szervezet az EU/EGT területén, amely 24

A 29. cikk szerinti munkacsoport 1/2008. számú véleménye a keres•motorokkal kapcsolatos adatvédelmi kérdésekr•l (WP 148). - 21 -

kiváltaná a 4. cikk (1) bekezdése a) pontjának alkalmazását, vagy ha a feldolgozást nem az ilyen szervezet tevékenységei keretében végzik. b) „… és a személyes adatok feldolgozása céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található …” E rendelkezés – és vele együtt valamely tagállam adatvédelmi joga – alkalmazandóságát meghatározó legfontosabb tényez• a tagállam területén található eszköz alkalmazása. A munkacsoport már tisztázta, hogy az „alkalmaz” fogalma két elemet feltételez: az adatkezel• valamilyen tevékenységét, és az adatkezel• személyes adatok feldolgozására irányuló egyértelm• szándékát25. Így, bár az EU/EGT területén található eszközök alkalmazásának nem minden esete vezet az irányelv alkalmazásához, ahhoz, hogy a feldolgozás az irányelv hatálya alá tartozzon, nem szükséges, hogy az érintett eszköz az adatkezel• tulajdonában vagy teljes kör• ellen•rzése alatt álljon. Meg kell jegyezni, hogy különbség van a 4. cikk (1) bekezdése c) pontjának angol szövegében használt „equipment” (berendezés, felszerelés) szó, és a 4. cikk (1) bekezdése c) pontja más nyelvi változatainak szóhasználata között, mivel ez utóbbiak az angol „means” (eszköz, mód) szóhoz közelebb álló megfelel•t használnak. A 4. cikk (1) bekezdése c) pontja egyéb nyelvi változatainak szóhasználata összhangban van a 2. cikk d) pontjának szövegével, amely az adatkezel• fogalmát határozza meg: az a személy, aki meghatározza a személyes adatok feldolgozásának céljait és módját (az angolban: „means”). E megfontolásokra tekintettel a munkacsoport az „equipment” (berendezés) kifejezést „means”-ként (eszköz) értelmezi26. A munkacsoport megjegyzi továbbá, hogy az irányelv szerint ez lehet „gépi vagy más” eszköz. Ez a kritérium tág értelmezéséhez vezet, mivel így magában foglalja az emberi és/vagy gépi közvetít•ket is, például felmérések vagy kutatások esetében. Következésképpen a kérd•ívek útján történ• információgy•jtésre is alkalmazandó, amelyre például egyes gyógyszerészeti vizsgálatok keretében sor kerül. Felmerül a kérdés, hogy kiszervezés keretében a feldolgozók által az EU/EGT területén, de az EGT-n kívül letelepedett adatkezel•k nevében végzett tevékenységek „eszköznek” tekinthet•k-e. A tág értelmezés, amely mellett a fentiekben érveltünk, igenl• válaszhoz vezet, feltéve, hogy a feldolgozók nem az adatkezel• EGT területén található szervezete tevékenységeinek keretében járnak el, mivel ez esetben a 4. cikk (1) bekezdésének a) pontja lenne alkalmazandó. Figyelembe kell azonban venni az ilyen értelmezés egyes esetekben felmerül• nem kívánatos következményeit, amelyeket fentebb, a III.4. pontban fejtettünk ki: ha a világ különböz• országaiban letelepedett adatkezel•k adataik feldolgozását egy uniós tagállamban végeztetik, ahol az adatbázis és a feldolgozó található, akkor ezen adatkezel•knek meg kell felelniük az adott tagállam adatvédelmi jogának.

25 26

WP 56, i.m. Emlékeztetni kell továbbá arra, hogy az irányelv el•z• változatainak angol szövege (például az 1992es módosított javaslat - COM (92) 422 végleges) szintén a „means” kifejezést használta, bár ezt a tárgyalások során, egy viszonylag kés•i szakaszban az „equipment” kifejezésre módosították, mint az az 1995. márciusi közös álláspont szövegéb•l látható. - 22 -

Esetr•l esetre kell értékelni, hogy az eszközt ténylegesen milyen módon alkalmazzák a személyes adatok gy•jtésére és feldolgozására. A fenti érvelés alapján a munkacsoport elismerte annak lehet•ségét, hogy a személyes adatok gy•jtése a felhasználók számítógépein keresztül, például cookie-k vagy javascript bannerek esetében, kiváltja a 4. cikk (1) bekezdése c) pontjának, és így az uniós adatvédelmi jognak az alkalmazását harmadik országokban letelepedett szolgáltatókra27. Az „eszközt alkalmaz” fordulat ezen értelmezése tág alkalmazási körnek kedvez. Ez az értelmezés azonban, mint már említettük, egyes nem megfelel• következményekre is rávilágít, amikor az értelmezés eredményeként az európai adatvédelmi jog olyan esetekben is alkalmazandó, amelyeket csak korlátozott kapcsolat f•z az EU-hoz (pl. az EU-n kívül letelepedett adatkezel•, aki nem uniós polgárok adatait dolgozza fel, csak az általa használt eszköz található az EU területén). Nyilvánvalóan további tisztázásra és e kritérium alkalmazásának további feltételekhez kötésére van szükség annak érdekében, hogy a jöv•beli adatvédelmi keret nagyobb biztonságot nyújtson. Ezt a dokumentum záró részében b•vebben is kifejtjük. További illusztrációként: szintén nem nyilvánvaló, hogy a távközlési terminálok vagy ezek részei mennyiben tekintend•k eszköznek. E tekintetben jelzésérték•nek tekinthet• a tény, hogy az adott berendezést személyes adatok gy•jtésére vagy további feldolgozására szánták vagy els•dlegesen arra használják. Az irányelv alkalmazását azonban az is kiváltja, ha az adatkezel• tudatosan – akár mellékesen is – személyes adatokat gy•jt az EU-ban található valamely berendezés felhasználásával. 7. példa: Földrajzi helymeghatározó szolgáltatások Egy új-zélandi társaság világszerte, így uniós tagállamokban is gépkocsik felhasználásával wi-fi hozzáférési pontokról gy•jt információkat (többek között egyének magán m•szaki berendezéseire vonatkozó információkat) abból a célból, hogy ügyfeleinek földrajzi helymeghatározó szolgáltatást nyújtson. Az ilyen tevékenység sok esetben személyes adatok feldolgozásával jár. Az adatvédelmi irányelv alkalmazását két körülmény alapozhatja meg: - egyrészt a közlekedés során wi-fi információkat gy•jt• gépkocsik a 4. cikk (1) bekezdése c) pontjának értelmében eszköznek tekinthet•k; - másrészt a földrajzi helymeghatározó szolgáltatás nyújtása közben az adatkezel• az egyén mobilkészülékét is igénybe veszi (a készülékre telepített speciális szoftver segítségével) eszközként ahhoz, hogy a készülék és felhasználója helyére vonatkozó pontos információval szolgáljon. A szolgáltatás nyújtása céljából történ• információgy•jtés és magának a földrajzi helymeghatározó szolgáltatásnak a nyújtása során egyaránt eleget kell tenni az irányelv rendelkezéseinek.

27

WP 56, i. m., 10. és az azt követ• oldal. - 23 -

8. példa: Számítási felh• A számítási felh•, amelynek keretében személyes adatokat dolgoznak fel és tárolnak szervereken a világ különböz• pontjain, összetett példája az irányelv rendelkezései alkalmazásának. Az adatok pontos helye nem mindig ismert, és id•vel változhat is, de nem is ez a dönt• az alkalmazandó jog azonosítása szempontjából. Az uniós jog alkalmazásának megalapozásához elég, ha az adatkezel• a feldolgozást az EU-ban található szervezet keretében végzi, vagy ha a vonatkozó eszköz az EU területén található, az irányelv 4. cikke (1) bekezdése c) pontjában foglaltaknak megfelel•en. Az els• dönt• lépés annak azonosítása lesz, hogy ki az adatkezel•, és mely tevékenységeket mely szinten végzik. Itt két szempont azonosítható: Az adatkezel• a felh•szolgáltatás felhasználója: például, ha egy vállalat online naptárszolgáltatást vesz igénybe az ügyfelekkel való találkozások szervezéséhez. Ha a vállalkozás a szolgáltatást az EU-ban található szervezete tevékenységeinek keretében veszi igénybe, erre a naptáron keresztüli online adatfeldolgozásra az uniós jog lesz alkalmazandó a 4. cikk (1) bekezdésének a) pontja alapján. A vállalkozásnak biztosítania kell, hogy a szolgáltatás megfelel• adatvédelmi biztosítékokkal rendelkezzen, nevezetesen a felh•ben tárolt személyes adatok biztonságát illet•en. Ezenkívül tájékoztatnia kell ügyfeleit az adataik felhasználásának céljáról és feltételeir•l. Egyes esetekben a felh•szolgáltatást nyújtó fél is lehet az adatkezel•: err•l akkor lehet szó, ha a szolgáltató online naptárt biztosít, ahova magánfelek feltölthetik személyes találkozóikat, de a szolgáltató emellett hozzáadott értéket jelent• szolgáltatásokat kínál, például a találkozók és kapcsolatok szinkronizálását. Ha a felh•szolgáltató az EU-ban található eszközöket alkalmaz, akkor a 4. cikk (1) bekezdésének c) pontja alapján uniós adatvédelmi jog lesz rá alkalmazandó. Mint azt az alábbiakban bemutatjuk, az irányelv alkalmazását nem alapozzák meg a kizárólag átmen• adatforgalom céljára használt eszközök, speciálisabb berendezések azonban megalapozzák, például ha a szolgáltatás számítástechnikai kapacitásokat vesz igénybe, javaszkripteket futtat vagy cookie-kat telepít a felhasználók személyes adatainak tárolása és az azokhoz való hozzáférés céljából. A felh•szolgáltatónak ebben az esetben tájékoztatnia kell a felhasználókat arról, hogy az adatokat hogyan dolgozzák fel, hogyan tárolják, azokhoz harmadik felek hogyan férhetnek hozzá, valamint az információk védelme érdekében megfelel• biztonsági intézkedésekr•l kell gondoskodnia.

9. példa: Egy adatkezel• pedofilokról országokra lebontott listát tesz közzé Az EU/EGT egyik tagállamában letelepedett adatkezel• országokra lebontott listát tesz közzé a kiskorúak sérelmére elkövetett b•ncselekmények elkövetésével gyanúsított vagy ilyen b•ncselekmény miatt elítélt személyekr•l. A listán szerepl• személyeknek a személyes adataik védelméhez való joga tekintetében az alkalmazandó jog – amelynek alapján a feldolgozás jogszer•ségét értékelni kell – azon tagállam nemzeti adatvédelmi joga, amelynek területén az adatkezel• letelepedett.

- 24 -

Az alkalmazandó adatvédelmi jog megállapítása szempontjából nem releváns, hogy az adatkezel• más tagállamokban található eszközt alkalmaz-e (például különböz• fels• szint• domainek, például .fr, .it, .pl stb. alá tartozó internetes szervereket), vagy közvetlenül más uniós országok állampolgárait célozza-e meg (például egy adott országhoz kapcsolódó nevek listáját teszi közzé az adott ország nyelvén) az e célból történ• adatfeldolgozás során. Más felügyel• hatóságok minden esetben kérhetik a letelepedés helye szerinti tagállam felügyel• hatóságának együttm•ködését a más tagállamokban tartózkodó egyének által benyújtott panaszok alapján. Más jogterületeken, így például a büntet•jog alapján rágalmazás vagy a polgári jog alapján a jóhírnév megsértése miatti keresetindítás esetén természetesen más kapcsoló elvek, és így más alkalmazandó jog lehet irányadó.

c) „… kivéve, ha ezt az eszközt kizárólag a Közösség területén átmen• adatforgalom céljára használják …” Kizárt egy uniós tagállam nemzeti jogának alkalmazása, amennyiben az adatkezel• a tagállam területén található eszközt kizárólag az EU területén átmen• adatforgalom céljára használja, mint például távközlési hálózatok (kábelek) vagy postai szolgáltatások esetében, amelyek csak azt biztosítják, hogy a közlések útban harmadik országok felé áthaladnak az EU területén. Mivel ez az eszközhöz kapcsolódó feltétel alóli kivételt jelent, sz•ken kell értelmezni. Megjegyzend•, hogy e kivétel tényleges alkalmazására egyre ritkábban kerül sor: a gyakorlatban egyre több távközlési szolgáltatás kapcsolja össze a puszta adattovábbítást hozzáadott értéket jelent• szolgáltatásokkal, például a levélszemét (spam) sz•résével vagy az adatok egyéb kezelésével azok továbbítása során. Az egyszer• végpontból végpontba történ• vezetékes továbbítás fokozatosan elt•nik. Ezt az adatvédelmi keret felülvizsgálatáról való gondolkodás során is tekintetbe kell majd venni. d) „… ki kell jelölnie egy, az adott tagállam területén letelepedett képvisel•t …” (4. cikk (2) bekezdés) Az irányelv kötelezi az adatkezel•t, hogy jelöljön ki „képvisel•t” azon tagállam területén, amelynek joga annak alapján alkalmazandó, hogy az adatkezel• az adott tagállam területén található eszközt alkalmaz a személyes adatok feldolgozásához. E kötelezettség az adatkezel•t „az ellene indítható jogi keresetek sérelme nélkül” terheli. Ez utóbbi esetben a képvisel•vel szembeni jogérvényesítés gyakorlati kérdéseket vet fel, mint azt a tagállamok tapasztalatai tanúsítják, így például abban az esetben, ha az adatkezel• egyetlen képvisel•je az EU-ban egy ügyvédi iroda. A nemzeti végrehajtási rendelkezések nem adnak egységes választ arra a kérdésre, hogy a polgári jog vagy a büntet•jog alapján az adatkezel• helyett megállapítható-e a képvisel• felel•ssége és alkalmazhatók-e vele szemben szankciók. Ebb•l a szempontból a képvisel• és az adatkezel• közötti kapcsolat jellege a dönt•. Egyes tagállamokban a képvisel• helyettesíti az adatkezel•t a végrehajtás és a szankciók szempontjából is, míg más tagállamokban egyszer•en megbízással rendelkezik. Egyes nemzeti jogok kifejezetten

- 25 -

rendelkeznek a képvisel•re alkalmazandó bírságokról28, míg más tagállamokban nincs erre lehet•ség29. E tekintetben európai szint• harmonizációra van szükség, hogy hatékonyabb lehessen a képvisel• szerepe. Az érintetteknek lehet•ségük kell legyen arra, hogy gyakorolhassák jogaikat a képvisel•vel szemben, a magával az adatkezel•vel szemben indítható keresetek sérelme nélkül. III.4. A 4. cikk (1) bekezdése c) pontjának alkalmazásával járó gyakorlati következményekre vonatkozó megfontolások A 4. cikk (1) bekezdése c) pontja alkalmazásának egyik dönt• szempontja a gyakorlati következményekhez kapcsolódik, amelyekkel ez az adatkezel• számára jár. Az EU/EGT területén kívüli adatkezel•nek alkalmaznia kell az irányelv elveit, ha az EU területén található eszközt alkalmaz a személyes adatok feldolgozásához. Felmerülhet a kérdés, hogy ezek az elvek csak a feldolgozás EU területén végzett részére alkalmazandók, vagy magára az adatkezel•re és a feldolgozás minden szakaszára, még azokra is, amelyekre harmadik országban kerül sor. E kérdések különös jelent•séggel bírnak hálózati környezetekben, így például számítási felh• esetében, vagy nemzetközi vállalatokkal összefüggésben. Vizsgáljuk meg például, hogy milyen következményekkel jár a világ különböz• országaiban letelepedett adatkezel•k számára, ha adataikat Franciaországban dolgoztatják fel, ahol az adatbázis és a feldolgozáshoz használt eszköz is található. Ha a különböz• adatkezel•k Franciaországban található infrastruktúrát vesznek igénybe, a 4. cikk (1) bekezdésének c) pontja alkalmazandó, és minden adatkezel•nek meg kell felelnie a francia jognak. Ez nem kívánatos következményekkel járhat a gazdasági hatások és a végrehajthatóság tekintetében. Gyakorlati megfontolások a „berendezés/eszköz” kritérium alkalmazásának enyhítését indokolnák, ezt azonban ellensúlyozza a tény, hogy az adatvédelmi elvek célja egy alapvet• jog védelme. Nem t•nik elfogadhatónak, hogy az egyének jogait az adataik feldolgozásának egyes szakaszaira korlátozzuk. Emellett az sem lenne elfogadható, hogy a védelem hatályát az EU-ban lakóhellyel rendelkez• személyekre sz•kítsük, mivel a személyes adatok védelméhez való alapvet• jog állampolgárságtól vagy lakóhelyt•l függetlenül mindenkit megillet. Következésképpen a 4. cikk (1) bekezdése c) pontjában foglalt kritérium az irányelv elveinek magára az adatkezel•re történ• alkalmazásához vezet, a feldolgozás minden szakaszát, még a harmadik országban megvalósulóakat illet•en is. Mindaddig támogatni kell, hogy az irányelv egy adatkezel•re a feldolgozás egésze tekintetében alkalmazást nyerjen, amíg az EU-hoz f•z•d• kapcsolat tényleges, és nem jelentéktelen (mint például a tagállamban található eszköz nem szándékos, szinte véletlen igénybe vétele).

28

29

Az 1992. december 8-i belga adatvédelmi törvény, Hivatalos Közlöny 1993. március 18.; a 2000. július 6-i holland törvény a személyes adatok védelmér•l, Törvények, Rendeletek és Utasítások Közlönye (Staatsblad) 302. sz., 2000. július 20. Lásd még a görög jogszabályt (a 2472/1997. sz. törvény 3. cikke (3) bekezdésének b) pontja, a 21. cikk (1) bekezdésével összefüggésben). Az 1978. január 6-i 78/17. sz. francia törvény például nem rendelkezik a képvisel•kre kiróható ilyen bírságról. - 26 -

A jogbiztonság szempontjából hasznos lehetne egy konkrétabb, az egyének megcélzását tekintetbe vev• kapcsoló tényez• az „eszköz/berendezés” kritérium kiegészítéseként, mint azt alább a következtetésekben részletesebben is kifejtjük. E kritérium nem új, alkalmazzák már az EU-ban más kontextusban30, továbbá az Egyesült Államoknak a gyermekek interneten történ• védelmér•l szóló jogszabályában31. Szintén ez a helyzet az elektronikus kereskedelemr•l szóló 2000/31/EK irányelvet32 átültet• egyes nemzeti jogszabályokban, amelyek rögzítik, hogy az EGT-ben nem letelepedett szolgáltatók e nemzeti jogszabályok hatálya alá tartoznak, amennyiben szolgáltatásaik kifejezetten az adott tagállam területét célozzák meg. A jöv•ben az adatvédelmi keret felülvizsgálatáról folyó egyeztetések során meg lehetne vizsgálni egy hasonló kritérium alkalmazását az uniós adatvédelmi jogban. A 4. cikk (1) bekezdése c) pontja alkalmazásának egy másik gyakorlati következménye az e rendelkezés és az irányelv 25. és 26. cikke közötti kölcsönhatást érinti. A tény, hogy az EU/EGT-n kívül letelepedett adatkezel• az EU/EGT területén található eszközt alkalmaz – és ezért az irányelv valamennyi releváns rendelkezésének meg kell felelnie – a 25. és 26. cikk esetleges alkalmazásához is vezetne. A gyakorlatban azonban nehéz lehet pontosan megállapítani, hogy egy ilyen helyzet milyen következményekkel jár. Például, ha egy X országban, az EGT-n kívül letelepedett adatkezel• az EU területén található eszköz felhasználásával gy•jt személyes adatokat (például cookie-k útján vagy feldolgozón keresztül), a feldolgozás összes szakasza tekintetében eleget kell tennie az irányelvnek. Itt bizonyos párhuzamosság figyelhet• meg azzal a helyzettel, amikor az EGT-ben letelepedett adatkezel• az EGT-n kívüli feldolgozóhoz továbbít adatokat: az adatkezel•t és az EGT-n kívül letelepedett feldolgozót ebben az esetben is kötni fogja az irányelv. Nem teljesen világos azonban, hogy a gyakorlatban ezeket az elveket – az irányelv 25. és 26. cikke szerinti megfelel•ségi követelményekkel összhangban – hogyan hajtják végre a 4. cikk (1) bekezdése c) pontja szerinti, az EGT-n kívül letelepedett adatkezel•t érint• forgatókönyv esetén. A munkacsoport véleménye szerint az adattovábbítás feltételeit szabályozó jelenlegi eszközöket további megfontolás tárgyává kellene tenni e helyzet jobb lefedése érdekében.

III.5.

A biztonsági intézkedésekre alkalmazandó jog (17. cikk (3) bekezdés)

A 17. cikk (3) bekezdése rögzíti, hogy a feldolgozót az adatkezel•vel szemben köt• szerz•désnek vagy jogi aktusnak biztosítania kell a biztonsági intézkedéseknek való

30

31

32

Lásd a polgári és kereskedelmi ügyekben a joghatóságról, valamint a határozatok elismerésér•l és végrehajtásáról szóló, 2000. december 22-i 44/2001/EK tanácsi rendelet (HL L 12., 2001.1.16., 1. o.) 15. cikke (1) bekezdésének c) ponját, értelmezéséhez pedig Trstenjak f•tanácsnok C-144/09. sz., Hotel Alpenhof ügyben 2010. május 18-án el•terjesztett indítványát. A COPPA (Children's Online Privacy Protection Act) alkalmazását megalapozza, ha a kiadó az Egyesült Államokban található, vagy ha a honlap egyesült államokbeli gyerekeket céloz meg: a külföldi honlapoknak és online szolgáltatásoknak eleget kell tenniük a COPPA-nak, ha az egyesült államokbeli gyerekek céloznak meg, vagy tudatosan egyesült államokbeli gyerekek személyes adatait gy•jtik vagy közzéteszik. Lásd 16 CFR 312.2, elérhet•: http://www.ftc.gov/os/1999/10/64fr59888.pdf, 59912. o. Az Európai Parlament és a Tanács 2000/31/EK irányelve (2000. június 8.) a bels• piacon az információs társadalommal összefügg• szolgáltatások, különösen az elektronikus kereskedelem, egyes jogi vonatkozásairól (Elektronikus kereskedelemr•l szóló irányelv) (HL L 178., 2000.7.17., 1. o.). - 27 -

megfelelést, amelyek „annak a tagállamnak a jogszabályai szerint kerülnek meghatározásra, amelyben a feldolgozó letelepedett”. Ezen elv mögött az a megfontolás áll, hogy a biztonsági intézkedéseket illet•en egy tagállamon belül egységes követelményeket kell biztosítani, és meg kell könnyíteni a végrehajtást. Megjegyzend• azonban, hogy európai szinten a biztonsági követelmények terén jelent•s eltérések mutatkoznak a tagállamok között: egyes tagállamok rendkívül részletes szabályokat írnak el•, míg mások csak az irányelv általános megfogalmazását vették át. Azokban az esetekben, amikor a nemzeti jogszabályok általános jelleg•ek, és megfogalmazásuk az irányelvet követi, ez nem jár gyakorlati következményekkel. A feldolgozó számára nem jelentene problémát, hogy megfeleljen a részletesebb kötelezettségeknek, amelyeket az adatkezel• saját nemzeti jogának megfelel•en ró ki rá, vagy az adatkezel• számára, hogy részletesebb követelményeket fogadjon el a feldolgozó jogának megfelel•en. A 17. cikk (3) bekezdése csak azokban az esetekben biztosít els•bbséget a feldolgozó jogának, amikor a részletes szabályok különböz•ek vagy akár ellentmondóak33. Az adatvédelmi keret felülvizsgálatáról folyó egyezetések körébe azonban tanácsosnak t•nik bevonni a biztonsági kötelezettségek további harmonizálását is.

III.6. A felügyel• hatóságok hatásköre és egymással való együttm•ködése (28. cikk (6) bekezdés) Mint azt a fentiekben (lásd a II.2.e) pontot) említettük, a 28. cikk (6) bekezdésének célja a bels• piacon az adatvédelem területén az alkalmazandó jog és a felügyel• hatóság joghatósága közti lehetséges szakadék áthidalása. E rendelkezés értelmében a nemzeti adatvédelmi hatóságok hatáskörrel rendelkeznek arra, hogy felügyeljék az adatvédelmi jogszabályok végrehajtását a létrehozataluk helye szerinti tagállam területén. Az adatvédelmi hatóság végrehajtási jogkörei azonban akkor sem korlátozottak, ha a területén másik tagállam joga alkalmazandó: az irányelv alkalmazandó jogra vonatkozó kritériumai biztosítják annak lehet•ségét, hogy egy adatvédelmi hatóság ellen•rzést végezzen és beavatkozzon olyan feldolgozási m•velet esetében is, amelyre területén kerül sor, még ha egy másik tagállam joga alkalmazandó is. III.6.a) „… A felügyel• hatóságok, függetlenül a[z] … alkalmazandó nemzeti jogtól, … hatáskörrel rendelkeznek …” E rendelkezés biztosítja, hogy a nemzeti felügyel• hatóság saját illetékességi területén mindig jogosult legyen eljárni, függetlenül attól, hogy az alkalmazandó jog saját nemzeti adatvédelmi joga vagy egy másik tagállam adatvédelmi joga. III.6.b) „… saját tagállamuk területén hatáskörrel rendelkeznek a … jogosultságok gyakorlására …” Ezenkívül, amikor másik tagállam adatvédelmi joga alkalmazandó, a felügyel• hatóság abban a helyzetben lesz, hogy illetékességi területén belül teljes mértékben gyakorolhassa nemzeti jogrendszere által ráruházott hatásköröket. Ez magában foglalja a

33

Ezzel elkerülhet•, hogy olyan országbeli feldolgozót jelöljenek ki, ahol alacsonyabb szint•ek a kötelezettségek, ami az adatkezel• kötelezettségei megsértésének min•sülne. - 28 -

vizsgálati jogkört, a beavatkozási jogosultságokat, a bírósági eljárásban való részvétel jogát és a szankciók kiszabására való jogot. Amennyiben több adatvédelmi hatóság érintett, így a letelepedés helye szerinti hatóság és azon hatóságok, amelyek joga alkalmazandó, lényeges az együttm•ködés megszervezése, valamint annak biztosítása, hogy az egyes adatvédelmi hatóságok szerepe világos legyen. Ehhez több kérdést kell vizsgálni, többek között: - eljárási kérdéseket, így például a vezet• hatóság azonosítását és a többi adatvédelmi hatósággal való együttm•ködésének módját; - az egyes adatvédelmi hatóságok által gyakorolt hatásköröket. Így például, hogy a letelepedés helye szerinti adatvédelmi hatóság mennyiben fogja gyakorolni hatáskörét az anyagi jogi elvek és a szankciók tekintetében? A tények ellen•rzésére korlátozza-e hatáskörének gyakorlását, hozhat-e ideiglenes végrehajtási intézkedéseket vagy akár végleges intézkedéseket? Értelmezheti-e az alkalmazandó jog rendelkezéseit, vagy ez annak az adatvédelmi hatóságnak az el•joga, amelynek joga alkalmazandó? E tekintetben meg kell jegyezni, hogy nem minden nemzeti jog rendelkezik annak lehet•ségér•l, hogy minden érdekeltre szankciót lehessen kiszabni34. Az irányelv 28. cikke alapján a felügyel• hatóságokra ruházott felügyeleti hatáskörök magas szint• harmonizációja nélkülözhetetlen feltétele annak, hogy az adatvédelmi szabályoknak való megfelelést határokon átnyúló esetekben is eredményesen és megkülönböztetést•l mentesen lehessen biztosítani. E kérdés további elemzést igényel, a munkacsoport e tekintetben külön dokumentumban fog iránymutatást nyújtani.

10. példa: Határon átnyúló adatfeldolgozás az EU-n belül A feldolgozási tevékenységeket az Egyesült Királyságban végzik, azonban az adatkezel• Németországban található szervezete tevékenységei keretében. Ez az alábbi következményekkel jár: - az Egyesült Királyságban folytatott adatfeldolgozásra a német jog lesz alkalmazandó; - az egyesült királyságbeli adatvédelmi hatóságnak hatáskörrel kell rendelkeznie arra, hogy helyszíni ellen•rzést végezzen az egyesült királyságbeli szervezet helységeiben és megállapítsa a tényeket, amelyeket továbbít a német adatvédelmi hatóságnak; - a német adatvédelmi hatóságnak jogosultnak kell lennie arra, hogy az egyesült királyságbeli adatvédelmi hatóság megállapításai alapján szankciót rójon ki a Németországban letelepedett adatkezel•re. Továbbá, ha az egyesült királyságbeli szervezet feldolgozó, a feldolgozás biztonsági vonatkozásaira az Egyesült Királyság adatvédelmi jogának követelményei vonatkoznak. Ez felveti a kérdést, hogyan érvényesíthet•k megfelel•en e jog követelményei.

34

A görög jog például csak az adatkezel•kre és képvisel•ikre kiróható szankciókról rendelkezik, a feldolgozókra kiróhatóról nem. - 29 -

III.6.c) „…a feladataik teljesítéséhez szükséges mértékben együttm•ködnek egymással …” A felügyel• hatóságokat együttm•ködési kötelezettség terheli, e kötelezettség azonban a feladataik teljesítéséhez szükséges mértékre korlátozódik. Ezért az együttm•ködés iránti kéréseknek a hatáskör gyakorlásához kell kapcsolódniuk, és általában határon átnyúló vonatkozású ügyekre vonatkoznak. A rendelkezés különösen a „hasznos információk” cseréjére utal, ami jelentheti például az adott ügyben releváns rendelkezésekre és jogszabályokra vonatkozó információkat. Az együttm•ködésre emellett valószín•leg különböz• szinteken is sor kerül: határon átnyúló panaszok kezelése, más adatvédelmi hatóság számára történ• bizonyítékgy•jtés, vagy szankciók kiszabása terén. A kérdés még éget•bb nemzetközi összefüggésben, világszerte tevékenyked• adatkezel•k esetében, és a végrehajtás terén folyó együttm•ködés javítását teszi szükségessé. Az olyan kezdeményezések, mint a „Global Privacy Enforcement Network” (GPEN), amely különböz• országok adatvédelmi hatóságait tömöríti, szükséges és örvendetes lépést jelentenek ebbe az irányba.

11. példa: Közösségi hálózat, amelynek központja harmadik országban található, azonban az EU-ban is rendelkezik szervezettel Egy közösségi hálózat központja harmadik országban található, de egy uniós tagállamban is rendelkezik szervezettel. A szervezet határozza meg és hajtja végre az EU-ban lakóhellyel rendelkez•k személyes adatainak feldolgozására vonatkozó politikákat. A közösségi hálózat tevékenységével aktívan megcélozza az uniós tagállamokban lakóhellyel rendelkez• személyeket, akik ügyfelei és bevételei jelent•s részét adják. Ezenkívül cookie-kat telepít az uniós felhasználók számítógépére. Ebben az esetben az alkalmazandó jog a 4. cikk (1) bekezdése a) pontja értelmében azon tagállam adatvédelmi joga lesz, ahol a cég az EU-n belül letelepedett. Nem releváns az a kérdés, hogy a közösségi hálózat igénybe vesz-e más uniós tagállam területén található eszközt, mivel minden feldolgozásra egyetlen szervezet tevékenységei keretében kerül sor, és az irányelv kizárja a 4. cikk (1) bekezdése a) és c) pontjának kumulatív alkalmazását. Azon uniós tagállam felügyel• hatóságát azonban, ahol a közösségi hálózat az EU-n belül letelepedett, a 28. cikk (6) bekezdése alapján a más felügyel• hatóságokkal való együttm•ködés kötelezettsége terheli, például a más tagállamokban lakó felekt•l származó kérelmek vagy panaszok elbírálása érdekében.

- 30 -

12. példa: Európai e-egészségügyi platform A platformot európai szinten hozzák létre, hogy megkönnyítsék a betegek adatainak határokon átnyúló kezelését. A platform lehet•vé teszi a betegadatlapok, a gyógyszeres kezelésre vonatkozó nyilvántartások és a rendelvények cseréjét a külföldi utazás során igénybe vett egészségügyi ellátások megkönnyítése érdekében. Bár a platform megkönnyíti az információcserét, az egyes tagállamokban továbbra is lesz egy vagy több szervezet, amelynek tevékenységei keretében a betegek adatait feldolgozzák. Például ha egy Bulgáriában lakó személy portugáliai utazása során sürg•s kezelésre szorul, adatait a platformon keresztül a portugál egészségügyi szolgáltatók dolgozzák fel, a portugál adatvédelmi jognak megfelel•en. Ha a beteg Bulgáriába visszatérve jogorvoslattal kíván élni a portugál adatkezel• általi adatkezelés tekintetében, kérelmét el•ször a bolgár adatvédelmi hatósághoz nyújtja be. A bolgár adatvédelmi hatóságnak ekkor együtt kell m•ködnie a portugál adatvédelmi hatósággal, hogy megállapítsa a tényeket, és ellen•rizze, sor került-e a portugál jog megsértésére. Ha az Európai Bizottság a személyes adatok áramlásának szervezése és a rendszer biztonságának garantálása útján beavatkozik a platform m•ködésébe, ez szintén személyes adatok feldolgozásának tekinthet•, ami megalapozza a 45/2001/EK rendelet alkalmazását. E példában, ha a bolgár állampolgár egészségügyi adataival kapcsolatban a biztonság megsértésér•l tenne panaszt, a bolgár adatvédelmi hatóság együttm•ködne az európai adatvédelmi biztossal a biztonság megsértése körülményeinek és következményeinek megállapítása során.

IV.

Következtetések

E vélemény célja a 95/46/EK irányelv, különösen a 4. cikk alkalmazási körének tisztázása. Emellett néhány olyan területet is kiemel, amelyeken még lehetne javítani. E két szempontra vonatkozó f•bb megállapításainkat az alábbiakban foglaljuk össze. IV.1. A jelenlegi rendelkezések tisztázása Annak meghatározása, hogy az uniós jog mikor alkalmazandó a személyes adatok feldolgozására, az uniós adatvédelmi jog hatályának tisztázását szolgálja, mind az EU/EGT-n belül, mind tágabb nemzetközi összefüggésben. Az alkalmazandó jog egyértelm• meghatározása el•segíti, hogy jogbiztonságot nyújtsunk az adatkezel•k számára, valamint világos keretet teremtsünk az egyének és más érdekeltek számára. Ezenkívül az alkalmazandó jogra vonatkozó rendelkezések helyes értelmezése biztosítja, hogy ne mutatkozzanak joghézagok vagy kibúvók a személyes adatok 95/46 irányelv által biztosított magas szint• védelmében. Az alkalmazandó jogra vonatkozó legfontosabb rendelkezés a 4. cikk, amely meghatározza, hogy az irányelvnek megfelel•en elfogadott nemzeti adatvédelmi jogszabályok közül melyek lehetnek alkalmazandóak a személyes adatok feldolgozására. A 4. cikk (1) bekezdésének a) pontja szerint egy tagállam saját nemzeti adatvédelmi jogát alkalmazza, ha az adatfeldolgozást a tagállam területén az adatkezel• egy szervezete - 31 -

keretében végzik. A 4. cikk (1) bekezdésének a) pontja alkalmazásában a releváns szervezet azonosítása során a dönt• szempontot az jelenti, hogy az érintett szervezet a tevékenységeket ténylegesen gyakorolja-e. Ezenkívül az „egy” szervezetre való utalás azt jelenti, hogy a tagállam jogának alkalmazandóságát az adatkezel• egy szervezetének adott tagállamban való elhelyezkedése váltja ki, míg az adatkezel• más szervezeteinek más tagállamokban való elhelyezkedése e tagállamok jogának alkalmazandóságához vezethet. A „tevékenységeinek keretében” fogalma – és nem az adatok helye – dönt• tényez• az alkalmazandó jog hatályának meghatározása szempontjából. A „tevékenységeinek keretében” fogalma azt jelenti, hogy az alkalmazandó jog nem annak a tagállamnak joga, ahol az adatkezel• letelepedett, hanem ahol az adatkezel• egy szervezete személyes adatok feldolgozásával járó tevékenységekben vesz részt. Ebben az összefüggésben alapvet• jelent•ség• a szervezet(ek) részvételének mértéke azon tevékenységekben, amelyek keretében a személyes adatokat feldolgozzák. Ezenkívül figyelembe kell még venni a szervezetek tevékenységeinek jellegét és az egyének részére hatékony jogvédelem biztosításának szükségességét. E szempontok elemzése során funkcionális megközelítést célszer• követni: a felek alkalmazandó jogra vonatkozó elméleti értékelése helyett gyakorlati magatartásukat és interakcióikat kell meghatározónak tekinteni. A 4. cikk (1) bekezdésének b) pontja azt a kevésbé gyakori esetet szabályozza, amikor egy tagállam adatvédelmi joga alkalmazandó, amennyiben „az adatkezel• nem valamely tagállam területén telepedett le, hanem olyan helyen, amelynek nemzeti joga – a nemzetközi közjog értelmében – alkalmazandó” [helyesen: olyan helyen, ahol a tagállam nemzeti joga – a nemzetközi közjog értelmében – alkalmazandó]. A nemzeti közjogból ered• küls• kritériumok egyes különleges helyzetekben az országhatárokon túlterjed•en is megállapíthatják a nemzeti adatvédelmi jog alkalmazását, így például követségek vagy hajók esetében. A 4. cikk (1) bekezdésének c) pontja az uniós irányelv által biztosított, a személyes adatok védelméhez való jog érvényesítésére törekszik még azokban az esetekben is, amikor az adatkezel• nem telepedett le az EU/EGT területén, a feldolgozás azonban valamilyen módon kapcsolódik e területhez. A 4. cikk rendelkezései közötti összhang biztosítása és az adatvédelmi jog alkalmazásában felmerül• joghézagok elkerülése érdekében a munkacsoport véleménye szerint a 4. cikk (1) bekezdése c) pontjának alkalmazását nem gátolja, ha az adatkezel• rendelkezik szervezettel valamely tagállam területén, amennyiben az nem tekintend• releváns szervezetnek a 4. cikk (1) bekezdése a) pontja alkalmazásában. Ehelyett a 4. cikk (1) bekezdése c) pontjában foglalt „eszközt alkalmaz” rendelkezést azokban az esetekben kell alkalmazni, amikor nincs olyan szervezet az EU/EGT területén, amely kiváltaná a 4. cikk (1) bekezdése a) pontjának alkalmazását, vagy ha a feldolgozást nem az ilyen szervezet keretében végzik. A 4. cikk (1) bekezdése c) pontjának, és így valamely tagállam adatvédelmi jogának alkalmazandóságát meghatározó legfontosabb tényez• a tagállam területén található eszköz alkalmazása. Az „eszközt alkalmaz” fogalma két elemet feltételez: az adatkezel• valamilyen tevékenységét, és az adatkezel• személyes adatok feldolgozására irányuló egyértelm• szándékát. Így, bár az EU/EGT területén található eszközök alkalmazásának nem minden esete vezet az irányelv alkalmazásához, ahhoz, hogy a feldolgozás az irányelv hatálya alá tartozzon, nem szükséges, hogy az érintett eszköz az adatkezel• tulajdonában vagy teljes kör• ellen•rzése alatt álljon. - 32 -

A berendezés („equipment”) fogalmát illet•en annak eszközként („means”) való kifejezése az angoltól eltér• uniós nyelvekben a kritériumok tág értelmezéséhez vezet, ami széles alkalmazási körnek kedvez. Az ilyen értelmezés egyes olyan esetekben is az európai adatvédelmi jog alkalmazandóságához vezethet, amikor a szóban forgó adatfeldolgozás nem áll valódi kapcsolatban az EU/EGT-vel. Mindenesetre, amennyiben az EU/EGT-n kívül letelepedett adatkezel• az EU/EGT-ben található eszköz igénybevételével személyes adatokat dolgoz fel, ez a 4. cikk (1) bekezdés c) pontja alapján kiváltja az irányelv alkalmazását, ami azt jelenti, hogy az irányelv összes többi vonatkozó rendelkezése is alkalmazandó lesz. Kizárt egy tagállam nemzeti jogának alkalmazása, amennyiben az adatkezel• a tagállam területén található eszközt kizárólag a Közösség területén átmen• adatforgalom céljára használja, mint például távközlési hálózatok (kábelek) vagy postai szolgáltatások esetében, amelyek csak azt biztosítják, hogy a közlések útban harmadik országok felé áthaladnak a Közösség területén. A 4. cikk (2) bekezdése kötelezi az adatkezel•t, hogy jelöljön ki képvisel•t azon tagállam területén, amelynek joga annak alapján alkalmazandó, hogy az adatkezel• az adott tagállam területén található eszközt alkalmaz a személyes adatok feldolgozásához. Ez utóbbi esetben a képvisel•vel szembeni jogérvényesítés kihívást jelenthet. A 17. cikk (3) bekezdése rögzíti, hogy a feldolgozót az adatkezel•vel szemben köt• szerz•désnek vagy jogi aktusnak rendelkeznie kell arról, hogy a feldolgozónak meg kell felelnie a biztonsági intézkedéseknek, amelyek „annak a tagállamnak a jogszabályai szerint kerülnek meghatározásra, amelyben a feldolgozó letelepedett”. Ezen elv mögött az a megfontolás áll, hogy a biztonsági intézkedéseket illet•en egy tagállamon belül egységes követelményeket kell biztosítani, és meg kell könnyíteni a végrehajtást. A 28. cikk (6) bekezdésének célja a bels• piacon az adatvédelem területén az alkalmazandó jog és a felügyel• hatóság joghatósága közti lehetséges eltérés áthidalása annak rögzítésével, hogy az adatvédelmi hatóságok hatásköreiket gyakorolva vizsgálhatják a területükön végzett adatfeldolgozási m•veleteket és beavatkozhatnak, még ha másik tagállam joga alkalmazandó is. IV.2. A jelenlegi rendelkezések javítása Jóllehet a fenti útmutatások és példák reményeink szerint hozzájárulnak majd a jogbiztonság fokozásához és az egyének jogainak védelméhez a személyes adatok feldolgozására alkalmazandó jog meghatározása során, kidolgozásuk során néhány hiányosságot is azonosítottunk. Az irányelv szóhasználata, és a 4. cikk különböz• részei közötti összhang szempontjából hasznos lenne a további tisztázás az általános adatvédelmi keret felülvizsgálatának részeként. A munkacsoport az alábbi területeken tart szükségesnek ilyen további tisztázást: a.

Fel kell oldani a 4. cikk (1) bekezdése a) és c) pontjának megfogalmazásában mutatkozó következetlenségeket a „szervezet”, illetve az adatkezel• „nem telepedett le” az EU-ban fordulatot illet•en. A 4. cikk (1) bekezdésének a) pontjával való összhang érdekében, amely a „szervezet” kritériumát használja, a 4. cikk (1) bekezdésének c) pontját azokban az esetekben kellene alkalmazni, amikor nincs - 33 -

olyan szervezet az EU-ban, amely kiváltaná a 4. cikk (1) bekezdése a) pontjának alkalmazását vagy amikor a feldolgozást nem ilyen szervezet tevékenységei keretében végzik. b.

Szintén hasznos lenne bizonyos tisztázás a szervezet „tevékenységeinek keretében” fogalmát illet•en. A munkacsoport hangsúlyozta a szervezet(ek) azon tevékenységekben való részvételének mértékére vonatkozó értékelés szükségességét, amelyek keretében a személyes adatokat feldolgozzák, vagy más szóval annak ellen•rzését, hogy ki, mit csinál, melyik szervezetben. E kritériumot az irányelv el•készít• munkálatainak, valamint az akkor megfogalmazott célkit•zésnek figyelembevételével kell értelmezni, amelynek értelmében meg kell tartani az adatkezel• EU-ban található különböz• szervezeteire alkalmazandó nemzeti jogok disztributív megközelítését. A munkacsoport megítélése szerint a 4. cikk (1) bekezdése a) pontjának jelenlegi szövege megvalósítható, de néha összetett megoldáshoz vezet, ami úgy t•nik, egy központosítottabb és harmonizáltabb megközelítés mellett szól.

c.

Az alkalmazandó jogra vonatkozó szabályok egyszer•sítése érdekében elképzelhet• változás a származási ország elvéhez való visszalépést jelentene: így az adatkezel• EU-ban található összes szervezete ugyanazt a jogot alkalmazná, függetlenül attól, hogy mely tagállam területén találhatók. Ebb•l a szempontból az adatkezel• székhelyének helye lenne az els• alkalmazandó kritérium. Így nem vezetne a nemzeti jogok megosztott alkalmazásához, hogy az adatkezel• több szervezettel is rendelkezik az EU-n belül.

d.

Ez azonban csak akkor lenne elfogadható, ha a tagállamok joga között nem lennének jelent•s különbségek. A származási ország elvének tényleges alkalmazása ellenkez• esetben a legkedvez•bb jog kiválasztásához („forum shopping”) vezetne azon tagállamok javára, amelyek jogát az adatkezel•kkel szemben engedékenyebbnek tekintik. Ez nyilvánvalóan az érintettek számára is hátrányos lehet. Az adatkezel•k és az érintettek számára a jogbiztonság csak akkor lenne biztosított, ha megvalósulna a nemzeti jogszabályok átfogó harmonizációja, ideértve a biztonsági kötelezettségek harmonizációját is. A munkacsoport ezért támogatja az adatvédelmi elvek er•teljes harmonizálását, a származási ország elvére való áttérés el•feltételeként is.

e.

Amennyiben az adatkezel• az EU-n kívül telepedett le, további kritériumokat kellene alkalmazni annak biztosítása érdekében, hogy megfelel• kapcsolat álljon fenn az EU területével, valamint annak elkerülésére, hogy az EU területét harmadik országokban letelepedett adatkezel•k jogellenes adatkezelési m•veletek folytatására használják. E tekintetben az alábbi két kritériumot lehetne kidolgozni: − Az egyéneket megcélzó tevékenység, vagy „szolgáltatás-orientált megközelítés”: ennek alapján az uniós adatvédelmi jog alkalmazását azon feltételhez lehetne kötni, hogy a személyes adatok feldolgozásával járó tevékenység EU-beli egyénekre irányul. Ez a megcélzott felhasználóknak az egyén és valamely konkrét uniós ország közötti tényleges kapcsolaton alapuló vagy azt tekintetbe vev• érdemi kiválasztását jelentené. Az alábbi példák illusztrálják, hogy mi min•sülhetne az egyének megcélzásának: a tény, hogy az adatkezel• olyan szolgáltatások keretében gy•jt személyes adatokat, amelyek kifejezetten az EU-ban lakó személyek számára hozzáférhet•k vagy kifejezetten ilyen személyeket céloznak meg, az - 34 -

információk uniós nyelveken való feltüntetése, szolgáltatások vagy termékek uniós országokban való nyújtása, a szolgáltatás elérhet•ségének uniós hitelkártya használatához kötése, a felhasználó nyelvén megfogalmazott reklám vagy az EU-ban elérhet• termékekre és szolgáltatásokra vonatkozó reklám küldése révén. A munkacsoport megjegyzi, hogy e kritériumot már alkalmazzák a fogyasztóvédelem terén: az adatvédelem terén való alkalmazása további jogbiztonságot nyújtana az adatkezel•k számára, mivel így ugyanazt a kritériumot kellene alkalmazniuk olyan tevékenységek esetében, amelyekre gyakran mind a fogyasztóvédelmi, mind az adatvédelmi szabályok alkalmazandók. − A berendezés/eszköz kritérium: e kritériumról kimutattuk, hogy kedvez•tlen következményekhez vezet, így például az uniós jog esetleges univerzális alkalmazásához. Ennek ellenére meg kell akadályozni az olyan helyzeteket, amikor egy joghézag lehet•vé tenné, hogy az EU adatparadicsommá váljon, például ha egy feldolgozó tevékenység etikai szempontból elfogadhatatlan kérdéseket vet fel. A berendezés/eszköz kritériumot ezért alapvet• jogi szempontként és korlátozott formában meg kell •rizni. Így csak harmadik lehet•ségként lenne alkalmazandó, amikor az els• kett• nem megfelel•: határesetekre vonatkozna (nem uniós érintettekre vonatkozó adatok, az EUhoz nem kapcsolódó adatkezel•), amikor a feldolgozással összefügg•, releváns infrastruktúra található az EU-ban. Ez utóbbi esetben lehetne úgy rendelkezni, hogy csak bizonyos adatvédelmi elvek – például a jogszer•ség vagy a biztonsági intézkedések – alkalmazandók. E megközelítés, amelyet nyilvánvalóan még tovább kell fejleszteni és finomítani, valószín•leg megoldaná a jelenlegi 4. cikk (1) bekezdésének c) pontjából ered• problémák többségét. f.

Utolsó ajánlásként a munkacsoport további harmonizációt javasol a harmadik országokban letelepedett adatkezel•k azon kötelezettségét illet•en, amely szerint képvisel•t kell kijelölniük az EU-ban, annak érdekében, hogy a képvisel• szerepe hatékonyabb lehessen. Különösen azt kellene tisztázni, hogy az érintettek ténylegesen milyen mértékben gyakorolhatják jogaikat a képvisel•vel szemben.

Kelt Brüsszelben, 2010. december 16-án a munkacsoport részér•l az elnök Jacob KOHNSTAMM

- 35 -

MELLÉKLET 4. cikk (1) bekezdés a) pont

Az adatfeldolgozást az említett szervezet (vagy Az adatkezel• rendelkezikugyanazon tagállamban e egy vagy több található más szervezet) szervezettel egy vagy több Igen tevékenységei keretében tagállamban? végzik-e? (III.1) (III.1.b)

A tagállam nemzeti joga alkalmazandó.

Igen

Nem Az adatfeldolgozást más tagállam területén található szervezet tevékenységei keretében végzik? (III.1.b)

A másik tagállam nemzeti joga alkalmazandó.

Igen Nem Nem Folytassa a 4. cikk (1) bek. b) pontjával.

Folytassa a 4. cikk (1) bek. b) pontjával.

4. cikk (1) bekezdés b) pont

Kezdje a 4. cikk (1) bek. a) pontjával.

Olyan helyen letelepedett-e A tagállam nemzeti joga az adatkezel•, ahol a alkalmazandó. tagállam nemzeti joga a nemzetközi közjog értelmében alkalmazandó? Igen (III.2)

Nem Folytassa a 4. cikk (1) bek. c) pontjával.

- 36 -

4. cikk (1) bekezdés c) pont

Kezdje a 4. cikk (1) bek. a) pontjával és a 4. cikk (1) bek. b) pontjával.

Az adatkezel• alkalmaz-e egy tagállamban található gépi vagy más eszközt? (III.3.b)

Ezt az eszközt kizárólag a átmen• adatforgalom céljára használják? (III.3.c) Igen

Nem A tagállam nemzeti joga nem alkalmazandó.

A tagállam nemzeti joga alkalmazandó.

Nem

Igen A tagállam nemzeti joga nem alkalmazandó.

- 37 -