2011 novemberében az Európai Unió Bírósága előzetes döntéshozatali eljárásban hozott ítéletet arról, hogy a spanyol adatvédelmi jogszabályoknak az adatkezelés jogalapjára vonatkozó rendelkezései megfelelnek-e az uniós jognak. A bíróság világosan leszögezte, hogy a személyes adatok kezeléséről szóló 95/46/EK irányelv célja az azonos szintű védelem biztosítása az egyes tagállamokban, következésképpen az eltérő nemzeti szabályozások súlyosan érinthetik az egységes belső piac működését. A bíróság ezért megállapította, hogy az irányelv a nemzeti jogszabályok teljes harmonizációját írja elő, továbbá az irányelvnek az adatkezelés jogalapjára vonatkozó egyik cikke közvetlenül hatályos a tagállamokban, következésképpen az irányelv e pontja felülírja a vele ellentétes tagállami szabályozást. Az alábbiakban bemutatom az előzetes döntéshozatali eljárás előzményét képező spanyol alapügyet és az Európai Unió Bíróságának ítéletét. Ezt követően az új magyar adatvédelmi törvény adatkezelés jogalapjára vonatkozó rendelkezéseit vizsgálom meg az előbbi ítélet fényében. E vizsgálat apropóját nemcsak az adja, hogy a bíróság kimondta az irányelv bizonyos rendelkezéseinek közvetlen hatályát, hanem az is, hogy a spanyol adatvédelmi szabályozás bíróság által vizsgált pontja jelentős mértékű hasonlóságot mutat az új magyar adatvédelmi törvény bizonyos rendelkezéseivel.
A spanyol adatvédelmi szabályozás, amely egyrészt a személyes adatok védelméről szóló 15/1999 alkotmányos törvényből,[1] másrészt az azt végrehajtó 1720/2007 királyi rendeletből[2] áll, olyan rezsimet teremtett, amely alapján gyakorlatilag minden esetben az érintett hozzájárulására volt szükség a személyes adatok jogszerű kezeléséhez. Habár a spanyol szabályozás szerint adatkezelésre akkor is sor kerülhetett, ha ez az adatkezelő, vagy az adatokat megkapó harmadik fél jogszerű érdekének érvényesítéséhez volt szükséges, ez csak további feltételek esetén volt lehetséges, nevezetesen akkor, ha az adatkezelést uniós vagy nemzeti jogszabály írta elő, vagy pedig ha az adatok valamilyen nyilvánosság számára hozzáférhető forrásokban szerepeltek.
A spanyol adatvédelmi hatóság számos esetben állapított meg jogellenes adatkezelést és szabott ki jelentős bírságot azért, mert az adatkezelők az érintettek hozzájárulása nélkül kezeltek személyes adatokat. A bírságolási gyakorlat különösen a pénzügyi szektort érintette, amelyben a bankok és egyéb szervezetek gyakran kényszerültek arra, hogy személyes adatokat kezeljenek jogos érdekeik érvényesítése érdekében, akár az érintett hozzájárulása nélkül is. A pénzügyi szervezetek azzal érveltek, hogy a személyes adatok kezeléséről szóló 95/46/EK irányelv[3] jogalapot teremt a hozzájárulás nélküli adatkezelésre akkor, ha az az adatkezelő vagy az adatokat megkapó harmadik fél jogos érdekében szükséges. Álláspontjuk szerint az, hogy a spanyol állam további feltételként előírta azt is, hogy az adatoknak valamilyen nyilvánosság számára hozzáférhető forrásokban kell szerepelniük, ellentétes az adatvédelmi irányelvvel.
A 15/1999 alkotmányos törvény a nyilvánosság számára hozzáférhető forrásokat a választói névjegyzékekre, a telefonkönyvekre, valamint a szakmai névjegyzékekre korlátozta. Az alkotmányos törvény emellett főszabályként határozta meg a hozzájárulás alapján végzett adatkezelést és minden más esetet, ideértve az adatkezelő jogos érdekén alapuló adatkezelést is, kivételesként szabályozott.[4] Az alkotmányos törvényt végrehajtó 1720/2007 királyi rendelet is hasonló struktúra szerint szabályozta az adatkezelés jogalapjait.[5]
Az 1720/2007 királyi rendelet kihirdetését követően három felülvizsgálati kérelem érkezett a spanyol legfelsőbb bírósághoz a jogszabály ellen. A legfelsőbb bíróság 2010. július 15-i ítéleteiben megsemmisítette a királyi rendelet bizonyos rendelkezéseit, valamint, észlelve azt, hogy az adatkezelés jogalapja tekintetében az uniós jog értelmezésével kapcsolatos kérdések merültek fel, két ügyben az Európai Unió Bíróságának (EUB) előzetes döntéshozatali eljárását kezdeményezte. Az EUB az ügyeket C-468/10 és C-469/10 számokon iktatta, majd egyesítette.
A spanyol alapügy felperesei: a spanyol pénzügyi szervezetek szövetsége[6] (ASNEF) és a spanyol elektronikus kereskedelmi és direkt marketing szövetség[7] (FECEMD) érvelése szerint az 1720/2007 királyi rendelet 10. cikk (2) bekezdés a) pont első albekezdése, valamint b) pont első albekezdése sérti az adatvédelmi irányelv 7. cikkének f) pontját. A felperesek szerint a spanyol jog a jogos érdekhez, mint az adatoknak az érintett hozzájárulása nélküli kezelése feltételéhez olyan további követelményt fűz, amely nem szerepel az adatvédelmi irányelvben, nevezetesen azt, hogy az adatoknak a nyilvánosság számára hozzáférhető forrásokban kell szerepelniük, ez pedig ellentétes az irányelvvel.
Az adatvédelmi irányelv 7. cikke hat különböző és önálló jogalapot sorol fel, amelyek alapján személyes adatok kezelésére sor kerülhet. Ezek között ugyan első helyen szerepel az érintett hozzájárulása, azonban az irányelv nem állít fel sorrendet a jogalapok között, következésképpen az uniós szabályozás alapján bármelyik, a 7. cikkben megjelölt jogalap esetén jogszerűen kezelhetőek személyes adatok. A 7. cikk f) alpontja szerint személyes adatok akkor is kezelhetőek, ha az adatkezelés az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve ha ezeknél az érdekeknél magasabb rendűek az érintett érdekei az alapvető jogok és szabadságok tekintetében. Előbbi feltételek megvalósulása esetén tehát nincs szükség az érintett hozzájárulására.
A spanyol legfelsőbb bíróság által az EUB elé utalt kérdés egyike arra vonatkozott, hogy a spanyol szabályozás, amely az adatvédelmi irányelv 7. cikk f) alpontjában megjelölt jogalapot kiegészítette egy további feltétellel (az adatoknak a nyilvánosság számára hozzáférhető forrásokban kell szerepelniük), összeegyeztethető-e az uniós joggal. A másik kérdés arra vonatkozott, hogy az adatvédelmi irányelv 7. cikk f) alpontjában megjelölt jogalap konkrét rendelkezéseket tartalmaz-e ahhoz, hogy annak közvetlen hatálya megállapítható legyen. A spanyol legfelsőbb bíróság az előterjesztésében előrebocsátotta azt is, hogy ha az EUB szerint a tagállamok nem adhatnak hozzá további feltételeket ehhez a követelményhez, és a szóban forgó rendelkezés közvetlen hatállyal bír, úgy az 1720/2007 királyi rendelet érintett részét, azaz a 10. cikk (2) bekezdés b) pontját hatályon kívül kell helyezni.
Az EUB ítéletében[8] egyértelmű választ adott a feltett kérdésekre. Egyrészt megállapította, hogy az adatvédelmi irányelvvel ellentétes az olyan nemzeti szabályozás, amely az irányelv 7. cikkének f) pontjában található jogalapot kiegészíti egy további feltétellel, nevezetesen azzal, hogy az adatoknak a nyilvánosság számára hozzáférhető forrásokban kell szerepelniük. Másrészt azt is megállapította, hogy az adatvédelmi irányelv 7. cikke f) pontjának közvetlen hatálya van a tagállamokban.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
