"Az adat az új olaj." Azt, hogy ezen - az adatvédelemmel foglalkozók körében már-már közhelyesnek tűnő megállapítást - az Európai Unió is komolyan gondolja a XXI. század elején, mi sem jelez jobban, mint az, hogy 2016 tavaszán hatályba lépett, 2018. május 25. napjától pedig kötelezően alkalmazandóvá vált a gyakran csak "GDPR"-ként hivatkozott uniós jogforrás, az Európai Unió Általános Adatvédelmi Rendelete[1] (továbbiakban: a Rendelet vagy GDPR). A Rendeletről, melynek célja az Unió területén tartózkodó természetes személyek adatainak hatékonyabb védelme, s mely a gazdasági életnek is csaknem teljes területére kiterjed, számos szakcikk született már különböző fórumokon, azonban az eljárásjogokra gyakorolt hatásáról mindeddig kevés szó esett. A jelen írás célja, hogy az eljárásjogokon belül egy speciális területen, a választottbírósági eljárásokban vizsgálja a Rendelet kapcsán felmerülő alapvető kérdéseket.
Mivel a Rendelet alapján a védelem a természetes személyeket uniós állampolgárságukra, vagy Unión belül tartózkodási helyükre tekintet nélkül illeti meg[2], tárgyi hatálya alól pedig csak néhány szűk kivétel van[3], ugyanakkor a bíróságok és más igazságügyi hatóságok tevékenységeire alkalmazandó[4], egyértelmű, hogy választottbírósági eljárások, illetve az abban résztvevő szereplők a Rendelet hatálya alá tartoznak.
Jóllehet a választottbíráskodás elsősorban a gazdálkodó szervezetek közötti vitarendezés eszköze, a személyes adat[5] és az adatkezelés[6] fogalmának meglehetősen tág rendeletbeli definíciójára tekintettel egy tipikus választottbírósági ügyben el ne hanyagolható mértékű a személyes adatforgalom és ennek kapcsán jelentős mennyiségű személyes adatkezelés valósul meg, kezdve a kereset beadásától, a választottbírósági tanács megalakulásán át az ügy érdemi tárgyalásán, és bizonyításfelvételen keresztül az ítélet meghozataláig, illetve az ezt követő esetleges jogorvoslati szakaszig, majd irattározásig, végül iratmegsemmisítésig.
Csak példálózó jelleggel, egy intézményi választottbíráskodás esetén már a keresetlevél kötelező tartalmi elemei között is számos személyes adat lehet (felek, képviselők neve, címe, elérhetősége, a jelölt választottbíró neve), ezt pedig nyilván jóval meghaladja a felek által az eljárásban "fakultatívan" vagy bírói felhívásra szolgáltatott információ személyes adattartalma (a jogvita szempontjából releváns szerződésekben a jogi személy feleket képviselő természetes személyek, illetve kapcsolattartók neve, címe, elektronikus, telefonos elérhetősége; a jogvitát megelőző levelezésekben fellehető hasonló információ; a felek által idézni kért tanúk neve, címe stb.). Ez az adathalmaz a felektől eljut a választottbírósági intézményhez, a választottbírókhoz, adott esetben az eljárásban résztvevő szakértőhöz, egyéb résztvevőhöz, majd jogsegély vagy esetleges jogorvoslat esetén az állami bíróságokhoz is.
A Rendelet alapján a választottbíráskodás során is teljesülnie kell az adatvédelem alapelveinek, így a jogszerűség, a tisztességes eljárás és átláthatóság elvének, a célhoz kötöttség elvének, az adattakarékosságnak, a pontosságnak, a korlátozott tárolhatóságnak, az integritásnak, illetve bizalmi elvnek, valamint az elszámoltathatóság elvének.[7]
A fenti alapelveken túl az érintett természetes személy részére biztosítani kell a Rendelet alapján őt megillető, meglehetősen széles körű jogosultságokat, így többek között a tájékoztatás és hozzáférés jogát, a helyesbítés jogát, a törléshez való jogot, az adatkezelés korlátozásához való jogot[8].
Ezen érintetti jogokat a magyar jogalkotó a Rendeletben adott felhatalmazás ellenére nem korlátozta a bírósági eljárásokban[9], így Írországgal, vagy az Egyesült Királysággal szemben - mely tagállamok a bírósági eljárásokban éltek a fenti derogációs lehetőséggel[10] - ezen jogosultságokat itthon teljeskörűen kell biztosítani az érintett számára.
A Rendeletnek meg nem felelő személyes adatkezelés az alábbi főbb kockázatokat hordozza a választottbírósági eljárás szereplőire nézve: a) az adatvédelmi hatóság által kiszabható vagyoni és egyéb nem vagyoni szankciók[11], illetve b) az érintett természetes személy felé fennálló kártérítési felelősség.[12]
- 20/21 -
Jóllehet a jelenlegi tapasztalatok alapján nincs szó arról, hogy adatvédelmi jogtudatos érintettek tömege akarna élni a fenti jogosultságokkal egy tipikus választottbírósági eljárásban, a fenti kitettségre tekintettel mégis érdemes tisztázni néhány alapvető kérdést:
1. ki az érintetti jogosultságok kötelezettje, azaz ki az adatkezelő, adatfeldolgozó?
2. melyek az adatkezelők főbb kötelezettségei?
3. beszélhetünk-e többes, illetve közös adatkezelésről, ha igen, milyen szerződésekkel kell, illetve lehet szabályozni az adatkezelők közötti jogviszonyokat?
4. jogsérelem esetén a jogorvoslat milyen szervezeti keretek között valósul meg?
Jelen írás keretei között a fenti alapkérdésekre próbálunk választ adni.
Az érintett természetes személy mellett az adatvédelem két további "főszereplője" az adatkezelő és adatfeldolgozó. Az alapvető kérdés az, hogy egy adott adatkezelés kapcsán ki minősül adatkezelőnek, hiszen a Rendelet az adatkezelőhöz, mint az adatkezeléssel kapcsolatos lényegi döntéseket meghozó személyhez telepíti az adatvédelmi szabályoknak való megfelelés fő kötelezettségét és a megsértésükért való felelősséget, míg az adatfeldolgozó szerepe ehhez képest másodlagos, jellemzően végrehajtó jellegű. A Rendelet alapján adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, míg adatfeldolgozó, az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.[13] Látható, hogy az adatkezelő-adatfeldolgozó elhatárolás alapvető jelentőségű, így célszerű elemezni, hogy a választottbíráskodás főszereplői közül kik esnek az előbbi kategóriákba.
A peres felek minősítése nem okoz különösebb gondot, hiszen a felperes az eljárás megindítójaként mindenképpen meghatározza azt, hogy "miért" kerül sor a személyes adatok kezelésére (adatkezelés célja) - ti. felperes jogának bíróság előtti érvényesítése -, és azt is, hogy "hogyan" kerüljön sor az adatkezelésre (adatkezelés eszköze), mely utóbbi körben nem csak az adatkezelés technikai eszközei értendők, hanem annak meghatározása, hogy milyen adatok kezelésére fog sor kerülni.[14] Így a felperes a választottbíróságra beadott keresetében és az azt alátámasztó bizonyítékokban (pl. üzleti levelezés stb.) feltehetően számos személyes adat szerepel, abból a célból, hogy felperes alátámassza választottbírósági úton érvényesített követelését. A választottbírósági eljárás alperesére a fenti megállapítások ugyanígy érvényesek, azzal, hogy az ő adatkezelési célja nyilvánvalóan a felperessel szembeni védekezés lesz. Emiatt a peres felek mindegyike külön-külön adatkezelőnek minősül a Rendelet alapján.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
