Az általános adatvédelmi rendelet (a továbbiakban: GDPR)[1] uniós szinten egységesen biztosítja a természetes személyek személyes adatainak védelmét. A GDPR közvetlenül alkalmazandó szabályozásként érvényesül valamennyi tagállamban, átültetés szükségessége nélkül. A hatálya az adatkezelő személyétől függetlenül közel valamennyi az Unióban tartózkodó természetes személyre vonatkozó adatkezelésre kiterjed. A GDPR célja egyebek mellett az, hogy a természetes személyek adatai kezelésével összefüggésben következetes és magas szintű védelmet biztosítson.[2]
A védelmet több szinten biztosítja. A személyes adatok kezelésével összefüggő védelem alapja a tagállamonként a feladataik ellátása és hatásköreik gyakorlása során teljes függetlenséget élvező felügyeleti hatóságok léte. A felügyeleti hatóság a GDPR bármely megsértése esetén az egyéb megfelelő korrekciós hatáskörben hozott intézkedésein felül vagy azok helyett szankciókat, ideértve a közigazgatási bírságokat is jogosult kiszabni. A bírság kiszabása során a jogsértés természetét, felróhatóságát, a kár enyhítésében való közreműködést, a felelősséget, a korábbi jogsértéseket, a hatósággal való együttműködést, az érintett személyes adatok kategóriáit, a jogsértésről való tudomásszerzés módját, a korrekciós intézkedések végrehajtását, a magatartási kódex alkalmazását és az egyéb releváns súlyosító vagy enyhítő tényezőket veszi figyelembe.[3]
Az érdekelt "kvázi jogorvoslattal" élhet közvetlenül az adatkezelőnél, ahol a helyesbítéshez, az elfeledtetéshez vagy adatkezelés korlátozásához való jogát érvényesítheti.
A felügyeleti hatóság hivatalbóli eljárása hiányában bármely érintett jogosult formális jogorvoslatra, mely szerint a szokásos tartózkodási helye szerinti tagállambeli felügyeleti hatóságnál panaszt tehet, illetőleg a felügyeleti hatóság eljárásával szemben bírósági jogorvoslattal éljen. A bírósághoz fordulás joga ezenfelül megilleti az érintettet a nem megfelelő adatkezelés esetén az adatkezelővel, vagy -feldolgozóval, vagy az Európai Adatvédelmi Testület és az EU intézményeivel szemben is.
A GDPR lehetőséget biztosít továbbá a tagállamok részére a rendelet megsértése - így ideértve a rendelet alapján és általa szabott korlátokon belül elfogadott nemzeti szabályok megsértése - esetén alkalmazandó büntetőjogi szankciókra vonatkozó szabályok megállapítására, amennyiben azok nem eredményezik a ne bis in idem elv megsértését.[4]
Az osztrák jog szerint működő társaság, az Österreichische Post egyik tevékenysége, hogy az osztrák lakosság politikai kötődéseire vonatkozó címjegyzékekkel kereskedik. Egy algoritmus alapján a különféle társadalmi és demográfiai jellemzők szerint meghatározott célcsoportok címét célzott reklámküldemények küldése érdekében értékesíti.
Az alapeljárás felperese sérelmezte, hogy az Österreichische Post őt, mint az egyik osztrák politikai párthoz nagyfokú kötődéssel rendelkező személyként azonosította és ezt a személyes adatát kezelte, megjegyzendő, hogy az adatai átadására, értékesítésére nem került sor. A felperes állítása szerint ez az adatkezelés benne erős felháborodást keltett, bizalomvesztést okozott és megalázottságérzést váltott ki. Mindezen sérelmei miatt keresetet terjesztett elő, melyben e személyes adatai kezelésének abbahagyására kötelezést, másrészt 1000 euró nem vagyoni kár megtérítését kérte.
Az első fokon eljárt a Landesgericht für Zivilrechtssachen Wien (polgári ügyekben illetékes bécsi regionális bíróság, Ausztria) helyt adott az abbahagyásra kötelezés iránti kérelemnek, a kártérítés iránti kérelmet elutasította.
A másodfokon eljárt Oberlandesgericht Wien (bécsi regionális felsőbíróság, Ausztria) helybenhagyta az első fokon hozott határozatot. A kártérítés iránti kérelem vonatkozásában rámutatott, hogy e körben a GDPR rendelkezése hiányában a nemzeti jog alkalmazásának van helye. Az osztrák jog szerint a személyiségi jogok
- 25/26 -
megsértése csak abban az esetben szolgálhat a nem vagyoni kártérítés alapjául, ha a kár elér egy súlyossági küszöböt. A keresetben állított nem vagyoni kárt nem találta olyan súlyúnak, hogy az nem vagyoni kártérítés alapjául szolgálhatna.
A felülvizsgálati eljárásban eljáró Oberster Gerichtshof (legfelsőbb bíróság, Ausztria) az alperes abbahagyásra kötelezés ellen benyújtott jogorvoslatát elutasította, e körben tehát helybenhagyta a jogerős döntést. Megállapította, hogy a GDPR saját felelősségi rendszert hoz létre, ezért rendelkezéseit önállóan, a nemzeti jogtól függetlenül kell értelmezni, az értelmezés azonban nem egyértelmű. A kártérítés tárgyában előzetes döntéshozatali eljárást kezdeményezett, melyben három, az EUB által átértelmezett kérdést terjesztett elő.
A kérdést előterjesztő bíróság megítélése szerint a GDPR (146) preambulumbekezdés hatodik mondata, miszerint "az érintetteket az őket ért kárért teljes és tényleges kártérítés illeti meg" tükrében értelmezett 82. cikk a kártérítés előfeltételeként a kár tényleges elszenvedését követeli meg. Álláspontja szerint ezért a jogsértés megtörténte nem feltétlenül jár együtt a károsodással. Azt, hogy a kár nem szükségszerű következménye a jogsértésnek, álláspontja szerint alátámasztja a (75) preambulumbekezdés is, mely szerint "a természetes személyek jogait és szabadságait érintő - változó valószínűségű és súlyosságú - kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek [...]", valamint a (85) preambulumbekezdés is, mely szerint "Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek."
A kérdést előterjesztő bíróság előadta azon álláspontját is, hogy a GDPR szankciórendszere a rendelet megsértése esetére súlyos szankciókat ír elő, ezzel az uniós jog tényleges érvényesülése a kártérítés mint további szankció alkalmazása nélkül is biztosított. Aggályait fogalmazta meg azzal kapcsolatban is, hogy további kártérítés megítélésének már büntető jellege lenne.
Az EUB állandó ítélkezési gyakorlata szerint[5] az előzetes döntéshozatal iránti eljárásban a nemzeti bíróság által feltett kérdések szövegéből kiemelheti a nemzeti bíróság által előterjesztett adatokra figyelemmel az uniós jog értelmezése szempontjából releváns azon tényezőket, amelyek lehetővé teszik számára azon jogi probléma megoldását, amellyel hozzá fordultak.
Az EUB jelen esetben is élt az átfogalmazás lehetőségével, egyúttal a kérdéseket eltérő sorrendben vizsgálta. Mindezek alapján az EUB rögzítette, hogy első kérdés arra irányult, hogy a GDPR 82. cikkének (1) bekezdését úgy kell-e értelmezni, hogy a GDPR rendelkezéseinek puszta megsértése elegendő-e ahhoz, hogy kártérítési jogot keletkeztessen. A második kérdés előtt vizsgálandó harmadik kérdés arra irányult, hogy a GDPR 82. cikkének (1) bekezdését úgy kell-e értelmezni, hogy azzal ellentétes az olyan nemzeti szabály vagy gyakorlat, amely az e rendelkezés értelmében vett nem vagyoni kár megtérítését annak a feltételnek rendeli alá, hogy az érintett által elszenvedett kárnak el kell érnie egy bizonyos súlyossági küszöböt. Az utolsóként vizsgált második kérdés arra irányult, hogy a GDPR 82. cikkét úgy kell-e értelmezni, hogy a kártérítéshez való jog alapját képező károk összegének meghatározása céljából a nemzeti bíróságoknak az egyes tagállamok pénzbeli kártérítés mértékére vonatkozó belső szabályait kell alkalmazniuk, de nem csupán az uniós jog szerinti egyenértékűség és hatékony érvényesülés elveit kell tiszteletben tartaniuk.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
