Fizessen elő az In Medias Resre!
ElőfizetésAz audiovizuális médiaszolgáltatásokról szóló irányelv[1] megújítása során felmerült a kérdés, hogy más területeken hogyan valósul meg a tagállami hatóságok közötti együttműködés. A jelen tanulmány célja annak bemutatása, hogy az általános adatvédelmi rendelet[2] miként szabályozza a tagállami hatóságok együttműködését, és az miként valósul meg a gyakorlatban.[3]
Az adatvédelmi rendelet alkalmazásában és kikényszerítésében a nemzeti adatvédelmi hatóságok - vagy ahogy a rendelet nevezi őket: a felügyeleti hatóságok - játsszák az elsődleges szerepet.[4] A felügyeleti hatóságok a rendelet értelmében olyan közhatalmi szervek, amelyek feladata a természetes személyek alapvető jogainak és szabadságainak védelme a személyes adataik kezelése tekintetében, továbbá a személyes adatok Európai Unión belüli szabad áramlásának megkönnyítésére a rendeletnek való megfelelés ellenőrzése.[5]
A rendelet nemcsak azáltal mutat túl a korábbi adatvédelmi irányelven,[6] hogy közvetlenül alkalmazandó rendeleti formában fogadták el, hanem hogy a felügyeleti hatóságok törekszenek
- 311/312 -
a szoros együttműködésre, valamint a rendelet egységes értelmezésére és alkalmazására,[7] illetve a határon átnyúló ügyekben egy hatóságként járnak el az adatkezelővel szemben, kijelölve maguk közül a fő felügyeleti hatóságot és az érintett hatóságokat. Tehát elviekben függetlenül attól, hogy az adatkezelést melyik tagállamban végzik, az ugyanazon megítélés alá esik és azonos jogkövetkezményeket von maga után valamennyi tagállamban.
Az együttműködés rendszere alapvetően két szinten figyelhető meg. Egyrészt megnyilvánul a tagállami adatvédelmi hatóságok közötti együttműködésben, elsősorban határon átnyúló ügyekben, másrészt az együttműködés fontos színtere az Európai Adatvédelmi Testület (a továbbiakban: Testület), amelynek tagjaiként az adatvédelmi hatóságok magukra nézve kötelező véleményeket és döntéseket fogadnak el az úgynevezett egységességi mechanizmus keretében.
Az uniós jogalkotó abban a tekintetben szabad kezet ad a tagállamoknak, hogy ezt a feladatot egy vagy több hatóság felállításával kívánják ellátni. Annyi megkötést tesz, hogy amennyiben egynél több felügyeleti hatóságot állítanak fel, az adott tagállam kijelöli azt a felügyeleti hatóságot, amelyik a Testületben ellátja az adott tagállam nemzeti hatóságainak képviseletét.[8] A rendelet szerint ha valamely tagállam több felügyeleti hatóságot is létrehoz, akkor jogszabályban szükséges rögzíteni azokat a lépéseket, amelyek biztosítják a felügyeleti hatóságok hatékony részvételét az egységességi mechanizmusban.[9] Az adott tagállam jelöli ki azt a felügyeleti hatóságot, amely egyedüli kapcsolattartóként jár el más felügyeleti hatóságokkal szemben azért, hogy az egységességi mechanizmusban ez a tagállam is hatékonyan részt vegyen, valamint hogy a Testülettel és az Európai Bizottsággal gyors és zökkenőmentes legyen az együttműködés.
Az adatvédelmi irányelv arra vonatkozóan nem állapított meg részletes szabályokat, hogy a tagállamoknak miként kell együttműködniük. Ezzel a gyakorlattal szakítva írta elő a GDPR, hogy a tagállamok az együttműködési eljárásban kötelesek együttesen fellépni a határon átnyúló ügyekben.[10] Az együttműködési eljárást más néven egyablakos ügyintézésnek is nevezik, mivel az eljárás alá vont adatkezelő amennyiben megfelel a rendeletben foglalt követelményeknek, úgy egy tagállam adatvédelmi hatóságával köteles együttműködni. Ezt az együttműködést segíti a 61. cikk szerinti kölcsönös segítségnyújtás és a 62. cikkben szabályozott közös műveletek.
- 312/313 -
Fontos kiemelni, hogy ez az együttműködési eljárás a tagállami hatóságok között zajlik, a Testületet nem vonják be - az kizárólag akkor lép közbe, ha valamilyen jogvita merül fel a tagállami felügyeleti hatóságok között, például nem értenek egyet a fő felügyeleti hatóság kijelölésében, vagy a 60. cikk szerinti eljárásban a döntéstervezettel szemben emelnek kifogást. Ezekben az esetekben kerül sor a 65. cikk szerinti vitarendezési eljárásra.
A hatóságok a feladatkörük tekintetében azonos jogosítványokkal rendelkeznek, így az illetékességi szabályoknak kiemelkedő jelentőségük van annak eldöntésében, hogy melyik tagállam hatósága járhat el. A főszabály nem változott: a felügyeleti hatóság a saját tagállamának területén illetékes a rendeletben ráruházott feladatok elvégzésére és hatáskörök gyakorlására.[11]
A rendelet ezenkívül külön kezeli azt az esetet, amikor határon átnyúló adatkezelésről van szó, mert ilyenkor a fő felügyeleti hatóság jár el. A rendelet egyik újításaként ezekben az esetekben az egyablakos ügyintézés alkalmazandó, ami azt jelenti, hogy az unión belül letelepedett adatkezelő köteles együttműködni a tevékenységi központja szerint illetékes adatvédelmi hatósággal, és a többi, magát illetékesnek tartó hatóságot ebbe az eljárásba vonják be, azonban ők az adatkezelővel szemben önállóan, saját illetékességük jogán eljárást nem kezdeményezhetnek. Az eljáró hatóságot fő felügyeleti, az eljárásba különböző jogon bevont többi hatóságot pedig érintett hatóságnak nevezik.
A fenti illetékességi szabályok alól kivételt képez, ha az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, vagy az adatkezelés közérdekű, vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges, és az adatkezelést közhatalmi szervek vagy magánfél szervezetek végzik. Ezekben az esetekben a tagállam felügyeleti hatósága az illetékes, és nem alkalmazandók a GDPR 56. cikke szerinti fő felügyeleti hatóság kijelölésére vonatkozó szabályok. További korlátozás, hogy a felügyeleti hatóságok hatásköre nem terjed ki a bíróságok által az igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére.[12] E rendelkezés a bíróságok függetlenségét hivatott szolgálni. Ebből az is következik, hogy ez a megkötés kizárólag az igazságügyi feladatok ellátására vonatkozik, tehát a bíróság nem mentesül például akkor, ha mint munkáltató nem megfelelően kezeli munkavállalók személyes adatait.
Az egyablakos ügyintézési eljárás megindításának előfeltétele a fő felügyeleti hatóság kijelölése, valamint az érintett hatóságok meghatározása. A fő felügyeleti hatóság általános adatvédelmi rendeletben megfogalmazott koncepciójának lényege az, hogy a határokon átnyúló adatkezelés
- 313/314 -
felügyeletét az Európai Unión belül kizárólag egy felügyeleti hatóság irányítsa.[13] Amennyiben határon átnyúló adatkezelésről van szó, a GDPR 56. cikke szerinti illetékességi szabályok szerint kell kijelölni a fő felügyeleti hatóságot. A fő felügyeleti hatóság az adatkezelő tevékenységi központjának vagy az Európai Unión belüli egyetlen tevékenységi helyének megállapításától függően határozható meg.[14] Előfordulhatnak olyan esetek, amikor a központi ügyvitel helyétől eltérő tevékenységi helyen születnek meg az adatkezelési tevékenység céljairól és eszközeiről szóló döntések. Ilyenkor annak a tagállamnak az adatvédelmi hatósága lesz a vezető hatóság, ahol ezeket a döntéseket meghozták.
A határon átnyúló ügyekben érintett felügyeleti hatóságként jár el a GDPR 4. cikkének 22. pontja értelmében az a felügyeleti hatóság, amelyet a személyes adatok kezelése a következő okok valamelyike alapján érint:
- az adatkezelő vagy az adatfeldolgozó az említett felügyeleti hatóság tagállamának területén rendelkezik tevékenységi hellyel,
- az adatkezelés jelentős mértékben érinti vagy valószínűsíthetően jelentős mértékben érinti a felügyeleti hatóság tagállamában lakóhellyel rendelkező érintetteket, vagy
- panaszt nyújtottak be az említett felügyeleti hatósághoz.
Az érintett felügyeleti hatóság fogalmát azért vezették be, hogy a "fő hatósági" modell ne akadályozzon más felügyeleti hatóságokat abban, hogy az ügy rendezését befolyásolják, sőt érdemi beleszólásuk legyen az ügy kimenetelébe.
A személyes adatok határokon átnyúló adatkezelésének fogalmát a GDPR 4. cikkének 23. pontja határozza meg két esetkört elkülönítve:[15]
- a személyes adatoknak az unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel függ össze, vagy
- a személyes adatoknak az unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel függ össze úgy, hogy egynél több tagállamban jelentős vagy valószínűsíthetően jelentős mértékben érinti a személyeket.
- 314/315 -
Az első eset azt jelenti, hogy amennyiben egy szervezet például Franciaországban és Romániában rendelkezik tevékenységi hellyel, és a személyes adatok kezelése összefügg az ezeken a helyeken folytatott tevékenységekkel, akkor határokon átnyúló adatkezelés történik. A második esetre példa, hogy a szervezet csak a franciaországi tevékenységi helyén folytat adatkezelési tevékenységet. Ha azonban ez a tevékenység Franciaországban és Romániában is jelentős mértékben érint - vagy valószínűsíthetően jelentős mértékben érint - személyeket, akkor szintén határokon átnyúló adatkezelésnek minősül.[16]
Mit is jelent az, hogy jelenős mértékben érint? A megfogalmazással az volt a cél, hogy az egyetlen tevékenységi helyen zajló, bármilyen hatást kifejtő összes adatkezelési tevékenység ne tartozzon a "személyes adatok határokon átnyúló adatkezelése" fogalma alá. Ebből következik, hogy az adatkezelés akkor érint valakit, ha valamilyen hatással van rá. Az egyénekre jelentős hatást nem gyakorló adatkezelés tehát nem tartozik a személyes adatok határokon átnyúló adatkezelése fogalom meghatározásának második pontja alá (azonban az első még vonatkozhat rá).[17] Megjegyzendő, hogy a "valószínűsíthető" nem azt jelenti, hogy a jelentős hatás távoli eshetősége áll fenn, annak inkább valószínűnek kell lennie. Másrészt ez azt is jelenti, hogy az adatkezelésnek nem kell ténylegesen érintenie az egyéneket: a jelentős hatás valószínűsége elegendő ahhoz, hogy az adatkezelés a személyes adatok határokon átnyúló adatkezelése fogalmának hatálya alá tartozzon.[18] A felügyeleti hatóság eseti alapon értelmezi a "jelentős mértékben érint" fogalmát, és figyelembe kell vennie az adatkezelés körülményeit, célját, az adatok jellegét, valamint minden, az adatkezelés szempontjából jelentős további tényezőt.
Az illetékességi szabályok, valamint a fő felügyeleti és az érintett hatóságok kijelölése vizsgálatának részletes áttekintését megelőzően még érdemes tisztázni, hogy a rendelet pontosan mit ért a tevékenységi központ fogalma alatt. A rendelet 4. cikkének 16. pontja a tevékenységi központ fogalmát külön tárgyalja attól függően, hogy adatkezelőről vagy adatfeldolgozóról van szó.
Az adatkezelő esetében: az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni.
Az adatfeldolgozó esetében: az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az EU-ban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az unión
- 315/316 -
belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra a rendelet szerint meghatározott kötelezettségek vonatkoznak.
Összefoglalva, az adatkezelő tevékenységi központjának helye főszabály szerint az a hely, ahol a központi ügyvitelének helye van, kivéve ha az adatkezelés céljairól és eszközeiről ettől eltérő helyen hoztak döntést, mert akkor a döntéshozás helye lesz az adatkezelő tevékenységi központja. Az adatfeldolgozók esetében szintén a központi ügyvitel helye az irányadó. Amennyiben az adatfeldolgozó nem rendelkezik központi ügyviteli hellyel az Európai Unión belül, akkor az a hely, ahol a fő adatkezelési tevékenységei zajlanak.[19]
A GDPR (36) preambulumbekezdése annyi pontosítással szolgál, hogy az adatkezelő unión belüli tevékenységi központját objektív szempontok alapján kell meghatározni. Ez magában foglalja az adatkezelés céljára és eszközeire vonatkozó fő döntéseket befolyásoló ügyvezetési tevékenység tényleges és valós, tartós jelleget biztosító körülmények közötti gyakorlását. A személyes adatok kezelésére szolgáló műszaki eszközök jelenléte és használata, illetve az adatkezelési tevékenység önmagában nem jár tevékenységi központként való minősítéssel, ezért nem meghatározó szempontja a tevékenységi központnak.
Olykor nehéz meghatározni a tevékenységi központot, például amikor vállalkozáscsoportról van szó, vagy közös adatkezelőkről, illetve ha az adatkezelő határokon átnyúló adatkezelést végez, és több tagállamban is rendelkezik tevékenységi hellyel, de az Európai Unióban nincs központi ügyintézési helye, és az unión belüli tevékenységi helyei közül egyik sem hoz adatkezelési döntéseket.[20] A rendelet világos abból a szempontból, és az Európai Bizottság is több esetben hangsúlyozta ezt, hogy az egyablakos ügyintézés kedvezményéből csak akkor részesülhet az adatkezelő, ha a felelősségi szabályok egyértelműen megállapíthatók.
A GDPR szerint az adatkezelőt és az adatfeldolgozót egyaránt érintő ügyben az adatkezelő fő felügyeleti hatósága az illetékes, és neki kell eljárnia az ügyben.[21] Ez esetben az adatfeldolgozót felügyelő hatóság érintett felügyeleti hatóság lesz, és részt kell vennie az együttműködési eljárásban. Ez a szabály csak akkor alkalmazható, amikor az adatkezelő rendelkezik tevékenységi hellyel az Unióban.[22]
Az általános adatvédelmi rendelet szerinti együttműködési és egységességi mechanizmussal csak azok az adatkezelők élhetnek, amelyek egy vagy több tevékenységi hellyel rendelkeznek az EU-ban. Ha a vállalkozás nem rendelkezik tevékenységi hellyel az Unióban, akkor nem veheti igénybe az egységességi rendszert pusztán azért, mert képviselője van az egyik tagállamban. Az EU-ban tevékenységi hellyel nem rendelkező adatkezelőknek tehát a helyi hatóságokkal kell kapcsolatban lenniük helyi képviselőjükön keresztül minden olyan tagállamban, ahol jelen vannak.[23]
- 316/317 -
Felmerült a kérdés, hogy mi történik akkor, ha egy folyamatban lévő eljárás alatt megváltozik a központi ügyvitel helye. Ezt olyannyira fontosnak ítélte meg a Testület, hogy kötelező erejű döntést bocsátott ki, amelynek értelmében a központi ügyvitel helyének megváltozása maga után vonja a fő felügyeleti hatóság megváltozását, egészen az együttműködési eljárásban meghozott döntésig.[24] Jogosan vetődött fel az is, hogy ez maga után vonja-e a forum shopping, vagy ahogy a vélemény fogalmaz, a forum hopping lehetőségét, amely alkalmas a tagállami hatóságok joghatóságának egymás elleni kijátszására. A Testület itt úgy érvelt, hogy a központi ügyvitel helyében való változásnak ténylegesnek kell lennie, és azt az adatkezelőnek kell bizonyítania, hogy a változás ténylegesen bekövetkezett.[25]
A Testület a döntéshozatal során három kritériumot tartott szem előtt. Az első a megfelelő szintű jogbiztonság és előreláthatóság biztosítása, amelyet a rendelet (13) preambulumbekezdése nevesít. A második a jó közigazgatási gyakorlat fenntartása, amelynek értelmében biztosítani kell, hogy az eljáró hatóságok minden esetben hatékonyan tudjanak fellépni és feladataikat ellátni. A harmadik pedig a hatáskör-összeütközések limitálása.[26] A döntést számos kritika érte, egyesek szerint ez a megoldás azt eredményezi, hogy a hatóságoknak "mozgó célpontra kell lőniük".[27] Ennél kicsit árnyaltabb példák is találhatók a gyakorlatban, például a német közigazgatási eljárási szabályok azt mondják ki, hogy akkor kell áttenni az ügyet, ha az a végrehajtás egyszerűsítését és hatékonyságát eredményezi, az szolgálja leginkább az érintettek érdekeit, és ha az újonnan illetékes hatóság ehhez hozzájárul.[28] A Testület ilyen feltételrendszert nem dolgozott ki - egyszerűen kimondta, hogy a tevékenységi központ helyében bekövetkezett változás maga után vonja a fő felügyeleti hatóság megváltozását is.
Kivételes esetben az érintett felügyeleti hatóság jár el a határon átnyúló ügyben, amennyiben a rendeletben foglalt feltételek valamelyike fennáll.[29] Az érintett hatóság akkor jogosult eljárni, ha az ügy tárgya kizárólag egy, az érintett hatóság tagállamában található tevékenységi helyet érint, vagy ha kizárólag az érintett hatóság tagállamában érint jelentős mértékben személyeket. A két feltétel közül már az egyik teljesülése esetén is köteles értesíteni az érintett hatóság a fő felügyeleti hatóságot az ügyről, amely három héten belül dönt arról, hogy eljár-e az ügyben.
- 317/318 -
Amennyiben úgy dönt, hogy eljár, az egyablakos ügyintézési eljárást kell alkalmazni azzal, hogy a tájékoztató érintett hatóság döntéstervezetet nyújthat be a fő felügyeleti hatóságnak, amelyet az a lehető legnagyobb mértékben figyelembe vesz. Ha a fő felügyeleti hatóság nem kíván eljárni az ügyben, akkor azt az érintett hatóság helyi ügyként kezeli, és döntést hoz az ügyben. A helyi adatkezelési tevékenységre nem vonatkoznak az általános adatvédelmi rendelet együttműködési és egységességi rendelkezései, így az egyablakos ügyintézés szabályait sem kell alkalmazni.[30]
Az egyablakos ügyintézésre kizárólag határon átnyúló ügyekben van lehetőség, és ez az eljárás rögzíti, hogy a vezető és az érintett hatóságoknak miként kell együttműködniük.[31] Az eljárás azt követően indul, hogy a fő felügyeleti és az érintett hatóságok kilétét megállapították az 56. cikkben foglalt szabályok szerint, és nem áll fenn olyan körülmény, amelyre alapozva a fő felügyeleti hatóság a tájékoztató érintett hatóság javára lemond az ügy kivizsgálásáról. Az együttműködési eljárás vagy más néven az egyablakos ügyintézés négy részre osztható.[32]
Az első egy informális szakasz, amelyben a fő és az érintett felügyeleti hatóságok minden releváns információt megosztanak egymással, és konszenzusos megállapodásra törekszenek. A rendelet erre a szakaszra nem állapít meg eljárási határidőt, csak annyit mond, hogy a fő felügyeleti hatóság az üggyel kapcsolatos minden releváns információt késedelem nélkül közöl a többi érintett felügyeleti hatósággal. A fő felügyeleti hatóságnak ebben a szakaszban lehetősége van a 61. cikk szerinti kölcsönös segítségnyújtási eljárást kezdeményezni, de kérheti a 62. cikk szerinti közös műveletek végzését is. Ez különösen olyan vizsgálatok lefolytatása vagy olyan intézkedések végrehajtásának nyomon követése miatt lehet indokolt, amelyek valamely másik tagállamban tevékenységi hellyel rendelkező adatkezelővel, illetve adatfeldolgozóval kapcsolatosak. A fő felügyeleti hatóság a döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak véleményezésre. Itt máris szembesülünk azzal a problémával, hogy a GDPR eljárásjogi szabályokat is bevezet anélkül, hogy pontosan meghatározná őket, ugyanis az egyes tagállamokban mást és mást jelent az, hogy valamit haladéktalanul kell elvégezni.
A második szakaszban az érintett felügyeleti hatóságokon van a sor, hogy a fő felügyeleti hatóság által megküldött döntéstervezetet tanulmányozzák, illetve egyet nem értésük esetén négy héten belül releváns és megalapozott kifogást emeljenek.
Ezt követi a harmadik szakasz, amikor ismét a fő felügyeleti hatóságon van a sor, meg kell vizsgálnia az érintett hatóság által emelt releváns és megalapozott kifogást. Ha nem tartja elfogadhatónak, akkor mérlegelés nélkül köteles az ügyet a Testület elé utalni, az pedig az egységes-
- 318/319 -
ségi mechanizmus keretében kezeli azt.[33] Amennyiben a fő felügyeleti hatóság egyetért a kifogásban foglaltakkal, azt figyelembe véve módosítja a döntés tervezetét, és megküldi az érintett felügyeleti hatóságoknak újabb körös egyeztetetésre.
A negyedik szakaszban az érintett felügyeleti hatóságoknak két hetük van a módosított döntéstervezetet ellenőrizni. Amennyiben az érintett felügyeleti hatóságok egyike sem emel kifogást a fő felügyeleti hatóság által benyújtott döntéstervezettel szemben, úgy kell tekinteni, hogy a fő felügyeleti hatóság és az érintett felügyeleti hatóságok egyetértenek a döntéstervezettel, és magukra nézve kötelezőnek fogadják el. Ha azonban ismét kifogást emelnek, akkor az ügyet a fő felügyeleti hatóság a Testület elé utalja, hogy az vitarendezési eljárást folytasson le.[34] Tehát a fő felügyeleti hatóságnak nincs mozgástere abban tekintetben, hogy az ügyet a Testület elé utalja vagy sem, ugyanis nincs mód további egyeztetési körökre. A második körös egyeztetés esetén fennálló egyet nem értés automatikusan maga után vonja a Testület eljárását és kötelező döntését.
A döntést követően a fő felügyeleti hatóság közli az eredményt az adatkezelő vagy adott esetben az adatfeldolgozó tevékenységi központjával vagy egyetlen tevékenységi helyével. Ezenfelül a fő felügyeleti hatóság feladata a releváns tények és indokok összefoglalásával tájékoztatni az érintett felügyeleti hatóságokat és a Testületet is. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről, tehát az érintett hatóságnak is tájékoztatási feladata van abban az esetben, ha panaszt nyújtottak be hozzá a vizsgált adatkezelővel szemben. Amennyiben a panaszt vissza- vagy elutasították, azt a felügyeleti hatóság fogadja el, és köteles közölni a döntést a panaszossal, továbbá tájékoztatja az adatkezelőt, amelyikhez a panaszt benyújtották.
A felügyeleti hatóságok dönthetnek úgy is, hogy részben utasítják el a panaszt. Ebben az esetben a fő és az érintett felügyeleti hatóságoknak egyet kell érteniük abban, hogy a panasz egyes részeit vissza- vagy elutasítják, más részeivel kapcsolatban pedig eljárnak. Az adatkezelővel kapcsolatos intézkedésekre vonatkozó eljárást és döntést a fő felügyeleti hatóság fogadja el és közli az adatkezelővel, illetve az adatfeldolgozóval. A panaszost az a felügyeleti hatóság tájékoztatja, ahol a panaszt benyújtották. A panasz vissza- vagy elutasított részére vonatkozó döntést a panaszos felügyeleti hatósága fogadja el, és közli a panaszossal, valamint tájékoztatja az adatkezelőt vagy az adatfeldolgozót.
A döntés foganatosításával kapcsolatos teendőket a fő felügyeleti hatóság látja el, és adott esetben ki is kényszeríti a döntést az adatkezelővel szemben. Az eljárás alá vont adatkezelő, illetve adatfeldolgozó feladata a döntésben foglaltak követése és a szükséges intézkedések megtétele annak érdekében, hogy az adatkezelési tevékenységek az Unióban lévő minden tevékenységi helyén megfeleljenek a döntésben foglaltaknak. Az adatkezelő, illetve az adatfeldolgozó közli a fő felügyeleti hatósággal a döntésnek való megfelelés érdekében tett intézkedéseket, ezt követően a fő felügyeleti hatóság ennek tényéről tájékoztatja a többi érintett felügyeleti hatóságot. Ha rendkívüli körülmények indokolttá teszik, illetve az érintettek érdekeinek védelmében sürgős fellépésre van szükség, akkor az érintett felügyeleti hatóságnak lehetősége van a 66. cikkben említett sürgősségi eljárás alkalmazására.
- 319/320 -
A kölcsönös segítségnyújtás a tagállami hatóságok közötti együttműködést, információcserét vagy valamilyen hatósági intézkedés megtételét hivatott elősegíteni. A kölcsönös segítségnyújtás önállóan vagy az együttműködési eljárás keretében is kezdeményezhető. Ez azt jelenti, hogy kötődhet akár egy határon átnyúló konkrét ügyhöz is, ez azonban nem feltétel - attól függetlenül is kérhető információ a másik hatóságtól, ami formális, vagyis ha a megkeresett hatóság nem tesz eleget a kérelemnek, akkor annak jogkövetkezményei vannak.
A felügyeleti hatóságok a kölcsönös segítségnyújtást alkalmazva a rendelet egységes végrehajtása és alkalmazása érdekében megosztják egymással a releváns információkat, és kölcsönösen segítséget nyújtanak egymásnak, valamint a hatékony együttműködést célzó intézkedéseket tesznek. A kölcsönös segítségnyújtás irányulhat egyrészt információkérésekre, másrészt felügyeleti intézkedésekre, így különösen előzetes engedélyezésre és egyeztetésre, ellenőrzésre és a vizsgálat lefolytatása iránti megkeresésekre terjedhet ki. A megkeresett hatóság köteles a megkeresést megválaszolni, méghozzá indokolatlan késedelem nélkül, ami nem lehet hosszabb egy hónapnál. Azaz a határidő kettős: egyrészt a megkeresett hatóság indokolatlan késedelem nélkül, tehát a jó kollegiális viszonyt fenntartva köteles mihamarabb választ adni, másrészt a határidő másik eleme határt szab a képlékeny "indokolatlan késedelem nélkül" kitételnek azzal, hogy egy hónapban maximálja a válaszadási határidőt. A megkeresés ugyanakkor nem parttalan, mivel a megkereső hatóság köteles a segítségnyújtás iránti megkeresés teljesítéséhez szükséges valamennyi információt rendelkezésre bocsátani, valamint tájékoztatást kell adnia a megkeresés céljáról és okairól is. A segítségnyújtás során meghatározott célok kötik a megkereső hatóságot, mivel az így megszerzett információt kizárólag a megkeresésben meghatározott célra használhatja fel.
A megkeresett felügyeleti hatóság tájékoztatja a megkereső felügyeleti hatóságot az ügyben elért eredményekről vagy adott esetben a megkeresés teljesítése érdekében hozott intézkedésekkel kapcsolatos fejleményekről. Azonban van mód a megkeresés teljesítésének megtagadására - a GDPR két okot nevesít.[35] Az egyik szerint abban az esetben lehet megtagadni a válaszadást, ha a megkeresett hatóság nem jogosult eljárni, a másik eset szerint pedig akkor, ha a megkeresés teljesítése sértené a rendeletet, az uniós vagy azon tagállami jogot, amelynek hatálya alá a megkeresett felügyeleti hatóság tartozik.
A kölcsönös segítségnyújtás teljesítéséhez szükséges intézkedések megtétele során felmerült költségeket főszabály szerint a megkeresett hatóság köteles vállalni, tehát a kölcsönösség elvére tekintettel ezeket az intézkedéseket a nemzeti hatóságok térítésmentesen végzik. Ugyanakkor a rendelet lehetőséget biztosít arra is, hogy a felügyeleti hatóságok megállapodjanak a rendkívüli körülmények közötti kölcsönös segítségnyújtásból eredő különleges költségek kölcsönös megtérítésére vonatkozó szabályokról. Megállapodás hiányában a főszabály érvényesül.
Ha egy felügyeleti hatóság a másik felügyeleti hatóság megkeresésének kézhezvételétől számított egy hónapon belül nem adja meg a segítségnyújtás teljesítéséhez szükséges információkat, akkor a megkereső felügyeleti hatóság a saját tagállama területén ideiglenes intézkedést fogadhat el sürgősségi eljárás keretében.
- 320/321 -
A felügyeleti hatóságok adott esetben közös műveleteket hajtanak végre, ideértve a közös vizsgálatokat és a közös végrehajtási intézkedéseket is, amelyekben más tagállamok felügyeleti hatóságainak tagjai vagy alkalmazottai is részt vesznek.[36] A közös műveletek az együttműködés másik olyan formáját képezik a kölcsönös segítségnyújtás mellett, amely önállóan vagy az együttműködési eljárás keretében is kezdeményezhető. A tagállami hatóságok közös műveleteinek célja, hogy valamelyik tagállam területén közösen folytassanak eljárásokat, tehát előfordulhat, hogy egy adatkezelővel szemben valamilyen intézkedést kell alkalmazni az egyik tagállam területén, és abban nemcsak a foganatosító, hanem egy másik tagállam hatóságának munkatársai is részt vesznek.
Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben sok személyt érintenek, az összes szóban forgó tagállam felügyeleti hatósága jogosult részt venni a közös műveletekben. A közös műveletekben részt vevő tagállamok hatóságai megállapodást kötnek arra vonatkozóan, miként hajtják végre a közös műveleteket.
A fogadó felügyeleti hatóság a tagállami joggal összhangban, valamint a kirendelő felügyeleti hatóság engedélyével hatáskört - ideértve a vizsgálatit is - ruházhat át a kirendelő felügyeleti hatóság közös műveletben részt vevő tagjaira vagy alkalmazottjaira. Erre abban az esetben van lehetőség, ha a fogadó felügyeleti hatóság tagállamának joga ezt lehetővé teszi. Ekkor azt is engedélyezheti a kirendelő felügyeleti hatóság tagjai vagy alkalmazottai számára, hogy vizsgálati hatáskörüket a kirendelő felügyeleti hatóság tagállami jogának megfelelően, annak területén gyakorolják. Annyi megkötést azonban tartalmaz a rendelet, hogy a vizsgálati hatáskört kizárólag a fogadó felügyeleti hatóság tagjainak vagy alkalmazottainak irányítása mellett és jelenlétében lehet gyakorolni.
A kirendelő felügyeleti hatóság tagjai vagy alkalmazottai a fogadó felügyeleti hatóság tagállami jogának hatálya alá tartoznak a közös műveletek idejére. Ebből az is következik, hogy ha a kirendelő felügyeleti hatóság alkalmazottai egy másik tagállamban végeznek tevékenységet közös műveletek keretében, akkor cselekedeteikért, ideértve a tevékenységük során általuk okozott károkat is, a fogadó felügyeleti hatóság tagállama viseli a felelősséget. A tevékenységvégzés helye szerinti tagállam jogának felelősségi szabályai irányadók. A károkozás helye szerinti tagállam a kárt ugyanolyan feltételek mellett téríti meg, mintha a saját alkalmazottai okozták volna. A károkozást a tagállamok egymás között rendezik olyan módon, hogy a kirendelő felügyeleti hatóság tagállama, amelynek alkalmazottai egy másik tagállam területén valamely személynek kárt okoztak, teljes mértékben megtéríti ennek a másik tagállamnak azt az összeget, amelyet az a kártérítésre jogosult személynek kifizetett.
Ha egy felügyeleti hatóság egy tervezett közös művelet esetében egy hónapon belül nem tesz eleget a rendeletből fakadó kötelezettségnek, akkor a saját tagállama területén ideiglenes intézkedést fogadhat el a 66. cikkben szabályozott sürgősségi eljárás keretében, és a Testület sürgősségi eljárás keretében véleményt bocsát ki, vagy kötelező erejű döntést fogad el.
- 321/322 -
A Testületet a 2018. május 25-től alkalmazandó GDPR hozta létre, leváltva jogelődjét, a 29. cikk szerinti Adatvédelmi Munkacsoportot.[37] A Testület célja annak biztosítása, hogy az EU-ban következetesen alkalmazzák az általános adatvédelmi rendeletet és az Európai Unió bűnüldözésben érvényesítendő adatvédelemről szóló irányelvét.[38] A Testület alapvetően megőrizte a 29. cikk szerinti adatvédelmi munkacsoport tanácsadói szerepét, amelynek keretében általános iránymutatásokat bocsát ki a GDPR egyes szakaszainak tisztázása és helyes alkalmazása érdekében. A Testület iránymutatással látja el az Európai Bizottságot a személyes adatok védelmével és az EU-ban előterjesztett új jogszabálytervezetekkel kapcsolatos bármilyen kérdésben, elősegíti a nemzeti felügyeleti hatóságok közötti együttműködést, valamint az információk és legjobb gyakorlatok hatékony megosztását. A Testület szerepköre ugyanakkor a GDPR elfogadásával kibővült, aminek köszönhetően az egységességi mechanizmus keretében véleményt és kötelező erejű döntést bocsáthat ki, amely köti a tagállami hatóságokat,[39] biztosítva ezzel az uniós jogszabályok egységes alkalmazását azért, hogy ugyanazt az ügyet a különböző joghatóságok ne kezelhessék eltérően.[40] Ez az igény már régen megfogalmazódott, és a korábbi iránymutatásokon felül erősebb jogosítványokra is szükség volt[41] - a GDPR ezt hivatott orvosolni. A Testület feladatkörének kialakítása során érzékelhető volt, hogy az európai jogalkotó nemcsak a nemzeti adatvédelmi hatóságokat kívánta szigorúbb és hatékonyabb jogkörökkel felruházni, hanem az erős jogvédelmet harmonizáltan, uniós szinten is biztosítani kívánta.[42]
A Testület független európai szerv, amely a nemzeti adatvédelmi hatóságok vezetőiből vagy azok képviselőiből és az európai adatvédelmi biztosból áll. Köteles függetlenül eljárni hatásköreinek gyakorlásakor, ami azt jelenti, hogy feladatainak ellátása során nem kérhet, és nem fogadhat el utasítást. A tagok maguk közül öt évre elnököt és két elnökhelyettest választanak, akik képviselik a Testületet. Jogi státuszát tekintve a Testület jogi személyiséggel rendelkező uniós szerv, amelyet az elnök képvisel.[43] Az Európai Bizottság eredeti javaslata szerint független uniós szerv helyett uniós ügynökséget hozott volna létre a munkacsoport jogutódjaként,
- 322/323 -
azonban ezt az ötletet korán elvetette.[44] Az, hogy a Testület jogi személyiséggel bír, egyben azt is jelenti, hogy a döntéseivel szemben indított bírósági eljárásokban önálló félként vehet részt, álláspontját megvédheti. Ez lényeges előrelépés, mivel korábban a munkacsoport önálló jogi személyiséggel nem rendelkezett, hanem az Európai Bizottság egyik szakértői csoportjának minősült.
A Testület tanácsadói szerepkörében a rendelet egységes alkalmazását biztosítandó, akár saját kezdeményezésére, akár valamelyik tagjának indítványára vagy az Európai Bizottság kérésére iránymutatást, ajánlást vagy legjobb gyakorlatokat fogalmaz meg, valamint felülvizsgálja azok gyakorlati alkalmazását. A GDPR tartalmazza e feladatok viszonylag hosszú felsorolását, ez mégsem taxatív, csupán példálózó jellegű. Egyrészt a GDPR a listát a 'különösen' szófordulattal vezeti be, másrészt a GDPR a Testület feladatkörének a lehető legszélesebb értelmezését engedi meg azáltal, hogy kimondja: "saját kezdeményezésére, illetve valamely tagjának vagy a Bizottságnak a kérésére megvizsgálja a rendelet alkalmazását érintő kérdéseket, valamint e rendelet egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki."[45] Tehát ebből az következik, hogy bármely adatvédelmi kérdésben állást foglalhat a Testület, ha indokoltnak látja. Ezek az iránymutatások nem kizárólag a tagállami adatvédelmi hatóságoknak szólnak, hanem a jogalkalmazó adatkezelőknek és érintetteknek is, akiknek szintén segítségül szolgál kötelezettségeik teljesítésében és jogaik érvényesítésében.[46] Ha az Európai Bizottság kér iránymutatást, véleményt a Testülettől, akkor a kérés sürgősségére tekintettel határidőt is megjelölhet. Ez csak lehetőség a bizottság számára - a Testületet, függetlensége okán, nem köti. Ugyanakkor ez nem jelenti azt, hogy a Testület ne törekedne az iránymutatás mielőbbi kibocsátására, figyelembe véve a bizottság kérését és az ügy sürgősségét.
A GDPR lehetőséget biztosít arra, hogy a Testület a tanácsadói szerepkörben hozott döntéseit nyilvános konzultációra bocsássa.[47] Ez azt jelenti, hogy az elfogadott iránymutatást az érintett felek számára hozzáférhetővé teszi, és lehetőséget biztosít számukra, hogy észszerű határidőn belül közölhessék észrevételeiket. A Testület a konzultációs időszak lezárultát követően a kapott észrevételek figyelembevételével felülvizsgálja az iránymutatást. A Testület végül nyilvánosan elérhetővé teszi a konzultációs eljárás eredményét, valamint az eljárást követően véglegesített és az általa elfogadott dokumentumot.
- 323/324 -
A rendeletnek az unió egész területén történő egységes alkalmazásához való hozzájárulás érdekében a felügyeleti hatóságok együttműködnek egymással és adott esetben a bizottsággal. Ennek érdekében a Testület a felügyeleti hatóságok rendeletben meghatározott döntéstervezeteiről, az eléje terjesztett bármely ügyben, valamint a 65. cikk szerinti vitarendezési eljárás keretében kötelező erejű döntéseket hoz[48] az egységességi mechanizmus keretében. A Testület e jogköre újnak tekinthető, mivel jogelődje, a 29. cikk szerinti Adatvédelmi Munkacsoport ilyen jogosítvánnyal nem volt felruházva. Az egységességi mechanizmus keretében kezelt ügyekkel kapcsolatban a felügyeleti hatóságok és a bíróságok által hozott határozatokról a Testület nyilvánosan hozzáférhető elektronikus nyilvántartást vezet, amelyet a honlapján tesz közzé. A Testületnek az egységességi mechanizmus keretében hozott döntései a tagállami hatóságok számára kötelezők.
Az egységességi mechanizmus keretében a Testület két esetben bocsáthat ki véleményt: egyrészt ha a GDPR kötelezővé teszi a nemzeti hatóságnak, hogy a döntéstervezetéhez a Testület jóváhagyását kérje - ebben az esetben a Testület köteles a döntéstervezetet megvizsgálni és véleményezni. Másrészt, ha szükség mutatkozik arra, hogy a Testület megvizsgáljon egy általános érvényű vagy egynél több tagállamban hatással bíró ügyben felmerült jogkérdést. A GDPR ilyen esetnek különösen azt tekinti, amikor valamelyik illetékes felügyeleti hatóság nem teljesíti a 61. cikk szerinti kölcsönös segítségnyújtásból vagy a 62. cikk szerinti közös műveletekből fakadó kötelezettségeit. Ez azt jelenti, hogy a Testület véleménykibocsátási jogköre szélesen értelmezett: gyakorlatilag minden olyan kérdésben véleményt fogalmazhat meg, amely a rendelet valamely bekezdésének értelmezésére irányul.
Az első esetkört érdemes részletesebben is megvizsgálni. Az illetékes nemzeti adatvédelmi hatóság döntéstervezettel fordul a Testülethez a rendeletben meghatározott alábbi esetekben. - Adatvédelmi hatásvizsgálat: Amennyiben valószínűsíthető, hogy az adatkezelés magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő köteles adatvédelmi hatásvizsgálatot lefolytatni.[49] Az adatkezelő annak megállapítása során, hogy lefolytatja-e a hatásvizsgálatot, köteles figyelembe venni az adatkezelés jellegét, hatókörét, körülményeit és céljait. A nemzeti hatóságok azzal segítik az adatkezelők döntését, hogy jegyzéket adnak ki azokról az adatkezelési műveletekről, amelyek esetében kötelező a hatásvizsgálat elvégzése, és azokról is, amelyekében nem, és e jegyzékeket megküldik a Testületnek véleményezésre.[50] Így biztosítható, hogy az egész unió területén egységesen alkalmazzák a rendeletet, tehát ne fordulhasson elő az az eset, hogy ugyanaz az adatkezelési tevékenység az egyik tagállamban hatásvizsgálathoz kötött, míg a másikban anélkül is végezhető.
- 324/325 -
- Magatartási kódex: A GDPR 70. cikk (1) bekezdésének n) pontja alapján a Testület ösztönzi a magatartási kódexek kidolgozását. Ha a magatartási kódex tervezete több tagállamot is érintő adatkezelési tevékenységekre vonatkozik, akkor a kódex tervezetét, módosítását vagy kiegészítését nem elegendő a nemzeti adatvédelmi hatósággal jóváhagyatni, hanem azt a Testülethez is be kell nyújtani jóváhagyás céljából. A Testület véleményt bocsát ki arról, hogy a tervezet megfelelő garanciákat nyújt-e.
- A magatartási kódexnek való megfelelés ellenőrzése és a tanúsító szervezet akkreditációja: A magatartási kódexnek való megfelelés ellenőrzése akkreditációköteles tevékenység, amelyet a nemzeti hatóság végez. Az akkreditációval kapcsolatos követelmények egységesítése érdekében a rendelet előírja, hogy a nemzeti hatóságok a megállapított követelményrendszert nyújtsák be a Testülethez véleményezésre. A Testület döntésének célja ebben az esetben is a gyakorlat egységessé tétele a követelményrendszer vonatkozásában.
- Általános adatvédelmi kikötések meghatározása: Az adatkezelő és az adatfeldolgozó viszonyát hivatottak rendezni azok az általános szerződési feltételek, amelyeket a felügyeleti hatóságok fogadnak el. Továbbá a megfelelő védelmi szint biztosítása hiányában akkor is lehetőség van adatot továbbítani, ha az adatkezelő vagy az adatfeldolgozó megfelelő garanciákat biztosít.[51] Az, hogy pontosan mi minősül megfelelő garanciának, illetve hogy az általános szerződési feltételek eleget tesznek-e a rendeletben elvártaknak, az adatvédelmi hatóságok megítélésére van bízva azzal a megkötéssel, hogy a Testület véleményét ezekben az esetekben is ki kell kérni, és azt kötelesek követni.
- Szerződéses rendelkezések engedélyezése: A GDPR 46. cikke szerint a megfelelő védelmi szint biztosítása hiányában akkor is lehetőség van adatot továbbítani, ha az adatkezelő vagy az adatfeldolgozó megfelelő garanciákat biztosít. Megfelelő garanciát képezhetnek különösen az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezések, illetve közhatalmi vagy egyéb, közfeladatot ellátó szervek között létrejött, közigazgatási megállapodásba beillesztett rendelkezések, köztük az érintettek érvényesíthető és tényleges jogaira vonatkozó rendelkezések. A Testület akkor is véleményt bocsát ki, ha a nemzeti adatvédelmi hatóság ilyen szerződéses rendelkezések engedélyére irányuló döntést tervez.
- A kötelező erejű vállalati szabályok jóváhagyása: A Testület véleményt bocsát ki a nemzeti hatóság kötelező erejű vállalati szabályok jóváhagyására irányuló döntéstervezetéről.[52] Ez az intézkedés is azt a célt szolgálja, hogy a nemzeti hatóságok egységes gyakorlatot alakítsanak ki a kötelező erejű vállalati szabályok követelményeinek meghatározásakor.
A Testület csak akkor fogad el véleményt, ha azonos témában még nem foglalt állást, tehát ha már ítélt dologról van szó, akkor a Testület a korábbi döntését tartja irányadónak, és nem bocsát ki újabb véleményt. A Testületnek nyolc hét áll rendelkezésére, hogy a véleményét kiala-
- 325/326 -
kítsa - ez az időszak kivételes esetben, az ügy összetettségére figyelemmel, további hat héttel meghosszabbítható. A GDPR hangsúlyozza, hogy a megjelölt tizennégy héten belül a nemzeti hatóság a döntéstervezetet, amelyre tekintettel a Testület véleményét kérte, nem fogadhatja el.[53] A nemzeti hatóság köteles a Testület véleményét megvárni, és döntését a Testület hallgatása esetén is csak a tizennegyedik hét elteltével fogadhatja el.
A vélemény elfogadásához a Testület tagjai többségének támogató szavazata szükséges. Ez abszolút többséget jelent, noha a rendelet magyar nyelvű fordításából ez nem derül ki egyértelműen. A rendelet angol változata egyértelműsíti ezt, de teljes bizonyossággal az eljárásrendből kiolvasható. Az eljárásrend 22. cikkének (3) bekezdése értelmében bármilyen szavazattöbbség esetén mindig a Testület valamennyi szavazati joggal rendelkező tagjához viszonyítva kell mérni az egyszerű és a kétharmados többséget.[54]
A vélemény kibocsátását követően a nemzeti hatóság feladata annak vizsgálata, hogy a véleményt miként veszi figyelembe a nemzeti eljárásában. A vélemény kézhezvételét követően két hét áll rendelkezésére, hogy a Testület elnökét tájékoztassa arról, hogyan foganatosítja a véleményben foglaltakat. Amennyiben a nemzeti döntés tervezete a vélemény alapján módosítást nem igényel, korábbi formájában fenntartja a döntést, és ennek tényéről tájékoztatja az elnököt, vagy pedig a véleményre tekintettel módosítja a nemzeti döntést. Ez utóbbi esetben a nemzeti hatóság a döntés módosított szövegét is megküldi a Testület elnökének. Amennyiben az illetékes felügyeleti hatóság nem kíván eleget tenni a véleményben foglaltaknak, vagy a megadott határidőben annak nem tesz eleget, akkor ez a magatartás a Testület 65. cikk szerinti vitarendezési eljárását vonja maga után.
A Testületet alkotó nemzeti tagállami hatóságok főszabály szerint konszenzusos döntésekre törekszenek, de elkerülhetetlen, hogy a rendelet által elvárt szoros együttműködés során jogviták merüljenek fel közöttük. Ezek elsimítására a Testület vitarendezési eljárásában kerül sor a 65. cikkben meghatározottak szerint.[55] Annak érdekében, hogy a rendeletet helyesen és egységesen alkalmazzák, a Testület kötelező erejű döntést fogad el az alábbi három esetben.
- Az együttműködési eljárás[56] során felmerülő vita: Ha a fő és az ügybe bevont többi érintett felügyeleti hatóság együttműködése során valamely érintett felügyeleti hatóság releváns és megalapozott kifogást emel a fő felügyeleti hatóság döntéstervezetével szemben, akkor amennyiben a fő felügyeleti hatóság arra hivatkozva utasította el vagy hagyta figyelmen kívül, hogy az nem releváns vagy nem megalapozott, akkor a fő felügyeleti hatóság köteles a Testület elé utalni a jogkérdést. A Testületnek ebben az esetben a releváns és megalapozott kifogás-
- 326/327 -
ban szereplő összes kérdést meg kell vizsgálnia, és a kötelező erejű döntésében ki kell térnie a megítélésükre, különösen arra, hogy a rendelet sérült-e.
- Hatóságok közötti illetékességi vita: A határon átnyúló adatkezeléssel érintett ügyekben a GDPR szerint meg kell állapítani, ki jár el fő felügyeleti hatóságként, és ki vagy kik lesznek az érintett hatóságok az ügyben. Ha illetékességi vita merül fel ebben a kérdésben, akkor a tagállami hatóságok a Testület döntését kérik.
- A Testület véleménye kikérésének elmulasztása vagy annak figyelmen kívül hagyása: A GDPR 64. cikkének (1) bekezdésében foglalt esetekben a nemzeti adatvédelmi hatóság köteles kikérni és követni a Testület véleményét. Ez minden esetben kötelező, nem tartozik a nemzeti hatóság mérlegelési jogkörébe. Ha a nemzeti hatóság elmulasztja kikérni a véleményt, vagy kikérte, de azt nem követi, akkor erről bármely érintett felügyeleti hatóság vagy a bizottság tájékoztathatja a Testületet, amely kötelező erejű döntést hoz az ügyben.
A vitarendezése alá eső ügyekben a Testület köteles döntést hozni, méghozzá belátható határidőn belül. Ez egyrészt elengedhetetlen a jogbiztonság fenntartása érdekében, másrészt ez szolgálja az egyének jogainak hatékony jogvédelmét. Ennek érdekében a GDPR-ban meghatározott kereteken belül a határidő indokolt esetben meghosszabbítható, és végső esetben a döntés elfogadásához szükséges szavazatarány is csökkenthető. A döntést a Testület főszabály szerint egy hónapon belül köteles meghozni.[57] A döntés elfogadásához a Testület tagjai kétharmadának támogatása szükséges. Tekintettel az ügy összetettségére a határidő további egy hónappal meghosszabbítható, ezen időszak alatt is kétharmados támogatás szükséges a döntés elfogadásához. Amennyiben a Testület nem képes döntést hozni kétharmados többséggel a kiterjesztett határidőn belül sem, akkor a határidő leteltét követő két héten belül tagjainak egyszerű többségével fogadja el a döntést. Ha szavazategyenlőség alakul ki, akkor az elnök szava dönt a kérdésben. Ez nem azt jelenti, hogy szavazategyenlőség esetén az elnök szabadon dönt, hanem kötve van a leadott szavazatához: az számít a mérleg nyelvének, és abba az irányba billen a döntés, ahogy az elnök eredetileg szavazott. Az elnök a Testület tagjai között primus inter pares, de kizárólag a vitarendezési eljárásban van lehetősége az ügyet szavazatával eldönteni.[58] Minden más esetben szavazategyenlőség esetén a tervezetet el nem fogadottnak kell tekinteni.[59]
A Testület tagjai olyannyira kötve vannak a Testület döntéséhez, hogy amíg a döntéshozatalra rendelkezésre álló határidő nem telt el, addig a nemzeti hatóságok nem folytathatják az eljárásukat, és nem hozhatnak döntést az együttműködési eljárásban.
A döntés tartalmát tekintve nem egyértelmű, hogy a Testület a vitás kérdésben milyen mozgástérrel rendelkezik: az elé tárt jogvitában kötve van-e a felek által képviselt állásponthoz, így a fő felügyeleti hatóság álláspontjához és az érintett hatóság releváns és megalapozott kifogásában foglaltakhoz? Döntése csupán arra szűkül, hogy a felek által ismertetett jogértelmezések között dönthet, vagy ennél lényegesen szélesebb döntési jogkörrel rendelkezik, és akár egy
- 327/328 -
harmadik, a felek által nem képviselt álláspontot is kialakíthat? Sem a 29. cikk szerinti Munkacsoport, sem a Testület nem fogadott még el iránymutatást arra vonatkozóan, hogy melyik jogértelmezés követendő.
A Testület minden esetben köteles a döntését indokolással ellátni, és indokolatlan késedelem nélkül értesíteni a fő felügyeleti hatóságot és minden olyan érintett felügyeleti hatóságot, amelyre nézve kötelező erővel rendelkezik a döntése. A fő felügyeleti hatóság a Testület döntésének kézhezvételétől számított egy hónapon belül köteles meghozni a döntését. Ez arra az esetre vonatkozik, amikor az együttműködési eljárás során merült fel jogvita a fő felügyeleti hatóság és az érintett hatóságok között, valamint amikor az illetékes hatóság köteles a Testület véleményét kikérni a GDPR 64. cikkének (1) bekezdése értelmében, és a Testület véleményére tekintettel az általa kibocsátott döntést köteles módosítani. Amikor a fő felügyeleti hatóság személye a kérdés, akkor a Testület egyértelmű döntést hoz, és a fő felügyeleti hatóságként meghatározott nemzeti hatóság köteles megkezdeni a 60. cikk szerinti együttműködési eljárást.
Ennek az eljárásformának a megalkotásával az volt a jogalkotó célja, hogy indokolt esetben a nemzeti tagállamok határon átnyúló ügyekben is önállóan és gyors döntést hozhassanak, továbbá indokolt esetben a Testületet gyors döntés meghozatalára szorítsa. Ilyen indokolt eset az, amikor az érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén úgy véli, hogy az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre van szükség. Ilyenkor el lehet térni az egységességi mechanizmustól, valamint a 60. cikkben említett együttműködési eljárástól, és a nemzeti adatvédelmi hatóság ideiglenes intézkedéseket fogadhat el a saját területén való joghatás kiváltása céljából. Az ideiglenes intézkedés legfeljebb három hónapra szólhat, és minden esetben meghatározott érvényességi idejű intézkedést jelent. A sürgősségi eljárást kezdeményező nemzeti hatóság haladéktalanul közli a foganatosított ideiglenes intézkedéseket és elfogadásuk indokait a többi érintett felügyeleti hatósággal, a Testülettel és az Európai Bizottsággal. A sürgősségi eljárás e szakasza kizárólag a nemzeti felügyeleti hatóság döntését igényli, a Testület felé csak tájékoztatási kötelezettsége áll fenn.
Ha az ideiglenes intézkedést elfogadó nemzeti felügyeleti hatóság úgy véli, hogy végleges intézkedések sürgős elfogadására van szükség, kérését megindokolva kérheti a Testületet, hogy sürgősségi eljárás keretében bocsásson ki véleményt, vagy fogadjon el kötelező erejű döntést. Ez megegyezik a 64. és 65. cikkben foglalt eljárásokkal, azzal a különbséggel, hogy a Testületnek a sürgős döntés igényére tekintettel két héten belül meg kell fogalmaznia a véleményt, vagy el kell fogadnia a kötelező erejű döntést tagjainak egyszerű többségével.
Az eljárás kezdeményezésének nem feltétele az, hogy a nemzeti felügyeleti hatóság előzetesen ideiglenes intézkedést fogadjon el. Sürgősségi eljárást bármely hatóság kezdeményezhet, amennyiben kérését a sürgős fellépés szükségességére kiterjedően is megindokolja. A sürgősségi eljárás keretében a felügyeleti hatóság kérheti, hogy a Testület az esettől függően bocsásson ki véleményt, vagy fogadjon el kötelező erejű döntést, ha valamely illetékes felügyeleti hatóság nem foganatosított megfelelő intézkedést olyan helyzetben, amelyben az érintettek jogainak és szabadságainak védelme érdekében sürgős fellépésre lett volna szükség.
- 328/329 -
A GDPR egyik lényegi jegye, hogy irányelv helyett rendeleti formában fogadták el, így közvetlenül alkalmazandó. Ez lényeges szempont a tagállami hatóságok együttműködését tekintve, mivel a GDPR eljárásokra vonatkozó szabályai is átültetés nélkül alkalmazandók.
Az egyik lényegi probléma, hogy előfordul, hogy a rendelet irányelvnek megfelelő szabályokat alkalmaz, ami nemzeti szinten további tisztázást igényel. Ilyen a 8. cikkben a gyermekek magánszférájának védelmére kikötött életkori határ, ugyanis a rendelet lehetővé teszi, hogy a tagállamok eltérő életkort kössenek ki arra, hogy mikor van szükség a szülői felügyeletet gyakorló személy hozzájárulására, és mikor elegendő a gyermek hozzájáruló nyilatkozata. A tagállamok szabadon határoztathatják meg ezt az életkort a 13. és a 16. életév között, azonban ez ahhoz vezet, hogy amíg egy 15. életévét betöltött gyermek személyes adatainak kezelése a szülői felügyeletet gyakorló személy hozzájárulása nélkül az egyik tagállamban jogszerű, addig a másik tagállamban jogellenes tevékenység lesz.
A másik lényegi nehézséget az jelenti, hogy az alapvetően anyagi jogi szabályokat megfogalmazó rendelet az eljárásjogi szabályokat nem kellő pontossággal vagy olykor egyáltalán nem is határozza meg, ami tagállamonként eltérő értelmezéshez és eltérő gyakorlat folytatásához vezethet. Ennek oka többek között az, hogy a közigazgatási eljárások tekintetében még nem született meg egy egységes uniós szabályozás, amely a főbb rendszert és a sarokpontokat tisztázná. Ez egyebek mellett az eljárási határidők meghatározása terén különösen fontos probléma. A rendelet számos esetben csak annyit követel meg, hogy az egyes eljárási cselekményt valamelyik, az eljárásba bevont hatóság indokolatlan késedelem nélkül hajtsa végre. Az indokolatlan késedelem nélkül fogalma ugyanakkor tagállamonként változik.
A nemzeti hatóságok részéről egyfajta óvatos haladás figyelhető meg, mert több mint egy év elteltével számos eljárástípust még nem alkalmaztak: a tagállami hatóságok együttműködése keretében még nem került sor közös műveletre, valamint a Testület eljárásai közül a vitarendezési eljárás sem mutatkozott szükségesnek. Ez egyben azt is jelenti, hogy az egyablakos ügyintézési eljárásokban ha valamely érintett tagállam vetett is fel releváns és megalapozott kifogást, akkor azzal a fő felügyeleti hatóság egyetértett, és a döntéstervezetet a kifogást figyelembe véve módosította. Továbbá nem merült fel probléma a fő felügyeleti hatóság kijelölése terén sem, vagy a Testület véleményének kikérésével vagy követésével kapcsolatban.
Az egyablakos ügyintézés szabályaival kapcsolatban érdemes még megemlíteni, hogy azok elsősorban az adatkezelőnek jelentenek könnyebbséget. Ennek értelmében ugyanis ha az adatkezelő eleget tesz a feltételeknek, akkor több uniós letelepedettség esetén is csak egy adatvédelmi hatósággal kell együttműködnie. Tehát az a bizonyos ablak nem az érintett természetes személy felé, hanem az adatkezelő felé nyitott. Ez ugyancsak eljárásjogi nehézségeket vethet fel az adatalany számára, hiszen a panaszát a lakhelye szerint illetékes hatóságnál nyújthatja be, így a ténylegesen eljáró hatósággal nem áll kapcsolatban, hanem azzal a nemzeti hatóságán keresztül érintkezik. Egyes nemzeti szabályok értelmében problémát jelenthet, hogy a panaszosnak nincs lehetősége ellenőrizni, hogy a vezető hatósághoz a panaszából milyen, az ügy kimenetelére is hatással lévő információk jutottak el. ■
JEGYZETEK
[1] Az Európai Parlament és a Tanács (EU) 2018/1808 irányelve (2018. november 14.) a tagállamok audiovizuális médiaszolgáltatások nyújtására vonatkozó egyes törvényi, rendeleti vagy közigazgatási rendelkezéseinek összehangolásáról szóló 2010/13/EU irányelvnek (Az audiovizuális médiaszolgáltatásokról szóló irányelv) a változó piaci körülményekre tekintettel való módosításáról (HL L 303., 2018. 11. 28.).
[2] Az Európai Parlament és a Tanács (EU) 2016/679. rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet - GDPR) (HL L 119., 2016. 05. 04.).
[3] Az első tapasztalatokról l. az EDPB összefoglaló anyagát, amely a Testület elnökének LIBE bizottság előtti meghallgatására készült: First Overview on the Implementation of the GDPR and the Roles and Means of the National Supervisory Authorities, https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf
[4] Orla Lynskey: The 'Europeanisation' of Data Protection Law. 19 Cambridge Yearbook of European Legal Studies (2017) 256.
[6] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995. 11. 23.).
[9] GDPR (119) preambulumbekezdés.
[10] Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation): The one-stop-shop mechanism, Orientation debate. Brüsszel, 15656/1/14, 2014. november 28., http://data.consilium.europa.eu/doc/document/ST-15656-2014-REV-1/en/pdf
[13] Antonella Galetta - Paul De Hert: The Proceduralisation of Data Protection Remedies under EU Data Protection Law: Towards a More Effective and Data Subject-oriented Remedial System? 8(1) Review of European Administrative Law (2015) 125-151.
[14] A 29. cikk szerinti Adatvédelmi Munkacsoport: Iránymutatás az adatkezelő vagy az adatfeldolgozó fő felügyeleti hatóságának meghatározásához (WP244 rev.01) 5.
[15] A GDPR az Európai Unión kívüli adatkezelőkre is nagy hatással van. Az Egyesült Államokban működő cégek vonatkozásában l. Lisa V. Zivkovic: The Alignment between the Electronic Communications Privacy Act and the European Union's General Data Protection Regulation: Reform Needs to Protect the Data Subject. 28 Transnational Law & Contemporary Problems (2018) 189., 209-211.
[16] WP244 rev.01, 3.
[17] Uo.
[18] WP244 rev.01, 4.
[19] Ehhez l. Andra Giurgiu - Gertjan Boulet - Paul De Hert: EU's One-Stop-Shop Mechanism: Thinking Transnational. Privacy Laws & Business 137 (2015), https://www.researchgate.net/pubLication/283325994_EUs_One-Stop-Shop_Mechanism_Thinking_Transnational
[20] WP244 rev.01, 8.
[21] GDPR (36) preambulumbekezdés.
[22] WP244 rev.01, 9.
[23] WP244 rev.01, 11.
[24] EDPB Opinion 8/2019 on the competence of a supervisory authority in case of a change in circumstances relating to the main or single establishment (Adopted 9 July 2019).
[25] EDPB Opinion 8/2019. 26. bek.
[26] EDPB Opinion 8/2019. 18. bek.
[27] Dan Svantesson: An Analysis of EDPBs Opinion on the Competence of a Supervisory Authority in Case of a Change in Circumstances Relating to the Main or Single Establishment. Bond University School of Law (2019), https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3437565
[28] Section 3(3) of the German Administrative Procedure Act (Verwaltungsverfahrensgesetz, VwVfG): Amennyiben a közigazgatási eljárás során változás következik be az illetékességet meghatározó körülményekben, akkor az eddig illetékes hatóság folytathatja az eljárást, ha az a végrehajtás egyszerűsítését és a hatékonyságát eredményezi, az szolgálja leginkább az érintettek érdekeit, és ha az illetékes hatóság ehhez hozzájárul.
[30] WP244 rev.01, 11.
[31] EU General Data Protection Regulation. An Implementation and Compliance Guide. IT Gouvrenance Publishing, Cambridgeshire, 2016. 282.
[32] A Testület által kiadott áttekintésért és statisztikákért l. https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf, 4.
[33] GDPR 63. cikk.
[37] Handbook on European Data Protection Law. Bécs, European Union Agency for Fundamental Rights and Council of Europe, 2018. 199.
[38] Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016. 04. 05.).
[39] Hielke Hijmans: The European Union as a Constitutional Guardian of Internet Privacy and Data Protection. Doktori értekezés. University of Amsterdam (2016). 342.
[40] Handbook on European Data Protection Law i. m. (37. lj.) 200.
[41] Hijmans i. m. (39. lj.) 203.
[42] Bart Sloot - Frederik Zuiderveen Borgesius: The EU General Data Protection Regulation: A New Global Standard for Information Privacy (2018), https://bartvandersloot.com/onewebmedia/SSRN-id3162987.pdf, 50.
[43] GDPR 68. cikk (1)-(2) bek.
[44] Hijmans i. m. (39. lj.) 149.
[45] GDPR 70. cikk (1) bek. e) pont.
[46] Ira Rubinstein - Bilyana Petkova: The International Impact of the General Data Protection Regulation. In: Marc Cole - Franziska Boehm - Edward Elgar (szerk.): Commentary on the General Data Protection Regulation (2018), https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3167389
[48] Handbook on European Data Protection Law, i. m. (37. lj.) 201.
[49] GDPR 35. cikk.
[51] GDPR 46. cikk.
[52] Az ilyen vállalati szabályok sok esetben igen hasznosak lehetnek, pl. a személyre szabott árazás kapcsán. L. Frederik Zuiderveen Borgesius - Joost Poort: Online Price Discrimination and EU Data Privacy Law. 40 Journal of Consumer Policy (2017) 359-361.
[54] EDPB-eljárásrend, 22.3. cikk: A GDPR és az eljárásrend által hivatkozott többség minden esetben valamennyi szavazati joggal rendelkező Testületi tag teljes létszámára vonatkozik.
[55] Simon Davies: The Data Protection Regulation: A Triumph of Pragmatism over Principle? 3 European Data Protection Law Review (2016) 291.
[56] Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között.
[57] Preparing for the General Data Protection Regulation. Allen & Overy (2018). 41. http://www.allenovery.com/SiteCollectionDocuments/Radical%20changes%20to%20European%20data%20protection%20legislation.pdf
[59] EDPB-eljárásrend, 22.2. cikk: Szavazategyenlőség esetén a szavazás eredménytelennek minősül, kivéve a GDPR 65. cikkének (3) bekezdésében foglalt esetet.
Lábjegyzetek:
[1] A szerző tudományos segédmunkatárs, Nemzeti Közszolgálati Egyetem, Eötvös József Kutatóközpont, Információs Társadalom Kutatóintézet. E-mail: bojnar.katinka@uni-nke.hu.
Visszaugrás