Két éve lépett hatályba az új uniós adatvédelmi rezsim, a GDPR. A szabályozás alapkoncepciója az egységesség volt, a bírságolás kapcsán azonban a tagállami gyakorlat egészen mást mutat. Ez különösen a technológiai óriásvállalatok körében jelent problémát, amelyek megpróbálhatnak a forum shopping eszközeivel élni a bírságok elkerülésére vagy mérséklésére. A tanulmányban elemzésre kerül a szabályozás, valamint az ír és magyar bírságolási gyakorlat
Az európai integráció egyik egyértelmű problémája az uniós rendelkezések végrehajtásáért felelős tagállami szinten (közvetett végrehajtás) a végrehajtási deficit jelensége. Az egyes szakpolitikai területeken az uniós és a tagállami hatáskörök megosztottsága miatt eltérő a szabályozás kidolgozottsága, így a végrehajtási deficitet is érdemes ágazati jelleggel megvizsgálni.[1] A tagállamok máig (relatív) autonómiával rendelkeznek a közigazgatási szervezetrendszerük kialakítását, az eljárási követelményeket (ebbe beleértve a közigazgatási szankciórendszerük kialakítását) illetően is.[2] Az uniós jogalkotó - a végrehajtási deficit leküzdése érdekében - egyre több esetben az uniós jog végrehajtásáért közvetlenül felelős uniós szerveket és intézményeket hoz létre, vagy ilyen hatásköröket biztosít már meglévő uniós szerveknek, intézményeknek (közvetlen végrehajtás erősödése). Sok esetben viszont megmarad a tagállami szervek elsődleges fellépési lehetősége az uniós jog végrehajtása során, de a belső piac keretei között eltérő mechanizmusok alakultak ki az egységes jogalkalmazás biztosítása érdekében.[3] Ennek további feltétele az egységes uniós szabályozás irányába tett elmozdulás, amelynek egyik legújabb példája a korábbi irányelvet felváltó új uniós adatvédelmi rendelet (GDPR)[4] elfogadása.
Az ágazati szabályozás szempontjából az adatvédelmi terület kiemelt fontosságúvá vált az utóbbi évtizedekben. Ez nem pusztán az uniós hatáskörök bővülésével és a belső piac folyamatos fejlődésével függ össze, hanem egyértelmű velejárója a 2000-es évek infokommunikációs forradalmának is. A mindennapi életünket alapvető módon átalakító technológiai változás nem pusztán pozitív hozadékokkal járt, hiszen a személyes adatok védelme, a bioetikai dilemmák megsokszorozódása, a robotika térhódítása egyértelmű szabályozói, valamint hatékony végrehajtási válaszokat követel meg. Utóbbi viszont nehezen képzelhető el a nemzetállami keretek között, már csak annak okán is, hogy a technológiai és infokommunikációs iparág szereplői méretüket, jelentőségüket tekintve globális szintű tényezőkké váltak, amelyek működésének egységes (belső) piaci szabályozása és felügyelete nem pusztán az uniós polgárok érdekei, hanem az Unió mint gazdasági egység szempontjából is elengedhetetlen.
Célunk jelen írással a GDPR alkalmazásának kapcsán felmerült egyes tagállami gyakorlatok bemutatása, illetve azok összevetése a GDPR bizonyos rendelkezéseivel, valamint az ahhoz kapcsolódó tágabb értelemben vett uniós adatvédelmi követelményekkel. Tekintettel az ezen uniós rendelet hatálybalépése óta eltelt viszonylag rövid időre, átfogó jellegű elemzés felvázolására nincs mód. Ugyanakkor már látható, hogy az egyes adatvédelmi rendelkezések alkalmazása kapcsán milyen dilemmák vetődnek fel. Röviden ezen jelenségekre kívánunk reflektálni az említett technológiai nagyvállalatok szempontjából, a GDPR szerinti illetékesség miatt releváns ír példa, valamint a hazánkban megjelenő egyes gyakorlati kérdések elemzésével. Az igencsak eltérő jogrendszerek kapcsán felvetődik a kérdés, hogy a hasonló adatvédelmi dilemmákra adott válaszaik jelzik-e már az egységes (egységesülő) gyakorlat irányába való haladást, hogy melyek az együttműködés keretei, milyenek a piaci szereplők esetleges válaszai a GDPR azonos védelmet garantálni kívánó szabályozására és annak tagállami alkalmazására.
A 95/46/EK irányelvet[5] felváltó GDPR-t elsődlegesen változatlanul a tagállami hatóságok alkalmazzák. Így a közvetett végrehajtás meghatározó szerepe adatvédelmi területen is megmaradt. Ugyanakkor a korábbi joggyakorlat egyértelműen rámutatott, hogy új alapokra kell helyezni az egyes tagállami hatóságok közötti együttműködés, vitarendezés és egységes gyakorlat kialakításának kereteit. Utóbbi kérdések rendezése szempontjából kiemelkedő fontosságú új szereplő az uniós ügynökségként létrehozott Európai Adatvédelmi Testület (European Data Protection Board, a továbbiakban: EAT). Ennek elődje az 29. cikk szerinti munkacsoport (a továbbiakban: munkacsoport), amelynek szervezeti kereteit (titkárságát) az Európai Bizottság biztosította.[6] Mind a munkacsoport, mind az EAT meghatározó szerepet kapott és kap a kapcsolódó szabályozás egységes értelmezésének lefektetésében.
Az Európai Unió Bíróságának (a továbbiakban: EUB) korábbi joggyakorlata alapján is felmerült problémaként az, ha az adatvédelmi eljárás lefolytatása több tagállamot is érintett. A tagállami felügyeleti hatóság érintettsége fennállhat a GDPR 4. cikk 22. pontja szerint a tevékenységi hely; a lakóhellyel rendelkezők jelentős mértékben érintettsége; valamint a panaszbenyújtás helye alapján.[7] A GDPR 4. cikk 23. pontja pedig külön kategóriaként kezeli a "személyes adatok határokon átnyúló adatkezelését", amely "több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenység" vagy több tagállamban jelentős mértékben vett érintettség alapján áll fenn. Emellett a munkacsoport is külön iránymutatást bocsátott ki, hogy a tagállami hatóságok közül egyértelműen ki lehessen jelölni a fő felügyeleti hatóságot.[8]
A GDPR külön fejezetben foglalkozik az együttműködési és az egységességi eljárások részletes szabályaival. Az együttműködési eljárásban a tagállami hatóságok fő felügyeleti hatóságként, vagy érintett felügyeleti hatóságként járhatnak el. A fő felügyeleti hatóságként eljáró tagállami hatóság feladata, hogy a döntéshozatali folyamatban együttműködjön az érintett felügyeleti hatóságként eljáró tagállami hatóságokkal és koordinálja az eljárást, emellett a részt vevő hatóságok kölcsönösen segítséget nyújtanak egymásnak, valamint közösen hajthatnak végre műveleteket.[9] Az egységességi mechanizmus pedig az egységes jogalkalmazást biztosító eljárások összességét jelenti. A mechanizmus esetében a főszerep már az EAT-nak jut. Az EAT-ot a tagállami hatóságnak tájékoztatnia kell elsődlegesen szabályozási jellegű döntéstervezeteiről, amely nem fogadható el, mielőtt azt az EAT nem véleményezi.[10] Ha az előbbi esetben
- 10/11 -
nem jut konszenzusra az EAT és a tagállami szint, vagy ha a tagállami hatóságok együttműködésében nincs konszenzus, vagy a tagállami hatóságok között illetékességi vita merül fel, az EAT vitarendezési eljárásában kötelező erejű döntést fogad el - amely a tagállami hatóságok között fennálló vita esetén kizárja a végleges döntés elfogadását.[11] Az EAT az egységességi mechanizmus és jogértelmezés érdekében véleményt ad ki.[12]
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás