Előzetes döntéshozatal iránti kérelem az ingatlandepo.com ügyében

A Kúria az ingatlandepo.com ügyében felfüggesztette a felülvizsgálati eljárást és 2014. április 22. napán kelt végzésével az EU Bírósághoz fordult előzetes döntéshozatali kérelemmel az európai adatvédelmi irányelv alkalmazandó jogra, illetőleg az Infotörvény hatályra vonatkozó rendelkezéseinek értelmezésével kapcsolatosan.

Mint azt korábban kifejtettük, a magyar Infotörvény – több más rendelkezéshez hasonlóan – kritikátlanul és módosítás nélkül átvette a korábbi adatvédelmi törvény szabályait, ideértve a törvény hatályára vonatkozó szakaszokat. Az Infotörvény szerint ugyanis (vö. 2. § (1) bekezdés) a törvény hatálya Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik. Ezzel szemben az adatvédelmi irányelv 4. cikke a magyar törvénytől lényegesen eltérő kritériumokat jelöl ki a nemzeti jog alkalmazására nézve, az irányelv alapján ugyanis Európai Unión belüli tényállások esetén az alkalmazandó jogot főszabály szerint az adatkezelő letelepedési helye határozza meg.

Az ingatlandepo.com ügy tényállása szerint az adatkezelő cég szlovákiai székhelyű, és az németországi, illetőleg ausztriai szervereken keresztül üzemeltette a szolgáltatásait, amelyek ingatlan-hirdetések közzétételére vonatkoztak. A szlovák cég, illetőleg annak tevékenysége több szállal Magyarországhoz kötődött: annak ügyvezetője és tulajdonosai magyarok, az ott közzétett hirdetések magyar nyelvűek, illetőleg magyar tulajdonosok magyarországi ingatlanjaira vonatkoztak, akik feltöltés útján saját maguk jeleníthették meg hirdetéseiket. A magyar adatvédelmi hatóság ezen kritériumok alapján pusztán a szolgáltatás magyarországi igénybe vevők felé való elérhetővé tételét már elegendőnek tartotta ahhoz, hogy megállapítsa a magyar Infotörvény alkalmazhatóságát és ebből következően saját joghatóságát is a szlovák adatkezelővel szemben. Tekintettel a szlovák cég adatalanyi jogokat kétségtelenül sértő magatartására, a hatóság az eljárásában 10 millió forintos adatvédelmi bírságot szabott ki az adatkezelőre.

Megjegyzendő, hogy a magyar hatóság eljárása egy szlovák cég ügyében felesleges erőfitogtatásnak tűnik, melyet az is alátámaszt, hogy egy külföldről hosztolt magyar nyelvű honlap (deres.tv) ügyében (amit az ingatlandepo.com ügyével egyidejűleg vizsgált a hatóság) különösebb mérlegelés nélkül megállapította a saját vizsgálati hatáskörének hiányát (NAIH-4863-2/2012/V). A hatóság gyakorlata a hatály kérdésében tehát következetesnek aligha nevezhető. (Az ingatlandepo.com ügye azóta megjárta a Fővárosi Törvényszéket, illetőleg a hatóság a megismételt eljárása során újabb bírságot szabott ki a szlovák céggel szemben.)

Az európai adatvédelmi irányelv 4. cikk (1) bekezdése szerint az alkalmazandó jog meghatározásának elsődleges kritériuma az Európai Unión belül az adatkezelő letelepedési helye, kivéve, ha több tagállamban is letelepedett az adatkezelő. Tehát amennyiben az adatkezelő csak egyetlen tagállamban letelepedett, úgy sem az adatalanyok nemzetisége, sem pedig az személyes adatok tárolásának (a hoszting szolgáltatás) fizikai helye nem irányadó tényező, illetőleg az alkalmazandó adatvédelmi jog megállapítása szempontjából az sem releváns az irányelv alapján, hogy az adatkezelő más tagállamokban található eszközt alkalmaz-e (például különböző felső szintű domainek, például .fr, .it, .pl stb. alá tartozó internetes szervereket), vagy közvetlenül más országok állampolgárait célozza-e meg az adatkezelése során.

Az irányelv alapján nem ismeretlen több tagállami jog egyidejű alkalmazása egy adott adatkezelésre. Az is elismert, hogy adatkezelés különböző fázisai során eltérő tagállami adatvédelmi jogok lehetnek alkalmazandóak, illetőleg az alkalmazandó jog nem feltétlenül egyetlen tagállam jogát jelenti, mint arra a 29. cikk szerinti munkacsoport 8/2010-es számú állásfoglalása is utal. A jelen üggyel kapcsolatosan mindazonáltal nem tekinthető kétségesnek, hogy az irányelv szabályai alapján kizárólag a szlovák adatvédelmi jog lenne irányadó az adatkezelésre, tekintettel arra, hogy honlap-üzemeltető adatkezelő Szlovákia területén letelepedett, illetőleg a cég fiókteleppel sem rendelkezett Magyarországon.

A jelen ügyben jogosan merül fel kérdésként, hogy az adatvédelmi irányelv hatályával kapcsolatos rendelkezések hazai átültetésének hibás volta milyen következményekkel jár: így a magyar bíróság félreteheti-e a magyar törvényi rendelkezéseket, illetőleg meghozhatja-e döntését közvetlenül az irányelv alkalmazandó jogra vonatkozó rendelkezései alapján. Ebben az összefüggésben a Kúria előzetes döntéshozatal céljából felterjesztett kérdései szükségtelenül túlkomplikáltnak bizonyulnak, mivel olyan tényállási elemekre utalnak (így a szolgáltatás természete és irányultsága, adatalanyok nemzetisége, adatok feltöltésének helye, szerverek fizikai helye, szlovák cég tulajdonosainak nemzetisége), melyek nem relevánsak az ügy eldöntése szempontjából, azok kétséget nem vetnek fel a 4. cikk a) pontja első fordulata alkalmazása szempontjából, illetőleg egyértelműen megválaszolhatóak az adatvédelmi irányelv és a 29. cikk szerinti munkacsoport 8/2010-es számú állásfoglalása alapján.

A Kúria végzése tartalmaz pár meglepő hivatkozást: így a végzés arra utal, hogy az adatvédelmi irányelv az adatfeldolgozás (data processing) fogalmát használja, míg az Infotörvény az adatfeldolgozás alatt mást ért. A Kúria tehát láthatóan félreértelmezi az adatvédelmi irányelv és a magyar törvény terminológiáját. A helyes fordítás ugyanis: data controller = adatkezelő; data processor = adatfeldolgozó, míg az irányelv egységesen a „data processing” kifejezést használja az magyar terminológia szerinti „adatkezelésre” és az „adatfeldolgozásra” egyaránt. (Ez utóbbi megkülönböztetés mindazonáltal felesleges és indokolatlan is a magyar adatvédelmi jogban, ezárt azt kívánatos lenne felszámolni.) A Kúria pedig furcsa módon a magyar törvény terminológiáját próbálja ráhúzni az irányelvre és emiatt – nyilvánvalóan hibásan – még azt is lehetségesnek tartja, hogy az irányelv 4. cikke egyáltalán nem irányadó a jelen ügyre. (sic!)

Ezt meghaladóan a Kúria láthatóan az alkalmazandó jog és a joghatóság kérdését is összekeveri, az irányelv ugyanis a felügyelő hatóságokra nézve területi hatáskörre (illetékességre) vonatkozó rendelkezéseket rögzít, azonban érthetetlen, hogy miért jut arra a következtetésre a Kúria, hogy a jelen tényállás mellett a magyar hatóságnak a szlovák jogot lenne szükséges alkalmaznia.

Az EU Bíróság gyakorlata szerint az adatvédelmi irányelv által nyújtott jogharmonizáció nem korlátozódik minimális mértékű harmonizációra, hanem teljes mértékű harmonizációt nyújt. Amennyiben az előzetes döntéshozatalra a jelen ügyet – a végzés fenti hibái ellenére – mégis befogadhatónak tartják, úgy az EU Bíróság a hatály hazai szabályozásának kérdésében várhatóan meg fogja állapítani az irányelv hibás átültetését. Az Infotörvény hatályra vonatkozó rendelkezéseinek elfogadásakor az irányelv irányadó szabályait nyilvánvalóan nem vették figyelembe, a magyar törvény ugyanis a hatályra vonatkozó rendelkezéseit adatkezelő letelepedési helyétől függetlenül rendeli alkalmazni, ami szükségtelen párhuzamot okoz azzal, hogy egyébként az irányelv alapján egy másik tagállami jog lenne irányadó az adatkezelésre. Megállapítható tehát, hogy a magyar adatvédelmi jog hatályra vonatkozó törvényi rendelkezései alkalmatlanok arra, hogy a tagállami adatvédelmi jogok közötti kollízió, illetőleg a szükségtelen párhuzamos átfedéseket elkerüljék, minthogy a magyar adatvédelmi jog parttalan alkalmazása a jogbiztonságot sem szolgálja, ezért az EU Bíróság döntésétől függetlenül is szükséges lenne a hatályra vonatkozó hazai szabályok korrekciója.

UPDATE: Az EUB előtti ügyszám: Weltimmo C-230/14