Vágólapra másolva!
Egy EU-s tagállam adatvédelmi törvénye alkalmazható egy másik tagállamban bejegyzett társaságra is – állapította meg az Európai Unió Bírósága az elmúlt években nagy port felvert ügy, a Weltimmo s.r.o és a Nemzeti Adatvédelmi és Információszabadság Hatóság között folyamatban lévő eljárásban – értesült az Origó a CMS Cameron McKenna LLP Ügyvédi Iroda szakértőitől. Ennek feltétele, hogy a társaság tartós jelleggel olyan, akár csekély mértékű valós és tényleges tevékenységet folytasson az adott ország területén, amelynek keretében személyes adatok kezelésére is sor kerül.
Vágólapra másolva!

Ami az ügy hátterét illeti, a Szlovákiában bejegyzett Weltimmo társaság olyan weboldalakat üzemeltetett, amelyen magyarországi ingatlanok hirdetései jelennek meg. Ennek keretében a hirdetők személyes adatait is kezelték. (A magyar média rendszeres foglalkozott a Weltimmo tisztességtelen gyakorlatával, több hatóság is eljárást folytatott az ügyben, a cég ellen rengeteg volt a panasz – a szerk.)

A hirdetések egy hónapig ingyenesek voltak, majd ezt követően a hirdetésért automatikusan díjat kellett fizetni. Számos hirdető az ingyenes időszakot követő időszakot követően e-mailben kérte a társaságtól hirdetése és egyben a rá vonatkozó személyes adatok törlését. A Weltimmo azonban nem törölte ezeket az adatokat, és az ingyenes időszak lejártát követően tovább számlázta az érintetteknek a hirdetési díjakat, személyes adataikat pedig követeléskezelő cégeknek továbbította.

Tisztességtelen kereskedelmi gyakorlatot folytattak

Az ügynek nem csak adatvédelmi vonatkozása volt. A Gazdasági Versenyhivatal (GVH) már 2011 decemberében megállapította, hogy az ingatlanportálok üzemeltetői tisztességtelen kereskedelmi gyakorlatot folytattak.

A GVH a www.ingatlandepo.com, www.ingatlanbazar.com és www.ingatlanbazar.net internetes oldalak általános szerződési feltételeivel kapcsolatban a fogyasztók védelmében közérdekű keresetet is előterjesztett, és a Fővárosi Törvényszék szintén megállapította azok érvénytelenségét. Az ítéletet a másodfokú bíróság jogerősen is jóváhagyta.

Az érintett hirdetők a magyarországi adatvédelmi hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH) is panaszt nyújtottak be. A panaszosok kifogásolták, hogy a személyes adataikat is tartalmazó ingatlanhirdetéseket nem tudták törölni az ingyenes időszak alatt és azt követően sem.

A NAIH megállapította, hogy a Weltimmo megsértette a magyarországi adatvédelmi törvényt (Infotv.), mely biztosítja az érintett személyek számára, hogy bármikor kérhessék személyes adataik törlését. Ennek értelmében az ingatlanhirdetéseket a hirdetők kérésére haladéktalanul törölni kellett volna.

Ha az érintettnek fizetési kötelezettsége áll fenn, akkor ennek érvényesítéséhez elengedhetetlenül szükséges adatok kezelhetők, de a társaság ebben az esetben sem lett volna jogosult a hirdetéseknek a fenntartására. A törlés iránti kérelmeknek a legtöbb esetben éveken át nem tett eleget a Weltimmo - a NAIH emiatt a legmagasabb, tízmillió forint összegű bírságot szabta rá ki.

A Weltimmo az adatvédelmi hatóság határozatát megtámadta az illetékes magyar bíróság előtt. Az ügy végül a Kúriához került, amely úgy határozott, hogy az eljárást felfüggeszti, és az Európai Unió Bíróságának (EUB) állásfoglalását kérte. Az Infotv. ugyanis egy európai uniós adatvédelmi irányelven alapul (95/46/EK irányelv), melynek értelmezésére az EUB jogosult. Az EUB azt vizsgálta, hogy a NAIH jogosult volt-e bírságot kiszabni a Szlovákiában bejegyzett Weltimmo-ra a magyar adatvédelmi szabályok megsértése miatt.

Az EUB döntése, a”letelepedés” jelentése

Az EUB megállapította, hogy adatvédelmi szempontból a “letelepedés” fogalma kiterjed minden, akár csekély mértékű valós és tényleges tevékenységre, amelyet tartós jelleggel folytatnak az adott EU-s ország területén. Ehhez egyetlen képviselő jelenléte is elégséges lehet.

Az EUB arra nézve is iránymutatást adott, hogy mit lehet tényleges letelepedésnek tekinteni. A Weltimmo több, magyarországi ingatlanokat hirdető, magyar nyelvű weboldalt üzemeltetett, Magyarországon bankszámlát nyitott és postafiókkal rendelkezett napi ügyeinek vitelére. Az EUB szerint a társaság így valódi és tényleges tevékenységet folytatott Magyarországon – függetlenül attól, hogy az adatkezeléssel érintett személyek milyen állampolgárságúak.

A CMS Cameron McKenna LLP Ügyvédi Iroda szakértője, Dr. Domokos N. Márton kiemelte: az ügy rendkívül jelentős az EU-s adatvédelmi jog értelmezése szempontjából, ugyanakkor az EUB megközelítése az európai adatvédelmi szakértők körében nagy meglepetést keltett.

A több EU-s országban is működő cégek az EU 1995-ös adatvédelmi irányelvét eddig általában úgy értelmezték, hogy csak a bejegyzésük szerinti ország adatvédelmi szabályozásának való megfelelést kell vizsgálniuk - nem pedig, adott esetben, 28 különböző tagállam jogszabályát.

A Weltimmo példája extrém eset, hiszen egy láthatólag rosszhiszemű kereskedelmi gyakorlatot folytató cégről van szó, aki úgy tűnik, hogy csak a magyar hatóság illetékessége alól való kibújás – úgynevezett „forum shopping” – céljából működött Szlovákiában.

A cég ügyében eljáró EUB által megállapított jogelvek alapján azonban a jövőben most már minden, az EU területén határon átnyúló tevékenységet végző cégnek érdemes lesz áttekintenie gyakorlatát, hogy megfelel-e minden olyan ország adatvédelmi törvényének, ahova szolgáltatásait nyújtja. Ez sok esetben jelentős idő- és költségráfordítást igényel majd, főleg az e-kereskedelmi cégek számára, és nem biztos, hogy elősegíti az egységes európai piac fejlődését az interneten nyújtott szolgáltatások tekintetében.

Az adatvédelmi hatóságok jogkörei

Az EUB a Weltimmo ügyében azt is megállapította, hogy az EU adatvédelmi szabályai alapján egy adatvédelmi hatóság akár még azelőtt vizsgálatot folytathat le, hogy tudná, hogy melyik a szóban forgó adatkezelésre alkalmazandó nemzeti jog.

Ha azonban arra a következtetésre jut, hogy valamely másik tagállam joga alkalmazandó, nem szabhat ki szankciókat a saját tagállamának területén kívül – erre csak a másik ország adatvédelmi hatóságával folytatott hivatalos együttműködési eljárás keretében kerülhet sor.

A CMS Cameron McKenna LLP Ügyvédi Iroda partnere, Dr. Petrányi Dóra szerint az EUB döntése arra is rámutat, hogy a több EU-s országban működő cégekre vonatkozó adatvédelmi szabályozás még mindig nem egységes. Ennek a problémának a megoldására készül az EU új, körülbelül két év múlva hatályba lépő, általános adatvédelmi rendelete.

A rendelet közvetlenül lesz alkalmazandó valamennyi tagállamban, tehát nem kell majd átültetni a nemzeti jogrendszerekbe, és várhatóan felváltja a tagállamok saját, általános adatvédelmi jogszabályát. A „one-stop-shop” elv alapján pedig egy cég adatkezeléseivel kapcsolatban 28 különböző nemzeti adatvédelmi hatóság helyett egy EU ország hatósága lehetne illetékes - ez jelentősen megkönnyítené az EU-s szinten működő cégcsoportok működését.

Fotó: Bielik István - Origo

Addig is a több EU-s országban működő cégek, főleg azok, amelyek online nyújtanak különböző szolgáltatásokat, oda kell hogy figyeljenek arra, hogy a különböző tagállamok adatvédelmi hatóságainak gyakorlatának is megfeleljenek. Magyarország tekintetében ez már csak azért is fontos, mert a NAIH október 1-től már 20 millió forint összegű bírságot is kiszabhat – hangsúlyozták végezetül a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.