Az Európai Bizottságot beperelték a saját adatvédelmi szabályainak be nem tartása miatt

A közelmúltban egy német állampolgár pert kezdeményezett az Európai Bizottsággal szemben azt állítva, hogy az az egyik honlapján keresztül rendszeresen továbbít jogszerűtlenül látogatói adatokat az Egyesült Államokba.

Az érintett weboldal az Európa Jövőjéről szóló konferencia honlapja volt, amelyet az Amazon Web Services szolgáltatásán keresztül üzemeltetett a Bizottság (a honlap jelenleg már nem elérhető), ez a keresetben foglaltak szerint azt eredményezte, hogy a regisztráció során az érintett személyes adatai, például a számítógépének IP-címe automatikusan továbbításra került az Amazon USA-ban található szervereire.

Az Európai Unió intézményeire és szerveire nem a mindenki által ismert GDPR hanem az azzal összhangban álló Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló 2018/1725 rendelete (a továbbiakban: 2018/1725 Rendelet) vonatkozik. Ezen rendelet célja, hogy az uniós polgárok számára az uniós intézményekkel való kapcsolattartás során ugyanazokat a jogokat biztosítsák, mint amelyekkel a GDPR alapján rendelkeznek.

Amennyiben tehát bebizonyosodnak a felperes állításai, úgy az Európai Bizottság által végzett adatkezelés sérti a 2018/1725 Rendelet 46. cikkének rendelkezéseit, amely a GDPR-hoz hasonlóan szintén megfelelő garanciák meglétéhez köti a személyes adatok ún. harmadik (tehát az Európai Gazdasági Térségen kívüli) országba történő továbbítását.

A személyes adatok megfelelő garanciák nélküli továbbítása az Egyesült Államokba az úgynevezett Screms II. ítéletben foglaltakba is ütközik azaz az Európai Unió Bírósága által a C-311/18. számú, Data Protection Commissioner kontra Facebook Ireland és Maximillian Schrems ügyben előzetes döntéshozatal iránti kérelem tárgyában hozott ítéletébe, amely érvénytelennek minősítette a Privacy Shield egyezményt, amely korábban az USA-ba történő adattovábbítást volt hivatott jogszerűvé tenni.

A Screms II. alapján az USA jogrendszere nem biztosít megfelelő – az Európai Unió által elvárt – védelmet a személyes adatoknak, mivel az amerikai hírszerző szolgálatok aránytalan mértékben és érdemi jogorvoslat nélkül hozzáférhetnek a természetes személyek adataihoz így amennyiben többletgarancia nélkül történik adattovábbítás, úgy az uniós polgárok személyes adataihoz is.

Az Európai Unió Bírósága két évvel ezelőtt a Schrems II. ügyben hozott ítélete mérföldkőnek számított a GDPR történetében, valamint rengeteg negatív kritikát is kapott, hiszen az ítélet következtében kizárólag a GDPR 46. cikkében foglalt megfelelő garanciák valamelyikének érvényesülése esetén történhet személyes adattovábbítás az USA-ba, ami számtalan vállalkozás elé gördített jogi akadályokat és tette nehezebbé az adatvédelmi szabályoknak való megfelelést.

A fentieket figyelembe véve a jelen ügy komoly reputációs veszteséget jelenthet a Bizottságnak, valamint a per következtében ismét felerősödhetnek a kritikus hangok, mert sokan visszásnak tartják, hogy az Európai Bizottság olyan szabályoknak való megfelelést vár el akár kis- és középvállalkozásoktól is, amelyeket – legalábbis a keresetben foglaltak szerint – maga sem képes minden esetben betartani.

A pertől akár a harmadik országokba történő adattovábbításra vonatkozó szabályok értelmezésére vonatkozó iránymutatás is várható, emellett egy, az Európai Bizottságot elmarasztaló döntés is nagy jelentőségű lenne, hiszen egyértelmű jelzésként szolgálna, hogy az adatvédelmi szabályokat mindenkinek be kell tartania. Álláspontunk szerint pedig már csak ezért is érdemes nyomon követni az ügy alakulását.

A felperest képviselő, adatvédelmi kártérítési igényekre szakosodott Europäische Gesellschaft für Datenschutz alapítója szeptember végére várja a Bizottság válaszát, a bírósági meghallgatást pedig jövő tavaszra.

Farkas Márton (e-mail: marton.farkas@pwc.com) ügyvédjelölt

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez

Megosztás