Az Európai Unió Bírósága („EuB”) két friss döntésében is értelmezte a tagállamok számára az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvben előírt kötelezettségeket. Az ítéletek fontos támpontot adnak annak meghatározásához, mikor tekinthető az uniós joggal összhangban levőnek az elektronikus hírközlési szolgáltatók részéről a felhasználók adatainak megőrzése.

Az első ügy (C-793/19. és C-794/19. sz. egyesített ügyek) kérelmezői nyilvánosan elérhető internet-hozzáférési szolgáltatást, valamint nyilvánosan elérhető telefonszolgáltatásokat nyújtanak Németország területén. A kérelmezők a német bíróság előtt vitatták azt a nemzeti jogban előírt kötelezettségüket, miszerint meg kell őrizniük az ügyfeleik forgalmi és helymeghatározó adatait, az EuB előtti eljárásnak pedig az képezte a tárgyát, hogy az ezt előíró német jogszabályi rendelkezés összhangban áll-e az uniós joggal, közelebbről a 2002/58/EK irányelvvel.

A szolgáltatóknak előírt megőrzési kötelezettség a felhasználók igen széles körét érintette, anélkül, hogy erre bármilyen indokot előírt volna a német jogszabály – bár távoli utalást tartalmazott bűnüldözési, nemzetbiztonsági okokra, az érintett személyeknek nem kellett akár közvetve sem olyan helyzetben lenniük, ami büntetőeljárást vonhat maga után. Az érintett adatok közt például a hívó és a hívott telefonszámok, az SMS közlések időpontjai, az előfizetőkhöz rendelt IP-címek, az internethasználat dátuma, kezdő és záró időpontja és az igénybevett cellákra vonatkozó (azaz helymeghatározó) adatok szerepeltek. Nem kerültek ugyanakkor megőrzésre például a közlések tartalmai vagy a megtekintett weboldalakkal kapcsolatos adatok. A megőrzési kötelezettség időtartama helymeghatározó adatok esetében négy hét, más adatok tekintetében tíz hét volt.

A másik döntés (C-339/20. és C-397/20. sz. egyesített ügyek) apropóját az adta, hogy a kérelmezők ellen büntetőeljárás indult többek közt bennfentes kereskedelem és bűnpártolás miatt. Az eljárás során a francia értékpapírpiaci hatóság (Autorité des marchés financiers, AMF) közölt a bírósággal olyan információkat, amelyeket a kérelmezők telefonhívásaiból gyűjtöttek össze az AMF nyomozói az elektronikus hírközlési szolgáltatóktól.

Hasonlóképp a fenti ügyhöz, a kérelmezők itt is arra hivatkoztak, hogy az elektronikus hírközlési szolgáltatóknak a francia jogban előírt megőrzési kötelezettsége nem felelt meg az uniós jognak. Az ügyben tehát azt a kérdést kellett megválaszolnia az EuB-nek, hogy az uniós joggal összhangban áll-e, ha a nemzeti jogalkotó megelőző jelleggel, a piaci visszaélésekkel (így pl. a bennfentes kereskedelemmel) kapcsolatos jogsértések elleni küzdelem céljából a forgalmi adatoknak a rögzítés napjától számított egy évig történő általános és különbségtétel nélküli megőrzését írja elő.

Az EuB mindkét ügyben megállapította: a megőrzött adatkategóriák alkalmasak arra, hogy ezek alapján pontos következtetéseket vonjanak le az érintett személyek magánéletével, pl. napi szokásaikkal, helyváltoztatásaikkal kapcsolatban – és különösen arra, hogy eszközül szolgáljanak az érintett személyek profiljának megalkotásához. Annak van különösen jelentősége, hogy az ügyekben szereplő adatmegőrzés a telefonhívások gyakorlatilag valamennyi eszközére kiterjedt, és magában foglalta valamennyi felhasználót, anélkül, hogy ebben a tekintetben különbséget vagy kivételt tett volna.

Tekintettel pedig az érintett adatok ilyen nagy terjedelmére, a megőrzési kötelezettség általános, bármilyen megkülönböztetés nélküli jellegére, az EuB szerint a szóban forgó kötelezettség nem tekinthető célzott adatmegőrzésnek, és a magánéletbe történő súlyos beavatkozásnak minősül. Ez még annak ellenére is így van, hogy az első ügyben csak rövid ideig került sor az adatmegőrzésre, a második ügyben pedig a piaci visszaélések elleni küzdelem céljával próbálták indokolni azt. Mindkettő a feltétlenül szükséges mértéket meghaladóan korlátozza ugyanis a magánélet tiszteletben tartásához való jogot.

Az EuB elvi éllel szögezte le, hogy a jogalkotó megelőző jelleggel, általános és különbségtétel nélküli megőrzési kötelezettséget jogszerűen nem írhat elő. Az érintett szolgáltatók a fentiekhez hasonló személyes adatok megőrzésére lényegében csak abban az esetben kötelezhetők, ha a tagállamnak valós és közvetlen, előre látható és súlyos nemzetbiztonsági fenyegetéssel kell szembenéznie, van olyan bíróság vagy független közigazgatási szerv, amely előírhatja annak ellenőrzését, hogy ilyen fenyegetés valóban fennáll-e, továbbá a tagállam garanciákat nyújt különösen arra, hogy a magánéletbe történő beavatkozás minden esetben célhoz kötötten, feltétlenül szükséges mértékben, meghatározott időtartamban és megkülönböztetés mentesen történik.

Lebocz Noémi(e-mail: noemi.lebocz@pwc.com) ügyvédjelölt

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez