CMS: az adatvédelmi törvényünk alkalmazható külföldön bejegyzett cégekre is

Ami az ügy hátterét illeti, a Szlovákiában bejegyzett Weltimmo társaság olyan weboldalakat üzemeltetett, amelyen magyarországi ingatlanok hirdetései jelennek meg. Ennek keretében a hirdetők személyes adatait is kezelték. (A magyar média rendszeres foglalkozott a Weltimmo tisztességtelen gyakorlatával, több hatóság is eljárást folytatott az ügyben, a cég ellen rengeteg volt a panasz – a szerk.)

A hirdetések egy hónapig ingyenesek voltak, majd ezt követően a hirdetésért automatikusan díjat kellett fizetni. Számos hirdető az ingyenes időszakot követő időszakot követően e-mailben kérte a társaságtól hirdetése és egyben a rá vonatkozó személyes adatok törlését. A Weltimmo azonban nem törölte ezeket az adatokat, és az ingyenes időszak lejártát követően tovább számlázta az érintetteknek a hirdetési díjakat, személyes adataikat pedig követeléskezelő cégeknek továbbította.

Tisztességtelen kereskedelmi gyakorlatot folytattak

Az ügynek nem csak adatvédelmi vonatkozása volt. A Gazdasági Versenyhivatal (GVH) már 2011 decemberében megállapította, hogy az ingatlanportálok üzemeltetői tisztességtelen kereskedelmi gyakorlatot folytattak.

A GVH a www.ingatlandepo.com, www.ingatlanbazar.com és www.ingatlanbazar.net internetes oldalak általános szerződési feltételeivel kapcsolatban a fogyasztók védelmében közérdekű keresetet is előterjesztett, és a Fővárosi Törvényszék szintén megállapította azok érvénytelenségét. Az ítéletet a másodfokú bíróság jogerősen is jóváhagyta.

Az érintett hirdetők a magyarországi adatvédelmi hatósághoz (Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH) is panaszt nyújtottak be. A panaszosok kifogásolták, hogy a személyes adataikat is tartalmazó ingatlanhirdetéseket nem tudták törölni az ingyenes időszak alatt és azt követően sem.

A NAIH megállapította, hogy a Weltimmo megsértette a magyarországi adatvédelmi törvényt (Infotv.), mely biztosítja az érintett személyek számára, hogy bármikor kérhessék személyes adataik törlését. Ennek értelmében az ingatlanhirdetéseket a hirdetők kérésére haladéktalanul törölni kellett volna.

Ha az érintettnek fizetési kötelezettsége áll fenn, akkor ennek érvényesítéséhez elengedhetetlenül szükséges adatok kezelhetők, de a társaság ebben az esetben sem lett volna jogosult a hirdetéseknek a fenntartására. A törlés iránti kérelmeknek a legtöbb esetben éveken át nem tett eleget a Weltimmo - a NAIH emiatt a legmagasabb, tízmillió forint összegű bírságot szabta rá ki.

A Weltimmo az adatvédelmi hatóság határozatát megtámadta az illetékes magyar bíróság előtt. Az ügy végül a Kúriához került, amely úgy határozott, hogy az eljárást felfüggeszti, és az Európai Unió Bíróságának (EUB) állásfoglalását kérte. Az Infotv. ugyanis egy európai uniós adatvédelmi irányelven alapul (95/46/EK irányelv), melynek értelmezésére az EUB jogosult. Az EUB azt vizsgálta, hogy a NAIH jogosult volt-e bírságot kiszabni a Szlovákiában bejegyzett Weltimmo-ra a magyar adatvédelmi szabályok megsértése miatt.

Az EUB döntése, a”letelepedés” jelentése

Az EUB megállapította, hogy adatvédelmi szempontból a “letelepedés” fogalma kiterjed minden, akár csekély mértékű valós és tényleges tevékenységre, amelyet tartós jelleggel folytatnak az adott EU-s ország területén. Ehhez egyetlen képviselő jelenléte is elégséges lehet.

Az EUB arra nézve is iránymutatást adott, hogy mit lehet tényleges letelepedésnek tekinteni. A Weltimmo több, magyarországi ingatlanokat hirdető, magyar nyelvű weboldalt üzemeltetett, Magyarországon bankszámlát nyitott és postafiókkal rendelkezett napi ügyeinek vitelére. Az EUB szerint a társaság így valódi és tényleges tevékenységet folytatott Magyarországon – függetlenül attól, hogy az adatkezeléssel érintett személyek milyen állampolgárságúak.

A CMS Cameron McKenna LLP Ügyvédi Iroda szakértője, Dr. Domokos N. Márton kiemelte: az ügy rendkívül jelentős az EU-s adatvédelmi jog értelmezése szempontjából, ugyanakkor az EUB megközelítése az európai adatvédelmi szakértők körében nagy meglepetést keltett.

A több EU-s országban is működő cégek az EU 1995-ös adatvédelmi irányelvét eddig általában úgy értelmezték, hogy csak a bejegyzésük szerinti ország adatvédelmi szabályozásának való megfelelést kell vizsgálniuk - nem pedig, adott esetben, 28 különböző tagállam jogszabályát.

A Weltimmo példája extrém eset, hiszen egy láthatólag rosszhiszemű kereskedelmi gyakorlatot folytató cégről van szó, aki úgy tűnik, hogy csak a magyar hatóság illetékessége alól való kibújás – úgynevezett „forum shopping” – céljából működött Szlovákiában.

A cég ügyében eljáró EUB által megállapított jogelvek alapján azonban a jövőben most már minden, az EU területén határon átnyúló tevékenységet végző cégnek érdemes lesz áttekintenie gyakorlatát, hogy megfelel-e minden olyan ország adatvédelmi törvényének, ahova szolgáltatásait nyújtja. Ez sok esetben jelentős idő- és költségráfordítást igényel majd, főleg az e-kereskedelmi cégek számára, és nem biztos, hogy elősegíti az egységes európai piac fejlődését az interneten nyújtott szolgáltatások tekintetében.

Az adatvédelmi hatóságok jogkörei

Az EUB a Weltimmo ügyében azt is megállapította, hogy az EU adatvédelmi szabályai alapján egy adatvédelmi hatóság akár még azelőtt vizsgálatot folytathat le, hogy tudná, hogy melyik a szóban forgó adatkezelésre alkalmazandó nemzeti jog.

Ha azonban arra a következtetésre jut, hogy valamely másik tagállam joga alkalmazandó, nem szabhat ki szankciókat a saját tagállamának területén kívül – erre csak a másik ország adatvédelmi hatóságával folytatott hivatalos együttműködési eljárás keretében kerülhet sor.

A CMS Cameron McKenna LLP Ügyvédi Iroda partnere, Dr. Petrányi Dóra szerint az EUB döntése arra is rámutat, hogy a több EU-s országban működő cégekre vonatkozó adatvédelmi szabályozás még mindig nem egységes. Ennek a problémának a megoldására készül az EU új, körülbelül két év múlva hatályba lépő, általános adatvédelmi rendelete.

A rendelet közvetlenül lesz alkalmazandó valamennyi tagállamban, tehát nem kell majd átültetni a nemzeti jogrendszerekbe, és várhatóan felváltja a tagállamok saját, általános adatvédelmi jogszabályát. A „one-stop-shop” elv alapján pedig egy cég adatkezeléseivel kapcsolatban 28 különböző nemzeti adatvédelmi hatóság helyett egy EU ország hatósága lehetne illetékes - ez jelentősen megkönnyítené az EU-s szinten működő cégcsoportok működését.

Addig is a több EU-s országban működő cégek, főleg azok, amelyek online nyújtanak különböző szolgáltatásokat, oda kell hogy figyeljenek arra, hogy a különböző tagállamok adatvédelmi hatóságainak gyakorlatának is megfeleljenek. Magyarország tekintetében ez már csak azért is fontos, mert a NAIH október 1-től már 20 millió forint összegű bírságot is kiszabhat – hangsúlyozták végezetül a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.