Egy parlamenti vizsgálóbizottságnak főszabály szerint tiszteletben kell tartania az általános adatvédelmi rendeletet

Nem ez a helyzet akkor, ha a vizsgálóbizottság ténylegesen a nemzetbiztonság megóvására irányuló tevékenységet végez – olvasható az Európai Unió Bírósága közleményében.

Egy tagállami parlament által a végrehajtó hatalom fölötti ellenőrzési jogkörének gyakorlása keretében létrehozott vizsgálóbizottságnak főszabály szerint tiszteletben kell tartania az általános adatvédelmi rendeletet (GDPR).

Emellett abban az esetben, ha ebben a tagállamban csupán egyetlen felügyeleti hatóság van, az főszabály szerint hatáskörrel rendelkezik annak ellenőrzésére, hogy a vizsgálóbizottság tiszteletben tartja-e a GDPR-t. Ezzel szemben, ha a vizsgálóbizottság ténylegesen a nemzetbiztonság megóvására irányuló tevékenységet végez, akkor nem tartozik a GDPR hatálya alá, következésképpen a felügyeleti hatóság ellenőrzése nem terjed ki rá. Az osztrák parlament képviselőháza, a Nationalrat vizsgálóbizottságot alakított, amelynek feladata az osztrák
szövetségi alkotmányvédelmi és terrorelhárítási hivatal fölötti esetleges politikai befolyás létének feltárása volt .

Ez a vizsgálóbizottság a média által közvetített meghallgatás során meghallgatott egy tanút. Az e meghallgatásról készített összefoglalót közzétették az osztrák parlament internetes oldalán. Anonimizálás iránti kérelme ellenére az összefoglaló tartalmazta a tanú teljes nevét.

A tanú panaszt nyújtott be az osztrák adatvédelmi hatósághoz, mivel álláspontja szerint nevének feltüntetése ellentétes volt a GDPR-ral. Előadta, hogy fedett rendőrként dolgozott a rendőrség utcai bűnözés elleni küzdelemért felelős csoportjánál. Az adatvédelmi hatóság a panaszt elutasította azzal az indokkal, hogy a hatalmi ágak elválasztásának elvével ellentétes, hogy a végrehajtó hatalom részeként működő e hatóság ellenőrizze, hogy  a vizsgálóbizottság, amely a törvényhozó hatalomhoz tartozik, tiszteletben tartja-e a GDPR-t. A tanú ezt követően az osztrák bíróságokhoz fordult, hogy vitassa ezt a megközelítést.

Az osztrák közigazgatási bíróság azt kérdezte a Bíróságtól, hogy a törvényhozó hatalom részeként létrehozott, és nemzetbiztonsági tevékenységekkel kapcsolatos vizsgálatot végző vizsgálóbizottság a GDPR hatálya alá tartozik-e, és kiterjed-e rá az adatvédelmi hatóság ellenőrzése. A Bíróság megállapítja, hogy főszabály szerint még egy tagállami parlament által a végrehajtó hatalom fölötti
ellenőrzési jogkörének gyakorlása keretében létrehozott vizsgálóbizottságnak is tiszteletben kell tartania a GDPR-t.

Kétségtelen, hogy a GDPR nem alkalmazandó a személyes adatok olyan kezelésére, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló tevékenység keretében végeznek. Mindazonáltal a szóban forgó vizsgálat – az osztrák közigazgatási bíróság által elvégzendő vizsgálat függvényében – önmagában nem tűnik a nemzetbiztonság megóvására irányuló tevékenységnek. E vizsgálóbizottságnak ugyanis azt kellett kivizsgálnia, hogy érvényesült-e esetleges politikai befolyás a végrehajtó hatalom egyik szerve fölött, amelynek az alkotmány
védelme és a terrorizmus elleni küzdelem volt a feladata.

Ezzel együtt a nemzetbiztonság igazolhatja a GDPR-ból eredő kötelezettségek és jogok jogalkotási intézkedések útján történő korlátozását. Az iratokból azonban nem tűnik ki, hogy a szóban forgó vizsgálóbizottság azt állította volna, hogy a tanú nevének közlése szükséges volt a nemzetbiztonság védelme érdekében, és az jogalkotási intézkedésen alapult. Ugyanakkor az osztrák közigazgatási bíróság feladata, hogy elvégezze az ezzel összefüggésben szükséges vizsgálatokat.

Mivel Ausztria úgy döntött, hogy egyetlen GDPR szerinti felügyeleti hatóságot hoz létre, nevezetesen az adatvédelmi hatóságot, így az főszabály szerint hatáskörrel rendelkezik arra is, hogy a szóban forgóhoz hasonló vizsgálóbizottság esetében ellenőrizze a GDPR tiszteletben tartását, mégpedig a hatalmi ágak elválasztásának elvére tekintet nélkül. Ez a GDPR közvetlen hatályából és az uniós jog elsőbbségéből következik, ami a nemzeti alkotmányjoggal szemben is érvényesül.

(https://curia.europa.eu/)