A személyazonosító okmányok másolásának adatvédelmi kérdései
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A távközlési szolgáltatások nyújtására irányuló szerződés, amely olyan feltételt tartalmaz, amely szerint az érintett személyt a személyes adatokat tartalmazó személyazonosító okmányai másolatainak gyűjtéséről és tárolásáról tájékoztatták, és ahhoz hozzájárult, nem alkalmas annak bizonyítására, hogy ez a személy e rendelkezések értelmében érvényesen hozzájárulást adott ehhez a gyűjtéshez, valamint ehhez a tároláshoz.
I. Bevezetés
Az Orange România SA román telekommunikációs vállalat és a személyes adatok kezelésének felügyeletéért felelős román nemzeti hatóság, az Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) ügyben a bukaresti törvényszék, a Tribunalul Bucureşti által az Európai Bírósághoz (a továbbiakban: EUB) előterjesztett előzetes döntéshozatal iránti kérelem a felperes távközlési szolgáltató és az alperes, a román nemzeti adatvédelmi hatóság közötti jogvitából ered. A felek közti vita tárgyát a személyazonosító okmányoknak a szerződések fogyasztókkal történő megtárgyalása keretében történő másolásával és a másolat tárolásával kapcsolatban a távközlési szolgáltatót terhelő kötelezettségek képezik.
A kérelmet azon határozat megsemmisítése iránti kereset tárgyábanfolyamatban lévő jogvitában terjesztették elő, amelyben az ANSPDCP egyrészt bírságot szabott ki az Orange Româniával szemben amiatt, hogy az utóbbi az ügyfelei érvényes hozzájárulása nélkül gyűjtötte és tárolta azok személyazonosító okmányainak másolatát, másrészt az Orange Româniát e másolatok megsemmisítésére kötelezte.
A kérelem a személyes adatok kezeléséről szóló korábbi 95/46/EK irányelv[1] és a jelenleg hatályos adatvédelmi rendelet a 2016/679 rendelet[2] a felek közti jogvitára alapot adó rendelkezései tartalmának és összefüggéseinek feltárására és értelmezésére irányult.
Az Európa Parlament és a Tanács a 95/46/EK irányelvet, GDPR rendelet előzményét 1995. október 24-én fogadta el. A technológiai fejlődés új kihívásaira és az EU-tagállamoknak az irányelvet meglehetősen különböző tartalmú átültetésére is tekintettel az irányelv célját kellő hatékonysággal nem töltötte be, és a GDPR rendelettel hatályát vesztette.
A rendeleti forma súlyára és közvetlenül alkalmazhatóságára tekintettel az EU valamennyi tagállamában egységes fogalmakat kell használni. Ezzel megszűntek az egyes tagállamok közötti esetlegesen eltérő értelmezések. Az Európai Unió Hivatalos Lapjában 2016. május 4-én hirdették ki, és a kihirdetést követő huszadik napon lépett hatályba. Kétéves türelmi időszak után 2018. május 25-től valamennyi EGK tagállamban teljes egészében kötelezően és közvetlenül kel alkalmazni.
Az uniós adatvédelmi reform részeként az Európai Parlament és a Tanács 2016. április 27-én elfogadta a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó 2016/680 bűnügyi irányelvet is, amelyet a tagállamoknak 2018. május 6-ig kellett átültetniük nemzeti jogszabályaikba[3].
A rendelet fogalmai szerint:
Személyes adat: az azonosított vagy azonosítható természetes személyre (Érintett) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
Különleges személyes adat: A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
Adatkezelés: A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
Adatkezelő: Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.
Érintett: Az adatkezelés alanya, bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
A 95/46/EK irányelv 2018. május 25-i hatállyal hatályát vesztette. A rendelet szerint, a hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. A 95/46/EK irányelv 29. cikke által létrehozott, a természetes személyeknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni[4].
Az előzetes döntéshozatal iránti kérelem a személyes adatok kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, irányelv 2. cikke h) pontjának és a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, szóló 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 4. cikke 11. pontjának értelmezésére irányult.
Az irányelv 2. cikke h) pont szerint:
„» az érintett hozzájárulása «az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok kezeléséhez”.
A rendelet 4. cikkének 11. pontja szerint:
„» az érintett hozzájárulása « az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez;”
Az előzetes döntéshozatal iránti kérelem révén az EUB-nak lehetősége nyílt arra, hogy tovább pontosítsa az érintett „hozzájárulásának” fogalmát, amely az uniós adatvédelmi jog központi elemét képezi, és amely végső soron az adatvédelemhez való alapvető jogban gyökerezik. Az EUB-nak ezzel összefüggésben az érintett hozzájárulásának megadásával kapcsolatos bizonyítási teher kérdésével is foglalkoznia kell[5].
II. A tényállás[6]
Az Orange Româniát, a román piacon távközlési szolgáltatásokat nyújtó vállalkozást, 2018. március 28‑i határozatával a személyes adatok kezelésének felügyeletéért felelős nemzeti hatóság, az ANSPDCP bírsággal sújtotta, – mivel az ügyfelei személyazonosító okmányainak másolatát a nélkül tárolta, hogy bizonyította volna, hogy ügyfelei a tároláshoz érvényes hozzájárulásukat adták volna, – továbbá kötelezte az Orange Româniát e másolatok megsemmisítésére.
Romániában 95/46 irányelv rendelkezéseinek a nemzeti jogba történő átültetéséről a személyes adatok kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló törvény[7] rendelkezik. Előírásai szerint, a személyes adatok, – a törvény által kategóriákba sorolt adatok kivételével,- csak akkor kezelhetők, ha az érintett személy e kezeléshez kifejezett és egyértelmű hozzájárulását adta, vagy az adatkezelést jogszabály kifejezetten előírta.
Határozatában az ANSPDCP megállapította, hogy a 2018. március 1‑je és március 26‑a közötti időszakban az Orange România írásban kötött mobiltávközlési szolgáltatások nyújtására vonatkozó szerződéseket természetes személyekkel, és e személyek személyazonosító okmányainak másolatát e szerződésekhez mellékelték. A hatóság szerint az Orange România nem bizonyította, hogy ügyfelei – akiknek szerződéseihez mellékelték a személyazonosító igazolványuk másolatait – érvényes hozzájárulásukat adták volna a személyazonosító okmányaik másolatainak gyűjtése és tárolása tekintetében.
A szóban forgó szerződések releváns feltételei szerint:
„– Az ügyfél kijelenti, hogy:
(i) a szerződés megkötése előtt […] tájékoztatták a választott díjszabásról, az irányadó díjakról, a szerződés minimális időtartamáról, a szerződés megszűnésének feltételeiről, valamint a szolgáltatások igénybevételének és felhasználásának feltételeiről, ezen belül a szolgáltatások lefedettségi területéről, […];
(ii) az Orange România az ügyfél számára megadott minden olyan tájékoztatást, amely szükséges ahhoz, hogy az utóbbi a teljes szerződési dokumentációt – vagyis az ÁSZF‑et, valamint a díjszabásról és a szolgáltatásokról tájékoztató dokumentumokat – magában foglaló szerződés megkötéséhez és kifejezett elfogadásához érvényes, egyértelmű, önkéntes és kifejezett hozzájárulását adja;
(iii) tájékoztatták és hozzájárulását fejezte ki az alábbiakkal kapcsolatban:
- a személyes adatok kezelése az Orange szolgáltatásainak igénybevételére vonatkozó általános feltételek 1.15. cikkében előírt célokból;
- a személyes adatokat tartalmazó személyazonosító okmányai másolatainak az Orange általi tárolása;
- hozzájárulás a személyes adatok telefonszám, e‑mail‑cím direkt marketing céljából történő kezeléséhez;
- hozzájárulás a személyes adatok telefonszám, e‑mail‑cím piackutatások végzése céljából történő kezeléséhez;
- elolvasta és kifejezett hozzájárulását adja az egészségi állapottal kapcsolatos személyes adatokat tartalmazó okmányok másolatainak tárolásához;
- az Orange szolgáltatásainak igénybevételére vonatkozó általános feltételek 1.15. cikkének (10) bekezdésében említett adatokat nem használják fel az előfizetőkkel és az előfizetői nyilvántartásokkal kapcsolatos információs szolgáltatások keretében.”
Az Orange România, az ügyében a nemzeti hatóság ezen, 2018. március 28‑án kelt határozatával szemben keresettel fordult a bukaresti törvényszékhez.
A kérdést előterjesztő e bíróság megállapításai szerint egyrészt vannak olyan szerződések, amelyekben a személyes adatokat tartalmazó okiratok másolatainak azonosítás céljából történő tárolására vonatkozó feltételre vonatkozó négyzetet bejelölték, másrészt vannak olyan szerződések is, amelyekben ez a négyzet nincs bejelölve. Az Orange România az általános szerződési feltételeiben foglaltak ellenére nem tagadta meg az előfizetői szerződések megkötését azon ügyfelek esetében, akik nem járultak hozzá a személyazonosító okmány másolatának tárolásához, a vállalkozás „belső szabályzata” szerint, e megtagadó nyilatkozatot ezen ügyfeleknek a szerződés megkötése előtt aláírt külön formanyomtatványon kellett megtenniük. Arra kereste a választ, hogy az ilyen körülményt lehet‑e úgy tekinteni, hogy az érintett ügyfelek érvényesen hozzájárultak a személyazonosító okmányuk gyűjtéséhez, továbbá ahhoz, hogy ezen okmányok másolatait a szerződésekhez mellékeljék. Továbbá kérdése annak megválaszolására is irányult, hogy a szerződés aláírása, – amelyben a személyes adatokat tartalmazó személyazonosító okmányok másolatainak tárolására vonatkozó feltétel szerepel,- lehetővé teszi‑e az ilyen hozzájárulás fennállásának bizonyítását.
E kétségeire való tekintettel a bukaresti törvényszék eljárását felfüggesztette, és előzetes döntéshozatal céljából kérdésekkel fordult az EUB-hoz.
III. Az EUB értékelése és ítélete
Előzetes döntéshozatalra előterjesztett az EUB által együttesen vizsgált két kérdésével, a kérdést előterjesztő bíróság arra kereste a választ, hogy az irányelv és a rendelet jelen a jelen vizsgálódás bevezetésében idézett rendelkezéseit[8] úgy kell‑e értelmezni, hogy ha a távközlési szolgáltatások nyújtására irányuló szerződés, amely olyan feltételt tartalmaz, amely szerint az érintett személyt a személyes adatokat tartalmazó személyazonosító okmányai másolatainak gyűjtéséről, valamint tárolásáról tájékoztatták, és ahhoz hozzájárult, alkalmas lehet annak bizonyítására, hogy ez a személy e rendelkezések értelmében érvényesen hozzájárulást adott ehhez a gyűjtéshez és ehhez a tároláshoz[9].
Másként fogalmazva, e bíróság arról kívánt megbizonyosodni, hogy a valamely vállalkozással távközlési szolgáltatások nyújtására irányuló szerződéses jogviszonyt létesíteni kívánó érintett a bemutatott irányelvi és rendeleti előírások értelmében vett „konkrét és megfelelő tájékoztatáson alapuló”, valamint „önkéntesen kifejezett” hozzájárulását adja‑e a szóban forgó vállalkozásnak, amikor az egyébként szabványosított szerződésben kézírással arról kell nyilatkoznia, hogy nem járul hozzá fénymásolatnak a személyazonosító okmányairól történő készítéséhez és e másolat tárolásához, továbbá, ezzel összefüggésben iránymutatásra volt szüksége a szóban forgó vállalkozásra háruló bizonyítási terhet és a bizonyítás szintjét illetően[10].
A tényállás szerinti ügyben alkalmazott jogi aktusok kapcsán feltétlenül rögzíteni kell, hogy tekintettel arra, hogy az ANSPDCP szóban forgó határozatát 2018. március 28‑án, – tehát 2018. május 25. előtt – fogadták el, ezért időbeli hatályára tekintettel az eljárásra, az eljáró hatóság, az előterjesztő bíróság és az EUB is a 95/46 irányelvet alkalmazta. Mivel azonban az ügyben az ANSPDCP nemcsak bírságot szabott ki az Orange Româniával szemben, hanem a szóban forgó személyazonosító okmányok másolatainak megsemmisítésére is kötelezte, így az EUB jogértelmezése e meghagyásra is vonatkozott. Tekintettel arra, hogy az ügyben kelt iratok egyike sem utalt arra, hogy e meghagyást 2018. május 25. előtt teljesítették volna, így a jelen ügyben e vonatkozásban – időbeli hatályának beálltára tekintettel – a rendeletet kell alkalmazni, következésképp, az EUB válaszának meghozatala során mind az irányelv, mind a rendelet előírásait figyelembe vette.
E tekintetben emlékeztetett arra, hogy az irányelv és a rendelet is kimerítően felsorolja azokat az eseteket, amikor a személyes adatok kezelése jogszerűnek tekinthető. Valamennyi személyes adatkezelésnek az adatok minőségével kapcsolatban – az irányelv 6. cikkében, illetve a rendelet 5. cikkében- rögzített elveknek, az adatok jogszerűségét illetően az említett irányelv 7. cikkében vagy a fenti rendelet 6. cikkében felsorolt kritériumok egyikének[11].
Miként arra a Bizottság előterjesztett észrevételeiben rámutatott, a 95/46 irányelv 7. cikkében meghatározott hat kritérium valójában annak az átfogóbb elvnek a kifejeződése, amely szerint a személyes adatokat tisztességesen és törvényesen kell kezelni.
Az irányelv 7. cikke kimerítő jelleggel felsorolja azokat az eseteket, amelyekben a személyes adatok kezelését jogszerűnek lehet tekinteni[12]. A személyes adatok kizárólag akkor kezelhetők, ha az adatkezelés jogszerűségével kapcsolatos hat kritérium közül legalább egy teljesül. Az érintett egyértelmű hozzájárulása e kritériumok egyike.
Az irányelv 7. cikke szerint
… a személyes adatok csak abban az esetben dolgozhatók fel, ha:
a) az érintett ahhoz egyértelmű hozzájárulását adta; vagy
b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; vagy
c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges; vagy
d) feldolgozásuk az érintett létfontosságú érdekei védelméhez szükséges; vagy
e) az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges; vagy
f) az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.
A rendelet 6. cikke előírásában:
(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; [….]
A hozzájárulásra vonatkozó követelményeket illetően az irányelv ezen előírása szerint szükséges, hogy az érintett „ahhoz egyértelmű hozzájárulását adta”, a „hozzájárulás” az „az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok kezeléséhez”. Mivel e rendelkezések szerint az érintettnek az hozzájárulásának „egyértelmű” megadása céljából „ki kell nyilvánítania a kívánságát”, kizárólag az e személynek a hozzájárulása kinyilvánítása érdekében tanúsított aktív magatartását lehet figyelembe venni[13].
Az irányelv e követelménye tekintetében a rendelet, meghatározza, hogy mi minősül az „érintett hozzájárulásának”[14]. Megfogalmazása, az irányelv előírásánál szigorúbb, mivel az az érintett akaratának „önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű” kinyilvánítását követeli meg, amely nyilatkozat, vagy „félreérthetetlenül kifejező cselekedet” útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Ezt az értelmezést segítő (32) preambulumbekezdése akként pontosítja, hogy bár a hozzájárulást többek között valamely internetes honlap megtekintése során egy négyzet bejelölésével is ki lehet fejezni, kifejezetten kizárja, hogy hozzájárulásnak minősüljön a „hallgatás, az előre bejelölt négyzet vagy a nem cselekvés”.
A főtanácsnoki indítvány szerint, egy előre bejelölt négyzet útján adott hozzájárulás nem jelent aktív hozzájárulást a fizikai dokumentumokat kezelő olyan személy részéről, aki végső soron aláírja e dokumentumokat. Ilyen helyzetben ugyanis nem lehet tudni, hogy a szóban forgó előre megfogalmazott szöveget elolvasták és elemezték‑e. A helyzet nem egyértelmű. Előfordulhat, hogy a szöveget elolvasták, de az is, hogy nem. Az „olvasó” annak elolvasását elmulaszthatta egyszerű hanyagságból is, így nem állapítható meg egyértelműen, hogy önkéntes volt‑e a hozzájárulás[15].
Az irányelv és a rendelet hivatkozott előírásai „kifejezett” akaratnyilvánítást követelnek meg abban az értelemben, hogy annak pontosan az érintett adatkezelésre kell vonatkoznia, és nem elég, hogy az valamely eltérő tárgyú akaratnyilvánításból kikövetkeztethető[16]. A rendelet pontosítja, hogy ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában kell rendelkezésre bocsátani, nyelvezetének pedig világosnak és egyszerűnek kell lennie, különösen ha a személyes adatok kezelője által előre megszövegezett hozzájárulási nyilatkozatról van szó. Azon irányelvi követelmény, amely szerint a hozzájárulásnak „megfelelő tájékoztatáson alapulónak” kell lennie, azt jelenti, hogy az adatkezelőnek az érintett rendelkezésére kell bocsátania, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel az adatkezelés összes körülményére vonatkozó információt, és az érintett személynek tisztában kell lennie többek között az adatkezelő kilétével, az adatkezelés időtartamával és módjaival, valamint a személyes adatok kezelésének céljával. Az ilyen tájékoztatásnak lehetővé kell tennie az említett személy számára hogy az általa adható hozzájárulás következményeit könnyen meghatározza, és biztosítania kell, hogy e hozzájárulást az ügy teljes ismeretében adja meg.[17]
A Bizottság további észrevételeiben rámutatott, hogy e jogforrások további rendelkezéseinek[18] összefüggésükben való értelmezéséből következik hogy, – annak érdekében, hogy az érintett számára valódi választási szabadságot biztosítsanak, a szerződés megkötésének lehetőségét illetően, – a szerződéses rendelkezések nem vezethetik félre az érintett személyt, még akkor sem, ha megtagadja az adatkezeléshez való hozzájárulását. Ilyen jellegű információk hiányában e személynek a személyes adatai kezeléséhez való hozzájárulását sem önként megadottnak, sem pedig megfelelő tájékoztatáson alapján megadottnak nem lehet tekinteni.
Erre vonatkozóan az irányelv előírja, hogy az érintettnek a hozzájárulását „egyértelműen” kell megadnia, vagyis, az érvényes hozzájárulás fennállásával kapcsolatos bizonyítási teher az adatkezelőre hárul. A rendelet szerint, ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett, személyes adatainak kezeléséhez hozzájárult[19].
A főtanácsnoki indítvány megfogalmazása szerint, a rendelet az adatkezelőre telepíti a bizonyítási terhet azzal kapcsolatban, hogy az érintett hozzájárult‑e a személyes adatok kezeléséhez. Az adatkezelő köteles bizonyítékot szolgáltatni annak érdekében, hogy az érintett hozzájárulásának megadásával kapcsolatos esetlegesen kétségeket eloszlassa, vagyis rá hárul a bizonyítási teher azzal kapcsolatban, hogy az érintettet olyan helyzetbe hozta, hogy az önkéntes, konkrét és megfelelő tájékoztatáson alapuló hozzájárulást adhasson. Ettől az irányelven alapuló jogi helyzet sem különbözik. Ha az irányelv nem is tartalmazott a hozzájárulás feltételeit illetően a rendelet 7. cikkéhez hasonló önálló rendelkezést, az e cikkben rögzített feltételek többsége az irányelvben is megtalálható. Habár a bizonyítási teher szabályát az irányelv kifejezetten nem rögzíti, ez – legalábbis közvetett módon, – az irányelvben szereplő „az érintett egyértelműen hozzájárulását adta” kikötésből következik[20].
Az Orange România észrevételei szerint az érintett szerződések megkötésére irányuló eljárás során az értékesítő ügynökei a szerződések megkötését megelőzően tájékoztatják az érintett ügyfeleket többek között a személyazonosító okmányuk másolatai gyűjtésének és tárolásának céljáról, valamint az e gyűjtéssel és tárolással kapcsolatban az ezen ügyfelek rendelkezésére álló választási lehetőségről, mielőtt ezen ügyfelektől megszereznék a szóbeli hozzájárulást e gyűjtéshez és tároláshoz. A személyazonosító okmányok másolatainak tárolására vonatkozó négyzetet így kizárólag az érintettek által a szerződés megkötésekor erre vonatkozóan önkéntesen kinyilvánított hozzájárulás alapján jelölték meg.
Az EUB ez irányú ítélkezési gyakorlatában azonban az érintett hozzájárulásának megadásával kapcsolatban az érintett aktív, tevőleges magatartásának szükségességét hangsúlyozta.
Miként az ügyben eljáró főtanácsnok rámutatott, …a jelen ügyben ennek a fordítottja történik: tevőleges magatartásra a hozzájárulás megtagadása érdekében van szükség. Ha a valamely weboldalon található, előre bejelölt négyzet bejelölésének megszüntetése túlzottan terhesnek minősül a fogyasztó számára, a fogyasztótól még kevésbé várható el ésszerűen, hogy a hozzájárulását kézírásos formában tagadja meg[21].
Az előzetes döntéshozatal iránti kérelem lényegében annak tisztázására irányult, hogy a személyes adatok ilyen kezeléséhez a hivatkozott hozzájárulás – az e szerződésekben foglalt szerződési feltételek alapján -bizonyítható‑e. Az előzetes döntéshozatal iránti kérelem szerint, bár a szerződések olyan feltételt tartalmaznak, amely szerint az érintett ügyfeleket tájékoztatták a személyazonosító okmányuk másolatának tárolásáról, és az ügyfelek ehhez hozzájárultak, az Orange România értékesítési ügynökei az e feltételre vonatkozó négyzetet már azt megelőzően bejelölték, hogy ezek az ügyfelek az összes szerződéses feltételt, vagyis mind az említett feltételt, mind pedig a többi, az adatvédelemhez nem kapcsolódó feltételt aláírásukkal elfogadták volna. A felperes beleegyezett abba, hogy e szerződéseket olyan ügyfelekkel kösse meg, akik megtagadták a személyazonosító okmány másolatának tárolásához való hozzájárulásukat, ugyanakkor megkövetelte, hogy ebben az esetben ezen ügyfelek a megtagadó nyilatkozatukat tartalmazó külön formanyomtatványt írják alá[22].
Vagyis az érintett feltétellel kapcsolatos négyzetet nem maguk az érintett ügyfelek jelölték be. E négyzet bejelölésének ténye önmagában nem bizonyítja, azt hogy ezen ügyfelek egyértelműen kinyilvánították volna, hogy a személyazonosító okmányuk másolatának gyűjtéséhez és tárolásához hozzájárulnak. Az a körülmény, hogy az érintett ügyfelek a bejelölt négyzetet tartalmazó szerződéseket aláírták, önmagában nem teszi lehetővé e hozzájárulás megtörténtének bizonyítását az azt megerősítő információk hiányában, hogy az ügyfelek e feltételt ténylegesen olvasták és elfogadták[23]. A szerződések megkötésekor az ügyfelek – többek között a személyes adatokat tartalmazó személyazonosító okmányaik másolatainak az Orange általi gyűjtéséhez és tárolásához – a nélkül adták hozzájárulásukat, hogy e kérdésben véleményüket kifejezhették volna [24].
Az indítvány szerint, az érintett akaratának „kinyilvánítására” vonatkozó követelmény egyértelműen aktív és nem passzív magatartásra utal és szükségessé teszi, hogy amikor hozzájárulásának megadásáról dönt nagyfokú önállósággal rendelkezzen. Miként az EUB korábbi ítéletében egy weboldalon elérhető online lottójáték esetében megállapította, hogy egy előre bejelölt négyzet útján adott hozzájárulás nem jelent aktív magatartást valamely internetes oldal felhasználója részéről[25].
Miként az indítvány hangsúlyozta, e tekintetben gyakorlatilag lehetetlennek tűnik objektív módon meghatározni azt, hogy valamely internetes oldal felhasználója ténylegesen hozzájárult‑e személyes adatai kezeléséhez, mivel nem törölte valamely, előre bejelölt négyzet jelölését, azt pedig egyáltalán nem, hogy e hozzájárulást megfelelő információk birtokában adta‑e meg. Nem zárható ki ugyanis, hogy az említett felhasználó nem olvasta az előre bejelölt négyzetet kísérő információt, sőt, lehet, hogy észre se vette ezt a négyzetet, és úgy folytatta a böngészést az általa látogatott internetes oldalon[26].
Ez a megállapítás az analóg világra is alkalmazható: egy előre bejelölt négyzet útján adott hozzájárulás nem jelent aktív hozzájárulást a fizikai dokumentumokat kezelő olyan személy részéről, aki végső soron aláírja e dokumentumokat. Ilyen helyzetben ugyanis nem lehet tudni, hogy a szóban forgó előre megfogalmazott szöveget elolvasták és elemezték‑e. A helyzet nem egyértelmű. Előfordulhat, hogy a szöveget elolvasták, de az is, hogy nem. Az „olvasó” annak elolvasását elmulaszthatta egyszerű hanyagságból is, így nem állapítható meg egyértelműen, hogy önkéntes volt‑e a hozzájárulás[27].
A hozzájárulás önkéntes jellegét kétségessé teszi az a körülmény, hogy annak megtagadása esetén az Orange România a szerződéskötéshez vezető rendes eljárástól eltérve megkövetelte, hogy az érintett ügyfél írásban nyilatkozzon arról, hogy nem járul hozzá a személyazonosító okmánya másolatának gyűjtéséhez vagy tárolásához.
A Bizottság szerint az ilyen további követelmény alkalmas arra, hogy jogellenesen befolyásolja az e gyűjtés és tárolás megtiltására vonatkozó döntési szabadságot.
Az indítvány megfogalmazásában a hozzájárulás nem önkéntesen megadott. A fogyasztó arra való kötelezése, hogy írásbeli formában nyilatkozzon arról, hogy nem járul hozzá a személyazonosító okmányának másolásához és tárolásához, nem teszi lehetővé az önkéntes hozzájárulást, mivel a fogyasztót olyan helyzetbe hozzák, amelyben érezhetően eltér a szerződéskötéshez vezető rendes eljárástól. Ebben az összefüggésben a fogyasztók nem érezhetik úgy, hogy nem áll összhangban a rendes eljárással az, ha megtagadják a személyazonosító okmányaik másolásához és e másolat tárolásához való hozzájárulásukat[28].
Az ítélet megfontolásaiból következően adatkezelőként az Orange România feladata annak bizonyítása, hogy ügyfelei aktív magatartással kifejezték a személyes adataik kezeléséhez való hozzájárulásukat, ezért e társaság nem követelheti meg, hogy aktívan nyilvánítsák ki a megtagadásukat[29].
A fentiekre tekintettel az EUB válasza szerint, a 95/46 irányelv 2. cikkének h) pontját és 7. cikkének a) pontját, valamint a 2016/46 rendelet 4. cikkének 11. pontját és 6. cikke (1) bekezdésének a) pontját úgy kell értelmezni, hogy az adatkezelő feladata annak bizonyítása, hogy az érintett személy a személyes adatai kezeléséhez való hozzájárulását aktív magatartással fejezte ki, és az adatkezelés összes körülményére vonatkozó információt érthető, könnyen hozzáférhető, világos és egyszerű nyelvezetű formában előzetesen megkapta, ami lehetővé tette számára, hogy könnyen meghatározza e hozzájárulás következményeit úgy, hogy e hozzájárulásnak az ügy teljes ismeretében történő megadása biztosított legyen. A távközlési szolgáltatások nyújtására irányuló szerződés, amely olyan feltételt tartalmaz, amely szerint az érintett személyt a személyes adatokat tartalmazó személyazonosító okmányai másolatainak gyűjtéséről és tárolásáról tájékoztatták, és ahhoz hozzájárult, nem alkalmas annak bizonyítására, hogy ez a személy e rendelkezések értelmében érvényesen hozzájárulást adott ehhez a gyűjtéshez, valamint ehhez a tároláshoz, ha
- az adatkezelő a szerződés aláírása előtt bejelölte az e feltételre vonatkozó négyzetet, vagy ha
- az említett szerződés rendelkezései alkalmasak az érintett személy azzal kapcsolatos megtévesztésére, hogy a kérdéses szerződés megkötésére az adatkezeléshez való hozzájárulás megtagadása ellenére is lehetőség van‑e, vagy ha
- ez az adatkezelő jogellenesen befolyásolja e gyűjtés és e tárolás megtiltására vonatkozó döntési szabadságot annak megkövetelésével, hogy az érintett személy a hozzájárulás megtagadása céljából az e megtagadást tartalmazó kiegészítő formanyomtatványt töltsön ki.
[1] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személ jogszabályban képeződött le. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (a továbbiakban: Irányelv). Rendelkezéseit a magyar jogba az információs önrendelkezési jogról és az információszabadságról a 2011. évi CXII. törvény (Infotörvény) ültette át.
[2] Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) General Data Protection Regulation (GDPR) ( a továbbiakban: Rendelet, GDPR).
[3] Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről
[4] GDPR 94. cikk. (1), (2) bek. A 95/46/EK irányelv hatályon kívül helyezése
[5] Maciej Szpunar főtanácsnok Orange România SA kontra Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) C‑61/19. sz. ügyben tett indítványa ECLI:EU:C:2020:158 (a továbbiakban: Indítvány)
[6] Ítélet 20-29. pont.
[7] A legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, a személyes adatok kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 677/2001. sz. törvény 5. cikk(1) bekezdés, és a 8. cikk. rendelkezései.
[8] a 95/46 irányelv 2. cikkének h) és 7. cikkének a) pontját, valamint a 2016/679 rendelet 4. cikkének 11. és 6. cikke (1) bekezdésének a) pontját
[9] Ítélet 19. pont.
[10] Indítvány 29. pont.
[11] 2019. január 16‑i Deutsche Post ítélet C‑496/17, EU:C:2019:26, 57. pont.
[12] 2011. november 24‑i Asociación Nacional de Establecimientos Financieros de Crédito ítélet C‑468/10 és C‑469/10, EU:C:2011:777, 30. pont; 2016. október 19‑i Breyer ítélet C‑582/14, EU:C:2016:779, 57. pont; Planet49 ítélet, 53. pont.
[13] Planet49 ítélet, 41. pont.
[14] Planet49 ítélet, 61–63. pont.
[15] Indítvány 45. pont.
[16] Planet49 ítélet, 58. pont.
[17] Planet49 ítélet, 74. pont.
[18] a 95/46 irányelv 10. cikke c) pontjának második francia bekezdéséből és a 2016/679 rendelet 13. cikke (2) bekezdésének b) és c) pontjából – e rendelet (42) preambulumbekezdésével összefüggésben
[19] Ítélet 42. pont.
[20] Indítvány 54. pont.
[21] Indítvány 60. pont.
[22] Ítélet 45-46. pont.
[23] Kérelem III.5 pont.
[24] A Tribunalul București előzetes döntéshozatal iránti kérelme I. 9. c) pont.
[25] Indítvány 45. pont.
[26] Planet49 ítélet 55. pont.
[27] Indítvány45. pont.
[28] Indítvány 60. pont.
[29] Ítélet 51. pont.