Minden tagállam felléphet a jogsértő nemzetközi cégek ellen
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az EUB főtanácsnoka szerint az egyablakos rendszer ellenére bármely uniós tagállam adatvédelmi hatósága eljárhat a GDPR megsértése miatt a nemzetközi cégek ellen.
Az Európai Unió Bíróságának főtanácsnoka a Facebook ügyében megfogalmazott véleményben úgy foglalt állást, hogy nem kizárólag a főfelügyeleti hatóság, hanem bármely uniós tagállam jogi lépéseket tehet az adatvédelmi szabályok megsértése miatt a közösségi média vállalatokkal szemben.
„A főfelügyeleti hatóságnak nincs kizárólagos jogosultsága a GDPR-ban foglalt kötelezettségek határokon átnyúló végrehajtására, és a vonatkozó szabályok és határidők betartása érdekében együtt kell működnie a többi érintett adatvédelmi hatósággal, ” áll a véleményben.
Ha az EUB elfogadja a főtanácsnok véleményét, a döntés jelentős következményekkel járhat a technológiai vállalatok számára, mivel egyes uniós országok keményebben lépnek fel a 2018 óta alkalmazandó GDPR végrehajtása terén. A techcégeknek, ezért újabb vizsgálatokkal kell szembenéznie.
Az EUB által vizsgált ügy tényállása szerint a belga adatvédelmi hatóság 2015-ben a nemzeti bírósághoz fordult a Facebook ellen, amely az érintettek hozzájárulása nélkül helyezte el a felhasználók készülékein a nyomkövető sütiket. A Facebook azzal érvelt, hogy Írországban van az európai székhelye, ezért csak az ír bíróságok dönthetnek a cég adatvédelmi gyakorlatáról. A belga adatvédelmi hatóság ezután fordult előzetes döntéshozatalért az EUB-hoz a kérdés tisztázására.
A GDPR „egyablakos mechanizmus”-t vezetett be, amely szerint annak az országnak az adatvédelmi hatósága jár el főfelügyeleti hatóságként, ahol a technológiai vállalat székhelye található. Például a Facebook elleni adatvédelmi panaszokat az ír adatvédelmi biztos bírálja el, mert a vállalat európai központja Dublinban van.
Michal Bobek főtanácsnok véleményében rögzítette, hogy annak az országnak a hatósága, ahol a technológiai vállalat székhelye van, továbbra is általános hatáskörrel rendelkezik arra, hogy eljárásokat indítson a GDPR megsértése miatt. De bármely más nemzeti hatóság is tehet jogi lépéseket, azokban az esetekben, amikor a GDPR kifejezetten e célból ruházza fel hatáskörrel a tagállami hatóságokat. Nyilatkozatában a Facebook csak a vélemény azon részével foglalkozott, amely megerősítette, hogy az egyablakos mechanizmus továbbra is érvényben marad. „Örömünkre szolgál, hogy a főtanácsnok megerősítette az egyablakos mechanizmus értékét és alapelveit, amelyet a GDPR hatékony és következetes alkalmazásának biztosítása érdekében vezettek be” – mondta a társaság. „Várjuk a bíróság jogerős ítéletét.”
Noha a vélemény a nagy mennyiségű személyes adatot kezelő vállalatokkal szemben több adatvédelmi vizsgálat indulhat Európában, egy brüsszeli nemzetközi ügyvédi iroda adatvédelmi ügyvédje szerint ez még mindig üdvözlendő, mivel nagyobb jogbiztonságot is biztosít számukra. A GDPR nem volt egyértelmű az egyablakos mechanizmusról – mondta. „Az egyablakos mechanizmust valóban beépítették a GDPR-be annak érdekében, hogy [nagyobb] jogbiztonságot teremtsenek, valamint, hogy nagyobb következetesség és jobb homogenitás legyen a GDPR alkalmazása során” az EU-tagországokban – mondta. „Úgy gondolom, hogy mind az érintettek, mind az adatkezelők számára jó, ha egyértelműbb a helyzet e nagyon fontos mechanizmussal kapcsolatban.”
A Facebook mellett a Google, a Twitter és az Apple európai központja is Írországban található. Az Európai Unió Bírósága a legtöbb esetben követi a főtanácsnok nem kötelező erejű véleményét. Az EUB várhatóan a következő hat hónapban hozza meg ítéletét.
(law.com/legaltechnews)