Vélemény az Európai Adatvédelmi Testület 2/2019. Iránymutatásának tervezetéről

dr. Bártfai Zsolt
Global Privacy Consultant, IBM Security

Jelen cikk kizárólag a szerző nézeteit tükrözi, a cikk megállapításai nem tekinthetők az IBM álláspontjának a témában.

Az Európai Adatvédelmi Testület 2019. április 12. napján jelentette meg „a személyes adatoknak a GDPR 6. Cikk (1) bekezdés b) pontja szerinti kezeléséről az online szolgáltatások adatalanyoknak történő nyújtása során” tárgyú 2/2019. számú Iránymutatás tervezetét[1] (továbbiakban: Tervezet). A Tervezet rendelkezéseit több szakmai oldal is ismerteti. Jelen dolgozat a Tervezet kritikáját kívánja adni.

A Tervezet ugyanis a GDPR-nak és a GDPR adatvédelmi hatóságok általi (hivatalos) értelmezésének számos olyan kritikus aspektusát mutatja, amelyeknek az adatvédelmi hatóságok általi következetes véghezvitele súlyos károkat, illetve a jogrendszer szétzilálódásának veszélyét hordozza magában. Ezek az aspektusok a következők:

a) a GDPR mögött álló, közel ötven éves koncepció, amely az adatkezeléseknek csak egy, jól körülhatárolható fajtáját fedi le, más adatkezelésekre való mechanikus alkalmazása – mint pl. a jelen esetben is – diszfunkcionális lehet;

b) az adatvédelmi jog “szuperjogként” való kezelése, ami nem az adatkezelést alapjául szolgáló jogviszonyok igényeihez igazodik, hanem az alapul fekvő jogviszonyok igazodását várja el azok lényegének megértése nélkül;

c) ezzel összefüggésben nem látható világosan, mit véd a GDPR: az érintettek magánszféráját vagy pusztán egy közigazgatási szabályrendszer, amit akár az érintettek akarata ellenére is érvényre juttatnak?

d) a „szerződés” fogalmának szűkítő értelmezése szembe megy a polgári jog évezredes logikájával és szabályaival, és az ezen értelmezésen alapuló adatvédelmi szabályok kreálása – azon túl, hogy szükségtelenül bonyolítja a helyzet megítélését – beláthatatlan következménnyel lehet a polgári jogi viszonyokra, a forgalom biztonságára is.

Ad a) – a GDPR koncepciója

Néhány szabálytól eltekintve a GDPR koncepciója (hasonlóan a 95/46/EK irányelvhez) az 1970-80-as évek koncepcióját követi, azaz a számítógépes adatbázisokba szervezett adatok (nagy nyilvántartási rendszerek) kezelésére alkalmas aggálytalanul. Egyéb esetekben legfeljebb az elvei lennének alkalmazhatók (adott esetben azonban azok sem teljes egészében!) az adott adatkezeléshez igazított, speciális szabályokkal.[2] Másik jellemzője ennek a koncepciónak, hogy (jellemzően) állami adatbázisok szabályozására szolgált, vagyis alá-fölérendeltségen alapuló (közjogi) jogviszonyokat rendezett és e közjogi jogviszonyokban nyújtott az érintettek számára jogi védelmet.

Ehhez képest a Tervezetben elemzett jogviszonyok (információs társadalommal összefüggő szolgáltatások – online szolgáltatások) a polgári jog területére tartoznak, ahol a felek egymáshoz képest mellérendeltek, nincsenek alá-fölérendeltségi kapcsolatban. Jogviszonyukat – a törvény keretei között – szabadon alakítják. Ezért téves a Tervezet azon hozzáállása, amikor „objektíven szükséges” adatkezelésről beszél: a polgári jogi jogviszonyokban a felek megállapodása, a felek akarata („szubjektív” hozzáállása) a releváns.

Ad b) – az adatvédelmi jog mint „szuperjog”

Miközben az 1.2. alfejezetben a Tervezet is elismeri, hogy az online szolgáltatások szabályozása több jogágra tartozik (pl. fogyasztóvédelmi jog, versenyjog), ami kívül esik a Tervezet [és az Európai Adatvédelmi Testület (EAT)] kompetenciáján, illetve, hogy a szerződések érvényessége megítélésének kérdése is kívül esik az EAT kompetenciáján, tartalmát tekintve azonban a Tervezet jelentős részben pont ezen területekre tartozó kérdéseket taglal.

Tisztázni kellene ugyanis, hogy mi a szerepe egy adatkezelésnek? Önálló tevékenység vagy járulékos? Egy adatkezelés feltételei megítélhetőek-e önmagukban vagy szükségképpen más tevékenységgel összefüggésben, mert ahhoz a tevékenységhez járulnak? A GDPR szövegéből és a Tervezetből is (mint ahogy az adatvédelmi hatóságok más dokumentumaiból is) az a benyomás alakulhat ki, hogy az adatkezelés – mindentől függetlenül – önállóan megítélendő tevékenység. E tekintetben visszakanyarodhatunk az előző ponthoz: a nagy (állami) nyilvántartási rendszerek esetén ez a megállapítás többé-kevésbé megállja a helyét: az adatbázist éppen azért hozták létre, hogy legyen egy adatbázis, amit különböző célokra lehet használni (az már más kérdés, hogy az adatbázisban lévő egyes adatokat ténylegesen használják-e bármikor is vagy milyen gyakran és milyen célra használják).

Ezzel szemben pl. a szerződéses kapcsolatokban az adatkezelés járulékos: nem azért történik, hogy adatkezelés történhessen, hanem azért, mert a szerződéshez kapcsolódóan szükséges. Azt, hogy pedig mi szükséges, a felek dönthetik el, mert – ahogy fentebb már említettem – a szerződéses kapcsolatokban a felek a jogviszonyukat – a törvény keretei között – szabadon alakítják, beleértve azt is, hogy kiköthetnek olyan feltételt is, amelynek nem teljesülése esetén nem kívánnak szerződést kötni („take it or leave it”).[3] Például azt is, hogy csak írásban és – ebből következően – csak a másik fél azonosítása után kötnek szerződést. Ennek jogszerűségét nem az adatvédelmi jog, hanem a polgári jog alapján kell megítélni.

Amennyiben a szerződéses feltételek kialakultak a felek egyezkedése folytán, a kialkudott feltételek által indukált adatok kezelése lesz „szükséges”. Az adatkezelés tehát járulékos, az alapul fekvő szerződéses kapcsolat feltételei által meghatározott. Tévedés – és a polgári joggal ellentétes – tehát a Tervezetnek a 25. pontban tett azon megállapítása, miszerint „ha vannak reális, a magánszférát kevésbé zavaró, alternatívái [az adatkezelésnek], akkor az adatkezelés nem ’szükséges’”. Ezt nem az adatvédelmi hatóság, hanem a felek dönthetik el. Az adatvédelmi szabályok önálló szerződéses feltétellé emelése (lsd. pl. Tervezet 26. pont) a szerződési szabadságot sértheti.

Ad c) – mit véd a GDPR?

Miközben a 9. pontban a Tervezet is elismeri, hogy a szerződések érvényessége megítélésének kérdése kívül esik az EAT kompetenciáján, az „objektív szükségesség” többszöri hangsúlyozásával, és azzal, hogy – bizonyítás nélkül – adottnak veszi az online szolgáltatás nyújtója és igénybe vevője közötti egyensúly hiányát[4] (12. pont) mégis azt sugallja, hogy a szerződésben részes feleknek az adatkezelési kérdések meghatározásában nincs mozgásterük. Ez ebben a formában nem igaz: ahogy fentebb már említettem, a szerződési szabadság okán a felek olyan feltételekben állapodnak meg, amilyen számukra megfelelő és – az adatkezelés járulékos volta miatt – a kezelendő adatok köre, az adatkezelés időtartama stb. ehhez igazodik.

A felek jogszerű akaratát és azt, hogy ebből milyen adatkezelés következik, az adatvédelmi jog nem korlátozhatja, mert az ellenkezik a felek autonomiájával. Egy szerződés kapcsán tehát nem az „szükséges”, amit az adatvédelmi hatóság „objektíve” annak tart, hanem az, ami a felek akaratmegegyezéséből következik. Mivel minden szerződés egyedi (még akkor is, ha általános szerződési feltételek alapján kötik), nem jelenthető ki ex cathedra, hogy az minden esetben az érintettre erőltetett [WP217 III.2.2. i), hivatkozza a Tervezet 28. pontja]. Ennek hiányában az adatvédelmi hatósági beavatkozás éppenséggel sértheti annak a félnek az érdekét, akinek az érdekére hivatkozva az adatvédelmi hatóság beavatkozik a jogviszonyba.[5] A szerződéses kapcsolatban lévő gyengébb pozíciójú fél érdekét nem a szerződéses feltételek kielégítéséhez szükséges adatok, illetve azok kezelésének korlátozásával, hanem a szerződéses feltételek szabályozásával lehet védeni, vagyis fogyasztóvédelmi oldalról, illetve a tisztességestelen vagy jó erkölcsbe ütköző szerződések tilalmával. Ezek megítélése nem az adatvédelmi hatóság kompetenciája. Nem a következményt, hanem az okot kell szabályozni.

Ad d) – a „szerződés” fogalma

A „szerződés” fogalmának tisztázása a szerződésekhez kapcsolódó adatkezelések esetén megkerülhetetlen előkérdés, részint a tagállamok jogában meglévő esetleges különbségek miatt is. Ennek ellenére sem a WP217, sem a Tervezet nem foglalkozik ezzel a kérdéssel. Ez alól nem ad felmentést, hogy – ahogy arra a Tervezet a 9. pontban helyesen utal – a szerződések érvényessége megítélésének kérdése kívül esik az EAT kompetenciáján (mert az tipikusan a polgári bíróság hatásköre). Azonban az sem az EAT kompetenciája, hogy meghatározza, mi a „szerződés” vagy a „szerződés teljesítése”. Ezek a polgári jog (a szerződések joga, a kötelmi jog) területére és az ezzel kapcsolatos jogtudományi tevékenységre tartozó kérdések, és az adatvédelmi hatóságok számára ezek a meghatározások „adottak”.[6]

Alapvetően hibás mind a WP29 azon álláspontja [WP217 III.2.2. i)], miszerint a „szerződés teljesítése” kifejezést megszorítóan kell értelmezni, mind a Tervezet ezzel egyetértő, a korábbi álláspontot fenntartó állásfoglalása (Tervezet 28. pont).

Ahogy arra „A GDPR jogalapjairól” szóló cikkemben[7] is rámutattam, a szerződés lényegi, elválaszthatatlan eleme a szerződésben vállalt kötelezettségek kikényszeríthetősége is. Ez a római jog óta a kötelem lényegi eleme.[8] Másrészt arra is rámutattam, hogy a GDPR 6. cikk (1) bek. b) pontjában a „szerződés” (contractus) szót helyesebb „kötelem”-ként (obligatio) értelmezni.

A korábbi álláspontomat az alábbiakkal lehet kiegészíteni. Míg a közjog az állam és az állampolgár alá-fölérendeltségén alapuló kapcsolatát rendezi (és alapvető követelmény, hogy az állam beavatkozása csak a pontosan körülhatárolt esetekben legyen megengedett), addig a polgári jog az autonóm és jogilag egyenrangú felek mellérendeltségén alapul. A tágabb értelemben vett polgári jog az ilyen (autonóm, egyenrangú) magánfelek közti viszonyok rendezésére szolgáló jogterület, olyan alapjogág, ami a magánfelek közötti viszonyok összességét meghatározza vagy legalábbis alapvetően befolyásolja. Így a polgári jogra tartoznak nem csak a szerződéses kapcsolatok, de az egyéb kötelmek is; nem csak a klasszikus, nevesített szerződések (adásvétel, bérlet stb.), de az atipikus szerződések is, valamint olyan jogviszonyok is, mint pl. egy egyesület (párt, szakszervezet stb.) vagy egy lakóközösség belső ügyei stb., stb. A polgári jog – rendelkezéseinek diszpozitív jellegéből következően – alapvetően teret enged a felek számára egymás közti viszonyaik rendezésére és csak bizonyos kérdésekben állít fel tilalmakat (kógens rendelkezéseket).

Ezt a jellegzetességét – a fentebb már kifejtettek szerint – az adatkezelést szabályozó rendelkezéseknek is figyelembe kell venni. Ellenkező esetben – ahogy korábban hivatkozott cikkemben is említettem – a szerződési szabadság elvének elenyészéséhez, tágabb értelemben pedig a szerződések teljesítésébe vetett bizalom és elvárás (pacta sunt servanda) megrendüléséhez vezethet.

Mi a szerződés tehát? A szerződés mindazon jogok és kötelezettségek összessége, amit a felek magukra vállalnak a törvény keretei között, beleértve a polgári jog kógens rendelkezéseit, a diszpozitív rendelkezések esetén pedig a feleknek a törvénytől eltérő rendelkezéseit (illetve eltérés hiányában a polgári jog szerződéspótló rendelkezéseit is). Ebbe az is beleértendő, hogy a felek kiköthetnek olyan feltételt is, amelynek nem teljesülése esetén nem kívánnak szerződést kötni („take it or leave it”). Amennyiben ezt a feltételt a másik fél elfogadja, akkor az az ő akarata szerint valónak is minősül. Tévedés tehát a WP29 korábbi állásfoglalásban írt azon kitétel, miszerint vannak olyan szerződéses feltételek, amelyeket „az adatkezelő egyoldalúan az érintettre erőltet” [WP217 III.2.2. i), hivatkozza a Tervezet 28. pontja]: főszabályként nincs szerződéskötési kényszer a fogyasztó/vásárló oldaláról sem, illetve egyes szerződési feltételek kikötése („ráerőltetése”) a szolgáltató/eladó törvényben biztosított joga. Amíg akarathiba meg nem állapítható, addig irreleváns, hogy a felek valamelyike esetlegesen terhesnek érzi valamelyik szerződéses kikötést és az nem a szíve szerint való. Az egyes szerződéses kikötések jogszerűségének megítélése nem adatvédelmi kérdés, hanem az általános szerződési feltételek vagy egyes szerződéses kikötések megtámadhatóságának kérdése.

Itt kell megemlíteni azt a bizonytalanságot, ami a Tervezetet (is) átlengi, nevezetesen, hogy hol kell(ene) meghúzni az „adatkezelés” határát egy szerződés kapcsán (vagy akár általánosságban). Jelen esetben nem az adatkezelés definíciójára [GDPR 4. cikk 2. pont] gondolok (az ugyanis csak az adatkezelési műveleteket listázza), hanem hogy milyen ismérvekkel határolható el (logikailag, megjelenési formájában) egy adatkezelés a másiktól figyelembe véve az adatkezelés célját és jogalapját, a kezelt adatok körét, a megőrzési időt stb. is. E szempontból – értelmezésem szerint – mindaz a szerződéses jogalap [GDPR 6. cikk (1) bek. b) pont] alá tartozó adatkezelés (és egy adatkezelés), ami a felek által kölcsönösen elfogadott szerződési feltételek teljesüléséhez szükséges, míg a szerződéshez kapcsolódó egyéb, pl. adózási kötelezettségek teljesítése egy újabb önálló adatkezelést valósít meg.[9] Polgári jogi szempontból értelmezhetetlen a GDPR 7. cikk (4) bekezdése („a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez”): a fentebb kifejtettek szerint ugyanis a felek bármit szerződéses feltétellé tehetnek, ami így nem a szerződéstől különálló dolog lesz, ami tekintetében értelmezhető lenne a külön hozzájárulás kérdése, hanem a szerződés része: a szerződéses feltételek elfogadása nem a GDPR 6. cikk (1) bek. a) pontja szerinti hozzájárulás.[10][11]

Ahogy azt a korábban hivatkozott cikkemben is kifejtettem, a szerződés lényegéhez tartozik a kikényszeríthetőség. Ebből következően a szerződésből eredő jogok és kötelezettségek nem addig élnek csak, amíg a felek teljesítenek (vagy a teljesítést megtagadják), hanem addig, ameddig a szerződéssel kapcsolatban igény érvényesíthető vagy az igény végleg el nem enyészik: ez pedig addig áll fenn, amíg a szerződéses (tágabb értelemben a kötelmi) kapcsolatokból eredő igények/követelések el nem évülnek (akkor is, ha a szerződés teljesedésbe ment). Az adatkezelés pedig nyilvánvalóan ehhez igazodik. Polgári jogi szempontból tehát téves a Tervezetnek az elévülést – indokolás nélkül – ignoráló álláspontja (vö. Tervezet 40. pont, valamint 1.[12] és 3. példa), ami miatt a szerződés megszűnése és az abból eredő igények teljesítése közötti időre más jogalapot kíván meg. Mivel a jelzett időszakban is még pontosan ugyanazon jogviszonyról beszélünk, mint a szerződés kezdetén (a felek ugyanazok, a felek kapcsolatának tárgya ugyanaz), elvi indokot sem lehet találni a WP217-ben és a Tervezetben is felbukkanó álláspontnak. A GDPR 17. cikk (3) bek. e) pontja („a jogi igények előterjesztése, érvényesítése, illetve védelme”) a szerződéses kapcsolatokban nem az elévülési időn belül történő adatkezelésre, hanem az elévülési idő letelte utáni esetleges adatkezelésre vonatkozóan (pl. az elévülési idő előtt megindult eljárásban) értelmezhető (vö. Tervezet 41. pont).[13]

Összegezve: a szerződéses jogalap [GDPR 6. cikk (1) bek. b) pont] az egyik legszélesebb körben alkalmazható (és alkalmazandó) jogalap, hiszen ez fedi le az autonóm, egyenrangú magánfelek közti viszonyokat. Éppen emiatt a „szerződés” szó kiterjesztő értelmezésére van szükség, és „kötelem” értelemben kellene használni. A „szerződés” pedig a felek adott jogviszonybeli jogainak és kötelezettségeinek – az elévülési idő leteltéig fennálló – összessége, egységes egész, amely nem bontható részekre. A Tervezet alapvetően hibás koncepcióra alapozva olyan álláspontot foglal el, amely hosszú távon jelentős károkat okozhat a jogrendszer működésében.

 


[1] Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects – https://edpb.europa.eu/sites/edpb/files/consultation/edpb_draft_guidelines-art_6-1-b-final_public_consultation_version_en.pdf (hozzáférés: 2019. május 12.)

[2] Lsd. e tekintetben a GDPR 85. cikkét, ami az ott szabályozott kérdésekben gyakorlatilag a GDPR minden szabályától eltérést enged. Okkal vethető fel tehát, hogy a GDPR szabályai a hatálya alá eső adatkezelésekre valóban minden tekintetben, minden részletében alkalmazhatók?

[3] Az ilyen szerződési feltételek (és az azok teljesítéséhez kapcsolódó személyes adatok) meghatározása nem a felek valamelyikének (esetleg mindkettőjüknek) “érdeke”, hanem “joga” (alanyi joga). A szerződéses kapcsolatokban általában sem a felek „érdeke”, hanem alanyi joga a jogilag releváns (az érdekük az alanyi jog gyakorlása mögött jelenik meg: abban, amiért és ahogy cselekednek a szerződéses kapcsolatukban) – vö. Tervezet 2. és 18. pont.

[4] Nem vitatom, hogy egyes gazdasági szektorokra igaz (lehet), hogy egyes szereplők gazdasági erőfölényben vannak. Az általánosság igényével írott állásfoglalásban azonban ilyen alapállást választani hibásnak tűnik.

[5] Szintén ex cathedra kijelentés, miszerint az érintettek nem bocsáthatják áruba alapvető jogaikat („data subjects … cannot trade away their fundamental rights” – Tervezet 51. pont). Ahogy a magyar Alkotmánybíróság – egy más típusú ügyben – fogalmazott: „Önmagának mindenki árthat, s vállalhat kockázatot, ha képes a szabad, tájékozott és felelős döntésre.” (21/1996. (V. 17.) AB határozat) A GDPR csak a 9. cikk (2) bek. a) pontjában említi explicit módon, hogy az uniós vagy a tagállami jog felülírhatja az érintett akaratát.

[6] A szerződésnek, kötelemnek tartalma jogrendszerenként változhat. Jelen tanulmány római jogi alapon álló megközelítést alkalmaz tekintettel arra is, hogy a római jog meghatározó az európai jogrendszerekben.

[7] https://jogaszvilag.hu/szakma/a-gdpr-jogalapjairol-1-resz/ és https://jogaszvilag.hu/szakma/a-gdpr-jogalapjairol-2-resz/, angolul elérhető: https://www.linkedin.com/pulse/thoughts-legal-grounds-processing-gdpr-zsolt-bártfai-ll-d-ll-m/

[8] (Lsd. Iustinianus Institutio-i I. 3,13. pr.: „Obligatio est iuris vinculum, quo necessitate adstringimur alicuius solvenda rei secundum nostrae civitatis iura” – A kötelem olyan jogi kötelék, amelynél fogva szükségszerűen bizonyos dolgok teljesítésére kényszerülünk, államunk jogának megfelelően)

[9] Egy szerződéses kapcsolatban – a kapcsolódó jogi szabályozás tükrében – tehát nem több célja, jogalapja stb. van az adatkezelésnek, hanem több, különböző adatkezelés együtteséről beszélhetünk. Ezért a Tervezet 3.1. pontjában részletezett eset sem ugyanannak az adatkezelésnek egy másik aspektusa, hanem egy különálló adatkezelés lehet.

[10] E szempontból tehát a CNIL Google elleni határozata téves (lsd. https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038032552): a szolgáltató által kínált kondíciók jelentős részét mint lehetséges szerződési feltételeket kellene megítélni, amelyeket az érintett vagy elfogad vagy sem. A szerződéses feltételek ilyen elfogadása nem a GDPR 6. cikk (1) bek. a) pont szerinti hozzájárulás, hanem még mindig a 6. cikk (1) bek. b) pontja körében kell értékelni.

[11] Ugyanakkor ez az álláspont nem mond ellent pl. az árukapcsolás tilalmának (vö. Tervezet 31. pont): ha az árukapcsolás tiltott, akkor a hozzá kapcsolódó adatkezelés sem lesz jogszerű. Ha viszont az adott kereskedelmi tevékenység nem tiltott, a hozzá kapcsolódó adatkezelés sem lehet ab ovo az.

[12] E példában a lakcím kezelésének megítélése nem jó: mivel a szerződésből eredően – egy esetleges nem teljesítés (pl. áru át nem vétele és a fizetés megtagadása) – jogi igényt generál, amit csak a vevővel szemben lehet érvényesíteni, ahhoz pedig a lakcím – vagy bármilyen más egyértelmű kapcsolattartási mód – „szükséges” (hiszen ott lehet kapcsolatba lépni vele). A lakcím kezelése pedig az igény elévüléséig igazolható (hiszen a polgári jog biztosítja a feleknek az igények elévülési időn belüli érvényesítését), azaz szükséges.

[13] A korábban már hivatkozott cikkemben kifejtettekkel összhangban ui. a jogi igények érvényesítését nem önálló jogcímként, hanem bármely jogcímen történő adatkezelés alapjául szolgáló jogviszony szükségszerű részének kell tekinteni: önmagában nincs jogérvényesítés alapul fekvő jogviszony nélkül.