A GDPR egyablakos (one stop shop) mechanizmusát támadja Belgium
A Reuters korábban megírta, hogy a Belga Adatvédelmi Hatóság (DPA) meghallgatást kért az Európai Unió Bíróságától (CJEU) a C-645/19. számú ügyben, melyben a GDPR egyablakos mechanizmusa a téma. Az ügy tétje, hogy eljárhasson a Facebook és más külföldi óriáscégek belga adatvédelmi ügyeiben. Pozitív döntés esetén mind a 27 ország hatóságainak lenne precedense külön eljárást indítani a cégek ellen, ami nem lenne túl jó hír ezeknek a cégeknek. Kérdéses, vajon a nemzeti hatóságok mennyire örülnének annak, hogy minden netes óriás elleni ügyben el kellene járniuk.
Mint ismeretes, az Európán kívüli óriáscégek jellemzően Írországban tartanak fenn központokat, így a GDPR értelmében az Ír Adatvédelmi Hatóság (DPC) illetékes a velük kapcsolatos kérdésekben dönteni. A Google, a Twitter, a Facebook, az Apple (és talán rövidesen a TikTok is) mind Írországban működtetnek európai központokat.
Az ügy roppant érdekes, ugyanis az alábbi kérdésekre keresi a CJEU a választ:
– A fő felügyeleti hatóságnak nem minősülő adatvédelmi hatóság is indíthat keresetet a GDPR 58. cikk (5) bekezdése szerint a tagállami bírósága előtt határon átnyúló adatkezelés esetén az adatkezelővel szemben?
– Ha igen, akkor az 58. cikk (5) bekezdés implementálásának hiányában hivatkozhat-e ezen rendelkezés közvetlen hatályára a hatóság?
– A hatóság a keresetet az adatkezelő tevékenységének központja vagy a saját tagállamában található tevékenységi hely ellen indítja-e meg?
– Mi történik akkor, ha a fő felügyeleti hatóság is eljár az ügyben?
A Facebook már a meghallgatás előtt sem támogatta az ötletet; azt nyilatkozták, hogy az EU „egyablakos ügyintézési” mechanizmusa az átláthatóságot segíti. Azzal, hogy a külföldi cégeknek nem kell egyenként minden tagállam hatóságával eljárásba keverednie, segít az adatkezelőknek megérteni, hogy pontosan milyen jogi elvárásokat támasztanak velük szemben.
A DPA előzetes álláspontja szerint a GDPR tartalmaz lehetőségeket, hogy a nemzeti hatóságok is eljárásokat kezdeményezhessenek a helyi bíróságoknál. A CJEU-nak abban a kérdésben is döntést kell hoznia, hogy a GDPR alkalmazható-e ebben a konkrét ügyben, mivel az 2015-ben kezdődött, még az adatvédelmi irányelv hatálya alatt.
Az október 5-i meghallgatás egyelőre nem hozott nagy meglepetéseket az ügyben. A Facebook ügyvédje ismét letette voksát a GDPR „egyablakos mechanizmusa” mellett, kiemelve, hogy rizikós lenne minden nemzeti hatóságnak eljárási jogot adni, mivel akkor hirtelen jelentősen megnőne a bíróságokra beadott ügyek száma. Ezt az álláspontot támogatta az Európai Bizottság is, bár nekik sincs felhőtlen viszonyuk a Facebookkal; szerintük is szükség van egy olyan eszközre, mely konzisztensen képes alkalmazni a GDPR rendelkezéseit Európa szerte.
A Belga Hatóság nem értett egyet a felhozott érvekkel, és felhívta a figyelmet, hogy a Rendelet ad bizonyos mozgásteret, hogy a helyi hatóságok is eljárhassanak a saját országaikat érintő ügyben. A DPA egyik ügyvédjének álláspontja szerint az sehol nincs leírva a GDPR-ban, hogy egy ügyben a helyi hatóságok nem vihetnek bíróság elé ügyeket. Figyelmeztetett továbbá, hogy a helyi hatóságok kizárása az eljárásból ahhoz vezethet, hogy a sértettek magánperes úton próbálnak majd meg jogaiknak érvényt szerezni, amely szintén ahhoz fog vezetni, hogy a bírósági ügyek száma lényegesen megemelkedik. A DPA az ügyben egyébként élvezi a belga és lengyel kormányok támogatását is.
Michal Bobek, a CJEU főtanácsnoka azt ígérte, hogy az üggyel kapcsolatos nem jogerős álláspontját legkésőbb 2020. december 17-ig közzéteszi, majd ezt nagyjából 6 hónapon belül fogja követni a bíróság végleges ítélet.
