skip to Main Content

Az adatvédelmi csoportos perek új korszaka jöhet Európában

Az elmúlt hónapokban megnövekedtek az óriáscégek elleni adatvédelmi perek Európában is, melyek hosszútávú hatásaival kapcsolatban írt cikket a Compliance Week. Azt már megszokhattuk, hogy a nagy cégeket próbálják az adatvédelmi stiklijeik miatt megszorongatni, az azonban már szokatlanabb, hogy ezt újabban nem az uniós hatóságok teszik, hanem magánszemélyek vagy fogyasztói csoportok. A mostani esetben is egy fogyasztói jogokkal foglalkozó csoport (Privacy Collective) és egy magánszemély az, aki kezébe vette a kezdeményezést.

A konkrét esetekről mi is beszámoltunk, az első az Oracle és a Salesforce ellen augusztusban indított per volt az internetes sütik jogszerűtlen használata miatt. A Privacy Collective a jövőben Wales és Anglia területén is hasonló perek indítását helyezte kilátásba. A másik pert egy brit civil állampolgár indította, aki megelégelte a YouTube kiskorúakkal szemben tanúsított adatvédelmi gyakorlatát. Állításai szerint a platform válogatás nélkül kezeli kisorú felhasználók adatait is, majd ez alapján hirdetésekkel veszi célba őket.

A tét igencsak nagy, hiszen abban az esetben, ha a kereseteknek az illetékes bíróságok helyt adnak, a perelt cégeknek óriási összegű kártérítést kell majd kifizetniük: az Oracle esetében akár 10 milliárd, míg a YouTube esetében akár 2 milliárd euró is lehet.

A GDPR alkalmazását követően sokan azt várták, hogy a Rendelet 77-82. cikkeiben foglalt jogorvoslati lehetőségek életbe lépésével egymást fogják érni a nagy cégek elleni perek, azonban erre ezidáig nem került sor. Ennek egyik oka, hogy a GDPR, bár garanciákat nyújt az érintettek jogainak – akár csoportos – érvényesítésére, de nem egységesíti az egész Unióban az erre vonatkozó eljárásrendet, hanem a tagállami jogrendszerre utal vissza. Így az érintetteknek nincs más választásuk, mint a lakóhelyük szerinti uniós állam jogrendszerén belül eljárást indítani, amely azonban szükségszerűen együtt jár azzal is, hogy nem minden tagállam állampolgára ugyanúgy fog tudni fellépni az őt ért adatkezelési jogsértésekkel szemben.

Az EU 28 tagállama közül nagyjából a kétharmada rendelkezik valamilyen jogi eljárással, amely alapján csoportos pert lehet lefolytatni, és ezek közül is az országok felében csak szigorú feltételek fennállása esetén lehetséges ez. Kilenc EU állam (Ciprus, Csehország, Észtország, Görögország, Írország, Lettország, Luxemburg, Magyarország és Szlovákia) esetében egyáltalán nincs lehetőség csoportos kártérítési pert beadni. Az EU saját beszámolói alapján mindössze hat államban (Belgium, Franciaország, Olaszország, Portugália, Spanyolország és Svédország) működik hatásos, kollektív érdekek képviseletére alkalmas jogi mechanizmus.

Ez persze nem jelenti azt, hogy több felperes Magyarországon ne indíthatna keresetet együtt egy adatkezelővel szemben, valamennyi potnciális érintettre kiterjedő csoport per megindítására azonban nincs lehetőség.

Azonban a jövőben ez megváltozhat, mivel 2020. június 22-én az EU szervezetei megalkottak egy új irányelv tervezetet, amely a jövőben alkalmas lehet ennek az űrnek a betöltésére. Ennek alkalmazására még valószínűleg éveket kell várni, ugyanis egyelőre elfogadásra sem került. Ezt követően viszont megnyílhat az út az előtt, hogy az EU állampolgárai csoportos kártérítést igényeljenek egy sor olyan, akár adatvédelmi ügyben, melynek akár milliós számú érintettje van. Az irányelv továbbá lehetőséget ad majd határokon átnyúló ügyekben történő intézkedésre is, mely esetek kezelésére még nincs egységes uniós szabályozás.

Amíg ez az idő el nem jön, a csoportosan pereskedni akarók a nemzeti jogrendszerükre vannak utalva. Azonban ahol lehetőség van ilyen pereket indítani, a jogi költségek ott is hamar az egekbe tudnak szökni; több tíz vagy akár száz millió forintra is. Az ilyen eljárások esetében általában olyan rendszer működik, ahol a vesztesének kell fizetnie a győztes jogi képviseletével és az eljárással kapcsolatos költségeket is. Ilyen esetekben a felperesnek különösen biztosnak kell lennie a dolgában, vagy nagy anyagi rizikót kell vállalnia.

A siker tehát közel sem garantált, azonban az biztosan igaz, hogy sokkal nagyobb eséllyel lehet adatvédelmi jogsértéshez kapcsolódó kártérítési pert nyerni, ha a felek egy nemzeti adatvédelmi hatóság eljárására reagálnak. Jó példa erre a British Airways és a Marriott esete, ahol a Hatóság vizsgálatát és rekordnagyságú büntetés belegentését követően indult csoportos eljárás.

Magyarországon még nincs különösebben nagy „hagyománya” az adatvédelmi jogsértésekre alapított kártérítési pereknek, azonban a jövőben valószínűsíthetően ez is változni fog, különösen akkor, ha tíz vagy százezres nagyságrendű érintett adatainak a kezelése kapcsán fog a NAIH megállapítani jogsértést.

Back To Top