CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2015:426

PEDRO CRUZ VILLALÓN

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2015. június 25.(1)

C‑230/14. sz. ügy

Weltimmo s.r.o.

kontra

Nemzeti Adatvédelmi és Információszabadság Hatóság

(a Kúria [Magyarország] által benyújtott előzetes döntéshozatal iránti kérelem)

„A személyes adatok védelme – 95/46 irányelv – A 4. cikk (1) bekezdése, valamint a 28. cikk (1), (3) és (6) bekezdése – Más tagállam területén letelepedett adatkezelő – Az alkalmazandó jognak és a joghatósággal rendelkező felügyelő hatóságnak a meghatározása – A felügyelő hatóság hatáskörei – Szankcionálási hatáskör – Az »adatfeldolgozás« fogalma”

1. A Kúria által előzetes döntéshozatal céljából előterjesztett kérdések a Magyar Adatvédelmi és Információszabadság Hatóság (a továbbiakban: magyar adatvédelmi hatóság) és egy, magyarországi ingatlanokat hirdető ingatlanközvetítő „weboldalt” kezelő, Szlovákiában bejegyzett vállalkozás közötti jogvitában merültek fel.

2. A jelen ügy tehát újra lehetőséget nyújt a Bíróságnak arra, hogy a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv(2) – a Google Spain és Google ítéletben(3) már értelmezett – 4. cikke (1) bekezdésének a) pontja alapján az adatkezelésre alkalmazandó jog meghatározásáról döntsön. Emellett a jelen ügy új kérdéseket vet fel mind a joghatósággal rendelkező felügyelő hatóság meghatározásával, mind pedig az e hatóság által alkalmazandó nemzeti joggal és a hatóság hatáskörével – különösen a szankciókiszabási jogosultságával – kapcsolatban.

I – Jogi háttér

A – Az uniós jog

3. A 95/46 irányelv különböző kritériumokat rögzít a személyes adatok kezelésére alkalmazandó jog meghatározására. A (18) preambulumbekezdése értelmében „[…] annak biztosítása érdekében, hogy az egyéneket ne lehessen megfosztani attól a védelemtől, amelyre az irányelv értelmében jogosultak, a Közösség területén végzett minden személyesadat‑feldolgozási [helyesen: személyesadat‑kezelési] tevékenységet a tagállamok valamelyikének jogszabályai szerint kell végrehajtani; […] ezzel összefüggésben, a valamely tagállamban letelepedett adatkezelő felelőssége mellett végzett adatfeldolgozásra [helyesen: adatkezelésre] ennek a tagállamnak a jogszabályai vonatkoznak.”

4. Másfelől a 95/46 irányelv (19) preambulumbekezdése kiemeli, hogy „[…] a valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel; [és] e letelepedés – legyen akár egyszerűen fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező […].” Ugyanezen preambulumbekezdés szerint „ha egy adatkezelő több tagállamban is letelepedett, főként leányvállalatok révén, a nemzeti szabályozás megkerülésének kizárása érdekében gondoskodnia kell arról, hogy minden egyes szervezete megfeleljen a tevékenységére alkalmazandó nemzeti jogszabályok által meghatározott kötelezettségeknek.”

5. A 95/46 irányelv 4. cikkének (1) bekezdése – amelynek a) pontja releváns a jelen jogvitában – határozza meg az adatkezelésre alkalmazandó jogot, kimondva, hogy:

„(1) A személyes adatok feldolgozására [helyesen: kezelésére] minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben:

a) az adatfeldolgozást [helyesen: adatkezelést] a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik; amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek;

[…].”

6. Az adatvédelem területén működő felügyelő hatóságokra vonatkozó rendelkezés, a 28. cikk a következőképpen rendelkezik az (1), (3), (4) és (6) bekezdésében:

„(1) Minden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.

E hatóságok a rájuk ruházott feladatok gyakorlása során teljes függetlenségben járnak el.

[…]

(3) A hatóságok különösen a következő jogosultságokkal rendelkeznek:

– vizsgálati jogkör, mint például az adatfeldolgozási [helyesen: adatkezelési] műveletek tárgyát képező adatokhoz való hozzáférés joga, továbbá a felügyeleti feladatok ellátásához szükséges adatok gyűjtésének joga,

– tényleges beavatkozási jogosultságok, mint például a 20. cikknek megfelelően végzett adatfeldolgozási [helyesen: adatkezelési] műveletek megkezdése előtti véleményezés joga, e vélemények megfelelő közzétételének biztosítása, az adatok zárolásának, törlésének vagy megsemmisítésének elrendelése, az adatfeldolgozás [helyesen: adatkezelés] átmeneti vagy végleges tilalmának megállapítása, az adatkezelő figyelmeztetése vagy megrovása, illetve az ügy nemzeti parlament vagy más politikai intézmény elé terjesztése,

– bírósági eljárásban való részvétel joga az irányelv értelmében elfogadott nemzeti rendelkezések megsértése esetén, továbbá e jogsértések igazságszolgáltatási hatóságok elé terjesztésének joga.

A felügyelő hatóság kifogásolható határozatai bíróság előtt megtámadhatók.

(4) A felügyelő hatóságok foglalkoznak a személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy vagy az őt képviselő szervezet által benyújtott kérelmekkel. A kérelem elbírálásáról az érintett személyt értesíteni kell.

A felügyelő hatóságoknak foglalkozniuk kell különösen az adatfeldolgozás [helyesen: adatkezelés] törvényességének ellenőrzésére irányuló, bármely személy által benyújtott kérelemmel, amennyiben az ezen irányelv 13. cikkének értelmében elfogadott nemzeti rendelkezések alkalmazhatóak.

[…]

(6) A felügyelő hatóságok, függetlenül a szóban forgó adatfeldolgozásra [helyesen: adatkezelésre] alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságok gyakorlására. Valamely tagállam hatósága felkérheti egy másik állam hatóságát hatáskörének gyakorlására.

A felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén.

[…]”

B – A magyar jog

7. Az információs önrendelkezési jogról és az információszabadságról szóló, 2011. évi CXII. törvény (a továbbiakban: adatvédelmi törvény) ülteti át e nemzeti jogba a 95/46 irányelvet.

8. Az adatvédelmi törvény 2. §‑a a következőképpen rendelkezik:

„(1) E törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.

(2) E törvényt a teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell.

(3) E törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Az ilyen adatkezelőnek Magyarország területén képviselőt kell kineveznie.”

9. Az adatvédelmi törvény 3. §‑a értelmében e törvény alkalmazása során:

„9. adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;

10. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép‑, hang‑ vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj‑ vagy tenyérnyomat, DNS‑minta, íriszkép) rögzítése;

11. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

[…]

17. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik;

18. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;

[…]”.

II – A tényállás és az alapeljárás

10. A jelen előzetes döntéshozatal iránti kérelem a Weltimmo s.r.o. (a továbbiakban: Weltimmo) társaság és a magyar adatvédelmi hatóság között, adatvédelmi ügyben indult közigazgatási eljárásban hozott határozat bírósági felülvizsgálata iránti eljárásban a Fővárosi Közigazgatási és Munkaügyi Bíróság ítéletével szemben a Kúriához benyújtott felülvizsgálati kérelemmel kapcsolatos.

11. A szlovákiai székhellyel rendelkező Weltimmo ingatlanközvetítő internetes oldalt üzemeltető társaság. Tevékenysége az említett weboldal kezelésére terjed ki, amely weboldalon magyarországi ingatlanok hirdetései jelennek meg. E hirdetések az első hónapban ingyenesek a hirdető számára, majd ezt követően a szolgáltatásért díjat kell fizetni. Számos hirdető elektronikus levélben kérte hirdetése és egyben személyes adatai törlését, mert az első hónap letelte után a díjfizetéssel járó szolgáltatást nem kívánta igénybe venni. A Weltimmo azonban nem tett eleget e kérelmeknek, és kiszámlázta a szolgáltatásai után fizetendő díjakat. Ezek meg nem fizetésére tekintettel a Weltimmo a hirdetők személyes adatait követeléskezelő vállalkozásoknak továbbította.

12. A hirdetők által benyújtott panaszok folytán a magyar adatvédelmi hatóság megállapította saját joghatóságát, és a nemzeti törvény alkalmazhatóságát (az adatvédelmi törvény 3. §‑ának (10) bekezdése alapján az adatok gyűjtése adatkezelésnek minősül), és tízmillió forint (HUF) bírságot szabott ki. Az említett határozatot a Weltimmo megtámadta a Fővárosi Közigazgatási és Munkaügyi Bíróság előtt, amely jóllehet nem vonta kétségbe az adatvédelmi hatóság joghatóságát, sem az alkalmazandó jogot, egyes tényállási elemek tisztázatlansága miatt hatályon kívül helyezte a közigazgatási határozatot.

13. Felülvizsgálati kérelmében a Weltimmo többek között azt kéri, hogy a Kúria állapítsa meg, hogy nincs szükség további tényállástisztázásra, mivel a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében a magyar adatvédelmi hatóság az eljárásra nem rendelkezik joghatósággal és nem jogosult a magyar jogot alkalmazni egy másik tagállamban letelepedett szolgáltatóval szemben; e tekintetben különösen utal arra, hogy a 95/46 irányelv 28. cikkének (6) bekezdése alapján az említett hatóságnak a szlovák adatvédelmi hatóságot kellett volna megkeresnie annak érdekében, hogy a felperessel szemben fellépjen.

14. A magyar adatvédelmi hatóság az alapeljárásban a joghatóságának és a magyar jogszabály alkalmazhatóságának alátámasztása érdekében azzal érvel, hogy a Weltimmónak van „magyar kapcsolattartója” – az egyik, magyar állampolgárságú tulajdonosa –, aki a közigazgatási ügyben és a bírósági eljárásban őt képviseli. Ugyancsak rámutat arra, hogy a Weltimmo tulajdonosai magyarországi lakosok. Mindenesetre e hatóság úgy véli, hogy a 95/46 irányelv 28. cikkének (6) bekezdése az alkalmazandó jogtól függetlenül megalapozza a joghatóságát.

III – Az előzetes döntéshozatalra előterjesztett kérdések és a Bíróság előtti eljárás

15. A fentiek alapján a Kúria, mivel úgy ítélte meg, hogy a 95/46 irányelv vonatkozó rendelkezései nem kellően egyértelműek, a Bírósághoz 2014. május 12‑én érkező 2014. április 22‑i végzésében a következő kérdéseket terjesztette előzetes döntéshozatalra:

„1) Értelmezhető‑e [a 95/46 irányelv] 28. cikk[ének] (1) bekezdése akként, hogy egy tagállam területén alkalmazható[k] a nemzeti jog rendelkezései egy olyan, kizárólag a másik tagállamban letelepedett ingatlanközvetítő[‑]weboldalt üzemeltető adatkezelővel szemben, aki e tagállam területén lévő ingatlanokat is hirdet és az ingatlan tulajdonosok továbbították személyes adataikat a weboldal[‑]üzemeltető másik tagállamban lévő adattároló, adatfeldolgozó eszközére (szerverére)?

2) Értelmezhető‑e az adatvédelmi irányelv 4. cikk[e] (1) bekezdés[ének] a) pontja úgy az adatvédelmi irányelv (18)–(20) preambulumbekezdése, az 1. cikk[ének] (2) bekezdése és a 28. cikk[ének] (1) bekezdése tükrében, hogy a [magyar adatvédelmi hatóság] a magyar adatvédelmi törvényt, mint nemzeti jogot nem alkalmazhatja a kizárólag más tagállamban letelepedett ingatlanközvetítő[‑]weboldal üzemeltető[jé]vel szemben akkor sem, ha az magyarországi ingatlanokat is hirdet, és az azokra vonatkozó adatokat az ingatlantulajdonosok feltehetően Magyarország területéről továbbították a weboldal[‑]üzemeltető másik tagállamban lévő adattároló, feldolgozó eszközére (szerverére)?

3) Van‑e az értelmezés szempontjából jelentősége annak, hogy a weboldalt üzemeltető adatkezelő által nyújtott szolgáltatás egy másik tagállam területére irányul?

4) Van‑e jelentősége annak az értelmezés szempontjából, hogy e másik tagállam területéről töltötték‑e fel ténylegesen e másik tagállam területén lévő ingatlanokra vonatkozó adatokat, illetve a tulajdonosok személyes adatait?

5) Van‑e jelentősége annak az értelmezés szempontjából, hogy ezen ingatlanokhoz kapcsolódó személyes adatok másik tagállam állampolgárainak személyes adatai?

6) Van‑e jelentősége annak az értelmezés szempontjából, hogy a Szlovákiában letelepedett vállalkozásnak a tulajdonosai magyarországi lakóhellyel rendelkeznek?

7) Amennyiben a fenti kérdésekre adott válaszokból az következik, hogy a magyar adatvédelmi hatóság eljárhat, de nem alkalmazhatja nemzeti jogát, hanem a letelepedés szerinti tagállam jogát kell alkalmaznia, akkor úgy kell‑e értelmezni az adatvédelmi irányelv 28. cikk[ének] (6) bekezdését, hogy csak az adatvédelmi irányelv 28. cikk[ének] (3) bekezdésében foglalt jogosultságokat gyakorolhatja a letelepedés szerinti tagállam jogában foglaltak szerint a magyar adatvédelmi hatóság, és ezért bírság kiszabására nem jogosult?

8) Mind az adatvédelmi irányelv 4. cikk[e] (1) bekezdés[ének] a) pontja, mind a 28. cikk[ének] (6) bekezdése szerinti adatfeldolgozás fogalma azonosítható‑e az adatkezelés fogalmával az adatvédelmi irányelv [magyar változatának] terminológiájában?”

16. Írásbeli észrevételeket terjesztett elő a magyar kormány, a szlovák kormány, az Egyesült Királyság Kormánya, a magyar adatvédelmi hatóság és az Európai Bizottság. A 2015. március 12‑i tárgyaláson részt vett a magyar, a szlovák és a lengyel kormány, a magyar adatvédelmi hatóság és az Európai Bizottság.

IV – Elemzés

17. A Kúria által előzetes döntéshozatalra előterjesztett kérdések két problémára vonatkoznak, amelyek – jóllehet a Kúria szerint kapcsolódnak egymáshoz – egyenként vizsgálandók, ahogy arra a Bíróság előtti eljárásban benyújtott írásbeli és előadott szóbeli észrevételek is utalnak; e két kérdéskör nevezetesen: az adatkezelésre alkalmazandó jog és a joghatósággal rendelkező felügyelő hatóság meghatározása. Ezért az érvelésemet lényegében két részre osztom. Először az adatkezelésre alkalmazandó jog kérdésével, és végeredményben a „letelepedés” kérdésével foglalkozom, együtt vizsgálva az első hat kérdést. Másodszor a joghatósággal rendelkező felügyelő hatóság meghatározásának és hatásköreinek kérdését vizsgálom, kitérve a joghatósággal rendelkező felügyelő hatóság és az alkalmazandó jog szétválasztásának lehetőségére is (hetedik kérdés). Végül az előzetes döntéshozatalra előterjesztett nyolcadik kérdésben foglalt terminológiai kérdéssel foglalkozom.

A – Az adatkezelésre alkalmazandó jogról és a letelepedés fogalmáról (az előzetes döntéshozatalra előterjesztett első hat kérdés)

18. Az előzetes döntéshozatalra előterjesztett első hat kérdésével – amelyeket együtt kell megvizsgálni – a Kúria lényegében arra keresi a választ, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja és 28. cikkének (1) bekezdése értelmezhető‑e úgy, hogy olyan körülmények között, mint amelyek az alapeljárás tárgyát képezik, lehetséges a magyar adatvédelmi törvény alkalmazása, és így a magyar adatvédelmi hatóság alkalmazhatja az említett törvényt a kizárólag másik tagállamban letelepedett weboldal kezelőjére. E tekintetben a Kúria olyan sajátos körülmények hatására is rákérdez, mint az, hogy az említett vállalkozás szolgáltatásai azon másik tagállam területére irányulnak, ahonnan az ingatlanokra vonatkozó adatokat feltöltötték, az érintettek állampolgársága, vagy az, hogy a vállalkozás tulajdonosai Magyarországon rendelkeznek lakóhellyel.

19. A Kúria az első két kérdésében hivatkozott mind az irányelv 28. cikkének (1) bekezdésére, mind pedig az irányelv 4. cikke (1) bekezdésének a) pontjára. A kérdésekre való válaszadás szempontjából azonban úgy vélem, hogy teljes mértékben el lehet tekinteni az első hivatkozott rendelkezés hatályának elemzésétől. A 28. cikk (1) bekezdése ugyanis mindössze azt mondja ki, hogy „[m]inden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék”. Álláspontom szerint e rendelkezés nem döntő az alkalmazandó jog megállapítása tekintetében. Először is, rendszertani szempontból a 28. cikk az irányelv VI. fejezetében található, amely a felügyelő hatóságok szabályozásáról és a személyes adatfeldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoportról szól, nem pedig az alkalmazandó jog kérdéséről. Másodszor az irányelv 28. cikke (1) bekezdésének szövege nem biztosít semmilyen további kritériumot az adatvédelemre alkalmazandó jog meghatározásához. Összességében az említett rendelkezés nem tartalmaz semmilyen olyan elemet, amelynek értelmezése az alkalmazandó jognak az említett irányelv 4. cikkében – amely kifejezetten az alkalmazandó jog kérdését szabályozza – megállapított kritériumok alapján való meghatározásának kérdésével kapcsolatban eltérő válaszhoz vezethetne.

20. Rátérve az irányelv 4. cikke (1) bekezdésének a) pontjára, annak megállapításával kell kezdeni, hogy a tárgyaláson előadott és az írásbeli szakaszban benyújtott észrevételek egyaránt rámutatnak arra, hogy e rendelkezés releváns az alkalmazandó joggal kapcsolatos kérdések megválaszolása tekintetében, és arra is, hogy a Weltimmo letelepedési helyének meghatározása különös jelentőséggel bír.

21. Az adatkezelésre határokon átnyúló helyzetekben alkalmazandó jog kérdése nemzetközi viszonylatban évtizedek óta vitatott.(4) Az irányelvnek az alkalmazandó nemzeti jog meghatározására vonatkozó 4. cikke az első olyan jogi norma, amelyben sikerült megállapítani az e tekintetben alkalmazandó jog meghatározásának szabályát.(5) Az említett rendelkezés különböző kritériumokat rögzít annak meghatározására, hogy az irányelv átültetése érdekében elfogadott nemzeti szabályozás alkalmazható‑e, és így közvetve (az említett nemzeti szabályozás alkalmazhatóságának megállapításán keresztül) meghatározza magának az irányelvnek a területi hatályát.

22. Azon helyzetekben, amelyekben az uniós tagállamok között alkalmazandó jog kérdése releváns, különösen jelentős tehát a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja, amely kimondja, hogy „[a] személyes adatok feldolgozására [helyesen: kezelésére] minden tagállam az ezen irányelvnek megfelelően elfogadott(6) nemzeti rendelkezéseket alkalmazza, amennyiben: a) az adatfeldolgozást [helyesen: adatkezelést] a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik.”

23. A 4. cikk (1) bekezdésének a) pontja így kettős szerepet tölt be. Egyrészt lehetővé teszi az uniós jog alkalmazását valamely tagállam jogán keresztül akkor, amikor az adatkezelés kizárólag e tagállam területén található szervezet tevékenységeinek „keretében” végzik, jóllehet a „tulajdonképpeni” adatkezelést harmadik államban végzik (ez volt a helyzet a Google Spain és Google ügyben(7)). Másrészt az említett rendelkezés olyan szabály, amely meghatározza a tagállamok között alkalmazandó jogot (ami a jelen ügyben vitás kérdés). E második helyzetben az irányelv 4. cikke (1) bekezdésének a) pontja minősül azon rendelkezésnek, amely úgy határozza meg az alkalmazandó jogot, mint a különböző tagállamok szabályozása közötti kollízióra vonatkozó szabály.

24. E tekintetben hangsúlyozni kell, hogy a nemzeti bíróság a kérdéseit ingatlanhirdetéseknek szentelt internetes oldal kizárólag más tagállamban letelepedett kezelőjével kapcsolatban teszi fel, amely tényt a magyar felügyelő hatóság cáfol. Az Egyesült Királyság nyilvánvalónak tartja, hogy azt kell megállapítani, hogy a jelen ügyben az alkalmazandó jog a letelepedés szerinti tagállam, vagyis jelen esetben Szlovákia joga, és a magyar hatóságnak nincs lehetősége a saját nemzeti jogszabályait alkalmazni. A Bizottság ehhez hasonlóan kiemeli azt a körülményt, hogy – függetlenül attól, hogy elfogadható lenne a magyar jog alkalmazása akkor, ha megállapítanák, hogy a felperes Magyarországon is le van telepedve – a Kúria szerint a vállalkozás jelen esetben kizárólag egy másik tagállamban van letelepedve.

25. Ezzel kapcsolatban és túl a letelepedés tényleges helyére vonatkozó azon ténybeli megállapításon, amelyet az előzetes döntéshozatalra előterjesztett kérdések magukban foglalnak, a Kúria harmadik, negyedik, ötödik és hatodik kérdése a letelepedés irányelv szerinti fogalmát illetően az e bíróság részéről felmerült némi olyan bizonytalanságára engednek következtetni, hogy vajon nem pusztán formális fogalomról van‑e szó. Emiatt úgy vélem, hogy az első hat kérdésre való hasznos válasz olyan kritériumok meghatározását követeli meg, amely lehetővé teszi annak megválaszolását, hogy olyan adatkezelésről van‑e szó, amelyet az irányelv 4. cikke (1) bekezdésének a) pontja értelmében véve Magyarországon „az adatkezelő egy szervezete tevékenységeinek keretében” végeznek.

26. A jelen ügyben tehát annak meghatározásához, hogy az alkalmazandó jog a magyar, vagy épp ellenkezőleg a szlovák jog, a Google Spain és Google ítéletben kidolgozott módszert követve kétlépcsős vizsgálatot kell végezni.(8) Először is tehát tisztázni kell, hogy a Weltimmo rendelkezett‑e Magyarországon szervezettel, másodszor pedig hogy az adatkezelést e szervezet tevékenységeinek keretében végezték‑e. Meg kell jegyezni azonban, hogy a jelen ügy körülményei között, valamint a Google Spain és Google ügy tényállásától eltérően nem vitás az a kérdés, hogy az adatkezelést „az adatkezelő egy szervezete tevékenységeinek keretében” végezték‑e. A döntő kérdés éppen a magyarországi és/vagy szlovákiai szervezet létezése. Következésképpen elemzésem alapvetően a vizsgálat ezen első szakaszára összpontosul.

27. E kérdéssel kapcsolatban a magyar kormány az írásbeli észrevételeiben kifejtette, hogy e rendelkezés különböző nyelvi változatai a szervezet fogalmának olyan értelmezését támasztják alá, amely esetleg nem pusztán a társasági jogi értelemben vett letelepedésre vonatkozik. A szlovák kormány, amely a szervezet fogalmának szintén nem formális értelmezése mellett foglal állást, megjegyzi, hogy e tekintetben a Bíróságnak a letelepedés szabadságára vonatkozó ítélkezési gyakorlatára érdemes hivatkozni. A magyar adatvédelmi hatóság a szervezet fogalmának ugyancsak olyan értelmezése mellett érvel, amelyben nem a jogi forma a meghatározó, és rámutat, hogy szervezetnek adott esetben a Weltimmo magyarországi képviselője, Benkő S. is minősülhet. E személy ugyanis az említett vállalkozást képviseli a közigazgatási eljárásban és az elsőfokú bírósági eljárásban, kapcsolatban áll a panasztevő érintettekkel, és magyarországi lakcímmel szerepel a szlovák cégnyilvántartásban. Ezenkívül a hatóság a tárgyaláson kiemelte, hogy a Weltimmo Magyarországon postafiókkal rendelkezik a folyó ügyeinek vitelére, és hogy a szlovák adatvédelmi hatósággal való informális egyeztetést követően ez utóbbi megerősítette, hogy a vállalkozás Szlovákiában nem végez tényleges tevékenységet. Egyedül a lengyel kormány ragaszkodott a tárgyaláson előadott észrevételeiben annak szükségességéhez, hogy kizárólag a társaság valamely tagállamban való bejegyzése vehető figyelembe mint egyetlen objektív és ellenőrizhető tény.

28. Ennek alapján hivatkozni kell a 95/46 irányelv (19) preambulumbekezdésére, amely alapvető értelmezési támpont az ugyanezen irányelv értelmében vett letelepedés fogalma tartalmának meghatározásához. Az említett preambulumbekezdés ugyanis a fogalom rugalmas értelmezésére utal, elvetve a formális megközelítést, amely szerint a vállalkozás kizárólag ott van letelepedve, ahol be van jegyezve. Így egyrészt az említett preambulumbekezdés magában foglal egy hatékonysági kritériumot és egy állandósági tényezőt, mivel megállapítja, hogy „a valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel […].” Másrészt jelentős rugalmasságot biztosít annak kimondásával, hogy „e letelepedés – legyen akár egyszerűen fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező”.

29. A letelepedés fogalmának ilyen értelmezése összhangban van a fogalom azon értelmezésével, amelyet a Bíróság ítélkezési gyakorlata az uniós jog egyéb területein fogalmazott meg. Különösen az állandó ítélkezési gyakorlat értelmében „a letelepedés fogalma a Szerződésnek a letelepedés szabadságára vonatkozó rendelkezései értelmében az ebben az államban állandó telephelyen, határozatlan ideig ténylegesen végzett gazdasági tevékenységet foglalja magában”(9), ami „azt feltételezi, hogy az érintett társaság valóban letelepedett a fogadó tagállamban, és ott ténylegesen gazdasági tevékenységet végez”(10).

30. Másrészt a 29. cikk szerinti adatvédelmi munkacsoport (a továbbiakban: 29. cikk szerinti munkacsoport) 8/2010. számú véleménye(11) a letelepedés fogalmának értelmezésére úgy hivatkozik, mint a héa területén érvényesülő adójogi kapcsolóelvre.(12) A Bíróság ítélkezési gyakorlata e téren különösen érdekes – mivel a letelepedés fogalma a nemzeti adózási szabályozás alá tartozás meghatározására szolgáló kapcsolóelv –, és az állandó telephely fogalmát részletezi, amelynek „[…] a személyi és tárgyi feltételek tekintetében kellően állandó jelleggel és megfelelő szervezettel kell rendelkeznie a szükségleteinek kielégítésére igénybe vett szolgáltatások fogadásához és igénybevételéhez.”(13) Ezenkívül a letelepedésnek a mind a római egyezményben(14), mind pedig a brüsszeli egyezményben(15) megtalálható fogalma is a nem formális értelmezést támasztja alá.(16)

31. Függetlenül attól, hogy nyilvánvaló eltérés áll fenn azon területek háttere és tárgyai között, amelyekbe a Bíróság fent hivatkozott témákat érintő ítélkezési gyakorlata és a jelen ügy illeszkedik, mindenképpen fontos, hogy az uniós jog különböző területeken hangsúlyozza, hogy a letelepedés fogalmának értelmezése a gazdasági tevékenység tényleges gyakorlásán és bizonyos mértékű állandóságon alapul, és ez tehát egybeesik a 95/46 irányelv (19) preambulumbekezdésében is szereplő megállapításokkal.

32. Másrészt tekintettel a 95/46 irányelv sajátos céljára, amely – ahogyan azt az 1. cikkének (1) bekezdése megfogalmazza – „a természetes személyek alapvető jogai[nak] és szabadságai[nak], különösen a magánélet tiszteletben tartásához való joguk[nak] a személyes adatok feldolgozása tekintetében [való védelmére]” irányul, úgy vélem, hogy mind a létesítmény állandóságának mértékét, mind pedig a tevékenységek tényleges gyakorlását a szóban forgó gazdasági tevékenységek és szolgáltatásnyújtások sajátos jellegére figyelemmel kell értelmezni.

33. Következésképpen, ahogyan azt a magyar adatvédelmi hatóság és a szlovák kormány is kifejti, valamint követve a 29. cikk szerinti munkacsoport által meghatározott kritériumokat is,(17) egyetlen képviselő elegendő annak megállapításához, hogy állandó létesítményről van szó, ha az megfelelő mértékű állandósággal működik a konkrét szolgáltatásoknak a szóban forgó tagállamban való nyújtásához szükséges eszközök megléte mellett.

34. Ahogy azt ugyanis Jääskinen főtanácsnok a Google Spain és Google ügyre vonatkozó indítványában megállapította, az adott gazdasági szereplő üzleti modelljét figyelembe kell venni a 95/46 irányelv 4. cikkében foglalt feltételek vizsgálatakor.(18) Ennek következtében e helyütt vizsgálni kell a kizárólag az interneten működő vállalkozások sajátosságát, amelyek, üzleti modellje viszonylagossá teszi az állandó fizikai létesítmény fogalmát, valamint befolyásolja a személyi és tárgyi feltételek súlyát is. Bizonyos körülmények között ugyanis a tartósan jelen lévő, szinte csak egy hordozható számítógéppel rendelkező képviselő megfelelő keretet tud biztosítani a tényleges, valós és kellő mértékű állandósággal bíró tevékenység végzéséhez. E megfontolásokra tekintettel az említett személyi és tárgyi feltételek értékelésekor óvatosan kell kezelni azon vállalkozások jellemzőit, amelyek az interneten keresztül kínálnak szolgáltatásokat, figyelembe véve az adott helyzet sajátosságait.

35. Az interneten keresztül végzett gazdasági tevékenységek sajátosságát ugyanis már figyelembe vették a letelepedés fogalma tartalmának más uniós jogszabályokban való meghatározásakor. Különösen az elektronikus kereskedelemről szóló irányelv(19) a (19) preambulumbekezdésében megállapítja, hogy „[…] a szolgáltatásait egy internetes weboldalon keresztül nyújtó vállalkozás telephelye nem az a hely, ahol a weboldalát támogató technológia található, és nem az a hely, ahol weboldala hozzáférhető, hanem az a hely, ahol gazdasági tevékenységét végzi.” E fogalmat a 29. cikk szerinti munkacsoport relevánsnak ítélte a 95/46 irányelv 4. cikkének értelmezése szempontjából.(20)

36. E megfontolásokra tekintettel megállapítható, hogy nem vitatva, hogy a Weltimmo formálisan Szlovákiában bejegyzett társaság, nem zárható ki, hogy az említett társaság ténylegesen és valójában másik állam, a jelen esetben Magyarország területén végzi tevékenységét állandó létesítményen keresztül, amely akár egyetlen képviselőt is jelenthet. Ha ez lenne a helyzet, a Weltimmo a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében vett szervezettel rendelkezne Magyarországon.

37. A Kúria által az előzetes döntéshozatalra előterjesztett kérdésekben foglalt különböző további tényezők – az a hely, ahonnan az adatokat feltöltötték; azon tagállam, ahova a szolgáltatások irányulnak; az érintettek állampolgársága, vagy a vállalkozás tulajdonosainak lakóhelye – e tekintetben nem befolyásolják közvetlenül és döntő módon az alkalmazandó jog meghatározását.(21) E tényezők ugyanis nem szerepelnek az irányelvben, mint olyan releváns kritériumok, amelyek lehetővé tehetnék a 4. cikk (1) bekezdésének a) pontjában foglalt kritériumtól való eltérést.(22)

38. Az előzőektől függetlenül bizonyos körülmények között e tényezők közül több is a tevékenység valódi és tényleges jellegére utaló jelnek minősülhet a letelepedés helyének meghatározása tekintetében, különösen annak meghatározásakor, hogy az adatkezelésre az adatkezelő szervezetének ügyletei keretében került‑e sor.

39. Így különösen a második tényezővel kapcsolatban – miszerint az adatkezelésre valamely tagállamban található szervezet tevékenységeinek keretében kerül sor – a Google Spain és Google ítéletben adott értelmezésre kell hivatkozni.(23) Eszerint a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja „nem azt követeli meg, hogy a személyes adatokat érintő szóban forgó adatkezelést az érintett szervezet »maga« valósítsa meg, hanem csupán hogy azt »tevékenységeinek keretében« végezze”.(24) Ezenkívül – folytatja a Bíróság – tekintettel a 95/46 irányelv céljára, e „kifejezést nem lehet megszorítóan értelmezni.”(25)

40. Ezen második kritérium alkalmazása különös jelentőséggel bír abban az esetben, ha a kérdést előterjesztő bíróság a fenti kritériumok alapján megállapítja, hogy a Weltimmo mindkét szóban forgó tagállamban le van telepedve. Ebben az esetben – ahogy azt a szlovák kormány és a Bizottság is kiemeli az írásbeli észrevételeiben – éppen azokat a tevékenységeket kell figyelembe venni, amelyek keretében az adatkezelés megvalósult, és különösen a tevékenység valamely konkrét szervezethez való kapcsolódásának mértékét.(26) E tekintetben a 29. cikk szerinti munkacsoport a keresőmotorokkal kapcsolatban egyéb olyan döntő tényezőket is megjelölt, amelyek hasznosak lehetnek annak meghatározásához, hogy a tevékenységek a szervezethez kapcsolódnak‑e: az, hogy a szervezet feladata a felhasználókkal való kapcsolattartás; hogy részt vesz célzott hirdetéseknek az adott állam lakosai részére történő értékesítésében; vagy hogy fellép egy tagállam hatóságai előtt a felhasználói adatokkal kapcsolatban.(27)

41. Végül annak a jelen ügyben való megállapításához, hogy a magyar jog alkalmazható‑e a Weltimmo magyarországi tevékenységére, meg kellene vizsgálni, hogy a Weltimmo – amely tevékenységének keretében a vitatott adatkezelés történt – rendelkezik‑e szervezettel az említett tagállamban. Ehhez meg kellene határozni, hogy az előzetes döntéshozatal iránti kérelemben említett képviselő rendelkezik‑e állandó létesítménnyel – függetlenül annak jogi formájától –, amelyen keresztül olyan tényleges és valós tevékenységet végez, amelynek keretében a vitatott adatkezelés megvalósult.

42. Következésképpen úgy gondolom, hogy a Kúria első hat kérdésére együttesen azt a választ kell adni, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja megakadályozza, hogy a magyar adatvédelmi hatóság a magyar jogot a kizárólag más tagállamban letelepedett adatkezelőre alkalmazza. E tekintetben a szervezet fogalmát úgy kell értelmezni, hogy az olyan állandó létesítményt jelöl – függetlenül annak jogi formájától –, amelyen keresztül tényleges és valós tevékenységet végeznek. Egyetlen képviselő akkor tekinthető állandó létesítménynek, ha kellő mértékű állandósággal rendelkezik a szóban forgó konkrét szolgáltatások nyújtásához szükséges személyi és tárgyi feltételek meglétére figyelemmel.

Egyéb tényezők – mint például az a hely, ahonnan az adatokat feltöltötték, az érintettek állampolgársága, az adatkezelő vállalkozás tulajdonosainak lakóhelye, vagy az a tény, hogy az említett adatkezelő által nyújtott szolgáltatás más tagállam területére irányul – közvetlenül és döntő módon nem relevánsak az alkalmazandó jog meghatározása szempontjából, függetlenül attól, hogy azok a tevékenység valódi és tényleges jellegére utaló jeleknek minősülhetnek a letelepedés helyének meghatározása tekintetében, különösen annak meghatározásához, hogy az adatkezelésre az említett szervezet ügyletei keretében került‑e sor.

B – A joghatósággal rendelkező felügyelő hatóságról, valamint az alkalmazandó jog és a joghatósággal rendelkező hatóság lehetséges szétválasztásáról (az előzetes döntéshozatalra előterjesztett hetedik kérdés)

43. Az előzetes döntéshozatalra előterjesztett hetedik kérdésével a Kúria arra kér választ a Bíróságtól, hogy „amennyiben a fenti kérdésekre adott válaszokból az következik, hogy a magyar adatvédelmi hatóság eljárhat, de nem alkalmazhatja nemzeti jogát, hanem a letelepedés szerinti tagállam jogát kell alkalmaznia, akkor úgy kell‑e értelmezni az adatvédelmi irányelv 28. cikk[ének] (6) bekezdését, hogy csak az adatvédelmi irányelv 28. cikk[ének] (3) bekezdésében foglalt jogosultságokat gyakorolhatja a letelepedés szerinti tagállam jogában foglaltak szerint a magyar adatvédelmi hatóság, és ezért bírság kiszabására nem jogosult.”

44. Ahogyan az látható, ezen, előzetes döntéshozatalra előterjesztett kérdés kizárólag abban az esetben bír jelentőséggel, ha a kérdést előterjesztő bíróság megállapítja, hogy a fentiekben ismertetett kritériumok alapján a Weltimmo nem rendelkezik szervezettel Magyarországon, hanem kizárólag Szlovákiában van letelepedve. Az ezen, előzetes döntéshozatalra előterjesztett kérdésre való hasznos válaszadás érdekében tehát előzetesen – mivel ez nem következik kifejezetten az előző kérdésekre adott válaszból – meg kell vizsgálni azt a lehetőséget, hogy valamely tagállam felügyelő hatósága akkor is eljárhat‑e, ha az irányelv 4. cikke (1) bekezdésének a) pontjában foglalt kritériumok alapján más tagállam jogát kell alkalmazni. Az e kérdésre való igenlő válasz másodsorban az említett hatóság hatáskörei terjedelme és tartalma meghatározásának szükségességéhez vezetne.

45. Előzetes jelleggel tehát az a kérdés merül fel, hogy az alkalmazandó jogra vonatkozó 4. cikk – azon túl, hogy az alkalmazandó jog meghatározására vonatkozó rendelkezés – joghatósági kikötésnek minősül‑e, és hogy adott esetben a hatóságok hatáskörével kapcsolatban a 28. cikkben foglalt pontosítások milyen jelentőséggel bírnak. Mindez az adatvédelem területére vonatkozó uniós jog átfogó reformjának fényében vizsgálandó.(28)

46. A Bírósághoz benyújtott észrevételek az irányelv 28. cikke (1), (3) és (6) bekezdésének eltérő értelmezését javasolják. Így a magyar adatvédelmi hatóság azt állítja, hogy akkor is rendelkezik pénzbeli szankció kiszabására vonatkozó hatáskörrel, ha másik tagállam jogszabályai alkalmazandók. Ugyanezt adja elő a magyar kormány, amely szerint nyilvánvaló, hogy a felügyelő hatóságok hatásköreinek gyakorlását illetően az irányelv 28. cikkének (3) bekezdésében felsorolt, alapszabályi és eljárási részletszabályokra az említett hatóság székhelye szerinti állam nemzeti joga vonatkozik, így a szankciókat a saját nemzeti joga alapján kell kiszabni.

47. A Bizottság úgy véli, hogy a tagállami felügyelő hatóságok jogosultak az irányelv 28. cikkének (3) bekezdésében felsorolt hatáskörök gyakorlására, amennyiben azokat a saját területükön a 28. cikk (1) és (6) bekezdése alapján gyakorolhatják. Ezzel szemben, ha valamely hatáskör kizárólag más tagállam területén gyakorolható, e hatóság számára nem marad más lehetőség, mint az említett tagállam felügyelő hatóságának igazgatási együttműködését kérni. Az első tagállam felügyelő hatósága tehát nem szabhatna ki szankciót a kizárólag más tagállamban letelepedett adatkezelőre. A szlovák kormány ehhez hasonlóan azon az állásponton van, hogy ha a szlovák jog lenne alkalmazandó, a magyar adatvédelmi hatóság a 28. cikk (3) és (6) bekezdése alapján rendelkezne hatáskörrel vizsgálat lefolytatására és a hozzá benyújtott panaszok megvizsgálására, a saját eljárási szabályai szerint eljárva, azonban az alkalmazandó jog szerinti tagállam hatóságához együttműködési kérelmet kellene intéznie, mivel e felügyelő hatóságnak kellene határoznia az esetleges szankció kiszabásáról. Lengyelország hangsúlyozza, hogy valamely tagállam anyagi joga más tagállami hatóságok általi alkalmazásnak lehetőségét az irányelv nem tartalmazza, és arra hivatkozik, hogy ha a jogalkotó ilyen ambiciózus lehetőséget kívánt volna biztosítani, az irányelv annak hatályát pontosan meghatározó rendelkezéseket tartalmazna. Végül az Egyesült Királyság úgy véli, hogy tekintettel arra, hogy a szlovák jog alkalmazandó, a magyar adatvédelmi hatóság nem járhat el.

48. A fentiek fényében figyelemreméltó a benyújtott észrevételekben foglalt álláspontok különbözősége, amely észrevételek közül csupán az Egyesült Királyságé és a Lengyelországé foglal amellett állást, hogy az alkalmazandó jog és a felügyelő hatóság joghatósága között feltétlenül koherenciának kell fennállni, oly módon hogy az alkalmazandó jognak az irányelv 4. cikke (1) bekezdésének b) pontja szerinti meghatározása egyben kijelölné a joghatósággal rendelkező felügyelő hatóságot is.(29)

49. Ahogy azt a következőkben kifejtem, úgy vélem, hogy az e helyütt eldöntendő összetett kérdést az irányelv sajátos céljainak és a közigazgatási felügyelő hatóságok eljárására vonatkozó elvek összeegyeztetésével kell megválaszolni.

50. Az ezen, előzetes döntéshozatalra előterjesztett kérdésben felmerülő probléma mélyén nagy jelentőségű alapkérdés rejlik, vagyis az, hogy elfogadható‑e, hogy az irányelv mérsékelje azon szabályt vagy akár eltérést engedjen azon szabály alól, amely értelmében valamely állam közigazgatási hatóságai főszabály szerint a saját nemzeti joguknak megfelelően járnak el és azt alkalmazzák. Ugyanis a hatóságok joghatóságával kapcsolatban – és mivel tehát a közjogi jogkörök, különösen a ius puniendi gyakorlásáról van szó – kötelező az állam területi szuverenitásából(30) következő követelményekből, a törvényesség elvéből, és végeredményben a jogállamiság(31) fogalmából kiindulni, amelyek alapján a felügyelő hatóság joghatósága és az alkalmazandó jog összhangja feltétlenül szükséges.(32) Ebben az értelemben a szankcionálási hatáskör gyakorlására – amelyről a jelen ügyben különösen szó van – főszabály szerint nem kerülhet sor azon jogi határokon túl, amelyeken belül a közigazgatási hatóság a nemzeti joga alapján jogosult eljárni.(33) Úgy tűnik, hogy e szabálytól való eltérés legalább olyan sajátos jogalapot igényel, amely feljogosít a más tagállam közjogának alkalmazására és behatárolja azt, valamint ezenkívül pontosan és egyértelműen biztosítja, hogy a jogalanyok előre láthassák, hogy magatartásuk és azok következményei mely jog hatálya alá tartoznak.(34)

51. Összhangban a fentebb megállapítottakkal nem gondolom, hogy a 28. cikk (6) bekezdésének első mondata – amely úgy rendelkezik, hogy „[a] felügyelő hatóságok, függetlenül a szóban forgó adatfeldolgozásra alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a (3) bekezdés értelmében rájuk ruházott jogosultságok gyakorlására” – elegendő rendelkezésnek minősül ahhoz, hogy ilyen jelentős következményhez vezessen.(35) E rendelkezés ugyanis egyáltalán nem részletezi azon alkalmazási kört, hatályt és biztosítékokat, amelyek lehetővé tennék azt, hogy valamely tagállam közigazgatási hatóságai más tagállam – különösen szankcionáló – rendelkezéseit alkalmazzák.

52. Véleményem szerint az irányelv 28. cikkének (1) bekezdése sem minősül e követelménynek megfelelő jogalapnak azon – a magyar kormány és a magyar adatvédelmi hatóság által hivatkozott – puszta körülmény miatt, hogy e rendelkezés többes számban állapítja meg, hogy „[m]inden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék.”(36)

53. A fentiek ellenére e rendelkezések azon lehetőségre utalnak, amikor bizonyos mértékben szétválik a joghatósággal rendelkező hatóság és az alkalmazandó jog. Mindenesetre biztosítják azon lehetőséget, hogy valamely tagállam hatósága a tagállam területén végzett tevékenységeket akkor is felügyelje, ha másik tagállam jogszabályai alkalmazandók.

54. E ponthoz érkezve úgy vélem, hogy összeegyeztethető a 28. cikk (1), (3) és (6) bekezdésének értelmezése a szankcionáló igazgatási hatáskör gyakorlására vonatkozó alapelvekkel. Erre a 28. cikk (6) bekezdése első albekezdése első és második mondatának – amely értelmében a saját tagállamuk területén hatáskörrel rendelkező hatóság „felkérheti egy másik állam hatóságát hatáskörének gyakorlására” –, valamint bekezdés a (6) bekezdése második albekezdésének – amely szerint „a felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással […]” – együttes értelmezése lehetőséget biztosít.

55. Ebben az értelemben a 28. cikk (6) bekezdésében a felügyelő hatóságoknak akkor is biztosított fellépési lehetőség, amikor a tagállamuk joga nem alkalmazható, rendszertani értelmezést igényel, amely figyelembe veszi a közigazgatási hatóságok közötti együttműködésre való egyértelmű felhatalmazás meglétét, és azt a körülményt is, hogy valamely hatóság felkérheti egy másik állam hatóságát hatáskörének gyakorlására. E rendelkezés együttes értékelése ugyanis a különböző felügyelő hatóságok közötti, együttműködés és kölcsönös segítségnyújtás keretében megvalósuló feladatmegosztást tükröz.

56. Az a tény, hogy az alkalmazandó szabályozás valamely tagállam joga, nem fosztja meg a többi tagállam felügyelő hatóságait a fellépési lehetőségtől, különös tekintettel arra, hogy bizonyos körülmények között – annak ellenére, hogy az irányelv 4. cikke (1) bekezdésének a) pontjában szereplő kritérium alapján más tagállam joga alkalmazandó – több más, a területhez kapcsolódó olyan tényező is létezhet, mint például a technikai feltételek, vagy különösen az adatkezelést végző személyek. Mindez az irányelv tényleges alkalmazása érdekében szükségessé tenné, hogy a helyi hatóság vizsgálatot folytathasson le, és bizonyos intézkedéseket tegyen, akár azelőtt, hogy meg tudná állapítani, hogy melyik jog alkalmazandó.

57. Konkrétan a hozzá benyújtott egyéni panasz vagy kérelem alapján eljáró felügyelő hatóságnak képesnek kell lennie arra, hogy a saját területén vizsgálatot folytasson. Ez az irányelv 28. cikkének (4) bekezdésére tekintettel nem vitatható, amely megállapítja a felügyelő hatóságok azon kötelezettségét, hogy foglalkozzanak a személyes adatok feldolgozása vonatkozásában az egyének jogainak vagy szabadságainak védelmével kapcsolatos, bármely személy által benyújtott kérelmekkel. Ugyanakkor ezen értékelés összhangban van az Európa Tanácsnak a személyes adatok gépi feldolgozása során az egyének védelméről szóló, 1981‑es 108. sz. egyezményében foglaltakkal,(37) amely egyezmény 14. cikke úgy rendelkezik, hogy ha valamely személynek a lakóhelye egy másik szerződő Fél területén van, „lehetővé kell tenni számára, hogy kérését ezen Fél által kijelölt szervezet útján terjessze elő”.

58. Az ily módon való eljárás megfelelő választ ad a magyar kormány által a tárgyaláson kifejezett azon aggodalomra, miszerint a magyar adatvédelmi hatóság hatáskörének hiányában az irányelvben biztosított jogorvoslati lehetőségek hatékonysága csorbulna, ha az érintetteknek általuk nem ismert nyelven külföldi hatóságokhoz kellene fordulniuk.

59. Végeredményben a felügyelő hatóságok, függetlenül az adott esetben alkalmazandó anyagi jogtól, rendelkeznek az irányelv 28. cikkének (3) bekezdésében felsorolt vizsgálati és beavatkozási hatáskörökkel, azonban kizárólag a nemzeti jogban szabályozott hatáskörökkel, az illetékességi területükön(38) és a jelen indítvány 50. pontjában említett elvek tiszteletben tartása mellett.

60. Következésképpen nyilvánvalóan nem korlátlan valamely tagállam felügyelő hatóságának fellépési lehetősége abban az esetben, ha másik tagállam anyagi joga alkalmazandó. E ponton meg kell állapítani, hogy továbbra is érvényes az az elv, miszerint a hatáskörei gyakorlása során a felügyelő hatóságot kötik azon korlátok, amelyek a saját tagállama jogának hatálya alá tartozó közjogi jogalanyiságából következnek, és hogy a hatásköreit kizárólag saját területén gyakorolhatja. Különösen a jogsértés esetleges értékelését és az adatkezelés jogellenességéből eredő jogsértésekért való szankció szintén esetleges kiszabását elkerülhetetlenül azon tagállam hatóságának kell elvégeznie, amelynek anyagi joga az irányelv 4. cikke (1) bekezdésének a) pontjában foglalt kritérium szerint alkalmazandó az adatkezelésre.

61. Következésképpen jóllehet semmi sem akadályozza meg, hogy a szankciókiszabási hatáskört az irányelv 28. cikke (3) bekezdésében (amelynek harmadik francia bekezdése a felügyelő hatóságok „[jogsértés esetén] bírósági eljárásban való részvétel[hez való] jog[át]” említi) hivatkozott hatáskörök egyikének tekintsük figyelembe véve az irányelv 28. cikkének (6) bekezdésében létrehozott együttműködési kötelezettséget, az adatkezelésre alkalmazandó jog szerinti tagállam hatóságához kell fordulni annak érdekében, hogy az első tagállam hatósága által nyújtott, vagy adott esetben átadott információk alapján megállapítsák az alkalmazandó jog értelmében való jogsértést, vagy esetlegesen szankciót szabjanak ki.

62. Ez az értelmezés nem ellentétes a 29. cikk szerinti munkacsoport által különböző dokumentumokban kifejezett állásponttal. Először is, ahogy azt az alkalmazandó jogról szóló 8/2010. sz. vélemény hangsúlyozza, a 28. cikk (6) bekezdésének célja éppen a „belső piacon az adatvédelem területén az alkalmazandó jog és a felügyelő hatóság joghatósága közti lehetséges szakadék áthidalása.”(39) E tekintetben jóllehet az említett vélemény kifejezetten kimondja, hogy „[…] amikor másik tagállam adatvédelmi joga alkalmazandó, a felügyelő hatóság abban a helyzetben lesz, hogy illetékességi területén belül teljes mértékben gyakorolhassa nemzeti jogrendszere által ráruházott hatásköröket”, súlyos kételyeket fogalmaz meg a felügyelő hatóságok e területen fennálló hatásköreinek a kiterjesztésével kapcsolatban.(40) Ugyanis a 29. cikk szerinti munkacsoport egy korábbi, a Bizottság kérelmére elvégzett értékelése eredményeképpen a 28. cikk (6) bekezdésének gyakorlati végrehajtásáról szóló jelentésében részletezte véleményét az alkalmazandó jog és a joghatóság szétválasztásának kérdéséről.(41) Az szétválasztás esetén a munkacsoport arra a következtetésre jut, hogy a hatóságnak a saját jogrendszere eljárási és közigazgatási rendelkezéseit kell alkalmaznia, míg az adatvédelem anyagi jogi vonatkozásai az alkalmazandó jog szerinti tagállamra tartoznak.(42)

63. A fenti megfontolások olyan sajátos jogi összefüggésbe illeszkednek, amelyben az uniós jog beavatkozásának eszköze egy irányelv, amely a tagállami szabályozások számára jelentős mozgástér fenntartását teszi lehetővé különösen a felügyelő hatóságok általi szabályozást és a szankciókiszabást illetően.(43) Következésképpen a területi szuverenitás és a törvényesség elvének követelményeivel – egyértelmű jogalap és olyan biztosítékok hiányában, amelyek a jogsértések értelmezése és a szankciók egyenértékűsége tekintetében szoros együttműködést biztosítanának – nehezen összeegyeztethető az,(44) hogy a joghatósággal rendelkező hatóság és az alkalmazandó jog szétválasztása akár ahhoz vezessen, hogy a helyi felügyelő hatóság – amely esetleg nem ismeri az adatkezelésre alkalmazandó jog szerinti állam jogrendszerét – szerinti állam joga alapján szabjanak ki szankciókat, akár ahhoz, hogy a helyi hatóság más tagállam szankciókra vonatkozó jogát alkalmazza.

64. Végül a Bíróság UPC DTH ügyben hozott ítéletének(45) analógia útján való alkalmazása sem vezet eltérő eredményre, amely ítéletre a magyar kormány és a magyar felügyelő hatóság annak érdekében hivatkozott, hogy az e hatóság szankciókiszabási jogkörét a jelen ügyben igazolja. Ezen, az elektronikus hírközlésre vonatkozó szabályozási keret bizonyos jogszabályainak(46) értelmezésére vonatkozó ítéletben a Bíróság kimondta, hogy az „elektronikus hírközlési szolgáltatásokkal kapcsolatos felügyeleti eljárások az említett szolgáltatások címzettjeinek lakóhelye szerinti tagállam joghatósága alá tartoznak”(47).

65. Az említett érvre válaszul elegendő azt megállapítani, hogy függetlenül attól, hogy az említett értelmezés a szolgáltatásnyújtás szabadságát érintő helyzetre vonatkozott, és olyan jogi keretbe illeszkedik, amelynek céljai és szerkezete érzékelhetően különbözik a jelen ügy tárgyát képező jogi kerettől, fontosabb az, hogy e megfontolások olyan helyzetben fogalmazódtak meg, amelyben az alkalmazandó jog nem volt vitás.(48)

66. A fentiek alapján az uniós jog jelenlegi állapotában úgy vélem, hogy a Kúria által előzetes döntéshozatalra előterjesztett hetedik kérdésre a következő választ kell adni:

Abban az esetben, ha a nemzeti bíróság megállapítja, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontjában foglalt kritérium alapján a nemzeti joga nem alkalmazható, az említett irányelv 28. cikkének (6) bekezdését úgy kell értelmezni, hogy az adatkezeléssel kapcsolatos jogsértések miatti szankció kiszabása az alkalmazandó jog szerinti tagállam felügyelő hatóságának feladata, függetlenül attól, hogy a helyi felügyelő hatóság a saját területén és a saját nemzeti jogában meghatározott szabályoknak megfelelően valamennyi, a 28. cikk (3) bekezdésében felsorolt hatáskört gyakorolhatja.

C – Az „adatfeldolgozás” fogalmáról (az előzetes döntéshozatalra előterjesztett nyolcadik kérdés)

67. A kérdést előterjesztő bíróság az előzetes döntéshozatalra előterjesztett nyolcadik kérdésében a következőket kérdezi a Bíróságtól: „Mind az adatvédelmi irányelv 4. cikk[e] (1) bekezdés[ének] a) pontja, mind a 28. cikk[ének] (6) bekezdése szerinti adatfeldolgozás fogalma azonosítható‑e az adatkezelés fogalmával az adatvédelmi irányelv [magyar változatának] terminológiájában?”

68. A Bírósághoz benyújtott észrevételek egybehangzóan megállapítják, hogy az előzetes döntéshozatalra utaló végzésben felvetett terminológiai különbség nem releváns.

69. A 95/46 irányelv rendelkezései következetesen az „[adat]feldolgozás” kifejezést használják az adatkezelésnek az irányelv 2. cikkének b) pontjában meghatározott fogalmára utalva. Csupán az adatvédelmi törvény különbözteti meg az „adatkezelés” és az „adatfeldolgozás” fogalmát,(49) ez utóbbit úgy határozva meg, mint „az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése […]”(50).

70. Márpedig az „[adat]feldolgozás” fogalmának az irányelv 2. cikkének b) pontjában foglalt, valamint 4. cikke (1) bekezdésének a) pontjában és 28. cikkének (6) bekezdésében is használt meghatározása nagyon széles és lefedi a személyes adatokra alkalmazott bármely műveletet, függetlenül attól, hogy automatizált eljárásokon keresztül végzik‑e. Következésképen az adatfeldolgozás e széles fogalma magában foglalja az adatkezelési műveletekkel kapcsolatos technikai feladatok elvégzésének korlátozottabb fogalmát.

71. Ennek megfelelően azt javasolom, hogy az előzetes döntéshozatalra előterjesztett nyolcadik kérdésre a következő választ adja a Bíróság:

A 95/46 irányelv magyar változata 4. cikke (1) bekezdésének a) pontjában és 28. cikkének (6) bekezdésében használt „adatfeldolgozás” fogalmát úgy kell értelmezni, hogy az magában foglalja a széles értelemben vett adatkezelést, és az adatkezelési műveltekkel kapcsolatban végzett technikai feladatok elvégezését is.

V – Végkövetkeztetések

72. A kifejtett érvekre tekintettel azt javaslom, hogy a Bíróság a Kúria által előzetes döntéshozatalra előterjesztett kérdésekre a következőképpen válaszoljon:

„1) A 95/46 irányelv 4. cikke (1) bekezdésének a) pontja megakadályozza, hogy a magyar adatvédelmi hatóság a magyar jogot a kizárólag más tagállamban letelepedett adatkezelőre alkalmazza. E tekintetben a szervezet fogalmát úgy kell értelmezni, hogy az olyan állandó létesítményt jelöl – függetlenül annak jogi formájától –, amelyen keresztül tényleges és valós tevékenységet végeznek. Egyetlen képviselő akkor tekinthető állandó létesítménynek, ha kellő mértékű állandósággal rendelkezik a szóban forgó konkrét szolgáltatások nyújtásához szükséges személyi és tárgyi feltételek meglétére figyelemmel.

2) Abban az esetben, ha a nemzeti bíróság megállapítja, hogy a 95/46 irányelv 4. cikke (1) bekezdésének a) pontjában foglalt kritérium alapján a nemzeti joga nem alkalmazható, az említett irányelv 28. cikkének (6) bekezdését úgy kell értelmezni, hogy az adatkezeléssel kapcsolatos jogsértések miatti szankció kiszabása az alkalmazandó jog szerinti tagállam felügyelő hatóságának feladata, függetlenül attól, hogy a helyi felügyelő hatóság a saját területén és a saját nemzeti jogában meghatározott szabályoknak megfelelően valamennyi, a 28. cikk (3) bekezdésében felsorolt hatáskört gyakorolhatja.

3) A 95/46 irányelv magyar változata 4. cikke (1) bekezdésének a) pontjában és 28. cikkének (6) bekezdésében használt »adatfeldolgozás« fogalmát úgy kell értelmezni, hogy az magában foglalja a széles értelemben vett adatkezelést, és az adatkezelési műveltekkel kapcsolatban végzett technikai feladatok elvégezését is.”

1 – Eredeti nyelv: spanyol.

2 – 1995. október 24‑i európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).

3 – C‑131/12, EU:C:2014:317.

4 – Lásd többek között: Rigaux, F. „La loi applicable à la protection des individus à l’égard du traitement automatisé des données à caractère personnel”, Revue critique de droit international privé, 1980., 443–478. o.

5– Bygrave, L., „Determining applicable law pursuant to European Data Protection Legislation”, Computer Law and Security Report, 16. sz., 2000., 252. o.

6 – E rendelkezés spanyol fordításába némi hiba csúszott, mivel az ige egyes számban van. Ezt megerősítik más nyelvi változatok: „each Member State shall apply the national provisions it adopts pursuant to this Directive […]”, „chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive”, stb.

7 – C‑131/12, EU:C:2014:317.

8 – C‑131/12, EU:C:2014:317, 48–50. pont.

9 – Lásd: Factortame és társai ítélet, C‑221/89, EU:C:1991:320, 20. pont; Bizottság kontra Egyesült Királyság, C‑246/89, EU:C:1991:375, 21. pont.

10 – Cadbury Schweppes és Cadbury Schweppes Overseas ítélet, C‑196/04, EU:C:2006:544, 54. pont.

11 – Az alkalmazandó jogról szóló, 2010. december 16‑én elfogadott vélemény, 0836–02/10/HU, WP 179.

12 – Az említett irányelv ugyanis a Berkholz‑ítéletre, 168/84, EU:C:1985:299, 18. pont és a Lease Plan ítéletre, C‑390/96, EU:C:1998:206, hivatkozik, amelyek a tagállamok forgalmi adóra vonatkozó jogszabályainak összehangolásáról – közös hozzáadottértékadó‑rendszer: egységes adóalap‑megállapításról szóló, 1977. május 17‑i 77/388/EGK hatodik tanácsi irányelv (HL L 145., 1. o.; magyar nyelvű különkiadás 9. fejezet, 1. kötet, 23. o.) 9. cikke (1) bekezdésének értelmezésére vonatkoztak.

13 – Welmory‑ítélet, C‑605/12, EU:C:2014:2298, 58. pont, a 2008. február 12‑i 2008/8/EK tanácsi irányelvvel (HL L 44., 11. o.) módosított, a közös hozzáadottértékadó‑rendszerről szóló, 2006. november 28‑i 2006/112/EK tanácsi irányelv (HL L 347., 1. o.) 44. cikkének az értelmezésével kapcsolatban. Lásd még: Planzer Luxembourg ítélet, C‑73/06, EU:C:2007:397, 54. pont, valamint az ott hivatkozott ítélkezési gyakorlat.

14 – A szerződéses kötelmi viszonyokra alkalmazandó jogról szóló, 1980. június 19‑én Rómában aláírásra megnyitott egyezmény (HL L 266., 1. o.; magyar nyelven: HL C 169., 10. o.)

15 – A polgári és kereskedelmi ügyekben irányadó bírósági joghatóságról és a bírósági határozatok végrehajtásáról szóló, 1968. szeptember 27‑i brüsszeli egyezmény (HL 1972. L 299., 32. o.; egységes szerkezetbe foglalt szöveg: HL 1998. C 27., 1. o.).

16 – Rámutatva, hogy „a fióktelep, a képviselet vagy a telephely fogalmán a gazdasági tevékenység olyan központját kell érteni, amely folytonosság látszatát keltő üzletkötési helyet jelent, saját üzletvezetéssel rendelkezik, és megfelelően felszerelt ahhoz, hogy harmadik féllel tárgyaljon […]” (Somafer‑ítélet, 33/78, EU:C:1978:205, 12. pont; Blanckaert & Willems ítélet, 139/80, EU:C:1981:70, 11. pont), és hangsúlyozva, hogy a „»telephely« kifejezés a vállalkozások minden tartós szervezeti formáját magában foglalja. Következésképpen nemcsak a leányvállalatok és fióktelepek, hanem más működési egységek – így vállalkozások irodái – is minősülhetnek telephelynek a Római Egyezmény 6. cikke (2) bekezdésének b) pontja értelmében, akkor is, ha nem rendelkeznek jogi személyiséggel.” (Voogsgeerd‑ítélet, C‑384/10, EU:C:2011:842, 54. pont).

17 – Az alkalmazandó jogról szóló, 2010. december 16‑én elfogadott 8/2010. számú vélemény, 0836–02/10/HU, WP 179, 14. o.

18 – C‑131/12, EU:C:2013:424, 65. pont.

19 – A belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól szóló, 2000. június 8‑i 2000/31/EK európai parlamenti és tanácsi irányelv (HL L 178., 1. o.; magyar nyelvű különkiadás 13. fejezet, 25. kötet 399. o.).

20 – Lásd: a közösségi adatvédelmi szabályozásnak a személyes adatok interneten, az Európai Unión kívül létrehozott weboldalakon való kezelésére történő nemzetközi alkalmazásáról szóló munkadokumentum, WP 56, 5035/01/EN/Final, 2002. május 30., 8. o.

21 – A Bírósághoz benyújtott észrevételek különböző módon értékelik e tényezőket. Miközben a magyar adatvédelmi hatóság szerint e tényezők relevánsak, az Egyesült Királyság úgy véli, hogy egyik felsorolt tényező sem releváns, mivel az irányelv 4. cikkének (1) bekezdése egyiket sem említi. Hasonlóképpen érvel az Európai Bizottság. A magyar kormány véleménye szerint egyedül az a tény releváns, hogy a szolgáltatások más tagállam területére irányulnak, és az a hely ahonnan az adatokat feltöltötték a számítógépes rendszerbe. A szlovák korány álláspontja az, hogy az alkalmazandó nemzeti jog meghatározása tekintetében nem releváns sem az a hely, ahonnan az adatokat közlik, sem az érintettek állampolgársága, sem pedig a vállalkozás tulajdonosainak lakóhelye.

22 – Ezt állapítja meg a 29. cikk szerinti munkacsoport, kimondva, hogy „[az alkalmazandó jog meghatározása szempontjából] sem az érintettek állampolgársága vagy szokásos tartózkodási helye, sem a személyes adatok fizikai helye nem döntő.” 8/2010. számú vélemény, 10. o. Lásd még: Jääskinen főtanácsnok Google Spain és Google ügyre vonatkozó indítványa, C‑131/12, EU:C:2013:424, 55–58. pont.

23 – C‑131/12, EU:C:2014:317, 48–50. pont.

24 – Uo., 52. pont.

25 – Uo., 53. pont.

26 – Lásd még e tekintetben: a 29. cikk szerinti munkacsoport 8/2010. sz. véleménye.

27 – A keresőmotorokkal kapcsolatos adatvédelmi kérdésekről szóló, 2008. április 4‑én elfogadott 1/2008 vélemény, WP 148, 00737/HU.

28 – A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) vonatkozó javaslat, COM(2012)011 végleges.

29 – Egyébiránt a tudományos álláspontok is megoszlanak e tekintetben. Egyes szerzők úgy látják, hogy az irányelv 4. cikke a joghatóságot is meghatározó szabály (például Bing, J., „Data Protection, Jurisdiction and the Choice of Law”, Privacy Law & Policy Reporter, 1999.), miközben mások ezzel ellentétes véleményt képviselnek. Lásd például Swire, P. P., „Of Elephants, Mice and Privacy: International Choice of Law and the Internet”, The International Lawyer, 1998., 991. o. Szintén e vitáról: Kuner, C., „Data Protection Law and International Jurisdiction on the Internet (Part 1)”, International Journal of Law and Information Technology, 18. sz., 2010., 176. o.

30 – Az irányelv (21) preambulumbekezdése kifejezetten kimondja, hogy az irányelv „nem érinti a büntetőügyekben alkalmazandó territorialitási szabályokat”. Úgy vélem, hogy ugyanezen megfontolás vonatkozik a közigazgatási szankciókra is.

31 – Amelynek alapvető lényege úgy határozható meg, hogy minden hatóságnak minden szinten „must exercise the powers conferred on them reasonably, in good faith, for the purpose for which the powers were conferred and without exceeding the limits of such powers”, Lord Bingham, „The Rule of Law”, The Cambridge Law Journal, 66. sz., 2007., 78. o.

32 – A tudományos álláspont szerint: „a felügyeleti rendszer alapvetően közigazgatási vagy közjogi jellege következtében szoros kapcsolat áll fenn az alkalmazandó jog és az esetleges jogsértések szankcionálására joghatósággal rendelkező hatóság között”, de Miguel Asensio, P. A., Derecho Privado de Internet, 4. kiadás, Madrid, 2011., 333. o. Hasonlóképpen foglalt állást az irodalom a versenyügyi felügyelő hatóságok joghatóságával kapcsolatban, megállapítva, hogy a közjogban a szabály alkalmazhatósága meghatározza az annak alkalmazására köteles hatóság joghatóságát”. Lásd például: Basedow, J. „Antitrust or Competition Law, International”, in Wolfrum, R. (szerk.), Max Planck Encyclopedia of Public International Law, 2009.

33 – Ebben az értelemben lásd: Rigaux: „On ne conçoit guère que les autorités administratives, les commissions de contrôle […] les organes de surveillance soumettent les fichiers du secteur privé à d’autres normes de conduite et qu’ils obéissent eux‑mêmes à d’autres règles de fonctionnement qu’à celles qui sont contenues dans la lex fori”, i. m., 469. o.

34 – C. Ohler, Die Kollisionsordnung des allgemeinen Verwaltungsrechts, Mohr Siebeck, 2005., 109. és 314. o.

35 – Kiemelés tőlem.

36 – Kiemelés tőlem. E vitáról lásd: Damman, U. és Simitis, S., EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden‑Baden, 1997., 306. o.

37 – (ETS 108), amelynek minden tagállam részese. Az irányelv (11) preambulumbekezdése értelmében az irányelv tartalmat ad az említett egyezmény által biztosított védelemnek, és kiegészíti azt.

38 – E kérdésről lásd: Damman, U. és Simitis, S., i. m., 313. o.

39 – Az alkalmazandó jogról szóló 8/2010. sz. vélemény, 29. o.

40 – Így egyrészt a 29. cikk szerinti munkacsoport 8/2010. sz. véleménye hangsúlyozza, hogy a felügyelő hatóságok közötti együttműködés – a vélemény megfogalmazása szerint – nemcsak az információcserét foglalja magában, hanem a „határon átnyúló panaszok kezelés[ét], más adatvédelmi hatóság számára történő bizonyítékgyűjtés, vagy szankciók kiszabása terén” (31. o.). Ugyanakkor az említett vélemény kétségeket fejez ki azon hatáskörök terjedelmét illetően, amelyet minden egyes adatvédelmi hatóságnak gyakorolni kell: „például, hogy a letelepedés helye szerinti adatvédelmi hatóság mennyiben fogja gyakorolni hatáskörét az anyagi jogi elvek és a szankciók tekintetében? A tények ellenőrzésére korlátozza‑e hatáskörének gyakorlását, hozhat‑e ideiglenes végrehajtási intézkedéseket vagy akár végleges intézkedéseket? Értelmezheti‑e az alkalmazandó jog rendelkezéseit, vagy ez annak az adatvédelmi hatóságnak az előjoga, amelynek joga alkalmazandó? […]” (30. o.).

41 – Advice paper on the practical implementation of the Article 28(6) of the Directive 95/46/EC, Ref. Ares (2011) 444105, 2011. április 20.

42 – Uo., 31. o. E tekintetben nagyon jellemző a vélemény 10. számú példája, amely egy olyan hipotetikus eset kapcsán, amelyben a német jog alkalmazandó az Egyesült Királyságban végzett adatkezelésre, megállapítja, hogy „az egyesült királysági adatvédelmi hatóságnak hatáskörrel kell rendelkeznie arra, hogy helyszíni ellenőrzést végezzen az egyesült királysági szervezet helységeiben és megállapítsa a tényeket, amelyeket továbbít a német adatvédelmi hatóságnak[. A] német adatvédelmi hatóságnak jogosultnak kell lennie arra, hogy az egyesült királyságbeli adatvédelmi hatóság megállapításai alapján szankciót rójon ki a Németországban letelepedett adatkezelőre.”.

43 – Így ismeri el az irányelv (9) preambulumbekezdése. E tekintetben lásd az Európai Alapjogi Ügynökség által kidolgozott dokumentumot: Data Protection in the European Union: the role of National Data Protection Authorities, 2010, amely hangsúlyozza a tagállami felügyelő hatóságok különböző hatásköreit.

44 – Ebben az értelemben az adatvédelemre vonatkozó uniós jognak az európai közigazgatási térségben betöltött jelentősége és újító jellege kétségbevonhatatlan. A jövőbeli általános adatvédelmi rendeletre vonatkozó javaslat, hogy előreszaladjunk, e terület jelentős átalakítását vonná maga után, különösen ami a különböző felügyelő hatóságok közötti együttműködés, összhang és feladatmegosztásra vonatkozó összetett és kidolgozott rendszer létrehozását illeti.

45 – C‑475/12, EU:C:2014:285.

46 – Különösen a 2009. november 25‑i 2009/140/EK európai parlamenti és tanácsi irányelvvel (HL L 337., 37. o.) módosított, az elektronikus hírközlő hálózatok és az elektronikus hírközlési szolgáltatások engedélyezéséről szóló, 2002. március 7‑i 2002/20/EK európai parlamenti és tanácsi irányelv („Engedélyezési irányelv”) (HL L 108., 21. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 337. o.), valamint a 2009/140 irányelvvel módosított, az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7‑i 2002/21/EK európai parlamenti és tanácsi irányelv („Keretirányelv”) (HL L 108., 33. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 349. o.).

47 – UPC DTH ítélet, C‑475/12, EU:C:2014:285., 88. pont.

48 – Az említett ügyben amiatt szabtak ki szankciót, hogy a szóban forgó társaság nem szolgáltatott adatokat a nemzeti hírközlési hatóságnak. A Bíróság megállapította, hogy „az engedélyezési irányelv 11. cikke (1) bekezdés[ének] b) pontj[a] […] alapján a nemzeti hatóságok megkövetelhetik olyan adatok szolgáltatását a vállalkozásoktól, amelyek ésszerűen szükségesek és tárgyilagos mérce szerint indokoltak annak érdekében, hogy – amennyiben panasz érkezik hozzájuk, vagy saját kezdeményezésükre vizsgálatot folytatnak – ellenőrizhessék a fogyasztóvédelemre vonatkozó feltételek tiszteletben tartását”, uo. 85. pont.

49 – Az irányelvben mindössze egy, az „adatkezelés” kifejezésből képzett szó szerepel: az adatkezelő.

50 – Az adatvédelmi törvény 3. §‑ának (17) bekezdése. Az adatvédelmi törvény 3. §‑ának (10) bekezdése az „adatkezelés” fogalmát szélesen határozza meg, és az lényegében megfelel az irányelv 2. cikkének b) pontjában meghatározott adatfeldolgozás fogalmának.