A Bindl vs. Bizottság ügyben tett megállapításokat valószínűsíthetően többször fogjuk idézni és hivatkozni rájuk a közeljövőben. Ez az első olyan ügy ugyanis, ahol Európai Unió Törvényszéke (korábban az Elsőfokú Bíróság) a személyes adatok uniós intézmények általi kezelésére vonatkozó (EU) 2018/1725 rendelet (EUDPR) megsértése alapján nem vagyoni kártérítés fizetésére kötelezte a Bizottságot. Herr Bindl részére 400 euró összegű kártérítést kell fizetnie. A helyzet pikantériája, hogy – leegyszerűsítve – az EUDPR rendeletet az Európai Parlament és a Tanács a Bizottság javaslata alapján alkotta meg és fogadta el, ahogy az általános adatvédelmi rendeletet, a GDPR-t is.
Kiinduló helyzet, a konfliktus
A Bizottság az Európa jövőjéről szóló konferencia és a hozzátartozó honlap (CFE honlap) adatkezelője. Bindl úr 2021‑ben és 2022‑ben többször is megtekintette a CFE honlapot. A látogatások kapcsán Bindl úr, érintetti jogát gyakorolva hozzáférési kérelmet terjesztett elő a Bizottság felé. A kérelmet a Bizottság határidőn belül megválaszolta.
A válasz tartalmát az érintett nem tartotta kielégítőnek, valamint kifogásolta, hogy nem kapott tájékoztatást a személyes adatainak harmadik felek, ennek keretében pedig azok – nem megfelelő szintű védelmet biztosító – harmadik országba (USA) történő adattovábbításról.
Az érintetti joggyakorlást követően Bindl egy következő, a CFE honlapon tett látogatása alkalmával Facebook‑fiókja segítségével regisztrált a „GoGreen” rendezvényre. A regisztrációt követő napon és további két alkalommal ismét a személyes adatai kezelésére vonatkozó tájékoztatási, hozzáférési kérelmet terjesztett elő adatkezelő felé. Ezekre a kérelmekre a Bizottság nem válaszolt.
A kereset
Bindl úr felperesként előterjesztett kérelmében kérte, hogy a bíróság (i) semmisítse meg személyes adatainak a nem megfelelő szintű védelmet biztosító harmadik országokba történő továbbítását, (ii) állapítsa meg, hogy a Bizottság jogellenesen mulasztott el állást foglalni a tájékoztatás kérésével kapcsolatban és (iii) kötelezze a Bizottságot, hogy az fizessen meg részére 1200 euró kamataival növelt összeget. Egyrészt az információkhoz való hozzáféréshez fűződő jogának megsértése miatt elszenvedett nem vagyoni kár megtérítéseként 800 euró, másrészt az említett adattovábbítások következtében elszenvedett nem vagyoni kár címén 400 euró összeget.
A Bizottság az ellenkérelmében kérte, hogy a bíróság (i) a megsemmisítésre irányuló kereseti kérelmeket és az intézményi mulasztás megállapítása iránti kereseti kérelmeket mint elfogadhatatlanokat utasítsa el, (ii) állapítsa meg, hogy az intézményi mulasztás megállapítása iránti kereseti kérelmekről már nem szükséges határozni és (iii) a kártérítési kérelmeket mint megalapozatlanokat utasítsa el.
A döntés
A Törvényszék a bizonyítási eljárás során feltárt bizonyítékok alapján az alábbi – egyes esetekben véleményem szerint messze az ügyön túlmutató – megállapításokat tette és döntést hozta.
(i) Az adattovábbítás megsemmisítése
A bíróság rögzíti, hogy a vonatkozó jogszabályok és ítélkezési gyakorlat alapján a Bizottság jogi aktusát lehet megsemmisíteni. A CFE honlap üzemeltetése, fenntartása, különösen annak az érintett általi, önkéntes használata és az ennek során megvalósuló adattovábbítások cselekmények, amelyek nem minősülnek Bizottság jogi aktusának, így azokat megtörténtüket követően megsemmisíteni sem lehet.
(ii) Intézményi mulasztás a tájékoztatás kapcsán
A Bizottság az érintett első kérését határidőben megválaszolta. A további megkeresések pedig – a válasz tartalmát vitató részt leszámítva – tartalmilag megegyeznek az elsővel, ezért a válasz megismétlését a Bizottság nem tartotta szükségesnek.
A keresetet követően a Bizottság az érintett ezen megismételt kérdéseire is, még az ítélet meghozatala előtt tájékoztatást adott.
Mindezek alapján a bíróság az intézményi mulasztást nem állapította meg és kimondta irreleváns, hogy a kérelmező a tájékoztatás tartalmát megfelelőnek tartja-e.
(iii) Károkozás kérdése
Az állandó ítélkezési gyakorlat szerint az Unió valamely intézménye, jelen esetben a Bizottság felelősségének megállapításához több feltétel konjunktív teljesülése szükséges: az intézménynek felrótt magatartás jogellenessége, a kár tényleges fennállása, valamint a magatartás és a hivatkozott kár közötti okozati összefüggés.
Jogellenesség a tájékoztatás kapcsán
Tény, hogy a CFE internetes oldalán szereplő adatvédelmi nyilatkozat nem tartalmaz a személyes adatok harmadik országokba történő továbbítására és az ehhez szükséges az EUDPR-nak megfelelő garanciákra vonatkozó információkat.
Tény továbbá, hogy az érintett hozzáférési joga kiterjed az azon címzettekre vonatkozó információkra, amelyekkel a személyes adatait közölték, ideértve különösen a harmadik országbeli címzetteket.
A Törvényszék, azonban ítéletében kimondja, hogy az EUDPR (sem a GDPR) azt nem írja elő, hogy ezeknek az információknak kötelezően szerepelniük kell egy adott dokumentumban, akár egy olyan adatvédelmi nyilatkozatban, mint amilyen a CFE internetes oldalán szerepel, azaz a bíróság a jogellenesség tényét nem állapítja meg, tehát károkozás sem történt. [Nem kétséges, hogy minden kollégám tökéletes tájékoztatókat ír, de a bíróság ezen megállapítását azt gondolom a saját és az adatkezelőink érdekében tartsuk szárazon.] A Törvényszék a 800 euró nem vagyoni kártérítési igényt elutasította.
Jogellenesség az adattovábbítás kapcsán
A bíróság ítéletében megállapította, hogy a Bizottság a „Bejelentkezés a Facebookkal” hiperlink elhelyezésével megteremtette annak feltételeit, hogy a felperes személyes adatait, köztük IP-címét továbbítani lehessen a Facebooknak, az Egyesült Államokban székhellyel rendelkező Meta Platforms vállalkozásnak.
A kifogásolt adattovábbítások az EU-US Safe Harbor Framework és a Privacy Shield Framework megsemmisítése után és a Data Privacy Framework előtt történtek. A Bizottság ennek ellenére az adattovábbítások igazolására az EUDPR-ben előírt egyetlen megfelelő biztosítékra sem hivatkozott, ezzel megsértette e rendelet harmadik országba történő adattovábbításra vonatkozó rendelkezéseit.
Az USA-ba történő adattovábbítás azzal a kockázattal járt, hogy az ottani biztonsági és hírszerző szolgálatok potenciálisan hozzáférhettek a felperes adataihoz, ezzel megfosztották az érintettet jogaitól és lehetőségeitől, és megakadályozták abban, hogy az adatai felett ellenőrzést gyakoroljon.
A Törvényszék tehát mindhárom feltételt teljesülni látta és megállapította a jogellenesség tényét, valamint annak következtében a nem vagyoni kár keletkezését és a kettő közötti ok-okozati összefüggést, a 400 euró nem vagyoni kártérítési igényt (a Bizottság vonatkozásában először) megalapozottnak ítélte meg.
Megjegyzés: jogilag érthető módon, de a józanság kereteit feszegetve a bíróság az ítéletében nem értékelte a tényt, hogy az adattovábbítást érintetti oldalról az tette lehetővé, hogy a felperes rendelkezett Facebook profillal és így vette igénybe az egyszerűsített azonosítást a rendezvényre történő regisztráció során.
Forrás:
