Soós Andrea Klára: Az adatvédelmi hatóságok „teljes függetlensége”: az Európai Unió Bíróságának gyakorlata – 2012/5-6. (52-53.), 219-223. o.

Cikk letöltése PDF-be

Az Európai Parlament és a Tanács a személyes adatok feldolgozása (helyesen: kezelése^[1]) vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelve^[2] (Irányelv) 28. cikk (1) bekezdése szerint „[m]inden tagállamnak rendelkeznie kell arról, hogy az ezen irányelv értelmében a tagállam által elfogadott nemzeti rendelkezéseknek a területén történő alkalmazását valamely hatóság vagy hatóságok felügyeljék”. A hivatkozott bekezdés második fordulata szerint „[e] hatóságok a rájuk ruházott feladatok gyakorlása során teljes függetlenségben járnak el”. 2010-től kezdve az Európai Unió Bírósága (EUB, Bíróság) elkezdte kialakítani joggyakorlatát az adatvédelmi hatóságok függetlenségének követelményeivel kapcsolatban. Az Európai Bizottság kontra Németországi Szövetségi Köztársaság ügyben^[3] (a továbbiakban: „német ügy”) 2010. március 9-én hozott ítéletében^[4] az EUB számos, a „teljes függetlenség” (complete independece) értelmezésével kapcsolatos alapelveit határozta meg, amikor megállapította egyes német tagállami adatvédelmi hatóságok státuszának összeegyeztethetetlenségét az Irányelvvel.

Az Európai Bizottság kontra Osztrák Köztársaság ügyben^[5] (a továbbiakban: „osztrák ügy”), 2012. július 3-án hozott ítéletében^[6] a Bíróság a német ügyben kialakított tesztjét alkalmazta az osztrák Adatvédelmi Bizottság (Datenschutzkommission, DSK) esetére; valamint ezen felül további, az adatvédelmi hatóságok függetlenségét érintő elvi kérdésekben is állást foglalt.

A harmadik, még folyamatban lévő ügy, a Bizottság kontra Magyarország^[7] (a továbbiakban: „magyar ügy”), amelyben a Bizottság 2012. június 8-án terjesztette elő keresetét^[8]. A magyar ügy tárgya nem a magyar adatvédelmi hatóság státuszának összeegyeztethetősége a függetlenség követelményével, hanem az, hogy a korábbi hatóság megszüntetése és az új felállítása, valamint az átszervezés körülményei összeegyeztethetők-e a „teljes függetlenség” tartalmi elemeivel. Az alábbiakban ismertetjük a német^[9] és osztrák ügyben megfogalmazott főbb elvi tételeket, illetve kitérünk a Bizottság Magyarország ellen benyújtott keresetében szereplő fő érvekre. Végezetül összefoglaljuk, hogy a Bizottság által 2012 januárjának végén nyilvánosságra hozott rendelettervezet milyen garanciákat tartalmaz a „teljes függetlenséggel” kapcsolatban.

Európai Bizottság kontra Németország: a „teljes függetlenség” fogalmának széles értelmezése

Az ügy alapjául szolgáló tényállás szerint a komplex német adatvédelmi felügyeleti rendszerben egyes tartományi adatvédelmi felügyelő hatóságok (azok, amelyek a személyes adatok kezelését a nem állami szektorbeli adatkezelőknél ellenőrzik) állami felügyelet alatt állnak. Az eset központi kérdése a „teljes függetlenség” fogalmának értelmezése volt. Míg az Európai Bizottság és az ahhoz beavatkozóként csatlakozó Európai Adatvédelmi Biztos szerint a teljes függetlenség szélesen értelmezendő, amely azt jelenti, hogy „az ellenőrző hatóságnak a más hatóságok által, vagy a közigazgatás keretein kívül gyakorolt bármilyen befolyástól mentesnek kell lennie”^[10], addig Németország szerint a „teljes függetlenség” tartalma nem más, mint a „működési függetlenség”, vagyis az, hogy „e hatóságoknak függetlennek kell lenniük a felügyeletük alatt álló nem állami szektortól, és nem lehetnek külső befolyásnak kitéve”^[11]. A magánszférabeli adatkezelőket felügyelő német tartományi adatvédelmi hatóságok feletti állami felügyelet ez utóbbi felfogás szerint nem jelent külső befolyást, csupán „belső közigazgatási ellenőrzést”^[12].

A Bíróság ítéletében egyértelműen a „teljes függetlenség” fogalom tágabb értelmezését találta megalapozottnak. Álláspontja szerint „a ’függetlenség’ fogalmát a ’teljes’ melléknév erősíti, ami az ellenőrző hatóságon kívüli bármilyen, közvetlen vagy közvetett befolyástól mentes döntéshozatali jogkört jelent”^[13]. Az ítélet szerint e felügyelő hatóságok függetlensége az alapvető garanciája annak, hogy elláthassák a személyes adatok védelme terén kifejtett ellenőrző feladataikat. Kulcsmegállapításnak tekinthető az ítélet azon tétele, amely szerint „feladataik gyakorlása során az ellenőrző hatóságoknak objektíven és pártatlanul kell eljárniuk. Ezért minden külső befolyástól mentesnek kell lenniük, ideértve az állam vagy a tartományok által gyakorolt közvetlen vagy közvetett befolyást is, nemcsak az ellenőrzött szervezetek általi befolyást”^[14]. Ez a megállapítás máshol is ismétlődik az ítéletben: nem csak a közvetlen, hanem a közvetett külső befolyás is sérti az adatvédelmi hatóság függetlenségét.^[15]

Fontos, hogy érvelése során a Bíróság támaszkodott az Európai Adatvédelmi Biztos jogállására, és párhuzamot vont az Irányelv 28. cikke és a 45/2001 rendelet^[16] az Európai Adatvédelmi Biztos függetlenségét rögzítő 44. cikkének (1) bekezdése között. Ez utóbbi szabály valamivel részletesebben fejti ki a függetlenség követelményét, amennyiben kifejezetten rögzíti, hogy „az EAB feladatkörének ellátása során senkitől nem kérhet és nem fogadhat el utasítást”^[17]. A Bíróság szerint „[t]ekintettel arra, hogy a 45/2001 rendelet 44. cikke és a 95/46 irányelv 28. cikke ugyanazon az általános elven alapul, a két rendelkezést egységesen kell értelmezni, úgy, hogy nemcsak az EAB, hanem a nemzeti hatóságok függetlensége is magában foglalja az utasításoktól való mentességet feladatkörük ellátása során”^[18].

Az ítéletben a Bíróság tárgyalta az állami felügyelet kérdését^[19] is: Németország ugyanis azzal érvelt, hogy az állami felügyeletről szóló rendelkezések célja nem az, hogy valamiféle politikai befolyást tegyenek lehetővé az adatvédelmi hatóságok döntéseire, hanem a közigazgatás tevékenységének ellenőrzését célozza. A Bíróság azonban rámutatott, hogy a kormány maga is érdekelt lehet az érintett esetekben, pl. „egy közjogi-magánjogi társulás esetében, vagy a magánszektort érintő közbeszerzés keretében”, illetve a kormánynak egyéb érdeke is fűződhet ahhoz, hogy valamely adatbázishoz hozzáférjen, egyes esetekben gazdasági érdekeket helyezzen a személyes adatok védelmének érdeke elé. E körben fogalmazta meg a Bíróság az ítélet egy további igen fontos tételét: „önmagában az a kockázat, hogy az adatkezelést ellenőrző hatóságok döntéseire az őket felügyelő hatóságok politikai befolyást gyakorolhatnak, már elegendő akadályát jelenti annak, hogy az előbbiek független módon láthassák el feladatkörüket”^[20]. A Bíróság szerint „a magánélethez való jog őrzőjének szerepe, amit az említett hatóságok betöltenek, megköveteli, hogy határozataik, így ők maguk is, mentesek legyenek a részrehajlás legcsekélyebb gyanújától is”^[21].

Végül az ítélet tárgyalja Németország azon érveit, amelyek egyes közösségi jogi elveket hívnak fel álláspontjuk védelmében.^[22] E körben a német fél hivatkozott arra, hogy a függetlenség széles értelmezése ellentétes a demokrácia elvével, mivel végső soron a közigazgatást alá kell vetni a parlamentnek felelős kormánynak, és az illetékes miniszternek törvényes felügyeletet kell gyakorolnia minden olyan beavatkozás felett, amely a polgárok és vállalkozások jogait érinti. A Bíróság álláspontja szerint azonban nem ellentétes a demokrácia elvével olyan hatóságok létezése, amelyek „a hagyományos hierarchikus közigazgatási struktúrán kívül helyezkednek el, és a kormánytól többé-kevésbé függetlenek. Az ilyen hatóságok létezését és működéseinek feltételét a tagállamokban törvény, vagy bizonyos tagállamokban maga az alkotmány szabályozza, e hatóságoknak törvényesen kell működniük, és alá vannak vetve a hatáskörrel rendelkező bíróságok felülvizsgálatának”^[23]. A parlamenti befolyás a bírák szerint ebben az esetben is megvan, ennek kifejeződése pl. az, hogy maga a jogalkotó határozza meg az adatvédelmi hatóságok hatáskörét, ezt jelenti a választással/kinevezéssel kapcsolatos jogok gyakorlása, illetve ennek eleme az is, hogy a hatóságok beszámolnak tevékenységükről a parlament számára. Németország kétségbe vonta azt is, hogy az adatvédelmi hatóságok függetlensége előírható az EK-Szerződés 100a cikke alapján, amelyen 95/46-os irányelv alapszik: a Bíróság szerint azonban ilyen aggály nem merül fel, mivel ezen hatóságok független működése szükséges a személyes adatok közösségen belüli szabad áramlásához, így közvetve az egységes belső piac működéséhez. Végezetül Németország hivatkozott a szubszidiaritás elvének sérelmére: ezen érv szerint „e követelménnyel ellentétes volna a Németországi Szövetségi Köztársaságot saját jogrendjétől idegen rendszer elfogadására kötelezni, és így megszüntetni egy hatékony, már közel harminc éve bevált felügyeleti rendszert […]”. A Bíróság nem fogadta el az érvet: álláspontja szerint a függetlenség „széles” értelmezése „nem haladja meg az EK-Szerződés céljainak eléréséhez szükséges mértéket”.

Mindezek alapján a Bíróság kimondta, hogy Németország „mivel a személyes adatoknak a nem állami szervek és a piaci versenyben részt vevő közjogi vállalkozások általi kezelését ellenőrző hatóságokat egyes tartományokban állami felügyelet alá vonta, és ezáltal e hatóságok „teljes függetlensége” biztosításának kötelezettségét helytelenül ültette át – nem teljesítette a[z …] irányelv 28. cikke (1) bekezdésének második albekezdéséből eredő kötelezettségeit”.

Az ítélet jelentősége, hogy a Bíróság első esetben interpretálta a „teljes függetlenség” az Irányelv 28. cikkének (1) bekezdésében foglalt fogalmát, és annak igen széles értelmezést adott. Álláspontunk szerint a legfontosabb megállapítás ebben az esetben az volt, hogy a függetlenség (1) nem kizárólag az ellenőrzött szervezetek/személyekkel szembeni függetlenség, hanem bármely összefonódást, illetőleg közvetlen, vagy akár közvetett befolyás gyakorlását is kizárja, és (2) annak megállapításához, hogy a „teljes függetlenséget” rögzítő szabályozást a tagállam nem megfelelően ültette át, nem szükséges a függetlenség tényleges csorbulása, elegendő annak kockázata, lehetősége, hogy a befolyásolás megtörténik. Az első tételre a Bíróság is épített a későbbiekben az Ausztria elleni eljárás során, s azt a magyar adatvédelmi szabályozás átalakítását bíráló civil szervezetek^[24], majd a Bizottság magyar ügyben benyújtott keresete is idézi.

Európai Bizottság kontra Ausztria: további adalékok a „teljes függetlenség” fogalmához

Az Európai Bizottság kontra Osztrák Köztársaság ügy tárgya a fenti ügyhöz hasonlóan az Irányelv 28. cikk (1) bekezdésében foglalt függetlenségi követelmény értelmezése. Ebben az ügyben a Bíróság már támaszkodhatott a korábbi határozatban kifejtett értelmezésre. Mint azonban az alábbiakban látni fogjuk, az ez év nyarán meghozott ítéletében a testület egyben tovább is fejlesztette a függetlenséggel kapcsolatos doktrínát.

Az osztrák ügy tárgya annak megítélése volt, hogy az osztrák adatvédelmi hatóság, a Datenschutzkommission (DSK, Adatvédelmi bizottság) szabályozása megfelel-e az Irányelvben rögzített függetlenségi követelménynek. A Bizottság oldalán beavatkozóként vett részt az eljárásban – a német ügyhöz hasonlóan – az Európai Adatvédelmi Biztos, míg Ausztria oldalán a Németországi Szövetségi Köztársaság.

Az osztrák DSK státusát a 2000. évi adatvédelmi törvény (DSG 2000) szabályozza. A DSK hat tagú tanácsként működik; a tagok feladatkörüket más szakmai tevékenységük mellett, részmunkaidőben látják el. Az egyik tag jogász végzettségű köztisztviselő. A szabályozás rögzíti, hogy a DSK tagjai „függetlenek, és feladatkörük ellátása során senkitől nem fogadhatnak el utasítást”. A folyamatban lévő ügyek kezelésére a tagok közül „ügyvezetőt” jelölnek ki; az ügyvezetői feladatkört a DSK eljárási szabályzata szerint szövetségi köztisztviselő látja el. A DSK működését hivatal támogatja, amelyet a szövetségi kancellár hoz létre. Az osztrák szabályozás a szövetségi kancellár számára rögzíti azt a jogot, hogy a DSK elnökétől vagy az ügykezelőtől „bármikor jogosult tájékoztatást kérni a [DSK] irányításának minden aspektusáról”. Az ügy szempontjából lényeges még, hogy a köztisztviselők jogállásáról szóló osztrák törvény^[25] számos ellenőrzési/irányítási jogosítványt és kötelezettséget fogalmaz meg az alárendelt munkatársakkal (így a DSK legalább egy tagjával) kapcsolatban.

A Bizottság (és az Európai Adatvédelmi Biztos) három kifogással élt. Az első szerint problematikus az ügyvezető státusza, aki a szövetségi kancellária köztisztviselője (és így szolgálati felügyelet alatt áll); a második szerint „a DSK hivatala a szövetségi kancellária keretébe illeszkedik”, így az sem szervezetileg, sem anyagilag nem független, ráadásul a DSK hivatala a szövetségi kancellária keretei közé illeszkedik vagyis az alkalmazottak felett a kancellária szolgálati felügyeletet gyakorol; végül kifogásolta a szövetségi kancellár korlátlan tájékozódási jogát^[26]. Érdemes megjegyezni, hogy a Bizottság – és nyomában az alább részletesebben hivatkozott főtanácsnoki indítvány – megjelölte a „teljes függetlenség” egyes elemeit: funkcionális, pénzügyi és szervezeti függetlenségről beszél, amelyek közül ebben az esetben csak az első biztosított.^[27]

Ausztria és Németország ezzel szemben érvelésében azt adta elő, hogy a DSK az Osztrák Alkotmánytörvény (BVG) értelmében vett „igazságszolgáltatási feladatokat ellátó kollegiális hatóság”, és „az ilyen szervezet a EUMSz. 267. cikk, valamint az emberi jogok és az alapvető szabadságok védelméről szóló, 1950. november 4-én Rómában kelt európai egyezmény 6. cikkének (1) bekezdése értelmében vett független bíróságnak minősül, amely ennek következtében a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében szereplő függetlenség követelményének is megfelel”. Éppen ez az a pont, ahol az osztrák ügy jelentős előrelépést hozott a függetlenség értelmezésében, ugyanis a Bíróság elválasztotta az adatvédelmi hatóság függetlenségének fogalmát a bíróságok függetlenségének fogalmától, és az előbbit szélesebben értelmezte (lásd alább).

Az osztrák fél a továbbiakban azzal érvelt, hogy a DSK módosíthatja szervezeti szabályzatát oly módon, hogy az ügyvezetőt saját belátása szerint maga nevezze ki; az érvelés szerint „[a]z a tény, hogy az ügyvezető – csakúgy, mint bármely más köztisztviselő – előmenetelében a feletteseitől, végső soron pedig valamely minisztertől függ, nincs hatással a függetlenségére”. A második ellenérv szerint „költségvetési jogi szempontból a szövetségi közigazgatás valamennyi szerve valamely minisztériumtól függ”. A szolgálati felügyelet „a DSK megfelelő működésének garanciája”, és nincs hatással a függetlenségre. Ami pedig a szövetségi kancellár tájékoztatáshoz való jogát illeti, „e jog annak garantálására irányul, hogy az autonóm szervek bizonyos mértékben demokratikus módon kötődjenek a parlamenthez”, és nem alkalmas befolyás kifejtésére^[28].

A Bíróság mind a három pontban a Bizottság és az Európai Adatvédelmi Biztos által előterjesztett érveket tette magáévá. Nagyon fontos, hogy a Bíróság már elöljáróban^[29] elutasította azt az osztrák érvet, amely szerint a DSK függetlennek minősülne az Irányelv 28. cikk (1) bekezdése szerint pusztán azért, mert „eleget tesz az EUMSz. 267. cikkben a tagállami bíróságnak való minősítés lehetőségére vonatkozó függetlenség feltételének”. A Bizottság kontra Németország ügyre hivatkozva a Bíróság utal rá, hogy az Irányelv „teljes függetlenség” fogalmát önállóan kell értelmezni, az EUMSz. 267. cikkétől függetlenül, az Irányelv szövege, céljai és rendszere alapján.
E ponton a Bíróság felidézi a német döntés általunk is idézett kulcstételeit: a felügyelő hatóságoknak „olyan függetlenséggel kell rendelkezniük, amely lehetővé teszi számukra, hogy feladataik ellátása során külső befolyástól mentesen járjanak el”, valamint „az említett hatóságoknak védelmet kell élvezniük minden olyan – akár közvetlen, akár közvetett – külső befolyástól, amely hatással lehetne határozataikra”.

Ez a megállapítás annyira jelentős, hogy érdemes felidézni adalékképpen a főtanácsnoki indítványt is. JAN MAZÁK főtanácsnok indítványa^[30] ugyanis a fenti megállapítás rögzítésén túl kitér arra is, hogy mi következik ebből az értelmezésből. Nem más, minthogy az adatvédelmi hatóságok „teljes függetlenségének” ilyen önálló értelmezése következtében akár olyan helyzet is létrejöhet, „amelyben valamely nemzeti hatóság elég függetlennek tekinthető ahhoz, hogy az EUMSz. 267. cikk szerinti bíróságnak minősüljön, ugyanakkor pedig nem elég függetlennek ahhoz, hogy a 95/46 irányelv 28. cikkének (1) bekezdése szerinti felügyelő hatóságot képezzen”^[31]. Így az a következtetés adódik, hogy az adatvédelmi hatóságok függetlenségének tárgyalásakor sokak (pl. a magyar adatvédelmi hatóság átszervezését bíráló civil szervezetek^[32]) által használt analógia, amely e függetlenséget a bírói függetlenséghez hasonlítja, egészen új megvilágításba kerül: az adatvédelmi hatóságok függetlensége ugyanis az EUB gyakorlata szerint akár többletelemeket is tartalmazhat a bírói függetlenséghez képest.

A Bíróság ítélete leszögezi, hogy a funkcionális függetlenség nem elegendő az Irányelv szerinti „teljes függetlenség” biztosításához, hanem ki kell zárni azon, akár közvetett befolyást is, amely hatással lehet a határozatokra^[33]. Ezt követően a Bíróság a Bizottság három kifogását tárgyalja. A testület szerint az ügyvezető helyzete sérti a függetlenséget, mivel szolgálati felügyelet alatt áll: „nem zárható ki, hogy a DSK ügyvezetőjének a felettese általi, az előmenetelt célzó értékelése ahhoz vezet, hogy az ügyvezető megpróbál előre megfelelni a felettese szándékainak”^[34]. A Bíróság – szintén a német ügyre hivatkozva – ismét rögzíti, követelmény az, hogy „e hatóságok határozatainak, és így saját maguknak a pártatlansága minden gyanú felett álljon”^[35].

Ezt követi a pénzügyi és szervezeti függetlenség kérdésének tárgyalása (megjegyzendő, hogy ezeket a kifejezéseket – a főtanácsnoki indítvánnyal ellentétben – az ítélet nem használja). A Bíróság nem tartja kizártnak, hogy a „teljes függetlenség” úgy is biztosítható, ha az adatvédelmi hatóság nem képez önálló költségvetési tételt, ám „a szükséges személyi és tárgyi feltételeknek az említett hatóság számára történő biztosítása nem lehet akadálya annak, hogy ez utóbbi a feladatai ellátása során a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdése értelmében vett ’teljes függetlenségben’ járjon el”. Ez a követelmény a Bíróság szerint nem teljesül, hiszen a DSK hivatalának személyi állománya szolgálati felügyelet alatt áll, amely nem egyeztethető össze a függetlenség irányelvi követelményével. Ez akkor is így van, ha nem a hivatal hozza a döntéseket: a DSK és a szövetségi kancellária közötti szervezeti összefonódás miatt a DSK pártatlansága nem áll minden gyanú felett, és ezen összefonódás összeegyeztethetetlen az Irányelv értelmében vett „függetlenség” követelményével.^[36]

Ami a Bizottság harmadik kifogását, vagyis a szövetségi kancellár tájékoztatáshoz fűződő jogát illeti, a Bíróság kiemeli, hogy e jog egyrészt feltétlen, másrészt a DSK irányításának valamennyi aspektusára vonatkozik, így „e jog szintén azzal járhat, hogy a DSK a szövetségi kancellár közvetett befolyása alá kerül, ami összeegyeztethetetlen a 95/46 irányelv 28. cikke (1) bekezdésének második albekezdésében szereplő függetlenség követelményével”^[37]. Ebben az esetben is lényeges, hogy a szabályozás kétségeket támaszthat az intézmény függetlenségét illetően: „a tájékoztatáshoz való jog miatt nem lehet úgy tekinteni, hogy a DSK működésének pártatlansága bármilyen körülmények között minden gyanú felett áll”^[38].

A Bíróság a fentiek alapján kimondta, hogy a Bizottság által kifogásolt mindhárom pont összeférhetetlen a függetlenség követelményével, vagyis Ausztria nem teljesítette az Irányelv 28. § (1) bekezdéséből származó kötelezettségét, amikor „olyan szabályozást alkotott, amely alapján a DSK ügyvezetője szolgálati felügyelet alatt álló szövetségi köztisztviselő, a DSK hivatala a szövetségi kancellária szervezeti egységei közé tartozik, és a szövetségi kancellár a tájékoztatáshoz való feltétlen joggal rendelkezik a DSK irányításának valamennyi aspektusát illetően”.

Összefoglalva, az osztrák ügyben hozott ítélet sokban épít a Bíróság korábbi, a Bizottság kontra Németország ügyben hozott döntésére. Elvi jelentőségű újdonság azonban, hogy a Bíróság megkülönbözteti az Irányelvben foglalt „teljes függetlenség” fogalmát a bírói függetlenségtől, s fenntartja az előbbi fogalom szélesebb értelmezésének lehetőségét. Ezen túl fontos kiemelni, melyek a német ügyből származó, az ítélet indokolásában hangsúlyosan hivatkozott tételek. Ezek közül az első, amely az akár „közvetett” befolyás kizárásának szükségességére vonatkozik; a második pedig az, amely a „teljes függetlenség” fennállásához azt is megkívánja, hogy az adatvédelmi hatóság pártatlansága minden gyanú felett álljon.

Európai Bizottság kontra Magyarország: a „teljes függetlenség” és az adatvédelmi hatóság átszervezésének korlátai

Az Irányelv szerinti adatvédelmi hatóság Magyarországon 1995-től az adatvédelmi biztos volt. A 2011-ben hivatalban lévő adatvédelmi biztost az Országgyűlés közel egyhangúlag választotta meg, 2014 szeptemberéig terjedő mandátummal^[39]. A biztos több, nagy nyilvánosságot kapott ügyben fellépett az állam és egyes kormányzati szereplőkhöz köthető adatvédelmi jogsértések vizsgálata érdekében (így bíróság által is jóváhagyott hatósági határozatot bocsátott ki az ún. „hódmezővásárhelyi szégyenlista” ügyében^[40], valamint hatósági határozatban rendelte el a Kormány által kezdeményezett ún. „Szociális Konzultációval” kapcsolatos egyes adatok törlését)^[41]. A kormánytöbbség 2011-ben új törvényi szabályozást alkotott az adatvédelem területére^[42], amely 2012. január 1-jével új adatvédelmi hatóságként létrehozta az ún. Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH). A NAIH elnöki tisztjét az új szabályozás szerint immár nem parlamenti választással, hanem köztársasági elnöki kinevezéssel nyeri el a jelölt; a jelölés pedig a továbbiakban nem a köztársasági elnök, hanem a miniszterelnök joga^[43]. A miniszterelnök 2011 novemberében megtette jelölését a NAIH elnöki posztjára, majd a köztársasági elnök kinevezte a jelöltet, aki nem azonos a 2011-ben mandátumát töltő adatvédelmi biztossal. Az adatvédelmi biztos mandátumát a jogalkotó ezzel párhuzamosan törvénnyel idő előtt megszakította^[44].

Az ügyben több civil szervezet fogalmazott meg kritikát, amelyet az Európai Bizottság elnökéhez is eljuttattak^[45]; a Bizottság tájékoztatást kért, majd indokolással ellátott véleményt fogalmazott meg az ügyben, végül 2012. júniusában benyújtotta keresetét Magyarországgal szemben^[46].

A Bizottság keresetlevelében annak kimondását kéri a Bíróságtól, hogy az adatvédelmi biztos megbízatásának idő előtti megszüntetése sérti az Irányelv rendelkezéseit, az abban foglalt függetlenségi követelményt. A Bizottság szerint, bár a tagállamok szabadon határozzák meg az adatvédelmi felügyelő hatóság megbízatásának időtartamát, annak ésszerű hosszúságúnak kell lennie, illetőleg az előzetesen meghatározott megbízatási időtartamot tiszteletben kell tartani.

A Bizottság szerint a megbízás idő előtti megszüntetését csak súlyos és objektív okok indokolhatják, ám Magyarország ilyenre nem hivatkozott. Az adatvédelmi felügyelő hatóság modelljének megváltozása önmagában nem szolgálhat indokul a korábbi felügyelő hatóság megbízatásának megszüntetésére. Modellváltás esetén is nyitva állt volna ugyanis az a megoldás, hogy „az új modellt csak a hivatalban lévő adatvédelmi biztos megbízatása lejárta után kelljen alkalmazni, akár azt, hogy az új Hatóság első elnöke a korábbi adatvédelmi biztos legyen a megbízatásából hátralévő időtartamra”. Ha a modellváltás elfogadható lenne valamely adatvédelmi hatóság megbízatásának megszüntetésére, akkor „az Unióban bármely adatvédelmi felügyeleti hatóság állandóan ki lenne téve annak a veszélynek, hogy megszüntethető a megbízatása olyan jogalkotási intézkedéssel, amely megszünteti az éppen fennálló hatóságot, és a 95/46/EK irányelv szerinti feladatkör gyakorlására új hatóságot hoz létre a helyében. Nem zárható ki, hogy ilyen reformokat használnának fel a politikai hatóságok helytelenítését kiváltó adatvédelmi felügyelő hatóságok szankcionálására és ellenőrzésére. Az ilyen befolyásolás puszta kockázata is összeegyeztethetetlen a felügyelő hatóságok teljes függetlenségével”. A Bizottság álláspontja szerint tehát lehetséges a modellváltás, ám e modellváltás egyáltalán nem indokolta a korábbi felügyelő hatóság megbízatásának megszüntetését. E váltás kizárólag oly módon mehet végbe, hogy az ne érintse a felügyelő hatóság megbízatását. A jogsértés orvoslása a Bizottság álláspontja szerint úgy történhet, hogy „a korábbi adatvédelmi biztos ismét elfoglalja a 95/46/EK irányelv szerinti tisztségét a megbízatásából 2011. december 31-ét követően még hátralévő időtartamra”, akár a NAIH elnökeként. Lényeges, hogy a Bizottság szerint Magyarország ezzel kapcsolatban nem hivatkozhat az új hatóság elnökének függetlenségére, mivel ezzel saját jogsértésére hivatkozna a saját védelmében.

A magyar eset lényegesen különbözik a fentiekben ismertetett két ügytől. Míg azokban az volt a kérdés, hogy egyes sok éve létező adatvédelmi hatóságok státusza összeegyeztethető-e az Irányelv függetlenség-követelményével, úgy a magyar eset elsődleges tárgya az átszervezés, a korábbi hatóság megszűnése és az új létrejötte. Ez akkor is így van, ha mind az átszervezést megelőzően, mind azt követően önállóan is létrejöttek olyan tényállások, amelyek nézetünk szerint sértették az Irányelv függetlenségi szabályát. Ami a 2011-es évet, vagyis az átszervezést megelőző időszakot illeti, ilyennek tekinthető az a helyzet, amelyben a jogalkotó az adatvédelmi biztossal történő konzultáció nélkül, egyoldalúan bocsátkozott a reformfolyamatba, így elbizonytalanítva a hatóság munkatársait jövőjük felől: mindez egyes munkatársak távozásához vezetett, és zavarta az adatvédelmi hatóság működését (nyilvánvalóan legalább közvetett, de inkább közvetlen befolyást gyakorolva annak tevékenységére)^[47]. Az átszervezést követő tényállás, hogy az újonnan létrejött adatvédelmi hatóság „újraértékelte” a korábbi egyik nagy jelentőségű ügyét, és (nézetünk szerint ráadásul jogszerűtlenül) a kormányzatnak kedvező módon korrigálta annak határozatát^[48]. Ebben az esetben nyilvánvaló a hatóság független működésével kapcsolatban kifejtett közvetlen befolyás, ráadásul sérül a Bíróság által megfogalmazott tétel is, amely szerint az adatvédelmi hatóságok és határozataik pártatlansága minden gyanú felett kell, hogy álljon a „teljes függetlenség” megvalósulásához.

Ezen fenti tényállások azonban függetlenek a Bizottság keresetének tárgyává tett tényállástól, amely az indítványozó szerint önmagában megvalósítja a függetlenség sérelmét. Más szóval: az adatvédelmi hatóság fenti módon történő átszervezése abban az esetben is sértette volna az Irányelv 28. cikkében foglalt függetlenségi követelményt, ha a későbbi fejlemények nem támasztották volna alá az átszervezés politikai motivációit. Ez következik a Bíróság által a német és osztrák ügyekben kifejtett függetlenség-értelmezéséből: maga a megbízatás megszüntetésével összekapcsolt átszervezés elvi lehetőségének, és ilyen úton a működő adatvédelmi hatóság befolyásolásának puszta kockázata is összeegyeztethetetlen a „teljes függetlenség” irányelvi követelményével.

A jövő: az adatvédelmi rendelettervezet függetlenséggel kapcsolatos rendelkezései

Az Irányelv függetlenségre vonatkozó szabálya alkalmas lehet ugyan utólagos reparáció biztosítására, ám – különösen a magyar esethez hasonló jogsértések esetében – a kötelezettségszegési eljárás és a nyomában következő bírósági döntés nehezen orvosolja a jogsértés minden következményét. Bár a korábbi felügyelő hatóság megbízatása folytatható, adott esetben nehezen tehetők jóvá a jogellenesen létrehozott hatóság által politikai okokból kibocsátott határozatok, vagy egyszerűen a humán erőforrás (a megalakulás körülményeinek köszönhető) gyengeségéből eredő alacsony szakmai színvonalú jogértelmezések következményei^[49]. Nehezen orvosolhatók a mindvégig esküjükhöz híven eljáró, és ennek következtében nyugdíjba vagy külföldre kényszerített köztisztviselőket ért sérelmek. Nyilvánvaló tehát, hogy – a német, az osztrák, és a magyar eset tanulságai nyomán – a jövőben erősíteni szükséges a „teljes függetlenség” garanciáit az európai adatvédelmi jogban.

A Bíróság fenti esetjoga számos, a fentiekben ismertetett tételt lefektetett a „teljes függetlenség” fogalmával kapcsolatban. Ezen túlmenően gyakorlatából kiolvashatók a függetlenség egyes elemei is – figyelemre méltó azonban, hogy ezeket az EUB mindenkor csak körülírja, nem nevezi meg. Ezen elemeket a Bizottság keresetei és más, a kötelezettségszegési eljárások során megfogalmazott dokumentumai, valamint a főtanácsnoki indítványok kifejezetten tárgyalják. A függetlenség elemei mindezek alapján a következők: funkcionális, pénzügyi és szervezeti függetlenség^[50]; ezekhez társul negyedikként a magyar üggyel kapcsolatos egyes dokumentumokban használt „személyi függetlenség”^[51].

A Bizottság által 2012 januárjában közzétett általános adatvédelmi rendeletjavaslat^[52] VI. fejezete (melynek címe: Független felügyelő hatóságok) 1. szakasza (46–49. cikkek) kifejezetten a független jogállást rendezi, oly módon, hogy a szabályozási javaslatban megjelenik a függetlenség mind a négy fent felsorolt tartalmi eleme (és a fenti jogesetek egyes tanulságai is^[53]).

A javaslat rögzíti a funkcionális függetlenség követelményét, így azt, hogy „a felügyelő hatóság a ráruházott feladat- és hatáskörök gyakorlása során teljesen függetlenül jár el”, valamint „a felügyelő hatóság tagjai feladatkörük ellátása során senkitől nem kérhetnek, és nem fogadhatnak el utasítást”^[54]. Megjelennek az adatvédelmi hatóság pénzügyi függetlenségét biztosítani hivatott garanciák is, így annak követelménye, hogy a hatóság a függetlenségét nem befolyásoló pénzügyi ellenőrzés alá tartozik, és elkülönített éves költségvetéssel rendelkezik^[55]. Ide sorolható az a kötelezettség is, amely szerint a tagállam köteles biztosítani a felügyelő hatóság számára a feladat- és hatáskörei „ellátásához szükséges megfelelő emberi, műszaki és pénzügyi forrásokat, helyiségeket és infrastruktúrát”^[56]. A szervezeti függetlenséget hivatott biztosítani (és érezhetően az osztrák példához hasonló megoldások kizárását célozza) az a szabály, amely alapján minden tagállam köteles biztosítani, hogy „a felügyelő hatóság saját személyzettel rendelkezzen, amelyet a felügyelő hatóság vezetése nevez ki és irányít”^[57].

A személyes függetlenség garanciái is megjelennek a javaslatban: maga az új helyzetet eredményez, hogy a rendelet részletesen szabályozza a kinevezés és leváltás kérdéseit, vagyis a nemzeti jog alakításával nem lehet a jövőben a magyar átalakításhoz hasonlóan jogcímre hivatkozás nélkül megszüntetni az adatvédelmi hatóság megbízatását. A javaslat rögzíti a lehetséges tagok körét („akiknek függetlenségéhez nem fér kétség, és akik már bizonyították a személyesadat-védelem területén ellátandó feladatkörhöz szükséges tapasztalataikat és képességeiket”^[58]), a megbízatás megszűnésének eseteit (hivatali idő lejárta, lemondás, felmentés; ez utóbbi csak abban az esetben, ha „már nem felel meg a feladatai teljesítéséhez előírt feltételeknek, vagy súlyos kötelességszegést követett el”, és csak nemzeti bíróság által)^[59]. A javaslat további, a személyi függetlenség keretébe tartozó rendelkezéseket is tartalmaz, pl. az összeférhetetlenséggel, illetve a hivatali idő leteltét követő magatartással kapcsolatban.^[60] A jogszabály-előkészítő a rendelet keretei között számos kérdést utalna tagállami hatáskörbe (a hatóság létrehozásának, jogállásának részletszabályai, a végzettség, tapasztalat, kinevezés és összeférhetetlenség kérdéseit rendező részletszabályok; a megbízatás időtartama (amely azonban főszabály szerint legalább négy év); az ismételt kinevezésre vonatkozó szabályok, a feladatkörökre és a megbízatás megszűnésére vonatkozó részletszabályok).

Bár a rendelet-javaslat tartalmazza a függetlenség legfontosabb garanciáit, fontos megjegyezni, hogy a nemzeti jogalkotó függetlenségét sértő aktusait a jelen verzió teljes mértékben nem zárja ki: így pl. minden további nélkül elképzelhető, hogy az adatvédelmi hatóság hivatalban lévő (és a rendeleti szabályozás miatt nem leváltható) tagja mellé nemzeti jogszabályok módosításával további tagokat neveznek ki. Remélhető, hogy a jövőben elfogadandó uniós adatvédelmi szabályozás – éppen a fenti jogesetek tanulságai alapján – az ilyen törekvéseket is kizárja majd.

Az Irányelvben foglalt „teljes függetlenséggel” működő adatvédelmi hatóságok az európai adatvédelmi jog hatékony működésének alapelemei. Ha e hatóságok függetlensége csorbul, ha a kormányzat beavatkozása miatt kérdésessé válik objektív, szakmai alapon végzett ítéletalkotásuk, akkor az adatvédelmi jog nem képes biztosítani azokat a jogokat és szabadságokat, amelyek védelmének alapvető eszköze a modern információs társadalomban. A közeljövőben a Bizottság kontra Magyarország ügyben a Bíróság tovább értelmezi majd a függetlenség fogalmát; a bírói értelmezés pedig kihat majd a jövendő szabályozásra is. Az új európai adatvédelmi jog őrei csak „teljes függetlenséggel” bíró, a politika nemkívánatos befolyásától védett, erős adatvédelmi hatóságok lehetnek.

 

 

---

A szerző 2000 óta ügyvéd és európai jogi szakértő, szakterülete az adatvédelem és a peres eljárások joga.

^[1] Az eredeti hivatalos fordítás az „adatfeldolgozás” fogalmat használta; ám e fogalom a magyar adatvédelmi jogban eltérő tartalommal használt. Erre hamar felhívta a figyelmet a magyar jogirodalom: lásd Jóri András: Adatvédelmi Kézikönyv. Osiris, Budapest, 2005. p. 150., 157., 159. A C-518/07 ügy ítéletének fordítása már „a személyes adatok feldolgozása [helyesen: kezelése]” fordulattal él.

^[2] HL L 281. p. 31.; magyar nyelvű különkiadás 13. fejezet, 15. kötet. p. 355.

^[3] C-518/07

^[4] EBHT 2007. p. I-1885.

^[5] C-614/10

^[6] Az EBHT-ben még nem tették közzé; lásd http://curia.europa.eu/juris/document/document.jsf?text=&docid=128563&pageIndex=0&doclang=HU&mode=lst&dir=&occ=first&part=1&cid=301899 [2012.12.02]

^[7] C-288/12

^[8] http://curia.europa.eu/juris/document/document.jsf?text&docid=125053&pageIndex=0&doclang=HU&mode=lst&dir&occ=first&part=1&cid=28050 [2012.12.02]

^[9] A német ügyről lásd még: Hüttl Tivadar: Az Európai Bíróság ítélete az adatvédelmi hatóságok függetlenségéről. Az adatvédelmi irányelvben foglalt „teljes függetlenség” fogalmának meghatározása, Jogesetek Magyarázata, 2011/3. p. 55. és Hüttl, Tivadar: The content of ’complete independence’ contained in the Data Protection Directive, International Data Privacy Law (2012) 2(3). p. 137–148.

^[10] Itt és a további lábjegyzetekben: Ítélet. Ítélet, 15. pont

^[11] Ítélet, 16. pont. Ez az értelmezés az alábbiakban tárgyalt „funkcionális” függetlenségre szorította volna az Irányelvben meghatározott fogalom értelmezését.

^[12] Ítélet, 16. pont.

^[13] Ítélet, 19. pont.

^[14] Ítélet, 25. pont.

^[15] „E függetlenség nemcsak az ellenőrzött szervezetek által gyakorolt bármilyen befolyást zár ki, hanem bármilyen összefonódást vagy más, akár közvetlen, akár közvetett külső befolyást is, amely akadályozhatná az említett hatóságoknak a magánélet védelméhez való alapvető jog és a személyes adatok szabad áramlása közötti helyes egyensúly létrehozásában álló feladatai teljesítését.” Lásd Ítélet, 30 pont.

^[16] A személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i 45/2001/EK európai parlamenti és tanácsi rendelet (HL 2001. L 8. p. 1. o.; magyar nyelvű különkiadás 13. fejezet, 26. kötet. p. 102.)

^[17] Ítélet, 27. pont. Ez a „funkcionális függetlenség”, amely szükséges, de nem elégséges eleme a teljes függetlenségnek. Lásd alább.

^[18] Ítélet, 28. pont.

^[19] Ítélet, 31–37 pont.

^[20] Ítélet. 36 pont.

^[21] Ítélet. 36 pont.

^[22] Ítélet, 38–55 pontok.

^[23] Ítélet, 42 pont.

^[24] Lásd az Eötvös Károly Intézet, a Magyar Helsinki Bizottság és a Társaság a Szabadságjogokért 2011. október 3-án kelt levelét José Manuel Barrosonak, az Európai Bizottság elnökének, 2. oldal: http://ekint.org/ekint_files/File/barroso_dpa_independence_20111106_printed.pdf [2012.12.02.]

^[25] Beamten-Dienstrechtsgesetz 1979

^[26] Itt és a további lábjegyzetekben: Osztrák ítélet. Osztrák ítélet, 25–27. pontok.

^[27] Ezek az elemek a felek érvelésében már a német ügyben felbukkantak, ám a Bíróság az ítéletben nem használta őket (lásd Mazák főtanácsnoknak az osztrák ügyben tett indítványát, 26. pont). Ezt egészíti ki majd a Bizottság a magyar ügyben egy negyedik összetevővel, a „személyi függetlenség” elemével.

^[28] Osztrák ítélet, 32–34. pontok.

^[29] Osztrák ítélet, 39–41. pontok.

^[30] http://curia.europa.eu/juris/document/document.jsf?text=&docid=124563&pageIndex=0&doclang=HU&mode=lst&dir=&occ=first&part=1&cid=733640 (Az ismertetés napja: 2012. július 3.) [2012.12.02.]

^[31] Mazák főtanácsnok indítvány az osztrák ügyben, 25. pont.

^[32] Lásd a 24. lábjegyzetet.

^[33] Osztrák ítélet, 43. pont. Itt kell rámutatni arra, hogy a magyar hatóság „átszervezése” kapcsán bizonyítható, hogy a kormányzat egyes adatkezelései vonatkozásában a legitim adatvédelmi hatóság, az adatvédelmi biztos által hozott legalább egy határozat tartalma megváltozott az új adatvédelmi hatóság létrehozatalával okozati összefüggésben. Lásd alább.

^[34] Osztrák ítélet, 51. pont.

^[35] Osztrák ítélet, 52. pont.

^[36]  Osztrák ítélet, 61. pont.

^[37] Osztrák ítélet, 63. pont.

^[38]  Osztrák ítélet, 64. pont.

^[39] 104/2008. (X. 3.) OGY hat.

^[40] További elemzéshez lásd Soós Andrea Klára: A Szégyenlista-ügy, Infokommunikáció és jog 2011/47

^[41] Az adatvédelmi hatóság „átszervezéséről” és azt ezt megelőző eseményekről lásd a volt adatvédelmi biztos írását: Jóri, András: The end of independent data protection supervision in Hungary – a case study. in: Gutwirth, S.; Leenes, R.; de Hert, P.; Poullet, Y. (eds.): European Data Protection: Coming of Age. Springer, 2013. (Tervezett megjelenés: 2012. december 31.)

^[42] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.).

^[43] Infotv. 40. § (1) bek.

^[44] Magyarország Alaptörvényének átmeneti rendelkezései (2011. december 31.) 16. cikk.

^[45] Lásd a 24. lábjegyzetet.

^[46] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2012:227:0015:02:HU:HTML [2012.12.02.]

^[47] „A befolyásmentes működést sérti az is, hogy az átalakításról egyoldalú kormányzati kinyilatkoztatások történnek: semmilyen szakmai vita nem folyt, nem alakult ki, annak ellenére, hogy számos fórumon, így a parlamentben az alkotmány vitája során is ismertettem az érveimet.” Lásd Jóri: Már most is EU-jogot sért az állam, Index, 2011. április 30. http://index.hu/belfold/2011/04/30/jori_mar_most_eu-s_jogot_sert_az_allam/ [2012.12.02.]

^[48] Lásd: Péterfalvi megmentené a szociális konzultáció kérdőíveit? Index, 2012. február 15., http://index.hu/belfold/2012/02/15/peterfalvi_megmentene_a_szocialis_konzultacio_kerdoiveit/, illetve a NAIH határozatát: http://www.naih.hu/files/A-szocialis-konzultacio-adatkezelesevel-kapcsolatos-adatvedelmi-biztosi-hatarozatot-modosito-hatosagi-hatarozat.pdf [2012.12.02.]; valamint Jóri András: Továbbra is jogellenes a szociális konzultációval kapcsolatos adatkezelés, Jogi Fórum, 2012. július 30. http://www.jogiforum.hu/hirek/28066 [2012.12.02.]

^[49] A tendencia a magyar hatóság esetében sajnos nyilvánvaló: annak jogvédelmi tevékenységét hiányoló bírálata már közhelyszámba megy a civil szervezetek részéről, mivel rendszeresen mulasztja el a megszólalást alapvető fontosságú, adatvédelmi relevanciájú ügyekben (pl. választási regisztráció, katasztrófavédelmi regisztráció); lásd: Az Adatvédelmi Hatósághoz fordultunk, de hiába, Társaság a Szabadságjogokért, 2012. november 20. http://tasz.hu/adatvedelem/az-adatvedelmi-hatosaghoz-fordultunk-de-hiaba [2012.12.02.]; a magánszférabeli adatkezelők kapcsán folytatott gyakorlatának bírálatára lásd Soós, Andrea: Hungary’s New Data Protection Authority Issues First Report, First Publicly Available Decisions: High Fines, High Legal Risks, BNA World Data ProtectionReport, 05/12; Soós, Andrea: Hungarian Data Protection Authority’s Maximum Fine Against Slovakia-Based Website Operator Raises Important Questions, BNA World Data Protection Report, 09/12.

^[50] A funkcionális, pénzügyi és szervezeti függetlenségre lásd Mazák főtanácsnoknak az osztrák ügyben tett indítványát, 26. pont.

^[51] „A nemzeti adatvédelmi felügyelő hatóság személyi függetlensége, amely magában foglalja a hivatalból történő elmozdítással szemben a megbízatás ideje alatt érvényesülő védelmet is, az uniós jog alapvető követelménye”, lásd a Bizottság 2012. április 25-i közleményét: http://ec.europa.eu/magyarorszag/news/current_issues/20120425_bizottsag_magyarorszag_hu.htm [2012.12.02.]

^[52] Javaslat: Az Európai Parlament és a Tanács rendelete a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet), Brüsszel, 2012. 01. 25. http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_hu.pdf [2012.12.02.]

^[53]  A szöveg indokolása kifejezetten utal a német jogesetre, illetőleg az Európai Adatvédelmi Biztos függetlenségét biztosító rendeleti szabályozásra; lásd a javaslat indokolásának 3.4.6.1. pontját.

^[54] 47. cikk (1)–(2) bekezdések.

^[55] 47 cikk (7) bekezdés.

^[56] 47. cikk (5) bekezdés.

^[57] 47. cikk (6) bekezdés.

^[58] Lásd 48. cikk (2) bekezdés

^[59] Lásd 48 cikk (3)–(4) bekezdés.

^[60] 47 cikk (3)–(4) bekezdés.