17 December 2021

A GDPR hatálya kiterjed a választottbírósági eljárásokra is, új kihívások elé állítva a jogalkalmazókat és a jogalkotót. Milyen alapvető kötelezettségeket ró a rendelet az eljárás főbb szereplőire? Milyen szerződéssel kell, illetve célszerű rendezni a szereplők közti viszonyokat adatvédelmi szempontból? Kell-e további jogalkotói lépést tenni a választottbíráskodás függetlenségének megőrzése érdekében? Jelen cikk keretében ezen alapvető kérdéseket vizsgáljuk.

1. Bevezetés

„Az adat az új olaj.” Azt, hogy ezen - az adatvédelemmel foglalkozók körében már-már közhelyesnek tűnő megállapítást - az Európai Unió is komolyan gondolja a XXI. század elején, mi sem jelez jobban, mint az, hogy 2016. tavaszán hatályba lépett, 2018. május 25. napjától pedig kötelezően alkalmazandóvá vált a gyakran csak „GDPR”-ként hivatkozott uniós jogforrás, az Európai Unió Általános Adatvédelmi Rendelete[1] (továbbiakban: a Rendelet vagy GDPR). A Rendeletről, melynek célja az unió területén tartózkodó természetes személyek adatainak hatékonyabb védelme, s mely a gazdasági életnek is csaknem teljes területére kiterjed, számos szakcikk született már különböző fórumokon, azonban az eljárásjogokra gyakorolt hatásáról mindeddig kevés szó esett. A jelen írás célja, hogy az eljárásjogokon belül egy speciális területen, a választottbírósági eljárásokban vizsgálja a Rendelet kapcsán felmerülő alapvető kérdéseket.

2. Alapvetés

Mivel a Rendelet alapján a védelem a természetes személyeket uniós állampolgárságukra, vagy unión belül tartózkodási helyükre tekintet nélkül illeti meg[2], tárgyi hatálya alól pedig csak néhány szűk kivétel van[3], ugyanakkor a bíróságok és más igazságügyi hatóságok tevékenységeire alkalmazandó[4], egyértelmű, hogy választottbírósági eljárások, illetve az abban résztvevő szereplők a Rendelet hatálya alá tartoznak.

Jóllehet a választottbíráskodás elsősorban a gazdálkodó szervezetek közötti vitarendezés eszköze, a személyes adat[5] és az adatkezelés[6] fogalmának meglehetősen tág rendeletbeli definíciójára tekintettel egy tipikus választottbírósági ügyben el ne hanyagolható mértékű a személyes adatforgalom és ennek kapcsán jelentős mennyiségű személyes adatkezelés valósul meg, kezdve a kereset beadásától, a választottbírósági tanács megalakulásán át az ügy érdemi tárgyalásán, és bizonyításfelvételen keresztül az ítélet meghozataláig, illetve az ezt követő esetleges jogorvoslati szakaszig, majd irattározásig, végül iratmegsemmisítésig.

Csak példálózó jelleggel, egy intézményi választottbíráskodás esetén már a keresetlevél kötelező tartalmi elemei között is számos személyes adat kehet (felek, képviselők neve, címe, elérhetősége, a jelölt választottbíró neve), ezt pedig nyilván jóval meghaladja a felek által az eljárásban „fakultatívan” vagy bírói felhívásra szolgáltatott információ személyes adattartalma (a jogvita szempontjából releváns szerződésekben a jogi személy feleket képviselő természetes személyek, illetve kapcsolattartók neve, címe, elektronikus, telefonos elérhetősége; a jogvitát megelőző levelezésekben fellehető hasonló információ; a felek által idézni kért tanúk neve, címe; stb.). Ez az adathalmaz a felektől eljut a választottbírósági intézményhez, a választottbírókhoz, adott esetben az eljárásban résztvevő szakértőhöz, egyéb résztvevőhöz, majd jogsegély vagy esetleges jogorvoslat esetén az állami bíróságokhoz is.

A Rendelet alapján a választottbíráskodás során is teljesülnie kell az adatvédelem alapelveinek, így a jogszerűség, a tisztességes eljárás és átláthatóság elvének, a célhoz kötöttség elvének, az adattakarékosságnak, a pontosságnak, a korlátozott tárolhatóságnak, az integritásnak, illetve bizalmi elvnek, valamint az elszámoltathatóság elvének.[7]

A fenti alapelveken túl az érintett természetes személy részére biztosítani kell a Rendelet alapján őt megillető, meglehetősen széleskörű jogosultságokat, így többek között a tájékoztatás és hozzáférés jogát, a helyesbítés jogát, a törléshez való jogot, az adatkezelés korlátozásához való jogot[8].

Ezen érintetti jogokat a magyar jogalkotó a Rendeletben adott felhatalmazás ellenére nem korlátozta a bírósági eljárásokban[9], így Írországgal, vagy az Egyesült Királysággal szemben – mely tagállamok a bírósági eljárásokban éltek a fenti derogációs lehetőséggel[10] – ezen jogosultságokat itthon teljeskörűen kell biztosítani az érintett számára.

A Rendeletnek meg nem felelő személyes adatkezelés az alábbi főbb kockázatokat hordozza a választottbírósági eljárás szereplőire nézve: a) az adatvédelmi hatóság által kiszabható vagyoni és egyéb nem vagyoni szankciók[11], illetve b) az érintett természetes személy felé fennálló kártérítési felelősség.[12]

Jóllehet a jelenlegi tapasztalatok alapján nincs szó arról, hogy adatvédelmi jog-tudatos érintettek tömege akarna élni a fenti jogosultságokkal egy tipikus választottbírósági eljárásban, a fenti kitettségre tekintettel mégis érdemes tisztázni néhány alapvető kérdést:

1. ki az érintetti jogosultságok kötelezettje, azaz ki az adatkezelő, adatfeldolgozó?
2. melyek az adatkezelők főbb kötelezettségei?
3. beszélhetünk-e többes, illetve közös adatkezelésről, ha igen, milyen szerződésekkel kell, illetve lehet szabályozni az adatkezelők közötti jogviszonyokat?
4. jogsérelem esetén a jogorvoslat milyen szervezeti keretek között valósul meg?

Jelen írás keretei között a fenti alapkérdésekre próbálunk választ adni.

3. Ki adatkezelő, ki adatfeldolgozó?

Az érintett természetes személy mellett az adatvédelem két további „főszereplője” az adatkezelő és adatfeldolgozó. Az alapvető kérdés az, hogy egy adott adatkezelés kapcsán ki minősül adatkezelőnek, hiszen a Rendelet az adatkezelőhöz, mint az adatkezeléssel kapcsolatos lényegi döntéseket meghozó személyhez telepíti az adatvédelmi szabályoknak való megfelelés fő kötelezettségét és a megsértésükért való felelősséget, míg az adatfeldolgozó szerepe ehhez képest másodlagos, jellemzően végrehajtó jellegű. A Rendelet alapján adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, míg adatfeldolgozó, az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.[13] Látható, hogy az adatkezlő-adatfeldolgozó elhatárolás alapvető jelentőségű, így célszerű elemezni, hogy a választottbíráskodás főszereplői közül kik esnek az előbbi kategóriákba.

3.1. A peres felek

A peres felek minősítése nem okoz különösebb gondot, hiszen a felperes az eljárás megindítójaként mindenképpen meghatározza azt, hogy „miért” kerül sor a személyes adatok kezelésére (adatkezelés célja) - ti. felperes jogának bíróság előtti érvényesítése -, és azt is, hogy „hogyan” kerüljön sor az adatkezelésre (adatkezelés eszköze), mely utóbbi körben nem csak az adatkezelés technikai eszközei értendők, hanem annak meghatározása, hogy milyen adatok kezelésére fog sor kerülni.[14] Így a felperes a választottbíróságra beadott keresetében és az azt alátámasztó bizonyítékokban (pl. üzleti levelezés, stb.) feltehetően számos személyes adat szerepel, abból a célból, hogy felperes alátámassza választottbírósági úton érvényesített követelését. A választottbírósági eljárás alperesére a fenti megállapítások ugyanígy érvényesek, azzal, hogy az ő adatkezelési célja nyilvánvalóan a felperessel szembeni védekezés lesz. Emiatt a peres felek mindegyike külön-külön adatkezelőnek minősül a Rendelet alapján.

3.2. A felek képviselői

A választottbírósági eljárásban a jogi képviselet nem kötelező, azonban gyakorlatban a választottbírósági eljárások többségében a feleket jellemzően ügyvédek, illetve egyéb jogi tanácsadók képviselik. Jóllehet a képviselők a felek által rendelkezésre bocsájtott információk alapján járnak el, mégis speciális szakértelmüknél fogva kulcsszerepet látnak el a fél sikeres jogérvényesítése szempontjából releváns információ meghatározásában. Erre tekintettel adatvédelmi szempontból sem indokolt őket puszta „végrehajtóként” adatfeldolgozónak minősíteni, hanem a Rendelet szempontjából szintén adatkezelőként kell rájuk tekinteni.[15]

3.3. A választottbíró(k)

Önmagában az a körülmény, hogy a választottbíró általában „hozott anyagból” dolgozik, így a személyes adatokat tartalmazó dokumentumokat – a választottbíróság által elrendelt adatszolgáltatást, illetve bizonyítás esetét leszámítva – általában a peres felek maguk bocsátják a választottbíró(k) rendelkezésére, még nem elég ahhoz, hogy a választottbírót „adatfeldolgozóvá” fokozzuk le.

A választottbíró, mint a választottbírósági eljárásban kötelező érvényű döntést hozó személy adatvédelmi minősítésénél azt a kérdést kell megválaszolni, hogy a választottbírónak van-e az eljárásban résztvevő többi adatkezelőtől elkülönült saját maga által meghatározott célja az adatkezeléssel kapcsolatban? Erre a kérdésre a válasz igen, hiszen a peres felektől eltérően a választottbíró küldetése a választottbírói szerződés (receptum) teljesítése, ti. az ügyben való eljárás és határozathozatal[16], s ő ezen küldetés teljesítése céljából kezeli a birtokába jutott személyes adatokat. Az adatkezelés eszközének meghatározása szintén a választottbíró döntésén múlik. Fentiekre tekintettel a választottbíró adatvédelmi szempontból adatkezelőnek minősíthető.

3.4. Az állandó választottbíróság

A felek a gyakorlatban az esetek többségében az ad hoc választottbíráskodással szemben az ún. intézményi választottbíráskodást részesítik előnyben, ahol egy erre szakosodott professzionális szervezet - jellemzően egy gazdasági kamara mellett szervezett állandó választottbíróság - „menedzseli” az eljárást, és az eljárásjogi és szervezeti keretek biztosítása mellett gyorsan beavatkozik azokon a pontokon, ahol egy ad hoc választottbíráskodás elakadhat (pl. bírókijelölés, stb.).

Mivel választottbírósági intézmény eljárása kapcsán szintén saját maga által meghatározott, elkülönült adatkezelési célt lehet azonosítani, ti. a választottbírósági eljárás lefolytatásának támogatását, és ezen túlmenően az adatkezelés eszközeit is saját maga határozza meg, adatvédelmi szempontból indokolt rá szintén adatkezelőként tekinteni.

Ezen a ponton a hazai kontextusban problémaként merülhet fel, hogy a Magyarországon jelenleg működő három állandó választottbíróság önálló jogalanyisággal nem rendelkezik, mivel az Állandó Kereskedelmi Választottbíróság a Magyar Kereskedelmi és Iparkamara „sajátos – a választottbíráskodás körébe tartozó ügyekben önálló – része”[17] , és ugyanez mondható el a Magyar Olimpiai Bizottság szervezetén belül működő a Sport Állandó Választottbíróságról[18], valamint a Magyar Agrár-, Élelmiszergazdasági és Vidékfejlesztési Kamara szervezetén belüli Állandó Választottbíróságról.[19]

A Rendelet alapján adatkezelő nemcsak jogi személy, hanem „egyéb szerv” is lehet, azonban ehhez álláspontunk szerint az állandó választottbíróságok esetében szükség lenne legalább egy a „hordozó szervezettől”[20] mint önálló jogi személytől elkülönült „belső” szervezeti jogalanyiságra, melynek anyagi jogi feltétele a jogi személytől és alapítóktól elkülöníthető szervezet és vagyon.[21] Ez utóbbiak hiányában a jogi személy önálló jogalanyisággal nem rendelkező szervezeti egységét nem lenne helyes adatkezelőnek minősíteni. Ugyanis a Rendelet egyik alapelve az elszámoltathatóság, adatvédelmi jogi szempontból pedig az adatkezelő és adatfeldolgozó fogalmának elkülönítésénél a fő cél a felelősség telepítése[22], a felelősség kulcseleme pedig az, hogy bizonyos magatartásokat – tevékenységet vagy mulasztást – egy jogalanynak betudunk., Egy jogalanyisággal nem rendelkező szervezeti egységet adatkezelőnek minősítése aláásná az adatvédelmi jog azon célját, hogy az érintett természetes személy számára az adatkezelésért felelős személy könnyen beazonosítható legyen, annak érdekében, hogy az érintett tudja, hogy kivel szemben gyakorolhatja jogait[23]. Emiatt intézményi választottbíráskodás esetében, amennyiben a választottbíróságnak nincs az őt „hordozó szervezettől” elkülönült jogalanyisága, úgy azt a szervezetet kell adatkezelőnek tekinteni, mely jogalanyisággal rendelkezik, s melynek szervezetén belül a választottbírósági intézmény működik.[24]

3.5. Egyéb személyek

A választottbírósági eljárásban részt vevő egyéb személyek közül kiemelést érdemel a fél által megbízott, vagy a választottbíróság által kirendelt szakértő, akinél szintén elkülönült adatkezelési célként lehet azonosítani a szakvélemény adást, mely figyelemmel a szakértő speciális szaktudására, illetve széleskörű adat- és információ kérési jogosítványaira is[25] adatkezelői minőséget ad a szakértő részére a Rendelet alapján.

A választottbírósági eljárásban résztvevő tolmács, fordító esetében a fentiekről már nem beszélhetünk, így utóbbiak az őket alkalmazó adatkezelő (pl. fél, választottbírósági tanács) adatfeldolgozójaként járnak el.

4. Az adatkezelő főbb kötelezettségei, feladatai

Az elszámoltathatóság elvéből fakadóan az adatkezelő első, általános kötelezettsége az, hogy a Rendelet alapelveinek és egyéb szabályainak való megfelelést biztosítsa, ezt megfelelően dokumentálja, és szükség esetén igazolja.[26] A fenti generális kötelezettségen túl az adatkezelő főbb feladatai az alábbiak:

1. Amennyiben közös adatkezelésről van szó, az adatkezelés megkezdése előtt az adatkezelőknek megállapodást kell kötniük egymással melyben tisztázzák egymás között a hatáskörök és feladatok megosztását;[27]
2. Az adatkezelőnek kevés kivételtől eltekintve[28] a Rendelet 30. Cikke szerinti adatkezelési nyilvántartást kell vezetnie, melyben rögzítenie kell az adatkezelési folyamatokat és azok főbb jellemzőit, így az adatkezelés célját (jogalapját), az érintettek és a kezelt adatok kategóriát, az adatok harmadik személlyel való közlését, továbbítását, a törlésre előirányzott határidőket, az adatbiztonsági intézkedéseket stb.
3. Tájékoztatnia kell az érintetteket az adatkezelés lényeges jellemzőiről (adatkezelő személye, adatkezelés célja, jogalapja, adattárolás időtartama, stb.)[29];
4. Adatfeldolgozó közreműködése esetén az adatkezelőnek meg kell kötnie írásban az adatfeldolgozói szerződéseket;[30]
5. Az adatkezelő köteles a megfelelő szervezeti és technikai szintű adatbiztonsági intézkedéseket meghozni;[31]
6. Szintén alapvető adatkezelői kötelezettség az adatvédelmi incidensek nyilvántartása, szükség esetén hatóságnak való bejelentése, illetve az érintett tájékoztatása.[32]
7. Bizonyos feltételek fennállása esetén az adatkezelőnek adatvédelmi hatásvizsgálat kell lefolytatnia, illetve adatvédelmi tisztségviselőt kell választania, stb.

Jelen cikk keretében terjedelmi okokból az a) pont alatti kérdéssel foglalkozunk részletesebben, így azon kérdésre próbálunk választ adni, hogy a 2. pont alatt azonosított adatkezelők minősülhetnek-e közös adatkezelőnek, mely a közös adatkezelői megállapodás megkötésének kötelezettségét vonja maga után, illetve ennek hiányában célszerű-e egyéb szerződéssel rendezni az adatkezelőknek az egymás közötti jogviszonyt?

5. Többes adatkezelés választottbíráskodásban

5.1. Elsődleges és másodlagos adatkezelők

A fentiekben látható, hogy választottbírósósági kontextusban több adatkezelő általi adatkezelésről van szó. A több adatkezelőn belül célszerű különbséget tenni aszerint, hogy „elsődleges adatkezelőkről” van szó, akik a személyes adatot a többi adatkezelő rendelkezésére bocsátják (pl. jellemzően a felek, illetve képviselőik) vagy „másodlagos adatkezelőkről”, akik a személyes adatokat az „elsődleges adatkezelőktől” kapják és azt más személynek továbbítják (pl. választottbírósági intézmény – választottbírónak; választottbíró – szakértőnek stb.).[33] A két adatkezelői kör adatvédelmi feladatai, kötelezettségei, illetve felelőssége „kifelé” azonosak, de belső viszonyukban már nem érvényesül ez a fajta egyenlőség. Míg az „elsődleges adatkezelők” döntő hatást gyakorolhatnak arra, hogy a választottbírósági eljárásban jelen lévő személyes adathalmaz „eredete jogszerű” – azaz az „elsődleges adatkezelő” rendelkezik a megfelelő Rendelet szerinti jogalappal az adatkezelésre – addig a „másodlagos adatkezelők” ráhatása e körben jóval korlátozottabb. A helyzetet megfordítva az „elsődleges adatkezelőknek” pedig csekély ráhatása van arra, hogy a „másodlagos adatkezelő” eleget tesz-e a Rendelet előírásainak az adattárolás, adatbiztonság, adattovábbítás kapcsán. Vajon közös adatkezelőknek minősülnek külön-külön vagy együttesen az „elsődleges adatkezelők”, illetve „másodlagos adatkezelők”?

5.2. A közös adatkezelés elvi lehetősége

Önmagában az a körülmény, hogy egy adathalmazt többen kezelnek, még nem jelenti azt, hogy ők automatikusan közös adatkezelőnek minősülnek, tehát a többes adatkezelés nem szükségszerűen közös adatkezelés. Közös adatkezelés hiányában az egyes adatkezelők közötti adatáramlás egyszerű adattovábbítást jelent. A Rendelet alapján közös adatkezelés akkor valósul meg, ha „az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg”.[34] E rendelkezés nyelvtani értelmezése azt sugallja, hogy ez csak akkor valósul meg, ha az adatkezelésnek mind a célját mind az eszközét együtt határozzák meg a felek. A gyakorlat azonban nem ilyen szigorú, így az adatvédelmi kérdésekben nem kötelező iránymutatásokat adó 29-es Munkacsoport[35] egy korábbi, még az adatvédelmi irányelv[36] kapcsán megfogalmazott véleménye szerint közös adatkezelésnek kell minősíteni azokat eseteket, amikor a több adatkezelő egymással szoros kapcsolatban van és valamennyi célt, illetve eszközt közösen határoznak meg, ugyanakkor azokat a helyzeteket is, amikor a felek kapcsolata lazább és csak bizonyos célok, vagy eszközök, illetve ezek egy részének meghatározása közös. Ez utóbbira hozott példa egy utazási ügynökség egy hotellánc és egy légitársaság által közösen üzemeltetett közös internetes „platform”, mely keretében a turisták személyes adatait kezelik abból a célból, hogy fejlesszék együttműködésüket a foglalásokkal kapcsolatban. További példa közös adatkezelésre, amikor „mikro” szinten az egyes adatkezelőknek megvan a saját céljuk és eszközök, és adott esetben külön fázisokban kezelik ugyanazokat a személyes adatokat, de „makro” szinten ezek az adatkezelési fázisok, célok és eszközök szorosan összefüggenek egymással, mely utóbbira példa egy bank és az általa a banki tranzakciók végrehajtására használt szolgáltató.[37]

Választottbírósági környezetben az első esettel mutat analógiát az eljárásban résztvevők által a kommunikáció megkönnyítése érdekében perbeli dokumentumok megosztására létrehozott on-line platform. Ez megvalósulhat az „elsődleges adatkezelők” között, így például az eljárás alatt a fél és jogi képviselője közösen használnak egy fájl megosztó alkalmazást, vagy a „másodlagos adatkezelők” is használhatnak hasonló eszközt, sőt nyilván a két adatkezelői kör együtt is választhat ilyen technikai megoldást például bonyolultabb ügyekben, amikor valamelyik fél nagyobb adatmennyiséget kíván a per tárgyává tenni, jellemzően a bizonyítás keretében.

Ugyanakkor ilyen technikai intézkedés hiányában is felmerülhet a „mikro” szinten elkülönült célok „makro” szintű szoros kapcsolódása, leginkább az egyes adatkezelői körökön belül. Így például az „elsődleges adatkezelők” körén belül a fél és jogi képviselője esetén, hiszen a fél jogának érvényesítéséhez mint „mikro” szintű adatkezelési célhoz kapcsolódik a jogi képviselő adatkezelési célja, az ügyfelének adott jogi tanácsadás, mely „makro” szinten nyilván szorosan kapcsolódik az előbbihez. Ugyanígy a „másodlagos adatkezelők” körén belül az adatkezelési célok „makro” szintű kapcsolódása valósulhat meg a választottbírók és a választottbírósági intézmény adatkezelése kapcsán, hiszen éppen a jogvita eldöntéshez, mint választottbírói „mikro” szintű adatkezelési célhoz kapcsolódik szorosan az vitarendezés „menedzselése”, mint intézményi adatkezelési cél.

Az a kérdés, hogy az „elsődleges adatkezelők”, vagy a „másodlagos adatkezelők” közös adatkezelőnek minősülnek-e vagy sem, e cikk írásakor teljes bizonyossággal nem válaszolható meg, mivel a közös adatkezelés – mint uniós jogi fogalom – mindenkire kötelező értelmezését egyedül az Európai Bíróság adhatja meg előzetes döntéshozatali eljárás keretében, melyre a Rendelettel kapcsolatban még nem került sor. Azonban a Rendeletet megelőző – és az alapfogalmak szintjén (pl. adatkezelő, közös adatkezelő fogalma) azonos szabályozást tartalmazó – adatvédelmi irányelv[38] értelmezése során hozott döntésekből látható, hogy a Bíróság tágan értelmezi az adatkezelő, illetve közös adatkezelő fogalmát, annak érdekében, hogy az érintett természetes személyeknek hatékony és teljes védelmet nyújtson. Erre figyelemmel nem zárható ki, hogy a Rendelet alkalmazásában a választottbírósági eljárásban résztvevő főbb szereplők közül többen – jellemzően az „elsődleges adatkezelők”, vagy a „másodlagos adatkezelők” – közös adatkezelőnek minősüljenek, mely maga után vonja a közös adatkezelői szerződés megkötésének kötelezettségét is.

A problémát a másik oldalról megközelítve kérdésként tehető fel, hogy mi a nagyobb kockázat, egy nem egyértelmű helyzetben megkötni egy közös adatkezelői szerződést, vagy inkább ezt mellőzve vállalni a jogszerűtlenség kockázatát? Ezen kérdés eldöntése érdekében célszerű végig gondolni, hogy a közös adatkezelői szerződés megkötéséből származik-e olyan többletkötelezettség, vagy többletfelelősség az adatkezelő számára, mely miatt „nem éri meg” a fenti döntést meghozni? Ennek érdekében érdemes tisztázni egyrészről a) az adatkezelői felelősség alakulását többes adatkezelés esetén, másrészről b) hogy a közös adatkezelői szerződésnek melyek a főbb tartalmi elemei.

5.2.1. Adatkezelői felelősség többes adatkezelés esetén

A Rendelet alapján többes adatkezelés esetén az adatkezelőnek az érintett felé fennálló kártérítési felelőssége egyetemleges az ugyanabban az adatkezelésben érintett többi adatkezelővel, illetve adatfeldolgozóval, annak érdekében, hogy az érintett tényleges kártérítése minél inkább biztosított legyen. A Rendelet a felelősség alóli mentesülés keretében ún. „exculpatio” alapú modellt alkalmazza, mikor akként rendelkezik, hogy az adatkezelő a felelősség alól csak akkor tudja kimenteni magát, amennyiben bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség. [39]

Mivel a Rendelet a fenti felelősségi szabályoknál egyértelműen az „ugyanabban az adatkezelésben érintett valamennyi adatkezelő”, illetve „több adatkezelő” kifejezéseket használja, egyértelmű hogy a közös adatkezelői minőség, vagy közös adatkelői szerződés megkötése nem feltétele a fenti felelősségi szabályok alkalmazásának. Ebből következően az adatkezelői szerződés megkötése az adatkezelő felelősségét nem szigorítja.

5.2.2. A közös adatkezelői szerződés tartalmi elemei

A közös adatkezelői szerződés tartalmát a Rendelet álalános jelleggel meghatározza, kimondva, hogy abban átláthatóan kell szabályozni az adatkezelők rendelet szerinti kötelezettségek teljesítéséért fennálló felelősségének megoszlását[40]. Erre tekintettel egy közös adatkezelési szerződés „minimális” szabályozási tárgykörei az alábbiak:

1. az adatkezelők személyének elérhetőségének meghatározása; ha van, adatvédelmi tisztviselő, ez utóbbi meghatározása;
2. annak meghatározása, hogy személyes adatok mely kategóriája kerül továbbításra (pl. sor fog-e kerülni különleges adatkategóriák kezelésére[41]);
3. az adatkezelési tevékenységek meghatározása;
4. adatkezelés céljának, jogalapjának meghatározása, szükség esetén a jogi érdek azonosítása?
5. milyen harmadik személyek részére kerülhet személyes adat továbbításra?
6. sor kerülhet-e adattovábbításra EU-n kívüli ún. harmadik országba? (ilyen eset merülhet fel, ha a választottbírók egyike harmadik államban honos, vagy harmadik állam bíróságától kell jogsegélyt kérni). Amennyiben igen, ennek mik a garanciái?
7. mennyi ideig lesznek személyes adatok tárolva?
8. az érintettek felé fennálló tájékoztatási kötelezettséget melyik adatkezelő, milyen módon teljesíti;
9. az érintetti jogok gyakorlása hogyan valósul meg, melyik adatkezelő tesz eleget egy adott kötelezettségnek?

Természetesen a fentieken túl még számtalan kérdés rendezhető egy közös adatkezelési szerződésben, így például az adatkezelők belső felelősségének aránya, jogviták rendezése, stb. Kiemelést érdemel még, hogy a Rendelet alapján a közös adatkezelőknek az érintetteket tájékoztatniuk is kell a közös adatkezelői szerződés lényeges tartalmáról.

5.2.3. Érvek a közös adatkezelői szerződés mellett és ellen

A fentiek alapján egy adatkezelő számára a legfőbb érv a közös adatkezelési szerződés megkötése ellen az lehet, hogy egy ilyen szerződés léte automatikusan bizonyítja a „többes adatkezelés” tényét, így a – a kárkötelem egyéb elemeinek fennállása esetén – a többi adatkezelővel fennálló egyetemleges felelőssége megállapításához vezethet, míg szerződés hiányában nyilván annak – jellemzően az érintettnek – kell bizonyítania a többes adatkezelés fennállását, illetve az adatkezelő érintettségét a jogsértő adatkezelésben, aki erre hivatkozik,. Más kérdés az, hogy mennyire nehéz bizonyítani az adatkezelő érintettségét egy jogsértő adatkezelés kapcsán egy olyan helyzetben, amikor kívülállók számára is nyilvánvaló, hogy az elsődleges vagy másodlagos adatkezelők gyakorlatilag ugyanazt az adathalmazt kezelik, és amennyiben az adatkezelői érintettséget, mint egyetemlegességet megalapozó feltételt az érintett természetes személy szemszögéből vizsgálva, tágan értelmezzük.

A közös adatkezelői szerződés megkötése mellett szóló érv, hogy egyrészről az „exculpatio” körében könnyen belátható, hogy átláthatóan szabályozott, transzparens viszonyok között könnyebb annak bizonyítása az adatkezelő számára, hogy a jogsértő adatkezelést a másik adatkezelő követte el, így a kár bekövetkezésében őt semmilyen felelősség nem terheli. Másrészről az egyetemleges felelősség fennállása esetén egy közös adatkezelői szerződésben az adatkezelők belső viszonyában részletesen lehet rendezni különböző kérdéseket, pl. felelősség aránya, jogviták rendezésének módja stb. mely kérdéskörök szerződés hiányában „kezeletlenül” maradnak.

Végül, mivel a közös adatkezelői szerződésekben szereplő tárgykörök nagy részét – így a 4.2.2. a-g) pontok alatti kérdéseket – a Rendeletnek való megfelelés érdekében minden adatkezelőnek egyébként is rendeznie kell saját adatvédelmi dokumentációjában, túlzás lenne azt állítani, hogy a fennmaradó, jellemzően az adatkezelők közötti feladatmegosztással kapcsolatos kérdések rendezése lényeges többlet-terhet róna az adatkezelőre.

Fentieket minden adatkezelőnek célszerű mérlegelnie azon döntés meghozatala előtt, hogy egy jogi szempontból jelenleg nem teljesen egyértelmű helyzetben a közös adatkezelői szerződés megkötése mellett dönt, vagy sem.

5.3. Adattovábbítási szerződés kötése

Amennyiben a fenti mérlegelés eredményeképp az adatkezelő arra jut, hogy nem köt közös adatkezelői szerződést, akkor – a személyes adatok adatkezelők közötti megosztására figyelemmel – azt érdemes fontolóra venni, hogy valamilyen egyéb formában kívánja-e rendezni a közte és a többi adatkezelő között fennálló viszonyt.

Ennek eszköze az ún. adatmegosztási, vagy adattovábbítási szerződés (továbbiakban: adattovábbítási szerződés) megkötése lehet az egyes „elkülönült” adatkezelők között, mely a Rendelet szerint ugyan nem kötelező, mégis a hasznos, és adatvédelmi szempontból mindenképpen „jó gyakorlatnak” minősül.

Választottbírósági kontextusban adattovábbítási szerződés megkötése javasolt mind az „elsődleges” és „másodlagos” adatkezelők körén belül, mind az „elsődleges” és „másodlagos” adatkezelők között, a 4.1. pont alatt már ismertetett indokokból. Jelen cikk keretei között az utóbbival foglalkozunk részletesebben, azzal, hogy ennek tartalma a jelen cikkben nem tárgyalt adattovábbítási szerződések tartalmával nyilván nagyobb átfedést mutat. Fentiek alapján egy „elsődleges” és „másodlagos” adatkezelők között megkötésre javasolt adattovábbítási szerződésben az alábbi szabályozási tárgykörök merülnek fel:

1. az adattovábbításban résztvevő adatkezelők és az adattovábbítás céljának meghatározása;
2. annak meghatározása, hogy személyes adatok mely kategóriája kerül továbbításra (pl. sor fog-e kerülni különleges adatkategóriák kezelésére[42]),
3. adattakarékossági intézkedések meghatározása, hogy feleslegesen ne kerüljön személyes adat továbbításra;
4. az „elsődleges adatkezelők” szavatosságvállalása a továbbított személyes adat kezelésének jogszerűségével kapcsolatban;
5. a „másodlagos adatkezelők” kötelezettségvállalása a személyes adat megfelelő tárolásával, továbbításával kapcsolatban;
6. adatbiztonsági intézkedések meghatározása az adattovábbítás során;
7. annak tisztázása, hogy kerül-e sor adattovábbításra harmadik országba, amennyiben igen, ennek mik a garanciái?
8. jogviták rendezése;

Természetesen az adattovábbítási szerződésben a felek a fentiek mellett még számos egyéb kérdésre is kitérhetnek, azonban a fenti tárgyak szabályozásával a magukat „elkülönült adatkezelőnek” minősítő adatkezelők egymás közötti jogviszonyában legalább a személyes adatok védelmével kapcsolatos legfontosabb kérdések rendezésre kerülnek.

6. A Jogorvoslat szervezeti keretei

Jelen cikk utolsó részében azt a kérdést járjuk körül, hogy a választottbírósági eljárás során milyen szervezeti keretek között alakul a jogorvoslat.

A Rendelet külön nevesíti az érintett azon jogát, hogy az illetékes felügyeleti hatóságnál panaszt tegyen, illetve az adatkezelővel, adatfeldolgozóval szemben közvetlenül bírósági peres eljárást indítson.[43] Ezt meghaladóan a felügyeleti hatóság kérelemre, illetve bizonyos esetekben hivatalból vizsgálatot indít, illetve adatvédelmi hatósági eljárást folytat le[44].

Ugyanakkor a Rendelet a felügyeleti hatóságok hatásköre vonatkozásában tartalmaz egy fontos kivételt. A Rendelet szerint[45] a bírói függetlenség védelme érdekében a felügyeleti hatóságok hatásköre nem terjedhet ki a személyes adatok olyan kezelésére, amelyet a bíróságok igazságszolgáltatási feladatkörükben eljárva végeznek. A hazai jogalkotó erre tekintettel az Info tv. rendelkezéseit 2018. július 26-tól egy új VI/A Fejezettel bővítette, melynek célja annak rendezése, hogy bírósági döntés meghozatalára irányuló peres és nemperes eljárásokban megvalósuló adatkezelés jogellenessége esetén meghatározza, melyik bíróság, milyen eljárásban nyújt jogorvoslatot az érintettnek.[46] Az újonnan bevezetett rendszerben polgári és büntető ügyben az érintett „kifogást” nyújthat be az eljáró bíróság alapügyben eljáró bírói tanácsához. Amennyiben az eljáró tanács alaposnak tartja a kifogást, maga dönt felőle, amennyiben nem, akkor 8 napon belül felterjeszti a másodfokú bírósághoz a Kúria eljárása esetén egy másik kúriai tanácshoz, mely a kifogást 2 hónapon belül megvizsgálja és amennyiben azt alaposnak találja megállapítja jogsértést, és ha szükséges, elrendeli jogellenes helyzet megszüntetését, illetve az érintetti jogokat szolgáló adatkezelői intézkedés megtételét. A bíróság a jogalkalmazás egysége érdekében kikérheti az adatvédelmi hatóság véleményét.

Látható, hogy az Info tv. fenti rendelkezései választottbírósági eljárásban értelemszerűen nem alkalmazandók. Ebből viszont az következik, hogy míg bírósági eljárásban bekövetkezett vélt, vagy valós személyes adatvédelmi jogsértés esetén a jogorvoslat a bíróági rendszeren belül megoldott, addig választottbírósági eljárás esetében egy „rendszeren kívüli” közigazgatási szerv, a felügyeleti hatóság jogosult eljárni. Ez praktikusan azt jelenti, hogy a Nemzeti Adatvédelmi és Információs Hatóság elvileg teljes hatósági jogkörét alkalmazhatja egy választottbírósági eljárás esetén a választottbíróval mint adatkezelővel szemben, beleértve a közigazgatási szankciók kiszabását.

Nyilvánvaló, hogy a fenti helyzet nem helyes, hiszen amennyiben a jogrendszer az állami bíróságok által hozott ítélettel egyenértékűnek ismeri el az választottbírósági eljárásban hozott ítéletet[47], akkor az ítélet meghozatalához vezető eljárásban az ítélkezési funkciót gyakorló választottbíró adatvédelmi szempontú ellenőrzését sem vetheti alá egy közigazgatási szervnek, ha az állami bíróságok ítélkező tevékenységét is kivette a közigazgatási ellenőrzés alól. Ez a megközelítés, azon túl, hogy mintegy „lefokozza” a választottbírót az azonos funkciót ellátó rendes bíróhoz képest, a választottbírósági eljárás „bizalmi” jellegével sem egyeztethető össze. Megjegyezzük, hogy több  más uniós tagállamban a jogalkotó észlelte a fenti „kettős mérce” problémáját és a Rendelet „bíróság” fogalmát funkcionálisan értelmezve az állami bírósági ítélkezés mellett a választottbírósági ítélkezés során megvalósuló személyes adatkezelést is „kivette” az adatvédelmi hatóság hatásköre alól.[48] Mivel az állami bíróságok egyébként is több ponton kapcsolatban vannak a választottbírósági eljárással - elég csak a választottbíró kijelölését, választottbíró kizárását, illetve a választottbírósági ítélet hatályon kívül helyezését említeni -, helyesebb megoldás lenne, ha az adatvédelmi jogsértésekkel kapcsolatos jogorvoslat is rajtuk keresztül valósulna meg.

7. Záró gondolatok

A GDPR hatálybalépése számos jogterületen új kérdések elé állította a tagállami jogalkotót és a jogalkalmazókat is, mely alól a választottbíráskodás sem kivétel. A jelen cikk keretei között csak néhány olyan problémakör felvetésére volt lehetőség, mely alapvető fontosságú a választottbírósági eljárás szempontjából és jogalkalmazói, illetve jogalkotói szinten kezelni szükséges.

Jogalkalmazói szinten adatvédelmi szempontból az adatkezelő személyének tisztázása is indokolja a választottbírósági intézmények önálló jogi személyiséggel történő felruházását az őket „hordozó szervezet” belső szervezeti egységeként, mint ahogy azt a szervezeti önállóság és függetlenség érdekében már Sárközy Tamás is javasolta a Magyar Kereskedelmi és Iparkamara által működtetett Állandó Választottbíróság kapcsán.[49]

További jogalkalmazói döntést igényel választottbírósági eljárásban az adatkezelés célját, illetve eszközét közösen meghatározó szereplők között a közös adatkezelői szerződés megkötése, ennek hiányában pedig az adatkezelők számára célszerű legalább adattovábbítási szerződés keretében rendezni a legalapvetőbb adatvédelmi kérdéseket.

Végül a jogalkotónak az adatvédelmi hatóság jogkörével kapcsolatban érdemes lenne megfontolnia, hogy a hazai szabályozás is inkább azt az utat kövesse, hogy a választottbírói ítélkezés keretében megvalósuló adatkezelés jogszerűsége nem a közigazgatási hatóság ellenőrzése alá tartozik, hanem a rendes bírósági rendszerben valósul meg, különösen annak fényében, hogy az új választottbíráskodásról szóló törvény egyik célkitűzése a magyar választottbíráskodás nemzetközi versenyképességének fejlesztése volt.[50]