AZ EU BÍRÓSÁG DÖNTÖTT – MÉG JEHOVA TANÚI SEM MENEKÜLHETNEK A GDPR ELŐL

25 July 2018

Vonatkozik-e rád a GDPR, ha a személyes adatokat csak papír alapon gyűjtöd? Adatkezelőnek minősülsz-e, ha nem szabod meg, hogy partnereid pontosan milyen személyes adatokat gyűjtsenek és nem is férsz hozzá az adatokhoz? Cikkünkből, mely az Európai Unió Bíróságának a Jehova Tanúi Közösség ügyében hozott döntését elemzi, választ kaphatsz ezekre a kérdésekre.

Az ügy háttere

A Jehova Tanúi Közösség hitéleti tevékenységére jellemző, hogy a közösség tagjai házról házra járva végeznek hitszónoki tevékenységet. A finn Jehova Tanúi Közösség („Közösség”) tagjai e tevékenység során feljegyzéseket készítenek a meglátogatott személyekről. A jegyzetek többek között tartalmazzák a felkeresett személy nevét és címét, valamint vallási meggyőződésükkel és családi állapotukkal kapcsolatos adatokat.

A Közösség a tagjainak hitszónoki tevékenységét összehangolja, például térképeket ad a tagoknak a látogatásokhoz, illetve általános iránymutatásokat a jegyzetek elkészítéséhez. A Közösség emellett vezet egy ún. tilalmi listát, amin azok a személyek szerepelnek, akik nem szeretnék, hogy őket a Közösség tagjai felkeressék.

A finn Adatvédelmi Bizottság 2013-ban megtiltotta a Közösség számára az adatgyűjtést a felkeresett személyekről. Ennek indoka azt volt, hogy az Adatvédelmi Bizottság szerint az adatkezelés nem felelt meg az adatvédelmi szabályoknak, ugyanis a felkeresett személyek nem járultak hozzá a személyes adataik gyűjtéséhez és nem is tájékoztatták őket az adatkezelésről.

A Közösség a finn közigazgatási bíróság előtt megtámadta az Adatvédelmi Bizottság döntését, az ügy pedig az Európai Unió Bírósága (EUB) elé került. A Finn Legfelsőbb Bíróság az EUB-tól várta, hogy megválaszolja az ügy kapcsán az Adatvédelmi Irányelv (a GDPR „elődje”) értelmezésével kapcsolatban felmerült kérdéseit.

Az ügy Luxemburgban

A Finn Legfelsőbb Bíróság az EUB-tól többek között két kérdés megválaszolását kérte.

Az egyik kérdés arra irányult, hogy az Adatvédelmi Irányelv alapján személyes adatkezelésnek minősül-e a tagok által végzett papír alapon végzett adatgyűjtés. A kérdés azért merült fel, mert az Adatvédelmi Irányelv szerint - hasonlóan a GDPR-hez - a nem automatizált módon, tehát „papír alapon” végzett adatkezelés csak akkor tartozik az Irányelv hatálya alá, ha az ily módon kezelt adatok egy „nyilvántartási rendszer” részét képezik.

A Közösség természetesen arra hivatkozott, hogy a tagok által gyűjtött adatok nem képezik nyilvántartási rendszer részét, így a tevékenységre nem is terjed ki az Irányelv hatálya.

Az EUB ítéletében hangsúlyozta, hogy a gyűjtött személyes adatok egy nyilvántartási rendszer részét képezik, ha azok a későbbi felhasználásuk céljából a gyakorlatban a könnyű visszakeresésüket lehetővé tevő, meghatározott kritérium szerint strukturáltak. Márpedig a Közösség, illetve tagjai az adatokat meghatározott kritériumok szerint rendszerezték, például listát készítettek azokról a személyekről, akik nem szeretnék, hogy többé felkeressék őket.

A másik kérdés arra irányult, hogy maga a Közösség adatkezelőnek minősül-e a hitszónoki tevékenységet végző tagjaival együtt. A Közösség ugyanis arra hivatkozott, hogy nem minősül adatkezelőnek, mivel nem adott a tagoknak az adatgyűjtéssel kapcsolatban konkrét írásbeli utasításokat, illetve megbízást, mert a tagok maguk dönthették el, hogy pontosan milyen adatokat jegyeznek fel. A Közösség szerint az adatkezelői minőségét az is kizárja, hogy a gyűjtött adatokhoz nem fért hozzá.

Az EUB ezzel kapcsolatban kiemelte, hogy az adatkezelői minőség megállapításához nem szükséges az, hogy a Közösség pontos írásbeli utasításokat adjon a tagoknak az adatok gyűjtésével kapcsolatban. A Közösség ugyanis nemcsak tudomással bír arról, hogy a tagok a hitszónoki tevékenység végzése során személyes adatokat kezelnek, hanem ösztönzi és össze is hangolja ezt a tevékenységet, többek között azzal, hogy térképeket ad a tagoknak és felosztja a tevékenységi területüket. Ezzel pedig gyakorlatilag részt vesz a személyes adatok kezelésével kapcsolatos célok és módok meghatározásában.

Az EUB emellett emlékeztett arra a már több ítéletben is kifejtett álláspontjára, mely szerint az adatkezelői minőség megállapításához nem szükséges, hogy az adatkezelő a gyűjtött személyes adatokhoz hozzáférjen.

Az ügy tanulsága

Az ügy legfontosabb tanulsága, hogy ahhoz, hogy (közös) adatkezelőnek minősülj, nem feltétlenül szükséges az, hogy az adatkezelésben részt vevő másik személyt, például fejvadász céget, vagy egyéb szerződéses partneredet, pontos és részletes iránymutatásokkal lásd el az adatkezeléssel kapcsolatban vagy, hogy a gyűjtött adatokhoz hozzáférj.

Az adatkezelői minőségedet már az is megalapozhatja, ha befolyást gyakorolsz a személyes adatok kezelésére, például tudsz arról, illetve ösztönzöd az adatkezelésben részt vevő partneredet.

Emellett a kizárólag papír alapon kezelt személyes adatok esetében is figyelned kell az adatvédelmi szabályok betartására, ha ezeket az adatokat bármely olyan szempont (pl. évszám, témakör) szerint rendszerezed, amely lehetővé teszi, hogy az adatokat könnyen visszakeresd.