Az Európai Unió Bírósága 2015. október 1-jén határozatot hozott a C‑230/14. számú előzetes döntéshozatali ügyben. A döntés a Weltimmo SRO szlovák székhelyű társaság adatkezelési tevékenységével kapcsolatos, melyben az EU Bíróság iránymutató állásfoglalást adott a nemzeti adatvédelmi jogok (és kötelezettségek) terjedelméről, tehát arról, hogy egy más tagállamban székhellyel rendelkező adatkezelőnek milyen feltételek esetén szükséges megfelelnie a nemzeti adatvédelmi jog által támasztott követelményeknek, ami közvetlenül befolyásolja a Magyarország (vagy más tagállam) területére szolgáltatást nyújtó külföldi vállalkozások tevékenységét.
Az előzetes döntéshozatali ügy tényállása szerint Weltimmo szlovákiai székhelyű társaság, és németországi, illetőleg ausztriai szervereken keresztül üzemeltette a szolgáltatásait az www.ingatlandepo.com, www.ingatlanbazar.com és www.ingatlanbazar.net oldalakon, amelyek útján magyar nyelvű ingatlan-hirdetések közzétételét kínálták. A hirdetések egy hónapig ingyenesek voltak, majd ezt követően díjat kellett fizetni, melynek nem teljesítése esetére a Wetimmo kötbért számolt fel a hirdetők részére. Számos hirdető személyes adatok törlése iránti kérelemmel, illetőleg a hirdetések eltávolítása érdekében fordult a Weltimmohoz, amely megtagadta az adatok törlését, mivel a társaság utóbb tisztességtelennek minősített ÁSZF-je a szolgáltatás ellenértéke, valamint magas összegű kötbér megfizetésétől tette függővé a hirdetéssel kapcsolatos felmondási jog gyakorlását. A Weltimmo a reklámozók személyes adatait e díjak behajtása érdekében hazai követeléskezelő cégek részére továbbította.
A szlovák cég, illetőleg annak tevékenysége kétségtelenül több szállal Magyarországhoz kötődött: annak ügyvezetője és tulajdonosai magyarországi lakos magánszemélyek, az ott közzétett hirdetések magyar nyelvűek, illetőleg magyar tulajdonosok magyarországi ingatlanjaira vonatkoztak, akik feltöltés útján saját maguk jeleníthették meg hirdetéseiket (anélkül, hogy adott esetben a hirdetés törlését elvégezhették volna). A Weltimmo nem rendelkezett székhellyel, illetve telephellyel Magyarországon, és csak postafiókot tartott fenn itthon, továbbá a társaság magyar képviselője bíróságok és hatóságok előtt is rendszeresen eljárt, illetőleg saját maga egyeztetett a nem fizető ügyfelekkel.
A magyar adatvédelmi hatóság pusztán a hirdetési szolgáltatás magyarországi igénybe vevők felé való elérhetővé tételét már elegendőnek tartotta ahhoz, hogy megállapítsa a magyar Infotörvény alkalmazhatóságát és ebből következően saját joghatóságát is a szlovák adatkezelővel szemben. Tekintettel a szlovák cég adatalanyi jogokat sértő magatartására, a hatóság az eljárása során 10 millió forintos adatvédelmi bírságot szabott ki a szlovák társaságra.
A Weltimmo bíróság előtt megtámadta az adatvédelmi hatóság határozatát és arra hivatkozott, hogy a magyar hatóság nem rendelkezett hatáskörrel az ügyben való eljárásra, mivel álláspontja szerint a szlovák letelepedése miatt a szlovák adatvédelmi jog irányadó az adatkezelésre, illetőleg a szlovák adatvédelmi hatóságnak kellett volna eljárnia az ügyben.
Az ügy ezt követően számos bírói fórumot megjárt és a Kúria előtt kötött ki, amely előzetes döntéshozatal iránti kérelemmel fordult az EU Bírósághoz annak tisztázása érdekében, hogy a Weltimmo megalapozottan hivatkozhat-e a magyar adatvédelmi hatóság hatáskörének hiányára. Az adatvédelmi irányelv (95/46/EK irányelv) értelmében ugyanis az adatvédelmi hatóságok csak saját tagállamuk területén rendelkeznek hatáskörrel a rájuk ruházott jogosultságok, így szankciók alkalmazásának gyakorlására.
Az európai adatvédelmi irányelv 4. cikk (1) bekezdésének a) pontja szerint az alkalmazandó adatvédelmi jog meghatározásának elsődleges kritériuma az Európai Unión belül az adatkezelő letelepedési helye. Tehát amennyiben az adatkezelő csak egyetlen tagállamban letelepedett, úgy sem az adatalanyok nemzetisége, sem pedig az személyes adatok tárolásának (a hoszting szolgáltatás) fizikai helye nem irányadó tényező. Ezt meghaladóan az alkalmazandó adatvédelmi jog meghatározása szempontjából az sem releváns az irányelv alapján, ha az adatkezelő más tagállamokban található eszközt (pl. szervereket) alkalmaz.
Ha az adatkezelő több tagállamban is letelepedett, akkor az irányelv értemében meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek. Ez azzal a következménnyel jár, hogy egy adatkezelőnek egyidejűleg több nemzeti adatvédelmi jog követelményeinek is meg kell felelnie, ha teljesülnek az „adatkezelési tevékenység keretére” vonatkozó feltételek. Utóbbi értelmezését az EU Bíróság a C‑131/12. sz. Google Spain ügyben nyújtotta (mely döntését az EU Bíróság a Kúria előzetes döntéshozatali kérelmét követően hozott csak meg) és amely döntésében a Bíróság az „adatkezelési tevékenység keretét” tágan határozta meg. A Bíróság kimondta ugyanis, hogy nincs szükség arra, hogy a szóban forgó adatkezelést az érintett szervezet „maga” valósítsa meg, hanem elég olyan tevékenységek ellátása a szervezet részéről, melyek pusztán segítik az adatkezelési műveleteket, például a szolgáltatás profitabilitásának megteremtése (a Google Spain ügyben reklámok értékesítése) útján.
A Weltimmo ügyben mindazonáltal kétség merül fel azon kérdéssel kapcsolatban, hogy kizárólag Szlovákiában „letelepedett‑e” a Weltimmo a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében, illetőleg a személyes adatok kezelését magyarországi szervezet keretében végzi-e.
A szervezet, illetőleg letelepedés fogalmát az irányelv nem határozza meg. Az irányelv 19. preambulumbekezdése szerint „valamely tagállamban való letelepedés magában foglalja a tevékenység tényleges gyakorlását tartós jelleggel; mivel e letelepedés – legyen akár egyszerűen fióktelep, akár jogi személyiséggel rendelkező leányvállalat – jogi formája e tekintetben nem meghatározó tényező; mivel ha egy adatkezelő több tagállamban is letelepedett, főként leányvállalatok révén, a nemzeti szabályozás megkerülésének kizárása érdekében gondoskodnia kell arról, hogy minden egyes szervezete megfeleljen a tevékenységére alkalmazandó nemzeti jogszabályok által meghatározott kötelezettségeknek”.
A döntésében a Bíróság az EUMSZ 50. cikke szerinti letelepedési szabadságra vonatkozó gyakorlatára utalt, ami a letelepedés fogalmának rugalmas értelmezését veszi előtérbe, tehát azt, hogy nem a vállalkozás bejegyzésének helye a döntő, hanem az adatkezelő szervezetének adott tagállamban való tevékenységének tartóssága. A Bíróság tehát – a lex protectionis elvének kiterjesztésével – igen tágan határozta meg a letelepedés fogalmát, és megállapította, hogy magyarországi ingatlanokat hirdető weboldal üzemeltetése, amelyek magyar nyelvűek, és amely hirdetések után egy hónapot követően díjat kell fizetni, annak ellenére is valódi és tényleges tevékenységet folytatásának minősülnek Magyarországon, ha az adott országban csak egyetlen képviselő van jelen. E képviselő ugyanis magyarországi lakcímmel szerepelt a szlovák cégnyilvántartásban, egyeztetéseket folytatott a hirdetőkkel, illetőleg képviselte a társaságot a hatósági és a bírósági eljárásban, bankszámlát nyitott Magyarországon a követelései behajtása céljából, illetőleg postafiókkal rendelkezett ugyanitt.
A Bíróság szerint tehát „letelepedés” 95/46 irányelv értelmében vett fogalma kiterjed minden, akár csekély mértékű valós és tényleges tevékenységre, amelyet tartós jelleggel folytatnak, melynél fogva a Bíróság szerint a jelen ügyben megállapítható volt a 95/46 irányelv 4. cikke (1) bekezdésének a) pontja értelmében vett „szervezet” léte Magyarországon. A Bíróság szerint az adatkezelésre – ami ingatlanhirdetések közzétételére és kapcsolódó díjak számlázására terjedt ki – a Weltimmo azon tevékenységével összefüggésben került sor, melyet a Weltimmo képviselője Magyarországon folytatott, ezáltal megállapítható volt a tényleges magyarországi tevékenység kerete is.
A fentiekből következően a Bíróság szerint megállapítható a magyar adatvédelmi jog alkalmazhatósága, illetőleg a magyar adatvédelmi hatóság eljárási jogosultsága a Weltimmoval szemben.
Hangsúlyozva az ügy egyedi körülményeit, a fenti jogértelmezésével az EU Bíróság mesterségesen alacsonyan húzta meg azt a mércét, ami egy adatkezelő tagállami szervezet léte megállapításához, illetőleg ezáltal a tagállami adatvédelemi jog alkalmazásához szükséges, mellyel a Bíróság kétségtelenül eltért a 29. cikk szerinti adatvédelmi munkacsoport alkalmazandó joggal kapcsolatos korábbi állásfoglalásától, illetőleg más európai adatvédelmi hatóságok állandó gyakorlatától is. A Bíróság ugyanis többletelemeket emelt be az irányelv 4. cikk (1) bekezdésének a) pontjának értelmezésbe, mint a helyi ingatlanok érintettsége, a szolgáltatás irányultsága és nyelve, amely körülmények az adatkezelési tevékenység keretének adott tagállamban való megvalósulásával összefüggésben vehetők figyelembe. Másrészről a letelepedés tényének megállapításával, illetve a tagállami szervezet létének kimondásával kapcsolatosan pusztán a társaságot képviselő egyetlen ügyvezető állandó helyi jelenlétét (külön iroda fenntartása nélkül) és e képviselő követelések érvényesítését magába foglaló tevékenységét a Bíróság már elegendőnek minősítette a magyar adatvédelmi jog alkalmazásához.
A döntés gyakorlati következményei beláthatatlanok, az ugyanis megnöveli a más tagállamban letelepedett adatkezelők nemzeti adatvédelmi hatóságoknak való kitettségét, illetőleg a nemzeti adatvédelmi hatósági eljárások számát. A Weltimmo döntés kétségtelenül arra ösztönzi a nemzeti adatvédelmi hatóságokat, hogy közvetlenül és maguk intézzék el az adatalanyok panaszait, anélkül, hogy az adatvédelmi hatóságok közötti együttműködés irányelv szerinti eszközeivel élnének, melynek kereteiről szintén rendelkezett az EU Bíróság:
Ha nem a panasz megtétele helye szerinti tagállami adatvédelmi jog irányadó egy adott adatkezelésre, a Bíróság szerint ilyenkor az alkalmazandó nemzeti jogtól függetlenül is megvizsgálható a panasz, illetőleg lefolytatható a vizsgálati eljárás, mindazonáltal szankciók kiszabása helyett át kell adni az ügyet a hatáskörrel rendelkező másik tagállami adatvédelmi hatóság részére, ami érintett tagállam területi szuverenitásából következő követelmény. Ebben az esetben ugyanis az utóbbi tagállami hatóság az, ami az ügyben kizárólagosan jogosult jogsértés megállapítására, illetőleg szankciók alkalmazására.
A magyar adatvédelmi hatóság 2015. október 2. napján közzétett közleményében üdvözölte a Bíróság ítéletét, és azon álláspontjának adott hangot, hogy értelmezése szerint online szolgáltatóknak azon ország adatvédelemi jogszabályait kell betartania, ahová a szolgáltatásuk irányul, ezért nem engedi számukra a nemzeti adatvédelmi szabályozás megkerülését.