A 29. cikk szerinti adatvédelmi munkacsoport éves utolsó ülésén, 2010. december 16. napján fogadta el az alkalmazandó jogról szóló állásfoglalását (WP 179, 8/2010-es vélemény), ami a 95/46/EK irányelv alkalmazandó nemzeti jogra vonatkozó rendelkezéseit értelmezi. Az állásfoglalás nem a legkellemesebb illetve legszórakoztatóbb délutáni olvasmányok közé tartozik, azonban a munkacsoport által nyújtott gyakorlati példák az irányelvi rendelkezek megértéséhez valóban közelebb juttatnak. A 34 oldalas dokumentum összefoglalását az alábbiakban nyújtjuk, illetve annak zárásaként – az állásfoglalás fényében – a magyar adatvédelmi jog hatályára (1/A § (1) bekezdés, illetve 4/A § (6) bekezdés) vonatkozó rendelkezéseket elemezzük.
1. Általános megjegyzések
Az európai adatvédelmi irányelv számos cikke rögzít alkalmazandó nemzeti jogra vonatkozó rendelkezést, mint például a 4., 17 vagy 28. cikkek. Ezek meghatározzák, hogy
(i) melyik nemzeti jog irányadó egy adott adatkezelésre;
(ii) melyik adatvédelmi hatóság felelős a végrehajtásért; végül
(iii) mennyiben rendelkezik extraterritoriális hatállyal az európai adatvédelmi jog, mennyiben alkalmazandó az Európa határain kívül.
A munkacsoport állásfoglalása szerint az alkalmazandó jogra vonatkozó rendelkezések célja egyrészről a nemzeti adatvédelmi jogok közötti kollízió, illetve szükségtelen párhuzamos átfedések elkerülése, másrészről az adatalanyok megfelelő szintű, joghézag-mentes és hatékony jogvédelmének biztosítása.
Mint azt az Európai Bizottság is elismerte, az irányelv alkalmazandó joggal kapcsolatos átültetése több tagállam esetében sem történt meg problémamentesen. Ez feltehetően a vonatkozó irányelvi rendelkezések komplexitásából fakad, ami számos joggyakorlati bizonytalanságot eredményez.
Az alkalmazandó jog meghatározását kulcsfontosságúvá teszi a globalizáció, továbbá a technikai fejlődés folyamata, mint az Internet. Utóbbi ugyanis elszakítja az adatkezelést annak tényleges helyétől (pl. számítási felhők útján), az adatkezelést virtuális környezetbe helyezi, továbbá az adatkezeléshez használt eszköz helyének meghatározását szinte lehetetlenné teszi. Ezen problémák kezeléséhez szintén elengedhetetlen az alkalmazandó jogra vonatkozó rendelkezések egységes értelmezésének megteremtése, amelynek célja e területen a jogbiztonság nyújtása az adatkezelők, adatfeldolgozók és az adatalanyok részére is.
Az irányelv 4. cikke az alkalmazandó jogról a következőképpen rendelkezik:
(1) A személyes adatok kezelésére minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben:
a) az adatkezelést a tagállam területén az adatkezelő egy telephelye tevékenységeinek keretében végzik; amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek;
b) az adatkezelő nem valamely tagállam területén telepedett le, hanem olyan helyen, ahol a nemzetközi közjog értelmében saját nemzeti jogát kell alkalmazni;
c) az adatkezelő nem telepedett le a Közösség területén, és a személyes adatok kezelése céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található, kivéve, ha ezt az eszközt kizárólag a Közösség területén átmenő adatforgalom céljára használják.
(2) Az (1) bekezdés c) pontjában említett esetben az adatkezelőnek – az ellene indítható bírósági keresetek sérelme nélkül – ki kell jelölnie egy, az adott tagállam területén letelepedett képviselőt.
A munkacsoport kiemelte, hogy az alkalmazandó jog meghatározása szorosan összefügg az adatkezelő illetve annak letelepedési helyeinek azonosításával, mely vonatkozásban az 1/2010-es számú adatkezelőről és adatfeldolgozóról kibocsátott állásfoglalására utalt. Az alkalmazandó jog ugyanis nem feltétlenül egyetlen tagállam jogát jelenti, mivel ebből a szempontból mind a letelepedés helye, mind pedig a végzett tevékenység jellege döntő tényező lehet.
Az alkalmazandó jog meghatározásának fő kritériuma az adatkezelő letelepedési helye, illetve harmadik országbeli adatkezelő esetében az alkalmazott eszköz helye, tehát sem az adatalanyok nemzetisége, sem pedig az személyes adatok tárolásának fizikai helye nem irányadó tényező. Ennek gyakorlati jelentősége, hogy az adatkezelést illetve az irányelv alkalmazását a nemzetközi dimenzióba helyezi.
Az irányelv alapján a következő szcenáriók képezhetőek le:
Amennyiben (X) adatkezelő letelepedési helye/székhelye (A) tagállamban van, ebben az esetben – függetlenül az adatkezelés tényleges helyétől – (A) tagállam joga irányadó az adatkezelésre.
Amennyiben (A) tagállamban letelepedett (X) adatkezelő (B) tagállamban is letelepedett (Y fióktelep), ebben az esetben az Y fióktelep által végzett adatkezelésre
– (B) tagállam nemzeti joga irányadó, amennyiben az adatkezelést Y fióktelep szervezete tevékenységeinek keretében (in the context of the activities) végzik;
– (A) tagállam nemzeti joga irányadó, amennyiben az adatkezelést az X letelepedési hely tevékenysége keretében végzik.
Amennyiben az adatkezelő egyik tagállamban sem letelepedett, az adatkezelés azon tagállam jogának hatálya alá tartozik, ahol az adatkezeléshez felhasznált eszköz helyileg található.
Az alkalmazandó jog meghatározásának célja első szinten annak eldöntése, hogy egyáltalán az európai jog irányadó-e az adatkezelésre; másodsorban pedig melyik tagállami jog irányadó. A joghézagok illetve a túlszabályozás elkerülése szintén fontos célzata az irányelvnek. Egyetlen EGT-beli letelepedési hely esetében egyetlen adatvédelmi jog lehet irányadó a teljes adatkezelésre, míg több letelepedési hely esetében az irányadó nemzeti jog az egyes fióktelepek tevékenységétől függ. A munkacsoport ezzel kapcsolatosan hangsúlyozta, hogy a fenti kritériumok alkalmazása során ugyanazon adatkezelési tevékenységre irányadóan több nemzeti jog párhuzamos alkalmazásának elkerülésére kellene törekedni.
A munkacsoport kiemelte az alkalmazandó jog és a joghatóság közötti eltérést is, mivel a kettő nem feltétlenül egyezik meg egymással egy adott adatkezelés vonatkozásában. Az irányelv ugyanis nem érinti a bíróságok előtti joghatósági kérdéseket, azonban az a felügyelő hatóságokra nézve területi hatáskörre (illetékességre) vonatkozó rendelkezéseket rögzít. Így a 28. cikk (6) bekezdése rögzíti, hogy a felügyelő hatóságok, függetlenül az alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a rájuk ruházott hatáskörök gyakorlására, továbbá bármely tagállam hatósága felkérheti egy másik állam hatóságát hatáskörének gyakorlására. A felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén. Ezzel a kérdéskörrel azonban a munkacsoport külön vélemény útján szándékozik foglalkozni.
2. Az irányelvi rendelkezések részletes elemzése
2.1 A 4. cikk (1) bekezdés a) pontja – a letelepedési hely tevékenységének keretei
Az irányelv 4. cikk (1) a) pontja az alkalmazandó jogról a következőképpen rendelkezik:
A személyes adatok kezelésére minden tagállam az ezen irányelvnek megfelelően elfogadott nemzeti rendelkezéseket alkalmazza, amennyiben az adatkezelést a tagállam területén az adatkezelő egy letelepedési helye tevékenységeinek keretében végzik; amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy letelepedési helyeinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek.
Ennek elemei a következők.
a) adatkezelő letelepedésének helye egy tagállamban
A munkacsoport ezzel kapcsolatosan kiemelte:
– az adatkezelő meghatározására nézve az 1/2010. számú, tárgyban kibocsátott állásfoglalására utalt;
– a letelepedési hely fogalma nincs meghatározva, azonban ezen entitásnak nem szükséges jogalanyisággal rendelkeznie, mivel a fő kritérium a tevékenység effektív és tényleges kifejtése, melynek keretében személyes adatokat kezelnek;
– a munkacsoport a letelepedési hely értelmezése vonatkozásában az Európai Bíróság letelepedési szabadsággal kapcsolatos joggyakorlatára hivatkozott, ami technikai és emberi erőforrások jelenlétére utalt, melyek valamely szolgáltatás nyújtása céljából állandóan jelen vannak.
– egy szerver vagy egy számítógép főszabályként nem minősül letelepedési helynek, amennyiben azt csupán adatfeldolgozási eszközként használják;
– egy egyszemélyes iroda is letelepedési helynek minősülhet, amennyiben annak tevékenysége túlmutat egy másutt letelepedett adatkezelő képviseletén és adatkezelési tevékenységben aktívan részt vesz;
– a letelepedés formája irreleváns, ekként pedig egy ügynök is letelepedési helynek minősülhet, amennyiben annak tevékenysége az adott tagállamban kellő stabilitással bír.
b) adatkezelési tevékenység kerete
Az adatkezelés fogalmát a munkacsoport már más helyütt kifejtette. Itt arra utalt, hogy az adatkezelés az irányelv értelmében a személyes adatokon végzett bármely művelet vagy műveletek összessége, melyet a munkacsoport szerint akár egyidejűleg illetőleg akár különböző fázisokban is végezhető. Ez azt jelenti, hogy az adatkezelés különböző fázisai során elválhat az alkalmazandó / irányadó jog. Ez gyakorlatilag több nemzeti jog egyidejű alkalmazásához vezethet, ami nem feltétlenül kívánatos követelmény az irányelv hatálya alatt. Ezért több szempontot is figyelembe kell venni, mint például az adatkezelés makroszintű célját, melynél a tevékenység kerete és nem az adatkezelő székhelye vagy telephelye a rendező tényező.
A „letelepedési hely adatkezelési tevékenységének kerete”, illetve e fogalom értelmezése számos tényező értékelését igényli, közöttük:
– a letelepedési hely adatkezelési tevékenységben történő részvételének mélysége: a letelepedési hely saját tevékenységével kapcsolatos adatkezelés a letelepedési hely országának nemzeti joga hatálya alá tartozik. Ha másik tagállambeli letelepedési hely tevékenységével összefüggésben kezel adatot, akkor a másik tagállam joga irányadó erre a tevékenységre.
– a letelepedési hely adatkezelési tevékenységének jellege: ez csupán másodlagos tényező, azonban segítséget nyújthat az alkalmazandó jog meghatározásában; végül
– figyelembe veendő az irányelv célja, az egyének hatékony védelme.
A munkacsoport hangsúlyozza, hogy a fenti kritériumok elemzése vonatkozásában a funkcionális megközelítés alkalmazandó, melyik letelepedési hely milyen tevékenységet végez, illetve mi a letelepedési hely tényeleges szerepe.
Egy letelepedési hely tehát több különböző tevékenységben vehet részt és ezekre eltérő nemzeti jog lehet alkalmazandó. HR és ügyfél-jellegű adatkezelések esetében rendszerint azon tagállam joga irányadó, ahol a vonatkozó adatkezelési tevékenység (foglalkoztatás) – melynek keretében az adatokat kezelik – helyszíne található.
2.2 Irányelv 4. cikk (1) bekezdés b) pontja
Az Irányelv 4. cikk (1) bekezdés b) pontja abban az esetben alkalmazandó, ha az adatkezelő nem valamely tagállam területén telepedett le, hanem olyan helyen, ahol a nemzetközi közjog értelmében saját nemzeti jogát kell alkalmazni;
E szakasz alkalmazásának feltétele, hogy az Irányelv 4. cikk (1) a) pontja alapján az adatkezelő részéről nem azonosítható letelepedési hely és annak alapján az irányadó nemzeti jog. E szakasz gyakorlatilag – és kivételesen – abban az esetben irányadó, mikor nemzetközi szerződés vagy nemzetközi közjog rendelkezik az alkalmazandó jogról, mint például nagykövetségek, konzulátusok, hajók, repülők etc. esetében.
2.3 Az irányelv 4. cikk (1) bekezdés c) pontja – az adatkezelés eszközének helye
Az irányelv 20. preambulum-bekezdése értelmében az adatkezelés valamely harmadik országban letelepedett személy általi végzése nem gátolhatja az egyéneknek az irányelvben előírt védelmét; […] ilyen esetekben az adatkezelésre annak a tagállamnak a jogszabályai irányadóak, amelyben az alkalmazott eszközök találhatók.
Ez a rendelkezés különösen az új adatkezelési technológiák fényében bír különös jelentőséggel, mivel ezek megkönnyítik a személyes adatok felvételét a távolból, az adatkezelő EGT-beli fizikai jelenléte nélkül.
Irányelv 4. cikk (1) bekezdés c) pontja abban az esetben releváns, amennyiben az adatkezelő nem rendelkezik EGT jelenléttel összhangban a 4. cikk (1) bekezdés a) pontjával. Ugyanígy a 4. cikk (1) bekezdés c) pontja alkalmazandó, amennyiben az adatkezelő rendelkezik EGT letelepedési hellyel, az adatkezelés azonban nem kötődik a vonatkozó letelepedési helyhez. Ennek gyakorlati jelentősége, hogy EGT letelepedési hellyel rendelkező személy esetében mind a 4. cikk (1) bekezdés a) illetve c) pont egyidejűleg alkalmazható lehet, amennyiben két külön adatkezelési kontextusról van szó, illetőleg az eszköz helye szerinti adatkezelés nem kötődik a letelepedési hely tevékenységéhez.
Az eszköz/berendezés alkalmazásának kritériuma két elemet hordoz magában: (i) az adatkezelő valamely effektív tevékenységét, tovább (ii) egyértelmű szándékát a személyes adatok kezelésére. Az eszköz feletti tulajdonjog illetve hatalom nem képezi a meghatározás részét, emiatt pedig bármely felhasználási jellegű tevékenység az irányelv hatókörébe eshet. Az eszköz felhasználásának eseti megítélése alapján lehet eldönteni, hogy a vonatkozó adatkezelés az irányelvi szabályozás hatálya alá tartozik-e. Ebből a szempontból megjegyzendő, hogy a munkacsoport gyakorlata tágan értelmezi ezt a rendelkezést és ide sorolta a felhasználók számítógépe úján megvalósuló adatgyűjtést sütik (cookie-k) vagy akár Javascript bannerek útján, melyek ezáltal a harmadik országban található szolgáltatók tevékenységének európai adatvédelmi jog alá rendelését jelentik.
A munkacsoport több példát is felhoz, így geo-lokalizációs szolgáltatásokat, ahol az új-zélandi letelepedésű adatkezelő adatgyűjtő (többek között WiFi pontokat feltérképező) személyautói 4. cikk (1) bekezdés c) pontja szerinti eszköznek minősülnek, másrészről a felhasználó mobil-készülékét is használja a szolgáltató egy arra telepített eszköz útján, mikor az eszköz / használója helymeghatározását végzi el. Mindkét esetben eleget kell tenni az irányelv rendelkezéseinek.
A munkacsoport a számítási felhőkre irányadó jog megállapítását hozza fel, ahol az adattárolás tényleges helye nem mindig ismert és időben változhat. Az első lépés az adatkezelő azonosítása. A számítási felhő-szolgáltatás használója adatkezelőnek minősül és irányadó rá az irányelv, amennyiben ezt a szolgáltatást EGT-beli letelepedési helye tevékenységének keretén belül használja és ebben az esetben minden szükséges intézkedést meg kell tennie a megfelelő szintű védelem biztosítására. A számításifelhő-szolgáltatás nyújtója egyaránt adatkezelőnek minősülhet, amennyiben privát felek számára nyújt szolgáltatást, akiknek lehetősége van adataik feltöltésére/szinkronizálására. Amennyiben az EU-n belüli eszközt használ fel az ilyen szolgáltató, akkor a 4. cikk (1) bekezdés c) pontja szerint irányadó tevékenységére az európai adatvédelmi jog, kivéve, ha a vonatkozó eszköz kizárólag az átmenő forgalom célját szolgálja.
A 4. cikk (1) bekezdés c) pontban rögzített meghatározás szerint az eszköz elhelyezkedése nem alapozza meg az irányelv alkalmazását, amennyiben az csupán az unión belül átmenő adatforgalom célját szolgálja. Ide tartoznak például a telekommunikációs kábelek vagy akár a postai szolgáltatások is, amennyiben valóban átmenő forgalmat szolgálnak. A munkacsoport szerint ezt a rendelkezést annak kivétel jellegéből adódóan szűken kell értelmezni. Másrészről rámutat arra a munkacsoport, hogy ez a kivétel tiszta formájában egyre ritkábban jelenik meg a gyakorlatban, mivel a tiszta adatforgalmat hozzáadott értékű szolgáltatásokkal vegyítik, mint például a spam-szűréssel.
A 4. cikk (2) pontja a 4. cikk (1) bekezdés c) pontja szerinti adatkezelőre azt a kötelezettséget rója, hogy jelöljön ki egy képviselőt az alkalmazandó jog szerinti tagállamban. Az irányelvi rendelkezések érvényesítése a képviselővel szemben számos kérdést felvet a tagállamok tapasztalata szerint. Így nincs tagállamilag egységes gyakorlat, hogy a képviselő szankcionálható-e az adatkezelő nevében. Egyes tagállamokban tényleges helyettesítés áll fenn, míg más tagállamokban csupán egyszerű megbízási viszonyról van szó. Így egyes államok lehetővé teszik a képviselő szankcionálását, míg mások nem. Ebben a tekintetben a munkacsoport szerint további harmonizáció szükséges.
A 4. cikk (1) c) pontjának gyakorlati alkalmazása számos kérdést felvet, így különösen azt, hogy a teljes adatkezelésre vagy csupán annak az EU-ban megvalósuló részére irányadó az irányelvi szabályozás. A munkacsoport álláspontja szerint nem lehet az adatalanyok jogait csupán bizonyos adatkezelési fázisokra limitálni, továbbá a személyes adatok védelmére vonatkozó alapjog nemzetiségre való tekintet nélkül illeti meg az egyéneket, emiatt annak hatókörét nem lehet csupán EU-ban tartózkodó személyekre korlátozni. Ennek megfelelően az adatkezelés teljes fázisára, tehát mindazon fázisokra is kiterjed az EU adatvédelmi irányelvének szabályozása és meg kell annak felelnie az adatkezelőnek, melyek harmadik országban kerülnek végrehajtásra. Ebből a szempontból az adatkezelés egészen addig az irányelvi szabályok hatálya alá tartozik, míg az EU-val való kapcsolat fennáll, illetve az nem távoli és esetleges.
2.4 A 17. cikk (3) bekezdése – az adatkezelés biztonsági követelményei
Az adatkezelés biztonságára vonatkozó rendelkezések kivételt jelentenek az irányelv 4. cikke alól, mivel a 17. cikk (3) bekezdése az adatkezelő letelepedési helye szerinti tagállam jogára utalja ezek meghatározását, aminek praktikus illetve végrehajtási okai vannak.
2.5 A 28. cikk (6) bekezdése – a felügyelő hatóságok együttműködése
A felügyelő hatóságok együttműködését az irányelv 28. cikk (6) bekezdése szabályozza. Ennek értelmében a felügyelő hatóságok, függetlenül a szóban forgó adatkezelésre alkalmazandó nemzeti jogtól, saját tagállamuk területén hatáskörrel rendelkeznek a rájuk ruházott hatáskörök gyakorlására. Bármely tagállam hatósága felkérheti egy másik állam hatóságát hatáskörének gyakorlására. A felügyelő hatóságok a feladataik teljesítéséhez szükséges mértékben együttműködnek egymással, különösen a hasznos információk cseréje révén.
E rendelkezés értelmében minden felügyelő hatóság a saját területén rendelkezik az adatkezelések felügyeletére vonatkozó jogosultsággal, azonban az irányelv lehetővé teszi, hogy saját területén akkor is eljárjon és végrehajtsa az irányelv rendelkezéseit, amennyiben arra egy másik tagállam joga irányadó. Ez azt jelenti, hogy a saját nemzeti joga alapján ráruházott hatásköröket gyakorolhatja a külföldi jog alkalmazása esetében is. Másrészről ugyanez megköveteli több adatvédelmi hatóság együttműködését is, melynek kereteit a munkacsoport külön állásfoglalásban szándékozik tisztázni.
3. Következtetések és javaslatok
A 29. számú adatvédelmi munkacsoport szerint az irányelv alkalmazandó joggal kapcsolatos rendelkezéseinek egyértelmű javítását a származási ország elvének bevezetése jelentené, mikor is az adatkezelő székhelyének / fő letelepedési helyének joga lenne az irányadó nemzeti jog. Ez azonban a tagállami jogok további egységesítését követelné meg, mivel ez az ún. forum-shopping jelenségéhez vezetne, hogy a lazább követelményekkel rendelkező tagállamot választaná ki az adatkezelő, ami ezáltal az adatalanyok jogainak sérelmét jelentené. Éppen ezért a jövőben az adatkezelési elvek illetve a biztonsági intézkedések egységesítését fogja szorgalmazni a munkacsoport.
EGT-n kívüli adatkezelők esetében további kritériumok bevezetése lenne kívánatos, ami biztosítja azt, hogy az adatkezelésnek megfelelő kapcsolódása álljon fenn az EU-val, továbbá illegális adatkezelési tevékenységeknek ne nyújtson terepet az EU. Ennek elérése a következő módon lehetséges: az „EU-s adatalanyok felé irányultság” lehetne a döntő kritérium, melynek szempontjából számos tényezőt lehetne figyelembe venni, mint a szolgáltatás nyelve, EU-s országok kiszolgálása; a reklám nyelve; EU-s fizetési szolgáltatások elfogadása. Az eszközre vonatkozó kritériumot – ami gyakorlatilag az irányelv univerzális alkalmazásához vezet – csupán harmadsorban lenne célszerű alkalmazni, amennyiben az irányultságra vonatkozó kritérium nem alkalmazható, azonban az EU-val való kapcsolódást valamely jelentős infrastruktúra EGT-beli jelenléte mégis megalapozza.
Végül a munkacsoport a harmadik állambeli adatkezelő képviselő kijelölésére vonatkozó kötelezettség további harmonizálását javasolja, hogy adatalanyok mennyiben és milyen mértékben gyakorolhatják e személlyel szemben a jogosultságukat.
4. A magyar szabályozás a munkacsoport állásfoglalásának fényében
A magyar adatvédelmi törvény hatályával kapcsolatos rendelkezés az Avtv 1/A. § (1) bekezdésében és 4/A (6) bekezdésében található.
A hazai szabályozás – az irányelv kifejezett rendelkezésével és munkacsoporti értelmezésével szemben – kizárólag a territorialitás talaján áll, mivel Avtv 1/A. § (1) bekezdése értelmében
„E törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik.”
A törvény eme szakaszának miniszteri indokolása szerint: „Indokolt ezért – figyelembe véve az Irányelv megfelelő rendelkezéseit (4. cikk, 25. cikk) is – a törvény személyi, tárgyi és területi hatályát pontosan meghatározni. Ennek megfelelően a módosítás kimondja, hogy a törvény hatálya a Magyar Köztársaság területén folytatott minden adatkezelésre és adatfeldolgozásra kiterjed, tekintet nélkül az adatkezelő vagy adatfeldolgozó állampolgárságára, székhelyére vagy lakóhelyére.”
Ez gyakorlatilag azt is jelenti, hogy előállhat az irányelv 4. cikk (1) bekezdése és az Avtv 1/A összeütközésekor egy joghézag, amennyiben egy adatkezelést nem magyar területen folytatnak, hanem egy másik EGT tagállam területén, azonban ott egy helyi, ám egyébként magyar letelepedéssel is rendelkező cég tevékenysége keretében történik meg az adatkezelés. A gyakorlati problémát mégsem ez okozza – mivel nem kérdéses, hogy maga az irányelv irányadó a kérdéses adatkezelésre –, hanem általánosan a magyar törvény hatályának tágabb értelmezése jelent problémaforrást. A magyar jogszabály alapján ugyanis gyakorlatilag minden olyan esetben párhuzamosan kellene alkalmazni a magyar adatvédelmi jogot egy másik tagállami nemzeti jogával együttesen, mikor magyar területhez kötődik egy adatkezelési művelet (pl. Magyarország területén vesz föl valaki személyes adatokat), mivel a magyar törvény hatályra vonatkozó rendelkezése a „adatkezelési tevékenység keretére” vonatkozó feltételt nem rögzít.
Álláspontunk szerint tehát nem az lenne a helyes megoldás, amennyiben a fenti problematikát a magyar adatvédelmi jog szigorúbb / tágabb alkalmazásával magyaráznánk (mivel a Lindquist ügyben a Bíróság egyébként is elismerte az adatvédelem területén a teljes európai harmonizáció tényét), hanem ahol az csak lehetséges, igyekezni kellene elkerülni a tagállami jogok többes / együttes (overlap) alkalmazását. A túlszabályozást ugyanis a munkacsoport szintén elkerülendő tényezőnek tartotta. Véleményem szerint tehát a hatályról szóló magyar törvényi szabály irányelv-harmonikus értelmezését, illetőleg azt kellene alapul venni, hogy az „adatkezelési tevékenység kertére” vonatkozó irányelvi rendelkezés a magyar jog hatálya alatt is irányadó legyen. Ez azt követelné meg, hogy a hatályra vonatkozó magyar törvényi rendelkezést megszorítóan lenne szükséges értelmezni.
A 4. cikk (1) bekezdés c) pontja alkalmazása komolyabb gondot nem vet föl, mivel annak átültetése lényegében megfelel az irányelv vonatkozó rendelkezésének, illetve az annyiban tágabb, hogy az adatkezelés kontextusától függetlenül a Magyarországon letelepedési hellyel rendelkező adatfeldolgozó megbízása esetében szintén a magyar törvényt rendeli alkalmazni, ami végképp a magyar adatvédelmi jog extraterritoriális / univerzális alkalmazása felé mutat. Hogy erre példát hozzunk: amennyiben harmadik országbeli adatkezelő egy szintén harmadik országbeli olyan adatfeldolgozót bíz meg személyes adatok kezelésével, amely adatfeldolgozó fiókteleppel bír Magyarországon, elviekben magyar vonatkozású adatkezelés hiányában is irányadó lenne a magyar jog erre az adatkezelésre.
A képviselő kijelölésére vonatkozó kötelezettség a magyar jog hatálya alatt is fennáll, a magyar adatvédelmi hatóság e képviselőt legfeljebb információ-kérésekre használja fel, amennyiben az szükséges.