Bizonyos feltételek mellett a nemzeti felügyeleti hatóságok is gyakorolhatják azt a hatáskört, hogy a GDPR feltételezett megsértését a tagállamok bíróságai elé vigyék, annak ellenére is, ha nem ezek számítanak a vezető felügyeleti hatóságnak – közölte kedden az Európai Unió Bírósága (CJEU), miután egy belga bíróság állásfoglalást kért a hazai adatvédelmi hatóság területi illetékességével kapcsolatban a Facebook belga felhasználóit érintő ügyben.

A hatóság azt próbálta volna megakadályozni, hogy a közösségi hálózat plug-inekben tárolt sütik segítségével nyomon követhesse az ottani internetezőket, függetlenül attól, hogy azok rendelkeznek-e facebookos regisztrációval. A Google-höz, a Twitterhez vagy az Apple-höz hasonlüan azonban a Facebook európai székhelye is Írországban van, az általános adatvédelmi rendelet (GDPR) pedig az ír adatvédelmi hatóság felügyelete alá helyezi a társaságot.

A 27 tagú Európai Unióban több nemzeti adatvédelmi hatósági is régóta panaszkodik ír kollégájára, mondván, hogy túl sokáig tart, amíg döntés születik a hozzá rendelt ügyekben. Az írek szerint ez természetes, miután a hatalmas méretű és jól finanszírozott technológiai óriásokkal szembenkülönös gondossággal kell eljárnia, márpedig nekik kell kezelniük a Facebook tulajdonában lévő Instagram és a WhatsApp ügyeit, valamint a Twitter, az Apple, a Verizon Media, a microsoftos LinkedIn, sőt még az amerikai Quantcast hirdetési szolgáltató eseteit is.

Úgy se volt jó, így se lesz jó

Az Európai Unió Bíróságának állásfoglalását az elsők között üdvözölte az EU civil fogyasztóvédelmi szervezete (BEUC​), ami a szűk keresztmetszetekre hivatkozva a kezdetektől támogatta a nemzeti hatóságok jogosultságait. A Reuters beszámolója a szervezet vezetőjét idézi, aki szerint nem állapot, hogy amiért a big tech vállalatok többsége Írországban fészkel, ennek az tagállamnak a feladata legyen mind az 500 millió fogyasztó védelme az Unióban – különösen akkor, ha meg sem próbál felnőni ehhez a feladathoz.

A mostani állásfoglalásban meghatározott feltételek egyrészt kitérnek rá, hogy a szabályozóknak továbbra is a GDPR-ben meghatározott együttműködési és konzisztencia-eljárásokat kell követniük, másrészt nem meglepő módon azt is kikötik, hogy az adott jogsértéseknek az érintett uniós országban kell megtörténniük. Ez teljesen észszerűnek tűnik, de a nagy techvállalatokat tömörítő amerikai CCIA máris közölte, hogy a döntés következetlen és bizonytalan végrehajtáshoz, illetve a költségek növekedéséhez fog vezetni.

Az infokommunikációs iparági szövetség szerint ezzel a nemzeti adatvédelmi hatóságok lehetőséget kapnak, hogy párhuzamosan folytassanak eljárásokat a vállalatok ellen, az adatvédelmi szabályok betartása pedig töredezetté és bizonytalanná válhat az Unióban. A CCIA ezért arra szólítja fel szabályozókat, hogy legyenek óvatosak a párhuzamos eljárások megindításában, mert ezzel nem csak a jogbiztonságot gyengíthetik, de tovább bonyolítanák az adatvédelmi megfelelőséget is.

A Fcebook szóvivője ugyanakkor örömét fejezte ki, hogy az Európai Unió Bírósága most is megerősítette az egyablakos mechanizmus értékeit és alapelveit, kiemelve annak fontosságát a GDPR hatékony és következetes alkalmazásában.