Az Európai Unió Bírósága (EUB) – 2020. július 9-én hozott ítéletében – egy német állampolgár, VQ, hozzáféréshez való jogának gyakorlására irányuló kérelmének elutasításával összefüggésben értelmezte az általános adatvédelmi rendelet (GDPR) 4. cikk 7. pontját és 15. cikkét. A testület ismét megerősítette az adatkezelő fogalmának tág értelmezését, amelybe minden olyan szerv beletartozik, függetlenül annak tevékenységétől, amely a személyes adatok célját vagy eszközeit meghatározza. Másrészt a bíróság továbbra is úgy tekinti a GDPR tárgyi hatálya alóli kivételek körét, hogy azokat megszorítóan kell értelmezni.

Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

Egy német állampolgár élni kívánt a GDPR 15. cikkében foglalt hozzáféréshez való jogával egy, a Hessen tartomány közgyűlésének petíciós bizottságához benyújtott petíciójával összefüggésben. A tartományi közgyűlés elnöke azonban elutasította a kérelmet arra hivatkozva, hogy a petíciós eljárás a közgyűlés feladatkörébe tartozik, amely azonban nem tartozik a GDPR hatálya alá. VQ ezt követőn bíróságon támadta meg a kérelmének elutasítását. A wiesbadeni közigazgatási bíróság az alábbi kérdéseket intézte az előzetes döntéshozatali kérelemben EUB-hoz:

• a petíciós bizottság a GDPR 4. cikk 7. pontja értelmében adatkezelőnek minősül-e;
• a petíciós bizottság köteles-e eleget tenni a GDPR 15. cikkében foglalt hozzáféréshez való jogból eredő tájékoztatási kötelezettségének.

A döntés

Az EUB mindenekelőtt azt vizsgálta meg, hogy a kérelemben említett bizottság adatkezelőnek minősül(het)-e a GDPR szabta keretek között. Ebben a vonatkozásban abból indult ki, hogy az adatkezelő GDPR-ban szereplő fogalommeghatározása nem korlátozódik kizárólag a 4. cikk 7. pontjában felsorolt személyekre vagy szervekre, így a közhatalmi szervekre. Az adatkezelői minőség „kellően tág ahhoz, hogy magában foglaljon minden olyan szervet, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza”.

A testület ezt követően kitért a GDPR 2. cikk (2) bekezdés szerinti kivételek alkalmazhatóságára. Az EUB a gyakorlatát is felidézve kimondta, hogy e kivételeket megszorítóan kell értelmezni, továbbá azoknak szerepelnie kell a rendeletben „kifejezetten említett tevékenységek körében, illetve azt az e tevékenységekkel azonos kategóriába tartozónak kell tudni tekinteni”. Mivel ilyen esetkör nem áll fenn, ezért az ügy szempontjából nem alkalmazhatók a GDPR 2. cikk (2) bekezdés a-)b) és d) pontjaiban említettek rendelkezések.

A fentiek alapján az EUB megállapította, hogy minden olyan esetben, amikor Hessen tartomány közgyűlésének petíciós bizottsága önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és eszközeit, a GDPR értelmében vett adatkezelőnek minősül. Az alapügy szempontjából fennálltak az adatkezelői minőséghez szükséges ismérvek, így a bizottság köteles eleget tenni az érintett hozzáféréshez való jog gyakorlása iránti kérelmének.

Forrás: https://curia.europa.eu, Data Protection Insider