Az Európai Adatvédelmi Testület június végén elérhetővé tette az "egyablakos ügyintézés" ("One-Stop-Shop") keretében hozott döntésekről vezetett adatbázist, amely kezdésnek 110 döntést tartalmaz.
Mi az az "egyablakos ügyintézés"?
A GDPR alapján (60. cikk) a felügyeleti hatóságok együttműködnek egymással a határon átnyúló ügyek kezelésében.
Ilyen ügyek esetében a fő felügyeleti hatóság (Lead Supervisory Authority) jár el, ugyanakkor konszenzusra törekedve együttműködik a többi érintett felügyeleti hatósággal. A fő felügyeleti hatóság és az érintett felügyeleti hatóságok minden releváns információt kicserélnek egymással. A fő felügyeleti hatóság bármikor kérheti más érintett felügyeleti hatóságoktól a kölcsönös segítségnyújtást (GDPR 61. cikk) és végezhet közös műveleteket, különösen olyan vizsgálatok lefolytatása vagy olyan intézkedések végrehajtásának nyomon követése céljából, amelyek valamely másik tagállamban tevékenységi hellyel rendelkező adatkezelővel, illetve adatfeldolgozóval kapcsolatosak (GDPR 62. cikk).
A döntés tervezetét a fő felügyeleti hatóság haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék a tervezetet, és véleményüket figyelembe veszi a döntés meghozatala során. Ha a hatóságok nem jutnak közös álláspontra és valamely érintett felügyeleti hatóság releváns és megalapozott kifogást emel a döntéstervezettel szemben, a fő felügyeleti hatóság, ha nem ért egyet a releváns és megalapozott kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet egységességi mechanizmus keretében kezeli (GDPR 63. cikk), amely kapcsán végső soron az Európai Adatvédelmi Testület dönt.
Ha a megfelelő határidőn belül a többi érintett felügyeleti hatóság egyike sem emel kifogást a fő felügyeleti hatóság által benyújtott döntéstervezettel szemben, vagy a kifogás alapján megfelelően módosításra kerül a tervezet, úgy kell tekinteni, hogy a fő felügyeleti hatóság és az érintett felügyeleti hatóságok egyetértenek a döntéstervezettel és az rájuk nézve kötelező.
A fő felügyeleti hatóság miután elfogadja a döntést, közli azt az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztatja a szóban forgó döntésről a többi érintett felügyeleti hatóságot és a Testületet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről.
Melyik hatóság jár el fő felügyeleti hatóságként?
A fő felügyeleti hatóság illetékességét az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye határozza meg, az e szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében.
A tevékenységi központ meghatározását a GDPR 4. cikk 16. pontja tartalmazza. E szerint, „tevékenységi központ:
a) az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő esetében az Unión belüli központi ügyvitelének helye, ha azonban a személyes adatok kezelésének céljaira és eszközeire vonatkozó döntéseket az adatkezelő egy Unión belüli másik tevékenységi helyén hozzák, és az utóbbi tevékenységi hely rendelkezik hatáskörrel az említett döntések végrehajtatására, az említett döntéseket meghozó tevékenységi helyet kell tevékenységi központnak tekinteni;
b) az egynél több tagállamban tevékenységi hellyel rendelkező adatfeldolgozó esetében az Unión belüli központi ügyvitelének helye, vagy ha az adatfeldolgozó az Unióban nem rendelkezik központi ügyviteli hellyel, akkor az adatfeldolgozónak az az Unión belüli tevékenységi helye, ahol az adatfeldolgozó tevékenységi helyén folytatott tevékenységekkel összefüggésben végzett fő adatkezelési tevékenységek zajlanak, amennyiben az adatfeldolgozóra e rendelet szerint meghatározott kötelezettségek vonatkoznak."
Ugyanakkor minden felügyeleti hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult a GDPR esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket. Ebben az esetben a fő felügyeleti hatóságot haladéktalanul tájékoztatni kell az ügyről. A fő felügyeleti hatóság dönthet arról, hogy eljár-e az ügyben, figyelembe véve azt, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel abban a tagállamban, amelynek a felügyeleti hatósága a fő felügyeleti hatóságot tájékoztatta. Ha a fő felügyeleti hatóság úgy határoz, hogy eljár az ügyben, a 60. cikkben meghatározott eljárást ("egyablakos ügyintézés") kell alkalmazni. Ilyenkor a fő felügyeleti hatóságot tájékoztató felügyeleti hatóság döntéstervezetet nyújthat be a fő felügyeleti hatóságnak. Ha a fő felügyeleti hatóság úgy határoz, hogy nem jár el az ügyben, a fő felügyeleti hatóságot tájékoztató felügyeleti hatóság jár el.
(A fő felügyeleti hatóság meghatározásához a 29. cikk szerinti Munkacsoport által kiadott és az Európai Adatvédelmi Testület által megerősített iránymutatás adhat további segítséget: "Iránymutatás az adatkezelő vagy az adatfeldolgozó fő felügyeleti hatóságának meghatározásához". Továbbá hasznos lehet a Testület általános adatvédelmi rendelet területi hatályáról szóló 3/2018. sz. iránymutatásának a tanulmányozása is, a tevékenységi központ meghatározásával összefüggésben.)
Miért hasznos a most közzétett adatbázis?
Az "egyablakos ügyintézésnek" és a GDPR alapján biztosított együttműködésnek a lényege az egységes joggyakorlat alakítása a GDPR alkalmazása során. Éppen ezért különösen érdekes, hogy milyen határon átnyúló ügyekben hoztak döntést a hatóságok és azokban milyen közösen elfogadható álláspontot tudtak kialakítani. Tekintve, hogy jelenleg is 110 ügyet tartalmaz az adatbázis, megjelölve, hogy a GDPR mely cikkei kerültek alkalmazásra, illetve egy rövid összefoglaló is tartozik az egyes ügyekhez, így nagyon jó tájékozódási pontot képvisel a hatósági joggyakorlat alakaulásával kapcsolatban.
