h i r d e t é s

A kötelező GDPR-ről

Olvasási idő
8perc
Eddig olvastam
a- a+

A kötelező GDPR-ről

2018. április 24. - 19:03

A választások elmúltával új kedvence van a magyar médiának. A GDPR az EU  adatkezelésről szóló rendelete. 

GDPR - Forrás: DMNews

De mi is ez, hogy az EU hoz a magyar állampolgárokra kötelező rendeletet? A dolog megértéséhez elő kell vennünk az EU alapszerződését és az EU működési  szerződését. Az EU alapvetően nem egy föderációs államközösség (mint például az USA), hanem egy olyan, nagyon speciális egyesület, amelynek tagjai szuverén államok.

Az ilyen típusú szervezeteknek alapvető tulajdonsága, hogy a szervezetek csak a saját tagjaikra – államokra, az egyes államokban működő állami szervezetekre – alkothatnak kötelező érvényű magatartási szabályokat. A mindennapi életben mégis azt látjuk, hogy némely egyesületi formában működő nagy szervezetek, például FIFA, vagy az MLSZ, nem csak a tagjaira, tehát az egyesületekre alkot betartandó szabályokat, hanem a tagjainak a tagjaira is, azaz közvetlenül a sportolókra. De miért tehetik ezt meg, hiszen a tagok tagjai (hasonlatunkban a tagállamok állampolgárai) semmilyen alapító okiratot, szerződést nem írtak alá a nagyszervezettel, végső soron nincsenek is jogviszonyban a magasabb egyesülési formával. A magyar jogrendben a 2004. évi I. törvény az, ami speciális jogszabályként lehetővé, sőt, kötelezővé teszi a sportszövetségek számára, hogy kötelező magatartási szabályt alkossanak az egyesületként működő tagjainak tagjai – a sportolók – számára. Tehát a fejlettebb jogrendekben a magas szervezettségű egyesülési forma és a tagjainak tagjai közötti jogviszony hiányát speciális jogszabállyal töltik be, teremtik meg a kapcsolatot a jogalkotók.

Magyarországon szavazati jogukon keresztül jogosítják föl az állampolgárok az országgyűlés képviselőit arra, hogy demokratikus módon, szavazás útján alkossák meg azokat a törvényeket, jogszabályokat, amelyeket mindennapjainkban mindenkinek be kell tartani. Azonban ahhoz, hogy ez a kötelezőség érvényesülhessen, szükség van 3 fontos feltétel teljesülésére is.

Mikor alkalmazható egy jogszabály?

  1. Ha arra feljogosított szerv hozza (pl. országgyűlés)
  2. Ha kihirdetik (pl. közlöny)
  3. Ha hatályba léptetik (a kezdő időpont, amikortól alkalmazandó)

 

Vizsgáljuk meg, hogy a GDPR megfelel-e ezeknek az alkalmazhatósági feltételeknek. Az első probléma mindjárt abból adódik, hogy legújabb Alaptörvényünk szerint mindenkire kötelező magatartási szabályt csak az Alaptörvényben rögzített speciális magyar szervek hozhatnak. Ugyan az alaptörvény elején rögtön található hivatkozás arra is, hogy az EU is hozhat mindenkire kötelező magatartási szabályt, azonban Alaptörvényünk ezt keretek közé szorítja. A megszorítás alapján ismét csak Magyarország lehet az, amely az EU szervein keresztül hozhat kötelező magatartási szabályokat, de ezeket is csak az EU-ban betöltött szerepével, céljaival összefüggésben.

Már a római jogban ismert volt az az alapelv, hogy senki sem adhat tovább több jogot másnak, mint amennyivel maga is rendelkezik. Ahhoz tehát, hogy az EU Tanácsa ( amely nem azonos az alárendelt Európai Tanács-al) a magyar állampolgárokra kötelező magatartási szabályt alkothasson, szükség lenne arra, hogy már az EU Tanácsának ( továbbiakban Tanács) tagjai – akik alapvetően a tagállamok vezetői és delegáltjai – magukban is rendelkezzenek azzal a joggal, hogy a küldő ország állampolgáraira kötelező magatartási szabályokat alkothassanak önállóan, saját országuk törvényalkotó szervei nélkül. Tökéletesen nyilvánvaló, hogy a magyar országgyűlés képviselői ezt a rájuk felkent jogot nem adhatták tovább országunk EU-s küldötteinek, mert ebben az esetben sérülne az érvényesség első feltétele, hiszen nem az országgyűlési képviselők összessége határozna a kötelező magatartási szabályok megalkotásáról, azok tartalmáról, csupán néhány kiválasztott személy. Ugyanez a logika igaz az Európai Parlament tagjaira is.

A magyar országgyűlés azonban úgy hozta meg az európai parlamenti képviselők választásáról és hatásköréről szóló törvényeit, hogy abban nem határozza meg, hogy a megválasztott európai parlamenti képviselők kinek a nevében és milyen hatáskörrel képviselik nemzetünket. Ennek a meghatározásnak a hiányában csak azt lehet megállapítani biztosan, hogy ezek a személyek nem rendelkeznek arra jogkörrel, hogy a magyar választókra nézve kötelező magatartási szabályokat javasoljanak, hozzanak, vagy fogadjanak el.

Az európai parlamenttel mellérendelt (illetve részben fölérendelt) viszonyban álló Tanács tagjai viszont a tagállamok miniszteri szintű képviselői, akik az általuk képviselt tagállam kormánya nevében vállalhatnak kötelezettséget és szavazhatnak. Az eddigiekből látható, hogy sem az Európa Parlamenti képviselők, sem a Tanács tagjai nem rendelkeznek jogkörrel arra, hogy a magyar népességre közvetlenül törvényerejű kötelező magatartási szabályokat alkossanak.

EUSZ 16. cikk (1)

„A Tanács, az Európai Parlamenttel közösen, ellátja a jogalkotási és költségvetési feladatokat. A Szerződésekben meghatározott feltételek szerint politikameghatározási és koordinatív feladatokat lát el. (2) A Tanács a tagállamok egy-egy olyan, miniszteri szintű képviselőjéből áll, aki az általa képviselt tagállam kormánya nevében kötelezettséget vállalhat és szavazhat.”

Mindebből az következik, hogy az Európai Parlament és a Tanács közös rendeleteinek kötőereje a tagországok jogrendjének hierarchiájában legfeljebb a kormányrendelet szintjét érheti el.

Vizsgáljuk most meg a kötőerő után azt, hogy rendelkezik-e egyáltalán az EU fenti két csúcsszerve hatáskörrel a tagországok állampolgárainak szokásos tevékenysége során beszerzett személyes adatok kezelésének szabályzására.

(LINK: https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=LEGISSUM%3Aai0020)

A link megnyitása után lehet tanulmányozni, hogy mit állít az EU a saját hatásköreiről. Jól látható, hogy a személyes adatok kezelésének tárgyköre sem az EU kizárólagos hatáskörei között, sem pedig a tagországokkal megosztott közös hatáskörei között nem szerepel.

A GDPR szövege azonban jogalapként az EUMSZ 16. cikkét hivatkozza meg:

EUMSZ 16. cikk

„(az EKSz. korábbi 286. cikke) (1) Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. (2) A természetes személyeknek az uniós intézmények, szervek és hivatalok által, illetve az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adataiknak a tagállamok által végzett feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályokat rendes jogalkotási eljárás keretében az Európai Parlament és a Tanács állapítja meg. E szabályok tiszteletben tartását független hatóságok ellenőrzik.”

Bár a 2. szakasz egyértelműen megállapítja az EU hatáskörét a szabályzásra, azonban jól olvashatóan csak az EU szerveinek, hivatalainak működése során, vagy az uniós jog alkalmazása során beszerzett személyes adatok kezelésére vonatkozóan. Ez természetes és jogos igény, hiszen a tagországok joga nem terjedhet ki az unió működése során az unió szervei által végzett tevékenységek szabályzására. Viszont az ennek során beszerzett személyes adatok kezelése érthető módon szabályzást kívánt meg, mely szabályzás előállítására értelemszerűen csak maga az unió lehetett jogosult.

Mindezekből az következik, hogy a GDPR tárgyai csak olyan személyes adatok lehetnek, amelyeket az EUMSZ 16. cikk (2) szakasza szerinti működés során szereztek be, illetve kezelik azokat, mivel a meghivatkozott jogalap csak erre ad felhatalmazást.

Következő vizsgálatunk tárgya az EU-s jogalkotás kötelezősége és hitelessége. Az EUMSZ 288. cikke kimondja, hogy a rendeletek közvetlenül alkalmazandók az uniós országokban. Figyelemmel arra, hogy az EU nem népszövetség (föderáció), hanem egy Egyesület, ezért első körben ez annyit jelent, hogy az EU-s rendeletek nem betartásából származó, a tagországok és szerveik közötti jogviták lebonyolíthatóságának nem feltétele az, hogy a tagországok az EU rendeleteit saját országaik jogrendjébe beillesszék, és azt ott kihirdessék. A dolog arra hasonlít, amikor egy egyesület új alapszabályt fogad el, amely megszavazásától hatályos és betartandó az egyesület tagjaira nézve ( és ezért a tagok közötti jogvita eldöntésére alkalmas), de az egyesületi tagok tagjaira nézve (a tagországok állampolgárai ebben a hasonlatban) és általában harmadik személyekkel szemben csak a közhiteles nyilvántartásba való bejegyzést követően válik hatályossá, és alkalmazhatóvá. Azaz a GDPR rendeletet az EU tagországainak, azok szerveinek 2018. május 25-től betartani és alkalmazni kell, azonban a tagországok állampolgáraira ez nem kötelező, sem a fenti szempont miatt, sem pedig a korábban már tárgyalt hatásköri és felhatalmazási hiányok miatt.

A hitelességről:

A Tanács 2016/2013 EU rendelete szól az Európai Unió Hivatalos Lapjának elektronikus közzétételéről, amely kimondja, hogy a lap tartalma nyomtatás nélkül is hiteles, és joghatással bír. Ezen a ponton megint vizsgálni kell azt, hogy ennek a rendeletnek a kötelezősége vajon csak az EU mint egyesület tagjaira bír-e kötelezőséggel, vagy a tagországok állampolgáraira is. Mert a tagországok állampolgáraira ható kötelezettség nem jelentene kevesebbet, mint azt, hogy például a kissomorjai Mari néni számára kihirdetettnek minősül a kizárólag internet elérésen, böngészővel rendelkező számítógépen, és számítógépes ismeretek útján megismerhető joganyag. Ellenkezik Magyarország Alaptörvényével is, mely pontosan megfogalmazza, hogy a magyar állampolgárok számára kötelező magatartási szabályokat mely lapban kell közzétenni. A 2010. évi CXXX. Törvény ugyan kimondja, hogy a Közlöny kormányzati portálon közzétett elektronikus formája a közhiteles, azonban a 25/A. § (5) mégiscsak kötelezővé teszi a Közlöny nyomtatott lappéldányainak a Széchenyi Könyvtárban való archiválását és ezzel Mari néni számára az olvashatóságát nyomtatott formában is.

Itt vissza kell utalni arra, hogy a még oly magas felhatalmazású Tanács tagjainak felhatalmazása is legfeljebb a tagországok kormányrendeleteinek szintjére terjedhet ki, így cseppet sem bizonyos az, hogy az EU rendeleteknek primátusa lenne a tagországok alkotmányaival szemben.

Különösen figyelemre méltó az, hogy az EU rendeleteit idegen nyelven hozzák, és a magyar joganyag nem tartalmaz elfogadott jogszabályt arra nézve, hogy kik és hogyan ültethetik át azt magyar nyelvre, ami ennek az országnak az anyanyelve. A helyzet visszásságának ékes példája, már magának a GDPR-nek mint jogforrásnak magyarul az eurlex-en megjelent címe is, amely a korábbi 95/46EK  irányelvet (amely nem kötelező) rendeletként fordítja, amely viszont minimálisan az EU tagországaira kötelező lenne.

Joggal merül fel a kérdés, vajon hány olyan fordítási hibát tartalmaz még az eur-lex állítólag közhiteles és jogforrásként figyelembe veendő oldala, amely kötelezőséget állapít meg magyar állampolgárok, jogi személyek, cégek és kormányszervek számára úgy, hogy esetleg az EU magas szervei, annak tagjai felismerték felhatalmazásuk és hatáskörük korlátait, és rendelvényeiket nem is szánták kötelező erejűnek ezen címzettek mindegyike számára?