Regulatory

Confirmed: IT infrastructure located outside Hungary may be subject to Hungarian data protection laws.

A recent decision of the Hungarian data protection authority and of a court confirmed that data controlling carried out via IT infrastructure located outside Hungary may be subject to Hungarian data protection laws if the data was collected inside Hungary.

As ser­vices ren­dered via the inter­net con­tin­u­ous­ly increase their mar­ket share, the issue of the applic­a­bil­i­ty of nation­al data pro­tec­tion laws to activ­i­ties car­ried out via IT infra­struc­ture locat­ed out­side the respec­tive coun­try had become more and more rel­e­vant. As recent res­o­lu­tions of the Hun­gar­i­an data pro­tec­tion author­i­ty (NAIH) and the court prac­tice have repeat­ed­ly con­firmed, the applic­a­ble view in Hun­gary is that nation­al data pro­tec­tion rules may apply to for­eign com­pa­nies irre­spec­tive of the loca­tion of their seat or infra­struc­ture.

Highest possible fine imposed on a foreign company

Pur­suant to the Hun­gar­i­an data pro­tec­tion Act No CXII of 2011 (DPA), NAIH may impose a fine from HUF 100,000 (ca EUR 320) to HUF 10 min (ca EUR 32,000) in case of breach of data pro­tec­tion laws. The amount of the fine is set by tak­ing into account, inter alia, the grav­i­ty of the breach of data pro­tec­tion laws, the range of data sub­jects (ie, indi­vid­u­als) affect­ed by the breach and the fre­quen­cy of the breach.

In 2012, NAIH imposed the high­est pos­si­ble fine (HUF 10 mln; ca EUR 32,000) on a web­site oper­a­tor com­pa­ny reg­is­tered in Slo­va­kia for the mate­r­i­al and repet­i­tive breach of Hun­gar­i­an data pro­tec­tion laws affect­ing a wide range of data sub­jects. The data con­troller appealed against the res­o­lu­tion and request­ed a judi­cial review of the NAIH res­o­lu­tion.

In 2013, the court annulled the NAIH res­o­lu­tion due to a breach of for­mal require­ments. How­ev­er, the court deci­sion approved the NAIH approach and con­firmed that the Hun­gar­i­an data pro­tec­tion laws may apply to a com­pa­ny hav­ing, for exam­ple, its reg­is­tered seat in Slo­va­kia and its IT infra­struc­ture locat­ed in Ger­many. In 2014, NAIH repeat­ed the pro­ce­dure in accor­dance with the guide­lines set forth by the court and imposed again a rel­a­tive­ly high fine of HUF 8.5 mln (ca EUR 27,500).

The facts of the above case were as fol­lows. A Slo­va­kian web­site oper­a­tor with its IT infra­struc­ture locat­ed in Ger­many offered real estate adver­tis­ing ser­vices on var­i­ous web­sites. Once the 30-day free tri­al peri­od expired, the adver­tis­ers were oblig­ed to pay a fee for the place­ment of adver­tise­ments on the web­sites. The adver­tis­ers request­ed the oper­a­tor to delete their adver­tise­ments before the tri­al peri­od expired, but the web­site oper­a­tor failed to remove the adver­tise­ments and asked the adver­tis­ers to pay the fees once the tri­al peri­od end­ed.

The applicability of national data protection laws

The Slo­va­kian web­site oper­a­tor argued that Hun­gar­i­an data pro­tec­tion laws are not applic­a­ble to a for­eign com­pa­ny that ren­ders ser­vices to indi­vid­u­als via an IT infra­struc­ture locat­ed out­side Hun­gary. How­ev­er, the DPA applies to any data con­trol­ling activ­i­ty car­ried out with­in Hun­gary. The notion of data con­trol­ling is set forth broad­ly: any activ­i­ty car­ried out in con­nec­tion with per­son­al data (col­lec­tion, record­ing, stor­age, mod­i­fi­ca­tion, use, etc.) irre­spec­tive of the tech­nol­o­gy or method applied.

As described by NAIH, the ser­vices of the Slo­va­kian web­site oper­a­tor were tar­get­ed at Hun­gary pri­mar­i­ly because the web­site was avail­able in Hun­gar­i­an and the pur­pose of the web­site was to pro­mote the sale of Hun­gar­i­an real estate. So the per­son­al data of Hun­gar­i­an data sub­jects were col­lect­ed by the web­site oper­a­tor with­in the ter­ri­to­ry of Hun­gary (the place where data sub­jects record­ed their data with the web­sites). The col­lect­ing and record­ing of per­son­al data qual­i­fies as data con­trol­ling activ­i­ty car­ried out in Hun­gary.

NAIH and the court there­fore con­firmed that the Hun­gar­i­an data pro­tec­tion laws apply to for­eign com­pa­nies irre­spec­tive of the loca­tion of the seat of the com­pa­ny or the IT infra­struc­ture on which the per­son­al data are stored and used after the users entered their per­son­al data into the sys­tem of the data con­troller in Hun­gary.

Waiting for the ruling of the European Court of Justice

Fol­low­ing NAIH’s fine in its sec­ond admin­is­tra­tive pro­ce­dure, the web­site oper­a­tor request­ed (again) judi­cial review of the sec­ond NAIH res­o­lu­tion. In the sec­ond judi­cial review pro­ce­dure, the com­pe­tent Hun­gar­i­an court referred the case to the Euro­pean Court of Jus­tice (ECJ) and request­ed a pre­lim­i­nary rul­ing on the applic­a­bil­i­ty of the DPA, main­ly in light of Direc­tive 95/46/EC on the pro­tec­tion of indi­vid­u­als in the pro­cess­ing of per­son­al data and on the free move­ment of such data (Direc­tive).

Since the Direc­tive serves the pur­pose of har­mon­is­ing the data pro­tec­tion laws of the EU mem­ber states, a sim­i­lar lev­el of per­son­al data pro­tec­tion is ensured with­in mem­ber states. The ratio­nale behind the har­mon­i­sa­tion was so data con­trollers need ensure com­pli­ance of their data pro­tec­tion activ­i­ties only with the laws of the state in which the data con­trol­ling activ­i­ty is car­ried out.

It is there­fore ques­tion­able whether the ECJ will sup­port the NAIH approach or hold that it is more effi­cient that the Slo­va­kian data pro­tec­tion law is applic­a­ble to the data con­trol­ling activ­i­ty of the web­site oper­a­tor.

The court approved the approach of NAIH and confirmed that Hungarian data protection laws may apply to a company having its registered seat in Slovakia and IT infrastructure in Germany.

Megerősítést nyert: Magyarországon kívüli IT infrastruktúrára is vonatkozhatnak a magyar adatvédelmi jogszabályok.

A magyar adatvédelmi hivatal és a bíróság nemrég megjelent döntése megerősítette, hogy a magyar adatvédelmi jogszabályok hatálya alá eshet a külföldön található IT eszközökön végzett adatkezelés, ha az adatokat Magyarországon gyűjtötték.

Ahogy az inter­neten keresztül nyúj­tott szol­gál­tatá­sok piaci részesedése folyam­atosan nő, egyre hangsú­lyos­ab­bá válik a kérdés, misz­erint egy ország adatvédel­mi szabályai alka­lmazhatóak-e a külföldön elhe­lyezett IT eszközökön végzett tevékenységekre. Ahogy azt a mag­yar adatvédel­mi hatóság (NAIH) és a bíróság ismétel­ten megerősítette, a Mag­yarorszá­gon irányadó nézet szerint bizonyos esetek­ben a nemzeti adatvédel­mi szabá­lyok alka­lmazhatóak külföl­di cégekre is függetlenül attól, hogy hol talál­ható a székhe­lyük vagy az eszközeik.

A lehető legmagasabb összegű bírság kiszabva egy külföldi cégre

A mag­yar adatvédel­mi törvény (2011. évi CXII. tv., “AT”) szerint a NAIH 100.000,- Ft és 10 mil­lió Ft közöt­ti összegű bírsá­got szab­hat ki az adatvédel­mi jogsz­abá­lyok megsértése miatt. A bírság összege többek között a jogsértés súlyától, az érin­tet­tek (tehát a magán­szemé­lyek) körének nagyságától és a jogsértés gyako­riságától függ.

2012-ben a NAIH a lehető leg­ma­gasabb összegű bírsá­got (10 mil­lió Ft) szab­ta ki egy weboldalt üzemeltető, Szlovák­iában nyil­ván­tartás­ba vett cégre a mag­yar adatvédel­mi jogsz­abá­lyok súlyos és ismételt megsértése miatt, ami a magán­szemé­lyek széles körét érin­tette. Az adatkezelő jogor­voslat­tal élt a dön­tés ellen és annak bírósá­gi felülvizs­gálatát kezdeményezte.

2013-ban a bíróság hatá­ly­on kívül helyezte a NAIH dön­tését eljárásjo­gi szabá­lyok megsértése miatt. Ezzel együtt azon­ban a bíróság egyetértett a NAIH álláspon­tjá­val és megerősítette, hogy a mag­yar adatvédel­mi jogsz­abá­lyok vonatkozhat­nak olyan cégekre, ame­lyeknek a székhe­lye pl. Szlovák­iában, az IT eszközei pedig Néme­tország­ban van­nak. A NAIH 2014-ben megis­mételte az eljárást a bíróság által megsz­abott irányelveknek megfelelően és ismét egy vis­zony­lag mag­as, 8,5 mil­lió Ft összegű bírsá­got szabott ki.

A fen­ti ügy tényál­lása az aláb­bi volt: a szlovák weboldal-üzemeltető cég a Néme­tország­ban lévő IT infra­struk­túráján keresztül ingat­lan hird­e­tési szol­gál­tatá­sokat kínált külön­böző hon­lapokon. Amint az ingyenes, 30 napos kipróbálási idő lejárt, a hird­e­tők köte­le­sek voltak a weboldalakon elhe­lyezett hird­e­tések után díjat fizetni. Több hird­e­tő a kipróbálási idő lejár­ta előtt arra kérte a weboldal üzemeltetőjét, hogy töröl­je a hird­e­té­seit. Az ilyen kéréseknek a weboldal üzemeltető­je nem tett eleget, majd a kipróbálási idő lejár­ta után díjat követelt a hird­e­tők­től.

A nemzeti adatvédelmi jogszabályok alkalmazhatósága

Az eljárá­sok során a szlovák székhe­lyű weboldal-üzemeltető egyik érve az volt, hogy a mag­yar adatvédel­mi jogsz­abá­lyok nem alka­lmazhatóak egy külföl­di cégre, ami Mag­yarorszá­gon kívül elhe­lyezett IT eszközökön keresztül nyújt szol­gál­tatá­sokat. Az AT azon­ban min­den olyan adatkezelési tevékenysé­gre alka­lmazandó, amit Mag­yarország területén végeznek. Az adatkezelés fogal­ma tágan van meghatároz­va: bár­mi­lyen, szemé­lyes adat­tal kapc­so­lat­ban végzett művelet (gyűjtés, rögzítés, tárolás, módosítás, fel­használás, stb.) ilyen tevékenységnek minősül az alka­lma­zott tech­nológiától vagy mód­sz­ertől függetlenül.

Ahogy azt a NAIH kife­jtette, a szlovák weboldal-üzemeltető cég szol­gál­tatá­sai első­sor­ban Mag­yarorszá­gra irányul­tak, miv­el a weboldalak mag­yar nyel­ven voltak elérhetőek és a weboldalak cél­ja az volt, hogy Mag­yarorszá­gon talál­ható ingat­lanok eladását segítse elő. Ezért a mag­yar magán­szemé­lyek szemé­lyes adatait Mag­yarorszá­gon gyűjtötte a weboldal-üzemeltető (ez volt az a hely, ahol az érin­tet­tek rögzítet­ték szemé­lyes adataikat a weboldalakon). A szemé­lyes ada­tok gyűjtése és rögzítése pedig adatkezelés­nek minősül, amit Mag­yarorszá­gon végeztek.

Ezért a NAIH és a bíróság megerősítette, hogy miután a fel­használók a szemé­lyes adataikat Mag­yarorszá­gon rögzítet­ték az adatkezelő rend­sz­erében, a mag­yar adatvédel­mi szabá­lyok vonatkoz­nak a külföl­di cégre függetlenül attól, hogy hol talál­ható a cég székhe­lye vagy az IT infra­struk­túra, amin a szemé­lyes ada­tokat tárolják vagy használják.

Az Európai Bíróság döntésére várva

Miután a NAIH a megis­mételt eljárás­ban is bírsá­got szabott ki, a weboldal-üzemeltető ismét a NAIH dön­tésének bírósá­gi felülvizs­gálatát kérte. A megis­mételt bírósá­gi felülvizs­gálati eljárás során a mag­yar bíróság az Euró­pai Bírósághoz (ECJ) for­dult, előzetes dön­tést kérve az AT alka­lmazhatóságá­val kapc­so­lat­ban különösen a szemé­lyes ada­tok fel­dol­go­zása vonatkozásában az egyének védelméről és az ilyen ada­tok szabad áram­lásáról szóló 95/46/EK irányelv (“Irányelv”) szem­pon­tjából.

Miv­el az Irányelv az adatvédel­mi jogsz­abá­lyok har­mo­nizá­cióját szol­gál­ja az EU-n belül, az EU tagál­la­maiban a szemé­lyes ada­tok hason­ló szin­tű védelme biz­tosít­va van. A har­mo­nizá­ció mögöt­ti elképzelés az, hogy az adatkezelőknek csak annak a tagál­lam­nak az adatvédel­mi szabályainak kell megfelel­niük, ahol az adatkezelést végzik.

Ezért kérdés­es, hogy az ECJ támo­gat­ni fog­ja-e a NAIH értelmezését vagy inkább úgy határoz, hogy hatékonyabb, ha a szlovák adatvédel­mi jogsz­abá­lyok vonatkoz­nak a fen­ti weboldal-üzemeltetőre.

A bíróság egyetértett a NAIH álláspontjával és megerősítette, hogy a magyar adatvédelmi jogszabályok vonatkozhatnak olyan cégekre, amelyeknek a székhelye pl. Szlovákiában, az IT eszközei pedig Németországban vannak.