Regulatory

Confirmed: IT infrastructure located outside Hungary may be subject to Hungarian data protection laws.

A recent decision of the Hungarian data protection authority and of a court confirmed that data controlling carried out via IT infrastructure located outside Hungary may be subject to Hungarian data protection laws if the data was collected inside Hungary.

As services rendered via the internet continuously increase their market share, the issue of the applicability of national data protection laws to activities carried out via IT infrastructure located outside the respective country had become more and more relevant. As recent resolutions of the Hungarian data protection authority (NAIH) and the court practice have repeatedly confirmed, the applicable view in Hungary is that national data protection rules may apply to foreign companies irrespective of the location of their seat or infrastructure.

Highest possible fine imposed on a foreign company

Pursuant to the Hungarian data protection Act No CXII of 2011 (DPA), NAIH may impose a fine from HUF 100,000 (ca EUR 320) to HUF 10 min (ca EUR 32,000) in case of breach of data protection laws. The amount of the fine is set by taking into account, inter alia, the gravity of the breach of data protection laws, the range of data subjects (ie, individuals) affected by the breach and the frequency of the breach.

In 2012, NAIH imposed the highest possible fine (HUF 10 mln; ca EUR 32,000) on a website operator company registered in Slovakia for the material and repetitive breach of Hungarian data protection laws affecting a wide range of data subjects. The data controller appealed against the resolution and requested a judicial review of the NAIH resolution.

In 2013, the court annulled the NAIH resolution due to a breach of formal requirements. However, the court decision approved the NAIH approach and confirmed that the Hungarian data protection laws may apply to a company having, for example, its registered seat in Slovakia and its IT infrastructure located in Germany. In 2014, NAIH repeated the procedure in accordance with the guidelines set forth by the court and imposed again a relatively high fine of HUF 8.5 mln (ca EUR 27,500).

The facts of the above case were as follows. A Slovakian website operator with its IT infrastructure located in Germany offered real estate advertising services on various websites. Once the 30-day free trial period expired, the advertisers were obliged to pay a fee for the placement of advertisements on the websites. The advertisers requested the operator to delete their advertisements before the trial period expired, but the website operator failed to remove the advertisements and asked the advertisers to pay the fees once the trial period ended.

The applicability of national data protection laws

The Slovakian website operator argued that Hungarian data protection laws are not applicable to a foreign company that renders services to individuals via an IT infrastructure located outside Hungary. However, the DPA applies to any data controlling activity carried out within Hungary. The notion of data controlling is set forth broadly: any activity carried out in connection with personal data (collection, recording, storage, modification, use, etc.) irrespective of the technology or method applied.

As described by NAIH, the services of the Slovakian website operator were targeted at Hungary primarily because the website was available in Hungarian and the purpose of the website was to promote the sale of Hungarian real estate. So the personal data of Hungarian data subjects were collected by the website operator within the territory of Hungary (the place where data subjects recorded their data with the websites). The collecting and recording of personal data qualifies as data controlling activity carried out in Hungary.

NAIH and the court therefore confirmed that the Hungarian data protection laws apply to foreign companies irrespective of the location of the seat of the company or the IT infrastructure on which the personal data are stored and used after the users entered their personal data into the system of the data controller in Hungary.

Waiting for the ruling of the European Court of Justice

Following NAIH’s fine in its second administrative procedure, the website operator requested (again) judicial review of the second NAIH resolution. In the second judicial review procedure, the competent Hungarian court referred the case to the European Court of Justice (ECJ) and requested a preliminary ruling on the applicability of the DPA, mainly in light of Directive 95/46/EC on the protection of individuals in the processing of personal data and on the free movement of such data (Directive).

Since the Directive serves the purpose of harmonising the data protection laws of the EU member states, a similar level of personal data protection is ensured within member states. The rationale behind the harmonisation was so data controllers need ensure compliance of their data protection activities only with the laws of the state in which the data controlling activity is carried out.

It is therefore questionable whether the ECJ will support the NAIH approach or hold that it is more efficient that the Slovakian data protection law is applicable to the data controlling activity of the website operator.

The court approved the approach of NAIH and confirmed that Hungarian data protection laws may apply to a company having its registered seat in Slovakia and IT infrastructure in Germany.

Megerősítést nyert: Magyarországon kívüli IT infrastruktúrára is vonatkozhatnak a magyar adatvédelmi jogszabályok.

A magyar adatvédelmi hivatal és a bíróság nemrég megjelent döntése megerősítette, hogy a magyar adatvédelmi jogszabályok hatálya alá eshet a külföldön található IT eszközökön végzett adatkezelés, ha az adatokat Magyarországon gyűjtötték.

Ahogy az interneten keresztül nyújtott szolgáltatások piaci részesedése folyamatosan nő, egyre hangsúlyosabbá válik a kérdés, miszerint egy ország adatvédelmi szabályai alkalmazhatóak-e a külföldön elhelyezett IT eszközökön végzett tevékenységekre. Ahogy azt a magyar adatvédelmi hatóság (NAIH) és a bíróság ismételten megerősítette, a Magyarországon irányadó nézet szerint bizonyos esetekben a nemzeti adatvédelmi szabályok alkalmazhatóak külföldi cégekre is függetlenül attól, hogy hol található a székhelyük vagy az eszközeik.

A lehető legmagasabb összegű bírság kiszabva egy külföldi cégre

A magyar adatvédelmi törvény (2011. évi CXII. tv., “AT”) szerint a NAIH 100.000,- Ft és 10 millió Ft közötti összegű bírságot szabhat ki az adatvédelmi jogszabályok megsértése miatt. A bírság összege többek között a jogsértés súlyától, az érintettek (tehát a magánszemélyek) körének nagyságától és a jogsértés gyakoriságától függ.

2012-ben a NAIH a lehető legmagasabb összegű bírságot (10 millió Ft) szabta ki egy weboldalt üzemeltető, Szlovákiában nyilvántartásba vett cégre a magyar adatvédelmi jogszabályok súlyos és ismételt megsértése miatt, ami a magánszemélyek széles körét érintette. Az adatkezelő jogorvoslattal élt a döntés ellen és annak bírósági felülvizsgálatát kezdeményezte.

2013-ban a bíróság hatályon kívül helyezte a NAIH döntését eljárásjogi szabályok megsértése miatt. Ezzel együtt azonban a bíróság egyetértett a NAIH álláspontjával és megerősítette, hogy a magyar adatvédelmi jogszabályok vonatkozhatnak olyan cégekre, amelyeknek a székhelye pl. Szlovákiában, az IT eszközei pedig Németországban vannak. A NAIH 2014-ben megismételte az eljárást a bíróság által megszabott irányelveknek megfelelően és ismét egy viszonylag magas, 8,5 millió Ft összegű bírságot szabott ki.

A fenti ügy tényállása az alábbi volt: a szlovák weboldal-üzemeltető cég a Németországban lévő IT infrastruktúráján keresztül ingatlan hirdetési szolgáltatásokat kínált különböző honlapokon. Amint az ingyenes, 30 napos kipróbálási idő lejárt, a hirdetők kötelesek voltak a weboldalakon elhelyezett hirdetések után díjat fizetni. Több hirdető a kipróbálási idő lejárta előtt arra kérte a weboldal üzemeltetőjét, hogy törölje a hirdetéseit. Az ilyen kéréseknek a weboldal üzemeltetője nem tett eleget, majd a kipróbálási idő lejárta után díjat követelt a hirdetőktől.

A nemzeti adatvédelmi jogszabályok alkalmazhatósága

Az eljárások során a szlovák székhelyű weboldal-üzemeltető egyik érve az volt, hogy a magyar adatvédelmi jogszabályok nem alkalmazhatóak egy külföldi cégre, ami Magyarországon kívül elhelyezett IT eszközökön keresztül nyújt szolgáltatásokat. Az AT azonban minden olyan adatkezelési tevékenységre alkalmazandó, amit Magyarország területén végeznek. Az adatkezelés fogalma tágan van meghatározva: bármilyen, személyes adattal kapcsolatban végzett művelet (gyűjtés, rögzítés, tárolás, módosítás, felhasználás, stb.) ilyen tevékenységnek minősül az alkalmazott technológiától vagy módszertől függetlenül.

Ahogy azt a NAIH kifejtette, a szlovák weboldal-üzemeltető cég szolgáltatásai elsősorban Magyarországra irányultak, mivel a weboldalak magyar nyelven voltak elérhetőek és a weboldalak célja az volt, hogy Magyarországon található ingatlanok eladását segítse elő. Ezért a magyar magánszemélyek személyes adatait Magyarországon gyűjtötte a weboldal-üzemeltető (ez volt az a hely, ahol az érintettek rögzítették személyes adataikat a weboldalakon). A személyes adatok gyűjtése és rögzítése pedig adatkezelésnek minősül, amit Magyarországon végeztek.

Ezért a NAIH és a bíróság megerősítette, hogy miután a felhasználók a személyes adataikat Magyarországon rögzítették az adatkezelő rendszerében, a magyar adatvédelmi szabályok vonatkoznak a külföldi cégre függetlenül attól, hogy hol található a cég székhelye vagy az IT infrastruktúra, amin a személyes adatokat tárolják vagy használják.

Az Európai Bíróság döntésére várva

Miután a NAIH a megismételt eljárásban is bírságot szabott ki, a weboldal-üzemeltető ismét a NAIH döntésének bírósági felülvizsgálatát kérte. A megismételt bírósági felülvizsgálati eljárás során a magyar bíróság az Európai Bírósághoz (ECJ) fordult, előzetes döntést kérve az AT alkalmazhatóságával kapcsolatban különösen a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv (“Irányelv”) szempontjából.

Mivel az Irányelv az adatvédelmi jogszabályok harmonizációját szolgálja az EU-n belül, az EU tagállamaiban a személyes adatok hasonló szintű védelme biztosítva van. A harmonizáció mögötti elképzelés az, hogy az adatkezelőknek csak annak a tagállamnak az adatvédelmi szabályainak kell megfelelniük, ahol az adatkezelést végzik.

Ezért kérdéses, hogy az ECJ támogatni fogja-e a NAIH értelmezését vagy inkább úgy határoz, hogy hatékonyabb, ha a szlovák adatvédelmi jogszabályok vonatkoznak a fenti weboldal-üzemeltetőre.

A bíróság egyetértett a NAIH álláspontjával és megerősítette, hogy a magyar adatvédelmi jogszabályok vonatkozhatnak olyan cégekre, amelyeknek a székhelye pl. Szlovákiában, az IT eszközei pedig Németországban vannak.