Bevezetés az adatvédelmi figyelmeztetésekbe
Az adatvédelmi figyelmeztetés a GDPR érvényre juttatásának központi eszköze az adatvédelmi jogban, hogy biztosítsák a GDPR előírásainak betartását. A GDPR 2018-as hatálybalépése óta a vállalatoknak és szervezeteknek a lehető legnagyobb gondosságot kell tanúsítaniuk a személyes adatok kezelése során. Ha megsértik ezeket az előírásokat – például a felhasználók elégtelen tájékoztatása vagy indokolatlan adatkezelés miatt – akkor figyelmeztetésre lehet számítani. Ezt nemcsak adatvédelmi hatóságok, hanem versenytársak, fogyasztóvédelmi szervezetek vagy akár maga az érintett személy is kezdeményezhetik. Az adatvédelmi figyelmeztetés célja, hogy ösztönözze a vállalatot az adatvédelmi jogsértések megszüntetésére és az adatvédelmi jogok betartására. Ez azt jelenti a vállalatok számára, hogy rendszeresen ellenőrizniük és módosítaniuk kell az eljárásaikat és a személyes adatok kezelését annak érdekében, hogy elkerüljék a figyelmeztetéseket és az esetleges következményes pereket.
Jogi alapok
Az adatvédelmi figyelmeztetések jogi alapjai főként a GDPR-ban és a tisztességtelen verseny elleni törvényben (UWG) találhatók. A GDPR részletesen szabályozza, hogyan lehet személyes adatokat gyűjteni, tárolni és feldolgozni. Az ezen előírások megsértése – például az indokolatlan adatkezelés vagy a transzparencia hiánya miatt – nemcsak az adatvédelmi hatóságok, hanem versenyjogi keretben is üldözhetők. Az UWG védi a versenyt a tisztességtelen üzleti gyakorlatoktól, és kimondja, hogy az adatvédelmi jogsértés UWG-sértésként is értékelhető, ha ezáltal egy vállalat tisztességtelen előnyhöz jut. Így az adatvédelmi jogsértések miatti figyelmeztetések mind a GDPR, mind az UWG alapján kiadhatók. A vállalatoknak ezért biztosítaniuk kell, hogy a személyes adatok feldolgozására vonatkozó jogi előírásokat szigorúan betartják annak érdekében, hogy elkerüljék a figyelmeztetéseket és további jogi következményeket.
Versenytársak figyelmeztethetnek – BGH ítéletek I ZR 186/17 / I ZR 222/19 / I ZR 223/19
A versenytársak és a fogyasztóvédelmi szervezetek figyelmeztethetik az adatvédelmi jogsértéseket elkövető vállalatokat; a bíróságok döntéshozatali szerepe központi jelentőségű az adatvédelmi jogsértések miatti figyelmeztetések esetében. A Német Szövetségi Bíróság több ítéletben, 2025. március 27-én (Az. I ZR 186/17, I ZR 222/19, I ZR 223/19) ezt kimondta. A bíróságok korábban eltérően döntöttek az adatvédelmi jogsértésekkel kapcsolatos figyelmeztetések jogosultságáról. Az adatvédelmi jogsértések nagy száma megmutatja e téma gyakorlati jelentőségét. A BGH aktuális ítélete világossá teszi, hogy a versenytársak és a fogyasztóvédelemi szervezetek is aktívan eljárhatnak. A március 2025-i BGH ítéletek nagy jelentőségűek a figyelmeztetési gyakorlat szempontjából, mivel lehetővé teszik a fogyasztóvédelem és a versenytársak számára a polgári bíróságokon az adatvédelmi jogsértések üldözését. A GDPR-figyelmeztetés a figyelmeztetések egy speciális formája, amely a GDPR megsértésére vonatkozik, és adatvédelmi vonatkozásában különbözik más figyelmeztetésektől. A Fogyasztóvédelmi Központ fontos szerepet játszik az adatvédelmi jogok érvényesítésében. Fogyasztóvédelmi szervezetek jelentős részt vállalnak az adatvédelmi jogsértések figyelmeztetésében. A versenytársak is követhetik az adatvédelmi jogsértéseket, védve a versenyt. A BGH ítélete jelentős hatással van az adatvédelmi jogsértések gyakorlatára és jogi megítélésére.
Az adatvédelmi jogsértéseket nemcsak a felügyeleti hatóságok büntethetik meg. A bíróságok döntéshozatali hatásköre központi jelentőségű az adatvédelmi jogsértéseknél. Ahogy a BGH döntései mutatják, versenytársak és fogyasztóvédelmi szervezetek is felléphetnek a jogsértésekkel szemben. Az ilyen eljárások keretében a panaszos fél is fontos szerepet játszik. A vállalatok számára ez különösen az online kereskedelemben és az érzékeny adatok kezelésében lehet jelentős következményekkel, állítja az MTR Legal jogi iroda, amely többek között IT-jogban és adatvédelmi jogban ad tanácsot. A GDPR-jogsértések jelentős jogi következményekkel járhatnak, különösen, ha tilalmi követeléseket érvényesítenek. Ismétlődő GDPR-jogsértések esetén súlyosabb szankciók és további intézkedések fenyegetnek. Az adatvédelmi jogsértéseket bíróságok és szervezetek is üldözik. Az illetékes paragrafusokban szereplő első mondat és az első mondat számának jelentősége a jogi megítélés szempontjából döntő jelentőségű. Az ügy nagy jelentőséggel bír az adatvédelmi jog fejlődése és a fogyasztói jogok érvényesítése szempontjából.
Játék alkalmazás közzéteszi az adatokat
A I ZR 186/17 számú ügyben egy úgynevezett „app-központ” szerepelt egy közösségi hálózaton belül, ahol harmadik fél szolgáltatók játékokat kínáltak. Az app-központ egy központi platformként szolgál, ahol különböző harmadik fél alkalmazások érhetők el. Az app-központban az online játékok jelentős szerepet játszanak, mivel ezek az ajánlatok döntő részét képezik. Az alkalmazás használata során személyes adatok, mint például az e-mail címed is feldolgozható. Mielőtt egy felhasználó elindíthatott volna egy játékot, megjelent neki, hogy az alkalmazás bizonyos jogosultságokat kap, például hogy képes lesz állapotüzeneteket közzétenni. Azonban ezek a figyelmeztetések homályosak voltak és nem tájékoztatták arról, hogy konkrétan milyen adatokat dolgoztak fel, ki volt a címzett és mi a célja ennek. Az országos fogyasztóvédelmi szövetség sikeresen indított keresetet ez ellen.
A BGH világossá tette, hogy az ilyen homályos és általános információ nem felel meg a GDPR követelményeinek. Az adatok gyűjtése során az alkalmazás révén a használókat átfogóan kell tájékoztatni. Az összegyűjtött és feldolgozott adatok mértékét is átláthatóan kell megjeleníteni. Az adatvédelmi nyilatkozatban meghatározott felhasználási célok jogi megfogalmazása különös jelentőségű. Az információs kötelezettségek az Art. 12 és 13 GDPR szerint világos, pontos és érthető tájékoztatást követelnek az érintett személyek részére. Mivel a GDPR ezen előírásai egyúttal a versenyt is szabályozzák a versenyjog szerint (§ 3a UWG), ezek figyelmen kívül hagyása versenysértést jelent. Versenytársak vagy minősített fogyasztóvédelmi szervezetek ezért polgári jogi úton felléphetnek az ilyen adatvédelmi jogsértésekkel szemben, állítja a BGH. Ez független attól, hogy egy használó panaszkodott-e.
Gyógyszerészek online gyógyszereket árulnak
Hasonló kérdéseket tárgyaltak az I ZR 222/19 és I ZR 223/19 számú ügyekben. Itt két gyógyszertár az Amazon platformon keresztül értékesített gyógyszereket. A vásárlók személyes adatai, köztük egészségügyi adatok, például név, cím vagy a megrendelt gyógyszerek személyre szabási információkkal együtt kikerültek. Az egészségügyi adatok gyűjtése a gyógyszertárak által az eljárások központi tárgya volt. Számos adatvédelmi jogsértési eset bizonyult relevánsnak a gyógyszertári területen. Más gyógyszerészek is pert indítottak ellenük. Ezek a keresetek is sikeresek voltak: a BGH világossá tette, hogy a megrendelési adatok az Art. 9 Abs. 1 GDPR értelmében egészségügyi adatoknak minősülnek. Ez akkor is érvényes, ha a gyógyszerek nem vénykötelesek. Az adatokat csak a vevő kifejezett hozzájárulásával szabad feldolgozni, azonban ezt a gyógyszertárak nem szerezték be.
A BGH megerősítette az Európai Bíróság álláspontját, miszerint már az is egészségügyi adatoknak minősül, ha a megrendelés alapján következtetéseket lehet levonni az egészségi állapotra vagy a gyógyszerezésre. Az eljárások során a perbe fogott fél központi szerepet játszott, mivel ő felelt az adatok feldolgozásáért. Különösen hangsúlyozták az érintett személy védelmének fontosságát az egészségügyi adatok kezelésénél. Itt is a BGH versenysértést látott. Az Art. 9 Abs. 1 GDPR egy piaci magatartási szabály a § 3a UWG értelmében, így a szabály megsértése esetén egy versenytárs versenyjogi keresettel keresheti a polgári bíróságokat, mondták ki a karlsruhei bírák. Az érintett paragrafusokban kiemelt fontosságot tulajdonítottak az első mondat és az első mondat számának jelentőségének.
A GDPR is versenyjogilag releváns
Az ítéletek azt mutatják, hogy a GDPR szabályai – különösen az információs kötelezettségek és a hozzájárulási szabályok – versenyjogilag is relevánsak. Bizonyos körülmények között a személyes adatok megsértéséből származó nyereségeket vissza lehet vonni; ez összefügg a GDPR és a törvény alapján kiszabható bírságokkal és további büntetésekkel. Azok a vállalatok, amelyek személyes vagy érzékeny adatokat nem megfelelő információ alapján vagy nem hatékony hozzájárulás nélkül dolgoznak fel, versenyellenesen járnak el. Nemcsak adatvédelmi hatóságok, hanem versenytársak vagy minősített érdekképviseletek is felléphetnek az ilyen jogsértések ellen. Ezzel a BGH jelentősen kiszélesítette a versenyjog alkalmazási körét. A vállalatok, amelyek megsértik az adatvédelmi előírásokat, nemcsak a hatóságok által kiszabott bírságokkal, hanem versenytársak és fogyasztóvédelmi szervezetek által kezdeményezett költséges figyelmeztetésekkel és tilalmi keresetekkel is szembesülhetnek.
A jó tanács vállalatoknak
A vállalatok számára ajánlott az információs kötelezettségeiket alaposan átnézni és teljesíteni. Ez magában foglalja, hogy a használók számára átlátható, érthető és átfogó tájékoztatást kell adni arról, hogy mely adatokat, milyen célból kezelik, milyen jogalapon történik ez, kik a címzettek és mely jogokkal rendelkeznek az érintettek. Továbbá, az érzékeny adatok – például az egészségügyi adatok – kezelése előtt kifejezett hozzájárulást kell beszerezni és dokumentálni. Az általános vagy rejtett klauzulák nem elegendőek.
Online piacterek és adatvédelem
Az Amazon piactérhez hasonló online piacterek elképzelhetetlenek a modern e-kereskedelemből. Ám itt különös figyelmet kell fordítani az adatvédelem betartására. Az ilyen platformokon tevékenykedő szolgáltatóknak a vevői adatok – például nevek, címek vagy rendelési adatok – feldolgozása során szigorúan be kell tartaniuk a GDPR előírásait. A BGH döntései az I ZR 186/17, I ZR 222/19 és I ZR 223/19 eljárásokban rávilágítottak, hogy a GDPR megsértése – mint például az egészségügyi adatok ügyfél beleegyezés nélküli feldolgozása – nemcsak adatvédelmi, hanem versenyjogi következményekkel is járhatnak. Ilyen esetekben versenytársak vagy fogyasztóvédelmi szervezetek figyelmeztetései lehetségesek, és súlyos következményekkel járhatnak a vállalatok számára. A Német Szövetségi Bíróság ítéletei hangsúlyozzák, hogy az adatvédelem betartása az online piactereken nemcsak a megfelelés, hanem a verseny szempontjából is fontos.
A figyelmeztetés következményei
Egy adatvédelmi figyelmeztetés széleskörű következményekkel járhat a vállalatok számára. Amellett, hogy kötelesek azonnal leállítani a kifogásolt személyes adatok kezelését, további jogsértés esetén súlyos pénzbüntetések vagy bírságok fenyegetnek. A GDPR akár 20 millió eurós vagy a globális éves forgalom 4%-os bírságokkal is számol – attól függően, hogy melyik az magasabb. Emellett egy figyelmeztetés tartósan károsíthatja egy vállalat hírnevét, mivel az adatvédelmi jogsértés az ügyfelek és a nyilvánosság szemében súlyos bizalmi törésnek tekinthető. A vállalatoknak ezért nemcsak jogi, hanem reputációs okokból is kiemelten kell figyelniük az adatvédelmi előírások betartására.
Védelem a figyelmeztetésekkel szemben
Az adatvédelmi figyelmeztetésekkel szembeni hatékony védelem érdekében a vállalatoknak rendszeresen ellenőrizniük kell adatvédelmi gyakorlatukat és az aktuális GDPR követelményekhez igazítani. Ez magában foglalja különösen az átlátható és teljes körű adatvédelmi nyilatkozat elkészítését, a kifejezett hozzájárulások megszerzését az érzékeny adatok kezeléséhez, valamint a technikai és szervezeti intézkedések meghozatalát az adatok védelmére. Figyelmeztetés esetén érdemes gyorsan reagálni és jogi tanácsot kérni a saját érdekek lehető legjobb védelme érdekében. Proaktív cselekvéssel és az adatvédelmi előírások következetes betartásával a vállalatok jelentősen csökkenthetik a figyelmeztetések és további jogi lépések kockázatát.
MTR Legal Rechtsanwälte tanácsot ad adatvédelem,a GDPR és az IT-jogi témákban.
Forduljon bátran hozzánk zu uns auf!
