2013. szeptember 17-én a Tietosuojalautakunta (finn adatvédelmi bizottság) megtiltotta a Jehovan todistajat – uskonnollinen yhdyskunta (Jehova tanúi finnországi vallási közössége) számára, hogy a házról házra járva a tagjai által végzett hitszónoki tevékenység keretében személyes adatokat gyűjtsön vagy kezeljen, ha nem tartja tiszteletben az ilyen adatok kezelésével kapcsolatban előírt jogi feltételeket.
A Jehova tanúi közösség és a hozzá tartozó gyülekezetek szervezik és hangolják össze tagjaik házról házra járva végzett hitszónoki tevékenységét, többek között olyan térképek elkészítésével, amelyek alapján a hitszónok tagok között felosztják a területeket, továbbá a hitszónokokra és a közösség hitszónokok által terjesztett kiadványainak számára vonatkozó kartotékok vezetésével. Ezen túlmenően, a Jehova tanúi közösség gyülekezetei listát vezetnek azokról a személyekről, akik kifejezték abbéli óhajukat, hogy a közösség hitszónok tagjai többé ne keressék fel őket; az e listán szereplő személyes adatokat pedig a közösség tagjai felhasználják.
A Korkein hallinto-oikeus (legfelsőbb közigazgatási bíróság, Finnország) előzetes döntéshozatal iránti kérelme lényegében arra a kérdésre irányul, hogy a közösségnek tiszteletben kell-e tartania a személyes adatok védelmére vonatkozó uniós jogi szabályokat1 amiatt, hogy tagjainak – a házról házra járva végzett hitszónoki tevékenységük keretében – esetlegesen feljegyzéseket kell készíteniük a beszélgetések tartalmáról és különösen a felkeresett személyek vallási irányultságáról.
Ítéletében a Bíróság úgy vélte, hogy a Jehova tanúi közösség tagjainak a házról házra járva végzett hitszónoki tevékenysége nem tartozik a személyes adatok védelmére vonatkozó uniós jogban előírt kivételek hatálya alá. Konkrétabban: ez a tevékenység nem olyan kizárólag személyes vagy háztartási jellegű tevékenység, amelyre nem kell ezt a jogot alkalmazni. Az a körülmény, hogy a házról házra járva végzett hitszónoki tevékenységet védi az EU Alapjogi Chartája 10. cikkének (1) bekezdésében rögzített lelkiismeret- és vallásszabadsághoz való alapvető jog, nem jár azzal a hatással, hogy az említett tevékenységet kizárólag személyes vagy háztartási jelleggel ruházza fel, mivel ez a tevékenység túlterjed a vallási közösség hitszónok tagjának magánszféráján.
A Piac & Profit minden, a GDPR-al kapcsolatos cikkét itt találja!
A Bíróság emlékeztetett arra, hogy a személyes adatok védelmével kapcsolatos uniós jogi szabályokat azonban csak akkor kell az adatok manuális kezelésére alkalmazni, ha az adatok nyilvántartó rendszer részét képezik, vagy ha azokat nyilvántartó rendszer részévé kívánják tenni. A jelen ügyben – mivel a személyes adatok kezelését nem automatizált módon végzik – felmerül a kérdés, hogy az ekként kezelt adatok vett nyilvántartó rendszer részét képezik-e, vagy azokat nyilvántartó rendszer részévé kívánják-e tenni. E tekintetben a Bíróság arra a következtetésre jutott, hogy a „nyilvántartó rendszer” fogalma kiterjed a házról házra járva végzett hitszónoki tevékenység keretében gyűjtött, a felkeresett személyek nevét és címét, valamint a velük kapcsolatos más információkat tartalmazó személyes adatok összességére, amennyiben ezek az adatok a későbbi felhasználások céljából a gyakorlatban a könnyű visszakeresésüket lehetővé tevő, meghatározott kritériumok szerint strukturáltak. Ahhoz, hogy ezen adatok összessége e fogalom alá tartozhasson, annak nem szükséges kartotékokat, különleges listákat vagy a keresést szolgáló más rendszereket tartalmaznia. A házról házra járva végzett hitszónoki tevékenység keretében sorra kerülő személyesadat-kezelésnek tehát tiszteletben kell tartania a személyes adatok védelmével kapcsolatos uniós jogi szabályokat.
Azt a kérdést illetően, hogy ki minősülhet személyesadat-kezelőnek, a Bíróság emlékeztet arra, hogy az „adatkezelő” fogalma vonatkozhat az e kezelésben részt vevő több szereplőre is, és így mindegyikükre vonatkozniuk kell a személyes adatok védelmével kapcsolatos uniós jogi szabályoknak. E szereplők az adatkezelés eltérő szakaszaiban és különböző mértékben vehetnek részt, így az adatkezelői felelősségük mértékét az ügy valamennyi releváns körülményének figyelembevételével kell értékelni. A Bíróság azt is megállapította, hogy az uniós jog egyetlen rendelkezése alapján sem lehet úgy vélni, hogy a kezelés céljait és módját az adatkezelőnek írásbeli iránymutatások vagy megbízások révén kell meghatároznia. Ezzel szemben minősülhet adatkezelőnek az a természetes vagy jogi személy, aki vagy amely – saját céljaiból – befolyást gyakorol a személyes adatok kezelésére és emiatt részt vesz a kezelés céljainak és módjának meghatározásában. Ezen túlmenően, több szereplő együttes felelőssége fennállásának nem előfeltétele, hogy mindegyik adatkezelő hozzáférjen az érintett személyes adatokhoz.
A jelen ügyben úgy tűnik, hogy a Jehova tanúi közösség – tagjai hitszónoki tevékenységének megszervezésével, összehangolásával és ösztönzésével – hitszónok tagjaival együtt részt vesz a felkeresett személyek személyes adatainak kezelésével kapcsolatos célok és módok meghatározásában, amit ugyanakkor az ügy valamennyi körülményére tekintettel a finn bíróságnak kell értékelnie. Ezt az elemzést nem kérdőjelezi meg a vallási közösségek szervezeti autonómiájának az EUMSZ 17. cikkben garantált elve.
A Bíróság végezetül megállapította, hogy a személyes adatok védelmére vonatkozó uniós jog alapján egy vallási közösség, hitszónok tagjaival együtt, az e közösség által szervezett, összehangolt és ösztönzött, házról házra járva végzett hitszónoki tevékenység keretében a hitszónok tagok által gyűjtött személyes adatok kezelőjének minősül, ehhez pedig nem szükséges, hogy a szóban forgó közösség hozzáférjen az adatokhoz, illetve hogy megállapítást nyerjen, hogy ez a közösség a tagjai számára ezen adatkezeléssel kapcsolatban írásbeli iránymutatásokat vagy megbízásokat adott.