Jogszerű volt a Demokratikus Koalíció megbírságolása

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A mérlegelési jogkörben hozott döntés nem jogszabálysértő pusztán azon az alapon, hogy a jogszabályban meghatározott mérlegelési szempontok közül csak azokat mutatja be, amelyeket a hatóság az adott ügy szempontjából relevánsnak tartott, a jelentőséggel nem bíró, a nem értékelt, illetve nem értelmezhető elemeket nem sorolja fel.

Az alapügy

A NAIH a 2019. március 21. napján kelt – közérdekű bejelentés alapján hivatalból indult eljárásban hozott határozatában megállapította, hogy a Demokratikus Koalíció (DK) nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. évi április 27-i (EU) 2016/679 Az európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, a továbbiakban: GDPR) 33. cikke alapján fennálló incidens bejelentési kötelezettségének, továbbá a GDPR 34. cikke alapján fennálló érintetti tájékoztatási kötelezettségének sem a bekövetkezett adatvédelmi incidenssel kapcsolatban. Ezért utasította a felperest, hogy tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről, továbbá rögzítse az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket a nyilvántartásában.

A jogsértés miatt kötelezte a felperest 11.000.000.- forint adatvédelmi bírság megfizetésére, valamint elrendelte a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát.

A határozat indokolása szerint a felperes által üzemeltetett http://web.dkp.hu honlaphoz köthető, személyes adatokat tartalmazó felhasználói adatbázis nyilvánosan elérhetővé vált az interneten. A támadás egy, a honlap beállításaiból adódó adatbázis-sérülékenység miatt valósulhatott meg. A támadó által használt parancs publikálása révén egy informatikai szempontból alacsonyan képzett ember számára is lehetőség nyílt arra, hogy az adatbázisszerverhez hozzáférjen és onnan adatokat szerezzen. Az adatbázis összesen 11.614 db rekordot tartalmazott.

A DK azzal érvelt, hogy – az incidens bekövetkezésének időpontjára figyelemmel – nem lehet az ügyben a GDPR alkalmazni, azt az alperes lényegében visszaható hatállyal alkalmazta. Az incidens megtörténtekor még más jogszabályi környezet volt hatályban, amely nem tartalmazott bejelentésre vonatkozó kötelezettséget. A bejelentési kötelezettség elmulasztása, mint jogsértés, nem létezhet önmagában, ahhoz szükségszerűen kapcsolódik egy megelőző esemény, az annak alapjául szolgáló incidens. A GDPR 33. cikkében és 34. cikkében meghatározott kötelezettséget az adatvédelmi incidenssel kapcsolatban fogalmazza meg, méghozzá a Rendelet szerinti adatvédelmi incidens vonatkozásában.

Ezért nyilvánvaló, hogy csak a GDPR hatálybalépését követően bekövetkezett adatvédelmi incidensekre vonatkozhat a bejelentési és tájékoztatási kötelezettség.

A Kúria döntése

A Kúria szerint a felülvizsgálati kérelem az alábbiak szerint nem megalapozott.

A GDPR 33. cikk (1) bekezdése értelmében az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül köteles a tudomására jutott adatvédelmi incidenst az illetékes hatóságnak bejelenteni, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

A jogvita szempontjából annak van jelentősége, hogy az alperes nem a GDPR 32. cikkében meghatározott adatbiztonsági követelmények megsértése miatt marasztalta el a felperest, hanem a GDPR 33. cikke szerinti bejelentési és 34. cikke szerinti tájékoztatási kötelezettség elmulasztása miatt. E rendelkezések értelmében a felperesnek a tudomására jutott incidenssel kapcsolatban állt be a számonkért kötelezettsége, a tudomásszerzés időpontjában pedig a GDPR már hatályban volt. A Rendelet 99. cikk (2) bekezdése megszorítás nélkül írja elő a szabályok alkalmazásának kötelezettségét, ezért függetlenül attól, hogy maga az incidens a GDPR hatálybalépése előtt következett be, a felperesnek az incidensről való tudomásszerzés időpontjában hatályos GDPR szerint kellett volna eljárnia. Visszaható hatályú jogalkalmazásról nincs szó, hiszen az alperes a GDPR hatálybalépése előtt bekövetkezett incidenssel kapcsolatban semmiféle jogszabálysértést nem állapított meg.

A GDPR 33. cikk (1) bekezdése értelmében az adatvédelmi incidenst kizárólag akkor nem kell bejelenteni, ha valószínűsíthetően nem jár kockázattal az érintettekre nézve. A főszabály alóli kivételt nem támasztják alá a felperes által felhozott érvek, hiszen az öt éves időtávlat – a választási ciklusokra is figyelemmel – egyáltalán nem tekinthető hosszúnak, pusztán az időmúlás nem teszi elavulttá az adatokat, de különösen nem szünteti meg a személyes adatok különleges jellegét. A nyilvánosságra került személyazonosításra alkalmas adatokból az érintettek politikai véleményére vonatkozó információ levonható volt, így azok – miután nem vitatottan valós adatokról van szó – a tesztrendszer ellenére magas kockázattal jártak. Az érintettek tájékoztatásával kapcsolatos nehézségek nem alapozzák meg a kötelezettség teljesítése alóli mentességet, ilyen kivételt ugyanis a GDPR nem határoz meg.

A Kp. 85. § (5) bekezdése szerint mérlegelési jogkörben megvalósított közigazgatási cselekmény jogszerűsége körében a bíróság azt is vizsgálja, hogy a közigazgatási szerv hatáskörét a mérlegelésre való felhatalmazásának keretei között gyakorolta-e, a mérlegelés szempontjai és azok okszerűsége a közigazgatási cselekményt tartalmazó iratból megállapíthatók-e.

A közigazgatási bíróság jogszerűségi vizsgálatot folytat, a mérlegelési jogkörben hozott döntés is csak akkor semmisítheti meg, ha az jogszabálysértő. A mérlegelési jogkörben hozott döntés sajátossága, hogy a hatóság a határozatát olyan jogszabályra alapozza, amely kizárólag a döntés kereteit jelöli ki. Ez esetben a közigazgatási szerv több jogszerű döntés közül választhat. Ennél fogva nincs helye a döntés megsemmisítésének pusztán azon az alapon, hogy lehetséges egy másik, ugyancsak jogszerű mérlegelésen alapuló döntés. A közigazgatási bíróságot nem illeti meg a felülmérlegelés lehetősége, hiszen ez esetben elvonná a hatóság hatáskörét, és a helyébe lépve választana egy másik jogszerű megoldást. Nem elégséges indok a kiszabott bírság eltúlzottnak tűnő mértéke sem.

A DK érvelésével szemben a Kúria rámutat arra, hogy a jogalkalmazói gyakorlat nem minősül jogszabálynak, egyébként sem a felperes, sem a bíróság nem ismeri a hatósági gyakorlatot teljes körűen, a felperes által kiválasztott egyes bírságösszegekből következetes, egyértelmű bírságkiszabási gyakorlatra következtetni nem lehet. E mellett az alperes nincs elzárva attól sem, hogy a korábbi gyakorlatán – éppen a jogszerűség érdekében – változtasson. Önmagában emiatt nem jogsértő a döntés.

A Kúria szerint a NAIH határozatának bírság kiszabására vonatkozó része teljes mértékben megfelel a Kp. 85. § (5) bekezdésében meghatározott követelményeknek. Az indokolásban megfelelő részletességgel számot adott a figyelembe vett körülményekről, a mérlegelt szempontok előjeléről és azok általa értékelt nyomatékáról.

A Kúria hangsúlyozza, hogy a GDPR 83. cikk (2) bekezdésében felsorolt szempontok közül az alperesnek azokat a körülményeket kellett értékelnie, amelyek az adott ügyben relevánsak voltak. A határozatban nem nevesített szempontokat úgy kell tekinteni, hogy azokat a NAIH nem tartotta a bírságkiszabás körében jelentősnek, azok sem pozitív, sem negatív előjellel nem voltak figyelembe vehetők.

Nem jogszabálysértő a mérlegelési jogkörben hozott döntés pusztán azon az alapon, hogy a hatóság a GDPR-ban felsorolt, ám de az adott ügyben jogi jelentőséggel nem bíró körülményeket nem sorolta fel azzal, hogy azok nem értékelhetők vagy nem értelmezhetők az ügyben. A mérlegelési jogkörben hozott döntés akkor jogszabálysértő, ha a mérlegelés folyamata, a figyelembe vett szempontok súlyozása a határozat indokolásából nem állapítható meg, az egyes szempontokat okszerűtlenül vagy iratellenes mérlegelte, továbbá ha figyelmen kívül hagyott olyan elemet, amely az ügy összes körülménye szempontjából valódi jelentőséggel bír, illetve, ha olyan körülményt értékelt, amelynek a jogkövetkezmény alapjául szolgáló jogsértéssel összefüggésben tényleges jogi jelentősége nincs.

(naih.hu)

---