GDPR kontra Ákr. meddig szabható adatvédelmi bírság?
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az adatvédelmi hatóság eljárására az Infotv. százhúsz napos ügyintézési határidőt biztosít, amennyiben ezt a hatóság több mint kétszeresen túllépi, akkor bírság szankciót nem alkalmazhat – a Kúria eseti döntése.
Ami a tényállást illeti, az adatkezeléssel érintett természetes személy az alperesi hatósághoz fordult és a felperes adatkezelési gyakorlatát kifogásolta. Az alperes 2018. november 19-én pedig hivatalból adatvédelmi eljárást indított, amiről értesítette a felperest. A 2020. július 15-én kelt határozatában a felperes terhére jogsértéseket állapított meg és a jogellenes adatkezelés miatt 5 000 000 forint adatvédelmi bírság megfizetésére kötelezte, mivel úgy ítélte meg, hogy az eljárás során feltárt jogsértés esetében a figyelmeztetés nem arányos és visszatartó szankció.
A felperes elsődlegesen a határozat bírságot kiszabó részét kifogásolta. Kifejtette, hogy az alperes adatvédelmi hatósági eljárása a jogszabályban meghatározott 120 nap helyett 604 napig tartott, az ügyintézési határidő ötszörösen került túllépésre. Az alperes az általános közigazgatási rendtartásról szóló törvény (Ákr.) értelmében nem szabhatott volna ki bírságot. A 103. § (4) bekezdése úgy rendelkezik, hogy ha a hatóság a hivatalbóli eljárásban az ügyintézési határidő kétszeresét túllépi, a jogsértés tényének megállapításán és a jogellenes magatartás megszüntetésére vagy a jogszerű állapot helyreállítására kötelezésen túl egyéb jogkövetkezményt nem alkalmazhat.
Az elsőfokú eljárás
A törvényszék az alperes határozatának adatvédelmi bírság megfizetésére kötelező részét megsemmisítette. Az alperes nem vitatta, hogy a 2018. november 19-től 2020. július 15-ig tartó eljárásban az ügyintézési határidőt több mint kétszeresen túllépte, de arra hivatkozott, hogy mivel a GDPR ilyen esetben nem tartalmaz rendelkezést a bírság elengedésére, az uniós jog elsőbbsége folytán az Ákr. 103. § (4) bekezdése nem alkalmazható.
A törvényszék rámutatott, az Ákr. az adatvédelmi hatósági eljárásra is irányadó. Az Ákr. a hatóság döntésére vonatkozó rendelkezések között helyezi el a bírságkiszabásra vonatkozó szabályokat, míg a hivatalbóli eljárás szabályai között rögzíti, hogy az ügyintézési határidő túllépése a bírságkiszabás akadályát képezi. A jogalkotó különválasztotta a két rendelkezést; nem a bírság kiszabása körében értékelendő a hatósági jogsértés, hanem a hatóság döntési jogkörének a tartalmát korlátozza azáltal, hogy az ügyintézési határidő kétszeresének jogellenes túllépése esetén is megállapíthatja az ügyfél jogsértésének tényét, a jogellenes magatartás megszüntetésére, vagy a jogszerű állapot helyreállítására is kötelezhet, de egyéb szankció – közöttük a bírság – alkalmazására nincs joga. A bírságkiszabás szabályait rendező GDPR 83. cikke sem tartalmazza a hatóság eljárási jogsértésének értékelési szempontjait, mert az a kérdés, hogy a tagállami adatvédelmi hatóság megtartotta-e a rá irányadó eljárási határidőket, a GDPR alkalmazásában sem bírság összegének mérlegelésére tartozó kérdés. A GDPR primátusa mindezek alapján a GDPR alapján folytatott eljárásokban sem zárja ki az Ákr. 103. § (4) bekezdésének alkalmazhatóságát.
A felülvizsgálati kérelem tartalma
Az alperes nem vitatta, hogy túllépte az ügyintézési határidőt, ugyanakkor véleménye szerint az Ákr. 103. § (4) bekezdése jelen eljárásban nem alkalmazható, mivel a bírság körében a GDPR 83. cikk (2) bekezdése, valamint az információs önrendelkezési jogról szóló törvény (Infotv.) jelöli ki az eljárás kereteit. A GDPR 83. cikk (2) bekezdése szerint a bírság kapcsán vizsgálandó körülmények tekintetében az eljárási határidő túllépése nem mérlegelhető tény.
Az uniós jognak alkalmazási elsőbbsége van a tagállami joggal szemben, így amennyiben a közösségi jog valamely normája és a tagállam nemzeti joga ellentétes, a bíróság a közösségi jogba ütköző hazai jogszabály helyett a közösségi normát kötelesek alkalmazni. Úgy vélte, az alperest jogsértés esetén közigazgatási bírság kiszabására is feljogosító, illetve az alperest az uniós jogszabály alkalmazásának ellenőrzésére, a jogsértések hatékony visszatartó erejű szankcionálására kötelező GDPR mint általános hatállyal bíró, teljes egészében kötelező és közvetlenül alkalmazandó uniós rendelet a jogforrási hierarchiában magasabb szinten áll az Ákr.-nél, így értelemszerűen szűkítheti az Ákr. alkalmazási körét. A GDPR mint közvetlenül alkalmazandó uniós jogi aktus hagy ugyan bizonyos mozgásteret a tagállamoknak belső szabályok alkotására, ezek azonban nem ronthatják le teljes egészében a GDPR alkalmazását. Ezzel szemben az Ákr. 103. § (4) bekezdése olyan kategorikus szabály, amely a GDPR-ban nem említett esetekben és mérlegelési szempont meghaladó körben eltérést nem engedően nem enged bírságot kiszabni, tehát ellentétes a GDPR-ral. Indítványozta továbbá, hogy a Kúria a kérdés eldöntése érdekében kezdeményezze az Európai Unió Bírósága előzetes döntéshozatali eljárását.
A felperes ellenkérelmében amellett érvelt, hogy a GDPR alapján az alperesnek meg kell tartania a magyar eljárási jogban foglalt garanciákat a jogforrási hierarchia ellenére is. Az egyik eljárási garancia az eljárási jogszabályban meghatározott határidőn belül történő befejezés. Ezt a követelményt nevesíti a GDPR is. Az Ákr. 103. § (4) bekezdése tovább konkretizálja ezt az alapelvet azáltal, hogy korlátozást állít fel arra az esetre, ha a hatóság a határidő kétszeresét túllépve fejezi be az eljárását.
A Kúria megállapításai
A Kúria álláspontja szerint az elsőfokú bíróság a pontosan és törvényesen megállapított tényállásból helytálló jogi következtetést vont le. Kiemelte, hogy az adatvédelmi ügyekre az Ákr. hatálya kiterjed. Az Ákr. szerint az ügyintézési határidő teljes eljárásban hatvan nap. Ennél hosszabb határidőt törvény, rövidebb határidőt jogszabály állapíthat meg. Az Infotv. ezzel a felhatalmazással élve kimondja, az adatvédelmi hatósági eljárásban az ügyintézési határidő százhúsz nap. Az adatvédelmi hatósági eljárás 2018. november 19-én indult, az alperes határozatát 2020. július 15-én hozta meg, vagyis az Infotv.-ben meghatározott ügyintézési határidőt az alperes jóval több mint kétszeresen túllépte, így az Ákr. 103. § (4) bekezdésének megfelelően adatvédelmi bírság szankciót nem alkalmazhatott volna.
A GDPR kimondja, a felügyeleti hatóságok hatásköreiket az uniós és a tagállami jogban foglalt megfelelő eljárási garanciáknak megfelelően, pártatlanul, tisztességesen és észszerű határidőn belül gyakorolják. A szankciók – ideértve a közigazgatási bírságot – kiszabására megfelelő eljárási garanciákat kell alkalmazni. Kimondja továbbá, hogy a felügyeleti hatóság vizsgálati hatáskörében eljárva a GDPR 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően. A felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor.
A Kúria rámutatott, a GDPR elsődlegesen anyagi jogi rendelkezéseket tartalmaz. Ezek mellett az adatvédelmi hatóság felépítésére, kiválasztására és hatásköreire vonatkozó szabályokat határoz meg, ugyanakkor az adatvédelmi hatóság eljárására irányadó speciális eljárási rendelkezéseket nem rögzít. A GDPR az adatvédelmi hatósági eljárás ügyintézési határidejére nem tartalmaz konkrét szabályt. A Kúria szerint ez a tény azonban nem jelenti azt, hogy az adatvédelmi hatóság eljárása időben parttalan lehet, ugyanis egyfelől az Infotv. pontosan rögzíti a magyar adatvédelmi hatóságnak a százhúsz napos ügyintézési határidőt. Másfelől a GDPR szabályai egyértelműen előírják az egyes nemzeti felügyeleti hatóságok számára az uniós és tagállami jogban megjelölt eljárási garanciák betartását, így az észszerű határidőn belüli eljárásbefejezést, valamint a tisztességes eljáráshoz való jog érvényesítését is. A közigazgatási bírság kiszabására és annak összegének megállapítására vonatkozó GDPR szabály az ügyintézési határidő körében nem releváns. Az ügyintézési határidő túllépésének szankcionálása nem kapcsolódik a bírság kiszabásához és annak összegének megállapításához. Ezért az a tény, hogy a GDPR 83. cikk nem tartalmazza mérlegelési szempontként a határidő túllépését az ügy jogi megítélését nem befolyásolja.
Az ügyintézési határidő vonatkozásában ezért az Infotv.-ben és az Ákr.-ben megtestesülő magyar nemzeti szabályozás megfelel a GDPR-nak. Kimondta a Kúria azt is, hogy a GDPR helyes alkalmazása olyan nyilvánvaló, hogy az az alperes által felvetett kérdés megoldásának módját illetően minden észszerű kétséget kizár, vagyis az eldöntendő kérdés megoldása „tiszta”, így nincs szükség előzetes döntéshozatali eljárásra. Mindezek alapján a Kúria a jogerős ítéletet hatályában fenntartotta.
Az ismertetett döntés (Kúria Kfv.III.37.306/2021.) a Kúriai Döntések 2021/11. számában 320. szám alatt jelent meg.
Releváns jogszabályhely: 2011. évi CXII. törvény 60/A. §, 2016. évi CL. törvény 2. §, 103. § (4) bekezdés.
