A célhoz kötöttség és a korlátozott tárolhatóság határa - Biztonsági mentések és okkal duplikált adatbázisok - Magyar ügy az EuB előtt

Az Európai Unió Bírósága (EU Bíróság) meghatározó GDPR-értelmezésre kapott lehetőséget. A Fővárosi Törvényszék 2021 februárjában előzetes döntéshozatali eljárás keretében az EU Bíróságához fordult a GDPR célhoz kötöttséget és korlátozott tárolhatóságot előíró alapelveinek értelmezése céljából. Az EU Bíróság értelmezésének jelentős hatása lehet a hatósági gyakorlatra és az adatkezelők eljárására is. Az ügy jelentőségét növeli az is, hogy a GDPR alkalmazandóvá válása óta kiszabott legnagyobb NAIH-bírságot eredményező hatósági döntés szolgál az alapjául.

A hatóság az ügyben az egyik legnagyobb magyarországi internet- és televíziószolgáltatót, a Digi Kft.-t (adatkezelő) 2020. május 18-án kelt határozatában elmarasztalta és 100 millió forintos adatvédelemi bírság megfizetésére kötelezte, amely határozatot az adatkezelő közigazgatási perben támadott meg. A jelen cikk célja a tényállás rövid bemutatása, majd a felek érveinek és az előzetes döntéshozatal kérdéseinek ismertetése.

A tényállás szerint az adatkezelő 2019 szeptemberében egy etikus hackertől értesült arról, hogy két adatbázisa a digi.hu honlap egyik sérülékenységét kihasználva kívülről jogosulatlanul hozzáférhető. Az adatkezelő az etikus hackerrel titoktartási szerződést kötött, továbbá jutalmat fizetett ki részére, ezt követően pedig a GDPR-ban meghatározott 72 órán belül, 2019. szeptember 25-én jelentette az esetet, mint adatvédelmi incidenst a hatóság felé. Az adatok nem kerültek nyilvánosságra, mivel a hibát az adatkezelő a bejelentést követően javította.

Az adatbázisokban összesen kb. 322.000 érintett személyes adatait (név, anyja neve, születési hely, idő, lakcím, személyi igazolvány szám, esetenként személyi szám, e-mail cím, vezetékes és mobil telefonszám) tárolták.

A tesztadatbázisok létrehozásának magyarázata az volt, hogy egy korábbi hiba – amely során a webszerverek nem érték el az adatbázis szervereket, így ennek eredményeképpen az előfizetői adatok elérhetősége átmenetileg megszűnt – kiküszöbölése céljából a tesztadatbázisokba kerültek feltöltésre az adatok, az előfizetői adatok elérhetőségének akkori és későbbi folyamatos biztosítása érdekében.

Az előfizetői adatbázis esetében az adatkezelés célja az egyes előfizetői szerződések megkötése, jogalapja pedig a GDPR 6. cikk (1) bekezdés b) pontja (az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél) volt.

A hírlevélre feliratkozók adatait tartalmazó adatbázis esetében pedig a cél érintettek üzletszerzési célú ajánlatokkal történő megkeresése (direkt marketing), jogalapja pedig a GDPR 6. cikk (1) bekezdés a) pontja (az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez) volt.

Megjegyzendő, hogy a hatóság az adatkezelés jogalapját egyik esetben sem vitatta.

A hatóság a bírság alapjaként – az adatkezelő éves nettó árbevétele mellett – különösen az alábbi körülményeket vette figyelembe:

Az incidens olyan, a nyílt forráskódú Drupal-rendszerben már évek óta ismert hiányosság feltárásával történt, amelyre a piacon elérhető és széles körben alkalmazott volt a javítás.
Az adatbázis több százezer előfizető adatait tartalmazta, ennek ellenére az adatkezelő nem alkalmazott megfelelő titkosítást, úgy, hogy saját belső szabályozói is előírták ezt.
A jogsértő helyzet már hosszabb ideje, a duplikált adatbázisok megszületése óta fennállt az adatkezelőnél.

A hatóság összességében úgy értékelte, hogy az adatkezelő több adatkezelési alapelvet megsértett.

A GDPR 5. cikk (1) bekezdés b) pontjában nevesített „célhoz kötöttség” elve megköveteli, hogy a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. Az adatbázis létrehozásának célja (hibajavítás) elkülönült a személyes adatok eredeti kezelésének céljától (szerződés teljesítése). A hibajavítás, mint önálló adatkezelési cél legitim lehet, azonban ezen elkülönült adatkezelésnek is meg kell felelnie a GDPR előírásainak, így többek között a célhoz kötött adatkezelés alapelvének is. A hibajavítási cél a tesztadatbázis létrehozása kapcsán addig áll fent, ameddig maga a hiba elhárításra nem került az adatkezelő által, azonban annak megtörténtével a GDPR 17. cikk (1) bekezdés a) pontjában foglaltakra is figyelemmel a személyes adatokat tartalmazó tesztadatbázist törölni kellett volna (a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték).

A GDPR 5. cikk (1) bekezdés e) pontjában nevesített „korlátozott tárolhatóság” elve megköveteli, hogy a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Az adatkezelő által hibaelhárítási célból létrehozott adatbázisban kezelt személyes adatok azonban a cél megvalósulása után változatlan – tehát nem anonimizált – formában, hanem az érintettek azonosításra alkalmas módon kerültek tárolásra.

Az adatkezelő a hatósági eljárás eredményeként a tesztadatbázist törölte, valamint telepítette azt a javítást, amely a használt rendszerben fennálló sérülékenységet megszüntette, továbbá nyilatkozott, hogy megfontolja magasabb szintű tűzfalak beszerzését a védelem szintjének növelése érdekében, továbbá az egyébként is végzett rendszeres sérülékenységi vizsgálatokat a digi.hu weboldalra is kiterjeszti a jövőben.

Az adatkezelő a hatóság határozatát közigazgatási perben támadta meg és kérte a bíróságot, hogy az alábbi tárgykörökben kezdeményezze az EU Bírósága előzetes döntéshozatali eljárását.

A „célhoz kötöttség” elvével kapcsolatban az az adatkezelő álláspontja, hogy a GDPR ezen alapelvét nem sértette meg, az alábbiakra figyelemmel:

Az érintett adatbázisokba áttöltött ügyféladatokat a GDPR 6. cikk (1) bekezdés b) pontja alapján, az előfizetői szerződések megkötése céljából jogszerűen gyűjtötte, és ez a cél nem változott az incidenssel érintett tesztadatbázis létrehozása miatt sem.
A tesztadatbázist adattárolásra hozta létre annak érdekében, hogy az adatok az adatgyűjtés eredeti, jogszerű céljára továbbra is rendelkezésére álljanak. Az adatgyűjtés céljával tehát nem összeegyeztethetetlen a tesztadatbázis létrehozása, vagyis a gyűjtött adatok más belső rendszerben történő tárolása.
A célhoz kötöttség elve nem ad iránymutatást arról, hogy a jogszerűen gyűjtött adatokat az adatkezelő mely belső rendszerében jogosult kezelni, ugyanakkor a célhoz kötöttség elve nem is tiltja a jogszerűen gyűjtött adatok másolását.
A kezelt személyes adatok köre nem bővült azáltal, hogy a tesztadatbázist létrehozta, és amennyiben a tesztadatbázis létrehozása vagy fenntartása az adatbiztonsági kockázatokat esetlegesen növelné is, ez nem alapelvi szintű jogsérelemként, legfeljebb adatbiztonsági kérdésként, a GDPR 32. cikke alapján lehetne értékelhető (az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja).

A „korlátozott tárolhatóság” alapelvének sérelmét is vitatja az adatkezelő, az alábbiakra figyelemmel:

Az ügyféladatok „eredeti” kezelésének célja nem a hibajavítás volt, ezért az adatok tárolhatóságának időtartama sem igazodhat a hibajavítás befejezéséhez.
Ebből következően amiatt, hogy a tesztadatbázist nem törölte azonnal a hibaelhárítást követően, a korlátozott tárolhatóság követelményét sem sértette meg, hiszen a tesztadatbázisban szereplő adatoknak az érintettek azonosítására alkalmas módon történő tárolására a hibajavítástól függetlenül is jogosult volt.

Az előzetes döntéshozatali eljárást szükségessé tevő indokok a bíróság mérlegelése szerint:

A bíróság arra a kérdésre várja a választ, hogy a nem vitásan célhoz kötötten gyűjtött adatoknak egy másik adatbázisba történt átmásolásával megváltozik-e az adatgyűjtés, adatkezelés célja.
Az adatgyűjtés céljával összeegyeztethető-e a tesztadatbázis létrehozása (vagyis a célhoz kötötten gyűjtött adatok más belső rendszerben történő elmentése), valamint az ügyféladatok kezelésének ekként való folytatása.
A célhoz kötöttség elve nem ad egyértelmű iránymutatást arra, hogy a jogszerűen gyűjtött adatokat az adatkezelő mely belső rendszereiben jogosult kezelni, illetve, hogy az ilyen adatokat kimásolhatja-e egy tesztadatbázisba anélkül, hogy ezáltal az adatgyűjtés célja megváltozna.
Ha az adatgyűjtés céljával nem összeegyeztethető a tesztadatbázis létrehozása (azaz az adatoknak más belső rendszerben történő elmentése), akkor a korlátozott tárolhatóság elvével kapcsolatban a bíróság arra a kérdésre is választ vár, hogy amennyiben az ügyféladatok másik adatbázisban történő kezelésének célja nem a hibajavítás, hanem a szerződéskötés volt, akkor a szükséges tárolási idő mihez igazodik: a hibajavításhoz, vagy a szerződéses kötelezettségek teljesítéséhez.

A bíróság az adatkezelő kérelmét a fentiek szerint megalapozottnak látta és a következő kérdésekkel fordult az EU Bíróságához:

Első kérdés:

„Úgy kell-e értelmezni az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016. április 27. napján kelt 2016/679 rendelet (a továbbiakban: GDPR) 5. cikk (1) bekezdés b) pontjában meghatározott »célhoz kötöttséget«, hogy annak továbbra is megfelel az, ha az adatkezelő az egyébként jogszerű célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan egy másik adatbázisban is tárolja, avagy a párhuzamos adatbázis tekintetében az adatgyűjtés jogszerű célhoz kötöttsége már nem áll fenn?”

Második kérdés:

„Amennyiben az első kérdésre a válasz az, hogy maga a párhuzamos adattárolás nem összeegyeztethető a »célhoz kötöttség« elvével, akkor összeegyeztethető-e a GDPR 5. cikk (1) bekezdés e) pontjában meghatározott »korlátozott tárolhatóság« elvével, ha az adatkezelő az egyébként jogszerűen, célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan tárolja egy másik adatbázisban?”

Az EU Bíróság döntésének jelentős következménye lehet az ilyen adatbázisokkal kapcsolatos hatósági jogértelmezésre. Az adatkezelő által a jelen esetben alkalmazott gyakorlat egyáltalán nem példa nélküli, akár hibajavítási, akár például biztonsági mentési célból készített, duplikált adatbázisokról beszélünk. Már a GDPR megszületése óta érzékelhető a feszültség az informatikai-biztonsági szempontból indokolt megoldások és a GDPR előírásai között, remélhetőleg az EU Bíróság majdani döntésével a jog és a technológia közelebb kerülhet majd egymáshoz és legfőképp a realitásokhoz, ezzel is elősegítve az adatkezelők törekvését a megfelelés biztosítására.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

A célhoz kötöttség és a korlátozott tárolhatóság határa – Biztonsági mentések és okkal duplikált adatbázisok – Magyar ügy az EuB előtt

Kapcsolódó tartalmak

Lehet személyre szabott reklámoktól mentes ingyenes Facebook és Instagram? – Az uniós adatvédelmi testület szerint problémás a consent or pay üzleti modell

Munkaviszonynak minősül-e a platform alapú munkavégzés? – Új uniós szabályok a foglalkoztatottak kiszolgáltatottságának felszámolása érdekében!

Kitiltják a kényszermunkával előállított termékeket az EU piacáról – Az EP jóváhagyta az új rendeletet

A munkavállalói fényképek használatának GDPR szerinti jogalapja

Mesterséges Intelligencia iroda nyílik az EU-ban – Az AI Office rendeltetése és feladatai

Új, szigorú uniós szabályok a nemek közötti bérszakadék megszüntetésére

Hadat üzent az Unió a hamisított méznek – Elfogadta az EP a fogyasztói érdekeket szolgáló reggeli irányelveket

Új migrációs és menekültügyi paktum – Egységes és egyenértékű uniós befogadási normákat hagyott jóvá az Európai Parlament

Titkos hangfelvételek – Rögzítés és felhasználás a polgári jog és a büntetőjog tükrében