Az Európai Unió Bírósága (EU Bíróság) meghatározó GDPR-értelmezésre kapott lehetőséget. A Fővárosi Törvényszék 2021 februárjában előzetes döntéshozatali eljárás keretében az EU Bíróságához fordult a GDPR célhoz kötöttséget és korlátozott tárolhatóságot előíró alapelveinek értelmezése céljából. Az EU Bíróság értelmezésének jelentős hatása lehet a hatósági gyakorlatra és az adatkezelők eljárására is.
Egy évvel ezelőtt jelent meg a Jogi Fórum hasábjain a hír egy magyar érintettségű előzetes döntéshozatali ügyről, amely az akkori legmagasabb összegű, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiszabott bírsággal is együtt járt. Az eljárás során a NAIH 2020. május 18-i határozatában 100 millió forintos adatvédelmi bírságot rótt ki a Digi Kft.-re (adatkezelő), amely jogorvoslattal élt, az ennek eredményeként indult eljárásban pedig a Fővárosi Törvényszék 2021 februárjában előzetes döntéshozatali eljárás keretében az Európai Unió Bíróságához (EU Bíróság) fordult a GDPR célhoz kötöttséget és korlátozott tárolhatóságot előíró alapelveinek értelmezése céljából.
Az ügy legfrissebb állomásaként Priit Pikamäe főtanácsnok 2022. március 31-én ismertette indítványát a C‑77/21. sz. ügyben. Ennek rövid ismertetése a jelen írás célja.
Zárójelben megjegyzendő, hogy ez volt akkoriban a GDPR hatálybalépését követően kiszabott legnagyobb összegű adatvédelmi bírság, azóta ugyanakkor a NAIH-7350/2021 és a NAIH-85/2022 ügyekben, mesterséges intelligencia alkalmazása ügyfélszolgálati hangfelvételek elemzésére tárgykörben már egy 250 milliós összegű bírság is született.
A hatósági eljárásban a NAIH megállapította, hogy
az adatkezelő megsértette a GDPR 5. cikke (1) bekezdésének b) („célhoz kötöttség” alapelve) és e) („korlátozott tárolhatóság” alapelve) pontját azzal, hogy a tesztadatbázist a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, így tárolt több százezer főre vonatkozó személyes adatot (az érintett személyek neve, születési helye és ideje, lakcíme, személyi igazolvány száma, esetenként személyi száma, e‑mail‑címe, vezetékes és mobiltelefonszám) a következő közel másfél évben cél nélkül, az érintettek azonosítására alkalmas módon.
A NAIH eljárás és a felek érveinek ismertetése az előző cikkben megtörtént, így most a főtanácsnoki indítvány érvrendszerére kívánok koncentrálni. Emlékeztetőül, az EU Bíróságnak feltett kérdések:
Első kérdés: „Úgy kell-e értelmezni az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016. április 27. napján kelt 2016/679 rendelet (a továbbiakban: GDPR) 5. cikk (1) bekezdés b) pontjában meghatározott »célhoz kötöttséget«, hogy annak továbbra is megfelel az, ha az adatkezelő az egyébként jogszerű célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan egy másik adatbázisban is tárolja, avagy a párhuzamos adatbázis tekintetében az adatgyűjtés jogszerű célhoz kötöttsége már nem áll fenn?”
Az első kérdés tehát arra irányul, hogy
a célhoz kötötten gyűjtött adatoknak egy másik adatbázisba történt átmásolásával megváltozik‑e az adattárolás és az adatkezelés célja, vagy a célhoz kötöttség elve nem sérül önmagában a párhuzamos adatbázis létrehozásával.
Második kérdés: „Amennyiben az első kérdésre a válasz az, hogy maga a párhuzamos adattárolás nem összeegyeztethető a »célhoz kötöttség« elvével, akkor összeegyeztethető-e a GDPR 5. cikk (1) bekezdés e) pontjában meghatározott »korlátozott tárolhatóság« elvével, ha az adatkezelő az egyébként jogszerűen, célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan tárolja egy másik adatbázisban?”
A második kérdés, amely a korlátozott tárolhatóság elvére vonatkozik, csak feltételesen került előterjesztésre, arra az esetre, ha a szóban forgó adatkezelés a célhoz kötöttség elvével összeegyeztethetetlen lenne. A kérdés arra irányul, hogy,
amennyiben az ügyféladatok másik adatbázisban történő kezelésének célja nem hibajavítás, hanem szerződéskötés – ahogyan erre az adatkezelő hivatkozott –, akkor a szükséges tárolási idő a hibajavításhoz, vagy inkább a szerződéses kötelezettségek teljesítéséhez szükséges időhöz igazodik-e.
A főtanácsnok kiemeli, hogy a második kérdés, amely a korlátozott tárolhatóság elvére vonatkozik, ugyan csak feltételesen került előterjesztésre, meglátása szerint viszont a GDPR alapelvei egymáshoz képest önállóan is értelmezendők, így a korlátozott tárolhatóság elve tiszteletben tartásának kérdése jogilag független a célhoz kötöttség elve tiszteletben tartásának kérdésétől. Ezt erősíti az alapeljárás tárgyát képező határozatban a NAIH azon megállapítása is, hogy
az adatok valamely kiegészítő belső adathordozón való tárolása a két alapelv „egyenkénti” sérelmét is megvalósítja.
Még ha a kérdést előterjesztő bíróság a második kérdését annak feltételes jellege révén alakilag korlátozta is, e körülmény nem képezi akadályát annak, hogy az EU Bíróság szabadon mérlegelve válaszolhasson a kérdésekre.
Első kérdés – a célhoz kötöttség elvéről
A kérdés az, hogy az adatok gyűjtésének meghatározott, egyértelmű és jogszerű célja megváltozik‑e amiatt, hogy ezen adatokat a felek által nem vitatott első tárolást kiegészítő másik adatbázisba másolták. A főtanácsnok hangsúlyozza, hogy az adatok további felhasználásának minden egyes esetét meg kell vizsgálni e felhasználás különös céljának és adott esetben a gyűjtés céljával való összeegyeztethetőségének vizsgálata érdekében, vagyis
az adatok kezdeti tárolásának jogszerűsége nem hathat ki egyfajta „tovagyűrűző” hatás révén automatikusan a célhoz kötöttség elvének egy másik további adatkezelési tevékenység esetében történő tiszteletben tartására.
Ez a vizsgálat azért is nélkülözhetetlen, mert, ha elfogadnánk az adatkezelő azon állítását, amely szerint az eredeti adatgyűjtés és további adatkezelés célja azonos, az okafogyottá tenné az összeegyeztethetőség kérdését, és lehetővé tenné annak megállapítását, hogy az adatkezelés pusztán a célhoz kötöttség elve alapján jogszerű.
Az adatkezelés céljairól
A gyakorlatban elképzelhető, hogy a személyes adatokat több célból is gyűjthetik vagy kezelhetik, ez különösen a digitális adatbázisok esetében mindennapos és életszerű lehet, figyelembe kell mindazonáltal venni a cél pontosságának követelményét is. Eszerint
egy adott adatkezelés több cél elérésére is irányulhat, de e célok mindegyikének pontosnak kell lennie, valamint objektív és kellően szoros kapcsolatot kell mutatniuk az érintett, eredeti adatkezelési művelettel.
Fontos továbbá, hogy a GDPR (60) és (61) preambulumbekezdésének megfelelően a tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, és a rá vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell a részére megadni. Tény, hogy bármennyire előrelátó és megfontolt is az adatkezelő, elképzelhető, hogy nem képes az adatkezelési folyamatot alkotó valamennyi művelet jellegét és pontos terjedelmét már az adatkezelés megtervezésekor előre látni és meghatározni. Így a jelen ügy tökéletesen szemlélteti az azon helyzethez kapcsolódó kérdéskört, amikor – fogalmilag váratlanul felmerülő – műszaki hibát kezelnek, és ezt követően valamely eredetileg meg nem határozott célból végeznek egy bizonyos típusú adatkezelést. A GDPR 5. cikkének (2) bekezdésében előírt
elszámoltathatóság elve alapján az érintett adatkezelési művelet tervezőjének kell bizonyítania az állított cél valódiságát, és adott esetben az adatkezelésnek az adatgyűjtés céljával való összeegyeztethetőségét.
A jelen ügyben az adatkezelő egyetlen érintett előfizetőt sem tájékoztatott arról a szándékáról, hogy az adataikat le kívánja másolni, és a tesztek elvégzésére és hibák kijavítására szolgáló belső adathordozón kívánja tárolni, mivel az adatkezelési műveletet úgy tekintette, hogy az nem rendelkezik az adatgyűjtés céljától eltérő céllal, és ezért nem tartozik a GDPR 13. cikke (3) bekezdésének hatálya alá sem.
E körülmények alapján a főtanácsnok megállapítása, hogy a kifogásolt adatkezelés egyetlen konkrét és különös – az adatgyűjtés eredeti céljától eltérő – célnak felelt meg, amely arra irányult, hogy az előfizetői adatok egy részének biztonságát a szerver működését érintő műszaki incidens elhárításával összefüggésben ideiglenesen biztosítsa.
Az adatkezelés összeegyeztethetőségéről
A GDPR 5. cikke (1) bekezdésének b) pontja semmilyen utalást nem tartalmaz azon feltételekre vonatkozóan, amelyek mellett az eredeti adatgyűjtés céljától eltérő célt szolgáló további adatkezelés az előbbi céllal összeegyeztethetőnek tekinthető, ezért a GDPR 6. cikkének (4) bekezdése szerinti feltételeket kell vizsgálni.
Mivel az adatkezelő az adatgyűjtés időpontjában nem adott hivatalos tájékoztatást a tervezett további adatkezelésről és annak céljáról – mivel a fentebb leírtak szerint nem is tekintette ezt új adatkezelési célnak – , a főtanácsnoki álláspont szerint azon érdemi megközelítést kell követni, amely az adatfeldolgozás összeegyeztethetőségének megállapításához vezet. Tagadhatatlan, hogy kapcsolat áll fenn az eredeti adatgyűjtési cél, azaz az internet‑ és televíziós előfizetési szerződés teljesítése, az ezen adatok biztonságának belső kiegészítő adatbázisban való biztosítására irányuló adatkezelés és olyan tesztek teljesen biztonságos elvégzése között, amelyek célja a szerződésben előírt szolgáltatás nyújtására potenciálisan káros hatással bíró műszaki hiba elhárítása. Anélkül, hogy átfednék egymást, e célok logikusan összekapcsolódnak.
Fontos, hogy ez az adatkezelés nem esik távol az előfizetőknek az adataik további felhasználására vonatkozó jogos elvárásaitól sem.
A belső adathordozón való kiegészítő adattárolás ugyanis, amelyet az eredeti adatbázis adataihoz való hozzáférést érintő műszaki hiba megoldásának szükségessége indokol, nem tekinthető meglepőnek vagy valószínűtlennek.
Ezenkívül az érintett adatokat továbbra is ugyanaz az adatkezelő kezelte, és azokat nem tették harmadik személyek számára hozzáférhetővé, ami a negatív hatás hiányára utal. Az a tény, hogy az adatkezelőt érintő etikus hekkertámadás keretében a hekker képes volt elérni az ezen adathordozón szereplő adatokat, a főtanácsnok szerint nem vezethet a szóban forgó adatkezelés összeegyeztethetetlenségének visszaható hatályú megállapításához.
Második kérdés – A korlátozott tárolhatóság elvéről
A korlátozott tárolhatóság elvének vizsgálata arra a kérdésre ad magyarázatot, hogy mikor nem volt már indokolt az adatoknak az adatkezelő kiegészítő belső adathordozóján történő tárolása. Az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. A GDPR (39) preambulumbekezdése szintén kimondja, hogy
a személyes adatok tárolásának „a lehető legrövidebb időtartamra [kell korlátozódnia]”, és hogy ennek érdekében az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg.
A jelen ügyben, tekintettel arra, hogy a kifogásolt adattárolás megfelelt az adatbiztonság célkitűzésének, és egyben hozzájárult az előfizetési szerződés teljesítésére irányuló cél megvalósításához, az adatkezelő azt állította, hogy a tesztadatbázisban szereplő adatok tárolásának időtartama a szerződéses kötelezettségei teljesítésének időtartamához igazodott, ami kizárja a korlátozott tárolhatóság alapelvének megsértését.
A főtanácsnok megjegyzi, annak megállapítása, hogy a tesztadatbázist közvetlenül az adatkezelőt érintő etikus hekkertámadást követően, az érintett előfizetőkkel fennálló szerződéses kapcsolatok fennmaradásától függetlenül törölték, határozottan ellentmond az adatkezelő azon állításának, hogy ezen második adatbázis fenntartását az előfizetési szerződések teljesítése indokolta. Az adatkezelő egyértelműen jelezte, hogy a tesztadatbázis célja az előfizetői adatokhoz való hozzáférés biztosítása volt addig, „ameddig maga a hiba elhárításra nem kerül”, és hogy azt figyelmetlenségből nem törölte, jóllehet a fenntartását a hibák elhárítása már nem indokolta, ami azt jelenti, hogy a kifogásolt adatkezelésnek már nem volt haszna, tehát célja sem.
A főtanácsnok szerint, amint az eredeti működési zavart sikeresen elhárították, megszűnt az a körülmény, amely az adattárolási műveletet és annak fenntartását indokolja.
Az adatok biztonságának a műszaki incidens elhárításához kapcsolódó biztosítására irányuló közvetlen és elsődleges cél, akár önmagában, akár az előfizetési szerződés teljesítéséhez fűződő közvetett és másodlagos céllal együttvéve, ilyen körülmények között már nem terjedhetett ki az adatkezelés folytatására.
Összegzés
A főtanácsnok végkövetkeztetésében az első kérdés esetében arra a megállapításra jut, hogy
a célhoz kötöttség elvével nem ellentétes a jogszerűen gyűjtött és tárolt személyes adatok kiegészítő belső adathordozón való tárolása, amennyiben ezen adatkezelés az adatgyűjtés céljaival megegyező célokat követ.
Ha pedig nem követ ilyen célokat, de azokkal összeegyeztethető, akkor is lehet célhoz kötött adatkezelésről beszélni. A főtanácsnok hozzáteszi ugyanakkor, hogy az összeegyeztethetőség bizonyítása – értelemszerűen – az adatkezelő feladata.
A második kérdésben a megállapítása, hogy
a korlátozott tárolhatóság elvével ellentétes a jogszerűen gyűjtött és tárolt adatoknak egy kiegészítő belső adatbázisban, az érintettek azonosítását lehetővé tévő formában, valamely műszaki rendellenesség kijavítására és az említett adatok biztonságának ideiglenes biztosítására irányuló célból történő olyan tárolása, amelyre az e cél eléréséhez szükséges időtartamon túlmenően, azaz az incidens elhárítását követően kerül sor.
A főtanácsnok tehát – ahogy a NAIH is tette határozatának indokolásában – elválasztotta a második kérdés azon függését, amely azt vélelmezte, hogy a célhoz kötöttség alapelvének sérelme feltétele, hogy a korlátozott tárolhatóság alapelvének sérelme megállapítható legyen. Ebből következően az EU Bíróság előtt is nyitva áll a lehetőség arra, hogy a két alapelvet az adott esetben egymástól függetlenül értelmezze.
Véleményem szerint a főtanácsnoknak a célhoz kötöttség alapelvét kiterjesztő értelmezése eredményét tekintve kifejezetten modern és a digitális világhoz igazodó. Azt tükrözi ugyanis, hogy az egyes adatkezelési célokat nem csak alapelvi és dogmatikus megközelítésből kell vizsgálni, hanem a tényleges gyakorlati cél, továbbá az érintettek vélelmezett elvárásai szempontjából is. Ez az életszerű megközelítés üdvözítő és a jogalkalmazást nagyban elősegíti, így különös érdeklődésre tarthat számot a jövőben várható bírósági döntés.
