5 kínzó kérdés a Kúria személyes adatokra vonatkozó d?ntése alapján

Az adatvédelmi szabályozás k?zéppontjában a személyes adat áll, hiszen attól függ?en kell vagy nem kell az adatvédelmi rendelkezéseket alkalmazni, hogy sor kerül-e személyes adatok kezelésére. Annak ellenére, hogy ennyire fontos el?kérdésr?l van szó, néha nem is olyan egyszer? eld?nteni, hogy személyes-e az adat.

Nagyon érdekes szakmai vita lángolt fel a Kúria egy nyári, 2019. júniusában meghozott, elvi jelent?sége miatt a k?zelmúltban a Bírósági Határozatok (BH) k?z?tt is megjelent ítélete k?rül. A szakmai eszmecsere k?zéppontjában a személyes adat fogalma áll.

A Kúria d?ntése (BH 2019.272) lényegében arra a kérdésre keresett választ, hogy egy állami szerv (átvev? szerv) által statisztikai céllal kezelt adatbázisban szerepl? adatok, amelyeket egy másik állami szerv (átadó szerv) ad át olyan formában, hogy azokat az adattovábbítás el?tt álnevesíti (pszeudonimizálja), személyes adatnak tekinthet?k-e az átvev? szervezetnél. (Fontos, hogy az ügy 2014-re nyúlik vissza, így az eljárás az akkor hatályos Infotv. rendelkezéseinek alkalmazását érintette.)

Az ítélet 2. pontja alapján egyébként ?az adattár nyilvános, mindenki számára elérhet?, abból ún. aggregált, ?sszesített adatokat lehet lekérdezni kül?nb?z? megjelenítési és sz?r?feltételek beállításával, melynek eredményeként egy ?sszesített adatokat tartalmazó eredménytáblázat jelenik meg a beállításnak megfelel? bontásban. Ha a megadott sz?rési feltételek eredményeként ?tnél kevesebb esetszám adódik, a rendszer adatot nem szolgáltat. Az alperes feladatellátása során az OEP által a részére átadott adatokkal kapcsolatba hozható személyek személyazonosító adataival nem rendelkezik, nem ismeri az adott személynek az OEP által képzett és kiadott kilenc jegy? ún. kapcsolati kódját (quasi TAJ-szám), az ehhez tartozó személyt és személyazonosító adatait.”

Az alábbiakban els?sorban néhány általánosabb, a személyes adat fogalmának és az adatvédelmi szabályok alkalmazandóságát a j?v?re nézve is befolyásoló kérdésre térek ki (erre tekintettel az ügy idején hatályos Infotv. rendelkezései mellett utalok a GDPR jelenleg alkalmazandó szabályaira is).

1. Mi az a személyes adat? Mikor azonosítható egy érintett?

A GDPR alapján személyes adat az ?azonosított vagy azonosítható természetes személyre (?érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki k?zvetlen vagy k?zvetett módon, kül?n?sen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy t?bb tényez? alapján azonosítható.”

Az ügy idején, az Infotv. 2014. december 14. napján hatályos sz?vege volt alkalmazandó, amely más struktúrában, de a fentiekhez hasonlóan határozta meg az érintett és a személyes adat fogalmát. Eszerint, ?személyes adat: az érintettel kapcsolatba hozható adat - kül?n?sen az érintett neve, azonosító jele, valamint egy vagy t?bb fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemz? ismeret -, valamint az adatból levonható, az érintettre vonatkozó k?vetkeztetés; érintett: bármely meghatározott, személyes adat alapján azonosított vagy - k?zvetlenül vagy k?zvetve - azonosítható természetes személy.”

érdemes figyelembe venni a fentiekkel kapcsolatban a 29-es Cikk szerinti Munkacsoport (melynek szerepét a GDPR alapján az Európai Adatvédelmi Testület t?lti be) 4/2007. sz. véleményét a személyes adat fogalmáról (maga a Kúria is hivatkozik a véleményre). Ez a vélemény a személyes adat fogalmának vizsgálata kapcsán négy elemet kül?nít el:

• ?bármely információ”,
• ?vonatkozó”,
• ?azonosított vagy azonosítható”,
• ?természetes személy”.

Ezek k?zül érdemes kiemelni azt, hogy mit tekintünk egy érintettre ?vonatkozó” adatnak. Ahhoz, hogy egy adat/információ egy egyénre vonatkozzon három elem k?zül legalább egynek kell jelen lennie, ezek a ?tartalom” elem, VAGY ?cél” elem, VAGY ?eredmény” elem. Ezek k?zül (a Kúria ítéletében is vizsgált ügyre tekintettel) a tartalom elemet emelem ki, amelyr?l a WP29 az alábbiakat mondja: ?…. az információt egy adott személyr?l adják meg, tekintet nélkül az adatkezel? vagy harmadik személy részér?l fennálló bármiféle célra, vagy az információnak az érintettre gyakorolt hatására. Az információ akkor ?vonatkozik” egy személyre, amikor az adott ?személyr?l” szól, és ez az, amit az esetet ?vez? valamennyi k?rülmény fényében értékelni kell. Például az orvosi vizsgálat eredményei egyértelm?en a betegre vonatkoznak, vagy a vállalati nyilvántartásban az adott ügyfél neve alatt nyilvántartott információ egyértelm?en ezen ügyfélre vonatkozik.” (lásd 4/2007. sz. vélemény, 11. o.)   

A másik elem, amire érdemes kitérni, hogy mikor beszélünk ?azonosított vagy azonosítható” személyr?l. A WP29 vélemény szerint ?általában véve egy természetes személyt ?azonosítottnak” tekinthetünk, ha személyek egy csoportján belül ?elkül?nül” a csoport valamennyi egyéb tagjától. K?vetkezésképpen a természetes személy akkor ?azonosítható” – még ha az azonosításra eddig nem is került sor –, ha ennek megtétele lehetséges (ez a ?-ható” képz? jelentése). így a gyakorlatban e második lehet?ség az a küsz?bfeltétel, amely meghatározza, hogy az információ a harmadik elem k?rébe tartozik-e.” (lásd 4/2007. sz. vélemény, 13. o.)

A fentiek alapján két nagyon fontos szempontot kell kiemelni, amelyre a Kúria ítélete talán nem fordított elég figyelmet:

• Az adatok, amelyeket álnevesített formában kapott meg az átvev? szerv adott természetes személyekre vonatkoznak. Még akkor is így van ez, ha maga az átvev? szerv nem tudja beazonosítani az érintetteket (azaz nem tudja a személyazonosságukat megállapítani).
• Az adatok pedig oly módon állnak rendelkezésre, hogy egyes személyek elkül?nülhetnek a csoporton belül.

2. Azonosíthatóság és beazonosítás – egy és ugyanaz?

A Kúria ítélete nem tesz kell?en kül?nbséget az azonosított (azonosítható) és a beazonosított k?z?tt, amikor azt r?gzíti, hogy ?[a] személyes adat fogalmának fent ismertetett értelmezése alapján megállapítható, hogy az adott esetben az alperes által kezelt, valamely természetes személyre vonatkozó egészségügyi adatok, a nem, a születési dátum és a lakóhely irányítószáma a természetes személy személyes adatai, amelyek alapján az érintett k?zvetve azonosítható. Ez azt jelenti, hogy ezek az adatok ebben az ?sszetételben nem teszik azonosíthatóvá a természetes személyt, más forrásból származó további adatok ?sszekapcsolásával azonban alkalmasak lehetnek az érintett természetes személy azonosítására, az érintettre vonatkozó k?vetkeztetés levonására.” (ítélet, 19. pont)

A Kúria nem vizsgálta érdemben azt a kérdést, hogy az adatokhoz kapcsolt olyan jellemz?k, mint a nem, a születési dátum és a lakóhely irányítószáma alkalmasak-e, elegend?k-e természetes személyek csoporton belüli elkül?nítésére. Ha igen, akkor az azonosíthatóság megállapítható lehet akár további adatokkal való ?sszekapcsolás nélkül is, legfeljebb ahhoz, hogy az adott személy személyazonosságát is meg lehessen állapítani. Itt érdemes a NAIH gyakorlatát is figyelembe venni: ?A Hatóság ehelyütt fontosnak tartja kiemelni azt, hogy éles kül?nbség van az érintett azonosítása/azonosíthatósága és személyazonossága k?z?tt. El?bbi esetben a kezelt adatok lehet?vé teszik az érintett szeparálását k?rnyezetét?l vagy az ott lév? harmadik személyekt?l. Az azonosítás/azonosíthatóság arra a kérdésre ad választ tehát, hogy a kezelt információk mely személyhez tartoznak a csoporton belül. Ezzel szemben a személyazonosság annak megállapítását teszi lehet?vé, hogy pontosan ki is az adott egyén. Az adatkezel? ezáltal felismeri az érintettet.” Ez azonban már egy további lépés és nem els?sorban az adat személyes adat jellegének a megállapításához kapcsolódik.

A k?zvetett azonosíthatóságnak éppen az a lényege, ahogy azt a WP 29 véleménye is r?gzíti, hogy ?… ez a kategória jellemz?en az ?egyedi kombinációk” jelenségére vonatkozik, legyenek azok akár kis-, akár nagyméret?ek. Azokban az esetekben, ahol a hozzáférhet? azonosítók kiterjedése els? látásra nem teszi senki számára lehet?vé az adott személy kiválasztását, attól még e személy ?azonosítható” lehet, mivel az említett információ más információkkal ?sszekapcsolva (ez utóbbi akár megvan az adatkezel?nél, akár nincs) az egyént másoktól megkül?nb?ztethet?vé teszi.” (lásd a 4/2007. sz. vélemény, 14. o.)

érdemes itt újra utalni a NAIH gyakorlatára. A NAIH a fent hivatkozott korábbi állásfoglalásában is azt r?gzítette, hogy ?[a] hazai adatvédelmi gyakorlat szempontjából kiemelend? továbbá, hogy az azonosíthatóság fogalmát kiterjeszt?en értelmezi, azaz az információ személyes adat jellege nem függ az azt megismer? szubjektív adattartalmától, így irreleváns az, hogy az adatkezel? megfelel? egyéb ismeretek birtokában saját maga képes-e az érintett azonosítására.” (A Kúria el?tti ügyben egyébként a felperes hivatkozott a Beyer-ügyre (C-582/14. sz. ügy), amelyben az Európai Bíróság a dinamikus IP-címe kapcsán mondta ki, hogy ?[…]az elektronikus médiaszolgáltató által a nyilvánosság számára hozzáférhet?vé tett internetes honlap valamely személy által t?rtén? felkeresésekor az e szolgáltató által r?gzített dinamikus IP?cím az említett szolgáltató tekintetében az e rendelkezés szerinti személyes adatnak min?sül, amennyiben jogszer? eszk?z?k állnak a rendelkezésére az érintett személynek az e személy internet?hozzáférést nyújtó szolgáltatójának rendelkezésére álló további adatok révén t?rtén? azonosításához.” A Bíróság az Irányelv (26) preambulumában foglaltakat is figyelembe vette, amely szerint ?[…] annak meghatározására, hogy egy személy azonosítható?e, minden olyan módszert figyelembe kell venni, amit az adatkezel?, vagy más személy valószín?leg felhasználna az említett személy azonosítására.” A Kúria azonban érdemben nem foglalkozott a hivatkozott EB ítéletben foglaltakkal.)

A Kúria a k?zvetett azonosíthatóság kapcsán ezzel szemben azt r?gzíti, hogy ?… [a]z alperes részére megküld?tt adatok alapján a természetes személy (érintett) ugyan k?zvetve azonosítható, ennek elvi lehet?sége ugyanakkor a perbeli esetben nem elégséges annak megállapításához, hogy az alperes személyes adatokat kezel.” (ítélet 21. pont)

A Kúria tehát maga r?gzíti a k?zvetett azonosíthatóságot, ugyanakkor ezt nem tartja elegend?nek az adatok személyes adat jellegének megállapításához (?[…] így érdemben helytállóan állapította meg a másodfokú bíróság, hogy az alperes által kezelt adatok nem személyes adatok.”, lásd ítélet, 21. pont). Ezzel a Kúria – az általa is hivatkozott – WP29 4/2007. sz. véleménynek és a NAIH gyakorlatának is ellentmondani látszik, illetve ez a megállapítás nehezen egyeztethet? ?ssze a személyes adat fogalmával is, amely kifejezetten utal a k?zvetett azonosíthatóságra is. (érdemes továbbá ehhez kapcsolódóan a WP29 5/2014. számú, az anonimizálási technikákról szóló véleményét is elolvasni, figyelemmel a 2.2.2. pontra is, amely az anonimizált adatok lehetséges azonosíthatóságával foglalkozik.)

A Kúria ítélete némileg ?sszemossa az azonosítás (azonosíthatóság) és a személyazonosítás fogalmát. Míg az el?bbi az adatok személyes adat jellegének meghatározása szempontjából jelent?s, az utóbbi ahhoz szükséges, hogy az adott érintettet beazonosítottá, az adatkezel? által felismerhet?vé tegyen. A k?zvetett azonosíthatóság nem csak azt jelenti, hogy nem maga az adatkezel?, hanem egy másik személy k?zrem?k?dése is kell az azonosításhoz, hanem azon eseteket is, amikor nem valamely természetes személyazonosító adat útján, hanem az egyén jellemz?inek meghatározott csoportja kül?níti el az egyént a csoporton belül. A Kúria viszont ezzel ellentétesen foglalt állást, amikor kimondta, hogy ?[a] személyes adat fogalmának fent ismertetett értelmezése alapján megállapítható, hogy az adott esetben az alperes által kezelt, valamely természetes személyre vonatkozó egészségügyi adatok, a nem, a születési dátum és a lakóhely irányítószáma a természetes személy személyes adatai, amelyek alapján az érintett k?zvetve azonosítható. Ez azt jelenti, hogy ezek az adatok ebben az ?sszetételben nem teszik azonosíthatóvá a természetes személyt, más forrásból származó további adatok ?sszekapcsolásával azonban alkalmasak lehetnek az érintett természetes személy azonosítására, az érintettre vonatkozó k?vetkeztetés levonására.”

3. Kinek kell tudnia az érintettet azonosítania?

A Kúria érvelése alapján az alperes (az adatokat statisztikai célra átvev? szerv) nem kezel személyes adatot, mert ?… [az] alperes részére megküld?tt adatok alapján a természetes személy (érintett) ugyan k?zvetve azonosítható, ennek elvi lehet?sége ugyanakkor a perbeli esetben nem elégséges annak megállapításához, hogy az alperes személyes adatokat kezel. A perben nem merült fel adat arra, hogy az alperes rendelkezik azokkal a technikai feltételekkel (kapcsolati kódból a személyazonosítást visszak?vethet? módon lehet?vé tev? információ, metódus, további nyilvántartások, stb.), amelyek az érintettel való kapcsolat helyreállításához szükségesek. Ezért az alperes által kezelt, az érintett természetes személy azonosítására alkalmatlan adatok a személyes adat min?ségüket már nem ?rzik meg [Infotv. 4. § (3) bek.].” (ítélet, 21. pont)

A Kúria tehát az adatkezel? szempontjából vizsgálja az azonosíthatóságot. Erre minden oka meg is volt a Kúriának, hiszen az ügy idején hatályos Infotv. szerint ?[a] személyes adat az adatkezelés során mindaddig meg?rzi e min?ségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezel? rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.” (Infotv. 4. § (3) bekezdés)

A Kúria tehát az Infotv. alapján foglalt állást úgy, hogy a kapcsolat helyreállíthatóságát az adatkezel? szempontjából kell vizsgálni. Ugyanakkor a ?kapcsolat helyreállíthatósága” – ahogy azt a fentiekben láttuk – nem feltétlenül a személyazonosság megállapítását jelenti, hanem azt, hogy egy adott érintetthez legyenek k?thet?k az adatok, azaz egy adott érintett a csoporton belül elkül?níthet? legyen. A Kúria tehát ehhez képest sz?kebb értelmezést alkalmazott.

A korábbi irányelvi szabályozás, illetve az ez alapján alakuló gyakorlat (lásd Beyer-ügy) azt támasztja alá, hogy az azonosíthatóság meghatározása során nem szabad csak az adatot ténylegesen kezel? személyre koncentrálni. (A NAIH gyakorlata is így foglalt állást korábban.)

A GDPR alkalmazandóvá válásával a helyzet tovább ?egyszer?s?d?tt”, hiszen a GDPR nem tartalmaz az Infotv. korábbi 4. § (3) bekezdéséhez hasonló korlátozást. A GDPR 26. preambulumbekezdése az alábbiakat tartalmazza:

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjel?lést –, amelyr?l észszer?en feltételezhet?, hogy az adatkezel? vagy más személy a természetes személy k?zvetlen vagy k?zvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszk?z?kr?l feltételezhet? észszer?en, hogy egy adott természetes személy azonosítására fogják felhasználni, az ?sszes objektív tényez?t figyelembe kell venni, így például az azonosítás k?ltségeit és id?igényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejl?dését. Az adatvédelem elveit ennek megfelel?en az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek k?vetkeztében az érintett nem vagy t?bbé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

A GDPR fenti preambulumbekezdése is egyértelm?en azt tartalmazza, hogy az adatkezel? vagy más személy is elvégezheti az azonosítást (ráadásul mindkett? kül?n vagy együtt k?zvetlen vagy k?zvetett módon is), azaz nem kizárólag az adatkezel? oldaláról kell vizsgálni az azonosíthatóság feltételeit.

A fentiek kapcsán említést érdemel ugyanakkor a WP29 véleményének egyik példája a klinikai kutatások kapcsán:

?[…] A gyógyszereket tesztel? egészségügyi szakember / kutató (?vizsgáló”) gy?jti ?ssze a klinikai eredményekre vonatkozó információt minden egyes beteg esetében, akiket kóddal jel?l meg. A kutató az információt a gyógyszeripari vállalkozásnak vagy egyéb érintett feleknek (?megbízók”) csak ebben a kódolt formában adja meg, hiszen ez utóbbiakat csak a biostatisztikai információ érdekli. Mindazonáltal a vizsgáló elkül?nítve tart egy kulcsot, amely e kódot hozzárendeli az általános információhoz, hogy ennek révén elkül?nített módon tudja azonosítani a betegeket. […]

A kérdés itt az, hogy a klinikai vizsgálathoz felhasznált adatokat ?azonosítható” természetes személyre vonatkozóknak tekinthetjük-e, és ezáltal az adatvédelmi szabályok hatálya alá tartoznak-e. A fent ismertetett elemzés szerint egy személy azonosíthatóságának meghatározásához minden olyan módszert figyelembe kell venni, amelyet az adatkezel? vagy más személy valószín?leg felhasználna az említett személy azonosítására. Ebben az esetben az egyének azonosítása (hogy szükség esetén megkaphassák a megfelel? kezelést) a kulccsal kódolt adatok feldolgozásának egyik célja. A gyógyszeripari vállalkozás megteremtette a feldolgozás eszk?zeit, ideértve a szervezési intézkedéseket és a kutatóval való kapcsolatait, aki oly módon tárolja a kulcsot, hogy az egyének azonosítása bizonyos k?rülmények k?z?tt ne csak megt?rténhessen, hanem valóban meg is t?rténjen. A betegek azonosítása tehát beágyazódik a feldolgozás céljai és eszk?zei k?zé. Ebben az esetben arra a k?vetkeztetésre lehet jutni, hogy az ilyen, kulccsal kódolt adatok a lehetséges azonosításba esetlegesen bevont valamennyi fél által azonosítható természetes személyekre vonatkozó információkat hoznak létre, így tehát ezen adatoknak az adatvédelmi jogszabályok hatálya alá kell tartozniuk. Ez azonban mégsem jelenti azt, hogy az ugyanazon kódolt adatkészletet feldolgozó bármely más adatkezel? személyes adatot dolgozna fel, amennyiben a kül?n rendszerben, amelyben ezek az egyéb adatkezel?k m?k?dnek, az újbóli azonosítás kifejezetten kizárt, és e tekintetben megfelel? technikai intézkedésekre került sor.” (lásd a 4/2007. sz. vélemény, 22. o.) Bár a vélemény megállapítja a kódolt adatok kapcsán az azonosíthatóságot, és a személyes adatokra vonatkozó szabályok alkalmazandóságát, ugyanakkor az utolsó mondatban puhít ezen a szigorú mondáson, anélkül azonban, hogy kell?en kibontaná a kivétel alkalmazhatóságának a feltételeit. Kérdés, hogy mit érthetünk itt ?az újbóli azonosítás kifejezett kizártságán”. érthet?-e ez alatt az, hogy amennyiben az azonosítás nem "ágyazódik be" az adatok feldolgozásának céljai és eszk?zei k?zé, akkor a további feldolgozás egy másik kezel? szervezetnél már nem személyes adat? (Egy ilyen értelmezés a Kúria d?ntése alapjául szolgáló ügyre is visszavetíthet? lehet, hiszen az adatbázis átadásának a céljai k?z?tt nem szerepel az azonosítás elvégzése.)

A 4/2007. vélemény 21. oldalán olvasható 17. sz. példa kapcsán szerepl? okfejtés ugyanakkor, mintha ellentmondana fenti utolsó mondatban szerepl? k?vetkeztetésnek, amikor szintén egyénhez k?t?tt kódolt adatok kerülnek átadásra statisztikai célú felhasználásra. Itt abból indul ki a vélemény, hogy ?[ha] az egyes személyek esetében használt kódok egyediek, fennáll az azonosítás kockázata, amennyiben hozzá lehet jutni a kódoláshoz használt kulcshoz.” A hozzájutás kapcsán pedig akár a visszaélés lehet?ségével is számolni kell, pl. ?valaki az adatküld? szervezett?l – annak szakmai titoktartása ellenére – kiszolgáltatná a kulcsot”. (Szintén érdekes ehhez kapcsolódóan az anonimizálási technikákról szóló 5/2014. sz. vélemény 2.2.2. pontja.)

?sszefoglalóan tehát azt látjuk, hogy bár az Európai Bíróság és a NAIH gyakorlata, illetve a WP29 véleménye is szélesebb értelmezést k?vetett, de a Kúria az Infotv. 4. § (3) bekezdése alapján kizárólag az adatkezel? szempontjából vizsgálta az azonosíthatóságot. A Kúria erre alapított d?ntését ugyanakkor a GDPR alapján óvatosan kell kezelni, mert az Infotv. korábbi 4. § (3) bekezdése id?k?zben hatályát vesztette, így a megszorító értelmezésnek még kevésbé lehet tere, mint korábban.

A perbeli ügyben szerepl? adathalmaznak a személyes adatok k?réb?l t?rtén? kiemelése számos ellentmondást hordoz magában és bár az utóbbi id?ben a személyes adatok fogalmának kiterjeszt? (abszolút) értelmezése nyert teret, megfontolandó, hogy ennek a folyamatnak az esetleges ellensúlyozása valóban a személyes adat fogalmának a visszavágása révén érhet?-e el vagy más eszk?z?k (pl. a kockázat alapú megk?zelítésb?l kiindulva, eltér? intézkedések alkalmazása az álnevesített vagy más okból csak k?zvetetten a konkrét természetes személyhez k?thet? adatok tekintetében vagy a GDPR 11. cikkének figyelembevételével t?rtn? eljárás, stb.).  

4. Más eredményre vezetne-e egy hasonló eljárás a GDPR alapján?

Nyilván nem lehet egy konkrét eljárás kapcsán el?re állást foglalni, ugyanakkor azt érdemes figyelembe venni, hogy a GDPR tartalmaz néhány olyan rendelkezést, amely valószín?síthet?en szerephez jutna egy hasonló ügyben. Ilyen kül?n?sen a GDPR 11. cikke (azonosítást nem igényl? adatkezelés):

(1) Ha azok a célok, amelyekb?l az adatkezel? a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezel? általi azonosítását, az adatkezel? nem k?teles kiegészít? információkat meg?rizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.

(2)  Ha az e cikk (1) bekezdésében említett esetekben az adatkezel? bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, err?l lehet?ség szerint ?t megfelel? módon tájékoztatja. Ilyen esetekben a 15–20. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehet?vé tev? kiegészít? információkat nyújt.

A GDPR 11. cikk (1) bekezdése ugyan ígéretes az adatot kezel? szerv szempontjából, de nehéz helyzetet teremtene, ha az érintett élne a (2) bekezdés szerinti lehet?séggel és az azonosítását lehet?vé kiegészít? információkat nyújtana (amint azt a felperes egyébként az alapul szolgáló ügyben fel is ajánlotta). A 11. cikk alkalmazásához kapcsolódik a 12. cikk (6) bekezdése is, amely lehet?vé teszi az adatkezel?nek a személyazonosítás elvégzését, ha kétségei támadnak az igényt érvényesít? személy kilétét illet?en. Látható, hogy a GDPR 11. cikkének alkalmazhatósága sem problémamentes (ahogy erre dr. Halász Bálint is felhívja a figyelmet a reflexiójában).

Egy most induló ügyben egyértelm?en a vizsgálat tárgyát képezhetné a GDPR álnevesítésre vonatkozó fogalma is (GDPR 4. cikk 5. pont: ?álnevesítés: a személyes adatok olyan módon t?rtén? kezelése, amelynek k?vetkeztében további információk felhasználása nélkül t?bbé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt kül?n tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni”) és ennek alkalmazhatósága egy a fentihez hasonló esetben.

Felmerülhet a GDPR 23. cikk (korlátozások), illetve a 89. cikk (a k?zérdek? archiválás céljából, tudományos és t?rténelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák és eltérések) alkalmazhatósága is. Ehhez azonban megfelel? bels? jogi rendelkezések szükségesek, mégpedig t?rvényi szinten szabályozva. A jelenlegi vonatkozó szabályok kapcsán kérdéses, hogy a megfelel? feltételek egy ilyen korlátozásra fennállnak-e (lásd ezzel kapcsolatban dr. Osztopáni Krisztián cikkének 2. pontját).   

5. Mi k?vetkezik mindebb?l?

A Kúria ítélete egy nagyon érdekes és az adatvédelmi szabályok alkalmazása szempontjából k?zponti kérdést érintett: mi a személyes adat, mikor, illetve meddig tekinthet? egy érintett azonosíthatónak?

A fentiekb?l is látszik, hogy egyáltalán nem egy k?nnyen megválaszolható kérdésr?l van szó. A Kúria ítélete kapcsán azt látjuk, hogy – nyilván a peres eljárások sajátosságaira is tekintettel – a Kúria d?ntése nem adhat kimerít? válaszokat a fenti (és további) kérdésekre, hiszen egy konkrét ügyben, egy konkrét tényállás alapján kell állást foglalnia. Néhány ponton ugyanakkor sajnos a Kúria érvelése leegyszer?sít? és a kapcsolódó magyar, illetve uniós joggyakorlatot nem kell? mélységben feldolgozó, így talán t?bb kérdést vet fel, mint amennyit megválaszol. Vélhet?en t?bb hasonló ügy (talán nem is els?sorban Magyarországon, hanem uniós szinten) kell majd ahhoz, hogy tisztuljon a kép.

Ahogy a bevezet?ben is jeleztem ezek a kérdések alapvet? jelent?ség?ek, hiszen végs? soron az adatvédelmi szabályok alkalmazhatóságának határairól szólnak. Kiemelt jelent?ség? kérdés, hogy ezeket a határokat miként húzzunk meg, mert amellett, hogy alapjogok érvényesülését érinti, nagyon jelent?s hatása van a technológia fejl?désére, a kutatás-fejlesztésre, az innovációra stb. is, hogy milyen keretek k?z?tt végezhet?k ezek a tevékenységek. érdemes itt utalni a k?zadatok újrahasznosítására és az ehhez kapcsolódó új irányelvre, illetve azon kezdeményezésekre, amelyek a versenyfeltételek kiegyenlítését adott esetben az adatbázisok megosztása révén tartják megvalósíthatónak.    

(Aki a konkrét ügyh?z kapcsolódóan kibontakozó, a bevezet?ben is hivatkozott eszmecserét is elolvasná, annak ajánlom figyelmébe dr. Halász Bálint ?A Kúria meger?sítette a személyes adatok fogalmának relatív megk?zelítését” c. blogbejegyzését, dr. Osztopáni Krisztián erre írt ?A Kúria álnevesített adatokkal kapcsolatos d?ntésének kritikája” c. válaszát, majd dr. Halász Bálint reflexióját, illetve dr. Alexin Zoltán, az ügy felperesének, a fentiekre figyelemmel k?z?lt, ?A Kúria ítélete az áEEK adatkezelésér?l” c. írását.)