A Zürich Kereskedelmi Bíróság („Handelsgericht des Kantons Zürich”, „Bíróság”) 2021. május 4-i ítéletében (elérhető németül ITT) vizsgálta a személyes adatok pszeudonimizálása és anonimizálása összefüggéseit. Svájc nem EU/EGT-tagállam, a jelen ügyben érintett felek nem uniós polgárok, és a vizsgált adatkezelési tevékenység Svájc területén történt, ezért a Bíróság eljárása során nem a 2016/679 (EU) általános adatvédelmi rendelet („GDPR”) alapján, hanem a svájci adatvédelmi törvény rendelkezései szerint járt el („Bundesgesetz vom 19. Juni 1992 über den Datenschutz”, „DSG”). A DSG rendelkezései ugyanakkor nagyon hasonlítanak a GDPR-ra (a GDPR értelmében az Európai Bizottság megfelelőségi határozata alapján maga Svájc is „biztonságos harmadik országnak” minősül), ezért az ítélet megállapításai tanulságosak lehetnek az EU országaiban működő szervezetek számára is.
A Bíróság ítéletében megtiltotta, hogy az alperes bank megfelelő védelem hiányában a felperesek személyes adatait átadja az Egyesült Államok igazságügyi minisztériuma részére. Az alperes bank arra hivatkozott, hogy az adatok pszeudonimizált, illetve anonimizált formában kerülnek átadásra, a Bíróság azonban, megvizsgálva az érintettek azonosítására rendelkezésre álló lehetőségeket, megállapította, hogy a bank által alkalmazott technikai intézkedések nem akadályozzák meg az érintettek azonosítását.
Az alábbiakban részletesen ismertetjük a felek érveit és a Bíróság ítéletét.
Az alapügy
A felperes panamai székhelyű gazdasági társaság (Felperes 1) 2003-ban négy számlát nyitott ’D’ bankban. ’D’ banknak az alperes bank (Alperes Bank) általi átvételével ez a banki kapcsolat Alperes Bankra szállt át, majd ezt követően 2012-ben megszűnt. A másik felperes egy természetes személy, Felperes 1 haszonhúzója („Wirtschaftlich berechtigte” angolul „beneficial owner, Felperes 2).
Alperes Bank részt vesz az Egyesült Államok igazságügyi minisztériuma („U.S. Department of Justice”, „DOJ”) által kezdeményezett „Program for Non-Prosecution Agreements or Non-Target Letters for Swiss Banks” („DOJ-Program”) programban. A DOJ-program célja a jogsértő banki ügyfelek azonosítása. Alperes Bank 2016. január 4.-én a DOJ-Program keretén belül partnerségi megállapodást kötött a DOJ-vel, ez az ún. 3/20. sz. aktus. Ez alapján Alperes Bank egy ún. II.D.2. listát és egy DOJ-től kapott „Fact Sheet” információs adatlapot kívánt továbbítani a szükséges információkkal a DOJ felé. Ezek a továbbítandó adatok Felperes 1 által Alperes Banknál vezetett számláira vonatkoztak. Felperes 1 és Felperes 2 ezt az általuk jogellenesnek vélt adattovábbítást kívánták megakadályozni.
Az ügyben korábban, 2019 májusában a Zürichi Kereskedelmi Bíróság a felperesek kérésére ideiglenes intézkedésként megtiltotta Alperes Banknak, hogy a felperesek személyes adatait közvetlenül vagy közvetve a DOJ előtt felfedje, vagy a DOJ rendelkezésére bocsássa.
A Bíróság megállapításai
1. Vizsgált kérdések köre
A Bíróság a jelen ügyben kizárólag a DOJ részére történő adattovábbítást vizsgálta, nem az Egyesült Államokba irányuló vagy az Egyesült Államok egyéb hatóságai által kezdeményezett adattovábbításokat általában.
2. Felperes 2 aktív perbeli legitimációja
Alperes Bank vitatta Felperes 2 aktív perbeli legitimációját, azon az alapon, hogy nem Felperes 2 a számlatulajdonos, valamint, hogy Alperes Banknak egyébként sem állt szándékában bármilyen vele kapcsolatos vagy őt azonosító adatot továbbítani a DOJ felé.
A Bíróság megállapítása szerint Felperes 2 Felperes 1 számláin 2010 óta haszonhúzóként szerepel. A DOJ által küldött Fact Sheet adatlapon mint „BO1” (beneficial owner 1) többször is említik, így a Bíróság szerint vele kapcsolatos adatok mindenképp továbbításra kerülnek. Az, hogy a továbbításra szánt adatok lehetővé teszik-e Felperes 2 azonosítását, nem a keresetindítási jog körében vizsgálandó, hanem a Felperes 2 jogsértés megszüntetésére irányuló kérelme megalapozottsága körében. A Bíróság szerint tehát Felperes 2 rendelkezett keresetindítási joggal.
3. Személyes adatok nyilvánosságra hozatala külföldön
A Bíróság ezen kérdéssel kapcsolatban azt vizsgálta, hogy a DOJ-nek továbbítandó adatok személyes adatoknak minősülnek-e.
A felperesek érvei
A felperesek azt állították, hogy a II.D.2. listában és a Fact Sheeten felsorolt információk személyes adatnak minősülnek, mivel nem anonim adatok, hanem álnevesített adatok, amelyek lehetővé teszik a DOJ számára a felperesek azonosítását. E tekintetben a felperesek különböző, a DOJ rendelkezésére álló azonosítási mechanizmusokat emeltek ki (a SWIFT vagy CHIPS fizetési forgalom tranzakciós adatainak összehasonlítása, a tranzakciós adatok értékelése a BSA jelentéseken keresztül, Big Data elemzés, a közösségi hálózat elemzése, közigazgatási és kölcsönös jogsegélyeljárások).
Az Alperes Bank érvei
Az Alperes Bank álláspontja szerint a továbbított dokumentumok nem tartalmaznak személyes adatokat, mert azokat kellő mértékben pszeudonimizálták, illetve anonimizálták:
- az átutalási összegeket összesítik és a havi végösszeget adják meg, a kiszámított összeget a közelebbi 100 ezer svájci frankra kerekítve (majd ezt az összeget az első pontnak megfelelően USD-re váltják),
- a felperesek neve nem szerepel a dokumentumokban,
- a dokumentumokban nem szerepelnek a banki alkalmazottak, ügyintézők és olyan további harmadik személyek nevei, akiknek a kilétéből a dokumentumok összevetése során a felperesekre vagy a felperesek banki ügyleteire lehetne következtetni.
A dokumentumokban a számlákhoz rendelt számok (5,6,7,8) nem számlaszámok vagy ügyfélazonosítók, hanem kizárólag a szóban forgó számlákhoz rendelt ellenőrző referenciaszámok, amelyek csak a válaszadó Alperes Bank korlátozott számú alkalmazottja számára tették lehetővé a mögöttes számlakapcsolat azonosítását. Az Alperes Bank ezután azzal érvelt, hogy a fent leírt intézkedéseknek köszönhetően nem továbbítanak olyan információkat a DOJ-nek, amelyek a DOJ szempontjából egy személyhez köthetők, a DOJ számára így már nem lehetséges az egyes kifizetések nyomon követése.
A Bíróság álláspontja
A Bíróság döntésében utalt arra, hogy a svájci DSG értelmében a személyes adat minden olyan információ, amely azonosított vagy azonosítható személyre vonatkozik. Egy személy a svájci adatvédelmi jogértelmezés szerint akkor azonosítható, ha további kiegészítő információk alapján beazonosítható, azonban az azonosíthatósághoz nem elegendő az azonosítás elméleti lehetősége.
Ha az azonosításhoz szükséges erőfeszítés olyan nagy, hogy az általános élettapasztalat szerint nem várható el, hogy egy érdekelt fél magára vállalja, akkor nem áll fenn azonosíthatóság.
A kérdésre ugyanakkor nem adható általános válasz, egyedi esetekben egyenként kell mérlegelni, és ennek során különösen a technológiai lehetőségeket kell figyelembe venni. A Bíróság álláspontja szerint
az azonosíthatóság mindenképp fennáll abban az esetben, ha az érintett azonosítását lehetővé tevő további kiegészítő információkat jogszerű eszközök segítségével, állami hatóság bevonásával meg lehet szerezni.
A Bíróság az anonimizálást mint az azonosíthatóság visszafordíthatatlan megszüntetését határozta meg, következésképp, az anonimizált adatokat nem tekintette személyes adatoknak.
A pszeudonimizálás (álnevesítés) a Bíróság értelmezésében az azonosíthatóság visszafordítható megszüntetése, ahol létezik egy, az újra-azonosításhoz szükséges kulcs. Mindazok számára, akik hozzáféréssel rendelkeznek a kulcshoz, az álnevesített adatok személyes adatok maradnak.
Azon személyek esetében, akik nem férnek hozzá a kulcshoz, és más információval sem rendelkeznek ahhoz, hogy az adatokat egy adott személyhez rendelhessék, az álnevesített személyes adatok már nem minősülnek személyes adatnak.
Az ügyben a felperesek nem vitatták, hogy a továbbítandó dokumentumokban foglalt információk alapján nem beazonosíthatóak. A személyes adat minőség szempontjából az volt a vitatott kérdés, hogy ezen továbbítandó dokumentumokban foglalt információk által és egyéb, a DOJ rendelkezésére álló eszközökkel (mint például a jogsegélyeljárás) kifejezetten a DOJ számára beazonosíthatóvá válnak-e.
A felperesek a fent is említett, DOJ által történő azonosítás különböző lehetőségeit vetették fel, beleértve a felperesek azonosítása céljából kezdeményezhető jogsegélyeljárást egy Svájc és az Egyesült Államok között létrejött kettős adóztatás elkerüléséről szóló 1996-os egyezmény alapján. E tekintetben azzal érveltek, hogy a DOJ a II.D.2. lista és a Fact Sheet alapján könnyen előterjeszthetne közigazgatási és igazságügyi nemzetközi jogsegély iránti kérelmet. Ezt a felvetést Alperes Bank érdemben nem cáfolta, pusztán jelezte, hogy álláspontja szerint ez csak feltételezés, és ha még van is elérhető jogsegélyeljárás, azt egy svájci hatóságnak még előtte jóvá kell hagynia. Alperes Bank szerint az egyetlen releváns körülmény az, hogy a felpereseket nem lehetett közvetlenül azonosítani, jogsegélyeljárásokon kívül nem voltak közvetlenül azonosíthatók.
Alperes Bank érvelése tulajdonképpen az azonosíthatóság relatív fogalmának tág értelmezése, amely szerint a szóban forgó adatok anonim adatok lesznek pusztán attól, hogy adott eszközzel és módszerrel anonimizálva, adott időpillanatban (az adattovábbítás időpontjában) adott adatkezelési művelet vonatkozásában (az adattovábbítás során) adott címzettnél (DOJ) nem áll fenn az azonosíthatóság lehetősége. Ez az értelmezés nem veszi figyelembe a GDPR által ismert, 26. preambulumbekezdésben megfogalmazott, harmadik személy által észszerűen feltételezhetően igénybe vehető módszer létezését, és irrelevánsnak tartja azt, hogy a címzett egy későbbi időpontban, könnyen további kiegészítő információkhoz juthat az azonosíthatóság – így a személyes adat minőség – visszaállítása érdekében. Az érvelés tehát azért a személyes adat relatív meghatározásának tág értelmezése, mert már a közvetlen azonosíthatóság hiánya esetén anonim adatnak tekinti a személyes adatot, és a szélesebb kontextust figyelmen kívül hagyja.
A Bíróság ugyan elismerte Alperes Bank azon érvét, hogy a jogsegélyeljárás – és így az azonosíthatósághoz szükséges további információk megszerzése – az illetékes svájci hatóság jóváhagyásától függ, ugyanakkor nem talált arra utaló tényeket, amelyek alapján egy esetleges DOJ megkeresést el kellene utasítani. Nem találta tehát kizártnak a Bíróság egy esetleges jövőbeni jogsegélyeljárás jóváhagyását, azaz, az azonosíthatóság jogszerű lehetőségét.
A fent említett Svájc-USA kettős adóztatás elkerüléséről szóló 1996-os egyezmény 10. cikke meghatározza azt, hogy a megkeresett ország hatósága mely adatokat kell, hogy a megkereső ország hatósága rendelkezésére bocsásson. A Bíróság véleménye szerint a jelen esetben nem valószínű, hogy az Alperes Bank által használt ellenőrző referenciaszámok kielégítő azonosítóadatként szolgáljanak, tekintve, hogy az egyezmény felsorolja a „jellemzően megadni szükséges” adatokat, ami pl. a név, vagy „hasonló azonosító adatok”.
A Bíróság továbbá elutasította Alperes Bank azon érvét, mely szerint a jogsegélyeljárás pusztán elméleti lehetőség, tekintve, hogy a DOJ-Program bevallott célja, hogy a Fact Sheet segítségével megkönnyítse az Egyesült Államok számára jogsegélyeljárás kezdeményezését.
A fentiekben kifejtettek összességére tekintettel a Bíróság arra a következtetésre jutott, hogy
konkrétan fennáll annak a lehetősége, hogy azon információk alapján, amelyeket az Alperes Bank a DOJ részére kíván átadni, a felperesek egy jogsegélyeljárás során azonosíthatóak maradnak, még akkor is, ha nem lehet egyértelműen megállapítani, hogy az illetékes svájci hatóság helyt adna-e az Egyesült Államokból érkező jogsegély-eljárás kezdeményezése iránti megkeresésnek.
Ezért a Bíróság azt állapította meg, hogy a vitatott dokumentumokban foglalt adatok személyes adatnak minősülnek.
4. Az adatszolgáltatás (adatátadás) tilalma
A Bíróság az adatszolgáltatás jogszerűsége tekintetében kizárólag a külföldre történő adattovábbítás tényét vizsgálta. A svájci DSB 6. cikke szerint alapvetően tilos személyes adatok továbbítása olyan országba, amely nem rendelkezik megfelelő védelmi szinttel a személyes adatokra nézve, mint pl. az Egyesült Államok. Ilyen esetben az adattovábbításra csak a DSB 6. cikk (2) bekezdésében foglalt valamely kivétel fennállása esetén van lehetőség, amelyek közül a Bíróság álláspontja szerint egyik sem állt fenn.
Ezért, tekintettel arra, hogy megfelelő védelem hiányában a felperesek személyes adatainak az Alperes Bank által tervezett, a DOJ részére történő átadása a személyiségi jogok jogellenes megsértésével fenyeget,
a Bíróság megtiltotta Alperes banknak az adatok továbbítását.
Annak érdekében, hogy a tilalmat ne lehessen kijátszani, a Bíróság
a tilalmat kiterjesztette a közvetett továbbításra is (azt nem részletezi a döntés, hogy mit ért közvetett továbbítás alatt).
Az ítélet értékelése a GDPR tükrében
A személyes adat ítéletben ismertetett definíciója a svájci adatvédelmi jogban „minden olyan információ, amely azonosított vagy azonosítható személyre vonatkozik”. Ez a definíció szinte szó szerint megegyezik a személyes adat GDPR 4. cikk 1. pontjában foglalt meghatározásával.
Hasonlóság van a személyes adat és az anonim adat minőség megállapításában is, azaz, az azonosíthatóság kritérium értékelésében. A GDPR 26. preambulumbekezdése szerint
„valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja”.
A GDPR 26. preambulumbekezdése tehát az azonosíthatóság olyan relatív értelmezését adja, mely szerint
az azonosíthatóság megléte vagy hiánya mindig az adott kontextusban, adott címzett viszonylatában értelmezendő.
Az Európai Unió Bírósága a GDPR 26. cikkének preambulumbekezdésének értelmezésével foglalkozott a C- 582/14. sz. ügyben („Breyer-ügy”), ahol kimondta, hogy
az adatkezelő vagy más személy által „nem észszerűen feltételezhető” egy módszer igénybe vétele az azonosításhoz, „ha az érintett személy azonosítását törvény tiltaná meg, vagy a gyakorlatban nem lenne megvalósítható, például azon egyszerű ok miatt, hogy például aránytalan idő‑, költség‑ vagy munkaráfordítás lenne hozzá szükséges, ily módon valójában jelentéktelennek tűnik az azonosítás veszélye. (46. bek.)”
Ez egyúttal azt is jelenti, hogy
amennyiben könnyen elérhető, jogszerű lehetőség áll fenn az érintett azonosítására, azt a GDPR 26. preambulumbekezdés szerint figyelembe kell venni, mint az azonosíthatóság lehetőségét növelő körülményt.
A jelen svájci bírósági ítélet is a Breyer-ügyhöz hasonló eredményre jutott, és a személyes adatok relatív meghatározását követi. A Bíróság érvelésének kiindulópontja, hogy
a pszeudonimizált személyes adatok tekinthetők anonim adatoknak az azonosíthatóság kritérium hiánya miatt, ha az adatok címzettje nem rendelkezik olyan eszközökkel és módszerekkel, amelyek számára az azonosíthatóság kritériumának helyreállítását észszerűen lehetővé teszik.
A Bíróság szerint viszont ilyen módszer egy jogsegélyeljárás, különösen, mivel Alperes Bank DOJ-Programban való részvételének ismert célja az ilyen jogsegélyeljárás iránti kezdeményezés megkönnyítése. Ezért a Bíróság arra a következtetésre jutott, hogy ugyan általában, relatív megközelítés alapján pszeudonimizált adatok tekinthetők anonim adatnak (nem-személyes adatnak), amennyiben az azonosításhoz szükséges kiegészítő információt a címzett valószínűsíthetően rendelkezésre álló eszközökkel nem tudja megszerezni. Jelen ügyben azonban a fent kifejtettek alapján nem ez a helyzet, mert a pszeudonimizált adatok címzettje, a DOJ rendelkezik észszerűen használható módszerrel a személyes adatok megismerésére.
Az alapvető különbség a GDPR és a svájci értelmezés között az, hogy míg a GDPR a pszeudonimizálást a 32. cikk alapján egyértelműen pusztán egy személyes adatokat védő adatbiztonsági intézkedésnek tekinti, addig a svájci értelmezésben már önmagában a pszeudonimizálás is anonimitáshoz vezethet. A svájci értelmezés szerint a pszeudonimizálást feloldó „kulccsal” nem rendelkező fél számára az adatok anonimnak tekinthetők, a GDPR viszont a pszeudonimizálás esetében nem tesz különbséget a kulcs birtokosa és harmadik felek között.
A GDPR értelmezésében a pszeudonimizált adat mindig személyes adat marad (ld. a 29. cikk szerinti Adatvédelmi Munkacsoport anonimizálási technikákról szóló 5/2014 véleményének 3. és 10. oldalát).