Az általános adatvédelmi irányelvvel ellentétes az a gyakorlat, amelynek során az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztek elvégzése és a hibák kijavítása céljaiból létrehozott adatbázisban az e célok eléréshez szükségesnél hosszabb ideig tárolja – szögezi le az Európai Unió Bírósága C-77/21. számú Digi-ügyben hozott ítéletében.
A Digi Magyarország egyik piacvezető internet- és televízió szolgáltatója, amely 2018 áprilisában tesztelési és hibaelhárítási okból létrehozott egy tesztadatbázist, melybe a lakossági ügyfelei egy jelentős részénék az említett szolgáltatások nyújtása keretében jogszerűen kezelt személyes adatait másolta át.
A vállalkozás 2019 szeptemberében arról szerzett tudomást, hogy egy hekker hozzáfért számos ügyfelének a tesztadatbázisba felvett személyes adataihoz. Az esetről maga a hekker tájékoztatta a Digit annak érdekében, hogy a cég javítsa ki a szóban forgó adatbázishoz való jogosulatlan hozzáférést lehetővé tevő technikai hibát.
Miután a Digi az incidenst jelentette a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, ez utóbbi a vállalkozást 100 millió forint összegű adatvédelmi bírsággal sújtotta különösen az általános adatvédelmi rendelet (GDPR) azon szabályának a megsértése miatt, amely személyes adatok tárolását csak jogszerű célból teszi lehetővé. Az adatvédelmi hatóság szerint ugyanis
a Digi azzal, hogy az adatvédelmi incidenssel érintett, eredetileg hibaelhárítási célból létrehozott tesztadatbázist a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, a kérdéses személyes adatokat ezen adatbázisban másfél éven keresztül cél nélkül és így a GDPR-rel nem összeegyeztethető módon tárolta.
A Digi az adatvédelmi hatóság határozatát megtámadta a Fővárosi Törvényszék előtt, amely lényegében azt kérdezi az Európai Bíróságtól, hogy a GDPR-rel összeegyeztethető-e az a gyakorlat, amelynek keretében az adatkezelő az egyébként jogszerű célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan egy másik adatbázisban tárolja.
Ítéletében a Bíróság emlékeztet arra, hogy a GDPR értelmében a személyes adatokat egyrészt meghatározott, egyértelmű és jogszerű célokból kell gyűjteni, másrészt pedig azok nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon. Márpedig a jelen ügyben nem vitás, hogy a szóban forgó személyes adatokat meghatározott, egyértelmű és jogszerű célból gyűjtötték, mivel ezen adatok gyűjtésére a Digi által az ügyfeleivel kötött előfizetői szerződések megkötése és teljesítése céljából került sor. Az érintett adatok kezelésével kapcsolatban a Bíróság megjegyzi, hogy a rendelkezésére álló információk alapján úgy tűnik, hogy a szóban forgó tesztek elvégzése és az előfizetői adatbázist érintő hibák kijavítása konkrét kapcsolatban áll a lakossági ügyfelek előfizetési szerződéseinek teljesítésével, amelyekre vonatkozóan az adatokat eredetileg gyűjtötték, mivel e hibák káros hatással lehetnek a szerződésben előírt szolgáltatás nyújtására. E tekintetben a Bíróság hangsúlyozza, hogy a kérdéses adatkezelés nem esik távol az előfizetőknek a személyes adataik további felhasználására vonatkozó jogos elvárásaitól.
Minderre tekintettel a Bíróság megállapítja, hogy
a GDPR-rel összeegyeztethető az a gyakorlat, amelynek során az adatkezelő egy tesztek elvégzése és hibák kijavítása céljából létrehozott adatbázisban rögzíti és tárolja a korábban más adatbázisban gyűjtött és tárolt személyes adatokat, amennyiben az ilyen további adatkezelés megfelel azon konkrét céloknak, amely célokból a személyes adatokat eredetileg gyűjtötték.
A Fővárosi Törvényszék feladata azonban annak a meghatározása, hogy e feltétel a jelen ügyben ténylegesen teljesül-e. Végül a Bíróság kimondja, hogy
a GDPR-rel ellentétes az a gyakorlat, amelynek során az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztek elvégzése és a hibák kijavítása céljából létrehozott adatbázisban az e tesztek elvégzéséhez és e hibák kijavításához szükségesnél hosszabb ideig tárolja.