Az Európai Unió Bírósága (EuB) először értelmezi a nem közvetlenül az érintettől gyűjtött adatokra vonatkozó, az adatkezelő tájékoztatási kötelezettsége alóli GDPR kivételt – szögezi le az EuB C-169/23. számú MÁSDI ügyben hozott ítéletében.
A Fővárosi Kormányhivatal védettségi igazolványt állított ki UC részére, amely igazolta, hogy Covid19 elleni védőoltást kapott. UC panaszt nyújtott be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH), azaz a magyar felügyeleti hatósághoz. Panaszában többek között kifogásolta, hogy a védettségi igazolványát kiállító kormányhivatal elmulasztotta a védettségi igazolványok kiállításával kapcsolatos adatok kezelésére vonatkozóan az adatkezelési tájékoztatót elkészíteni és közzétenni, így nem áll rendelkezésre elegendő információ arról, hogy mi az adatkezelés célja, jogalapja, illetve melyek az érintett jogok és hogyan érvényesíthetőek.
A felügyeleti hatóság a panaszt elutasította.
A NAIH valamint UC között folyamatban lévő per keretében fordult a Kúria az Európai Unió Bíróságához a tájékoztatási kötelezettség alól az általános adatvédelmi rendelet (GPDR) 14. cikke (5) bekezdése c) pontjában foglalt kivétel értelmezésére vonatkozó előzetes döntéshozatali kérelemmel. A rendelet értelmében
abban az esetben, ha az adatokat nem az érintettől szerezték meg, nem kell alkalmazni a rendelkezésre bocsátandó információk körét meghatározó szabályokat, amennyiben „[…] az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik”.
Ítéletében a Bíróság megállapítja, hogy
az adatkezelőnek az érintett tájékoztatására vonatkozó kötelezettsége alóli, e rendelkezésben előírt kivétel különbségtétel nélkül vonatkozik minden olyan személyes adatra, amelyet az adatkezelő nem közvetlenül az érintettől gyűjtött, függetlenül attól, hogy ezeket az adatokat az adatkezelő az érintettől eltérő személytől szerezte meg, vagy azokat feladatainak ellátása során maga az adatkezelő hozta létre.
A Bíróság továbbá kimondja, hogy a panaszeljárás keretében a felügyeleti hatóság hatáskörrel rendelkezik annak vizsgálatára, hogy azon tagállam joga, amelynek hatálya alá az adatkezelő tartozik, az említett kivétel alkalmazása céljából az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket ír-e elő. E vizsgálat azonban nem terjed ki azon intézkedések megfelelőségére, amelyeket az adatkezelőnek e rendelet 32. cikke értelmében a személyesadat kezelés biztonságának garantálása érdekében kell meghoznia.
