Az Európai Unió Bírósága (EU Bíróság) meghatározó GDPR-értelmezésre kapott lehetőséget. A Fővárosi Törvényszék 2021 februárjában előzetes döntéshozatali eljárás keretében az EU Bíróságához fordult a GDPR célhoz kötöttséget és korlátozott tárolhatóságot előíró alapelveinek értelmezése céljából. Az EU Bíróság értelmezésének jelentős hatása lehet a hatósági gyakorlatra és az adatkezelők eljárására is. Az ügy jelentőségét növeli az is, hogy a GDPR alkalmazandóvá válása óta kiszabott legnagyobb NAIH-bírságot eredményező hatósági döntés szolgál az alapjául.

A hatóság az ügyben az egyik legnagyobb magyarországi internet- és televíziószolgáltatót, a Digi Kft.-t (adatkezelő) 2020. május 18-án kelt határozatában elmarasztalta és 100 millió forintos adatvédelemi bírság megfizetésére kötelezte, amely határozatot az adatkezelő közigazgatási perben támadott meg. A jelen cikk célja a tényállás rövid bemutatása, majd a felek érveinek és az előzetes döntéshozatal kérdéseinek ismertetése.

A tényállás szerint az adatkezelő 2019 szeptemberében egy etikus hackertől értesült arról, hogy két adatbázisa a digi.hu honlap egyik sérülékenységét kihasználva kívülről jogosulatlanul hozzáférhető. Az adatkezelő az etikus hackerrel titoktartási szerződést kötött, továbbá jutalmat fizetett ki részére, ezt követően pedig a GDPR-ban meghatározott 72 órán belül, 2019. szeptember 25-én jelentette az esetet, mint adatvédelmi incidenst a hatóság felé. Az adatok nem kerültek nyilvánosságra, mivel a hibát az adatkezelő a bejelentést követően javította.

Az adatbázisokban összesen kb. 322.000 érintett személyes adatait (név, anyja neve, születési hely, idő, lakcím, személyi igazolvány szám, esetenként személyi szám, e-mail cím, vezetékes és mobil telefonszám) tárolták.

A tesztadatbázisok létrehozásának magyarázata az volt, hogy egy korábbi hiba – amely során a webszerverek nem érték el az adatbázis szervereket, így ennek eredményeképpen az előfizetői adatok elérhetősége átmenetileg megszűnt – kiküszöbölése céljából a tesztadatbázisokba kerültek feltöltésre az adatok, az előfizetői adatok elérhetőségének akkori és későbbi folyamatos biztosítása érdekében.

Az előfizetői adatbázis esetében az adatkezelés célja az egyes előfizetői szerződések megkötése, jogalapja pedig a GDPR 6. cikk (1) bekezdés b) pontja (az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél) volt.

A hírlevélre feliratkozók adatait tartalmazó adatbázis esetében pedig a cél érintettek üzletszerzési célú ajánlatokkal történő megkeresése (direkt marketing), jogalapja pedig a GDPR 6. cikk (1) bekezdés a) pontja (az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez) volt.

Megjegyzendő, hogy a hatóság az adatkezelés jogalapját egyik esetben sem vitatta.

A hatóság a bírság alapjaként – az adatkezelő éves nettó árbevétele mellett – különösen az alábbi körülményeket vette figyelembe:

  • Az incidens olyan, a nyílt forráskódú Drupal-rendszerben már évek óta ismert hiányosság feltárásával történt, amelyre a piacon elérhető és széles körben alkalmazott volt a javítás.
  • Az adatbázis több százezer előfizető adatait tartalmazta, ennek ellenére az adatkezelő nem alkalmazott megfelelő titkosítást, úgy, hogy saját belső szabályozói is előírták ezt.
  • A jogsértő helyzet már hosszabb ideje, a duplikált adatbázisok megszületése óta fennállt az adatkezelőnél.

A hatóság összességében úgy értékelte, hogy az adatkezelő több adatkezelési alapelvet megsértett.

A GDPR 5. cikk (1) bekezdés b) pontjában nevesített „célhoz kötöttség” elve megköveteli, hogy a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. Az adatbázis létrehozásának célja (hibajavítás) elkülönült a személyes adatok eredeti kezelésének céljától (szerződés teljesítése). A hibajavítás, mint önálló adatkezelési cél legitim lehet, azonban ezen elkülönült adatkezelésnek is meg kell felelnie a GDPR előírásainak, így többek között a célhoz kötött adatkezelés alapelvének is. A hibajavítási cél a tesztadatbázis létrehozása kapcsán addig áll fent, ameddig maga a hiba elhárításra nem került az adatkezelő által, azonban annak megtörténtével a GDPR 17. cikk (1) bekezdés a) pontjában foglaltakra is figyelemmel a személyes adatokat tartalmazó tesztadatbázist törölni kellett volna (a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték).

A GDPR 5. cikk (1) bekezdés e) pontjában nevesített „korlátozott tárolhatóság” elve megköveteli, hogy a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Az adatkezelő által hibaelhárítási célból létrehozott adatbázisban kezelt személyes adatok azonban a cél megvalósulása után változatlan – tehát nem anonimizált – formában, hanem az érintettek azonosításra alkalmas módon kerültek tárolásra.

Az adatkezelő a hatósági eljárás eredményeként a tesztadatbázist törölte, valamint telepítette azt a javítást, amely a használt rendszerben fennálló sérülékenységet megszüntette, továbbá nyilatkozott, hogy megfontolja magasabb szintű tűzfalak beszerzését a védelem szintjének növelése érdekében, továbbá az egyébként is végzett rendszeres sérülékenységi vizsgálatokat a digi.hu weboldalra is kiterjeszti a jövőben.

Az adatkezelő a hatóság határozatát közigazgatási perben támadta meg és kérte a bíróságot, hogy az alábbi tárgykörökben kezdeményezze az EU Bírósága előzetes döntéshozatali eljárását.

A „célhoz kötöttség” elvével kapcsolatban az az adatkezelő álláspontja, hogy a GDPR ezen alapelvét nem sértette meg, az alábbiakra figyelemmel:

  • Az érintett adatbázisokba áttöltött ügyféladatokat a GDPR 6. cikk (1) bekezdés b) pontja alapján, az előfizetői szerződések megkötése céljából jogszerűen gyűjtötte, és ez a cél nem változott az incidenssel érintett tesztadatbázis létrehozása miatt sem.
  • A tesztadatbázist adattárolásra hozta létre annak érdekében, hogy az adatok az adatgyűjtés eredeti, jogszerű céljára továbbra is rendelkezésére álljanak. Az adatgyűjtés céljával tehát nem összeegyeztethetetlen a tesztadatbázis létrehozása, vagyis a gyűjtött adatok más belső rendszerben történő tárolása.
  • A célhoz kötöttség elve nem ad iránymutatást arról, hogy a jogszerűen gyűjtött adatokat az adatkezelő mely belső rendszerében jogosult kezelni, ugyanakkor a célhoz kötöttség elve nem is tiltja a jogszerűen gyűjtött adatok másolását.
  • A kezelt személyes adatok köre nem bővült azáltal, hogy a tesztadatbázist létrehozta, és amennyiben a tesztadatbázis létrehozása vagy fenntartása az adatbiztonsági kockázatokat esetlegesen növelné is, ez nem alapelvi szintű jogsérelemként, legfeljebb adatbiztonsági kérdésként, a GDPR 32. cikke alapján lehetne értékelhető (az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja).

A „korlátozott tárolhatóság” alapelvének sérelmét is vitatja az adatkezelő, az alábbiakra figyelemmel:

  • Az ügyféladatok „eredeti” kezelésének célja nem a hibajavítás volt, ezért az adatok tárolhatóságának időtartama sem igazodhat a hibajavítás befejezéséhez.
  • Ebből következően amiatt, hogy a tesztadatbázist nem törölte azonnal a hibaelhárítást követően, a korlátozott tárolhatóság követelményét sem sértette meg, hiszen a tesztadatbázisban szereplő adatoknak az érintettek azonosítására alkalmas módon történő tárolására a hibajavítástól függetlenül is jogosult volt.

Az előzetes döntéshozatali eljárást szükségessé tevő indokok a bíróság mérlegelése szerint:

  • A bíróság arra a kérdésre várja a választ, hogy a nem vitásan célhoz kötötten gyűjtött adatoknak egy másik adatbázisba történt átmásolásával megváltozik-e az adatgyűjtés, adatkezelés célja.
  • Az adatgyűjtés céljával összeegyeztethető-e a tesztadatbázis létrehozása (vagyis a célhoz kötötten gyűjtött adatok más belső rendszerben történő elmentése), valamint az ügyféladatok kezelésének ekként való folytatása.
  • A célhoz kötöttség elve nem ad egyértelmű iránymutatást arra, hogy a jogszerűen gyűjtött adatokat az adatkezelő mely belső rendszereiben jogosult kezelni, illetve, hogy az ilyen adatokat kimásolhatja-e egy tesztadatbázisba anélkül, hogy ezáltal az adatgyűjtés célja megváltozna.
  • Ha az adatgyűjtés céljával nem összeegyeztethető a tesztadatbázis létrehozása (azaz az adatoknak más belső rendszerben történő elmentése), akkor a korlátozott tárolhatóság elvével kapcsolatban a bíróság arra a kérdésre is választ vár, hogy amennyiben az ügyféladatok másik adatbázisban történő kezelésének célja nem a hibajavítás, hanem a szerződéskötés volt, akkor a szükséges tárolási idő mihez igazodik: a hibajavításhoz, vagy a szerződéses kötelezettségek teljesítéséhez.

A bíróság az adatkezelő kérelmét a fentiek szerint megalapozottnak látta és a következő kérdésekkel fordult az EU Bíróságához:

Első kérdés:

„Úgy kell-e értelmezni az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016. április 27. napján kelt 2016/679 rendelet (a továbbiakban: GDPR) 5. cikk (1) bekezdés b) pontjában meghatározott »célhoz kötöttséget«, hogy annak továbbra is megfelel az, ha az adatkezelő az egyébként jogszerű célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan egy másik adatbázisban is tárolja, avagy a párhuzamos adatbázis tekintetében az adatgyűjtés jogszerű célhoz kötöttsége már nem áll fenn?

Második kérdés:

Amennyiben az első kérdésre a válasz az, hogy maga a párhuzamos adattárolás nem összeegyeztethető a »célhoz kötöttség« elvével, akkor összeegyeztethető-e a GDPR 5. cikk (1) bekezdés e) pontjában meghatározott »korlátozott tárolhatóság« elvével, ha az adatkezelő az egyébként jogszerűen, célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan tárolja egy másik adatbázisban?

Az EU Bíróság döntésének jelentős következménye lehet az ilyen adatbázisokkal kapcsolatos hatósági jogértelmezésre. Az adatkezelő által a jelen esetben alkalmazott gyakorlat egyáltalán nem példa nélküli, akár hibajavítási, akár például biztonsági mentési célból készített, duplikált adatbázisokról beszélünk. Már a GDPR megszületése óta érzékelhető a feszültség az informatikai-biztonsági szempontból indokolt megoldások és a GDPR előírásai között, remélhetőleg az EU Bíróság majdani döntésével a jog és a technológia közelebb kerülhet majd egymáshoz és legfőképp a realitásokhoz, ezzel is elősegítve az adatkezelők törekvését a megfelelés biztosítására.