adozona.hu
BH 2021.5.148
BH 2021.5.148
Civil személyek nem honvédelmi kötelezettséggel összefüggő egészségügyi ellátásához kapcsolódó - Honvéd Kórház által végzett - adatkezelése nem minősül honvédelmi célú adatkezelésnek. A GDPR 9. cikke szerinti egészségügyi adatokat fő tevékenysége keretén belül kezelő egészségügyi intézménynek rendelkeznie kell olyan belső adatkezelési szabályzattal, amely az adatvédelmi incidens bekövetkezése esetén követendő eljárásrendet szabályozza [2011. évi CXII. törvény (Infotv.) 2. § (3) bekezdés, 25. § (3) bekezdés]
Kiválasztott időállapot:
- Kibocsátó(k):
- Jogterület(ek):
- Tipus:
- Érvényesség kezdete:
- Érvényesség vége:
MIRŐL SZÓL EZ A JOGSZABÁLY?
[1] 2019. február 12-én és 13-án a www.origo.hu internetes portálon megjelent két cikk, amelyben nyilvánosságra hozták, hogy D. M. országgyűlési képviselő ún. V.I.P. belépőt igényelt a Honvéd Kórház Speciális Rendeltetésű Centrum járóbeteg-ellátásának igénybevételére. A portál nyilvánosságra hozta az igénylőlap szkennelt változatát is, amelyen az igénylő személyes adatai közül a nevén kívül minden személyes adat kitakarásra került.
[2] A felperes fenntartója, a Honvédelmi Minisztérium a sajt...
BH 2021.5.148 Civil személyek nem honvédelmi kötelezettséggel összefüggő egészségügyi ellátásához kapcsolódó - Honvéd Kórház által végzett - adatkezelése nem minősül honvédelmi célú adatkezelésnek. A GDPR 9. cikke szerinti egészségügyi adatokat fő tevékenysége keretén belül kezelő egészségügyi intézménynek rendelkeznie kell olyan belső adatkezelési szabályzattal, amely az adatvédelmi incidens bekövetkezése esetén követendő eljárásrendet szabályozza [2011. évi CXII. törvény (Infotv.) 2. § (3) bekezdés, 25. § (3) bekezdés]
A felülvizsgálat alapjául szolgáló tényállás
[1] 2019. február 12-én és 13-án a www.origo.hu internetes portálon megjelent két cikk, amelyben nyilvánosságra hozták, hogy D. M. országgyűlési képviselő ún. V.I.P. belépőt igényelt a Honvéd Kórház Speciális Rendeltetésű Centrum járóbeteg-ellátásának igénybevételére. A portál nyilvánosságra hozta az igénylőlap szkennelt változatát is, amelyen az igénylő személyes adatai közül a nevén kívül minden személyes adat kitakarásra került.[2] A felperes fenntartója, a Honvédelmi Minisztérium a sajtóhírek alapján már 2019. február 14-én eseti adatvédelmi ellenőrzést rendelt el a felperesnél. A HM.2209-5/2019. nyilvántartási szám alatt jelentéssel zárult vizsgálat azt állapította meg, hogy a D. M. kérelmének nyilvánosságra kerülése kapcsán nem állapítható meg, hogy a dokumentum a felperestől került volna a nyilvánosságra hozó, elektronikus sajtóorgánumhoz.
[3] D. M. panaszos az alpereshez panaszbeadvánnyal fordult, amelyre tekintettel az alperes 2019. május 24-én adatvédelmi hatósági eljárást indított a felperesnél. A megelőző eljárás során több alkalommal szólította fel a felperest kérdőív kitöltésére a tényállás tisztázása érdekében, melynek során a felperes többek között előadta, hogy 2019. február 13-án szerzett tudomást az adat nyilvánosságra hozásáról, és közölte, hogy az érintett magánszférájára gyakorolt kockázata terén azt alacsony fokozatúnak értékelte. Közölte azt is, hogy a GDPR 33. cikk (5) bekezdése szerinti nyilvántartásba vételre az incidens nem került. Az adatvédelmi incidens a felperes részéről az alperesnek történő bejelentésére végül 2019. június 3-án került sor.
[4] A megelőző eljárás során a felperes kérdésre azt is előadta, hogy ún. incidenskezelési szabályzat kidolgozása 2019. márciusban vette kezdetét, részletes szabályok 2019. májusra elkészültek, amely 2019. júniusban vezetői jóváhagyásra várt.
[5] A felperes a megelőző eljárás során megkereste az origo.hu üzemeltető céget a tényállás tisztázása érdekében, amely a megkeresésre választ nem adott.
[6] Az alperes 2019. október 24-én kelt NAIH/2019/2485/20. számú határozatával az adatvédelmi incidenssel kapcsolatban a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679. (EU) rendelet (a továbbiakban: GDPR) 32-34. cikkében foglalt kötelezettségek teljesítésének elmaradása tárgyában hivatalból megindított adatvédelmi hatósági eljárásban a felperest 2 500 000 forint adatvédelmi bírság megfizetésére kötelezte, egyrészt amiatt, hogy a felperes a panaszos kórházi igénylőlapjának nyilvánosságra kerülésével bekövetkezett adatvédelmi incidenssel összefüggésben nem tett eleget a GDPR 33. cikk (1) bekezdése szerinti, indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének, továbbá nem tett eleget a 33 cikk (5) bekezdése szerinti nyilvántartásba vételi kötelezettségének, másrészt a felperes azzal, hogy fő tevékenységként nagyszámú egészségügyi adat kezelőjeként, továbbá honvédelmi célú adatkezelést is végző adatvédelmi tisztviselő kijelölésére is kötelezett szervként nem rendelkezett az adatvédelmi incidens bekövetkezésekor belső incidenskezelési szabályzattal, megsértette a GDPR 32. cikk (1) bekezdése, 24. cikk (1) és (2) bekezdése, valamint az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 25/A. § (1) és (2) bekezdésében foglaltakat, így nem alkalmazott az adatkezelés biztonsága körében megfelelő szervezési intézkedéseket.
[7] A határozat indokolása szerint a felperes bár 2019. február 13-án tudomást szerzett az adatvédelmi incidensről, azt csak 2019. június 3-án jelentette be e-mailben az Adatvédelmi Hatóságnak az incidensbejelentésre szolgáló formanyomtatvány használatával. Az alperes szerint a felperes általi hivatalos tudomásszerzésnek a 2019. február 13-i időpont minősül, azaz a GDPR 33. cikk (1) bekezdését a felperes megsértette. Az indokolás szerint a felperes jogsértő módon járt el akkor, amikor az adatvédelmi incidenst nem rögzítette belső incidens-nyilvántartásában, mellyel megsértette a GDPR 33. cikk (5) bekezdését.
[8] A határozat indokolása szerint a felperes az adatvédelmi incidensről való tudomásszerzés időpontjában nem rendelkezett az adatvédelmi incidensek kezelésére vonatkozó belső eljárásrenddel, ez csak utólag került kialakításra. Az erre vonatkozó szabályzat részletes kidolgozására csak jóval az ügy tárgyát képező incidens és hatósági ellenőrzés megindítása után, 2019. májusban került sor. Az indokolás szerint a GDPR 32. cikk (1) bekezdése és 24. cikk (1) bekezdése alapján a felperesnek mint adatkezelőnek kötelessége volt megfelelő technikai és szervezési intézkedéseket végrehajtani az adatkezeléssel kapcsolatban. Az adatkezelés biztonságát szolgáló megfelelő szervezési intézkedésnek tekinthető az, ha az adatkezelő az adatvédelmi incidensek kezelésére vonatkozó belső szabályzatokat alakít ki, és azt következetesen betartja. Az indokolás szerint a felperes tevékenységére és az általa kezelt adatok jellegére tekintettel kifejezetten elvárható lett volna, hogy a GDPR alkalmazandóságától, azaz 2018. május 25-étől rendelkezzen adatvédelmi incidensek kezelésére vonatkozó szabályzattal, hiszen a felperes az ország egyik legnagyobb egészségügyi intézménye, fő tevékenysége keretein belül nagy számban kezel a GDPR 9. cikke szerinti különleges egészségügyi adatokat is. Az ilyen érzékeny adatokat nagy számban kezelő intézménynél elvárható az indokolás szerint a belső szabályzat megléte általánosságban is, akkor is, ha jelen ügyben egyébként különleges adatokat az incidens nem érintett. A határozat indokolása az incidenskezelési szabályzattal összefüggésben megállapította azt is, hogy bár a panaszos személyes adatainak kezelése és igényjogosultság és igénylés tekintetében nem minősült honvédelmi célú, és a honvédségi adatkezelésről, az egyes honvédelmi kötelezettségek teljesítésével kapcsolatos katonai igazgatási feladatokról szóló 2013. évi XCVII. törvény (a továbbiakban: Haktv.) hatálya alá tartozó adatkezelésnek, a felperes azonban a honvédség személyi állományába tartozó érintettek személyes adatait is kezeli, ennek megfelelően a személyi állomány igényjogosulti kérelmeinek kezelésére az Infotv. 25/A. § (1) bekezdése is előírja, hogy az adatkezelőnek az adatkezelés jogszerűségének biztosítása érdekében az adatkezelés összes körülményéhez, így különösen céljához, valamint az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető kockázatokhoz igazodó műszaki és szervezési intézkedéseket kell tennie. Az indokolás szerint a felperes az adatbiztonság garantálásának részeként honvédelmi célú adatkezelést is folytató szervezetként az Infotv. 25/A. § (1) bekezdés előírásának sem tett eleget.
[9] A határozat indokolása a felperessel szemben alkalmazott bírsággal összefüggésben megjegyezte, hogy a figyelmeztetést nem tartja az adatvédelmi hatóság sem arányos, sem visszatartó erejű intézkedésnek. A bírság összege meghatározásánál utalt a GDPR 83. cikk (2) és (4) bekezdése rendelkezéseire, az Infotv. 75/A. §-ára, és 61. § (5) bekezdésére, megállapítva, hogy az eset összes körülményét mérlegelve, figyelemmel arra, hogy a felperes az ország egyik legnagyobb egészségügyi intézménye, ezért tőle elvárható, hogy az adatkezelési folyamatokat megfelelően szervezze, és hogy a felperes nem csupán egy ügyfél esetében nem tartotta be a GDPR rendelkezéseit, hanem egyáltalán nem rendelkezett belső incidenskezelési szabályzattal, ami rendszerszintű problémának tekinthető - ellenben enyhítő körülményként értékelhető, hogy az incidens csupán egyetlen személy személyes adatait érintette, amelyek között különleges egészségügyi adat nem szerepelt, továbbá, hogy a felperes végül utólag bejelentette az adatvédelmi incidenst, és rögzítette azt a GDPR 33. cikk (5) bekezdése szerinti nyilvántartásában, és egyéb, az adatvédelmi incidenst követően a felettes szerv által előírt intézkedéseket is hozott a kockázatok csökkentése érdekében, és kialakította belső incidenskezelési szabályzatát - a rendelkező részben szereplő bírságösszeget találta arányosnak.
A kereseti kérelem és védirat
[10] A felperes kereseti kérelmében elsődlegesen az alperes határozatának megváltoztatását kérte, annak megállapításával, hogy nem követte el az adatvédelmi jogsértést, és ezért a bírság megfizetésére és a határozat nyilvánosságra hozatalára történő kötelezés mellőzését indítványozta. Másodlagosan az alperes határozatának megsemmisítését, harmadlagosan annak hatályon kívül helyezését, negyedlegesen a határozat megváltoztatását a bírság összegének csökkentését indítványozta.[15] Az alperes védiratában a kereseti kérelem elutasítását kérte, hivatkozva arra, hogy a tényállás kellő mértékben feltárásra került, a rendelkezésre álló bizonyítékokat az adatvédelmi hatóság okszerűen mérlegelte.
A közigazgatási bíróság ítélete
[20] A törvényszék a felperesek kereseti kérelmét alaptalannak találta, ezért a közigazgatási perrendtartásról szóló 2017. évi I. törvény (a továbbiakban: Kp.) 88. § (1) bekezdés a) pontja alapján, mint alaptalant elutasította.[21] Az ítélet indokolása szerint a törvényszék először azt vizsgálta, hogy a perbeli adatkezelésre alkalmazandóak-e a GDPR rendelkezései, és megállapította, hogy függetlenül attól, hogy a felperes adatkezelésére kiterjed a Haktv., valamint az Infotv. hatálya, az alperesnek elsődlegesen a GDPR szabályait kellett alkalmaznia az eljárása során.
[22] Megállapította, hogy önmagában az a tény, hogy a panaszos igénylőlapja nyilvánosságra került és eljutott a sajtóhoz, megvalósult az adatvédelmi incidens GDPR 4. cikk 12. pontja szerinti fogalma. Az indokolás szerint, mivel a jogszabály a felperesre mint adatkezelőre telepítette az adat őrzésének a kötelezettségét, ezért amennyiben az adat kikerül, nincs relevanciája annak, hogy az hogyan került a sajtóhoz, azaz az alperesnek nem kellett bizonyítania, hogy milyen módon került az ki a felperestől. A tényállást a bíróság kellően tisztázottnak találta, azaz megállapította, hogy az alperes nem sértette meg az Ákr. 62. §-át. Az ítélet indokolása szerint a felperes felelőssége a jogvitára okot adó helyzethez kapcsolódóan objektív jellegű volt.
[23] Az indokolás szerint, mivel a felperes nem ismerte fel az adatvédelmi incidenst, így nem készített róla nyilvántartást, azaz az alperes helytállóan állapította meg, hogy a felperes megsértette a GDPR 33. cikk (5) bekezdését.
[24] A határozat helyesen állapította meg a GDPR 33. cikk (1) bekezdése megsértését az adatvédelmi incidens késedelmes bejelentése miatt, és az alperes helyesen mutatott arra is rá, hogy a bejelentési kötelezettség alóli kivétel szűken értelmezendő és az egészségügyi szolgáltatás igénylése tényének kiszivárgása, valamint az igénylőlap sajtó általi megjelentetése önmagában kockázattal jár a panaszos magánszférájára nézve, azaz a bejelentés alóli kivétel nem volt alkalmazható.
[25] Mivel a felperes által sem vitatottan a perbeli incidens megtörténtekor nem rendelkezett úgynevezett incidenskezelési szabályzattal, ezáltal egyrészt a GDPR 24. és 32. cikkét, másrészt honvédelmi célú adatkezelést folytató adatkezelőként az Info tv. 25/A. § (1) és (3) bekezdését is megsértette. Kiemelte, hogy a felperes egészségügyi intézményként nagy számban kezel a GDPR 9. cikke szerinti különleges adatokat, ezért mindenképpen arányosnak tekinthető a felperes adatkezelési tevékenységéhez képest a belső adatvédelmi szabályzat megkövetelése, ha nem is külön szabályzatként, de legalább adatvédelmi szabályzat részeként az incidenskezelési folyamatokat szabályozó dokumentumként.
[26] Az indokolás szerint a felperes jogsértésére figyelemmel az Infotv. 61. § (1) bekezdés a) pontja folytán alkalmazandó GDPR 58. cikk (2) bekezdésében írt jogkövetkezmények alkalmazására jogszabályi rendelkezésekkel összhangban került sor.
[27] Az ítélet érvelése szerint az alperes a határozatában megfelelően indokolta, hogy miért tartotta szükségesnek a felperessel szemben figyelmeztetés helyett bírság kiszabását, és a figyelembe vett szempontok alapján okszerűen jutott arra a következtetésre, hogy a bírságkiszabás feltételei fennálltak. Az indokolás szerint a GDPR széles körű mérlegelési jogkört biztosít az alperesnek a bírság összege megállapítására vonatkozóan, mely mérlegelési jogkör gyakorlásához a GDPR 148. és 150. preambulumbekezdése, valamint a GDPR 83. cikk (2) bekezdése ad útmutatást, amely példálózó jelleggel sorolja fel a hatóság által figyelembe veendő szempontokat. Az indokolás szerint a hatóság - a Kp. 85. § (5) bekezdését is figyelembe véve - a releváns körülményeket megfelelően értékelte, mérlegelte, erről határozatában megfelelő jogszabályi hivatkozásokkal számot adott, az indokolásból a mérlegelés szempontjai megállapíthatóak voltak.
A felülvizsgálati kérelem és ellenkérelem
[28] A felperes az ítélettel szemben felülvizsgálati kérelmet terjesztett elő, amelyben elsődlegesen a törvényszék ítéletének hatályon kívül helyezését és a bíróság új eljárás lefolytatására, új határozat hozatalára kötelezését, másodlagosan a törvényszék ítéletének megváltoztatását, és az alperes határozatának - az alperes új eljárásra kötelezése melletti - megsemmisítését kérte.[29] A felülvizsgálati kérelmében a felperes lényegében megismételte a kereseti kérelmében előadottakat, és a törvényszék ítéletét az alábbiak miatt találta jogsértőnek.
[30] A felülvizsgálati kérelem szerint az ítélet indokolása [24] bekezdése helytelenül állapította meg az alkalmazandó jogszabályt, és a felperes álláspontja szerint a Haktv. 8/F. §-ából következően - figyelemmel a GDPR 23. cikk (1) bekezdés b) pontja, és az Infotv. 2. § (3) bekezdésére is - a perbeli esetben értékelt adatkezelést és az azzal kapcsolatos incidenst honvédelmi célú adatkezelésként kellett volna értékelni. A felperes szerint az alperes Haktv. 16. számú melléklet 5. pontjára történő hivatkozása téves, ugyanis a Haktv. sehol nem rendelkezik arról, hogy csak azon személyek vonatkozásában alkalmazandó a Haktv. 8/F. §-a, akik a 16. számú melléklet 5. pontjában felsorolt adatok mindegyikével rendelkeznek. A felperes szerint az alperesnek az Infotv. rendelkezéseit kellett volna vizsgálni, mivel azonban az eljárás és a határozat a GDPR-on alapul, a határozatot a bíróságnak a Kp. 92. § (1) bekezdése alapján meg kellett volna semmisítenie.
[31] Az ítélet jogsértő módon hagyta figyelmen kívül az Ákr. 62. §-a tényállástisztázásra vonatkozó szabályai megsértését, és jogsértő az ítélet [26] bekezdésének azon állítása, hogy a felperes adatkezeléssel összefüggő felelőssége objektív jellegű. Ez az ítéleti megállapítás a felperes szerint a GDPR 4. cikk 12. pontja, 77. cikk (1) bekezdése, és 83. cikk (1) és (2) bekezdése szabályaiba is ütközik. A felperes érvelése szerint az adatkezelő magatartása és az adatvédelmi incidens között összefüggés kell, hogy legyen, ennek hiányában az adatvédelmi incidens nem is lett volna szankcionálható, azaz az adatkezelő felelőssége az adatvédelmi incidens bekövetkezéséért nem objektív.
[32] Sem az Infotv. 25/A. §-a, sem a GDPR, annak 33-34. cikkei, és annak 85. és 87. preambulumbekezdései nem írják elő számára kötelezően az incidenskezelési szabályzat készítésének kötelezettségét.
[33] A törvényszék ítélete jogsértő módon állapította azt meg, hogy a határozatban meghatározott szankció jogszerű mérlegelés eredménye, ugyanis a felperes szerint a bírság mértéke eltúlzott volt, hiányos tényállás miatt a figyelembe veendő körülmények alapján megalapozatlan, nem került kellő súllyal értékelésre az, hogy a sérelem nem súlyos, ugyanis az érintettnek csak a neve lett közzétéve, csak egyetlen személyt érintett, és nem értékelték, hogy az adatkezelő minden szükséges technikai intézkedést foganatosított. Hivatkozott a felülvizsgálati kérelem arra is, hogy csak a korábban elkövetett jogsértést lehetett volna figyelembe venni a GDPR 83. cikke szerint. A felülvizsgálati kérelem megemlítette, hogy az Infotv. 60/A. § (1) bekezdése szerinti határidőt túllépték.
[34] Az alperes felülvizsgálati ellenkérelmében az elsőfokú ítélet hatályában történő fenntartását indítványozta. Érvelése szerint a felperes alaptalanul állította a GDPR alkalmazhatatlanságát, ugyanis a panaszos nem tartozott a honvédségi állományba, ezért rá nem vonatkozott a Haktv. sem.
[35] A felülvizsgálati ellenkérelem szerint a felperes alaptalanul állította a tényállás feltáratlanságát és annak bizonyítása hiányát, mely szerint a felperes magatartása miatt került sor az incidensre. Hivatkozott arra, hogy egyrészt a közigazgatási eljárásokban nem a kétséget kizáró bizonyítási mérce érvényesül, és az Ákr. 62. § (4) bekezdése szerint a hatóságnak a bizonyítékokat szabad meggyőződése szerint kell értékelnie, másrészt az alperes a rendelkezésére álló bizonyítékokat helyesen értékelte, köztük a felperes fenntartójának ellenőrzése megállapításait is. Az alperes szerint az adatvédelmi incidenst nem elkövette valamely személy, hanem az bekövetkezett. A felperes kötelezettsége az adatok oly módon való kezelése, hogy az incidens ne következzen be, mely perbeli esetben nem valósult meg.
[36] Az alperes érvelése szerint az Infotv. 25/A. § (1) és (2) bekezdései, illetve a GDPR 24. cikk (1) és (2) bekezdései szerint megfelelő technikai és szervezési intézkedéseket (például szabályzat kialakítása) kell az adatkezelőnek végrehajtania a kezelt adatok biztonsága érdekében, és mivel az incidensek az adatok biztonságát leginkább sértő események, ezért az alperes szerint ezek kezelésére vonatkozó szabályzat elengedhetetlen. Hivatkozott arra, hogy mivel a felperesnél kijelölésre került adatvédelmi tisztviselő, az Infotv. 25/A. § (3) bekezdése még egyértelműbb kötelezést tartalmaz a megfelelő belső szabályzatok megalkotására.
[37] A felperes felülvizsgálati kérelmének bírságot érintő része nem tartalmaz olyan indokolást, ami az elsőfokú ítéletben foglalt mérlegelés kirívóan okszerűtlen voltát támasztaná alá. Az alperes az enyhítő körülményeket értékelte, a felróhatóság hiánya nem volt figyelembe vehető, a szándékosság pedig nem volt a felperes terhére róva, a korábban elkövetett jogsértés figyelembevételének célja pedig az ismétlődően előforduló magatartások értékelése.
A Kúria döntése és jogi indokai
[40] A felperes felülvizsgálati kérelme megalapozatlanul hivatkozott a GDPR alkalmazhatóságának hiányára. Civil személyek egészségügyi ellátásához kapcsolódó adatkezelés, amely nem honvédelmi kötelezettséggel függ össze, nem tekinthető a Haktv. hatálya alá tartozónak. A GDPR 23. cikk (1) bekezdés b) pontja "honvédelem" tárgyában teszi lehetővé a GDPR szabálya alóli kivételek alkalmazását. Az Infotv. 2. § (3) bekezdése a honvédelmi célú adatkezelésre rendeli alkalmazni az Infotv.-t. A közigazgatási jogvitában értékelt, a panaszos részéről egy kórház járóbeteg-ellátásának igénybevételére vonatkozó kérelem benyújtása sem a kérelmet benyújtó személye okán, sem a kérelem tartalma miatt nem tartozik a honvédelmi célú adatkezelések körébe.[41] A felülvizsgálati kérelem a tényállás tisztázatlanságára, és az alperes oldalán az adatvédelmi incidenssel összefüggésben felmerülő bizonyítási kötelezettség megsértésére is alaptalanul hivatkozott. A rendelkezésre álló adatokból megállapítható, hogy a megelőző eljárás során a tényállás tisztázása érdekében az alperes milyen eljárási cselekményeket foganatosított. A közigazgatási iratok között fellelhetőek azok a válaszok, amelyet az alperes megkeresésére a felperes adott. Rendelkezésre áll a felperes fenntartójának az adatvédelmi incidenssel összefüggésben készült HM 2209-5/2019Nyt számú jelentése is.
[42] A Kúria a felülvizsgálati kérelemmel összefüggésben fontosnak tartja hangsúlyozni, hogy az adatvédelmi hatósági eljárás tárgya az adatvédelmi incidens felperes általi kezelése, annak jogszabályoknak megfelelő kezelése, ellenőrzése volt. Az érintett személy igénylőlapjának kikerülése önmagában megvalósítja az adatvédelmi incidenst. Azonban a felperes bírságolására nem az adatvédelmi incidens bekövetkezése miatt került sor, hanem az adatvédelmi incidens bekövetkezéséhez kapcsolódóan egyrészt bejelentési kötelezettsége GDPR 33. cikk (1) bekezdésében foglalt kötelezettség megsértése, és annak nyilvántartásba vétele elmaradása miatt, mely utóbbi a GDPR 33. cikk (5) bekezdése sérelmét jelenti. Ezt a két jogsértést, azaz a bejelentési kötelezettség megsértését, és a nyilvántartásba vételi kötelezettség megsértését a felülvizsgálati kérelemben a felperes nem is vitatta.
[43] A bírság kiszabását megalapozó másik körülmény, - az adatvédelmi incidens bekövetkezése esetén követendő eljárási rend szabályozásának hiánya - pedig ténykérdés, a felperes az eljárás folyamán nem vitatta azt, hogy ilyen szabályzattal nem rendelkezett, hiszen a megelőző eljárásban az alperes által feltett kérdésekre maga adta azt a választ, hogy az incidenskezelési szabályzat kidolgozása 2019. márciusban vette kezdetét, és a részletes szabályok bár 2019. júniusban már elkészültek, de az még nem került vezetői szinten jóváhagyásra.
[44] A felülvizsgálati kérelem alaptalanul hivatkozott arra, hogy jogsértő módon kérte az adatvédelmi hatóság számon tőle az incidenskezelési szabályzat hiányát, és alaptalanul állította, hogy az az Infotv. 25/A. §-ából és a GDPR 33-34. cikkeiből nem következik. A Kúria szerint a határozat indokolásából megállapítható, hogy az alperes nem konkrétan egy incidenskezelési szabályzat elnevezésű dokumentum hiányát állította jogsértésként, hanem annak hiányát állapította meg, hogy a felperes az incidensről való tudomásszerzés időpontjában még nem rendelkezett az adatvédelmi incidensek kezelésére vonatkozó belső eljárási renddel, amely csak utólag került kialakításra.
[45] Mind az alperes határozata, mind az ítélet, és az alperesi felülvizsgálati ellenkérelem helyesen hivatkozott arra, hogy a felperes egészségügyi intézményként nagy számban kezel a GDPR 9. cikke szerinti különleges adatokat, az ország egyik legnagyobb egészségügyi intézménye, és az egészségügyi adatokat főtevékenysége keretén belül kezeli, a GDPR 24. cikk (1) és (2) bekezdése és az Infotv. 25/A. § (1) és (2) bekezdései figyelembevételével szabályoznia kellett volna a belső incidenskezelési folyamatokat, mely szabályozással - a felperes által sem vitatottan - az adatvédelmi incidens bekövetkeztekor a felperes nem rendelkezett.
[46] A Kúria a felülvizsgálati kérelemnek az adatvédelmi bírság összegével kapcsolatos érvelését is alaptalannak találta. A felülvizsgálati kérelem a bírsággal összefüggésben nem tartalmaz olyan indokolást, amely az elsőfokú ítéletben értékelt mérlegelés kirívó okszerűtlenségét támasztaná alá. A közigazgatási bíróság a Kp. 85. § (5) bekezdése szerint értékelte a jogvita tárgyát képező határozatban szereplő bírság összegének meghatározását, melynek során figyelemmel volt a GDPR 83. cikk (2) bekezdése és a GDPR 148. és 150. preambulumbekezdésére is.
[47] A felülvizsgálati kérelem alaptalanul állította az Infotv. 60/A. § (1) bekezdése szerinti helyesen 150 napos határidő-túllépését is, ugyanis a hatósági eljárás 2019. május 24-én indult, az alperes felülvizsgálni kért határozata meghozatalának időpontja pedig 2019. október 24. volt.
[48] A fentiek alapján a Kúria megállapította, hogy a felülvizsgálni kért határozat a jogszabályoknak megfelel, az a Kúria közzétett határozatától sem tér el, ezért a Kúria a törvényszék ítéletének hatályban történő fenntartásáról rendelkezett a Kp. 121. § (2) bekezdése szerint.
(Kúria Kfv.II.37.701/2020.)
* * *
TELJES HATÁROZAT
Az ügy száma: Kfv.II.37.701/2020/5.
A tanács tagjai: Dr. Kovács András a tanács elnöke
Dr. Figula Ildikó előadó bíró
Dr. Rák-Fekete Edina bíró
A felperes:
A felperes képviselője: Dr. Haid Tibor kamarai jogtanácsos
Az alperes:
Az alperes képviselője: Dudás Hargita Zavodnyik Ügyvédi Iroda, dr. Dudás Gábor János ügyvéd
A per tárgya: adatvédelmi bírság tárgyában hozott közigazgatási határozat jogszerűségének vizsgálata
A felülvizsgálati kérelmet benyújtó fél: felperes
A felülvizsgálni kért jogerős határozat: Fővárosi Törvényszék 105.K.700.539/2019/16. számú ítélete
Rendelkező rész
A Kúria a Fővárosi Törvényszék 105.K.700.539/2019/16. számú ítéletét hatályában fenntartja.Kötelezi a Kúria a felperest, hogy 15 napon belül fizessen meg alperesnek 280.000,- (kétszáznyolcvanezer) forint felülvizsgálati perköltséget.
A 70.000,- (hetvenezer) forint felülvizsgálati illetéket az állam viseli.
Az ítélet ellen felülvizsgálatnak nincs helye.
I n d o k o l á s
A felülvizsgálat alapjául szolgáló tényállás
[1] 2019. február 12-én és 13-án a www.origo.hu internetes portálon megjelent két cikk, amelyben nyilvánosságra hozták, hogy D. M. országgyűlési képviselő ún. V.I.P. belépőt igényelt a Honvéd Kórház Speciális Rendeltetésű Centrum járóbeteg ellátásának igénybevételére. A portál nyilvánosságra hozta az igénylőlap szkennelt változatát is, amelyen az igénylő személyes adatai közül a nevén kívül minden személyes adat kitakarásra került.[2] A felperes fenntartója, a Honvédelmi Minisztérium a sajtóhírek alapján már 2019. február 14-én eseti adatvédelmi ellenőrzést rendelt el a felperesnél. A HM.2209-5/2019. nyilvántartási szám alatt jelentéssel zárult vizsgálat azt állapította meg, hogy a D. Márta kérelmének nyilvánosságra kerülése kapcsán nem állapítható meg, hogy a dokumentum a felperestől került volna a nyilvánosságra hozó, elektronikus sajtóorgánumhoz.
[3] D. M. panaszos az alpereshez panaszbeadvánnyal fordult, amelyre tekintettel az alperes 2019. május 24-én adatvédelmi hatósági eljárást indított a felperesnél. A megelőző eljárás során több alkalommal szólította fel a felperest kérdőív kitöltésére a tényállás tisztázása érdekében, melynek során a felperes többek között előadta, hogy 2019. február 13-án szerzett tudomást az adat nyilvánosságra hozásáról, és közölte, hogy az érintett magánszférájára gyakorolt kockázata terén azt alacsony fokozatúnak értékelte. Közölte azt is, hogy a GDPR 33. cikk (5) bekezdése szerinti nyilvántartásba vételre az incidens nem került. Az adatvédelmi incidens felperes részéről alperesnek történő bejelentésére végül 2019. június 3-án került sor.
[4] A megelőző eljárás során a felperes kérdésre azt is előadta, hogy ún. incidenskezelési szabályzat kidolgozása 2019. márciusban vette kezdetét, részletes szabályok 2019. májusra elkészültek, amely 2019. júniusban vezetői jóváhagyásra várt.
[5] A felperes a megelőző eljárás során megkereste az origo.hu üzemeltető céget a tényállás tisztázása érdekében, aki a megkeresésre választ nem adott.
[6] Az alperes 2019. október 24-én kelt NAIH/2019/2485/20. számú határozatával az adatvédelmi incidenssel kapcsolatban a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679. (EU) rendelet (a továbbiakban: GDPR) 32-34. cikkben foglalt kötelezettségek teljesítésének elmaradása tárgyában hivatalból megindított adatvédelmi hatósági eljárásban a felperest 2.500.000 forint adatvédelmi bírság megfizetésére kötelezte, egyrészt amiatt, hogy a felperes a panaszos kórházi igénylőlapjának nyilvánosságra kerülésével bekövetkezett adatvédelmi incidenssel összefüggésben nem tett eleget a GDPR 33. cikk (1) bekezdése szerinti, indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének, továbbá nem tett eleget a 33. cikk (5) bekezdése szerinti nyilvántartásba vételi kötelezettségének, másrészt a felperes azzal, hogy fő tevékenységként nagy számú egészségügyi adat kezelőjeként, továbbá honvédelmi célú adatkezelést is végző adatvédelmi tisztviselő kijelölésére is kötelezett szervként nem rendelkezett az adatvédelmi incidens bekövetkezésekor belső incidenskezelési szabályzattal, megsértette a GDPR 32. cikk (1) bekezdése, 24. cikk (1) és (2) bekezdése, valamint az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 25/A. § (1) és (2) bekezdésében foglaltakat, így nem alkalmazott az adatkezelés biztonsága körében megfelelő szervezési intézkedéseket.
[7] A határozat indokolása szerint a felperes bár 2019. február 13-án tudomást szerzett az adatvédelmi incidensről, azt csak 2019. június 3-án jelentette be e-mailben az Adatvédelmi Hatóságnak az incidensbejelentésre szolgáló formanyomtatvány használatával. Az alperes szerint a felperes általi hivatalos tudomásszerzésnek a 2019. február 13-i időpont minősül, azaz a GDPR 33. cikk (1) bekezdését a felperes megsértette. Az indokolás szerint a felperes jogsértő módon járt el akkor, amikor az adatvédelmi incidenst nem rögzítette belső incidens nyilvántartásában, mellyel megsértette a GDPR 33. cikk (5) bekezdését.
[8] A határozat indokolása szerint a felperes az adatvédelmi incidensről való tudomásszerzés időpontjában nem rendelkezett az adatvédelmi incidensek kezelésére vonatkozó belső eljárásrenddel, ez csak utólag került kialakításra. Az erre vonatkozó szabályzat részletes kidolgozására csak jóval az ügy tárgyát képező incidens és hatósági ellenőrzés megindítása után, 2019. májusban került sor. Az indokolás szerint a GDPR 32. cikk (1) bekezdése és 24. cikk (1) bekezdése alapján a felperesnek, mint adatkezelőnek kötelessége volt megfelelő technikai és szervezési intézkedéseket végrehajtani az adatkezeléssel kapcsolatban. Az adatkezelés biztonságát szolgáló megfelelő szervezési intézkedésnek tekinthető az, ha az adatkezelő az adatvédelmi incidensek kezelésére vonatkozó belső szabályzatokat alakít ki, és azt következetesen betartja. Az indokolás szerint a felperes tevékenységére és az általa kezelt adatok jellegére tekintettel kifejezetten elvárható lett volna, hogy a GDPR alkalmazandóságától, azaz 2018. május 25-étől rendelkezzen adatvédelmi incidensek kezelésére vonatkozó szabályzattal, hiszen a felperes az ország egyik legnagyobb egészségügyi intézménye, fő tevékenysége keretein belül nagy számban kezel a GDPR 9. cikk szerinti különleges egészségügyi adatokat is. Az ilyen érzékeny adatokat nagy számban kezelő intézménynél elvárható az indokolás szerint a belső szabályzat megléte általánosságban is, akkor is, ha jelen ügyben egyébként különleges adatokat az incidens nem érintett. A határozat indokolása az incidenskezelési szabályzattal összefüggésben megállapította azt is, hogy bár a panaszos személyes adatainak kezelése és igényjogosultság és igénylés tekintetében nem minősült honvédelmi célú, és a honvédségi adatkezelésről, az egyes honvédelmi kötelezettségek teljesítésével kapcsolatos katonai igazgatási feladatokról szóló 2013. évi XCVII. törvény (a továbbiakban: Haktv.) hatálya alá tartozó adatkezelésnek, a felperes azonban a honvédség személyi állományába tartozó érintettek személyes adatait is kezeli, ennek megfelelően a személyi állomány igényjogosulti kérelmeinek kezelésére az Info tv. 25/A. § (1) bekezdése is előírja, hogy az adatkezelőnek az adatkezelés jogszerűségének biztosítása érdekében az adatkezelés összes körülményéhez, így különösen céljához, valamint az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető kockázatokhoz igazodó műszaki és szervezési intézkedéseket kell tennie. Az indokolás szerint a felperes az adatbiztonság garantálásának részeként honvédelmi célú adatkezelést is folytató szervezetként az Info tv. 25/A. § (1) bekezdés előírásának sem tett eleget.
[9] A határozat indokolása a felperessel szemben alkalmazott bírsággal összefüggésben megjegyezte, hogy a figyelmeztetést nem tartja az adatvédelmi hatóság sem arányos, sem visszatartó erejű intézkedésnek. A bírság összege meghatározásánál utalt a GDPR 83. cikk (2) és (4) bekezdése rendelkezéseire, az Info tv. 75/A. §-a, és 61. § (5) bekezdésére, megállapítva, hogy az eset összes körülményét mérlegelve, figyelemmel arra, hogy a felperes az ország egyik legnagyobb egészségügyi intézménye, ezért tőle elvárható, hogy az adatkezelési folyamatokat megfelelően szervezze, és hogy a felperes nem csupán egy ügyfél esetében nem tartotta be a GDPR rendelkezéseit, hanem egyáltalán nem rendelkezett belső incidenskezelési szabályzattal, ami rendszerszintű problémának tekinthető - ellenben enyhítő körülményként értékelhető, hogy az incidens csupán egyetlen személy személyes adatait érintette, amelyek között különleges egészségügyi adat nem szerepelt, továbbá, hogy a felperes végül utólag bejelentette az adatvédelmi incidenst, és rögzítette azt a GDPR 33. cikk (5) bekezdése szerinti nyilvántartásában, és egyéb, az adatvédelmi incidenst követően a felettes szerv által előírt intézkedéseket is hozott a kockázatok csökkentése érdekében, és kialakította belső incidenskezelési szabályzatát - a rendelkező részben szereplő bírság összeget találta arányosnak.
A kereseti kérelem és védirat
[10] A felperes kereseti kérelmében elsődlegesen az alperes határozatának megváltoztatását kérte, annak megállapításával, hogy nem követte el az adatvédelmi jogsértést, és ezért a bírság megfizetésére és a határozat nyilvánosságra hozatalára történő kötelezés mellőzését indítványozta. Másodlagosan az alperes határozatának megsemmisítését, harmadlagosan annak hatályon kívül helyezését, negyedlegesen a határozat megváltoztatását a bírság összegének csökkentését indítványozta.[11] A kereseti kérelem érvelése szerint a perbeli incidens tárgyát képező adatkezelés honvédelmi célú adatkezelésnek minősül a Haktv. 8/F. §-a, GDPR 23. cikk (1) bekezdés b) pontja és az Info tv. 2. § (3) bekezdése szerint.
[12] A kereseti érvelés szerint a határozat jogsértő azért is, mert nem nyert bizonyítást, hogy az adatvédelmi incidens bekövetkezése az ő érdekkörében történt volna, ezáltal az incidens be nem jelentése sem róható fel neki. Állította, hogy a határozat sérti az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) 62. § tényállás-tisztázásra vonatkozó szabályát, ugyanis az alperes nem tárt fel olyan magatartást a felperesnél, amely az adatvédelmi incidens megtörténte megállapításához alapul szolgált volna.
[13] A kereseti kérelem szerint sem az Info tv., sem a GDPR nem ír elő olyan kötelezettséget számára, hogy incidenskezelési szabályzattal rendelkezzen. Vitatta, hogy ne tett volna eleget az Info tv. 25/A. § (1) bekezdésében foglalt előírásnak, és előadta, hogy rendelkezett belső adatvédelmi és adatbiztonsági szabályzattal, szerinte az elvárt eljárást lefolytatta, azonosította a kockázatokat és a kérdéses incidenst alacsony kockázatúnak minősítette.
[14] A kereseti kérelem szerint mivel a jogsértés nem volt bizonyított, így adatvédelmi bírság kiszabásának sem volt jogalapja. A kiszabott bírság összegét eltúlzottnak tekintette, állítva, hogy a jogsértéssel érintettek köre kicsi volt, a jogsértés nem volt neki felróható, és szerinte nem lehetett volna figyelembe venni a határozat szerinti incidenshez képest később bekövetkezett incidenst a bírság kiszabásakor.
[15] Az alperes védiratában a kereseti kérelem elutasítását kérte, hivatkozva arra, hogy a tényállás kellő mértékben feltárásra került, a rendelkezésre álló bizonyítékokat az adatvédelmi hatóság okszerűen mérlegelte.
[16] A védirat szerint a felperes alaptalanul hivatkozott a GDPR alkalmazhatóságának hiányára a kérdéses személyi adat kezelésével összefüggésben, ugyanis a Haktv. 8/F. §-a nem vonatkoztatható a perbeli ügy panaszosához, melyet megerősít a Haktv. 16. melléklete, mely a kezelendő adatok között sorolja fel a rendfokozatot, ami egy nem honvédségi állományba tartozó civil személy esetében értelmezhetetlen.
[17] Az eset összes körülményei, különösen a felperes fenntartójának ellenőrzése megállapításai, a felperes utólagos incidensbejelentése, a panaszos igénylőlapjának szervezeten belüli mozgása alapján valószínűsíthető, hogy a felperesnél bekövetkezett biztonsági eseményre vezethető vissza az adatvédelmi incidens.
[18] Az Info tv. 25/A. § (1) és (2) bekezdései, illetve a GDPR 24. cikk (1) és (2) bekezdései kötelezővé teszik a technikai és szervezési intézkedések részeként megfelelő belső adatvédelmi szabályzat alkalmazását, amennyiben az adatkezelési tevékenység vonatkozásában ez arányos, és az Info tv. 25/A. § (3) bekezdése még egyértelműbb kötelezést tartalmaz a megfelelő belső szabályzatok megalkotására.
[19] A védirat a bírságot érintő felperesi érveléssel összefüggésben hivatkozott arra, hogy az adatvédelmi hatóság az érintettek számát enyhítő körülményként értékelte, a felróhatóság hiánya pedig nem volt figyelembe vehető, ugyanis a felperestől elvárható lett volna a határozat szerint a rendszerszintű probléma megfelelő kezelése, és a korábban elkövetett jogsértés figyelembevételének célja, hogy egy ismétlődően előforduló magatartás esetén értékelésre kerüljön az a tény, hogy az adott jogsértés több ízben is felmerült egy vállalkozásnál.
A közigazgatási bíróság ítélete
[20] A törvényszék a felperesek kereseti kérelmét alaptalannak találta, ezért a közigazgatási perrendtartásról szóló 2017. évi I. törvény (a továbbiakban: Kp.) 88. § (1) bekezdés a) pontja alapján, mint alaptalant elutasította.[21] Az ítélet indokolása szerint a törvényszék először azt vizsgálta, hogy a perbeli adatkezelésre alkalmazandóak-e a GDPR rendelkezései, és megállapította, hogy függetlenül attól, hogy a felperes adatkezelésére kiterjed a Haktv., valamint az Info tv. hatálya, az alperesnek elsődlegesen a GDPR szabályait kellett alkalmaznia az eljárása során.
[22] Megállapította, hogy önmagában az a tény, hogy a panaszos igénylőlapja nyilvánosságra került és eljutott a sajtóhoz, megvalósult az adatvédelmi incidens GDPR 4. cikk 12. pontja szerinti fogalma. Az indokolás szerint mivel a jogszabály a felperesre, mint adatkezelőre telepítette az adat őrzésének a kötelezettségét, ezért amennyiben az adat kikerül, nincs relevanciája annak, hogy az hogyan került a sajtóhoz, azaz az alperesnek nem kellett bizonyítania, hogy milyen módon került az ki a felperestől. A tényállást a bíróság kellően tisztázottnak találta, azaz megállapította, hogy az alperes nem sértette meg az Ákr. 62. §-át. Az ítélet indokolása szerint a felperes felelőssége a jogvitára okot adó helyzethez kapcsolódóan objektív jellegű volt.
[23] Az indokolás szerint mivel a felperes nem ismerte fel az adatvédelmi incidenst, így nem készített róla nyilvántartást, azaz az alperes helytállóan állapította meg, hogy a felperes megsértette a GDPR 33. cikk (5) bekezdését.
[24] A határozat helyesen állapította meg a GDPR 33. cikk (1) bekezdése megsértését az adatvédelmi incidenskésedelmes bejelentése miatt, és az alperes helyesen mutatott arra is rá, hogy a bejelentési kötelezettség alóli kivétel szűken értelmezendő és az egészségügyi szolgáltatás igénylése tényének kiszivárgása, valamint az igénylőlap sajtó általi megjelentetése önmagában kockázattal jár a panaszos magánszférájára nézve, azaz a bejelentés alóli kivétel nem volt alkalmazható.
[25] Mivel a felperes által sem vitatottan a perbeli incidens megtörténtekor nem rendelkezett úgynevezett incidenskezelési szabályzattal, ezáltal egyrészt a GDPR 24. és 32. cikkét, másrészt honvédelmi célú adatkezelést folytató adatkezelőként az Info tv. 25/A. § (1) és (3) bekezdését is megsértette. Kiemelte, hogy a felperes egészségügyi intézményként nagy számban kezel a GDPR 9. cikke szerinti különleges adatokat, ezért mindenképpen arányosnak tekinthető a felperes adatkezelési tevékenységéhez képest a belső adatvédelmi szabályzat megkövetelése, ha nem is külön szabályzatként, de legalább adatvédelmi szabályzat részeként az incidenskezelési folyamatokat szabályozó dokumentumként.
[26] Az indokolás szerint a felperes jogsértésére figyelemmel az Info tv. 61. § (1) bekezdés a) pontja folytán alkalmazandó GDPR 58. cikk (2) bekezdésében írt jogkövetkezmények alkalmazására jogszabályi rendelkezésekkel összhangban került sor.
[27] Az ítélet érvelése szerint az alperes a határozatában megfelelően indokolta, hogy miért tartotta szükségesnek a felperessel szemben figyelmeztetés helyett bírság kiszabását, és a figyelembe vett szempontok alapján okszerűen jutott arra a következtetésre, hogy a bírságkiszabás feltételei fennálltak. Az indokolás szerint a GDPR széleskörű mérlegelési jogkört biztosít az alperesnek a bírság összege megállapítására vonatkozóan, mely mérlegelési jogkör gyakorlásához a GDPR (148.) és (150.) preambulumbekezdése, valamint a GDPR 83. cikk (2) bekezdése ad útmutatást, amely példálózó jelleggel sorolja fel a hatóság által figyelembe veendő szempontokat. Az indokolás szerint a hatóság- a Kp. 85. § (5) bekezdését is figyelembe véve - a releváns körülményeket megfelelően értékelte, mérlegelte, erről határozatában megfelelő jogszabályi hivatkozásokkal számot adott, az indokolásból a mérlegelés szempontjai megállapíthatóak voltak.
A felülvizsgálati kérelem és ellenkérelem
[28] A felperes az ítélettel szemben felülvizsgálati kérelmet terjesztett elő, amelyben elsődlegesen a törvényszék ítéletének hatályon kívül helyezését és a bíróság új eljárás lefolytatására, új határozat hozatalára kötelezését, másodlagosan a törvényszék ítéletének megváltoztatását, és az alperes határozatának -az alperes új eljárásra kötelezése melletti - megsemmisítését kérte.[29] A felülvizsgálati kérelmében a felperes lényegében megismételte a kereseti kérelmében előadottakat, és a törvényszék ítéletét az alábbiak miatt találta jogsértőnek.
[30] A felülvizsgálati kérelem szerint az ítélet indokolása [24] bekezdése helytelenül állapította meg az alkalmazandó jogszabályt, és a felperes álláspontja szerint a Haktv. 8/F. §-ból következően - figyelemmel a GDPR 23. cikk (1) bekezdés b) pontja, és az Info tv. 2. § (3) bekezdésére is- a perbeli esetben értékelt adatkezelést és az azzal kapcsolatos incidenst honvédelmi célú adatkezelésként kellett volna értékelni. A felperes szerint az alperes Haktv. 16. számú melléklet 5. pontjára történő hivatkozása téves, ugyanis a Haktv. sehol nem rendelkezik arról, hogy csak azon személyek vonatkozásában alkalmazandó a Haktv. 8/F. §-a, akik a 16. számú melléklet 5. pontjában felsorolt adatok mindegyikével rendelkeznek. A felperes szerint az alperesnek az Info tv. rendelkezéseit kellett volna vizsgálni, mivel azonban az eljárás és a határozat a GDPR-on alapul, a határozatot a bíróságnak a Kp. 92. § (1) bekezdés alapján meg kellett volna semmisítenie.
[31] Az ítélet jogsértő módon hagyta figyelmen kívül az Ákr. 62. §-a tényállás-tisztázásra vonatkozó szabályai megsértését, és jogsértő az ítélet [26] bekezdésének azon állítása, hogy a felperes adatkezeléssel összefüggő felelőssége objektív jellegű. Ez az ítéleti megállapítás a felperes szerint a GDPR 4. cikk 12. pontja, 77. cikk (1) bekezdése, és 83. cikk (1) és (2) bekezdése szabályaiba is ütközik. A felperes érvelése szerint az adatkezelő magatartása és az adatvédelmi incidens között összefüggés kell, hogy legyen, ennek hiányában az adatvédelmi incidens nem is lett volna szankcionálható, azaz az adatkezelő felelőssége az adatvédelmi incidens bekövetkezéséért nem objektív.
[32] Az Info tv. sem a 25/A. §-a, sem a GDPR, annak 33-34. cikkei, és annak (85.) és (87.) preambulumbekezdései nem írják elő számára kötelezően az incidenskezelési szabályzat készítésének kötelezettségét.
[33] A törvényszék ítélete jogsértő módon állapította azt meg, hogy a határozatban meghatározott szankció jogszerű mérlegelés eredménye, ugyanis a felperes szerint a bírság mértéke eltúlzott volt, hiányos tényállás miatt a figyelembe veendő körülmények alapján megalapozatlan, nem került kellő súllyal értékelésre az, hogy a sérelem nem súlyos, ugyanis az érintettnek csak a neve lett közzétéve, csak egyetlen személyt érintett, és nem értékelték, hogy az adatkezelő minden szükséges technikai intézkedést foganatosított. Hivatkozott a felülvizsgálati kérelem arra is, hogy csak a korábban elkövetett jogsértést lehetett volna figyelembe venni a GDPR 83. cikke szerint. A felülvizsgálati kérelem megemlítette, hogy az Info tv. 60/A. § (1) bekezdése szerinti határidőt túllépték.
[34] Az alperes felülvizsgálati ellenkérelmében az elsőfokú ítélet hatályában történő fenntartását indítványozta. Érvelése szerint a felperes alaptalanul állította a GDPR alkalmazhatatlanságát, ugyanis a panaszos nem tartozott a honvédségi állományba, ezért rá nem vonatkozott a Haktv. sem.
[35] A felülvizsgálati ellenkérelem szerint a felperes alaptalanul állította a tényállás feltáratlanságát és annak bizonyítása hiányát, mely szerint a felperes magatartása miatt került sor az incidensre. Hivatkozott arra, hogy egyrészt a közigazgatási eljárásokban nem a kétséget kizáró bizonyítási mérce érvényesül, és az Ákr. 62. § (4) bekezdése szerint a hatóságnak a bizonyítékokat szabad meggyőződése szerint kell értékelnie, másrészt az alperes a rendelkezésére álló bizonyítékokat helyesen értékelte, köztük a felperes fenntartójának ellenőrzése megállapításait is. Az alperes szerint az adatvédelmi incidenst nem elkövette valamely személy, hanem az bekövetkezett. A felperes kötelezettsége az adatok oly módon való kezelése, hogy az incidens ne következzen be, mely perbeli esetben nem valósult meg.
[36] Az alperes érvelése szerint az Info tv. 25/A. § (1) és (2) bekezdései, illetve a GDPR 24. cikk (1) és (2) bekezdései szerint megfelelő technikai és szervezési intézkedéseket (például szabályzat kialakítása) kell az adatkezelőnek végrehajtania a kezelt adatot biztonsága érdekében, és mivel az incidensek az adatok biztonságát leginkább sértő események, ezért az alperes szerint ezek kezelésére vonatkozó szabályzat elengedhetetlen. Hivatkozott arra, hogy mivel a felperesnél kijelölésre került adatvédelmi tisztviselő az Info tv. 25/A. § (3) bekezdése még egyértelműbb kötelezést tartalmaz a megfelelő belső szabályzatok megalkotására.
[37] A felperes felülvizsgálati kérelmének bírságot érintő része nem tartalmaz olyan indokolást, ami az elsőfokú ítéletben foglalt mérlegelés kirívóan okszerűtlen voltát támasztaná alá. Az alperes az enyhítő körülményeket értékelte, a felróhatóság hiánya nem volt figyelembe vehető, a szándékosság pedig nem volt a felperes terhére róva, a korábban elkövetett jogsértés figyelembevételének célja pedig az ismétlődően előforduló magatartások értékelése.
A Kúria döntése és jogi indokai
[38] A Kúria a felperes felülvizsgálati kérelmét a Kp. 118. § (1) bekezdés a) pontja alkalmazásával befogadta, a joggyakorlat egysége és továbbfejlesztése biztosítása érdekében.[39] A Kúria a Kp. 115. § (2) bekezdése alapján alkalmazandó Kp. 108. § (1) bekezdés szerint a jogerős ítéletet a felülvizsgálati kérelem és felülvizsgálati ellenkérelem keretei között vizsgálta felül. Megállapította, hogy a közigazgatási bíróság a rendelkezésére álló adatokból és bizonyítékokból a tényállást helyesen rögzítette, az alkalmazandó jogszabályokat helyesen hivatkozta, és az alkalmazandó jogszabályok helyes értelmezéséből, az azokból levont jogi következtetéssel is egyetért, és csak a felülvizsgálati kérelem és ellenkérelemre tekintettel jegyzi meg az alábbiakat.
[40] A felperes felülvizsgálati kérelme megalapozatlanul hivatkozott a GDPR alkalmazhatóságának hiányára. Civil személyek egészségügyi ellátásához kapcsolódó adatkezelés, amely nem honvédelmi kötelezettséggel függ össze, nem tekinthető a Haktv. hatálya alá tartozónak. A GDPR 23. cikk (1) bekezdés b) pontja "honvédelem" tárgyában teszi lehetővé a GDPR szabálya alóli kivételek alkalmazását. Az Info tv. 2. § (3) bekezdése a honvédelmi célú adatkezelésre rendeli alkalmazni az Info tv-t. A közigazgatási jogvitában értékelt, a panaszos részéről egy kórház járóbeteg ellátásának igénybevételére vonatkozó kérelem benyújtása sem a kérelmet benyújtó személye okán, sem a kérelem tartalma miatt nem tartozik a honvédelmi célú adatkezelések körébe.
[41] A felülvizsgálati kérelem a tényállás tisztázatlanságára, és az alperes oldalán az adatvédelmi incidenssel összefüggésben felmerülő bizonyítási kötelezettség megsértésére is alaptalanul hivatkozott. A rendelkezésre álló adatokból megállapítható, hogy a megelőző eljárás során a tényállás tisztázása érdekében az alperes milyen eljárási cselekményeket foganatosított. A közigazgatási iratok között fellelhetőek azok a válaszok, amelyet az alperes megkeresésére a felperes adott. Rendelkezésre áll a felperes fenntartójának az adatvédelmi incidenssel összefüggésben készült HM 2209-5/2019Nyt számú jelentése is.
[42] A Kúria a felülvizsgálati kérelemmel összefüggésben fontosnak tartja hangsúlyozni, hogy az adatvédelmi hatósági eljárás tárgya az adatvédelmi incidens felperes általi kezelése, annak jogszabályoknak megfelelő kezelése, ellenőrzése volt. Az érintett személy igénylőlapjának kikerülése önmagában megvalósítja az adatvédelmi incidenst. Azonban a felperes bírságolására nem az adatvédelmi incidens bekövetkezése miatt került sor, hanem az adatvédelmi incidens bekövetkezéséhez kapcsolódóan egyrészt bejelentési kötelezettsége GDPR 33. cikk (1) bekezdésében foglalt kötelezettség megsértése, és annak nyilvántartásba vétele elmaradása miatt, mely utóbbi a GDPR 33. cikk (5) bekezdése sérelmét jelenti. Ezt a két jogsértést, azaz a bejelentési kötelezettség megsértését, és a nyilvántartásba vételi kötelezettség megsértését a felülvizsgálati kérelemben a felperes nem is vitatta.
[43] A bírság kiszabását megalapozó másik körülmény, az adatvédelmi incidens bekövetkezése esetén követendő eljárási rend szabályozásának hiánya pedig ténykérdés, a felperes az eljárás folyamán nem vitatta azt, hogy ilyen szabályzattal nem rendelkezett, hiszen a megelőző eljárásban az alperes által feltett kérdésekre maga adta azt a választ, hogy az incidenskezelési szabályzat kidolgozása 2019. márciusban vette kezdetét, és a részletes szabályok bár 2019. júniusban már elkészültek, de az még nem került vezetői szinten jóváhagyásra.
[44] A felülvizsgálati kérelem alaptalanul hivatkozott arra, hogy jogsértő módon kérte az adatvédelmi hatóság számon tőle az incidenskezelési szabályzat hiányát, és alaptalanul állította, hogy az az Info tv. 25/A. §-a és a GDPR 33-34. cikkeiből nem következik. A Kúria szerint a határozat indokolásából megállapítható, hogy az alperes nem konkrétan egy incidenskezelési szabályzat elnevezésű dokumentum hiányát állította jogsértésként, hanem annak hiányát állapította meg, hogy a felperes az incidensről való tudomásszerzés időpontjában még nem rendelkezett az adatvédelmi incidensek kezelésére vonatkozó belső eljárási renddel, amely csak utólag került kialakításra.
[45] Mind az alperes határozata, mind az ítélet, és az alperesi felülvizsgálati ellenkérelem helyesen hivatkozott arra, hogy a felperes egészségügyi intézményként nagy számban kezel a GDPR 9. cikk szerinti különleges adatokat, az ország egyik legnagyobb egészségügyi intézménye, és az egészségügyi adatokat főtevékenysége keretén belül kezeli, a GDPR 24. cikk (1) és (2) bekezdése és az Info tv. 25/A. § (1) és (2) bekezdései figyelembevételével szabályoznia kellett volna a belső incidenskezelési folyamatokat, mely szabályozással - a felperes által sem vitatottan - az adatvédelmi incidens bekövetkeztekor a felperes nem rendelkezett.
[46] A Kúria a felülvizsgálati kérelemnek az adatvédelmi bírság összegével kapcsolatos érvelését is alaptalannak találta. A felülvizsgálati kérelem a bírsággal összefüggésben nem tartalmaz olyan indokolást, amely az elsőfokú ítéletben értékelt mérlegelés kirívó okszerűtlenségét támasztaná alá. A közigazgatási bíróság a Kp. 85. § (5) bekezdése szerint értékelte a jogvita tárgyát képező határozatban szereplő bírság összegének meghatározását, melynek során figyelemmel volt a GDPR 83. cikk (2) bekezdése és a GDPR (148.) és (150.) preambulumbekezdésére is.
[47] A felülvizsgálati kérelem alaptalanul állította az Info tv. 60/A. § (1) bekezdése szerinti helyesen 150 napos határidő-túllépését is, ugyanis a hatósági eljárás 2019. május 24-én indult, az alperes felülvizsgálni kért határozata meghozatalának időpontja pedig 2019. október 24. volt.
[48] A fentiek alapján a Kúria megállapította, hogy a felülvizsgálni kért határozat a jogszabályoknak megfelel, az a Kúria közzétett határozatától sem tér el, ezért a Kúria a törvényszék ítéletének hatályban történő fenntartásáról rendelkezett a Kp. 121. § (2) bekezdése szerint.
A döntés elvi tartalma
[49] Civil személyek nem honvédelmi kötelezettséggel összefüggő egészségügyi ellátásához kapcsolódó - Honvéd Kórház által végzett - adatkezelés nem minősül honvédelmi célú adatkezelésnek.[50] A GDPR 9. cikk szerinti egészségügyi adatokat fő tevékenysége keretén belül kezelő egészségügyi intézménynek rendelkeznie kell olyan belső adatkezelési szabályzattal, amely az adatvédelmi incidens bekövetkezése esetén követendő eljárásrendet szabályozza.
Záró rész
[51] A Kúria a felülvizsgálati eljárásban pernyertes alperesnek járó perköltség megfizetésére a Kp. 35. § (1) bekezdése alapján alkalmazandó Pp. 83. § (1) bekezdése alapján a felperest kötelezte.[52] A perköltség összegét a csatolt költségjegyzék, valamint ügyvédi megbízási szerződés figyelembevételével a bírósági eljárásban megállapítható ügyvédi költségekről szóló 32/2003. (VIII.22.) IM rendelet 2. § (1) bekezdés a) pontja alapján határozta meg.
[53] A Kúria döntése elleni felülvizsgálatot a Kp. 116. § (4) bekezdése zárja ki.
Budapest, 2021. január 19.
Dr. Kovács András s.k. a tanács elnöke, Dr. Figula Ildikó s.k. előadó bíró, Dr. Rák-Fekete Edina s.k. bíró
(Kúria Kfv.II.37.701/2020.)