adozona.hu
BH 2021.11.320
BH 2021.11.320
Az adatvédelmi hatóság eljárására az Infotv. százhúsz napos ügyintézési határidőt biztosít, amennyiben ezt a hatóság több mint kétszeresen túllépi, akkor bírság szankciót nem alkalmazhat [2011. évi CXII. törvény (Infotv.) 60/A. §, 2016. évi CL. törvény (Ákr.) 2. §, 103. § (4) bek.].
Kiválasztott időállapot:
- Kibocsátó(k):
- Jogterület(ek):
- Tipus:
- Érvényesség kezdete:
- Érvényesség vége:
MIRŐL SZÓL EZ A JOGSZABÁLY?
[1] A perben nem álló természetes személy (a továbbiakban: érintett) az alperesi hatósághoz 2018. augusztus 9-én érkezett beadványában a felperes adatkezelési gyakorlatát kifogásolta.
[2] Az alperes vizsgálati eljárást indított, amelyről a 2018. október 11-én kelt iratában tájékoztatta a felperest. Ezt követően az alperes hivatalból adatvédelmi eljárást indított, amiről a 2018. november 19-én hozott végzésében értesítette a felperest, egyben nyilatkozattételre hívta fel. A felperes nyilatkoz...
BH 2021.11.320 Az adatvédelmi hatóság eljárására az Infotv. százhúsz napos ügyintézési határidőt biztosít, amennyiben ezt a hatóság több mint kétszeresen túllépi, akkor bírság szankciót nem alkalmazhat [2011. évi CXII. törvény (Infotv.) 60/A. §, 2016. évi CL. törvény (Ákr.) 2. §, 103. § (4) bek.].
A felülvizsgálat alapjául szolgáló tényállás
[1] A perben nem álló természetes személy (a továbbiakban: érintett) az alperesi hatósághoz 2018. augusztus 9-én érkezett beadványában a felperes adatkezelési gyakorlatát kifogásolta.[2] Az alperes vizsgálati eljárást indított, amelyről a 2018. október 11-én kelt iratában tájékoztatta a felperest. Ezt követően az alperes hivatalból adatvédelmi eljárást indított, amiről a 2018. november 19-én hozott végzésében értesítette a felperest, egyben nyilatkozattételre hívta fel. A felperes nyilatkozata 2018. december 12-én érkezett meg az alpereshez. A továbbiakban az alperes felhívására a felperes két újabb nyilatkozatot tett, ezek 2019. március 15-én és 2019. március 21-én kerültek érkeztetésre a hatóságnál.
[3] Az alperes a 2020. június 11-én hozott végzésével az érintett részére ügyféli jogállást biztosított és az ügyben keletkező iratokat megküldte a részére.
[4] Az alperes a 2020. július 15-én kelt NAIH/2020/1581/6. számú határozata rendelkező része 1. pontjában a felperes terhére jogsértéseket állapított meg, a 2. pontjában meghatározott cselekményre utasította a felperest, míg a 3. pontjában az l. pontban megállapított jogellenes adatkezelés miatt a felperest a határozat véglegessé válásától számított harminc napon belül 5 000 000 forint adatvédelmi bírság megfizetésére kötelezte.
[5] Az alperesi határozat rendelkező részének III. 4. pontja tartalmazza a jogkövetkezmények körében elfoglalt alperesi álláspontot.
[6] Az alperes megvizsgálta, hogy indokolt-e a felperessel szemben adatvédelmi bírság kiszabása. E körben a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló 2016/679. európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 83. cikk (2) bekezdése alapján mérlegelte az ügy összes körülményét. Megállapította, hogy az eljárás során feltárt jogsértés esetében a figyelmeztetés nem arányos és visszatartó szankció, ezért bírság kiszabása szükséges.
[7] Az alperes a bírságkiszabás körében súlyosbító körülményt nyolc pontban, míg enyhítő körülményt egy pontban vett figyelembe. A bírság összegét a jogszabályon alapuló mérlegelési jogkörében eljárva határozta meg.
A kereseti kérelem
[8] A felperes keresetében elsődlegesen a határozat bírságot kiszabó részében történő megsemmisítését, másodlagosan - a bírság jelentős mérséklése mellett - a határozat megváltoztatását kérte.[9] Kifejtette, hogy az alperes adatvédelmi hatósági eljárása a jogszabályban meghatározott 120 nap helyett 604 napig tartott, az ügyintézési határidő ötszörösen került túllépésre. Az alperes az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) 1. §-a, 2. § (1) bekezdése, 4. §-a és 103. § (4) bekezdése alapján bírságkiszabást nem alkalmazhatott volna; a GDPR 58. cikk (4) bekezdése, 83. cikk (8) bekezdése, valamint a (129) és (148) preambulumbekezdése értelmében az alperesnek meg kellett tartania a magyar jogban foglalt eljárási garanciákat.
Az elsőfokú ítélet
[10] A törvényszék jogerős ítéletében az alperes határozatának a felperest 5 000 000 forint adatvédelmi bírság megfizetésére kötelező 3. pontját megsemmisítette. Az indokolásban felhívta a GDPR 58. cikk (4), 83. cikk (8) bekezdését, (129) preambulumbekezdés negyedik mondatát, a (148) preambulumbekezdés utolsó mondatát; az Ákr. 2. § (1), 8. § (2), 103. § (4) bekezdését; az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 2. § (2), 60/A. § (1) bekezdését, továbbá a közigazgatási perrendtartásról szóló 2017. évi I. törvény [a továbbiakban: Kp.] 4. § (1), (3) és 85. § (1), (3) bekezdését.[11] Az indokolás szerint az alperes nem vitatta, hogy a 2018. november 19-től 2020. július 15-ig tartó eljárásban az ügyintézési határidőt több mint kétszeresen túllépte, de állította, mivel a GDPR ilyen esetben nem tartalmaz rendelkezést a bírság elengedésére, az uniós jog elsőbbsége folytán az Ákr. 103. § (4) bekezdése nem alkalmazható.
[12] A törvényszék rámutatott, az Ákr. az adatvédelmi hatósági eljárásra is irányadó, figyelemmel az Ákr. 8. § (2) bekezdésére. Az Ákr. a IV. fejezetben - a hatóság döntésére vonatkozó rendelkezések között - helyezi el a bírságkiszabásra vonatkozó szabályokat, míg a VII. fejezetben a - hivatalbóli eljárás szabályai között - rögzíti, hogy az ügyintézési határidő túllépése a bírságkiszabás akadályát képezi. A jogalkotó tehát különválasztotta a két rendelkezést; nem a bírság kiszabása körében értékelendő a hatósági jogsértés, hanem a hatóság döntési jogkörének a tartalmát korlátozza azáltal, hogy az ügyintézési határidő kétszeresének jogellenes túllépése esetén is megállapíthatja az ügyfél jogsértésének tényét, a jogellenes magatartás megszüntetésére, vagy a jogszerű állapot helyreállítására is kötelezhet, de egyéb szankció - közöttük a bírság - alkalmazására nincs joga.
[13] Hasonlóan, a bírságkiszabás szabályait rendező GDPR 83. cikke sem tartalmazza a hatóság eljárási jogsértésének értékelési szempontjait, mert az a kérdés, hogy a tagállami adatvédelmi hatóság megtartotta-e a rá irányadó eljárási határidőket, a GDPR alkalmazásában sem bírság összegének mérlegelésére tartozó kérdés.
[14] A GDPR primátusa - figyelemmel az 58. cikk (4) bekezdésére, és a kiemelt preambulumbekezdésekre is - mindezek alapján a GDPR alapján folytatott eljárásokban sem zárja ki az Ákr. 103. § (4) bekezdésének alkalmazhatóságát.
A felülvizsgálati kérelem és ellenkérelem
[15] A jogerős ítélet ellen az alperes terjesztett elő felülvizsgálati kérelmet, annak az alperesi határozat felperest adatvédelmi bírság megfizetésére kötelező 3. pontját megsemmisítő részében való hatályon kívül helyezésére és a kereset teljes körű elutasítása iránt.[16] Érvelése szerint a törvényszék ítéletében téves és jogszabálysértő jogkövetkeztetést vont le, megsértve a GDPR 51. cikk (1), (2) bekezdését, 57. cikk (1) bekezdés a) pontját, 58. cikk (2) bekezdés i) pontját, 83. cikk (1), (2) bekezdését, továbbá az Alaptörvény 28. cikkét.
[17] Az alperes nem vitatta, hogy túllépte az ügyintézési határidőt, ugyanakkor véleménye szerint az Ákr. 103. § (4) bekezdése jelen eljárásban nem alkalmazható, mivel a bírság körében a GDPR 83. cikk (2) bekezdése, valamint az Infotv. 75/A. §-a jelöli ki az eljárás kereteit. Továbbá a GDPR 83. cikk (2) bekezdése szerint a bírság kapcsán vizsgálandó körülmények tekintetében az eljárási határidő túllépése nem mérlegelhető tény.
[18] A törvényszék fentiekkel ellentétes álláspontja figyelmen kívül hagyta, hogy egyrészt az uniós jog mint belső jog nem illeszkedik bele a hazai jogforrási hierarchiába, mint független, autonóm jogrend került meghatározásra. Másrészt az uniós jognak alkalmazási elsőbbsége van a tagállami joggal szemben. Harmadrészt az uniós jog elsőbbsége elvének alapján az uniós jog a tagállamok nemzeti jogai felett áll, amennyiben a közösségi jog valamely normája és a tagállam nemzeti joga ellentétes, a bíróság a közösségi jogba ütköző hazai jogszabály helyett a közösségi normát kötelesek alkalmazni.
[19] Az alperes rámutatott, az alperest jogsértés esetén közigazgatási bírság kiszabására is feljogosító, illetve az alperest az uniós jogszabály alkalmazásának ellenőrzésére, a jogsértések hatékony visszatartó erejű szankcionálására kötelező GDPR mint általános hatállyal bíró, teljes egészében kötelező és közvetlenül alkalmazandó uniós rendelet a jogforrási hierarchiában magasabb szinten áll az Ákr.-nél, így értelemszerűen szűkítheti az Ákr. alkalmazási körét.
[20] A GDPR mint közvetlenül alkalmazandó uniós jogi aktus hagy ugyan bizonyos mozgásteret a tagállamoknak belső szabályok alkotására, ezek azonban nem ronthatják le teljes egészében a GDPR alkalmazását. Ezzel szemben az Ákr. 103. § (4) bekezdése olyan kategorikus szabály, amely a GDPR-ban nem említett esetekben és mérlegelési szempont meghaladó körben eltérést nem engedően nem enged bírságot kiszabni, tehát ellentétes a GDPR-ral.
[21] Az elsőfokú bíróság sem a GDPR, sem az Ákr. 103. § (4) bekezdését nem azok céljával összhangban értelmezte, megsértve az Alaptörvény 28. cikkének értelmezési alapelvét.
[22] Az alperes indítványozta, hogy a Kúria a Kp. 34. § a) pontja alapján kezdeményezze az Európai Unió Bírósága (a továbbiakban: EUB) előzetes döntéshozatali eljárását annak tisztázása érdekében, hogy ellentétes-e a GDPR 58. cikk (2) bekezdés i) pontjával és 83. cikkének (1)-(2) bekezdésével az a tagállami szabályozás [Ákr. 103. § (4) bekezdése], amely szerint, ha a hatóság a hivatalbóli eljárásban az ügyintézési határidőt kétszeresen túllépi, a jogsértés tényének megállapításán és a jogellenes magatartás megszüntetésére vagy a jogszerű állapot helyreállítására kötelezésén túl egyéb jogkövetkezményt nem alkalmazhat.
[23] Véleménye szerint a kérdés a per szempontjából releváns, az EUB-nak nincs ebben a kérdésben kialakult ítélkezési gyakorlata, valamint a közösségi jog helyes alkalmazása nem nyilvánvaló e vonatkozásban.
[24] A felperes felülvizsgálati ellenkérelmében az ítélet hatályában tartását indítványozta.
[25] Kiemelte, a GDPR 58. cikk (4) bekezdése, 83. cikk (8) bekezdése és (129), valamint (148) preambulumbekezdések alapján az alperesnek meg kell tartania a magyar eljárási jogban foglalt garanciákat a jogforrási hierarchia ellenére is. Az Ákr. 2. § (2) bekezdés c) pontja szerint az egyik eljárási garancia az eljárási jogszabályban meghatározott határidőn belül történő befejezés. Ezt a követelményt nevesíti a GDPR (129) preambulumbekezdése is. Az Ákr. 103. § (4) bekezdése tovább konkretizálja ezt az Ákr. 2. § (2) bekezdés c) pontjában rögzített alapelvet azáltal, hogy korlátozást állít fel arra az esetre, ha a hatóság a határidő kétszeresét túllépve fejezi be az eljárását. Ebben az esetben nincs lehetőség bírság kiszabására.
[26] A felperes szerint mellőzendő az előzetes döntéshozatali eljárás kezdeményezése, mert a közösségi jog helyes alkalmazása jelen esetben nyilvánvaló.
A Kúria döntése és jogi indokai
[28] A felülvizsgálati kérelem alaptalan.[29] A Kp. 120. § (5) bekezdésére figyelemmel a felülvizsgálati eljárásban bizonyítás felvételének nincs helye, a Kúria a felülvizsgálati kérelem elbírálása során a jogerős határozat meghozatalakor rendelkezésre álló iratok és bizonyítékok alapján dönt.
[30] A Kúria álláspontja szerint az elsőfokú bíróság a pontosan és törvényesen megállapított tényállásból helytálló jogi következtetést vont le. A jogerős ítéletben foglaltakkal a felülvizsgálati bíróság egyetért, a felülvizsgálati kérelmet elbírálva az alábbiakat fejti ki.
[31] Az Ákr. 8. §-a határozza meg az általános és különös eljárási szabályok viszonyát. A 8. § (1) bekezdése rögzíti az Ákr. hatálya alól kivett eljárásokat, ezek között az adatvédelmi eljárást nem jelöli meg, vagyis az adatvédelmi ügyekre az Ákr. hatálya kiterjed.
[32] Az Ákr. 8. § (2) bekezdése értelmében az (1) bekezdésben nem említett közigazgatási hatósági eljárásokra vonatkozó jogszabályok e törvény rendelkezéseitől csak akkor térhetnek el, ha ezt e törvény megengedi.
[33] Az Ákr. 50. §-a tartalmazza az ügyintézési határidőre és annak számítására irányadó rendelkezéseket. Az 50. § (2) bekezdés c) pontja szerint az ügyintézési határidő teljes eljárásban hatvan nap. Az 50. § (3) bekezdése kimondja, a (2) bekezdés c) pontjában meghatározott ügyintézési határidőnél hosszabb határidőt törvény, rövidebb határidőt jogszabály állapíthat meg.
[34] Az Infotv. 60/A. § (1) bekezdése - az Ákr. 50. § (3) bekezdésében írt felhatalmazással élve - kimondja, az adatvédelmi hatósági eljárásban az ügyintézési határidő százhúsz nap.
[35] Az Ákr. 2. § (2) bekezdés c) pontja értelmében a hatóság a hatásköre gyakorlása során a jogszabályban meghatározott határidőn belül, észszerű időben jár el.
[36] Az Ákr. 50. § (1) bekezdése szerint, ha a törvény eltérően nem rendelkezik, az ügyintézési határidő az eljárás megindulásának napján kezdődik.
[37] A Kúria hangsúlyozza, a fenti rendelkezésekből egyértelmű, hogy az adatvédelmi hatósági eljárás során az adatvédelmi hatóság számára rendelkezésre álló ügyintézési határidő az eljárás megindulásának napjától számított százhúsz nap.
[38] Az Ákr. 103. § (4) bekezdése alapján, ha a hatóság a hivatalbóli eljárásban az ügyintézési határidő kétszeresét túllépi, a jogsértés tényének megállapításán és a jogellenes magatartás megszüntetésére, vagy a jogszerű állapot helyreállítására kötelezésen túl egyéb jogkövetkezményt nem alkalmazhat. Ez esetben ugyanazon ügyféllel szemben, ugyanazon ténybeli és jogi alapon nem indítható új eljárás.
[39] A perbeli adatvédelmi hatósági eljárás 2018. november 19-én indult, az alperes határozatát 2020. július 15-én hozta meg, vagyis az Infotv. 60/A. § (1) bekezdésében meghatározott ügyintézési határidőt az alperes jóval több mint kétszeresen túllépte, így az Ákr. 103. § (4) bekezdésének megfelelően adatvédelmi bírság szankciót nem alkalmazhatott volna.
[40] A GDPR 129. preambulumbekezdés negyedik mondata kimondja, a felügyeleti hatóságok hatásköreiket az uniós és a tagállami jogban foglalt megfelelő eljárási garanciáknak megfelelően, pártatlanul, tisztességesen és észszerű határidőn belül gyakorolják. A 148. preambulumbekezdés utolsó mondata szerint a szankciók - ideértve a közigazgatási bírságot - kiszabására az uniós jog és a Charta általános elveivel összhangban megfelelő eljárási garanciákat - ideértve a hatékony jogvédelmet és a tisztességes eljáráshoz való jogot - kell alkalmazni.
[41] A GDPR 51. cikk (1) bekezdése alapján a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelésének tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy elrendelt alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel. Az 51. cikk (2) bekezdése értelmében minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és a Bizottsággal a VII. fejezettel összhangban. Az 58. cikk (1) bekezdés i) pontja rögzíti, a felügyeleti hatóság vizsgálati hatáskörében eljárva a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett. Az 58. cikk (4) bekezdése szerint az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a Chartával összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.
[42] A közigazgatási bírságok kiszabására vonatkozó általános feltételekkel a GDPR 83. cikke tartalmazza. A 83. cikk (2) bekezdése mondja ki, hogy mely szempontokat szükséges figyelembe venni a közigazgatási bírság kiszabásakor és annak összege megállapításakor. A 83. cikk (8) bekezdése alapján a felügyeleti hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák - ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást - biztosításával gyakorolja.
[43] A Kúria rámutat, a GDPR elsődlegesen anyagi jogi rendelkezéseket tartalmaz. Ezek mellett az adatvédelmi hatóság felépítésére, kiválasztására és hatásköreire vonatkozó szabályokat határoz meg, ugyanakkor az adatvédelmi hatóság eljárására irányadó speciális eljárási rendelkezéseket nem rögzít.
[44] A GDPR az adatvédelmi hatósági eljárás ügyintézési határidejére nem tartalmaz konkrét szabályt. A Kúria megítélése szerint ez a tény azonban nem jelenti azt, hogy az adatvédelmi hatóság eljárása időben parttalan lehet, ugyanis egyfelől az Infotv. hivatkozott 60/A. §-a pontosan rögzíti a magyar adatvédelmi hatóságnak a százhúsz napos ügyintézési határidőt. Másfelől a GDPR hivatkozott 129. preambulumbekezdés negyedik mondata, 148. preambulumbekezdés utolsó mondata, 58. cikk (4) bekezdése és 83. cikk (8) bekezdése egyértelműen előírják az egyes nemzeti felügyeleti hatóságok számára az uniós és tagállami jogban megjelölt eljárási garanciák betartását, így az észszerű határidőn belüli eljárásbefejezést, valamint a tisztességes eljáráshoz való jog érvényesítését is.
[45] A felülvizsgálati bíróság véleménye szerint a közigazgatási bírság kiszabására és annak összegének megállapítására vonatkozó GDPR 83. cikk (2) bekezdése az ügyintézési határidő körében - az alperes okfejtésével szemben - nem releváns. Az ügyintézési határidő túllépésének szankcionálása nem kapcsolódik a bírság kiszabásához és annak összegének megállapításához. Ezért az a tény, hogy a GDPR 83. cikk (2) bekezdése nem tartalmazza mérlegelési szempontként a határidő túllépését az ügy jogi megítélését nem befolyásolja.
[46] Az ügyintézési határidő vonatkozásában a fentiekre figyelemmel az Infotv.-ben és az Ákr.-ben megtestesülő magyar nemzeti szabályozás megfelel a GDPR-nak, az ezzel ellentétes felperesi álláspont nem foghat helyt.
[47] A Kúria hangsúlyozza, a törvényszék az Alaptörvény 28. cikke szerinti értelmezési alapelvnek megfelelően értelmezte és alkalmazta az ügyben irányadó nemzeti jogszabályokat, ítélete nem sérti az alperes által megjelölt jogszabályhelyeket.
[48] A Kúria nem adott helyt az alperes előzetes döntéshozatal kezdeményezésére irányuló kérelmének, mert a GDPR helyes alkalmazása olyan nyilvánvaló, hogy az az alperes által felvetett kérdés megoldásának módját illetően minden észszerű kétséget kizár, vagyis az eldöntendő kérdés megoldása "tiszta".
[49] A Kúria rámutat, az alperes mint közigazgatási hatóság köteles a rá irányadó ügyintézési határidőt betartva eljárni és tudomásul venni, ha azt több mint kétszeresen túllépi, úgy az Ákr. 103. § (4) bekezdésére figyelemmel nincs lehetősége bírság szankció alkalmazására.
[50] A Kúria a Kp. 121. § (2) bekezdését alkalmazva a jogerős ítéletet hatályában fenntartotta.
(Kúria Kfv.III.37.306/2021.)
* * *
TELJES HATÁROZAT
Az ügy száma: Kfv.III.37.306/2021/5.
A tanács tagjai: Dr. Sperka Kálmán a tanács elnöke, Dr. Sugár Tamás előadó bíró, Dr. Vitál-Eigner Beáta bíró
A felperes:
A felperes képviselője: Kiss és Lányi Ügyvédi Iroda
Az alperes: Nemzeti Adatvédelmi és Információszabadság Hatóság
Az alperes képviselője: Dudás Hargita Zavodnyik Ügyvédi Iroda
A per tárgya: adatvédelmi ügyben indult közigazgatási jogvita
A felülvizsgálati kérelmet benyújtó felek: az alperes
A felülvizsgálati kérelem száma: 10.
Az elsőfokú bíróság neve, határozatának kelte és száma: Fővárosi Törvényszék 2021. január 12-én hozott 105.K.706.391/2020/9. számú ítélete
Rendelkező rész
A Kúria a Fővárosi Törvényszék 105.K.706.391/2020/9. számú ítéletét hatályában fenntartja.Kötelezi az alperest, hogy 15 napon belül fizessen meg a felperesnek 254.000.- (kétszázötvennégyezer) forint felülvizsgálati eljárási költséget.
A felülvizsgálati eljárás illeték az állam terhén marad.
Az ítélet ellen felülvizsgálatnak nincs helye.
I n d o k o l á s
A felülvizsgálat alapjául szolgáló tényállás
[1] A perben nem álló természetes személy (a továbbiakban: érintett) az alperesi hatósághoz 2018. augusztus 9-én érkezett beadványában a felperes adatkezelési gyakorlatát kifogásolta.[2] Az alperes vizsgálati eljárást indított, amelyről a 2018. október 11-én kelt iratában tájékoztatta a felperest. Ezt követően az alperes hivatalból adatvédelmi eljárást indított, amiről a 2018. november 19-én hozott végzésében értesítette a felperest, egyben nyilatkozattételre hívta fel. A felperes nyilatkozata 2018. december 12-én érkezett meg az alpereshez. A továbbiakban az alperes felhívására a felperes két újabb nyilatkozatot tett, ezek 2019. március 15-én és 2019. március 21-én kerültek érkeztetésre a hatóságnál.
[3] Az alperes a 2020. június 11-én hozott végzésével az érintett részére ügyféli jogállást biztosított és az ügyben keletkező iratokat megküldte a részére.
[4] Az alperes a 2020. július 15-én kelt NAIH/2020/1581/6. számú határozata rendelkező része 1. pontjában a felperes terhére jogsértéseket állapított meg, a 2. pontjában meghatározott cselekményre utasította a felperest, míg a 3. pontjában az l. pontban megállapított jogellenes adatkezelés miatt a felperest a határozat véglegessé válásától számított harminc napon belül 5.000.000.- forint adatvédelmi bírság megfizetésére kötelezte.
[5] Az alperesi határozat rendelkező részének III. 4. tartalmazza a jogkövetkezmények körében elfoglalt alperesi álláspontot.
[6] Az alperes megvizsgálta, hogy indokolt-e a felperessel szemben adatvédelmi bírság kiszabása. E körben a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló 2016/679. európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 83. cikk (2) bekezdése alapján mérlegelte az ügy összes körülményét. Megállapította, hogy az eljárás során feltárt jogsértés esetében a figyelmeztetés nem arányos és visszatartó szankció, ezért bírság kiszabása szükséges.
[7] Az alperes a bírság kiszabás körében súlyosbító körülményt nyolc pontban míg enyhítő körülményt egy pontban vett figyelembe. A bírság összegét a jogszabályon alapuló mérlegelési jogkörében eljárva határozta meg.
A kereseti kérelem
[8] A felperes keresetében elsődlegesen a határozat bírságot kiszabó részében történő megsemmisítését, másodlagosan - a bírság jelentős mérséklése mellett - a határozat megváltoztatását kérte.[9] Kifejtette, hogy az alperes adatvédelmi hatósági eljárása a jogszabályban meghatározott 120 nap helyett 604 napig tartott, az ügyintézési határidő ötszörösen került túllépésre. Az alperes az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) 1. §-a, 2. § (1) bekezdése, 4. §-a és 103. § (4) bekezdése alapján bírság kiszabást nem alkalmazhatott volna; a GDPR 58. cikk (4) bekezdése, 83. cikk (8) bekezdése, valamint a (129) és (148) preambulumbekezdése értelmében az alperesnek meg kellett tartania a magyar jogban foglalt eljárási garanciákat.
Az elsőfokú ítélet
[10] A törvényszék jogerős ítéletében az alperes határozatának a felperest 5.000.000.- forint adatvédelmi bírság megfizetésére kötelező 3. pontját megsemmisítette. Az indokolásban felhívta a GDPR 58. cikk (4), 83. cikk (8) bekezdését, (129) preambulumbekezdés negyedik mondatát, a (148) preambulumbekezdés utolsó mondatát; az Ákr. 2. § (1), 8. § (2), 103. § (4) bekezdését; az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 2. § (2), 60/A. § (1) bekezdését, továbbá a közigazgatási perrendtartásról szóló 2017. évi I. törvény (a továbbiakban: Kp.) 4. § (1), (3) és 85. § (1), (3) bekezdését.[11] Az indokolás szerint az alperes nem vitatta, hogy a 2018. november 19-től 2020. július 15-ig tartó eljárásban az ügyintézési határidőt több mint kétszeresen túllépte, de állította, mivel a GDPR ilyen esetben nem tartalmaz rendelkezést a bírság elengedésére, az uniós jog elsőbbsége folytán az Ákr. 103. § (4) bekezdése nem alkalmazható.
[12] A törvényszék rámutatott, az Ákr. az adatvédelmi hatósági eljárásra is irányadó, figyelemmel az Ákr. 8. § (2) bekezdésére. Az Ákr. a IV. fejezetben - a hatóság döntésére vonatkozó rendelkezések között - helyezi el a bírság kiszabásra vonatkozó szabályokat, míg a VII. fejezetben a - hivatalbóli eljárás szabályai között - rögzíti, hogy az ügyintézési határidő túllépése a bírságkiszabás akadályát képezi. A jogalkotó tehát különválasztotta a két rendelkezést; nem a bírság kiszabása körében értékelendő a hatósági jogsértés, hanem a hatóság döntési jogkörének a tartalmát korlátozza azáltal, hogy az ügyintézési határidő kétszeresének jogellenes túllépése esetén is megállapíthatja az ügyfél jogsértésének tényét, a jogellenes magatartás megszüntetésére, vagy a jogszerű állapot helyreállítására is kötelezhet, de egyéb szankció - közöttük a bírság - alkalmazására nincs joga.
[13] Hasonlóan, a bírságkiszabás szabályait rendező GDPR 83. cikke sem tartalmazza a hatóság eljárási jogsértésének értékelési szempontjait, mert az a kérdés, hogy a tagállami adatvédelmi hatóság megtartotta-e a rá irányadó eljárási határidőket, a GDPR alkalmazásában sem bírság összegének mérlegelésére tartozó kérdés.
[14] A GDPR primátusa - figyelemmel az 58. cikk (4) bekezdésére, és a kiemelt preambulumbekezdésekre is - mindezek alapján a GDPR alapján folytatott eljárásokban sem zárja ki az Ákr. 103. § (4) bekezdésének alkalmazhatóságát.
A felülvizsgálati kérelem és ellenkérelem
[15] A jogerős ítélet ellen az alperes terjesztett elő felülvizsgálati kérelmet, annak az alperesi határozat felperest adatvédelmi bírság megfizetésére kötelező 3. pontját megsemmisítő részében való hatályon kívül helyezésére és a kereset teljes körű elutasítása iránt.[16] Érvelése szerint a törvényszék ítéletében téves és jogszabálysértő jogkövetkeztetést vont le, megsértve a GDPR 51. cikk (1), (2) bekezdését, 57. cikk (1) bekezdés a) pontját, 58. cikk (2) bekezdés i) pontját, 83. cikk (1), (2) bekezdését, továbbá az Alaptörvény 28. cikkét.
[17] Az alperes nem vitatta, hogy túllépte az ügyintézési határidőt, ugyanakkor véleménye szerint az Ákr. 103. § (4) bekezdése jelen eljárásban nem alkalmazható, mivel a bírság körében a GDPR 83. cikk (2) bekezdése, valamint az Infotv. 75/A. § jelöli ki az eljárás kereteit. Továbbá a GDPR 83. cikk (2) bekezdése szerint a bírság kapcsán vizsgálandó körülmények tekintetében az eljárási határidő túllépése nem mérlegelhető tény.
[18] A törvényszék fentiekkel ellentétes álláspontja figyelmen kívül hagyta, hogy egyrészt az uniós jog mint belső jog nem illeszkedik bele a hazai jogforrási hierarchiába, mint független, autonóm jogrend került meghatározásra. Másrészt az uniós jognak alkalmazási elsőbbsége van a tagállami joggal szemben. Harmadrészt az uniós jog elsőbbsége elvének alapján az uniós jog a tagállamok nemzeti jogai felett áll, amennyiben a közösségi jog valamely normája és a tagállam nemzeti joga ellentétes, a bíróság a közösségi jogba ütköző hazai jogszabály helyett a közösségi normát kötelesek alkalmazni.
[19] Az alperes rámutatott, az alperest jogsértés esetén közigazgatási bírság kiszabására is feljogosító, illetve az alperest az uniós jogszabály alkalmazásának ellenőrzésére, a jogsértések hatékony visszatartó erejű szankcionálására kötelező GDPR mint általános hatállyal bíró, teljes egészében kötelező és közvetlenül alkalmazandó uniós rendelet a jogforrási hierarchiában magasabb szinten áll az Ákr-nél, így értelemszerűen szűkítheti az Ákr. alkalmazási körét.
[20] A GDPR mint közvetlenül alkalmazandó uniós jogi aktus hagy ugyan bizonyos mozgásteret a tagállamoknak belső szabályok alkotására, ezek azonban nem ronthatják le teljes egészében a GDPR alkalmazását. Ezzel szemben az Ákr. 103. § (4) bekezdése olyan kategorikus szabály, amely a GDPR-ban nem említett esetekben és mérlegelési szempont meghaladó körben eltérést nem engedően nem enged bírságot kiszabni, tehát ellentétes a GDPR-al.
[21] Az elsőfokú bíróság sem a GDPR, sem az Ákr. 103. § (4) bekezdését nem azok céljával összhangban értelmezte, megsértve az Alaptörvény 28. cikkének értelmezési alapelvét.
[22] Az alperes indítványozta, hogy a Kúria a Kp. 34. § a) pontja alapján kezdeményezze az Európai Unió Bírósága (a továbbiakban: EUB) előzetes döntéshozatali eljárását annak tisztázása érdekében, hogy ellentétes-e a GDPR 58. cikk (2) bekezdés i) pontjával és 83. cikkének (1)-(2) bekezdésével az a tagállami szabályozás (Ákr. 103. § (4) bekezdése), amely szerint, ha a hatóság a hivatalbóli eljárásban az ügyintézési határidőt kétszeresen túllépi, a jogsértés tényének megállapításán és a jogellenes magatartás megszüntetésére vagy a jogszerű állapot helyreállítására kötelezésén túl egyéb jogkövetkezményt nem alkalmazhat.
[23] Véleménye szerint a kérdés a per szempontjából releváns, az EUB-nak nincs ebben a kérdésben kialakult ítélkezési gyakorlata, valamint a közösségi jog helyes alkalmazása nem nyilvánvaló e vonatkozásban.
[24] A felperes felülvizsgálati ellenkérelmében az ítélet hatályában tartását indítványozta.
[25] Kiemelte, a GDPR 58. cikk (4) bekezdése, 83. cikk (8) bekezdése és (129), valamint (148) preambulumbekezdések alapján az alperesnek meg kell tartania a magyar eljárási jogban foglalt garanciákat a jogforrási hierarchia ellenére is. Az Ákr. 2. § (2) bekezdés c) pontja szerint az egyik eljárási garancia az eljárási jogszabályban meghatározott határidőn belül történő befejezés. Ezt a követelményt nevesíti a GDPR (129) preambulumbekezdése is. Az Ákr. 103. § (4) bekezdése tovább konkretizálja ezt az Ákr. 2. § (2) bekezdés c) pontjában rögzített alapelvet azáltal, hogy korlátozást állít fel arra az esetre, ha a hatóság a határidő kétszeresét túllépve fejezi be az eljárását. Ebben az esetben nincs lehetőség bírság kiszabására.
[26] A felperes szerint mellőzendő az előzetes döntéshozatali eljárás kezdeményezése, mert a közösségi jog helyes alkalmazása jelen esetben nyilvánvaló.
Döntés a befogadásról
[27] A Kúria a Kfv.III.37.306/2021/2. számú végzésében a felülvizsgálati kérelmet befogadta.[28] A Kúria döntése és jogi indokai
[29] A felülvizsgálati kérelem alaptalan.
[30] A Kp. 120. § (5) bekezdésére figyelemmel a felülvizsgálati eljárásban bizonyítás felvételének nincs helye, a Kúria a felülvizsgálati kérelem elbírálása során a jogerős határozat meghozatalakor rendelkezésre álló iratok és bizonyítékok alapján dönt.
[31] A Kúria álláspontja szerint az elsőfokú bíróság a pontosan és törvényesen megállapított tényállásból helytálló jogi következtetést vont le. A jogerős ítéletben foglaltakkal a felülvizsgálati bíróság egyetért, a felülvizsgálati kérelmet elbírálva az alábbiakat fejti ki.
[32] Az Ákr. 8. §-a határozza meg az általános és különös eljárási szabályok viszonyát. A 8. § (1) bekezdése rögzíti az Ákr. hatálya alól kivett eljárásokat, ezek között az adatvédelmi eljárást nem jelöli meg, vagyis az adatvédelmi ügyekre az Ákr. hatálya kiterjed.
[33] Az Ákr. 8. § (2) bekezdése értelmében az (1) bekezdésben nem említett közigazgatási hatósági eljárásokra vonatkozó jogszabályok e törvény rendelkezéseitől csak akkor térhetnek el, ha ezt e törvény megengedi.
[34] Az Ákr. 50. §-a tartalmazza az ügyintézési határidőre és annak számítására irányadó rendelkezéseket. Az 50. § (2) bekezdés c) pontja szerint az ügyintézési határidő teljes eljárásban hatvan nap. Az 50. § (3) bekezdése kimondja, a (2) bekezdés c) pontjában meghatározott ügyintézési határidőnél hosszabb határidőt törvény, rövidebb határidőt jogszabály állapíthat meg.
[35] Az Infotv. 60/A. § (1) bekezdése - az Ákr. 50. § (3) bekezdésében írt felhatalmazással élve - kimondja, az adatvédelmi hatósági eljárásban az ügyintézési határidő százhúsz nap.
[36] Az Ákr. 2. § (2) bekezdés c) pontja értelmében a hatóság a hatásköre gyakorlása során a jogszabályban meghatározott határidőn belül, észszerű időben jár el.
[37] Az Ákr. 50. § (1) bekezdése szerint, ha a törvény eltérően nem rendelkezik, az ügyintézési határidő az eljárás megindulásának napján kezdődik.
[38] A Kúria hangsúlyozza, a fenti rendelkezésekből egyértelmű, hogy az adatvédelmi hatósági eljárás során az adatvédelmi hatóság számára rendelkezésre álló ügyintézési határidő az eljárás megindulásának napjától számított százhúsz nap.
[39] Az Ákr. 103. § (4) bekezdése alapján, ha a hatóság a hivatalbóli eljárásban az ügyintézési határidő kétszeresét túllépi, a jogsértés tényének megállapításán és a jogellenes magatartás megszüntetésére, vagy a jogszerű állapot helyreállítására kötelezésen túl egyéb jogkövetkezményt nem alkalmazhat. Ez esetben ugyanazon ügyféllel szemben, ugyanazon ténybeli és jogi alapon nem indítható új eljárás.
[40] A perbeli adatvédelmi hatósági eljárás 2018. november 19-én indult, az alperes határozatát 2020. július 15-én hozta meg, vagyis az Infotv. 60/A. § (1) bekezdésében meghatározott ügyintézési határidőt az alperes jóval több mint kétszeresen túllépte, így az Ákr. 103. § (4) bekezdésének megfelelően adatvédelmi bírság szankciót nem alkalmazhatott volna.
[41] A GDPR (129) preambulumbekezdés negyedik mondata kimondja, a felügyeleti hatóságok hatásköreiket az uniós és a tagállami jogban foglalt megfelelő eljárási garanciáknak megfelelően, pártatlanul, tisztességesen és észszerű határidőn belül gyakorolják. A (148) preambulumbekezdés utolsó mondata szerint a szankciók - ideértve a közigazgatási bírságot - kiszabására az uniós jog és a Charta általános elveivel összhangban megfelelő eljárási garanciákat - ideértve a hatékony jogvédelmet és a tisztességes eljáráshoz való jogot - kell alkalmazni.
[42] A GDPR 51. cikk (1) bekezdése alapján a természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelésének tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállam előírja, hogy elrendelt alkalmazásának ellenőrzéséért egy vagy több független közhatalmi szerv (felügyeleti hatóság) felel. Az 51. cikk (2) bekezdése értelmében minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és a Bizottsággal a VII. fejezettel összhangban. Az 58. cikk (1) bekezdés i) pontja rögzíti, a felügyeleti hatóság vizsgálati hatáskörében eljárva a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett. Az 58. cikk (4) bekezdése szerint az e cikk alapján a felügyeleti hatóságra ruházott hatáskörök gyakorlására megfelelő garanciák mellett kerülhet sor, ideértve az uniós és a Chartával összhangban meghatározott hatékony bírósági jogorvoslatot és tisztességes eljárást is.
[43] A közigazgatási bírságok kiszabására vonatkozó általános feltételekket a GDPR 83. cikke tartalmazza. A 83. cikk (2) bekezdése mondja ki, hogy mely szempontokat szükséges figyelembe venni a közigazgatási bírság kiszabásakor és annak összege megállapításakor. A 83. cikk (8) bekezdése alapján a felügyeleti hatóság e cikk szerinti hatásköreit megfelelő, az uniós és a tagállami joggal összhangban álló eljárási garanciák - ideértve a hatékony jogorvoslat lehetőségét és a tisztességes eljárást - biztosításával gyakorolja.
[44] A Kúria rámutat, a GDPR elsődlegesen anyagi jogi rendelkezéseket tartalmaz. Ezek mellett az adatvédelmi hatóság felépítésére, kiválasztására és hatásköreire vonatkozó szabályokat határoz meg, ugyanakkor az adatvédelmi hatóság eljárására irányadó speciális eljárási rendelkezéseket nem rögzít.
[45] A GDPR az adatvédelmi hatósági eljárás ügyintézési határidejére nem tartalmaz konkrét szabályt. A Kúria megítélése szerint ez a tény azonban nem jelenti azt, hogy az adatvédelmi hatóság eljárása időben parttalan lehet, ugyanis egyfelől az Infotv. hivatkozott 60/A. §-a pontosan rögzíti a magyar adatvédelmi hatóságnak a százhúsz napos ügyintézési határidőt. Másfelől a GDPR hivatkozott (129) preambulumbekezdés negyedik mondata, (148) preambulumbekezdés utolsó mondata, 58. cikk (4) bekezdése és 83. cikk (8) bekezdése egyértelműen előírják az egyes nemzeti felügyeleti hatóságok számára az uniós és tagállami jogban megjelölt eljárási garanciák betartását, így az észszerű határidőn belüli eljárás befejezést, valamint a tisztességes eljáráshoz való jog érvényesítését is.
[46] A felülvizsgálati bíróság véleménye szerint a közigazgatási bírság kiszabására és annak összegének megállapítására vonatkozó GDPR 83. cikk (2) bekezdése az ügyintézési határidő körében - az alperes okfejtésével szemben - nem releváns. Az ügyintézési határidő túllépésének szankcionálása nem kapcsolódik a bírság kiszabásához és annak összegének megállapításához. Ezért az a tény, hogy a GDPR 83. cikk (2) bekezdése nem tartalmazza mérlegelési szempontként a határidő túllépését az ügy jogi megítélését nem befolyásolja.
[47] Az ügyintézési határidő vonatkozásában a fentiekre figyelemmel az Infotv-ben és az Ákr-ben megtestesülő magyar nemzeti szabályozás megfelel a GDPR-nak, az ezzel ellentétes felperesi álláspont nem foghat helyt.
[48] A Kúria hangsúlyozza, a törvényszék az Alaptörvény 28. cikke szerinti értelmezési alapelvnek megfelelően értelmezte és alkalmazta az ügyben irányadó nemzeti jogszabályokat, ítélete nem sérti az alperes által megjelölt jogszabályhelyeket.
[49] A Kúria nem adott helyt az alperes előzetes döntéshozatal kezdeményezésére irányuló kérelmének, mert a GDPR helyes alkalmazása olyan nyilvánvaló, hogy az az alperes által felvetett kérdés megoldásának módját illetően minden észszerű kétséget kizár, vagyis az eldöntendő kérdés megoldása "tiszta".
[50] A Kúria rámutat, az alperes mint közigazgatási hatóság köteles a rá irányadó ügyintézési határidőt betartva eljárni és tudomásul venni, ha azt több mint kétszeresen túllépi, úgy az Ákr. 103. § (4) bekezdésére figyelemmel nincs lehetősége bírság szankció alkalmazására.
[51] A Kúria a Kp. 121. § (2) bekezdését alkalmazva a jogerős ítéletet hatályában fenntartotta.
A döntés elvi tartalma
[52] Az adatvédelmi hatóság eljárására az Infotv. százhúsz napos ügyintézési határidőt biztosít, amennyiben ezt a hatóság több mint kétszeresen túllépi, akkor bírság szankciót nem alkalmazhat.Záró rész
[53] A felülvizsgálati kérelmet a Kúria a Kp. 115. § (2) bekezdése alapján alkalmazandó 107. § (1)[54] bekezdése szerint tárgyaláson kívül bírálta el.
[55] A pervesztes alperes köteles a felperes részére a Kp. 35. § (1) bekezdése alapján alkalmazandó a polgári perrendtartásról szóló 2016. évi CXXX. törvény 83. § (1) bekezdése alapján a felszámított összegben felülvizsgálati eljárási költség megfizetésére.
[56] Az alperes az illetékekről szóló 1990. évi XCIII. törvény 5. § (1) bekezdés c) pontja szerint teljes személyes illetékmentes, így a feljegyzett felülvizsgálati eljárási illeték az állam terhén marad.
[57] Az ítélettel szembeni felülvizsgálatot a Kp. 116. § d) pontja zárja ki.
Budapest, 2021. június 2.
Dr. Sperka Kálmán a tanács elnöke, Dr. Sugár Tamás előadó bíró; Dr. Vitál-Eigner Beáta bíró
(Kúria Kfv.III.37.306/2021.)