adozona.hu
BH 2023.12.310
BH 2023.12.310
A referenciaadat törlésére irányuló polgári per megindításán túl az érintett adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat. Az adatvédelmi hatósági eljárás megindításának nem előfeltétele a polgári per megindítása.
Kiválasztott időállapot:
- Kibocsátó(k):
- Jogterület(ek):
- Tipus:
- Érvényesség kezdete:
- Érvényesség vége:
MIRŐL SZÓL EZ A JOGSZABÁLY?
[1] A perben nem álló kérelmező magánszemély a Zrt.-vel pénzügyi lízingszerződést kötött, amelyet a Zrt. 2009. március 18-án azonnali hatállyal felmondott. A Zrt. 2018. február 28-án a lízingszerződésből eredő követelését a felperesre engedményezte.
[2] A Zrt. felszámolója a felperes megkeresésére 2019. március 8-án továbbította a Központi Hitelinformációs Rendszert (a továbbiakban: KHR) kezelő pénzügyi vállalkozás, a Zrt2. részére a szerződéssel kapcsolatos adatokat, köztük a mulasztásra vo...
BH 2023.12.310 A referenciaadat törlésére irányuló polgári per megindításán túl az érintett adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat. Az adatvédelmi hatósági eljárás megindításának nem előfeltétele a polgári per megindítása.
Az adatkezelés jogszabályban rögzített időtartama nem hosszabbodhat meg a referenciaadat-szolgáltató mulasztása miatt azáltal, hogy jogszabályi kötelezettsége ellenére nem intézkedett haladéktalanul a referenciaadatok KHR-be történő továbbítása iránt [2011. évi CXXII. törvény (Khrtv.) 2. § (1) bek. f) pont, 5. § (4), (6) bek., 7. § (3) bek., 8. § (1), (2) bek., 11. § (1) bek.; 2011. évi CXII. törvény (Infotv.) 38. §].
A felülvizsgálat alapjául szolgáló tényállás
[1] A perben nem álló kérelmező magánszemély a Zrt.-vel pénzügyi lízingszerződést kötött, amelyet a Zrt. 2009. március 18-án azonnali hatállyal felmondott. A Zrt. 2018. február 28-án a lízingszerződésből eredő követelését a felperesre engedményezte.[2] A Zrt. felszámolója a felperes megkeresésére 2019. március 8-án továbbította a Központi Hitelinformációs Rendszert (a továbbiakban: KHR) kezelő pénzügyi vállalkozás, a Zrt2. részére a szerződéssel kapcsolatos adatokat, köztük a mulasztásra vonatkozó információkat is.
[3] A kérelmező 2021. március 2-án kérte a felperestől mulasztási adatainak törlését a KHR-ből. A felperes ekkor arról tájékoztatta őt, hogy aktív mulasztására tekintettel nem áll módjában a KHR-ből törölni az adatokat. Ha azonban a tartozás tőkerészének egy összegben való megfizetését vállalja, akkor intézkedik a mulasztás KHR-ben történő passziválása iránt.
[4] A kérelmező ezt követően 2021. október 20-án adatvédelmi hatósági eljárást kezdeményezett, amely során kérte az alperest, hogy utasítsa a felperest érintetti kérelmének teljesítésére, ekként mulasztási adatainak a KHR-ből történő törlésére. Kérelme indokaként előadta, hogy a mulasztás kezdete 2009. március 18., azonban ennek a dátumnak a KHR-ben történő rögzítése kizárólag 2019. március 8-án történt meg. Az adatok csak a mulasztás bekövetkeztétől számított tíz évig szerepelhetnek a KHR-ben, azt követően azokat törölni kell. Egyidejűleg hivatkozott a követelés elévülésére is.
[5] Az alperes 2021. december 3-án kelt NAIH-260-5/2022. számú határozatával a kérelmező kérelmének helyt adott és megállapította, hogy a felperes megsértette a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679. (EU) rendelet (a továbbiakban: GDPR) 6. cikk (1) bekezdését, 17. cikk (1) bekezdés d) pontját és 12. cikk (4) bekezdését. Utasította a felperest, hogy a kérelmező jogalap nélkül kezelt személyes adatait (mulasztási adatait) határidőn belül törölje a KHR-ből. Egyidejűleg a jogellenes adatkezelés miatt 1 000 000 forint adatvédelmi bírsággal sújtotta.
[6] Kimondta, hogy a GDPR 4. cikk 1. pontja szerint a kérelmezőnek a felperes felé fennálló tartozásával kapcsolatban a KHR-ben tárolt adatok a kérelmező személyes adatának minősülnek, amely adatoknak a KHR-t kezelő pénzügyi vállalkozás részére történő átadása a GDPR 4. cikk 2. pontja szerint adatkezelésnek minősül. Következésképpen a GDPR rendelkezései alkalmazandók, amelyet a nemzeti szabályozással együtt kell értelmezni.
[7] A felperes a központi hitelinformációs rendszerről szóló 2011. évi CXXII. törvény (a továbbiakban: Khrtv.) 2. § (1) bekezdés f) pont 1. alpontja szerint referenciaadat-szolgáltatónak minősül. A KHR adatkezelése automatizált módon történik, vagyis, ha az átadott referencia-adatok tekintetében módosítás szükséges, úgy a módosult adatokat a referenciaadat-szolgáltatónak kell átadnia a Zrt2. részére. Bár a KHR-ben nyilvántartott személyes adatok körében mind a Zrt2., mind pedig a felperes végez bizonyos adatkezelési tevékenységeket, azonban ezek a KHR-ben elérhető adatok eltérő adatkezelési műveleteit érintik. A KHR-ben az adatok továbbítása, töröltetése, illetve azok jogszerűsége és pontossága körében a felperes a felelős személy, így a kifogásolt adatkezelés vonatkozásában adatkezelőnek is a felperes minősül.
[8] A kérelmező a felpereshez írt érintetti kérelmében a mulasztási adatai törlését kérte.
[9] Az engedményezés következtében a Khrtv. 7. § (3) bekezdése szerint a felperes átvevő referenciaadat-szolgáltatónak minősül a fennálló követelés tekintetében. Az engedményezés a lejárt és meg nem fizetett tartozás összegének és időtartamának számítását nem szakítja meg, tehát folyamatosan kell az adatok tárolásával kapcsolatos idő számítását végezni. Ha az adós fizetési késedelembe esik, úgy a Khrtv. 11. § (1) bekezdésében foglalt feltételek fennállása esetén sor kerülhet a mulasztási adatok KHR-be való továbbítására, vagyis az adós ún. negatív listára kerül.
[10] A Khrtv. kifejezetten rendelkezik 8. § (1) és (2) bekezdésében arról, hogy a mulasztási adatok mennyi ideig kezelhetők a KHR-ben. Ez az időtartam pedig nem hosszabbodhat meg a referenciaadat-szolgáltató adattovábbítási mulasztása miatt.
[11] A hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény (a továbbiakban: régi Hpt.) 2009. január 9. és 2009. május 2. között hatályos 130/A. § (9) bekezdése szerint a referenciaadat-szolgáltató haladéktalanul köteles az általa kezelt referenciaadatot a KHR-t kezelő pénzügyi vállalkozás részére átadni. Következésképpen a jogszabályban rögzített határidő kezdetének a napja legkésőbb a kérelmező és a Zrt. közötti szerződés felmondásának napja, azaz 2009. március 18. volt. Ebből kifolyólag a felperes 2019. március 19. napjától jogellenesen, jogalap nélkül szerepelteti a személyes adatokat a KHR-ben, az adatkezelésre vonatkozó jogi kötelezettsége 2019. március 18-án megszűnt.
A kereseti kérelem
[12] A felperes keresetében elsődlegesen az alperes határozatának megsemmisítését, az alperes hatásköre hiánya megállapítását és az adatvédelmi hatósági eljárásnak az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) 17. §-a alapján történő megszüntetését kérte. Másodlagosan a határozat megváltoztatásával a kérelmező kérelmének elutasítását, a személyes adatok törlésére és a bírság megfizetésére kötelezés mellőzését indítványozta annak megállapítása mellett, hogy nem követett el jogsértést.Az elsőfokú ítélet
[13] A törvényszék ítéletével az alperes NAIH-260-5/2022. számú határozatának III. pontját megsemmisítette, e körben az alperest új eljárásra kötelezte, ezt meghaladóan a keresetet elutasította.[14] Döntését alapvetően a Khrtv. 5. § (4)-(6) bekezdéseire, 8. § (1) és (2) bekezdéseire, 11. § (1) bekezdésére alapította.
[15] Megállapította, hogy a kérelmező az érintetti kérelemmel nem a Khrtv. 16. § (1) bekezdése szerinti, a mulasztási adatainak a Zrt2. részére történő átadása, illetve az általa történő adatkezelés ellen emelt kifogást, hanem a GDPR 17. cikke szerinti, személyes adatnak minősülő mulasztási adatainak törlését kérte. Az adatvédelmi hatósági eljárás lefolytatása az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 38. § (2)-(2a) bekezdései és a 38. § (3) bekezdés b) pontja szerint az alperes hatáskörébe tartozik, a 60. § (1) bekezdése alapján az alperes kérelemre jogszerűen indította meg az eljárást. Az alperes hatáskörében eljárva az adatvédelmi szabályok GDPR szerinti betartását vizsgálta, az adatkezelési tevékenységgel összefüggésben az arra irányadó ágazati jogszabályok rendelkezéseit figyelembe véve. Ez nem jelentett sem hatáskör elvonást, sem azt, hogy az alperes hatáskör hiányában járt el.
[16] A mulasztási adatok átadására 2019. március 8-án sor került annak ellenére, hogy azokat a szerződés felmondásakor, azaz 2009. március 18-án kellett volna továbbítani a KHR-be. Figyelembe véve a régi Hpt. 130/A. § (9) bekezdését, a Khrtv. 8. § (2) bekezdés a) pontja szerinti határidő kezdő napja legkésőbb a szerződés felmondásának napja volt. Az adatkezelés tíz éves időtartama nem hosszabbodhat meg a referenciaadat-szolgáltató mulasztása miatt azáltal, hogy a Zrt. a jogszabályi kötelezettsége ellenére nem intézkedett haladéktalanul a referenciaadatok KHR-be történő továbbítása iránt.
[17] Kimondta ugyanakkor, a kereset alapos volt akörben, hogy a feltárt jogellenes adatkezelés megszüntetése érdekében az alperes jogszerűtlenül kötelezte a felperest a GDPR 58. cikk (2) bekezdés c) pontja szerint a mulasztási adatok KHR-ből való törlésére, mivel referenciaadat-szolgáltatóként a felperes közvetlenül adattörlést nem tud végrehajtani. A felperesnek a Zrt2. részére kell olyan referenciaadatot átadni, amelynek a Zrt2. általi átvétele a KHR-ben nyilvántartott adat, jelen esetben a kérelmező mulasztási adatainak a törlését eredményezi. Következésképpen az alperes határozata a kérelmező mulasztási adatainak a KHR-ből történő törlésére kötelező részében jogszabálysértő, ezért a határozat vonatkozó pontját megsemmisítette.
[18] A megismételt eljárásra előírta az alperesnek a jogalap nélküli adatkezelés miatt alkalmazandó, a kérelmező mulasztási adatainak törlését eredményező jogkövetkezményről történő ismételt döntést, figyelembe véve azt, hogy a felperesnek a Khrtv. rendelkezései alapján a KHR-ben nyilvántartott adatok közvetlen törlésére nincs jogszabályi lehetősége.
A felülvizsgálati kérelem és a csatlakozó felülvizsgálati kérelem
[19] A felperes felülvizsgálati kérelmében a jogerős ítélet megváltoztatását, az alperes határozatának teljes egészében történő megsemmisítését és az alperes új eljárás lefolytatására kötelezését kérte.[20] Elsődleges érve szerint a mulasztási adatok által közvetetten érintett személyes adatok vonatkozásában kizárólag akkor kerülhetett volna sor adatvédelmi hatósági eljárás lefolytatására, ha a jogellenes referenciaadat-szolgáltatást az illetékes járásbíróság a Khrtv. által megjelölt peres eljárásban megállapítja. Ezt a polgári peres eljárást az adatvédelmi hatósági eljárás szemszögéből megelőző eljárásnak kell tekinteni. Az alperesnek fel kellett volna függesztenie eljárását az Infotv. 60/A. § (2a) bekezdése szerint, mert olyan kérdés merült fel, amelynek eldöntése más szerv/bíróság hatáskörébe tartozik. A referenciaadatok kezelésének jogszerűségéről polgári perben bíróságnak kellett volna döntenie. Fenntartotta azon kereseti állítását is, hogy a kérelmező referenciaadat törlési kérelme a Khrtv. 16. § (1) bekezdése szerinti kifogás volt.
[21] A felperesnek ugyanis - a jogerős ítélet által is elismerten - nincs lehetősége a kérelmező mulasztási referenciaadatainak KHR-ből történő törlésére, ennek ellenére az eljárt bíróság is személyes adat törlése iránti kérelemnek tekintette a kérelmező beadványát. Hangsúlyozta, sem jogszabályi, sem informatikai lehetősége nem volt a mulasztási referenciaadatok törlésére. Ebből pedig következik, hogy ezen referenciaadat-szolgáltatási kötelezettség jogalapját az alperes sem tudja megjelölni, miután a szolgáltatandó adatokra vonatkozó jogszabályi taxatív felsorolásban ilyen referenciaadat nem szerepel.
[22] Ha pedig a mulasztási adatokat tíz évig lehet csak kezelni, úgy abban az esetben sincs jogszabályi rendelkezés arra nézve, hogy a meghatározott idő elteltét neki mint referenciaadat-szolgáltatónak jeleznie kellene.
[23] Ellenben a Zrt2. adatkezelőként birtokában volt annak a referenciaadatnak, amely alapján megállapíthatta, hogy 2009. év óta eltelt-e a tíz év vagy sem.
[24] Hangsúlyozottan figyelembe kellett volna venni a Khrtv. 8. § (1) bekezdését, amely szerint a KHR-t kezelő pénzügyi vállalkozás a referenciaadatokat öt évig kezeli, öt év eltelte után véglegesen és vissza nem állítható módon törli. Mivel a KHR-t kezelő pénzügyi vállalkozáson a jogszabály értelmében a Zrt2.-t kell érteni, ezért a Zrt2. törlési joga az időmúlás tekintetében önálló, a referenciaadat-szolgáltatástól független.
[25] E körben az alperes is tévesen idézte a vonatkozó jogszabályt határozatában, hiszen az a referenciaadat-szolgáltató kezdeményezését a törlés iránt nem tartalmazza.
[26] Az alperes és a törvényszék tévesen értelmezte a Khrtv. 8. § (1) bekezdését a tekintetben is, hogy 10 év eltelte után törölni kell a mulasztási adatokat, függetlenül attól, hogy a mulasztás fennáll vagy sem.
[27] A GDPR 12. cikk (4) bekezdése szerinti tájékoztatási kötelezettsége nem volt, azonban az alperes akkor járt volna el jogszerűen, ha az Infotv. 53. § (7) bekezdése szerint a bírósági eljárás kezdeményezési lehetőségéről tájékoztatja a kérelmezőt és a Khrtv. 17. § (1) bekezdése alapján saját eljárását megszünteti.
[28] Az alperes csatlakozó felülvizsgálati kérelmében a jogerős ítélet megsemmisítő rendelkezésének hatályon kívül helyezését és a kereset teljes egészében történő elutasítását indítványozta.
[29] Kifejtette, önellentmondó a jogerős ítélet, mert annak ellenére helyezte hatályon kívül határozatának III. pontját, hogy maga is megállapította, a felperesnek kell a törlésre vonatkozó adatokat átadnia.
[30] Az ítélet értelmében a Zrt2. magától nem tud adatot törölni, adatkezelése automatizált. Az, hogy a felperest törlésre kötelezi, egyet jelent azzal, hogy a felperes a törlési adatokat átadja a Zrt2. részére. Határozatában nem közvetlen törlésre kötelezte a felperest, ezek az adatok nincsenek is a birtokában. A törlésre kötelezés egy olyan intézkedési kötelezettséget jelent a felperes számára, hogy olyan referenciaadatokat ad át a Zrt2. részére, amely az adatszolgáltatás révén végrehajtja a törlést.
[31] A felülvizsgálati kérelem érveire reagálva rámutatott, ha elfogadnánk a felperesi érvelést a polgári peres eljárás "előeljárása" körében, az a közösségi jog elsőbbségének elvébe ütközne szemben az Európai Unió Bírósága C-106/77. számú ügyében megfogalmazottakkal is. Egy uniós rendelet (GDPR) figyelmen kívül hagyásának okát a felperes nem tárta fel, és az "előeljárás" jogszabályi alapját sem jelölte meg.
[32] A felperes adatkezelő a személyes adatok vonatkozásában, így eljárása során a GDPR alkalmazandó. Az alperes eljárásában a GDPR szabályainak betartását vizsgálta, figyelembe véve az irányadó ágazati jogszabályok rendelkezéseit is. Mindez nem jelent sem hatáskör elvonást, sem azt, hogy hatáskör hiányában járt volna el.
[33] Téves az a megállapítás, hogy a felperesnek ne lenne lehetősége a mulasztási adatok törlésére, mivel maga a felperes is elismerte keresetlevelében, hogy a törlés iránt csak a referenciaadat-szolgáltató intézkedhet.
A Kúria döntése és jogi indokai
[34] A felperes felülvizsgálati kérelme és az alperes csatlakozó felülvizsgálati kérelme alaptalan.[35] A Kúria mindenekelőtt hangsúlyozza, a felülvizsgálati eljárás kereteit a Kp. 115. § (2) bekezdése folytán alkalmazandó Kp. 108. § (1) bekezdése és 100. § (2) bekezdés b) pontja értelmében a felülvizsgálati kérelem, a csatlakozó felülvizsgálati kérelem és ellenkérelem, valamint a felülvizsgálati kérelemben megjelölt jogsértések jelölik ki. Az eljárásban bizonyítás felvételének nincs helye, a Kúria a felülvizsgálati és csatlakozó felülvizsgálati kérelem elbírálása során a jogerős határozat meghozatalakor rendelkezésre álló iratok és bizonyítékok alapján dönt [Kp. 120. § (5) bekezdése].
[36] A Kúria szerint az elsőfokú bíróság a törvényesen megállapított tényállásból alapvetően helyes jogi következtetést vont le.
[37] A Kúriának a felülvizsgálati kérelemben megjelölt jogszabálysértések körében elsősorban arról kellett állást foglalnia, hogy a felperes kérelme miként minősült, annak elbírálására az alperes hatáskörrel rendelkezett-e. Amennyiben hatásköre volt, úgy a Khrtv. 17. §-a szerinti polgári per az adatvédelmi hatósági eljárás megelőző eljárásának kellett-e lennie, és ekként az alperesnek az eljárását fel kellett-e függesztenie.
[38] A közigazgatási eljárás irataiból megállapíthatóan, a kérelmező 2021. március 2-án kérte a felperestől a referenciaadatok közül mulasztási adatainak törlését a KHR-ből. A felperes ekkor arról tájékoztatta őt, hogy aktív mulasztására tekintettel nem áll módjában a KHR-ből törölni az adatokat. A kérelmező ekkor nem indított polgári pert a törlés iránt, hanem az alperestől kérte a felperes mulasztási adatai törlése körében a hatóság intézkedését.
[39] Majd 2021. október 20-án - az erre rendszeresített formanyomtatványon - adatvédelmi hatósági eljárást kezdeményezett, amely során kérte az alperest, hogy utasítsa a felperest érintetti kérelmének teljesítésére, ekként mulasztási adatainak a KHR-ből történő törlésére. Ezen kérelmében jogsértésként az Infotv. 60. § (5) bekezdés a) pontját, intézkedésként a GDPR 58. cikk (2) bekezdés c) és d) pontját jelölte meg.
[40] Ebből következően a felperes kérelme nem csak annak tartalmi vizsgálatából adódóan, hanem kifejezetten adatvédelmi hatósági eljárás megindítására irányult. Ezen eljárás lefolytatására az alperes rendelkezik hatáskörrel az alábbiak szerint:
[41] Az alperes mint autonóm államigazgatási szerv Magyarország Alaptörvénye VI. cikkének megfelelően a személyes adatok védelméhez, valamint a közérdekű adatok megismeréséhez való jog érvényesülését ellenőrző független hatóságként jár el. Az Infotv. 38. § (1) bekezdéséből fakadóan feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése, továbbá a személyes adatok Európai Unión belüli szabad áramlásának elősegítése. Ezen belül az Infotv. 38. § (3) bekezdés b) pontja szerint az érintett kérelmére adatvédelmi hatósági eljárást folytat le.
[42] Az Infotv. 60. § (1) bekezdése rögzíti, a személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság az érintett erre irányuló kérelmére adatvédelmi hatósági eljárást indít és hivatalból adatvédelmi hatósági eljárást indíthat. A (2) bekezdés szerint az adatvédelmi hatósági eljárás megindítása iránti kérelem a GDPR 77. cikk (1) bekezdésében, valamint a 22. § b) pontjában meghatározott esetben nyújtható be.
[43] A GDPR 77. cikk (1) bekezdése értelmében az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál - különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban -, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a rendeletet. Az Infotv. 22. § b) pontja pedig kimondja, az érintett az alperes adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.
[44] A GDPR 77. cikk (1) bekezdése és az Infotv. 22. § b) pontja alapulvételével az Infotv. 60. § (1) bekezdésében szabályozott adatvédelmi hatósági eljárás a személyes adatok védelméhez fűződő jog hatósági eszközökkel történő érvényesítését, jogi eszközökkel kikényszeríthető döntések meghozatalát szolgálja egy közigazgatási eljárásban, azzal a garanciával, hogy a hatóság döntésével szemben adott a bírósági felülvizsgálat lehetősége.
[45] Kétségkívül megállapítható, hogy a kérelmező kifejezetten a személyes adatai kezelése során történő, jogszabályban, nevezetesen a Khrtv-ben rögzített előírások megsértésére alapítottan kérte mulasztási adatai törlését.
[46] A referenciaadat törlésére irányuló polgári per anyagi és eljárási jogi szabályait alapvetően a polgári perrendtartásról szóló 2016. évi CXXX. törvény (a továbbiakban: Pp.) és a Khrtv. adják. Ezzel szemben az adatvédelmi hatósági eljárásban az alperes azt vizsgálta, hogy a személyes adatok kezelése megsértette-e a GDPR szabályait figyelemmel a Khrtv-ben meghatározott előírásokra is. A két eljárásnak van keresztmetszete, a Khrtv. személyes adatok kezelésére vonatkozó rendelkezéseit mindkét eljárás során vizsgálni kell, azonban azok nem zárják ki egymást. Az adatvédelmi hatósági eljárás megindításán túl pedig nem csak a Khrtv., hanem a maga a GDPR is biztosítja azt is, hogy az érintett bármely, a személyes adatoknak nem a GDPR-nak megfelelő kezelése következtében előálló jogsértés esetén pert indítson akár az adatkezelő, akár az adatfeldolgozó ellen [GDPR 79. cikk (1) bekezdés]. A bírósági jogorvoslathoz való jog azonban ebben az esetben sem érinti az érintett rendelkezésére álló más jogorvoslatot, ezért jogellenes adatkezelés esetén az érintett a bírósági jogorvoslattal párhuzamosan kérelmet terjeszthet elő például személyiségi jogainak megsértése miatt is.
[47] A perbeli esetben ez azt jelenti, hogy az érintett a Khrtv-ben deklaráltak szerint a referenciaadat-szolgáltató és a KHR-t kezelő pénzügyi vállalkozás ellen keresetet indíthat, de a személyes adatai jogellenes, GDPR-ba vagy a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokba ütköző adatkezelése esetén hatósági eljárás lefolytatását is kezdeményezheti. Ebben az esetben az alperesnek eljárási kötelezettsége van, hatáskörében az adatkezelés során a GDPR rendelkezéseinek betartását vizsgálja, figyelemmel a személyes adatok védelmére vonatkozó tagállami szabályozásra is.
[48] A felülvizsgálati kérelemben hivatkozott, az adatvédelmi hatósági eljárás "előeljárás" minősültségének nincs jogalapja, a polgári per megindítása nem előfeltétele az adatvédelmi hatóság eljárásának.
[49] Az adatkezelő tájékoztatási kötelezettsége körében felhívott GDPR 12. cikk (4) bekezdése kimondja, hogy ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
[50] Ezek kötelezettsége nem függhet attól, hogy a kérelmező kérelmét jogi képviselővel vagy anélkül terjesztette-e elő. A kérelmező 2021. március 2-án előterjesztett kérelmére a felperes arról tájékoztatta, hogy aktív mulasztására tekintettel nem áll módjában a KHR-ből törölni az adatokat. Ha azonban a tartozás tőkerészének egy összegben való megfizetését vállalja, akkor intézkedik a mulasztás KHR-ben történő passziválása iránt. Ezáltal az intézkedés elmaradásának okát közölte a kérelmezővel, azonban a jogorvoslati lehetőségeiről tájékoztatást nem adott, megsértve a GDPR 12. cikk (4) bekezdését.
[51] A felperes mint referenciaadat-szolgáltató ezen feladatkörében alapvetően adatkezelési műveleteket végez, személyes adatokat kezel, továbbít. Ezáltal általános gyakorlata részévé kell tennie az adatvédelmi szabályok betartását, és minden tevékenysége során figyelemmel kell lennie arra, hogy az adott tevékenység mennyire felel meg az adatvédelmi előírásoknak. Külön figyelmet kell fordítania arra, hogy megfelelő intézkedéseket hozzon annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a GDPR 13. és a 14. cikkben megjelölt valamennyi információt és a 15-22. és 34. cikk szerinti tájékoztatást átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtson. Továbbá az érintetti joggyakorlás biztosítása érdekében a lehetséges jogorvoslati lehetőségekről is tájékoztatást kell adjon.
[52] A Khrtv. 11. § (1) bekezdése értelmében a referenciaadat-szolgáltató a KHR-t kezelő pénzügyi vállalkozás részére írásban átadja annak a természetes személynek a melléklet II. fejezetének 1.1-1.2 pontja szerinti referenciaadatait, aki az adatszolgáltatás tárgyát képező szerződésben vállalt fizetési kötelezettségének oly módon nem tesz eleget, hogy a lejárt és meg nem fizetett tartozásának összege meghaladja a késedelembe esés időpontjában érvényes legkisebb összegű havi minimálbért és ezen minimálbérösszeget meghaladó késedelem folyamatosan, több mint kilencven napon keresztül fennállt.
[53] A mulasztási adatok törlése körében a Khrtv. 8. § (1) és (2) bekezdése akként rendelkezik, hogy a KHR-t kezelő pénzügyi vállalkozás - a (3)-(4) bekezdésben, valamint a 9. §-ban foglalt kivétellel - a referenciaadatokat a (2) bekezdésben meghatározott időponttól számított öt évig kezeli. Az öt év letelte után, illetve a 9. § szerinti további adatkezeléshez való hozzájárulás visszavonása esetén a KHR-t kezelő pénzügyi vállalkozás a referenciaadatokat véglegesen és vissza nem állítható módon törli. A határidő számításának kezdete a 11. § szerinti esetben, ha a tartozás nem szűnt meg, a 11. § (1) bekezdése szerinti adatátadás időpontjától számított ötödik év vége.
[54] A KHR-ben nyilvántartott adatok kezelésének a célja egyrészről a megalapozott hitelbírálathoz fűződő érdek, másrészről a felelős hitelezés feltételei teljesítésének és a hitelezési kockázat csökkentésének az előmozdítása. Ugyanakkor a GDPR [39] preambulumbekezdése rögzíti, hogy a kezelt személyes adatok körét a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra korlátozódjon.
[55] Annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A GDPR 23. cikke (2) bekezdés f) pontja többek között kimondja, hogy a jogalkotási intézkedésnek részletes rendelkezést kell tartalmaznia az adattárolás időtartamára, valamint az alkalmazandó garanciákra vonatkozóan. Az adattárolási időtartamot jelen esetben nem az adatkezelő, hanem a jogalkotó határozta meg öt + öt, azaz tíz évben.
[56] Nem vitatottan a törölni kért referenciaadatok átadására - a Zrt. mulasztása okán - 2019. március 8-án sor került. Az adatokat a szerződés felmondásakor, azaz 2009. március 18-án kellett volna továbbítani a KHR-be. Az ekkor hatályos régi Hpt. 130/A. § (9) bekezdése szerint a Khrtv. 8. § (2) bekezdés a) pontja szerinti határidő kezdő napja legkésőbb a szerződés felmondásának napja volt.
[57] A Kúria szerint az adatkezelés és ezáltal a mulasztási adatok KHR-ben történő nyilvántartásának időtartama nem függhet attól, hogy a referenciaadat-szolgáltató ezen kötelezettségének mikor tesz eleget. Az adatkezelés jogszabályban rögzített időtartama nem hosszabbodhat meg a referenciaadat-szolgáltató mulasztása miatt azért, mert a Zrt. a jogszabályi kötelezettsége ellenére nem intézkedett haladéktalanul a referenciaadatok KHR-be történő továbbítása iránt. Az ettől eltérő jogértelmezés nem feleltethető meg a GDPR adatkezelés időtartamára vonatkozó előírásainak sem, mivel egy bizonytalan, a referenciaadat-szolgáltató tevékenységétől függő időponttá alakítaná az adatkezelés időtartamát.
[58] Ebből következik, a referenciaadatok átadására előírt jogszabályi időponttól számított tíz év eltelte után a mulasztási adatokat a Khrtv. értelmében, így jelen esetben is, törölni kell.
[59] Ezt követően a Kúriának a felülvizsgálati és a csatlakozó felülvizsgálati kérelemben foglaltak mentén abban kellett állást foglalnia, hogy erre a törlésre kit kell kötelezni.
[60] Nem vitatott, hogy a felperes az adatok KHR-ből történő törlésére közvetlenül nem jogosult.
[61] Az alperes határozatában a felperest kötelezte a GDPR 58. cikk (2) bekezdés c) pontja alapján a mulasztási adatok KHR-ből történő törlésére, míg a jogerős ítélet értelmében a felperes arra kötelezhető, hogy olyan referenciaadatot adjon át a Zrt2. részére, amely a mulasztási adatok törlését eredményezi.
[62] A Khrtv. 5. § (1) bekezdése értelmében a KHR olyan zárt rendszerű adatbázis, amelyben kizárólag a törvényben meghatározott referenciaadatok kezelhetők. A Khrtv. 5. § (6) bekezdése alapján a KHR adatkezelése automatizált módon történik.
[63] A referenciaadat-szolgáltató a jogszabályban rögzített szerződés megkötését követően írásban átadja a KHR részére a referenciaadatokat. A referenciaadat-szolgáltató adatátadási kötelezettsége a Khrtv. 6. § (4) bekezdése szerint a már átadott referenciaadatok módosulása esetén is fennáll. Ugyanakkor a Kúria rámutat, hogy maga az adatátadás időpontja nem minősül referenciaadatnak. Így nem pontos az elsőfokú ítélet azon rendelkezése, hogy a felperesnek olyan referenciaadatot kellene átadnia a Zrt2. részére, amely a mulasztási adatok törlését eredményezi.
[64] A Khrtv. 6. § (2) bekezdése értelmében az egymás között történő adatátadás tényéről, időpontjáról és az átadott adatok köréről mind a KHR-t kezelő pénzügyi vállalkozásnak, mind a referenciaadat-szolgáltatónak nyilvántartást kell vezetnie. E nyilvántartást a referenciaadatok nyilvántartására vonatkozó, 8. §-ban meghatározott időpontig kell kezelni. A Zrt2. kizárólag ezen adatátadás időpontjához mérten tudja a jogszabályi körben és idő eltelte után törölni az adatokat.
[65] Azt helytállóan rögzítette az elsőfokú bíróság, hogy a határozat rendelkező része, amely a kérelmező mulasztási adatainak törlésére közvetlenül a felperest kötelezi, jogszabálysértő. Miután azonban törlésre a felperes nem kötelezhető, a kérelmező kérelme pedig kifejezetten a mulasztási adatai törlésére irányult, a megismételt eljárásba a hatóságnak be kell vonnia a Zrt2-t, mint törlésre jogosult szervet és a jogellenes adatkezelés jogkövetkezményét, azaz a 10 év elteltére figyelemmel törlésre kötelezést ennek megfelelően elrendelnie. E körben utal a Kúria a polgári per kötelező alperesi konstrukciójára is.
[66] A kifejtettekre tekintettel az elsőfokú bíróság döntése a felülvizsgálati kérelemben megjelölt okokból nem jogszabálysértő, ezért az elsőfokú ítéletet a felülvizsgálati bíróság az indokolás és az új eljárásra adott utasítás pontosításával a Kp. 121. § (2) bekezdése alkalmazásával hatályában fenntartotta.
(Kúria Kfv.III.37.348/2023/5.)