A Kúria Kf.37998/2019/10. számú precedensképes határozata közigazgatási határozat bírósági felülvizsgálata tárgyában. Bírók: Sperka Kálmán, Sugár Tamás, Vitál-Eigner Beáta

A határozat elvi tartalma:

A mérlegelési jogkörben hozott döntés nem jogszabálysértő pusztán azon az alapon, hogy a jogszabályban meghatározott mérlegelési szempontok közül csak azokat mutatja be, amelyeket a hatóság az adott ügy szempontjából relevánsnak tartott, a jelentőséggel nem bíró, a nem értékelt, illetve nem értelmezhető elemeket nem sorolja fel.

***********

A Kúria

mint másodfokú bíróság

ítélete

Az ügy száma: Kf.III.37.998/2019/10.

A tanács tagjai: Dr. Sperka Kálmán a tanács elnöke, Dr. Vitál-Eigner Beáta előadó bíró, Dr. Sugár Tamás bíró

A felperes: felperes neve

A felperes képviselője: Dr. ... Ügyvédi Iroda

Az alperes: alperes neve

Az alperes képviselője: Dr. ... kamarai jogtanácsos

A per tárgya: adatvédelmi ügyben hozott közigazgatási határozat bírósági felülvizsgálata

A fellebbezést benyújtó felek: a felperes és az alperes

Az elsőfokú bíróság neve, határozatának kelte és száma: Fővárosi Törvényszék 2019. július 10-én kelt 101.K.700.223/2019/14. számú ítélete

Rendelkező rész

A Kúria a Fővárosi Törvényszék 101.K.700.223/2019/14. számú ítéletének a keresetet elutasító részét helybenhagyja, a keresetnek helyt adó részében megváltoztatja és a keresetet e körben is elutasítja.

A kereseti és fellebbezési részilleték az állam terhén marad.

Az ítélet ellen felülvizsgálatnak nincs helye.

Indokolás

A fellebbezés alapjául szolgáló tényállás

Az alperes a 2019. március 21. napján kelt - közérdekű bejelentés alapján hivatalból indult eljárásban hozott - NAIH/2019/2668/2. számú határozatában megállapította, hogy a felperes nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. évi április 27-i (EU) 2016/679 Az európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, a továbbiakban: Rendelet) 33. cikke alapján fennálló incidens bejelentési kötelezettségének, továbbá a Rendelet 34. cikke alapján fennálló érintetti tájékoztatási kötelezettségének sem a bekövetkezett adatvédelmi incidenssel kapcsolatban (1.). Ezért utasította a felperest, hogy tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről, továbbá rögzítse az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket a nyilvántartásában (2.). A jogsértés miatt kötelezte a felperest 11.000.000.- forint adatvédelmi bírság megfizetésére (3.), valamint elrendelte a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát (4.).

A határozat indokolása szerint a felperes által üzemeltetett <http://web.dkp.hu/>http://web.dkp.hu honlaphoz köthető, személyes adatokat tartalmazó felhasználói adatbázis nyilvánosan elérhetővé vált az interneten. A támadás egy, a honlap beállításaiból adódó adatbázis-sérülékenység miatt valósulhatott meg. A támadó által használt parancs publikálása révén egy informatikai szempontból alacsonyan képzett ember számára is lehetőség nyílt arra, hogy az adatbázis-szerverhez hozzáférjen és onnan adatokat szerezzen. A nyilvánosságra került adatbázis egy 2013-ban valós adatokkal feltöltött tesztrendszer része volt, amely a regisztrált felhasználók teljes nevét, a regisztráció során megadott felhasználónevét, e-mail címét, illetve - titkosítva - a belépéshez szükséges jelszót, összesen 11.614 db rekordot tartalmazott. Az incidens konkrét időpontja nem ismert, az ismeretlen támadó blogbejegyzése alapján a sérülékenység kihasználása 2018. áprilisában történhetett. A felperes nyilatkozata szerint az adatvédelmi incidensről 2018. augusztus 22-én értesült, az adatbázis-sérülékenységet a rendszerében 2018. augusztus 23-én megszüntette.

A Rendelet 33. cikk (1) bekezdésére utalással rögzítette, hogy a felperes az incidenst annak ellenére nem jelentette be a határozat meghozataláig, hogy megindította a hatósági ellenőrzést, majd a hatósági eljárást vele szemben. Álláspontja szerint nincs jelentősége annak, hogy az adatok mikor keletkeztek és annak sem, hogy azokat a felperes milyen célból és milyen rendszer részeként gyűjtötte eredetileg, mert a személyes adatok kezelésére vonatkozó követelményeknek az adatkezelés teljes időszakában köteles eleget tenni. Az adatok személyes, illetve különleges jellegüket nem vesztették el önmagában az által, hogy azok esetleg már nem aktuálisak. A magas kockázati besorolást megalapozza az is, hogy az incidens olyan személyes adatokat érintett, amelyekből az érintettek politikai véleményére vonatkozó következtetést lehet levonni. A különleges adatok az érintettek nagy részénél nem voltak más forrásból kideríthetők, azok kizárólag az incidens kapcsán kerültek nyilvánosságra.

A Rendelet 34. cikk (1) bekezdésére hivatkozással kifejtette, hogy az incidens magas kockázata indokolja annak incidens-nyilvántartásban való feltüntetését és az érintettek tájékoztatását. Az érintettek magánszférájára jelentett kockázat csak úgy mérsékelhetők eredményesen, ha tudomással bírnak arról, és megtehetik az általuk szükségesnek tartott további intézkedéseket. A nyilvántartásba vétel elmaradásának nem lehet jogszerű alapja az, hogy az adatok elavultak.

Kitért arra, hogy amennyiben a jelszavak titkosítása különösebb szakértelem, idő és költségráfordítás nélkül, bárki által visszafejhetővé válik, úgy az nem felel meg a Rendelet 32. cikk (1) bekezdése szerinti, a tudomány és technológia állásának megfelelő szintnek.

Abban a kérdésben, hogy indokolt-e az adatvédelmi bírság kiszabása, az alperes a Rendelet 83. cikk (2) bekezdése szerint mérlegelte az ügy összes körülményeit. A bírság kiszabását szükségesnek tartotta, mert a felperes nem tett eleget az incidensbejelentési kötelezettségének egy magas kockázatú, különleges adatokat is érintő incidenssel összefüggésben, és arról az érintetteket sem tájékoztatta, lényegében teljes egészében mellőzte a vonatkozó jogszabályi követelményekből következő feladatai teljesítését. Erre figyelemmel nem tartotta megfelelőnek az információs önrendelkezési jogról és az információs szabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 75/A. §-a szerinti figyelmeztetést.

A bírság kiszabása során figyelembe vette a Rendelet 83. cikk (2) bekezdésében meghatározott szempontokat és a jogsértés jellegét. Súlyosító körülményként értékelte, hogy az adatvédelmi incidens kifejezetten magas kockázattal járt; politikai véleményre vonatkozó, különleges személyes adatokat érintett, az érintettek egyéni azonosítását is lehetővé tevő, rájuk nézve további incidensek kockázatát hordozó adatok váltak megismerhető. Súlyosító körülményként értékelte továbbá, hogy a felperes tudomással bírt az incidensről, az érintett adatok különleges személyes adat jellege nyilvánvaló, mégsem tette meg a bejelentéssel, valamint az érintettek tájékoztatásával intézkedéseket, így magatartása kifejezetten magas fokon felróható. Az elavult titkosítási technológia az incidensnek az érintettek jogaira és szabadságaira nézve fennálló kockázatát kifejezetten megnövelte. Emellett az incidenssel érintettek száma magas, összesen több, mint 6.000 fő volt. Enyhítő körülményként vette figyelembe, hogy a felperes az incidensről való tudomásszerzést követően azonnal intézkedéseket tett az incidens kiváltó okának megszüntetése érdekében. Az alperes - figyelemmel arra, hogy a felperes nem ment túl a jogszabályi kötelezettségei teljesítésén - önmagában nem értékelte enyhítő körülményként azt, hogy a felperes az eljárás során az adatközlésre felhívó végzéseinek határidőben eleget tett. A bírság kiszabása körében figyelembe vette még a felperes 2017. évi beszámolója szerinti bevételét, valamint a 2018. évi költségvetés szerint előirányzott bevételét. Megítélése szerint a jogsértés súlyára és a felperes gazdálkodási adataira tekintettel a kiszabott bírság arányos mértékű.