A Fővárosi Törvényszék K.700223/2019/14. számú határozata adatvédelem tárgyában. [2011. évi CXII. törvény (Infotv.) 3. §, 60. §, 61. §, 75/A. §, 2017. évi I. törvény (Kp.) 88. §, 89. §] Bírók: Bögös Fruzsina, Surányi Katalin, Szilas Judit

A Fővárosi Törvényszék,

mint elsőfokú bíróság

101.K.700.223/2019/14.

A Fővárosi Törvényszék a Czeglédy és Társa Ügyvédi Iroda (..., eljáró ügyvéd: dr. Fodor Tímea) által képviselt ... felperesnek a dr. Számadó Tamás kamarai jogtanácsos által képviselt Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/C., hivatkozási szám: NAIH/2019/2668/2.) alperes ellen adatvédelmi ügyben hozott közigazgatási határozat jogszerűségének elbírálása iránt indított perében meghozta az alábbi

í t é l e t e t :

A törvényszék az alperes 2019. március 21. napján kelt NAIH/2019/2668/2. számú határozatának 3. pontját megsemmisíti és e körben az alperest új eljárásra kötelezi, egyebekben a felperes keresetét elutasítja.

A kereseti illetéket az állam viseli.

Az ítélet ellen a közléstől számított 15 napon belül van helye fellebbezésnek, amelyet a Kúriához címzetten a Fővárosi Törvényszéknél kell jogi képviselő útján az elektronikus kapcsolattartás szabályai szerint előterjeszteni.

I n d o k o l á s

Az alpereshez 2018. augusztus 23. napján közérdekű bejelentés érkezett, amely szerint a felperes által üzemeltetett ... honlaphoz köthető, személyes adatokat tartalmazó felhasználói adatbázis nyilvánosan elérhető az interneten. Az adatbázis felhasználói e-mail címeket, felhasználói neveket és titkosított formában a belépéshez szükséges jelszavakat tartalmazott. Az alperes a közérdekű bejelentés alapján 2018. szeptember 14. napján hatósági ellenőrzést indított arra vonatkozóan, hogy a felperes maradéktalanul eleget tett-e a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács 2016/679 rendelet (2016. április 27.) (a továbbiakban: általános adatvédelmi rendelet) 33-34. cikkeiben foglalt kötelezettségeinek, továbbá az információs önrendelkezési jogról és az információs szabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) hatályos előírásainak. Az alperes 2018. november 21. napján az Info tv. 60. § (1) bekezdése alapján hatósági eljárást indított, amelyről a felperest értesítette.

A felperes nyilatkozatában előadta, hogy a támadás egy, a honlap beállításaiból adódó adatbázis-sérülékenység miatt valósulhatott meg, amely abban állt, hogy a támadó képes volt a weboldalon át közvetlenül kapcsolatba lépni az adatbázissal, így annak utasításokat adhatott. A támadónak a sérülékenység miatt sikerült kinyernie az adatbázis-szerveren található, a tesztrendszerben tárolt összes felhasználó adatát. A nyilvánosságra került adatbázis tartalmazza a regisztrált felhasználók teljes nevét, a regisztráció során megadott felhasználónevét, e-mail címét, illetve titkosítva a belépéshez szükséges jelszót. Az adatbázis összesen 11.614 darab rekordot tartalmazott. A felperes tájékoztatása szerint az incidens konkrét időpontja nem ismert, az incidensre vonatkozó blogbejegyzés szerint a sérülékenység észlelése a hacker által már 2018. áprilisában megtörtént, és erről már akkor értesítette a felperest, erről azonban nem állnak rendelkezésre bizonyítékok. A felperes nyilatkozata szerint az incidensről az első jelzést 2018. augusztus 22. napján este kapta meg e-mail üzenetben. A felperes az incidensről az érintetteket nem tájékoztatta, arra hivatkozva, hogy az érintett adatok régiek, elavultak, így a párt jelenlegi szimpatizánsainak, tagjainak a párt által tárolt és kezelt adatait nem érintette az incidenst. A felperes az incidenst nem vette az általános adatvédelmi rendelet 33. cikk (5) bekezdése alapján nyilvántartásba, arra hivatkozva, hogy az eset nem érintette az élő adatbázisát.

Az alperes 2019. március 21. napján kelt NAIH/2019/2668/2. számú határozatával megállapította, hogy a bekövetkezett adatvédelmi incidenssel kapcsolatban a felperes nem tett eleget az általános adatvédelmi rendelet 33. cikke alapján fennálló incidensbejelentési és a 34. cikke alapján fennálló érintetti tájékoztatási kötelezettségének. Erre tekintettel utasította a felperest, hogy a határozat véglegessé válásától számított 15 napon belül tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről, továbbá rögzítse az adatvédelmi incidens tényét, annak hatásait, és az orvoslására tett intézkedéseket az általános adatvédelmi rendelet 33. cikk (5) bekezdése alapján vezetett nyilvántartásában. Kötelezte továbbá határozatával a felperest 11.000.000 forint adatvédelmi bírság megfizetésére, végül elrendelte a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát.

Az alperes határozatának indokolásban az adatvédelmi incidens bejelentésének elmulasztása körében megállapította, hogy a felperes megsértette az általános adatvédelmi rendelet 33. cikk (1) bekezdését. E körben kifejtette, hogy az adatvédelmi incidensről a felperes legkésőbb 2018. augusztus 22. napján este tudomást szerzett, az incidens bejelentésére pedig annak ellenére nem került sor a határozat meghozataláig, hogy megindította a hatósági ellenőrzést, majd a hatósági eljárást a felperessel szemben. Nem fogadta el a felperes azon indokát, miszerint az adatvédelmi incidens nem járt kockázattal a természetes személyek jogaira és szabadságaira nézve. Kiemelte, hogy azon felperesi érvelés sem foghatott helyt, miszerint az adatbázis régi, elavult adatokat tartalmazott, csak tesztadatbázisnak minősült, és az a felperes jelenlegi, élő adatbázisait nem érintette. Kifejtette, hogy az érintettekre jelentett kockázat értékelése szempontjából nincs annak jelentősége, hogy az adatok mikor keletkeztek, továbbá, hogy a felperes milyen célból és milyen rendszer részeként gyűjtötte azokat eredetileg, különös figyelemmel arra, hogy az adatkezelő az általa kezelt személyes adatok kezelésére vonatkozó követelményeknek az adatkezelés teljes időszakában köteles eleget tenni. Az, hogy az incidenssel érintett adatalanyok esetében a személyes adat esetleg már nem aktuális, önmagában nem jelenti azt, hogy az adatok akár a személyes adat, akár a különleges adat jellegüket elvesztették volna. E körben arra is hivatkozott, hogy különösen nem fogadható el a felperes indoka a személyazonosításra alkalmas adatok nyilvánosságra kerülése vonatkozásában, ezek esetében ugyanis az érintett magánszférájára jelentett kockázat jellemzően magas, ezek vonatkozásában könnyen elkövethető a személyazonossággal visszaélés. A magas kockázati besorolást megalapozza az is, hogy az incidens olyan személyes adatokat érintett, amelyekből az érintettek politikai véleményére vonatkozó következtetést lehet levonni. Kiemelte, hogy valamely politikai szervezethez tartozás, még ha esetleg múltbéli is, mindenképpen az adott személy politikai véleményét tükrözi, továbbá, az adatbázisból nem derül ki az adatok nem aktuális vagy nem valós jellege. Végül e körben utalt arra, hogy a különleges adatok az érintettek nagy részénél nem voltak más forrásból kideríthetőek, azok kizárólag a perbeli incidens kapcsán kerültek nyilvánosságra. E körben hivatkozott az általános adatvédelmi rendelet 9. cikk (1) bekezdésére és a (75) preambulum bekezdésében foglaltakra is. Minderre tekintettel arra a megállapításra jutott, hogy a felperesnek az incidenst a tudomásszerzést követően 72 órán belül azt be kellett volna jelentenie részére.