A Fővárosi Törvényszék K.705072/2020/6. számú határozata határozat bírósági felülvizsgálata tárgyában. [2016. évi CXXX. törvény (Pp.) 102. § (2) bek.] Bírók: Serestyén Katalin, Sík Magdolna, Szilágyi-Horváth Eszter

Az ügy száma: 106.K.705.072/2020/6.

A felperes: felperes1

(cím1)

A felperes képviselője: ügyvédi iroda

(cím2, ügyintéző: név2 ügyvéd)

Az alperes: Nemzeti Adatvédelmi és Információszabadság Hatóság

(1125 Budapest, Szilágyi Erzsébet fasor 22/c.)

Az alperes képviselője: ügyvédi iroda1

(cím3, ügyintéző:

név3 ügyvéd)

A per tárgya: adatvédelmi ügyben hozott NAIH/2019/5606. számú határozat felülvizsgálata

Í t é l e t:

A Fővárosi Törvényszék a felperes keresetét elutasítja.

Kötelezi a felperest, hogy 15 napon belül fizessen meg az alperesnek 140 000 (Száznegyvenezer) forint perköltséget, valamint az államnak - az illetékügyekben eljáró hatóság külön felhívására - 30.000 (Harmincezer) forint kereseti illetéket.

Az ítélet ellen fellebbezésnek nincs helye.

I n d o k o l á s

A döntés alapjául szolgáló tényállás

[1] Az alpereshez dátum8 dátum15 napján közérdekű bejelentés érkezett, amely a felperes online rendszerében fennálló, személyes-, köztük különleges adatokat érintő sérülékenységre hívta fel a figyelmet. A felperes által üzemeltetett weboldal, a weboldal3 időpontfoglaló rendszerében - weboldal1 - kezelt orvosi leletek és beutalók nyilvánosan hozzáférhetők, illetve letölthetők voltak jogosultsággal nem rendelkező felhasználók részére. Az alperes a közérdekű bejelentés alapján dátum napján hatósági ellenőrzést, majd dátum1 napján hivatalból adatvédelmi hatósági eljárást indított.

[2] Az alperes a NAIH/2019/5606. számú határozatával megállapította, hogy a felperes nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679. rendelet (a továbbiakban: Általános adatvédelmi rendelet) 32. cikk (1) bekezdés b) pontjában, 33. cikk (1) bekezdésében, valamint 34. cikk (1) bekezdésében foglalt kötelezettségének. Erre tekintettel a felperest a szükséges intézkedések és az érintettek adatvédelmi incidensről való tájékoztatásának megtételére kötelezte. Ezen túlmenően az Általános adatvédelmi rendelet 83. cikk (2) bekezdése és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 75/A. §-a alapján bírság kiszabásáról rendelkezett és a felperest az Info tv. 61. § (1) bekezdés a) pontja alapján 7.500.000 forint adatvédelmi bírság megfizetésére kötelezte.

[3] A bírság kiszabása során az Általános adatvédelmi rendelet 83. cikk (2) bekezdés a) pontjára figyelemmel a jogsértést az alacsonyabb összegű bírság kategóriájába tartozónak minősítette. A bírság kiszabása körében súlyosító körülményként vette figyelembe, hogy az incidenssel érintett személyes adatok kezelése az adatok jellegéből fakadóan magasabb kockázattal jár, ezért az adatkezelőnek fokozott elővigyázatossággal kell eljárnia és a kockázat mértékének megfelelő szintű adatbiztonságot kell garantálnia. A felperes ennek ellenére nagy számú, körülbelül 15 ezer darab személyes adat - köztük egészségügyi adatok - kezelésére használt rendszere bizalmas jellegének biztosítása érdekében nem hozott megfelelő intézkedéseket. A felperes az incidensről való tudomásszerzést követően nem tette meg az alperes részére a bejelentéssel, valamint az érintettek tájékoztatásával kapcsolatos intézkedéseit.

[4] Megállapította továbbá, hogy alapvetően magas kockázatú, különleges adatokat is érintő adatkezelés tekintetében a felperes a jogosulatlan hozzáférés kiküszöbölésére és kimutatására alkalmatlan, a kockázattal aránytalan adatbiztonsági intézkedéseket alkalmazott, amikor az egészségügyi és további személyes adatokhoz rendkívül könnyen hozzá lehetett kívülről férni anélkül, hogy ezt a felperes észlelte volna. Az ilyen adatok kezelésére való biztonsági felkészültség az egészségügyi tevékenységet főtevékenységként kifejtő, profitalapú vállalkozástól fokozottan elvárható.

[5] Súlyosító körülményként értékelte ezt meghaladóan, hogy a jogsértés a személyes adatok különleges kategóriáját érintette, az ilyen adatokra vonatkozó jogsértés esetén súlyosabb szankcionálás lehet indokolt. A hatóság az adatvédelmi incidensről a közérdekű bejelentés alapján szerzett tudomást, a felperes által az adatvédelmi incidens bejelentésére nem került sor.

[6] Enyhítő körülményként értékelte, hogy az eljárás során nem jutott tudomására olyan információ, amely arra utalna, hogy az érintetteket a jogsértés nyomán kár érte volna. A jogsértés nem volt szándékos, azt a felperes gondatlansága okozta. Értékelte enyhítő körülményként azt is, hogy a felperes az incidensről való tudomásszerzést követően azonnal intézkedést tett a feltárt sérülékenység megszüntetése érdekében.

[7] A jogkövetkezményekről való döntés meghozatala során az Általános adatvédelmi rendelet 83. cikk (2) bekezdés c), e), f), i), j) és k) pontjait nem tartotta relevánsnak. A bírság összegének meghatározásakor figyelembe vette a felperes dátum11 évi beszámolója szerinti 631.480.000 forintos bevételét, valamint tekintettel volt arra is, hogy a felperes dátum8 évi mérlegének elkészítésére még a határozat meghozatalakor nem került sor, így erre vonatkozó adat nem állt rendelkezésre. A vezetői becslések ugyanakkor a felperes dátum8 évi várható bevételét 800.000.000 forint összegre tették. Az alperes így a jogsértés súlyára a felperes gazdasági adataira tekintettel a kiszabott bírság mértékét arányosnak ítélte.

A felperes keresete és az alperes védirata

[8] A felperes keresetlevelében elsődlegesen az alperesi határozat megváltoztatását kérte akként, hogy a bíróság a bírság kiszabását mellőzze, másodlagosan pedig a bírság mérséklését kérte. Hivatkozott arra, hogy az Info tv. 75/A. §-a alapján az alperesnek a bírság kiszabása körében a fokozatosság elvével összhangban kellett volna eljárnia, így elsődlegesen figyelmeztetnie kellett volna, bírság kiszabására első alkalommal csak kirívóan súlyos esetben kerülhetett volna sor. Rögzítette, hogy vele szemben ezt megelőzően adatvédelmi hatósági eljárásra nem került sor, az adatvédelmi rendelkezéseket minden alkalommal korábban betartotta, így semmi sem indokolta álláspontja szerint első alkalommal ilyen jelentős összegű bírság kiszabását.

[9] Hangsúlyozta, hogy az alperes a bírság indokolása körében nem adott egyértelmű választ arra, hogy miért nem vette figyelembe az Info tv. 75/A. §-ának rendelkezéseit és miért nem alkalmazta a figyelmeztetést, mint szankciót első alkalommal. Véleménye szerint a figyelmeztetés alkalmazása azért is indokolt lett volna, mivel az első alkalommal történt jogsértés nem volt szándékos.

[10] Előadta, hogy az adatvédelmi szabályok betartására kiemelt figyelmet fordít, megfelelő szaktudású szakembereket vett igénybe a honlap elkészítésére, magas védelmi szintű honlapot üzemeltet, szándékosságnak még a gyanúja sem merült fel. Az incidensről nem volt tudomása mindaddig, amíg arról az alperes nem tájékoztatta, az incidensről való tudomásszerzést követően pedig haladéktalanul intézkedett a jogsértés megszüntetéséről, folyamatosan együttműködött az alperessel, nem titkolt el információt az alperes előtt. Az incidens során tényleges károsodás nem következett be, így álláspontja szerint a figyelmeztetés, mint szankció alkalmazása is elegendő lett volna. Hangsúlyozta, hogy a határozat honlapon történő kötelező megjelentetése számára így is jelentős kárt okozott.