Előzmények
2020 májusában a Nemzeti Adatvédelmi és Információszabadság Hatóság (“NAIH”) 100 millió forintos (kb. 280,000 euró) bírságot szabott ki a DIGI Távközlési és Szolgáltató Kft.-vel (“Digi”) szemben a GDPR 5. cikk (1) bekezdés b) és e) pontjai (a célhoz kötöttség és a korlátozott tárolhatóság elvei) és a 32. cikkének (megfelelő technikai és szervezési intézkedések végrehajtása) megsértése miatt.
A NAIH döntése szerint a Digi ügyféladatbázisának egy részéből létrehozott egy tesztadatbázist bizonyos hibák kijavítása céljából. A tesztadatbázis a hibák kijavítása után nem került törlésre, és a Digi nem hozott megfelelő technikai és szervezési intézkedéseket az adatbázis védelme érdekében (a döntés értelmében évek óta fennálló sérülékenységről volt szó, amelyet a Digi nem fedezett fel).
Az adatbázis hibáját egy etikus támadó fedezte fel, aki azt jelezte a Diginek (elküldte annak bizonyítékát is, hogy valóban hozzáférhetett személyes adatokhoz). A támadó jelentése szerint a tesztadatbázis sebezhetősége miatt sok előfizető személyes adata vált hozzáférhetővé, valamint egy másik adatbázisban a közvetlen marketing anyagok küldéséhez hozzájáruló személyek és rendszergazdák személyes adatai is elérhetővé váltak a gyenge biztonsági intézkedések miatt. A Digi ekkor határidőben bejelentette az adatvédelmi incidenst a NAIH-nak, amely ezúton szerzett arról tudomást.
A GDPR 5. cikk (1) bekezdés b) és e) pontja előírja, hogy a személyes adatok
b) “gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);”
e) “tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);”
A NAIH döntése többek között kifejti, hogy a tesztadatbázis létrehozásának célja (a hibák kijavítása, amely törvényes adatkezelései cél lehet) különbözik az eredeti adatbázis létrehozásának céljától (amely az ügyfelekkel kötött szerződés teljesítése), és a tesztadatbázist törölni vagy az abban szereplő személyes adatokat anonimizálni kellett volna, miután a hibákat kijavították, és törlés vagy anonimizálás hiányában nem volt törvényes jogalapja az adatkezelésnek, ezért a tesztadatbázisban szereplő adatok kezelése sérti a GDPR 5. cikk (1) bekezdésének b) és e) pontját.
Előzetes döntéshozatali eljárás kezdeményezése
A Digi a NAIH döntésének bírósági felülvizsgálatát kérte a hatáskörrel rendelkező magyar bíróságtól, amely előzetes döntéshozatali eljárást kezdeményezett az Európai Unió Bírósága („EUB”) előtt, és a következő két kérdést terjesztette elő:
Úgy kell-e értelmezni a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR) 5. cikke (1) bekezdésének b) pontjában meghatározott „célhoz kötöttséget”, hogy annak továbbra is megfelel az, ha az adatkezelő az egyébként jogszerű célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan egy másik adatbázisban is tárolja, avagy a párhuzamos adatbázis tekintetében az adatgyűjtés jogszerű célhoz kötöttsége már nem áll fenn?
Amennyiben az 1) kérdésre a válasz az, hogy maga a párhuzamos adattárolás nem összeegyeztethető a „célhoz kötöttség” elvével, akkor összeegyeztethető-e a GDPR 5. cikke (1) bekezdésének e) pontjában meghatározott „korlátozott tárolhatóság” elvével, ha az adatkezelő az egyébként jogszerűen, célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan tárolja egy másik adatbázisban?
A magyar bíróság kérdéseket tartalmazó előterjesztése kifejti, hogy:
a Digi arra hivatkozik, hogy az eredeti és a párhuzamos adatbázis adatkezelésének jogalapja az ügyfelekkel kötött szerződés teljesítése, a párhuzamos adatbázis létrehozásával biztosítani kellett az ügyfelek adatainak elérhetőségét. A célhoz kötöttség elve nem tiltja az adatok másolását, még ha a párhuzamos adatbázis megléte növeli is az adatvédelmi kockázatokat, az csak adatbiztonsági kérdésként értékelendő, nem pedig az adatvédelmi elvek megsértéseként. A párhuzamos adatbázis használata tehát nem sérti a célhoz kötöttség elvét;
a korlátozott tárolhatóság elvét illetően a Digi arra hivatkozik, hogy az ügyfelek adatai kezelésének célja nem a hibák kijavítása volt, így az adattárolási időszak nem kapcsolható össze a hibák kijavításával. A Digi szerint csupán azért, mert a hibák kijavítása után nem törölte a tesztadatbázist, nem sértette meg a korlátozott tárolhatóság, jogszerűen tárolta az adatokat egy párhuzamos adatbázisban.
A magyar bíróság azt kérdezi, hogy a párhuzamos adatbázis létrehozása miatt megváltozik-e az adatkezelés célja, és hogy az adatok párhuzamos adatbázisban történő tárolása megfelel-e a célhoz kötöttség elvének. A bíróság véleménye szerint a célhoz kötöttség elve nem ad egyértelmű útmutatást arról, hogy az adatkezelő a belső rendszerein belül milyen módon kezelheti a jogszerűen gyűjtött személyes adatokat, és hogy a jogszerűen gyűjtött személyes adatokat át lehet-e másolni egy tesztadatbázisba a feldolgozás céljának megváltozása nélkül.
Kérdés, hogy az EUB milyen véleményt formál az ügyben.
