dr. Zárai Eszter
A Be. és a GDPR találkozási pontja:
A „Magánvádló” adatkezelési és adattovábbítási tevékenysége és annak adatvédelmi aspektusai egy konkrét jogeset kapcsán
Előadás:
2022. szeptember 08.
Témám: Be.
és a GDPR találkozási pontja: A „Magánvádló” adatkezelési és adattovábbítási
tevékenysége és annak adatvédelmi aspektusai egy konkrét jogeset kapcsán
Ügyszám:
NAIH-2868 – 23/2021.
Készítette: dr.
Zárai Eszter ügyvéd
***
Tartalom:
I. Jogeset leírása, tényállás
II. Alkalmazott jogszabályok
III. Találkozási pontok
IV. A NAIH döntése
V. Konklúzió/átvezetés
***
I. Jogeset
leírása, tényállás
1.1. Kérelmezett (az adatvédelmi eljárás
Kérelmezettje) feljelentésével magánvádas
büntetőeljárást kezdeményezett a Kérelmezővel (jelen adatvédelmi
eljárás Kérelmezőjével), mint magánszeméllyel (egyébként Jogtanácsos) szemben a
PKKB előtt, mert ő, ok nélkül adta át az ügy másik két terheltjének az ő „szigorú
magántitkát”, amely egy magán levele volt. Az ügyben büntetőeljárás indult
magántitok megsértése miatt. Az ügyben a PKKB személyes meghallgatást tűzött
ki, ahova a Kérelmezőt feljelentettként kísérelte meg idézni. Tekintettel arra,
hogy valami oknál fogva a PKKB nyilvántartásában téves cím szerepelt, a
kézbesítés Kérelmező részére történő kézbesítése sikertelen maradt, mert az a cím
„nem azonosítható” jelzéssel érkezett vissza. Később történt egy másik címre is
egy kézbesítési kísérlet, de az pedig „nem kereste” jelzéssel érkezett vissza. A
Kérelmezett a büntetőeljárás anyagaiba történő iratbetekintés során értesült
arról, hogy Kérelmező a leveleket nem veszi és nem vette át, így a felbontatlan
borítékot és az idéző végzést elküldte az egyébként Jogtanácsosként dolgozó Jogtanácsos
munkahelyére, mely levelet így megkapta a Társaság kamarai jogtanácsosa,
igazgatósági elnöke, felügyelőbizottságának tagja és még egy pár alkalmazottja
által is használt és látott email címére. A megküldött idézés bevezető része
alapján a címzettek előtt egyértelművé vált, hogy a Kérelmező ebben a büntetőügyben
„terhelt” és egyébként maga az idézés is számos, a Kérelmezőre vonatkozó bűnügyi
személyes adatot tartalmazott. Az emailből kiderült az is, hogy ez azért került
megküldésre, hogy a Kérelmező ne tudjon a büntetőjogi felelőssége alól kibújni,
és hogy az eljárás ne húzódjon el feleslegesen.
1.2. Később világossá vált, hogy az email cím, ahova a levél érkezett egy központi email
cím, amihez 142 fő fér hozzá.
1.3. A Kérelmezett – már az adatvédelmi
hatósági eljárás iránti eljárásban - védekezésül előadta:
- a Kérelmező nevén és email címén kívül
más személyes adatát nem küldte meg az email címre,
- az adattovábbítás célja az volt, hogy
a Kérelmező biztosan megjelenjen a tárgyaláson,
- panaszként is szolgált ez az email a
társaság felé (kvázi ez egy panasz levél is volt).
1.4. A Kérelmezett kérte:
- az eljárás megszüntetését, mert hogy
nem lépett túl a személyes célon, az adatkezelésére, mint magánvádló az
Infotv. szabályai vonatkoznak, hiszen büntetőügyben, mint magánvádló jár el
(megjegyezve azt is, hogy a NAIH jelen eljárással az Infotv-be ütközően
tisztességtelenül avatkozik bele a büntetőeljárásokba),
- az eljárás megszüntetését, abból az
okból is, hogy levele nem tartalmazott a néven kívül személyes
adatokat,
- az eljárás megszüntetését, arra
hivatkozással, hogy ő magánszemély, nem adatkezelő, alapvetően még az
Infotv. sem vonatkozik rá (nemhogy a GDPR), egyebekben ő, mint személyes és
otthoni tevékenysége keretében küldte meg az emailt.
1.5. A Kérelmező kérte:
A Adatvédelmi bírság kiszabását, a
jogellenes adattovábbítás tárgyában, mert a Kérelmezett megsértette a
-
GDPR 5. cikk (1) bekezdés a) pontja
szerinti jogszerű és tisztességes adatkezelés elvét,
-
GDPR 5. cikk (1) bekezdés b) pontja
szerinti célhoz kötött adatkezelés elvét,
-
GDRP 6. cikk (1) bekezdését és a 9. cikk
(1) bekezdését.
II. Alkalmazott
jogszabályok ( a teljesség igénye nélkül, lásd NAIH határozat)
2.
GDPR (18) preambulumbekezdés: ez
a rendelet nem alkalmazandó a személyes adatoknak a természetes személy által
kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére,
amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható
összefüggésbe.
GDPR 2. cikk (2) bekezdés: E
rendelet nem alkalmazandó:
c) természetes személyek kizárólag
személyes vagy otthoni tevékenységük keretében végzik,
d) az illetékes hatóságok bűncselekmények
megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőtjogi
szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető
veszélyekkel szembeni védelmet és a veszélyek megelőzését.
GDPR 5. cikk (1) bekezdés a-b)
pont
GDPR 6. cikk (1) bekezdés
GDPR 9. cikk (1)-(2) bekezdés
Infotv. 2. § (3) bekezdés:
személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére e
törvényt kell alkalmazni.
Be. 37. §
Be. 53. § (1) bekezdés a) pont: A magánvádló az a
sértett…….
Be. 98. § (3) bekezdés: ha
az érintett adatkörre vonatkozó jogszabály másként nem rendelkezik a
büntetőeljárásban részt vevő személyek az e törvény rendelkezései alapján megismert
személyes adatot és védett adatot e törvény szerinti jogaik gyakorlásához vagy
kötelezettségük teljesítéséhez szükséges mértékben és ideig kezelhetik.
III. Találkozási
pontok/Eldöntendő kérdések
3.1. Kérelmezett adatkezelő-e és a kezelt adat személyes
adat-e?
3.2. Mint magánszemély a GDPR hatálya alá tartozhat-e?
3.3. GDPR vagy az Infottv. hatálya alá tartozik-e az
ügy? (hiszen magánvádló)
3.4. A kifogásolt adatkezelés személyes vagy otthoni
tevékenység keretében végzett adatkezelés-e?
3.5. Adatkezelés jogszerű volt-e, volt-e jogalapja
és alapelvek sérültek-e?
IV. A NAIH döntése
A Kérelmezett adatkezelő (hiszen adatot
továbbított) és az Infotv. 3. § 4. pontja szerinti bűnügyi, személyes adatokat kezel,
mivel a GDPR hatálya kiterjed a természetes személyekre is, ezért minőségét nem
érinti az, hogy mint természetes személy jár el. Bár valóban a Kérelmezett magánvádló,
de az ügybéli adattovábbítása nem esett a GDPR 2. cikk (2) bekezdés d) pontja
szerinti kivételszabály alá, így egyértelmű volt a GDPR hatálya alá tartozik az
ügy, ami tekintettel a központi emailre történő megküldésre, nem volt tekinthető
személyes vagy otthoni tevékenység keretében végzett tevékenységnek. A Kérelmezett
túlterjeszkedett továbbá magánvádlói minőségén is, mivel szinte a bíróság
helyett kézbesített idézést a Kérelmezőnek, így az adatkezelés célhoz
kötöttsége sérült, mivel a Be. 98. § (3) bekezdése alapján személyes adatok
csak a szükséges mértékig és ideig kezelhetők. Konkrét ügyben a jogalap egyedül
a GDPR 6. cikk (1) bekezdés f) pontja lehetne, így a jogos érdek, de az a jogos
érdek túl terjeszkedik a Be. 98. § (3) bekezdésén, az adatkezelés tisztesség
volta pedig egyértelműen sérült, mivel a Kérelmezett megsértette az érintett
információs önrendelkezési jogát és ezen belül a magánszféráját, hiszen az e-mailek
megküldése egyértelműen alkalmasak voltak arra, hogy a Kérelmező megítélését hátrányosan
befolyásolják munkatársai előtt.
V. Konklúzió/átvezetés
„Nem minden az, aminek látszik I.”. Bár
a Kérelmezett, magánvádlói minőségben „dőlt hátra” és mosta kezeit, az Infotv.
mögé burkolózva, egyes adatkezelési tevékenységét nem átgondolván, azt
gondolta, hogy a magánvádlói minősége megvédi a GDPR-tól, azonban nem számolt
azzal, hogy a magánvádló, bár bizonyos értelemben a vádat képviseli, de
hatósági jogkörökkel nem rendelkezik, így nem volt lehetősége olyan hatósági
döntéseket hozni, sőt alkalmazni, hogy egy idéző végzést kézbesítsen.
„Nem minden az, aminek látszik II.”. A
fenti okfejtésnek viszont az „Inverse” is igaz, mely szerint vannak a hatóságok
és bíróságok működödésében is olyan adatkezelés, melyek ugyan az Infotv. égisze
alatt kerülnek kezelésre, mégis túl terjeszkednek azon. Álláspontom szerint,
konkrét példát is mondva, pl az ügyvédek személyes adatainak továbbítása az
egyes ügyekben és ügycsoportokban (csak azért mert az ügyvéd személyes adata az
e-papíron a rendszer természeténél fogva látszik) túl mutat az Infotv.-en és
sok esetben inkább a GDPR hatálya tartoznának. Ezen esetek kimunkálása még
folyamatban, de a fenti jogeset kapcsán is fel kell hívni a figyelmet arra,
hogy adatok kezelése, továbbítása kapcsán minden esetben, mindenkinek végig
kell gondolni, hogy az adott adatkezelés hogyan illeszkedik az adott tevékenységhez
és a szükséges mértékhez.
***
dr. Zárai Eszter
ügyvéd
Zárai Ügyvédi Iroda
