AdatSzalon előadás: dr. Zárai Eszter - A Be. és a GDPR találkozási pontja

dr. Zárai Eszter

A Be. és a GDPR találkozási pontja: 

A „Magánvádló” adatkezelési és adattovábbítási tevékenysége és annak adatvédelmi aspektusai egy konkrét jogeset kapcsán

 

Előadás: 2022. szeptember 08.

Témám: Be. és a GDPR találkozási pontja: A „Magánvádló” adatkezelési és adattovábbítási tevékenysége és annak adatvédelmi aspektusai egy konkrét jogeset kapcsán

Ügyszám: NAIH-2868 – 23/2021.

Készítette: dr. Zárai Eszter ügyvéd

***

Tartalom:

I. Jogeset leírása, tényállás

II. Alkalmazott jogszabályok

III. Találkozási pontok

IV. A NAIH döntése

V. Konklúzió/átvezetés

***

I. Jogeset leírása, tényállás

 1.1. Kérelmezett (az adatvédelmi eljárás Kérelmezettje) feljelentésével magánvádas büntetőeljárást kezdeményezett a Kérelmezővel (jelen adatvédelmi eljárás Kérelmezőjével), mint magánszeméllyel (egyébként Jogtanácsos) szemben a PKKB előtt, mert ő, ok nélkül adta át az ügy másik két terheltjének az ő „szigorú magántitkát”, amely egy magán levele volt. Az ügyben büntetőeljárás indult magántitok megsértése miatt. Az ügyben a PKKB személyes meghallgatást tűzött ki, ahova a Kérelmezőt feljelentettként kísérelte meg idézni. Tekintettel arra, hogy valami oknál fogva a PKKB nyilvántartásában téves cím szerepelt, a kézbesítés Kérelmező részére történő kézbesítése sikertelen maradt, mert az a cím „nem azonosítható” jelzéssel érkezett vissza. Később történt egy másik címre is egy kézbesítési kísérlet, de az pedig „nem kereste” jelzéssel érkezett vissza. A Kérelmezett a büntetőeljárás anyagaiba történő iratbetekintés során értesült arról, hogy Kérelmező a leveleket nem veszi és nem vette át, így a felbontatlan borítékot és az idéző végzést elküldte az egyébként Jogtanácsosként dolgozó Jogtanácsos munkahelyére, mely levelet így megkapta a Társaság kamarai jogtanácsosa, igazgatósági elnöke, felügyelőbizottságának tagja és még egy pár alkalmazottja által is használt és látott email címére. A megküldött idézés bevezető része alapján a címzettek előtt egyértelművé vált, hogy a Kérelmező ebben a büntetőügyben „terhelt” és egyébként maga az idézés is számos, a Kérelmezőre vonatkozó bűnügyi személyes adatot tartalmazott. Az emailből kiderült az is, hogy ez azért került megküldésre, hogy a Kérelmező ne tudjon a büntetőjogi felelőssége alól kibújni, és hogy az eljárás ne húzódjon el feleslegesen.

 

1.2. Később világossá vált, hogy az email cím, ahova a levél érkezett egy központi email cím, amihez 142 fő fér hozzá.

 

1.3. A Kérelmezett – már az adatvédelmi hatósági eljárás iránti eljárásban - védekezésül előadta:

- a Kérelmező nevén és email címén kívül más személyes adatát nem küldte meg az email címre,

- az adattovábbítás célja az volt, hogy a Kérelmező biztosan megjelenjen a tárgyaláson,

- panaszként is szolgált ez az email a társaság felé (kvázi ez egy panasz levél is volt).

 

1.4. A Kérelmezett kérte:

- az eljárás megszüntetését, mert hogy nem lépett túl a személyes célon, az adatkezelésére, mint magánvádló az Infotv. szabályai vonatkoznak, hiszen büntetőügyben, mint magánvádló jár el (megjegyezve azt is, hogy a NAIH jelen eljárással az Infotv-be ütközően tisztességtelenül avatkozik bele a büntetőeljárásokba),

- az eljárás megszüntetését, abból az okból is, hogy levele nem tartalmazott a néven kívül személyes adatokat,

- az eljárás megszüntetését, arra hivatkozással, hogy ő magánszemély, nem adatkezelő, alapvetően még az Infotv. sem vonatkozik rá (nemhogy a GDPR), egyebekben ő, mint személyes és otthoni tevékenysége keretében küldte meg az emailt.

 

1.5. A Kérelmező kérte:

A Adatvédelmi bírság kiszabását, a jogellenes adattovábbítás tárgyában, mert a Kérelmezett megsértette a

-          GDPR 5. cikk (1) bekezdés a) pontja szerinti jogszerű és tisztességes adatkezelés elvét,

-          GDPR 5. cikk (1) bekezdés b) pontja szerinti célhoz kötött adatkezelés elvét,

-          GDRP 6. cikk (1) bekezdését és a 9. cikk (1) bekezdését.

II. Alkalmazott jogszabályok ( a teljesség igénye nélkül, lásd NAIH határozat)

2.

GDPR (18) preambulumbekezdés: ez a rendelet nem alkalmazandó a személyes adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe.

GDPR 2. cikk (2) bekezdés: E rendelet nem alkalmazandó:

c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik,

d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőtjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és a veszélyek megelőzését.

GDPR 5. cikk (1) bekezdés a-b) pont

GDPR 6. cikk (1) bekezdés

GDPR 9. cikk (1)-(2) bekezdés

Infotv. 2. § (3) bekezdés: személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére e törvényt kell alkalmazni.

Be. 37. §

Be. 53. § (1) bekezdés a) pont: A magánvádló az a sértett…….

Be. 98. § (3) bekezdés: ha az érintett adatkörre vonatkozó jogszabály másként nem rendelkezik a büntetőeljárásban részt vevő személyek az e törvény rendelkezései alapján megismert személyes adatot és védett adatot e törvény szerinti jogaik gyakorlásához vagy kötelezettségük teljesítéséhez szükséges mértékben és ideig kezelhetik.

III. Találkozási pontok/Eldöntendő kérdések

3.1. Kérelmezett adatkezelő-e és a kezelt adat személyes adat-e?

3.2. Mint magánszemély a GDPR hatálya alá tartozhat-e?

3.3. GDPR vagy az Infottv. hatálya alá tartozik-e az ügy? (hiszen magánvádló)

3.4. A kifogásolt adatkezelés személyes vagy otthoni tevékenység keretében végzett adatkezelés-e?

3.5. Adatkezelés jogszerű volt-e, volt-e jogalapja és alapelvek sérültek-e?

 

IV. A NAIH döntése

A Kérelmezett adatkezelő (hiszen adatot továbbított) és az Infotv. 3. § 4. pontja szerinti bűnügyi, személyes adatokat kezel, mivel a GDPR hatálya kiterjed a természetes személyekre is, ezért minőségét nem érinti az, hogy mint természetes személy jár el. Bár valóban a Kérelmezett magánvádló, de az ügybéli adattovábbítása nem esett a GDPR 2. cikk (2) bekezdés d) pontja szerinti kivételszabály alá, így egyértelmű volt a GDPR hatálya alá tartozik az ügy, ami tekintettel a központi emailre történő megküldésre, nem volt tekinthető személyes vagy otthoni tevékenység keretében végzett tevékenységnek. A Kérelmezett túlterjeszkedett továbbá magánvádlói minőségén is, mivel szinte a bíróság helyett kézbesített idézést a Kérelmezőnek, így az adatkezelés célhoz kötöttsége sérült, mivel a Be. 98. § (3) bekezdése alapján személyes adatok csak a szükséges mértékig és ideig kezelhetők. Konkrét ügyben a jogalap egyedül a GDPR 6. cikk (1) bekezdés f) pontja lehetne, így a jogos érdek, de az a jogos érdek túl terjeszkedik a Be. 98. § (3) bekezdésén, az adatkezelés tisztesség volta pedig egyértelműen sérült, mivel a Kérelmezett megsértette az érintett információs önrendelkezési jogát és ezen belül a magánszféráját, hiszen az e-mailek megküldése egyértelműen alkalmasak voltak arra, hogy a Kérelmező megítélését hátrányosan befolyásolják munkatársai előtt.

 

V. Konklúzió/átvezetés

„Nem minden az, aminek látszik I.”. Bár a Kérelmezett, magánvádlói minőségben „dőlt hátra” és mosta kezeit, az Infotv. mögé burkolózva, egyes adatkezelési tevékenységét nem átgondolván, azt gondolta, hogy a magánvádlói minősége megvédi a GDPR-tól, azonban nem számolt azzal, hogy a magánvádló, bár bizonyos értelemben a vádat képviseli, de hatósági jogkörökkel nem rendelkezik, így nem volt lehetősége olyan hatósági döntéseket hozni, sőt alkalmazni, hogy egy idéző végzést kézbesítsen.

„Nem minden az, aminek látszik II.”. A fenti okfejtésnek viszont az „Inverse” is igaz, mely szerint vannak a hatóságok és bíróságok működödésében is olyan adatkezelés, melyek ugyan az Infotv. égisze alatt kerülnek kezelésre, mégis túl terjeszkednek azon. Álláspontom szerint, konkrét példát is mondva, pl az ügyvédek személyes adatainak továbbítása az egyes ügyekben és ügycsoportokban (csak azért mert az ügyvéd személyes adata az e-papíron a rendszer természeténél fogva látszik) túl mutat az Infotv.-en és sok esetben inkább a GDPR hatálya tartoznának. Ezen esetek kimunkálása még folyamatban, de a fenti jogeset kapcsán is fel kell hívni a figyelmet arra, hogy adatok kezelése, továbbítása kapcsán minden esetben, mindenkinek végig kell gondolni, hogy az adott adatkezelés hogyan illeszkedik az adott tevékenységhez és a szükséges mértékhez.

***

dr. Zárai Eszter

ügyvéd

Zárai Ügyvédi Iroda