GDPR bírság magánszemélynek? Az első magyar eset elemzése

Megbüntették az első magánszemélyt! A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nemrég hozta nyilvánosságra saját honlapján még tavaly decemberi határozatát, amelyben 300 000 forintos adatvédelmi bírságot szabott ki egy – hazánkban az első – magánszemélyre. Vagyis immár nemcsak a „céged”, hanem személy szerint „te magad” is kaphatsz büntetést.

Ismét új irányt vett a NAIH jogértelmezése: magánszemély adatvédelmi bírságolása ugyanis nemcsak a korábbi hazai gyakorlatban volt példátlan, de eddig mindössze kétszer éltek vele az egész EU-ban is. A NAIH ezt megelőzően egyetlen magánszemély adatkezelőt marasztalt el, ám őt bírsággal nem sújtotta, csupán figyelmeztette.

E cikkükben röviden bemutatjuk az esetet, az eljárás során felhozott érveket és ellenérveket, illetve magát a döntést. Mindezt többek között azért, hogy felhívjuk rá a figyelmet, nem csupán cégek, vállalkozások, nagyvállalatok kötelesek betartani a GDPR előírásait, hanem bizony magánszemélyek is beleeshetnek a jogalap nélküli adatkezelés csapdájába.

A Hatóság által feltárt tények szerint kérelmezett magánvádlóként kezdeményezett büntetőeljárást a jogtanácsosként tevékenykedő kérelmezővel szemben a Pesti Központi Kerületi Bíróság előtt. A feljelentés tárgya magántitok megsértése volt, ugyanis kérelmező illetéktelenül, ok nélkül adott át magántitkokat tartalmazó információkat mások részére.

A büntetőeljárás meg is indult, a bíróság kérelmezőnek idézést küldött ki, sikertelen kézbesítéssel. Kérelmezett ekkor úgy gondolta, saját kezébe veszi az irányítást, és a bírósági iratbetekintés során fényképeket készített a kérelmező részére megküldött idézést tartalmazó, felbontatlan borítékról. Ezt e-mailben megküldte kérelmező munkahelyére, ahol az jogtanácsosként dolgozott. A levél egy olyan központi e-mail-címen landolt, amelyhez körülbelül kétszázan fértek hozzá, és külön címzettként szerepelt néhány további kolléga is, akik így mind tudomást szereztek kérelmező büntetőügyéről.

Kérelmező emiatt fordult az adatvédelmi hatósághoz. Amelynek bevonását követően kérelmezett újabb ügyet indított a bíróságon kérelmezővel szemben, és mondhatni, kissé nonszensz módon, az idézést ezúttal is elküldte a korábbi címzetteknek.

Az ügyben felmerült legfontosabb kérdések:

• A GDPR vagy az Infotörvény hatálya alá tartozik az ügy?
• Adatkezelőnek minősül-e a természetes személy?
• Háztartási, otthoni adatkezelés kivételkörébe tartozhat az adatkezelés?
• Bűnügyi adatok-e a szóban forgó büntetőeljárás adatai?
• Van-e hatósági jogköre a magánvádlónak?

Kérelmezett e-mailjeiben – ellentétben az állításával –, a kérelmező nevén, lakcímén túl szerepeltek a büntetőeljárással kapcsolatos információk is, úgymint az eljárásjogi pozíciója és a bűncselekmény jellege is. Ezek az adatok az Infotörvény 3. § 4. pontja alapján bűnügyi személyes adatnak minősülnek, így a GDPR szerinti különleges személyes adatok kategóriájába tartoznak.

Kérelmezett ezeket az adatokat e-mailben elküldte, továbbította harmadik személyeknek, ezáltal adatkezelést végzett, így adatkezelőnek minősül, hiszen ő határozta meg az adatkezelés módját (e-mail küldése) és célját (idézések eljuttatása kérelmezőnek, hogy megjelenjen a bíróságon). Kérelmezett úgy érvelt, hogy neki nincs adatkezelési tájékoztatója, ezért nem lehet adatkezelő, de ez az érv nem helytálló. Az adatkezelési tájékoztató megléte egy előírás az adatkezelők részére, de egy személy adatkezelői minőségét nem a tájékoztató hiánya vagy megléte teremti meg. A GDPR szerint adatkezelő természetes személy is lehet! A Hatóság kimondta azt is, hogy attól függetlenül fordulhat hozzá bármely érintett, hogy előtte magát a kérelmezettet megkereste volna, ez nem előfeltétele ugyanis a hatósági eljárásnak.

Az ügyre alkalmazandó jogszabálynál azt vizsgálta a NAIH, hogy beszélhetünk-e bűnüldözési célú adatkezelésről (mert akkor az Infotörvény vonatkozik rá), illetve, hogy ha nem, akkor olyan magáncélú adatkezelésnek tekinthető-e, amely nem tartozik a GDPR hatály alá. Mivel a magánvádló nem hatóság, hatósági bűnüldözési adatkezelésről tehát szó sincs. A bűnüldözési célú adatkezelés, amelyre nem vonatkozik a GDPR, kizárólag hatóságok tekintetében értelmezhető, magánszemély vádlóra semmiképp.
Magáncélú adatkezelésnek pedig azért nem mondható a jelen eset, mert kérelmezett a feljelentett személy bűnügyi személyes adatait továbbította a büntetőeljárásban semmilyen szerepben részt nem vevő harmadik személyeknek. A Hatóság szerint legfeljebb akkor minősülhetett volna a két e-mail elküldése személyes tevékenység keretében végzett adatkezelésnek, ha azt a kérelmezett kizárólag közvetlenül a kérelmezőnek küldte volna meg.

Mindezek alapján tehát azt állapította meg a Hatóság, hogy az ügy a GDPR hatálya alá tartozik. Továbbá, hogy kérelmezett jogalap nélkül kezelte a személyes adatokat, megsértette a jogszerű és tisztességes, célhoz kötött adatkezelés követelményét. Fentiek alapján és a határozatot végigolvasva láthatjuk, hogy több fontos megállapítást tettek, túlmenően azon, hogy a vétkes magánszemélyt pénzbírsággal (ebben az esetben 300.000 forintos büntetéssel) sújtották.

Egyébként magánszemélyek adatvédelmi bírságolása mindösszesen kétszer fordult eddig elő, mindkettő Németországban, 2019 elején. Az egyik esetben egy magánszemély közösségimédia-posztban jogellenesen osztott meg egy másik magánszemélyről személyes adatokat (119 €), a másik esetben egy elküldött e-mail került 2628 euróba azért, mert a címzettlista nem volt titkosítva, így mindenki láthatta a többi címzett e-mail-címét.