A személyes adatok védelméhez való jog, mint személyiségi jog megsértésének következményei – Mire kell figyelnünk Adatkezelőként, hogy elkerüljük a személyes adatok védelméhez való jog megsértését, illetve annak káros következményeit?
1. Mit jelent a személyes adatok védelméhez való jog megsértése?
A természetes személyek személyes adatok védelméhez való jogának megsértése jogellenes adatkezelés és ezzel együtt leggyakrabban adatvédelmi incidens folytán következik be. Az adatkezelő által kezelt személyes adatok biztonsága sérül, melynek folytán az adatkezelő felelősségéből adódóan az érintettet az okozott hátrány viszonylatában enyhébb vagy súlyosabb jogsérelem éri. Az általános adatvédelmi rendelet (GDPR) 4. cikkének 12. pontja értelmében adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az érintettnek és más személyeknek a jogellenes adatkezeléssel okozott hátrányok miatti polgári jogi alapú kompenzációjára a hatályos magyar jogban GDPR 82. cikkét és a Polgári Törvénykönyvről szóló 2013. V. törvény (a továbbiakban: Ptk.) szabályait kell együtt, egymásra tekintettel alkalmazni. Jelen cikkünkben a Ptk. 2:52. §- ában rögzített nem vagyoni kártérítéssel, azaz a sérelemdíjjal mint jogellenes adatkezelés alapján követelhető kártérítéssel foglalkozunk. A 2:43. § e) pontja értelmében a személyes adatok védelméhez való jog megsértése személyiségi jogi jogsértés, amely miatt a jogsérelmet elszenvedő érintett a Ptk. 2:52. § szerinti sérelemdíjat követelhet az őt ért nem vagyoni sérelemért.
2. Jogesetek
2.1.
A Szegedi Ítélőtábla Pf.20143/2021/5 számon hozott ítéletében a felperesek részére személyenként 1.000.000,-, illetve 2.000.000,- forint nem vagyoni kártérítést ítélt meg. Az alperes megsértette a felperesek személyes adatai védelméhez fűződő jogát az adatkezelése során nem megfelelő adatbiztonsági intézkedések alkalmazása által.
A II. r. felperes felettese, egy intézetvezető az I. r. felperes ortopédiai betegellátási adatait, a II. r. felperes nőgyógyászati, SBO és mammográfiai adatait, míg a III. r. felperes gyermekgyógyászati és onkológiai adatait jogosulatlanul megtekintette, így megismerte a személyes adataikon túl a részükre nyújtott ellátást, az egészségi állapotukra vonatkozó feljegyzéseket, a kezelésükkel kapcsolatos teendőket, a kezelőorvosuk nevét.
Az a tény, hogy szenzitív egészségügyi és személyes adataik a II. r. felperes felettese részéről ismertté váltak, valamint annak tudata, hogy így ezek az adatok más személyek részére is ismertté válhatnak, a felpereseket nagyon megviselte.
Az alperessel szemben indult adatvédelmi hatósági eljárásban Nemzeti Adatvédelmi és Információszabadság Hatóság NAIH/2020/402/4. számú határozatában a felperesek kérelmének helyt adott és megállapította, hogy az alperes megnevezett szervezeti egysége által alkalmazott rendszerrel összefüggésben megvalósuló adatkezelés során, a kérelmezők személyes adataival kapcsolatban bekövetkezett adatvédelmi incidenssel összefüggésben nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (GDPR) 33-34. cikkeiben foglalt kötelezettségeinek. Kötelezte az alperest, hogy a vizsgált adatvédelmi incidenst rögzítse a GDPR 33. cikk (5) bekezdés szerinti nyilvántartásába, továbbá a kérelmezőket tájékoztassa az adatvédelmi incidensről a GDPR 34. cikk (2) bekezdésében előírt módon és tartalommal. A jogsértés miatt az alperest 500.000,- Ft adatvédelmi bírság megfizetésére is kötelezte.
Az adatkezelés során ezért a jogsértés bekövetkezte bizonyított, amely egyben a személyiségi jogok megsértését is jelenti, mivel a felperesek személyi adatait arra nem jogosult személy ismerte meg.
Az elsőfokú bíróság ítéletével megállapította, hogy az alperes az adatbiztonság követelményeinek megszegésével megsértette a felperesek személyes adatok védelméhez való jogát, és kötelezte az alperest, hogy fizessen meg a felpereseknek 15 napon belül személyenként 2.000.000,- Ft-ot, míg ezt meghaladóan a keresetet elutasította. Kötelezte a felpereseket, hogy fizessenek meg az alperesnek személyenként 100.000,- Ft perköltséget. Megállapította, a pártfogó ügyvédi díj 50 %-ának viselésére – egymás közt egyenlő arányban – a felperesek, és további 50 %-ban az alperes köteles.
Az alperes, mint egészségügyi szolgáltató által kezelt egészségügyi személyes adatok megismerése történt meg a perbeli esetben jogsértő módon, amely alkalmas az adatkezelési szabályokba vetett bizalom megingatására, amely körülményt a sérelemdíj büntető funkciója kapcsán nyomatékkal kell értékelni. Növeli a hátrányt a III. r. felperes esetében, hogy a jogsértés ismétlődő jellegű (2017. április 6., május 22., június 22., augusztus 23., szeptember 25.), egészségügyi személyes adatait jogosulatlanul többször tekintették meg, míg a II. r. felperes esetében az, hogy több kezelési adatába történt a jogosulatlan betekintés, és a munkahelyi felettese részéről. Ezzel szemben az I. r. felperes esetén csupán egy napon (2016. augusztus 30.) történt adat megismerés egy ortopédiai kezelés tekintetében. Mindezeket értékelve az I. r. felperes esetében 1.000.000,- Ft, míg a II. r. és III. r. felperes esetében személyenként 2.000.000,- Ft összegű sérelemdíj tekinthető a jogsértéssel arányban állónak.
2.2.
Az EBD 2015.P.2. alapjául szolgál a Fővárosi Ítélőtábla Pf.21.261/2013/4. számon hozott ítélete, melyet a következőkben foglalunk össze. A felek közötti jogvitában alapvetően azt kellett megítélni, hogy az alperes adatkezelése során a felperes személyes adatai jogosulatlan harmadik személlyel közlésre kerültek-e. A perbeli bizonyítás alapján azt lehetett megállapítani, hogy az alperes a kezelésében levő felperesi személyes adatok közül, a tartozás tényével kapcsolatos adatot a felperes szülei előtt megismerhetővé tette. Az alperesnek erre nézve jogszabályi felhatalmazás, illetőleg a felperestől ezt érintő hozzájáruló nyilatkozat nem állt rendelkezésre. Az alperes eljárása nem felelt meg a személyes adatok kezelésével kapcsolatos jogszabályi előírásoknak, mert külön jogosultság és felhatalmazás nélkül tette megismerhetővé a felperes személyes adatát harmadik személyek számára. Az ilyen jogszerűtlen adatkezelés sértette a felperes magántitkát is, mivel méltányolható érdeke fűződött ahhoz, hogy egy banki tartozásról, annak engedményezéséről, illetőleg a vele szembeni érvényesítéséről közeli hozzátartozói ne szerezzenek tudomást, az titokban maradhasson.
Az alperesi perbeli nyilatkozat alapján nem képezhette vita tárgyát az, hogy az alperes érdekkörébe tartozó személy kifejezetten a felperes tartozásával és tartózkodási helyével kapcsolatosan telefonon megkereste a felperes szüleit. Aggálymentesen megállapítható volt az, hogy nem más követeléskezelő szervezet vagy hitelintézet munkatársa élt a megkereséssel, mert az időbeliség és a felperes édesapjának kórházi tartózkodása alapján az eset egyértelműen azonosítható volt. Az adatkezelés és a magántitoksértés szempontjából közömbös, hogy mi az elvárható magatartás a követelés érvényesítése szempontjából, ha az érintett személyes adat, amely egyben magántitoknak is minősül, jogosulatlan harmadik személy tudomására jut.
A másodfokú bíróság nem értett egyet az elsőfokú bíróság által alkalmazott nem vagyoni kártérítés mértékével. A felperest ért sérelem abban volt megragadható, hogy a családban a felperesi magántitok akkor derült ki, amikor a felperes édesapját súlyos tünetekkel kezelték, és a megkeresés hatására állapota rosszabbodott. A felperest aggodalommal töltötte el édesapja egészségiállapot-romlása, és ezt a – korábban is fennálló – helyzetét az alperes magatartása váratlanul felerősítette. Az alperesi tevékenység közvetlen oksági kapcsolatban volt a felperes lelki állapotának nem kívánt, és nem várt változásával. Az alperes magatartásának a felperesre gyakorolt közvetlen idegi és érzelmi megterhelést jelentő következménye az elsőfokú bíróság által megállapított nem vagyoni kártérítésnél jelentősebb összegű nem vagyoni kártérítéssel hárítható el. A másodfokú bíróság ezért a nem vagyoni kártérítés összegét a felperes által követelt összegre felemelte, mert az nem állt ellentétben a bírói gyakorlatban, a hasonló jellegű esetekben alkalmazott mértékkel. A felperesnek fizetendő nem vagyoni kártérítés összegét 250.000 (kettőszáz-ötvenezer) forintra és ezen összeg után 2012. február 8. napjától a kifizetésig járó késedelemmel érintett naptári félévet megelőző utolsó napján érvényes jegybanki alapkamattal megegyező mértékű kamatára felemeli. A másodfokú bíróság a nem vagyoni kártérítés összege után a Ptk. 360. § (1) bekezdése alapján kamatot is megállapított, mert azt a felperes a Pp. 146. § (5) bekezdésének c) pontja szerint a fellebbezési eljárásban is követelhette.
A fenti jogesetben tehát az alperes jogalap nélkül közölte felperes családtagjaival felperes tartozásának tényét. Felperes tartozására vonatkozó adat személyes adatának minősül. Ezen adat megosztása családtagjaival jelentős, negatív kihatással bírt a felperes lelki állapotára. A felperesnél igazolható módon fennálltak a negatív lelki ráhatás közvetlen idegi és érzelmi megterhelést jelentő következményei. A másodfokú bíróság ennek alapján sérelemdíjat és ez után járó kamatokat ítélt meg felperesnek.
3. Észrevételeink
A cikkünkben elsőként bemutatott jogeset alapján láthatjuk, hogy valóban elegendő a legapróbb figyelmetlenség – a személyes adatok megtekintése – ahhoz, hogy személyiségi jogot sértsünk, hogyha az érintettek személyes adatainak megtekintésére nem vagyunk jogosultak adatkezelőként. Ezzel az alapján sértünk személyes adat védelméhez fűződő jogot, hogy az érintett általunk megismert adatait ily módon már más is megismerheti – teljesen közömbös az, hogy nekünk valójában nem állt szándékunkban azokat másokkal megosztani. Amennyiben az adatkezelő jogosulatlanul megtekinti, ezzel megismeri az érintettre vonatkozó személyes adatokat – különösen hogyha azok különleges kategóriába tartozó, érzékeny adatok -, annak tudata, hogy azok ezáltal mások számára is ismertté válhatnak, az érintetteket az eset körülményeitől függően megviselheti, nekik lelki terhet okozhat és már ez elegendő ahhoz, hogy az érintettek személyes adatok védelméhez fűződő jogának sérelme megállapítható legyen. A jogsértést az érintettek e körben azáltal tudják bizonyítani, hogy személyes adataikat jogosulatlan személy ismerte meg. A sérelemdíj jogintézményének jellegéből adódóan az érintett részéről további hátrány bizonyítása bíróság előtt nem szükséges, csupán a jogsértés bekövetkezésének bizonyítása.
A Ptk. 2:52. § (3) bekezdése alapján a sérelemdíj mértékét a bíróság az eset körülményeire – különösen a jogsértés súlyára, ismétlődő jellegére, a felróhatóság mértékére, a jogsértésnek a sértettre és környezetére gyakorolt hatására – tekintettel, egy összegben határozza meg. A személyiségi jogában sértett érintett számára megítélt sérelemdíj a magyar joggyakorlatban igen változó mértékű. Összefoglalóan a vizsgált jogesetek alapján kijelenthetjük, hogy adatvédelemmel kapcsolatos személyiségi jogi jogsértéseknél az eset körülményeinek mérlegelése és értékelése körében kiemelendő a jogsértésnek a sértett és környezetére gyakorolt hatása – azaz, hogy milyen lelki terhet ró vagy róhat az adott jogsértés az érintettre, megközelítő becslés szerint mekkora nyilvánosság és az érintett milyen ismeretségi körben válhatnak ismertté a személyes adatok. Továbbá álláspontunk szerint jelentős az a tény is, hogy a személyes adatok mely kategóriáiba tartozó adatok vonatkozásában következik be a jogsértés. Rendkívül érzékeny adatoknak minősülnek tipikusan az egészségügyi adataink, illetve bármely olyan tulajdonságainkra vonatkozó információ, melyet magunk sem szívesen közlünk harmadik személyekkel.
Egy adatvédelmi incidens bekövetkezésének számtalan lehetséges módja van, elég hozzá csupán apróbb figyelmetlenség is az adatkezelő vagy munkavállalója részéről. E körben az adatkezelő felelőssége gondoskodni a megfelelő adatbiztonsági intézkedések megtételéről. Olyan adatkezelők számára, akik munkavégzésük vagy szokásosan végzett tevékenységük során jellemzően nagy mennyiségű személyes adatot kezelnek, különösen fontos az adatbiztonság megfelelősége mellett a szakmai kompetencia, a körültekintés és a precizitás bármely körülmények közötti megtartása minden adatkategória és adatkezelés vonatkozásában. A fentiekkel összhangban megállapítjuk, hogy egy egyszerű adminisztrációs hiba, téves címzés és adattovábbítás és különösen ezek, mint adatvédelmi incidensek túl későn észlelése és nem megfelelően az adatvédelmi előírásokkal ellentétesen történő kezelése súlyos következményeket vonhat maga után.
Miklós Péter / Czenner Gabriella
2021.12.13.
Adatvédelemmel, személyiségi jogsértéssel kapcsolatos kérdése van? Keressen bizalommal!
Miklós Péter / dmp@dmp.hu / +36306485521
