Az adatvédelmi szabályozás középpontjában a személyes adat áll, hiszen attól függően kell vagy nem kell az adatvédelmi rendelkezéseket alkalmazni, hogy sor kerül-e személyes adatok kezelésére. Annak ellenére, hogy ennyire fontos előkérdésről van szó, néha nem is olyan egyszerű eldönteni, hogy személyes-e az adat.

Nagyon érdekes szakmai vita lángolt fel a Kúria egy nyári, 2019. júniusában meghozott, elvi jelentősége miatt a közelmúltban a Bírósági Határozatok (BH) között is megjelent ítélete körül. A szakmai eszmecsere középpontjában a személyes adat fogalma áll.

A Kúria döntése (BH 2019.272) lényegében arra a kérdésre keresett választ, hogy egy állami szerv (átvevő szerv) által statisztikai céllal kezelt adatbázisban szereplő adatok, amelyeket egy másik állami szerv (átadó szerv) ad át olyan formában, hogy azokat az adattovábbítás előtt álnevesíti (pszeudonimizálja), személyes adatnak tekinthetők-e az átvevő szervezetnél. (Fontos, hogy az ügy 2014-re nyúlik vissza, így az eljárás az akkor hatályos Infotv. rendelkezéseinek alkalmazását érintette.)

Az ítélet 2. pontja alapján egyébként „az adattár nyilvános, mindenki számára elérhető, abból ún. aggregált, összesített adatokat lehet lekérdezni különböző megjelenítési és szűrőfeltételek beállításával, melynek eredményeként egy összesített adatokat tartalmazó eredménytáblázat jelenik meg a beállításnak megfelelő bontásban. Ha a megadott szűrési feltételek eredményeként ötnél kevesebb esetszám adódik, a rendszer adatot nem szolgáltat. Az alperes feladatellátása során az OEP által a részére átadott adatokkal kapcsolatba hozható személyek személyazonosító adataival nem rendelkezik, nem ismeri az adott személynek az OEP által képzett és kiadott kilenc jegyű ún. kapcsolati kódját (quasi TAJ-szám), az ehhez tartozó személyt és személyazonosító adatait.”

Az alábbiakban elsősorban néhány általánosabb, a személyes adat fogalmának és az adatvédelmi szabályok alkalmazandóságát a jövőre nézve is befolyásoló kérdésre térek ki (erre tekintettel az ügy idején hatályos Infotv. rendelkezései mellett utalok a GDPR jelenleg alkalmazandó szabályaira is).

1. Mi az a személyes adat? Mikor azonosítható egy érintett?

A GDPR alapján személyes adat az „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

Az ügy idején, az Infotv. 2014. december 14. napján hatályos szövege volt alkalmazandó, amely más struktúrában, de a fentiekhez hasonlóan határozta meg az érintett és a személyes adat fogalmát. Eszerint, „személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés; érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy.”

Érdemes figyelembe venni a fentiekkel kapcsolatban a 29-es Cikk szerinti Munkacsoport (melynek szerepét a GDPR alapján az Európai Adatvédelmi Testület tölti be) 4/2007. sz. véleményét a személyes adat fogalmáról (maga a Kúria is hivatkozik a véleményre). Ez a vélemény a személyes adat fogalmának vizsgálata kapcsán négy elemet különít el:

• „bármely információ”,
• „vonatkozó”,
• „azonosított vagy azonosítható”,
• „természetes személy”.

Ezek közül érdemes kiemelni azt, hogy mit tekintünk egy érintettre „vonatkozó” adatnak. Ahhoz, hogy egy adat/információ egy egyénre vonatkozzon három elem közül legalább egynek kell jelen lennie, ezek a „tartalom” elem, VAGY „cél” elem, VAGY „eredmény” elem. Ezek közül (a Kúria ítéletében is vizsgált ügyre tekintettel) a tartalom elemet emelem ki, amelyről a WP29 az alábbiakat mondja: „…. az információt egy adott személyről adják meg, tekintet nélkül az adatkezelő vagy harmadik személy részéről fennálló bármiféle célra, vagy az információnak az érintettre gyakorolt hatására. Az információ akkor „vonatkozik” egy személyre, amikor az adott „személyről” szól, és ez az, amit az esetet övező valamennyi körülmény fényében értékelni kell. Például az orvosi vizsgálat eredményei egyértelműen a betegre vonatkoznak, vagy a vállalati nyilvántartásban az adott ügyfél neve alatt nyilvántartott információ egyértelműen ezen ügyfélre vonatkozik.” (lásd 4/2007. sz. vélemény, 11. o.)    

A másik elem, amire érdemes kitérni, hogy mikor beszélünk „azonosított vagy azonosítható” személyről. A WP29 vélemény szerint „általában véve egy természetes személyt „azonosítottnak” tekinthetünk, ha személyek egy csoportján belül „elkülönül” a csoport valamennyi egyéb tagjától. Következésképpen a természetes személy akkor „azonosítható” – még ha az azonosításra eddig nem is került sor –, ha ennek megtétele lehetséges (ez a „-ható” képző jelentése). Így a gyakorlatban e második lehetőség az a küszöbfeltétel, amely meghatározza, hogy az információ a harmadik elem körébe tartozik-e.” (lásd 4/2007. sz. vélemény, 13. o.)

A fentiek alapján két nagyon fontos szempontot kell kiemelni, amelyre a Kúria ítélete talán nem fordított elég figyelmet:

• Az adatok, amelyeket álnevesített formában kapott meg az átvevő szerv adott természetes személyekre vonatkoznak. Még akkor is így van ez, ha maga az átvevő szerv nem tudja beazonosítani az érintetteket (azaz nem tudja a személyazonosságukat megállapítani).
• Az adatok pedig oly módon állnak rendelkezésre, hogy egyes személyek elkülönülhetnek a csoporton belül.

2. Azonosíthatóság és beazonosítás – egy és ugyanaz?

A Kúria ítélete nem tesz kellően különbséget az azonosított (azonosítható) és a beazonosított között, amikor azt rögzíti, hogy „[a] személyes adat fogalmának fent ismertetett értelmezése alapján megállapítható, hogy az adott esetben az alperes által kezelt, valamely természetes személyre vonatkozó egészségügyi adatok, a nem, a születési dátum és a lakóhely irányítószáma a természetes személy személyes adatai, amelyek alapján az érintett közvetve azonosítható. Ez azt jelenti, hogy ezek az adatok ebben az összetételben nem teszik azonosíthatóvá a természetes személyt, más forrásból származó további adatok összekapcsolásával azonban alkalmasak lehetnek az érintett természetes személy azonosítására, az érintettre vonatkozó következtetés levonására.” (Ítélet, 19. pont)

A Kúria nem vizsgálta érdemben azt a kérdést, hogy az adatokhoz kapcsolt olyan jellemzők, mint a nem, a születési dátum és a lakóhely irányítószáma alkalmasak-e, elegendők-e természetes személyek csoporton belüli elkülönítésére. Ha igen, akkor az azonosíthatóság megállapítható lehet akár további adatokkal való összekapcsolás nélkül is, legfeljebb ahhoz, hogy az adott személy személyazonosságát is meg lehessen állapítani. Itt érdemes a NAIH gyakorlatát is figyelembe venni: „A Hatóság ehelyütt fontosnak tartja kiemelni azt, hogy éles különbség van az érintett azonosítása/azonosíthatósága és személyazonossága között. Előbbi esetben a kezelt adatok lehetővé teszik az érintett szeparálását környezetétől vagy az ott lévő harmadik személyektől. Az azonosítás/azonosíthatóság arra a kérdésre ad választ tehát, hogy a kezelt információk mely személyhez tartoznak a csoporton belül. Ezzel szemben a személyazonosság annak megállapítását teszi lehetővé, hogy pontosan ki is az adott egyén. Az adatkezelő ezáltal felismeri az érintettet.” Ez azonban már egy további lépés és nem elsősorban az adat személyes adat jellegének a megállapításához kapcsolódik.

A közvetett azonosíthatóságnak éppen az a lényege, ahogy azt a WP 29 véleménye is rögzíti, hogy „… ez a kategória jellemzően az „egyedi kombinációk” jelenségére vonatkozik, legyenek azok akár kis-, akár nagyméretűek. Azokban az esetekben, ahol a hozzáférhető azonosítók kiterjedése első látásra nem teszi senki számára lehetővé az adott személy kiválasztását, attól még e személy „azonosítható” lehet, mivel az említett információ más információkkal összekapcsolva (ez utóbbi akár megvan az adatkezelőnél, akár nincs) az egyént másoktól megkülönböztethetővé teszi.” (lásd a 4/2007. sz. vélemény, 14. o.)

Érdemes itt újra utalni a NAIH gyakorlatára. A NAIH a fent hivatkozott korábbi állásfoglalásában is azt rögzítette, hogy „[a] hazai adatvédelmi gyakorlat szempontjából kiemelendő továbbá, hogy az azonosíthatóság fogalmát kiterjesztően értelmezi, azaz az információ személyes adat jellege nem függ az azt megismerő szubjektív adattartalmától, így irreleváns az, hogy az adatkezelő megfelelő egyéb ismeretek birtokában saját maga képes-e az érintett azonosítására.” (A Kúria előtti ügyben egyébként a felperes hivatkozott a Beyer-ügyre (C-582/14. sz. ügy), amelyben az Európai Bíróság a dinamikus IP-címe kapcsán mondta ki, hogy „[…]az elektronikus médiaszolgáltató által a nyilvánosság számára hozzáférhetővé tett internetes honlap valamely személy által történő felkeresésekor az e szolgáltató által rögzített dinamikus IP‑cím az említett szolgáltató tekintetében az e rendelkezés szerinti személyes adatnak minősül, amennyiben jogszerű eszközök állnak a rendelkezésére az érintett személynek az e személy internet‑hozzáférést nyújtó szolgáltatójának rendelkezésére álló további adatok révén történő azonosításához.” A Bíróság az Irányelv (26) preambulumában foglaltakat is figyelembe vette, amely szerint „[…] annak meghatározására, hogy egy személy azonosítható‑e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására.” A Kúria azonban érdemben nem foglalkozott a hivatkozott EB ítéletben foglaltakkal.)

A Kúria a közvetett azonosíthatóság kapcsán ezzel szemben azt rögzíti, hogy „… [a]z alperes részére megküldött adatok alapján a természetes személy (érintett) ugyan közvetve azonosítható, ennek elvi lehetősége ugyanakkor a perbeli esetben nem elégséges annak megállapításához, hogy az alperes személyes adatokat kezel.” (ítélet 21. pont)

A Kúria tehát maga rögzíti a közvetett azonosíthatóságot, ugyanakkor ezt nem tartja elegendőnek az adatok személyes adat jellegének megállapításához („[…] Így érdemben helytállóan állapította meg a másodfokú bíróság, hogy az alperes által kezelt adatok nem személyes adatok.”, lásd Ítélet, 21. pont). Ezzel a Kúria – az általa is hivatkozott – WP29 4/2007. sz. véleménynek és a NAIH gyakorlatának is ellentmondani látszik, illetve ez a megállapítás nehezen egyeztethető össze a személyes adat fogalmával is, amely kifejezetten utal a közvetett azonosíthatóságra is. (Érdemes továbbá ehhez kapcsolódóan a WP29 5/2014. számú, az anonimizálási technikákról szóló véleményét is elolvasni, figyelemmel a 2.2.2. pontra is, amely az anonimizált adatok lehetséges azonosíthatóságával foglalkozik.)

A Kúria ítélete némileg összemossa az azonosítás (azonosíthatóság) és a személyazonosítás fogalmát. Míg az előbbi az adatok személyes adat jellegének meghatározása szempontjából jelentős, az utóbbi ahhoz szükséges, hogy az adott érintettet beazonosítottá, az adatkezelő által felismerhetővé tegyen. A közvetett azonosíthatóság nem csak azt jelenti, hogy nem maga az adatkezelő, hanem egy másik személy közreműködése is kell az azonosításhoz, hanem azon eseteket is, amikor nem valamely természetes személyazonosító adat útján, hanem az egyén jellemzőinek meghatározott csoportja különíti el az egyént a csoporton belül. A Kúria viszont ezzel ellentétesen foglalt állást, amikor kimondta, hogy „[a] személyes adat fogalmának fent ismertetett értelmezése alapján megállapítható, hogy az adott esetben az alperes által kezelt, valamely természetes személyre vonatkozó egészségügyi adatok, a nem, a születési dátum és a lakóhely irányítószáma a természetes személy személyes adatai, amelyek alapján az érintett közvetve azonosítható. Ez azt jelenti, hogy ezek az adatok ebben az összetételben nem teszik azonosíthatóvá a természetes személyt, más forrásból származó további adatok összekapcsolásával azonban alkalmasak lehetnek az érintett természetes személy azonosítására, az érintettre vonatkozó következtetés levonására.”

3. Kinek kell tudnia az érintettet azonosítania?

A Kúria érvelése alapján az alperes (az adatokat statisztikai célra átvevő szerv) nem kezel személyes adatot, mert „… [az] alperes részére megküldött adatok alapján a természetes személy (érintett) ugyan közvetve azonosítható, ennek elvi lehetősége ugyanakkor a perbeli esetben nem elégséges annak megállapításához, hogy az alperes személyes adatokat kezel. A perben nem merült fel adat arra, hogy az alperes rendelkezik azokkal a technikai feltételekkel (kapcsolati kódból a személyazonosítást visszakövethető módon lehetővé tevő információ, metódus, további nyilvántartások, stb.), amelyek az érintettel való kapcsolat helyreállításához szükségesek. Ezért az alperes által kezelt, az érintett természetes személy azonosítására alkalmatlan adatok a személyes adat minőségüket már nem őrzik meg [Infotv. 4. § (3) bek.].” (Ítélet, 21. pont)

A Kúria tehát az adatkezelő szempontjából vizsgálja az azonosíthatóságot. Erre minden oka meg is volt a Kúriának, hiszen az ügy idején hatályos Infotv. szerint „[a] személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.” (Infotv. 4. § (3) bekezdés)

A Kúria tehát az Infotv. alapján foglalt állást úgy, hogy a kapcsolat helyreállíthatóságát az adatkezelő szempontjából kell vizsgálni. Ugyanakkor a „kapcsolat helyreállíthatósága” – ahogy azt a fentiekben láttuk – nem feltétlenül a személyazonosság megállapítását jelenti, hanem azt, hogy egy adott érintetthez legyenek köthetők az adatok, azaz egy adott érintett a csoporton belül elkülöníthető legyen. A Kúria tehát ehhez képest jóval szűkebb értelmezést alkalmazott.

A korábbi irányelvi szabályozás, illetve az ez alapján alakuló gyakorlat (lásd Beyer-ügy) azt támasztja alá, hogy az azonosíthatóság meghatározása során nem szabad csak az adatot ténylegesen kezelő személyre koncentrálni. (A NAIH gyakorlata is így foglalt állást korábban.)

A GDPR alkalmazandóvá válásával a helyzet tovább „egyszerűsödött”, hiszen a GDPR nem tartalmaz az Infotv. korábbi 4. § (3) bekezdéséhez hasonló korlátozást. A GDPR 26. preambulumbekezdése az alábbiakat tartalmazza:

Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését. Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

A GDPR fenti preambulumbekezdése is egyértelműen azt tartalmazza, hogy az adatkezelő vagy más személy is elvégezheti az azonosítást (ráadásul mindkettő külön vagy együtt közvetlen vagy közvetett módon is), azaz nem kizárólag az adatkezelő oldaláról kell vizsgálni az azonosíthatóság feltételeit.

A fentiek kapcsán említést érdemel ugyanakkor a WP29 véleményének egyik példája a klinikai kutatások kapcsán:

„[…] A gyógyszereket tesztelő egészségügyi szakember / kutató („vizsgáló”) gyűjti össze a klinikai eredményekre vonatkozó információt minden egyes beteg esetében, akiket kóddal jelöl meg. A kutató az információt a gyógyszeripari vállalkozásnak vagy egyéb érintett feleknek („megbízók”) csak ebben a kódolt formában adja meg, hiszen ez utóbbiakat csak a biostatisztikai információ érdekli. Mindazonáltal a vizsgáló elkülönítve tart egy kulcsot, amely e kódot hozzárendeli az általános információhoz, hogy ennek révén elkülönített módon tudja azonosítani a betegeket. […]

A kérdés itt az, hogy a klinikai vizsgálathoz felhasznált adatokat „azonosítható” természetes személyre vonatkozóknak tekinthetjük-e, és ezáltal az adatvédelmi szabályok hatálya alá tartoznak-e. A fent ismertetett elemzés szerint egy személy azonosíthatóságának meghatározásához minden olyan módszert figyelembe kell venni, amelyet az adatkezelő vagy más személy valószínűleg felhasználna az említett személy azonosítására. Ebben az esetben az egyének azonosítása (hogy szükség esetén megkaphassák a megfelelő kezelést) a kulccsal kódolt adatok feldolgozásának egyik célja. A gyógyszeripari vállalkozás megteremtette a feldolgozás eszközeit, ideértve a szervezési intézkedéseket és a kutatóval való kapcsolatait, aki oly módon tárolja a kulcsot, hogy az egyének azonosítása bizonyos körülmények között ne csak megtörténhessen, hanem valóban meg is történjen. A betegek azonosítása tehát beágyazódik a feldolgozás céljai és eszközei közé. Ebben az esetben arra a következtetésre lehet jutni, hogy az ilyen, kulccsal kódolt adatok a lehetséges azonosításba esetlegesen bevont valamennyi fél által azonosítható természetes személyekre vonatkozó információkat hoznak létre, így tehát ezen adatoknak az adatvédelmi jogszabályok hatálya alá kell tartozniuk. Ez azonban mégsem jelenti azt, hogy az ugyanazon kódolt adatkészletet feldolgozó bármely más adatkezelő személyes adatot dolgozna fel, amennyiben a külön rendszerben, amelyben ezek az egyéb adatkezelők működnek, az újbóli azonosítás kifejezetten kizárt, és e tekintetben megfelelő technikai intézkedésekre került sor.” (lásd a 4/2007. sz. vélemény, 22. o.) Bár a vélemény megállapítja a kódolt adatok kapcsán az azonosíthatóságot, és a személyes adatokra vonatkozó szabályok alkalmazandóságát, ugyanakkor az utolsó mondatban puhít ezen a szigorú mondáson, anélkül azonban, hogy kellően kibontaná a kivétel alkalmazhatóságának a feltételeit. Kérdés, hogy mit érthetünk itt „az újbóli azonosítás kifejezett kizártságán”. Érthető-e ez alatt az, hogy amennyiben az azonosítás nem "ágyazódik be" az adatok feldolgozásának céljai és eszközei közé, akkor a további feldolgozás egy másik kezelő szervezetnél már nem személyes adat? (Egy ilyen értelmezés a Kúria döntése alapjául szolgáló ügyre is visszavetíthető lehet, hiszen az adatbázis átadásának a céljai között nem szerepel az azonosítás elvégzése.)

A 4/2007. vélemény 21. oldalán olvasható 17. sz. példa kapcsán szereplő okfejtés ugyanakkor, mintha ellentmondana fenti utolsó mondatban szereplő következtetésnek, amikor szintén egyénhez kötött kódolt adatok kerülnek átadásra statisztikai célú felhasználásra. Itt abból indul ki a vélemény, hogy „[ha] az egyes személyek esetében használt kódok egyediek, fennáll az azonosítás kockázata, amennyiben hozzá lehet jutni a kódoláshoz használt kulcshoz.” A hozzájutás kapcsán pedig akár a visszaélés lehetőségével is számolni kell, pl. „valaki az adatküldő szervezettől – annak szakmai titoktartása ellenére – kiszolgáltatná a kulcsot”. (Szintén érdekes ehhez kapcsolódóan az anonimizálási technikákról szóló 5/2014. sz. vélemény 2.2.2. pontja.)

Összefoglalóan tehát azt látjuk, hogy bár az Európai Bíróság és a NAIH gyakorlata, illetve a WP29 véleménye is szélesebb értelmezést követett, de a Kúria az Infotv. 4. § (3) bekezdése alapján kizárólag az adatkezelő szempontjából vizsgálta az azonosíthatóságot. A Kúria erre alapított döntését ugyanakkor a GDPR alapján óvatosan kell kezelni, mert az Infotv. korábbi 4. § (3) bekezdése időközben hatályát vesztette, így a megszorító értelmezésnek még kevésbé lehet tere, mint korábban.

A perbeli ügyben szereplő adathalmaznak a személyes adatok köréből történő kiemelése számos ellentmondást hordoz magában és bár az utóbbi időben a személyes adatok fogalmának kiterjesztő (abszolút) értelmezése nyert teret, megfontolandó, hogy ennek a folyamatnak az esetleges ellensúlyozása valóban a személyes adat fogalmának a visszavágása révén érhető-e el vagy más eszközök (pl. a kockázat alapú megközelítésből kiindulva, eltérő intézkedések alkalmazása az álnevesített vagy más okból csak közvetetten a konkrét természetes személyhez köthető adatok tekintetében vagy a GDPR 11. cikkének figyelembevételével törtnő eljárás, stb.).  

4. Más eredményre vezetne-e egy hasonló eljárás a GDPR alapján?

Nyilván nem lehet egy konkrét eljárás kapcsán előre állást foglalni, ugyanakkor azt érdemes figyelembe venni, hogy a GDPR tartalmaz néhány olyan rendelkezést, amely valószínűsíthetően szerephez jutna egy hasonló ügyben. Ilyen különösen a GDPR 11. cikke (azonosítást nem igénylő adatkezelés):

(1) Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.

(2)   Ha az e cikk (1) bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint őt megfelelő módon tájékoztatja. Ilyen esetekben a 15–20. cikk nem alkalmazandó, kivéve, ha az érintett abból a célból, hogy az említett cikkek szerinti jogait gyakorolja, az azonosítását lehetővé tevő kiegészítő információkat nyújt.

A GDPR 11. cikk (1) bekezdése ugyan ígéretes az adatot kezelő szerv szempontjából, de nehéz helyzetet teremtene, ha az érintett élne a (2) bekezdés szerinti lehetőséggel és az azonosítását lehetővé kiegészítő információkat nyújtana (amint azt a felperes egyébként az alapul szolgáló ügyben fel is ajánlotta). A 11. cikk alkalmazásához kapcsolódik a 12. cikk (6) bekezdése is, amely lehetővé teszi az adatkezelőnek a személyazonosítás elvégzését, ha kétségei támadnak az igényt érvényesítő személy kilétét illetően. Látható, hogy a GDPR 11. cikkének alkalmazhatósága sem problémamentes (ahogy erre dr. Halász Bálint is felhívja a figyelmet a reflexiójában).

Egy most induló ügyben egyértelműen a vizsgálat tárgyát képezhetné a GDPR álnevesítésre vonatkozó fogalma is (GDPR 4. cikk 5. pont: „álnevesítés: a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni”) és ennek alkalmazhatósága egy a fentihez hasonló esetben.

Felmerülhet a GDPR 23. cikk (korlátozások), illetve a 89. cikk (a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák és eltérések) alkalmazhatósága is. Ehhez azonban megfelelő belső jogi rendelkezések szükségesek, mégpedig törvényi szinten szabályozva. A jelenlegi vonatkozó szabályok kapcsán kérdéses, hogy a megfelelő feltételek egy ilyen korlátozásra fennállnak-e (lásd ezzel kapcsolatban dr. Osztopáni Krisztián cikkének 2. pontját).    

5. Mi következik mindebből?

A Kúria ítélete egy nagyon érdekes és az adatvédelmi szabályok alkalmazása szempontjából központi kérdést érintett: mi a személyes adat, mikor, illetve meddig tekinthető egy érintett azonosíthatónak?

A fentiekből is látszik, hogy egyáltalán nem egy könnyen megválaszolható kérdésről van szó. A Kúria ítélete kapcsán azt látjuk, hogy – nyilván a peres eljárások sajátosságaira is tekintettel – a Kúria döntése nem adhat kimerítő válaszokat a fenti (és további) kérdésekre, hiszen egy konkrét ügyben, egy konkrét tényállás alapján kell állást foglalnia. Néhány ponton ugyanakkor sajnos a Kúria érvelése leegyszerűsítő és a kapcsolódó magyar, illetve uniós joggyakorlatot nem kellő mélységben feldolgozó, így talán több kérdést vet fel, mint amennyit megválaszol. Vélhetően több hasonló ügy (talán nem is elsősorban Magyarországon, hanem uniós szinten) kell majd ahhoz, hogy tisztuljon a kép.

Ahogy a bevezetőben is jeleztem ezek a kérdések alapvető jelentőségűek, hiszen végső soron az adatvédelmi szabályok alkalmazhatóságának határairól szólnak. Kiemelt jelentőségű kérdés, hogy ezeket a határokat miként húzzunk meg, mert amellett, hogy alapjogok érvényesülését érinti, nagyon jelentős hatása van a technológia fejlődésére, a kutatás-fejlesztésre, az innovációra stb. is, hogy milyen keretek között végezhetők ezek a tevékenységek. Érdemes itt utalni a közadatok újrahasznosítására és az ehhez kapcsolódó új irányelvre, illetve azon kezdeményezésekre, amelyek a versenyfeltételek kiegyenlítését adott esetben az adatbázisok megosztása révén tartják megvalósíthatónak.     

(Aki a konkrét ügyhöz kapcsolódóan kibontakozó, a bevezetőben is hivatkozott eszmecserét is elolvasná, annak ajánlom figyelmébe dr. Halász Bálint „A Kúria megerősítette a személyes adatok fogalmának relatív megközelítését” c. blogbejegyzését, dr. Osztopáni Krisztián erre írt „A Kúria álnevesített adatokkal kapcsolatos döntésének kritikája” c. válaszát, majd dr. Halász Bálint reflexióját, illetve dr. Alexin Zoltán, az ügy felperesének, a fentiekre figyelemmel közölt, „A Kúria ítélete az ÁEEK adatkezeléséről” c. írását. Frissítés [2019.12.07.]: dr. Osztopáni Krisztián újabb cikke a témában: "Gondolatok az álnevesítésről és az azonosítás nem igénylő adatkezelésekről")