A közelmúltban a NAIH több olyan határozatot is közzétett, amelyek segítséget nyújthatnak a hozzáférési jog terjedelmének értelmezése kapcsán. A gyakorlatban az adatkezelőknek számos esetben nehézséget jelenthet, hogy az érintetti kérelmek gyakorlása kapcsán úgy tegyenek eleget az igényeknek, hogy ezzel az adatkezelő érdekei ne sérüljenek (pl. üzleti titkok védelme), illetve a kérelmek teljesítése a személyes adatnak minősülő adatok kiadására korlátozódjon és ne terjedjen ki olyan információkra, adatokra, amelyek már nem tárgyai a hozzáférési jognak (mert pl. az érintettel nem hozhatók kapcsolatba, így nem minősülnek személyes adatnak). Az alábbiakban a NAIH frissen közzétett határozatainak legfontosabb pontjait tekintem át.
(A témával korábban is foglalkoztam, bemutatva a NAIH és külföldi hatóságok, illetve bíróságok alakuló gyakorlatát.)
1. Üzleti titok, mint a hozzáférési jog korlátja (NAIH/2020/2545)
Tényállás
Az ügy alapját az képezte, hogy az érintett (Kérelmező) álláspontja szerint az adatkezelő (Kérelmezett) a hozzáférési jog gyakorlására irányuló kérelmét hiányosan teljesítette.
Az érintett azt kérte, hogy a Kérelmezett küldje meg tételesen és teljeskörűen azokat a gazdasági műveleteket, gazdasági eseményeket, amelyek egy bizonyos, a Kérelmezőt (érintett) érintő ügyletre vonatkoznak, azzal kapcsolatba hozhatók és a Kérelmező személyes adatának minősülnek. Ennek kapcsán kifejtette, hogy álláspontja szerint a teljesítés akkor teljeskörű, ha minden, az ügylettel kapcsolatos, az ügyletre vonatkozó gazdasági esemény megismerhetővé válik számára. Kérte továbbá, hogy az engedményes részére átadott követelés valós értékéről is kapjon tájékoztatást. Ehhez kapcsolódóan kérte az engedményezési okirat rendelkezésre bocsátását (az engedményezési okirattal kapcsolatban az engedményes részére átadott személyes adatokat teljes terjedelemben, hiánytalanul, szükség esetén kitakarva azt a tartalmat, amely nem minősül a személyes adatának). Tájékoztatást kért arról is, hogy az ügylet létrejöttekor keletkezett és a számviteli nyilvántartásban rögzített követelés milyen pénzügyi eszközön alapult, és kérte ezen pénzügyi eszköz részleteinek bemutatását.
A hozzáférési igényt a Kérelmezett csak részben teljesítette arra hivatkozással, hogy a kérelem részben olyan adatokra vonatkozik, amelyek nem minősülnek személyes adatnak, valamint üzleti titkot képeznek. Az engedményezési szerződés kapcsán pedig arra hivatkozott, hogy az üzleti titkát képezi, így azt nem bocsáthatja a Kérelmező rendelkezésére.
NAIH megállapításai a hozzáférési joggal kapcsolatban
- "Az, hogy a könyvviteli nyilvántartásban milyen formában kerül feltüntetésre egy gazdasági esemény és az milyen hatást gyakorol a Kérelmezett vagyoni helyzetére, nem minősül a Kérelmező személyes adatának, az vele összefüggésbe nem hozható. Ebből kifolyólag a Hatóság megállapítja, hogy a Kérelmezett nem sértette meg a GDPR 15. cikkét, amikor nem bocsátott olyan információkat a Kérelmező rendelkezésére, amelyek nem minősülnek a személyes adatának." (Határozat, 5. o.)
- "A Hatóság megjegyzi, hogy mivel a Kérelmezett által vezetett könyvviteli nyilvántartás nem minősül a Kérelmező személyes adatának, ezért ebben a körben a hozzáférési kérelem teljesítése szempontjából lényegtelen, hogy az a Kérelmezett üzleti titkának minősül-e vagy sem, annak vizsgálata a Hatóság részéről nem szükséges." (Határozat, 5. o.)
- "Az engedményezési szerződés az engedményező és az engedményes közötti megállapodás, melynek alapján az engedményes a kötelezettel szembeni követelését az engedményesre ruházza, és az engedményes az engedményező helyébe lép. Az engedményezési szerződés elsődlegesen az engedményező és az engedményes közti jogviszonyt rendezi, amelynek keretében megállapodnak a lényeges és a bármelyikük által lényegesnek tartott kérdésekben. Ilyen kérdések lehetnek például a teljesítési határidők, az átruházott követelések ellenértéke, a felek jogai és kötelezettségei, az egymással való kapcsolattartás módjai. Ebből kifolyólag az engedményezési szerződés nem minősül az átruházott követelés kötelezettje személyes adatának." (Határozat, 6. o.)
- "A követelés vételára azonban annak ellenére, hogy a Kérelmező személyes adatának is minősül, egyben a Kérelmezett üzleti titka is, mivel az a gazdasági tevékenységéhez kapcsolódik, titkos – nem közismert és az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető –, ennélfogva vagyoni értékkel bíró adat, amelynek titokban tartása érdekében a Kérelmezett az adott helyzetben általában elvárható magatartást tanúsítja. Ez utóbbit az támasztja alá, hogy a szervezetrendszerén belül is csak egy szűk kör férhet hozzá azokhoz az adatokhoz, hogy a Kérelmezett a volt ügyfeleivel szembeni követeléseit milyen vételáron engedményezi a követeléskezelési tevékenységet végző cégek részére." (Határozat, 6. o.)
- "[...] Kérelmezett jogszerűen hivatkozik arra, hogy az engedményezési szerződés, illetve a szerződés mellékeltében található, a követelés vételárára vonatkozó adat az üzleti titkát képezi, ezért azt nem bocsátja a Kérelmező rendelkezésre, így eljárása során nem sértette meg a GDPR 15. cikkét." (Határozat, 6. o.)
-
"[...] a Kérelmező ebben a körben azt kívánta megtudni, hogy a vele szembeni, engedményezett követelés vételára hogyan került kiszámításra. Ez a számítási metódus, az azok alapjául szolgáló információk és adatok nem a Kérelmezőre vonatkozó adatok, azokat a Kérelmezett a Kérelmező személyétől függetlenül határozza meg, így ezen információkhoz a Kérelmező nem jogosult hozzáférést kapni a GDPR 15. cikke alapján, [….]" (Határozat, 7. o.)
Összefoglalóan tehát a NAIH határozatából az következik, hogy gondosan vizsgálni kell a kérelem kapcsán, mely adatok minősülnek az érintett személyes adatának, melyek hozhatók vele kapcsolatba. Azon adatok tekintetében, ahol már a közvetett kapcsolat sem áll fenn az érintettel, nem beszélhetünk személyes adatról, így a hozzáférési jog sem alkalmazható ezen adatok tekintetében. Második lépésben pedig az is vizsgálandó, hogy - figyelemmel a GDPR 15. cikk (4) bekezdésére és (63) preambulumbekezdésére - a személyes adatnak minősülő adatok esetében a hozzáférési jog gyakorlása hogyan érinti mások (beleértve az adatkezelő jogait). Ebben a körben a harmadik felek jogainak a védelmét, az üzleti titok és a szellemi alkotások védelméhez fűződő érdeket is figyelembe kell venni.
2. Korábban megválaszolt kérelem hatása a hozzáférési jog gyakorlására (NAIH/2020/308)
Tényállás
A Kérelmező több konkrét kérdést tett fel az őt érintő adatkezeléssel kapcsolatban, illetve egyes adatok, kimutatások rendelkezésre bocsátását kérte. A hozzáférési kérelmére a Kérelmezett válaszában tájékoztatást adott a követelés engedményezéséről, valamint általánosságban az adatkezelés céljáról, a kezelt személyes adatok kategóriáiról, az adatkezelés jogalapjáról, a címzettekről, a személyes adatok kezelésének, tárolásának időtartamáról, az automatizált döntéshozatalról, valamint az érintetti jogokról, valamint a jogérvényesítési lehetőségekről. A Kérelmező álláspontja szerint a válaszlevél csak általánosságokat tartalmazott, de nem adott választ a kérelemben megfogalmazott konkrét kérésekre, kérdésekre.
Az eljárásban a Kérelmezett előadta, hogy a Kérelmező és a Kérelmezett között adatigénylés teljesítése tárgyában per volt folyamatban, amelyben - a NAIH állásfoglalása alapján is - a Kérelmező kérelmének a Kérelmezett eleget tett, ezt a bíróság is megállapította. A Kérelmezett álláspontja szerint "... az ítélet jogereje kizárja, hogy ugyanabból a tényalapból származó ugyanazon jog iránt ugyanazok a felek egymás ellen új keresetet indíthassanak, vagy az ítéletben már elbírált jogot egymással szemben egyébként vitássá tehessék. A Kérelmezett álláspontja szerint a hozzáférési kérelem 3. pontjában megfogalmazott kérések vonatkozásában – a NAIH/2019/6157/4. számú végzés indokolása szerinti sorrendben az 5-7. kérdések – megállapítható a res iudicata, mivel azok polgári per keretében jogerősen elbírálásra kerültek." (Határozat, 3. o.) Ugyanakkor a Kérelmezett elismerte, hogy korábbi válaszában nem tért ki egyértelműen minden, a Kérelmező által feltett kérdés megválaszolására. Ezt az eljárás során pótolta. A Kérelmező véleménye szerint a válasz továbbra is hiányos volt.
NAIH megállapításai a hozzáférési joggal kapcsolatban
- "A hozzáférési kérelmek teljesítése során az adatkezelőknek az információkat a konkrét érintettekre szabva, egyéniesítve és az érintettek által feltett kérdéseket érdemben mérlegelve kell az érintettek rendelkezésére bocsátaniuk. Ennek hiányában az érintettek nem kapnak világos képet a személyes adataik kezeléséről, az nem válik számukra átláthatóvá." (Határozat, 6. o.)
- "A Hatóság álláspontja szerint a Kérelmező 2019. július 5-én kelt hozzáférési kérelme nem a korábbi, a bíróság által elbírált tájékoztatási kérelmek megismétlése, hanem új, konkrétabb, tartalmilag a korábbiakkal nem egyező kérelem, ezért a per tárgyát képező tájékoztatási kérelmek és a jelen adatvédelmi hatósági eljárás tárgyát képező hozzáférési kérelem között nem áll fenn azonosság, így az ítélt dolog joghatásának feltételeként szolgáló tényazonosság nem áll fenn." (Határozat, 7. o.)
- "A Hatóság álláspontja szerint a Kérelmező befizetései vonatkozásában a személyes adatának minősül az, hogy ki teljesítette a befizetést, a befizetés összege, típusa, a befizetés és befizetés könyvelésének időpontja, a kedvezményezett megnevezése, a jogcím (amennyiben megadásra került), illetve átutalás esetén a befizetés közlemény rovatában feltüntetett információk, és – amennyiben a Kérelmező az átutalás indításakor adott meg ilyet – a tranzakció végponttól végpontig azonosítója, valamint, hogy a befizetés mire került elszámolásra: tőkére, díjra, kamatra." (Határozat, 9. o.)
- "A Kérelmezett azon bankszámlakivonatainak másolata, amelyek tartalmazzák a Kérelmező által teljesített befizetéseket is, teljes egészükben – valamennyi befizetés és kifizetés vonatkozásában – nem minősülnek a Kérelmező személyes adatának, hiszen azok csak a konkrét befizetése vonatkozásában tartalmaznak vele kapcsolatba hozható adatokat, így a bankszámlakivonat többi részének megismerésére nem jogosult, az csak minden más – nem a Kérelmező befizetésére vonatkozó – információk és adatok kitakarásával bocsátható a rendelkezésére." (Határozat, 9. o.)
- "[...] a befizetések számviteli szabályok szerinti elszámolásuk során elvesztik a személyes adat jellegüket, mivel többé már nem köthetők egyetlen konkrét személyhez. Ezek alapján a befizetések számviteli elszámolása nem minősül a Kérelmező személyes adatának, mivel ezek az információk nem hozhatók vele kapcsolatba." (Határozat, 9. o.)
Bírságra vonatkozó döntés
A Hatóság megállapította, hogy Kérelmezett megsértette a GDPR 15. cikkét, amikor nem adott érdemi, konkrét válaszokat a Kérelmező hozzáférési kérelmére, illetve hiányosan teljesítette azt és 2 millió Ft összegű bírságot szabott ki.
A Hatóság a bírságkiszabás során az alábbiakat súlyosbító körülményként értékelte:
- a Kérelmezett a jelen hatósági adatvédelmi eljárásról való tudomásszerzést követően sem járt el elég körültekintően a hozzáférési kérelemre adott válasza felülvizsgálata során, és nem adott tájékoztatást a Kérelmezőnek a befizetéseivel összefüggő tranzakciós adatokról [GDPR 83. cikk (2) bekezdés k) pontl;
- a Kérelmezett tevékenysége nagy részben személyes adatok kezelésére épül, nagy számú természetes személy személyes adatát kezeli, így a Hatóság álláspontja szerint a Kérelmezettől elvárható, hogy a hozzáférési joggyakorlásra irányuló kérelmeket a GDPR előírásainak megfelelően kezelje, azokra konkrét, az adott érintett személyes adatai kezelésére vonatkozó választ adjon [GDPR 83. cikk (2) bekezdés k) pont].
A Hatóság a bírságkiszabás során az alábbiakat enyhítő körülményként értékelte:
- a feltárt jogsértés kizárólag a Kérelmezőt érinti, a jogsértés nem folyamatos jellegű és megfelelő intézkedésekkel orvosolható [GDPR 83. cikk (2) bekezdés a) pont];
- a Kérelmezett a Hatóság megkeresését követően felülvizsgálta a Kérelmező hozzáférési kérelmére adott válaszát és részben eleget tett a Kérelmező hozzáférési kérelmének [GDPR 83. cikk (2) bekezdés c) pont].
Egyéb figyelembe vett szempontok:
- a Kérelmezett korábban nem követett el releváns, a jelen ügyben megállapítotthoz hasonló jogsértést [GDPR 83. cikk (2) bekezdés e) pont];
- a Kérelmezett eleget tett a Hatóság felé fennálló együttműködési kötelezettségének [GDPR 83. cikk (2) bekezdés f) pont];
- a Kérelmező által kért adatok pénzügyi adatok, amelyek a felek jogvitájával kapcsolatosak; a megállapított adatvédelmi jogsértések nem érintik a személyes adatok különleges kategóriáit [GDPR 83. cikk (2) bekezdés g) pont].
Összességében megállapítható, hogy a hozzáférési jog gyakorlása során konkrét, az adott érintettre vonatkozó tájékoztatást kell adnia az adatkezelőnek. Az esetleges korábbi kérelmek értékelése kapcsán nagyon körültekintően kell eljárni, amikor azt vizsgálja az adatkezelő, hogy ismételt, a korábbiakkal azonos kérelemről van-e szó. Ha fel is merül a korábbi kérelemben foglaltakkal való egyezés, azt mindenképpen szűken kell értelmezni. A Határozat erre nem tér ki, de az adatkezelőnek figyelembe kell vennie a GDPR 12. cikk (5) bekezdésében foglaltakat a kérelmek ismétlődő jellegére vonatkozóan és szem előtt kell tartania, hogy a kérelem megalapozatlanságának vagy túlzó jellegének bizonyítása az adatkezelőt terheli.
3. Volt munkavállaló hozzáférési igénye az archivált postafiókjához (NAIH/2020/34)
Tényállás
A Kérelmező közalkalmazotti jogviszonyának megszűnését követően kérte, hogy hozzáférhessen munkahelyi e-mail fiókjának archívumához, de ezt a Kérelmezett megtagadta. A Kérelmező közleményekkel, illetve tudományos publikációkkal, tudományos aktivitásával és szerződésekkel kapcsolatos leveleit kívánta megkapni, továbbá kiadókkal folytatott olyan levelezéseket, amelyeket a Kérelmező nyilatkozata szerint a Kérelmezett képviseletében kapott. A Kérelmező nyilatkozata szerint továbbá az általa elnyert pályázatokkal, valamint a doktori képzéssel kapcsolatos levelekhez is hozzá kívánt férni. A Kérelmező arra is hivatkozott, hogy a tudományos közlemények megjelenése a Kérelmezett érdeke, illetve az is érdeke, hogy a munkavégzésével összefüggésben érkező levelek kollégákhoz történő eljuttatásáról is gondoskodnia kell. A Kérelmező szerint az e-mail-fiók archívuma – bár azok többségét törölte – kis számban tartalmazhat magáncélú leveleket is. A Kérelmezett kérése főként a belső levelezéseire, a vezetéssel folytatott hivatalos és félhivatalos leveleire irányult. (Ehhez kapcsolódóan fontos körülmény, hogy ezeket a közalkalmazotti jogviszonya jogellenes megszüntetésének jogkövetkezményei iránt indult munkaügyi perében használná, használta volna fel bizonyítékokként.)
A Kérelmezett álláspontja szerint a Kérelmezettnek mint egyetemnek kell gondoskodnia arról, hogy a volt közalkalmazottjának feladatait ki és milyen módon veszi át, így a Kérelmezett oldalán nem áll fenn olyan érdek, amely azt indokolná, hogy a levelező fiókhoz újból hozzáférhessen. A Kérelmezett álláspontja szerint a Kérelmező kérelmében – amennyiben a levelező rendszerét magáncélból is használta – személyes adatok rendelkezésre bocsátását kérte, azonban arra tekintettel, hogy munkaügyi per volt folyamatban, valamint, hogy a Kérelmezett nem tudta beazonosítani azokat a személyes adatokat – például a tudományos közleményeket – amelyek kiadását kérte, a kérelmet az adatkezelő nem tudta teljesíteni.
Megállapításra került az is, hogy a magáncélú használat kérdése korábban (az ügy idején) nem volt szabályozott az adatkezelőnél.
A Hatóság a határozatban kitért a munkahelyi email fiókkal kapcsolatos adatkezelési kérdésekre (erről itt és itt írtam korábban).
NAIH megállapításai a hozzáférési joggal kapcsolatban
- "A Hatóság álláspontja szerint ebben az esetben a Kérelmezett jogszerűen tagadhatta meg a Kérelmező hozzáférését elektronikus leveleinek teljes 2018. évi archívumához, hiszen figyelemmel az általános adatvédelmi rendelet (63) preambulumbekezdésére is, a Kérelmező oldaláról a jogviszonya megszűnését követően már nem azonosítható olyan jogszerű cél vagy érdek, amely alapján munkavégzéssel összefüggő adatokat, információkat, adott esetben a munkáltató üzleti titkait tartalmazó leveleihez való hozzáférését tenné lehetővé. A Hatóság álláspontja szerint ebbe a körbe tartoznak a Kérelmező által kért közlemények, illetve tudományos publikációk, tudományos aktivitásával és szerződésekkel kapcsolatos, munkavégzéssel összefüggésben keletkezett levelei. Ilyen levelezések továbbá kiadókkal folytatott levelezések, amelyeket a Kérelmező nyilatkozata szerint a Kérelmezett képviseletében kapott." (Határozat, 11. o.)
-
"Mindez nem jelenti azonban azt, hogy a Kérelmező ne férhetett volna hozzá a magáncélú leveleihez. Az, hogy a teljes 2018. évi leveleihez kívánt hozzáférni, magában foglalja a magáncélú leveleihez való hozzáférést is. A Kérelmezett azonban semmilyen intézkedést nem tett annak érdekében, hogy a Kérelmező ezen leveleihez hozzá tudjon férni." (Határozat, 11. o.)
-
"[...] a Kérelmezett – az általános adatvédelmi rendelet 12. cikk (1) bekezdése alapján – nem nyújtott megfelelő és átlátható tájékoztatást arról, hogy miként tudja adott esetben teljesíteni a Kérelmező magáncélú leveleihez való hozzáférését, és miért utasította el 2019. február 6. napján előterjesztett kérelmét, a Hatóság megállapítja, hogy a Kérelmezett megsértette az általános adatvédelmi rendelet 12. cikk (2) bekezdését, mivel nem segítette elő a Kérelmező hozzáférési jogának a gyakorlását." (Határozat, 11. o.)
A Hatóság bírságra vonatkozó döntése
A Hatóság a jogsértés kapcsán 200 ezer Ft összegű bírságot szabott ki.
Az alábbi súlyosbító körülményeket vette figyelembe a NAIH a bírság kiszabása során:
- a Kérelmezett által elkövetett jogsértések a GDPR 83. cikk (5) bekezdés b) pontja szerint a magasabb összegű bírságkategóriába tartozó jogsértésnek minősülnek;
- a Hatóság a bírság összegének meghatározása során súlyosító körülményként vette figyelembe, hogy a Kérelmezett a Kérelmező hozzáférési jogára irányuló kérelmére adott nem megfelelő tájékoztatásával akadályozta a Kérelmező érintetti jogának a gyakorlását. [GDPR 83. cikk (2) bekezdés a) és k) pont]. E körben értékelte a jogsértés és az adatkezelés jellege kapcsán, hogy az érintetti jog gyakorlására korábbi munkaviszonyt érintően került volna sor;
- a Kérelmezett kifejezetten elzárta a Kérelmezőt az érintetti joga gyakorlásától azzal, hogy nem tette lehetővé azt, hogy a Kérelmező hozzáférjen magáncélú 2018. évi elektronikus leveleihez [GDPR 83. cikk (2) bekezdés c) és d) pont].
Enyhítő körülményként vette figyelembe a NAIH a bírság kiszabása során, hogy a Kérelmezett elmarasztalására az általános adatvédelmi rendelet megsértése miatt még nem került sor [GDPR 83. cikk (2) bekezdés e) pont].
Összegzés
A fenti és a korábbi határozatok alapján az alábbi szempontokat érdemes kiemelni a hozzáférési jog gyakorlása kapcsán:
- A hozzáférési jog az átlátható adatkezelés biztosításának kiemelten fontos eszköze, így a hozzáférési igények teljesítése során az adatkezelőknek körültekintően kell eljárniuk.
- Fontos mérlegelési szempont, hogy a kért adatok közül mi minősül személyes adatnak.
- A személyes adatok tekintetében vizsgálandó, hogy a hozzáférési igény teljesítése miként értini mások jogait és érdekeit (mások személyes adatai, üzleti titok, szellemi alkotások védelme, stb.).
- A hozzáférési jog a rendelkezésre álló, kezelt adatokra vonatkozik, nem kötelezhető az adatkezelő arra, hogy új adatokat generáljon az érintett részére.
- A hozzáférési jog gyakorlása kapcsán a konkrét adatkezelésről kell tájékoztatást adnia az adatkezelőnek, általános információk rendelkezésre bocsátásával nem teljesíti a kérelemben foglaltakat. (Ez fordítva is igaz, a hozzáférési nem terjed ki a kizárólag az adatkezelő általános adatkezelési gyakorlatáról való tájékoztatásra.)
- Az esetleges korábbi kérelemmel való egyezést, a kérelem ismétlődő jellegét nagyon alaposan kell vizsgálni és szűken kell értelmezni. Az adatkezelőnek kell bizonyítania, hogy a kérelem megalapozatlan vagy ismétlődő jellegű volt.