A Kúria megerősítette a személyes adatok fogalmának relatív megközelítését

2019. június 26-án a Kúria egy felülvizsgálati eljárásban hozott ítéletben egyértelműen megerősítette, hogy pszeudonimizált egészségügyi adatok esetén a személyes adat fogalom relatív megközelítése alkalmazandó, amely szerint a kódoló kulccsal nem rendelkező szervezeteknél lévő kódolt adatok nem minősülnek személyes adatnak, azokra nem vonatkozik az adatvédelmi szabályozás. Noha a tényállás szerint a jogvita tárgyát képező események még a GDPR hatályba lépését megelőző időben történtek, a Kúria megállapításai az ítélet indokolása alapján iránymutatóak a jövőre nézve is.

A dilemma: abszolút vs. relatív megközelítés

A személyes adat fogalmának abszolút vagy relatív megközelítése az adatvédelmi jog egyik legfontosabb, ha nem a legfontosabb alapkérdése, hiszen azt határozza meg, hogy egy információ személyes adat-e vagy sem. Előbbi esetben vonatkozik rá az adatvédelmi jog, utóbbi esetben nem. Az abszolút megközelítés szerint, ha egyszer egy adott információ köthető egy természetes személyhez, akkor az az információ mindenképpen személyes adat és ezt a minőségét mindig magával viszi. Ezzel szemben a relatív megközelítés szerint nem lehet elvonatkoztatni az adatkezelő személyétől, ugyanis ugyanazon információ alapján valaki képes lehet azonosítani egy természetes személyt, míg másvalaki erre képtelen, csak nehézségekkel képes vagy adott esetben egyáltalán nem célja az azonosítás, még akkor sem, ha erre képes lenne.

Egy egyszerű, némileg leegyszerűsített példa a gépjárművek rendszámának kezelése egy parkolóházban: a gépjárművek behajtásánál egy kamera leolvassa a rendszámot, ezt és a behajtási időt rögzíti a rendszer. A vezető kap egy parkolójegyet, amellyel kihajtás előtt kifizeti a parkolási díjat. Kihajtásnál a kamera ismét leolvassa a rendszámot, és ha ki volt fizetve a díj, akkor felnyitja a sorompót. A parkolóház üzemeltetőjének egyetlen üzleti célja van a rendszámok rögzítésével, mégpedig a parkolási díj beszedése. Nem érdekli sem a vezető, sem a tulajdonos, sem az üzembetartó személye. Ebben az esetben számára a rendszám nem több mint egy egyszeri azonosító, amely alapján gépjárműveket tud azonosítani.

A személyes adat fogalmának abszolút megközelítése szerint a rendszám személyes adat, mert az állami nyilvántartás alapján visszakereshető a tulajdonos és az üzembetartó személye. A relatív megközelítés szerint azonban nem lehet figyelmen kívül hagyni az adatkezelő személyét, céljait és képességeit annak megítélésekor, hogy az általa (a szó köznapi értelmében) kezelt információk alapján képes-e természetes személyeket azonosítani. Ha a körülmények alapján erre nem képes, illetve ez nem célja, akkor az ő tevékenysége nem a szó adatvédelmi jogi értelmében vett adatkezelés.

Természetesen felmerülhet, hogy a parkolóház üzemeltetője károkozás esetén visszakeresheti a nyilvántartásból a rendszámokat, és ezek alapján lekérdezheti a tulajdonost, illetve üzembetartót az állami nyilvántartásban. (Ugyan a károkozó azonosítására és a károkozás bizonyítására inkább kamerafelvételek alapján szokott sor kerülni, de a jelen gondolatmenet érdekében ettől most tekintsünk el). Kérdés, hogy az összes parkolási tranzakció számához valószínűleg csak elenyésző hányadban előforduló károkozás, és a károkozó autók rendszámának lekérdezése miatt a parkolóház által rögzített összes rendszám személyes adat-e vagy sem. Az abszolút megközelítés szerint igen, míg a relatív megközelítés szerint nem.

Tegyük fel, hogy létezik egy parkolóház, amely a személyes adatok védelmével hirdeti magát. Annak érdekében, hogy a természetes személyek azonosításának még fent felvázolt kivételes lehetőségét is kizárja, ezért olyan számítástechnikai rendszert alkalmaz, amely a rendszámokat leolvasásuk pillanatában kódolja, méghozzá úgy, hogy ezt egy tőle független, megbízóható harmadik fél végzi. Ezzel a megbízható harmadik személlyel olyan szerződést köt, amelyben szerződéses úton zárja ki annak a lehetőségét, hogy e szolgáltató számára átadja azt a kódot, amivel vissza lehetne fejteni a rendszámokat. A személyes adat fogalmának abszolút megközelítés alapján a parkolóház továbbra is személyes adatokat kezel, mert ugyan csak közvetetten és elméleti szinten, de mégis fennáll a azonosítás lehetősége, hiszen adott esetben szerződésszegés vagy a számítástechnikai rendszerbe való betörés útján meg tudja szerezni a kódot. Ezzel szemben a relatív megközelítés szerint a parkolóház nem kezel személyes adatot, mert sem közvetlen vagy közvetett módon nem tudja azonosítani a járművek tulajdonosait vagy üzembetartóit, ezt ugyanis objektív tényezők (technikai és szervezeti intézkedések) zárják ki.

Míg az előbb felvázolt eset a képzelet szülötte, addig a Kúria az ítéletében egy nagyon is valóságos esetben erősítette meg a relatív megközelítést: a járművek tulajdonosai vagy üzembetartói helyett betegekről és egészségügyi kezeléseikre vonatkozó információkról van szó, parkolóház helyett az Állami Egészségügyi Ellátó Központ (ÁEEK) az adatgazda, a rendszám szerepét a TAJ szám tölti be, amelyet az Nemzeti Egészségbiztosítási Alapkezelő (NEAK) kódol el egy kvázi-TAJ számmá, amelyet átad az ÁEEK-nek. Utóbbi nem jogosult arra, hogy visszakérdezzen a NEAK-nál arra, hogy egy adott kvázi-TAJ szám mely valódi TAJ számból lett leképezve.

A konkrét ügy tényállása

A per tényállása szerint Állami Egészségügyi Ellátó Központ (ÁEEK) adatkezelési tevékenységét a Tételes Egészségügyi Adattár (TEA) elnevezésű nyilvántartás útján végezte. Az adattár nyilvános, mindenki számára elérhető, abból ún. aggregált adatokat lehet lekérdezni. Ha a megadott szűrési feltételek eredményeként ötnél kevesebb esetszám adódik, a rendszer adatot nem szolgáltat. Az adatbázis forrása az Országos Egészségbiztosítási Pénztár (OEP) – jogutódja a Nemzeti Egészségbiztosítási Alapkezelő (NEAK) – által deperszonalizált, a páciensek ellátási útjának végigkövetésére alkalmas adatok. Az ÁEEK a betegeket és ellátási útjukat nem a valódi TAJ számuk alapján azonosítja, hanem az OEP által képzett és kiadott ún. kapcsolati kódjával, más néven kvázi TAJ-számmal, amelyeket az OEP képez a TAJ számból. Az OEP ehhez egy olyan kódoló algoritmust használ fel, amelyet nem ad át az ÁEEK-nak.

A konkrét ügy felperese úgy gondolta, hogy a TEA rendszerben az adott irányítószám alatt egyedüliként beazonosíthatóvá vált, ezért – még a GDPR alkalmazása, azaz 2018. május 25-e előtt – pert indított a róla tárolt adatok másolatának kiadása és az adatkezelés jogellenessége miatt az adatok törlése érdekében. Ezen kívül pedig kérelmezte, hogy az OEP-től kapott kapcsolati kóddal belépve a TEA rendszer beazonosíthassa a róla kezelt adatokat. Az ÁEEK védekezése szerint jogszabályi felhatalmazás alapján és kizárólag a jogszabály által meghatározott körben kezel személyazonosításra nem alkalmas, személyes adatoknak nem minősülő információkat.

A per folyamán az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény (Infotv.) alapján az ÁEEK-nek kellett bizonyítania, hogy ténylegesen milyen adatokat kap és ezek alapján hogyan történik az adatbázis összeállítása. Az ÁEEK ennek megfelelően hivatkozott jogszabályi kötelezettségére az információk – és nem személyes adatok – kezelése kapcsán és megjegyezte, hogy nem rendelkezik olyan technikai feltételekkel, nyilvántartással, amely a kezelt adatok valós személlyel történő összekapcsolását, ezáltal a deperszonalizált adatoknak az érintettel való kapcsolata helyreállítását („vissza-személyesítését”) lehetővé tenné.

Az első- és másodfokú ítélet

Az alsóbb fokon eljárt bíróságok, a Szegedi Törvényszék és a Szegedi Ítélőtábla az alperes ÁEEK álláspontját elfogadva megállapították, hogy a ténylegesen megejtett személyazonosítás és – a többek között a személyes adat kezelése szempontjából jelentőséggel bíró – azonosítás lehetősége között különbséget kell tenni. A TEA-ban szereplő információk, a nem, a születési idő, a lakcím irányítószáma sem önmagában, sem együttesen nem alkalmas a mögöttük álló természetes személy beazonosítására. A felperes keresete („róla tárolt adatok másolatának kiadása”) ugyanis a tényleges beazonosítás nélkül nem teljesíthető. Ehhez a TEA adattartalmát „vissza kellene személyesíteni”, így lehetne csak megkapni az érintettre vonatkozó adatokat. Mindemellett a felperes által felajánlott eljárás, miszerint kapcsolati kódok közül a sajátját kiemelve, azt a kapcsolati kódhoz tartozó adatokkal a saját személyéhez rendeli, már új adatkezelésnek és ezzel új adattartalomnak minősülne. Az ÁEEK ugyanakkor a jogszabályok alapján csak személyazonosításra alkalmatlan módon kezelhet adatokat, arra jogszabályi felhatalmazással nem rendelkezik, hogy az ún. „vissza-személyesítést” is elvégezze, így ezeket a kérelmeket jogosan utasította el a bíróság.

A bíróságok szerint annak sincs jelentősége, hogy a TEA adataihoz az ÁEEK-tól független, további adattartalmak társításával (internet adta lehetőségekkel, pl. Google kereséssel) el lehet-e jutni egy konkrét személyhez, mivel az ÁEEK-nak a tőle függetlenül rendelkezésre álló adattartalmak mikénti felhasználására ráhatása nincs, azokat nem kezeli.

A Kúria felülvizsgálati ítélete

A Kúria helybenhagyta az ítélőtábla jogerős ítéletét és megerősítette, hogy kódolt adatok esetén különbséget kell tenni aszerint, hogy az ezeket kezelő szervezet rendelkezik-e a kulccsal vagy egyébként érdekelt-e a visszaazonosításban, vagy sem. Előbbi esetben személyes adatokról van szó, utóbbi esetben azonban nem. A Kúria is hivatkozott a 29. cikk szerinti Adatvédelmi Munkacsoport (WP29) 4/2007 számú, személyes adat fogalmáról szóló véleményére. A TEA adatbázisban az újbóli azonosítás kifejezetten kizárt, e tekintetben megfelelő technikai intézkedésre is sor került, tehát e kódolt adatok az adatkezelő által nem visszafejthetőek.

A Kúria döntését ugyan az Infotv. alapján hozta meg, azonban az ítélet indokolása tartalmazza, hogy a WP29 4/2007 számú véleménye – a GDPR 94. cikk (2) bekezdése értelmében – jelenleg is hatályos. Érdemes elolvasni a Kúria eredeti ítéletét (Pfv. 20.954/2018/6, lásd a Kúria sajtóközleményét itt), különösen a 17-22. bekezdéseket, mert ezek a közzétett BH-hoz képest több részletet tartalmaznak. Az indokolás sarokpontjai az alábbiak:

A személyes adat egyik fogalmi eleme, hogy az adat, információ alapján a természetes személy azonosított vagy azonosítható legyen.
A személyes adat fogalmi elemeinek értelmezéséhez a WP29 (jelenleg: Európai Adatvédelmi Testület, EDPB) 4/2007 számú véleménye ad iránymutatást. A véleményben kifejtett szakmai álláspont szerint, a természetes személyt „azonosítottnak” tekinthetjük, ha a személyek egy csoportján belül elkülönül a csoport valamennyi egyéb tagjától. A természetes személy akkor „azonosítható”, ha ennek megtétele lehetséges. Az azonosíthatóság tehát egy küszöbfeltétel, amely meghatározza, hogy az információ személyes adatnak minősül-e.
Az adott személyt azonosítani lehet „közvetlenül” (leggyakrabban a neve alapján) vagy „közvetve” (kisegítő információval). Azokban az esetekben, ahol a hozzáférhető azonosítók kiterjedése első látásra nem teszi lehetővé az adott személy kiválasztását, e személy még azonosítható lehet, mivel az említett információ más információkkal összekapcsolva (ez utóbbi akár megvan az adatkezelőnél, akár nincs) az egyént másoktól megkülönböztethetővé teszi.
Az Adatvédelmi Irányelv (26) preambulumbekezdésének az azonosíthatóság meghatározásához adott iránymutatása szerint, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az adott személy azonosítására. [Itt érdemes megjegyezni, hogy a GPDR (26) preambulumbekezdése lényegében ugyanezt tartalmazza, lásd lent.]
Az azonosítás eszközét elsősorban az adatfeldolgozás [helyesen: adatkezelés] célja határozhatja meg. Amikor az érintett azonosítása nem szerepel a feldolgozás [helyesen: adatkezelés] céljai között (pl. kutatás, statisztikai adatgyűjtés), az azonosítás megakadályozását célzó technikai intézkedések játszanak fontos szerepet.
A „pszeudonimizálás” a személyazonosság elrejtésének folyamata, melynek eredményeként elérhető, hogy az újbóli azonosítás ne legyen lehetséges (anonimizált adat), vagy az azonosítás elvégezhető legyen visszafelé követhető módon. Ez utóbbi esetben a pszeudonimizált adatok alapján a személyek „közvetve azonosíthatók”.
A pszeudonimizálás tipikus formája, a kulccsal kódolt adatok esetében a lehetséges azonosításba esetlegesen bevont valamennyi fél által azonosítható természetes személyre vonatkozó információkat hoznak létre, így ezen adatoknak az adatvédelmi szabályok alá kell tartozniuk.
Ez azonban mégsem jelenti azt, hogy az ugyanazon kódolt adatkészletet feldolgozó bármely más adatkezelő személyes adatot dolgozna fel, amennyiben a külön rendszerben, amelyben ezek az egyéb adatkezelők működnek, az újbóli azonosítás kifejezetten kizárt, és e tekintetben megfelelő technikai intézkedésre került sor.
A TEA rendszerben a kapcsolati kód (kvázi-TAJ szám) mellé rendelt egészségügyi adatok, nem, születési dátum, a lakóhely irányítószáma alapján az érintett csak közvetve azonosítható.
Az ÁEEK részére továbbított adatokat a NEAK (OEP) teszi a természetes személy azonosítására alkalmatlanná (pszeudonimizálja) és látja el kapcsolati kóddal, amely biztosítja az ellátott betegek megkülönböztetését, az egyes ellátási események összefűzését.
Az ÁEEK által kezelt információhalmazban a természetes személy (érintett) ugyan közvetve azonosítható, ennek elvi lehetősége ugyanakkor a konkrét esetben nem elégséges annak megállapításához, hogy az ÁEEK személyes adatokat kezelne.
Ezért az ÁEEK által kezelt, az érintett természetes személy azonosítására alkalmatlan adatok a személyes adat minőségüket már nem őrzik meg, ezekre nem vonatkoznak az adatvédelmi előírások.

Összefoglalva, az ÁEEK által kezelt, az érintett természetes személy azonosítására alkalmatlan adatok a személyes adat minőségüket már nem őrzik meg, így az érintett sem kérhet tájékoztatást az ÁEEK-től a TEÁ-ban lévő tájékoztatás nem kérhető, mert azok nem tartoznak az Infotv. hatálya alá.

A Kúria egyébként nem véletlenül hivatkozott ítéletében a 4/2007 számú, személyes adat fogalmáról szóló WP29 véleményre, az ugyanis egy, a fenti tényállásra szinte egy az egyben ráolvasható példát tartalmaz: megfelelően kódolt adatkészlet átadása egy olyan személy részére, aki nem tudja azokat dekódolni, akkor sem tartozik az adatvédelmi jog hatálya alá, ha egyébként elméletileg lehetséges a természetes személyek azonosítása (22. oldal):

Ebben az esetben az egyének azonosítása (hogy szükség esetén megkaphassák a megfelelő kezelést) a kulccsal kódolt adatok feldolgozásának egyik célja. A gyógyszeripari vállalkozás megteremtette a feldolgozás eszközeit, ideértve a szervezési intézkedéseket és a kutatóval való kapcsolatait, aki oly módon tárolja a kulcsot, hogy az egyének azonosítása bizonyos körülmények között ne csak megtörténhessen, hanem valóban meg is történjen. A betegek azonosítása tehát beágyazódik a feldolgozás céljai és eszközei közé. Ebben az esetben arra a következtetésre lehet jutni, hogy az ilyen, kulccsal kódolt adatok a lehetséges azonosításba esetlegesen bevont valamennyi fél által azonosítható természetes személyekre vonatkozó információkat hoznak létre, így tehát ezen adatoknak az adatvédelmi jogszabályok hatálya alá kell tartozniuk. Ez azonban mégsem jelenti azt, hogy az ugyanazon kódolt adatkészletet feldolgozó bármely más adatkezelő személyes adatot dolgozna fel, amennyiben a külön rendszerben, amelyben ezek az egyéb adatkezelők működnek, az újbóli azonosítás kifejezetten kizárt, és e tekintetben megfelelő technikai intézkedésekre került sor.

A kutatás vagy az ugyanazon projekt egyéb területein előfordulhat, hogy az érintett személyek újbóli azonosítását kizárták a vizsgálati tervek és az eljárás kialakítása során, például mivel az említett területeknek nincs terápiás vonzata. Technikai vagy egyéb okokból mégis lehet rá mód, hogy kiderüljön, melyik személynek felelnek meg az egyes klinikai adatok, de az azonosításra feltételezhetőleg vagy várhatóan semmilyen körülmények között nem kerül sor, és megfelelő technikai intézkedéseket (pl. kriptografikus, visszafordíthatatlan tördelés) léptettek életbe annak érdekében, hogy ennek előfordulását megelőzzék. Ebben az esetben, még ha az egyes érintettek azonosítása meg is történne az említett vizsgálati tervek és intézkedések ellenére (előre nem látható körülmények miatt, mint például az érintett tulajdonságainak véletlen egyezése, amely felfedi a személyazonosságát), az eredeti adatkezelő által feldolgozott információt akkor sem kellene azonosított vagy azonosítható személyekre vonatkozónak tekinteni, figyelembe véve minden olyan módszert, amelyet az adatkezelő vagy más személy valószínűleg felhasználna. Feldolgozása tehát nem esne az irányelv rendelkezéseinek hatálya alá.

Az ítélet hatása a jövőre nézve

A fenti konkrét ügyben a bíróságok ugyan még az Infotv. rendelkezéseit alkalmazták, hiszen az ügy a GDPR alkalmazását megelőzően indult, azonban elhamarkodott lenne kijelenteni, hogy ezért ennek az ítéletnek nincs relevanciája a GDPR hatálya alá tartozó adatkezelésekre. Egyrészt a Kúria maga is hivatkozott a GDPR-ra és a WP29 személyes adat fogalmáról szóló véleményére, másrészt az Infotv. és a GDPR releváns rendelkezései tartalmukban szinte teljesen megegyeznek. Tény, hogy az Infotv. 4. § (3) bekezdése, amely azt tartalmazza, hogy „[a] személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható”, és hogy „[az] érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek”, szövegszerűen nem jelenik meg a GDPR főszövegében, azonban kiolvasható a GPDR (26) preambulumbekezdéséből (amely megfelel az Adatvédelmi Irányelv (26) preambulumbekezdésének):

(26) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert [angolul: means] figyelembe kell venni – ideértve például a megjelölést -, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről [angolul: means] feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését. Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

A fentiek, azaz a személyes adat fogalmának relatív megközelítése alapján tehát minden ügyben egyedileg kell megvizsgálni, hogy az adott ügy körülményei alapján az információkat birtokló személy képes-e egy adott természetes személyt azonosíthatni, ehhez pedig azokat a módszereket kell megvizsgálni, amelyekről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Ezt a vizsgálatot objektív tényezők alapján kell elvégezni.

A Kúria felülvizsgálati ítélete a Bírósági Határozatok (Kúriai Döntések) 2019/10. októberi számában jelent meg BH 2019.272 szám alatt.

Register now for your free, tailored, daily legal newsfeed service.

A Kúria megerősítette a személyes adatok fogalmának relatív megközelítését
Blog Twobirds Ideas Hungary

Filed under

Topics

Laws

Popular articles from this firm

AI in FS: risks, opportunities, regulation- Step aside blockchain and the Metaverse. 2023 is the year of artificial intelligence (AI)! *

NFTs in the music industry - trends, functions, and typical copyright issues *

ECJ: Mere breach of GDPR does not justify a claim for damages *

Generative AI tools in Financial Services: What’s your policy going to be? *

Report of trade mark cases *

More from Twobirds Ideas Hungary

Céges email-fiókok magáncélú használata: tiltsuk, tűrjük vagy támogassuk?

A horeca ágazati vizsgálat konklúziói

Mt. módosítás: Újfajta szabadságok, valamint a munkaidő és pihenőidő beosztásának új szabályai

A NAV ellen döntött a Kúria: a transzferárazás nem egzakt tudomány

Mt. módosítás: változnak a munkáltatói felmondás indokolására és a munkaszerződés módosítására vonatkozó szabályok, ezért a munkáltatónak fokozott figyelemmel kell eljárnia ezekben az esetekben

Related practical resources PRO

Related research hubs