Visszaélés, zsarolás lopott adatokkal: fontos GDPR-kérdésben döntött az EU Bírósága

Megosztás Tetszik

Az adatvédelmi incidensekhez kapcsolódó felelősségre vonatkozó fontos kérdéseket vizsgált meg az Európai Unió Bírósága (EUB) a C-340/21. számú ügyben. A felelősség megállapítása adott esetekben csillagászati mértékű adatvédelmi bírságot vagy sérelemdíjat is vonhat maga után. Cikkünkben ismertetjük a döntés széles körben érvényes tanulságait.

Hatmillió adózó személyes adatai válhattak hozzáférhetővé annak következtében, hogy cybertámadás érte a bolgár adóhatóság adatbázisát. A felperes ezzel összefüggésben bíróság előtt azt állította, hogy nem vagyoni kárt szenvedett az adóhatóság kötelezettségszegése következtében, mivel a hivatal nem tett meg mindent a személyes adatok megfelelő őrzése érdekében (GDPR 5. cikk (1) bekezdés (f) pontja, 24., illetve 32. cikkek). Az adózó közölte, fél attól, hogy a bűnözők később megzsarolják, vagy hogy ezen adatok nyilvánosságra kerülnek. Azt sem tudta kizárni, hogy ennek következtében elrabolhatják vagy testi sértés áldozata lehet.

Az adatvédelmi incidens – mit mond a GDPR?

A 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) 4. cikke szerint az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Az adatvédelmi incidens megelőzése az adatkezelőnek kiemelt kötelezettsége.

Ehhez kapcsolódóan a rendelet 5. cikk (1) bekezdésének (f) pontja előírja, hogy az adatkezelést oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosított legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”). A 24. cikk ezt azzal egészíti ki, hogy az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja, és szükség esetén naprakésszé teszi. A 25. cikk pedig rögzíti, hogy mindezen feltételek mentén végrehajtott intézkedések révén garantálni kell a kockázat mértékének megfelelő szintű adatbiztonságot.

EUB-döntés: bizonyítás esetén megalapozott lehet a sérelemdíj, de az abszolút biztonság nem elvárható

Az EUB előzetes döntésében kiemelte, hogy a GDPR ugyan valóban előír kockázatelemzést, illetve megfelelő technikai és szervezési intézkedéseket, ám az adatvédelmi incidens nem jelenti azt, hogy ezen kötelezettségek szükségképpen sérültek. Abszolút biztonság ugyanis nem garantálható csupán annak kockázata csökkenthető, illetve csökkentendő.

Ugyanakkor az a körülmény, hogy az adatvédelmi incidenst harmadik fél és nem az adatkezelő okozza, nem zárja ki az adatkezelő felelősségét. A bizonyítás a GDPR 82. cikke szerint az adatkezelőt terheli, így neki kell bizonyítania a megtett technikai és szervezési intézkedések megfelelőségét. Arra is utalt, hogy az Österreichische Post döntés alapján az adatvédelmi incidens lehetséges következményeitől való félelem ténylegesen megalapozhat sérelemdíjat, amennyiben a speciális körülmények között ez bizonyított. A tagállami bíróságnak tehát ezt a körülményt kell vizsgálat tárgyává tenni.