adozona.hu
BH 2019.10.272
BH 2019.10.272
Az adatkezelő által kezelt, a természetes személy azonosítását közvetve - az adatkezelő által nem kezelt további adat összekapcsolásával - lehetővé tevő adat személyes adat, amely az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek [2011. évi CXII. tv. (Infotv.) 3. §, 4. § (3) bek., 14. §].
Kiválasztott időállapot:
- Kibocsátó(k):
- Jogterület(ek):
- Tipus:
- Érvényesség kezdete:
- Érvényesség vége:
MIRŐL SZÓL EZ A JOGSZABÁLY?
[1] Az alperes Állami Egészségügyi ellátó Központ adatkezelési tevékenységét a Tételes Egészségügyi Adattár (a továbbiakban: TEA) elnevezésű nyilvántartás útján végzi. Ebben olyan adatbázisból kérhetők le statisztikai adatok, amelyeket a közfinanszírozású egészségügyi szolgáltatók jogszabályi előírás alapján jelentenek. Az adatok elsődleges gyűjtését és feldolgozását az Országos Egészségbiztosítási Pénztár (a továbbiakban: OEP) végzi, melyeket a 76/2004. (VIII. 19.) ESzCsM rendelet előírása a...
BH 2019.10.272 Az adatkezelő által kezelt, a természetes személy azonosítását közvetve - az adatkezelő által nem kezelt további adat összekapcsolásával - lehetővé tevő adat személyes adat, amely az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek [2011. évi CXII. tv. (Infotv.) 3. §, 4. § (3) bek., 14. §].
A felülvizsgálat alapjául szolgáló tényállás
[1] Az alperes Állami Egészségügyi ellátó Központ adatkezelési tevékenységét a Tételes Egészségügyi Adattár (a továbbiakban: TEA) elnevezésű nyilvántartás útján végzi. Ebben olyan adatbázisból kérhetők le statisztikai adatok, amelyeket a közfinanszírozású egészségügyi szolgáltatók jogszabályi előírás alapján jelentenek. Az adatok elsődleges gyűjtését és feldolgozását az Országos Egészségbiztosítási Pénztár (a továbbiakban: OEP) végzi, melyeket a 76/2004. (VIII. 19.) ESzCsM rendelet előírása alapján személyazonosításra alkalmatlan módon kell átadnia az alperes részére.[2] A TEA adattár tartalmazza a fekvő- és járóbeteg szakellátás, művesekezelés, CT/MRI vizsgálatok, esetfinanszírozott eszközök és beavatkozások rekordjait. Az adattár nyilvános, mindenki számára elérhető, abból ún. aggregált, összesített adatokat lehet lekérdezni különböző megjelenítési és szűrőfeltételek beállításával, melynek eredményeként egy összesített adatokat tartalmazó eredménytáblázat jelenik meg a beállításnak megfelelő bontásban. Ha a megadott szűrési feltételek eredményeként ötnél kevesebb esetszám adódik, a rendszer adatot nem szolgáltat. Az alperes feladatellátása során az OEP által a részére átadott adatokkal kapcsolatba hozható személyek személyazonosító adataival nem rendelkezik, nem ismeri az adott személynek az OEP által képzett és kiadott kilenc jegyű ún. kapcsolati kódját (quasi TAJ-szám), az ehhez tartozó személyt és személyazonosító adatait.
[3] Az OEP a felperessel - kérésére - közölte a kapcsolati kódját, és felhívta a figyelmét, ha jelzi az alperesnek, hogy ez a kapcsolati kód hozzá tartozik, személye beazonosíthatóvá válik. A felperes 2014. március 12-én az alpereshez intézett levelében kérte az általa tárolt személyes adatainak másolatát oly módon, hogy kapcsolati kódját az alperesnek egy arra alkalmas számítógépébe saját maga begépeli, majd az adatokat lekéri.
[4] Az alperes 2014. április 16-án kelt válaszában közölte, hogy a TEA adatbázisban személyes adatok kezelésére nincs felhatalmazása, ilyeneket nem is kezel, így a felperes egészségügyi ellátási eseteivel kapcsolatos adatok sem állnak a rendelkezésére. Amennyiben a felperes által javasolt eljárással kér le adatokat, nem állapítható meg, hogy a felperes valóban a saját TAJ számából képzett kulcsot gépelt-e be a rendszerbe, mert ennek ellenőrzésére nincs lehetősége. Ugyanakkor a felperes sem tudna meggyőződni arról, hogy a kapcsolati kódot az informatikai rendszer tárolja-e, ebben az esetben ugyanis az érintett adatok visszaszemélyesítése lehetővé válik. Tájékoztatta arról is, hogy a felperes által javasolt eljárással a részéről személyes adatkezelés valósulna meg, amelyhez felhatalmazással nem rendelkezik.
[5] Megkeresésére a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala arról tájékoztatta a felperest, hogy a 2014. január 1-jei adatok szerint Sz.-en a 6724 irányítószámon vele azonos születési idővel 1 fő férfi rendelkezik érvényes lakóhellyel.
A kereseti kérelem és ellenkérelem
[6] A felperes a 2014. december 14-én benyújtott keresetében adatvédelmi felvilágosítás keretében a róla tárolt adatok másolatának kiadására kérte kötelezni az alperest, és arra az esetre, ha bizonyítást nyerne, hogy a tárolt adatok személyes adatok, kérte megállapítani az adatkezelés jogellenességét és az adatok törlésének elrendelését.[7] Az alperes a kereset elutasítását indítványozta. Védekezése szerint jogszabályi felhatalmazás alapján és kizárólag a jogszabály által meghatározott körben kezel személyazonosításra nem alkalmas, a kapcsolati kódok alapján pusztán a betegutat azonosítható adatokat, amelyek személyes adatoknak nem minősülnek.
Az első- és másodfokú ítélet
[8] Az elsőfokú bíróság ítéletével a keresetet elutasította. A felperes fellebbezése alapján eljárt másodfokú bíróság ítéletével az elsőfokú bíróság ítéletét helybenhagyta.[9] A jogerős ítélet indokolása szerint, az egészségügyben szenzitív adatok kezelése folyik, amelyre az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) speciális szabályokat ír elő. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) az Eüak. háttérjogszabályát képezi. Az Eüak. az információáramlás veszélyeinek elhárítását és az Infotv. előírásaival való harmonizáció megteremtését kívánja megvalósítani úgy, hogy meghatározza az egészségügyi adatokat, illetve az azokhoz kapcsolódó személyazonosító adatok összekapcsolt kezelésének feltételeit. Az Eüak. elsődlegesen az egészségügyi ellátó hálózaton belüli adatkezelést szabályozza, ugyanakkor szabályozásra kerülnek az ezen kívüli adatkezelési szituációk is. A törvény az egészségügyi hálózattal kapcsolatba került, vagy kerülő személyek - tehát nem feltétlenül csak betegek - személyiségi jogait védi az adatokhoz való illetéktelen hozzáféréssel szemben, lehetőség szerint nem gátolva az adatok célhoz rendelt hatékony felhasználását.
[10] A másodfokú bíróság hivatkozott a személyes adat Infotv. 3. §-ában meghatározott fogalmára, valamint az Infotv. 4. § (1) bekezdése alapján a személyes adat célhoz kötött kezelésének kötelezettségére. Ismertette az egyes személyazonosításra alkalmatlan ágazati (egészségügyi, szakmai) adatok körének meghatározására, gyűjtésére, feldolgozására vonatkozó részletes szabályokról szóló 76/2004. (VIII. 19.) ESzCsM rendelet (a továbbiakban: Rendelet) 4. §-át, amely előírja, hogy az OEP az általa finanszírozási célból gyűjtött és kezelt adatokhoz való hozzáférés és ellenőrizhetőségük érdekében a 2. számú melléklet B) és C) pontjai szerinti adatokat, az ott meghatározott időszakok szerint, megküldi az alperesnek, aki azokat havi gyakorisággal feldolgozza. A tételes jelentési kötelezettséget tartalmazó Rendelet 2. számú mellékletének B) pontja szerint az OEP az adatokat személyazonosításra alkalmatlan módon, kapcsolati kóddal ellátva szolgáltatja, amely biztosítja az ellátott betegek megkülönböztetését, az egyes ellátási események összefűzését.
[11] A másodfokú bíróság megállapította, hogy a megismételt eljárásban az elsőfokú bíróság - a hatályon kívül helyező végzés előírásainak megfelelően - vizsgálta, hogy az alperes az OEP-től ténylegesen milyen adatokat kap, és ezek alapján hogyan történik a TEA adatbázis összeállítása. A bizonyítási eljárás eredményeként kétségtelenül megállapítható, hogy az OEP a Rendelet 2. számú melléklet B) pontja alapján szolgáltat adatokat az alperes részére, az átadott adatok adatszerkezete a Rendeletben meghatározott adattartalmon alapul. Az alperes az Infotv. 22. § (2) bekezdésében foglalt bizonyítási kötelezettségének, mely szerint adatkezelése "jogszabályszerű", azaz nem kezel személyes adatot, eleget tett. Az OEP által a Rendelet szerint megküldött adatok, amelyek kezelését az alperes jogszabály alapján végzi, személyazonosításra nem alkalmasak. A felperes ennek ellenkezőjét nem bizonyította. Önmagában a felperes szubjektív véleménye, mely szerint meggyőződése, hogy a TEA adatbázisból a személyazonosítás elvégezhető, megfelelő bizonyítéknak nem tekinthető.
A felülvizsgálati kérelem és ellenkérelem
[12] A jogerős ítélet ellen a felperes nyújtott be felülvizsgálati kérelmet, annak hatályon kívül helyezése és elsődlegesen a keresetének való helyt adás, másodlagosan az elsőfokú bíróság új eljárásra utasítása érdekében.[13] Az alperes a jogerős ítélet hatályában való fenntartását kérte.
A Kúria döntése és jogi indokai
[14] A felülvizsgálati kérelem az alábbiak szerint eredménytelen.[15] A felperes keresete az Infotv. 14. § a) pontja alapján az alperes által kezelt, személyes adatairól való tájékoztatás adására irányult. A perben bizonyítást nyert, hogy az OEP a Rendelet 2. számú mellékletének B) pontja szerint a konkrét egészségügyi ellátásra vonatkozó adatokat az általa képzett kapcsolati kóddal ellátva, a személy nemét, születési dátumát és lakóhelyének irányítószámát tartalmazó adatokkal együtt küldi meg az alperes részére. Az alperes állítása szerint, ezekből az adatokból a természetes személy nem azonosítható, ezért azok személyes adatnak nem minősülnek, így a felperes keresete nem teljesíthető. A felperes megítélése szerint, ezek az adatok más, jogszerűen vagy nyilvánosan hozzáférhető adatbázisokból megszerezhető adatokkal együtt alkalmasak az érintett személy azonosítására, s mint közvetve azonosítható adatok, személyes adatoknak minősülnek. A felperes kereseti kérelme teljesíthetősége érdekében felajánlotta, hogy személyazonosságának utólagos igazolása mellett, az alperes székhelyén begépeli az alperes számítógépébe az OEP-től rendelkezésére bocsátott ún. pszeudo-TAJ azonosítóját. A perbeli jogvita elbírálása szempontjából ezért annak volt döntő jelentősége, hogy az alperes által kezelt adatok személyes adatoknak minősülnek-e, így vonatkoznak-e az adatkezelésre az Infotv. rendelkezései.
[16] Az Infotv. perbeli időszakban (2014. december 14.) hatályos 2. § (1) bekezdése alapján e törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik. Az Infotv. 3. § 2. pontja szerint személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés. Az Infotv. 3. § 1. pontja értelmében érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy. Az Infotv. 4. § (3) bekezdése alapján a személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható; az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
[17] A fenti rendelkezések értelmében a személyes adat fogalmi eleme - egyebek mellett -, hogy az adat, információ alapján a természetes személy azonosított vagy azonosítható legyen. A személyes adat fogalmi elemeinek értelmezéséhez a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK európai parlamenti és tanácsi irányelv (a továbbiakban: Irányelv) 29. cikke által létrehozott, a természetes személyeknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport (jelenleg: Európai Adatvédelmi Testület) 4/2007 számú véleménye ad iránymutatást. [A vélemény a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló európai parlament és tanács 2016/679 rendeletének (általános adatvédelmi rendelet, GDPR) 94. cikk (2) bekezdése értelmében jelenleg is hatályos.] A véleményben kifejtett szakmai álláspont szerint, a természetes személyt "azonosítottnak" tekinthetjük, ha a személyek egy csoportján belül elkülönül a csoport valamennyi egyéb tagjától. A természetes személy akkor "azonosítható", ha ennek megtétele lehetséges. Az azonosíthatóság tehát egy küszöbfeltétel, amely meghatározza, hogy az információ személyes adatnak minősül-e. Az adott személyt azonosítani lehet "közvetlenül" (leggyakrabban a neve alapján) vagy "közvetve" (kisegítő információval). Azokban az esetekben, ahol a hozzáférhető azonosítók kiterjedése első látásra nem teszi lehetővé az adott személy kiválasztását, e személy még azonosítható lehet, mivel az említett információ más információkkal összekapcsolva (ez utóbbi akár megvan az adatkezelőnél, akár nincs) az egyént másoktól megkülönböztethetővé teszi. Az Irányelv (26) preambulumbekezdésének az azonosíthatóság meghatározásához adott iránymutatása szerint, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az adott személy azonosítására. Az azonosítás eszközét elsősorban az adatfeldolgozás célja határozhatja meg. Amikor az érintett azonosítása nem szerepel a feldolgozás céljai között (pl. kutatás, statisztikai adatgyűjtés), az azonosítás megakadályozását célzó technikai intézkedések játszanak fontos szerepet. A "pszeudonimizálás" a személyazonosság elrejtésének folyamata, melynek eredményeként elérhető, hogy az újbóli azonosítás ne legyen lehetséges (anonimizált adat), vagy az azonosítás elvégezhető legyen visszafelé követhető módon. Ez utóbbi esetben a pszeudonimizált adatok alapján a személyek "közvetve azonosíthatók". A pszeudonimizálás tipikus formája, a kulccsal kódolt adatok esetében a lehetséges azonosításba esetlegesen bevont valamennyi fél által azonosítható természetes személyre vonatkozó információkat hoznak létre, így ezen adatoknak az adatvédelmi szabályok alá kell tartozniuk. Ez azonban mégsem jelenti azt, hogy az ugyanazon kódolt adatkészletet feldolgozó bármely más adatkezelő személyes adatot dolgozna fel, amennyiben a külön rendszerben, amelyben ezek az egyéb adatkezelők működnek, az újbóli azonosítás kifejezetten kizárt, és e tekintetben megfelelő technikai intézkedésre került sor.
[18] A személyes adat fogalmának fent ismertetett értelmezése alapján megállapítható, hogy az adott esetben az alperes által kezelt, valamely természetes személyre vonatkozó egészségügyi adatok, a nem, a születési dátum és a lakóhely irányítószáma a természetes személy személyes adatai, amelyek alapján az érintett közvetve azonosítható. Ez azt jelenti, hogy ezek az adatok ebben az összetételben nem teszik azonosíthatóvá a természetes személyt, más forrásból származó további adatok összekapcsolásával azonban alkalmasak lehetnek az érintett természetes személy azonosítására, az érintettre vonatkozó következtetés levonására.
[19] A kereset elbírálása szempontjából irányadó Rendelet 2. § j) pontja alapján az alperes jogelődje (GYEMSZI) a jogszabályokban foglalt feladatkörében statisztikai adatokat gyűjt és elemez. Az Eüak. 20. § (1) bekezdése alapján az érintett egészségügyi adatai statisztikai célra személyazonosításra alkalmatlan módon kezelhetők. A Rendelet 2. §-a alapján az egészségügyi, szakmai adatot személyazonosításra alkalmatlan módon - a törvényben meghatározott célból - lehet kezelni. A Rendelet 2. számú melléklet B) pontja értelmében az OEP az adatokat személyazonosításra alkalmatlan módon kapcsolati kóddal ellátva szolgáltatja, amely biztosítja az ellátott betegek megkülönböztetését, az egyes ellátási események összefűzését.
[20] A per nem vitás adatai szerint, az alperes részére továbbított adatokat az OEP teszi a természetes személy azonosítására alkalmatlanná (pszeudonimizálja) és látja el kapcsolati kóddal. Az alperes részére megküldött adatok alapján a természetes személy (érintett) ugyan közvetve azonosítható, ennek elvi lehetősége ugyanakkor a perbeli esetben nem elégséges annak megállapításához, hogy az alperes személyes adatokat kezel. A perben nem merült fel adat arra, hogy az alperes rendelkezik azokkal a technikai feltételekkel (kapcsolati kódból a személyazonosítást visszakövethető módon lehetővé tevő információ, metódus, további nyilvántartások stb.), amelyek az érintettel való kapcsolat helyreállításához szükségesek. Ezért az alperes által kezelt, az érintett természetes személy azonosítására alkalmatlan adatok a személyes adat minőségüket már nem őrzik meg [Infotv. 4. § (3) bek.]. Így érdemben helytállóan állapította meg a másodfokú bíróság, hogy az alperes által kezelt adatok nem személyes adatok. Erre tekintettel az alperes kezelésében lévő adatokról az Infotv. 14. § a) pontjának rendelkezése alapján tájékoztatás nem kérhető, mert azok nem tartoznak az Infotv. hatálya alá [Infotv. 2. § (1) bek.].
[21] Helyesen állapította meg az elsőfokú bíróság, hogy a kereset a felperes személyének tényleges azonosítása nélkül nem teljesíthető, a TEA adatbázis "visszaszemélyesítésére" pedig az alperesnek jogszabályi lehetősége nincs. A felperes a kereset teljesíthetősége érdekében további, az alperes által nem kezelt adatok összekapcsolásával kívánt az alperes által nyilvántartott információkhoz jutni. A felperes azzal, hogy a saját kapcsolati kódját rendelkezésre bocsátja, az alperes által tárolt kapcsolati kódok közül a sajátját kiemelve, azt a kapcsolati kódhoz tartozó adatokkal a személyéhez rendeli. Így az alperes által nyilvántartott, önmagukban a természetes személy azonosítására alkalmatlan adatok a felperes személyének azonosítására alkalmassá válnak. Az adatok ilyen módon való összekapcsolásával olyan új adattartalom jön létre, amely már személyes adatnak minősül, mert annak alapján az érintett felperes azonosítottá válik. A perbeli ágazati (egészségügyi, szakmai) adatok személyazonosításra alkalmas módon való kezelésére az alperes nem jogosult [Eüak. 20. § (1) bek., Rendelet 2. §]. A felperes által a keresetének teljesíthetősége érdekében felajánlott eljárás tehát az alperes jogosulatlan adatkezeléséhez vezetne.
[22] A kifejtettekre figyelemmel a Kúria megállapította, hogy a jogerős ítélet érdemben jogszabálysértés nélkül utasította el a keresetet, ezért a jogerős ítéletet hatályában fenntartotta.
(Kúria Pfv. 20.954/2018.)
***
TELJES HATÁROZAT
A Kúria
mint felülvizsgálati bíróság
í t é l e t e
Az ügy száma: Pfv.IV.20.954/2018/6.
A tanács tagjai:
Dr. Baka András a tanács elnöke
Dr. Kovács Zsuzsanna előadó bíró
Dr. Pataki Árpád bíró
A felperes: Dr. A. Z.
A felperes képviselője: Dr. Ábrahám László ügyvéd (6720 Szeged, Arany János u. 9.)
Az alperes: Á. E. E. K.
Az alperes képviselője: Dr. Méhes László ügyvéd (9200 Mosonmagyaróvár, Palánk u. 1.)
A per tárgya: Személyes adatok védelme
A felülvizsgálati kérelmet benyújtó fél: A felperes
A másodfokú bíróság neve és a jogerős határozat száma: Szegedi Ítélőtábla Pf.I.20.624/2017/9.
Az elsőfokú bíróság neve és a határozat száma: Szegedi Törvényszék 15.P.20.594/2017/5.
Rendelkező rész
A Kúria a jogerős ítéletet hatályában fenntartja.Kötelezi a felperest, hogy 15 napon belül fizessen meg az alperesnek 10.000 (tízezer) forint felülvizsgálati eljárási költséget.
Az ítélet ellen felülvizsgálatnak nincs helye.
I n d o k o l á s
A felülvizsgálat alapjául szolgáló tényállás
[1] Az alperes jogelődjét Gyógyszerészeti és Egészségügyi Minőség- és Szervezetfejlesztési Intézet (a továbbiakban: GYEMSZI) néven a Kormány az 59/2011. (IV.12.) Korm. rendelettel 2011. május 1-jei hatállyal hozta létre - többek között - az Egészségügyi Stratégiai Kutató Intézet jogutódjaként. Az alperes az egészségszervezés, -tervezés és -finanszírozás területén az egészségügyi ágazat működése, annak hatékonysága növelése érdekében módszertani feladatokat, valamint - egyebek mellett - az egészségüggyel az egészségügy finanszírozásával kapcsolatos fejlesztési, elemzési és értékelési, kutatási feladatokat lát el, továbbá a jogszabályban foglalt feladatkörében az ágazati statisztikai adatszolgáltatás alapján adatokat vesz fel, gyűjt, dolgoz fel, elemez, tárol, átad és tesz közzé. Az alperes 2015. március 1-jén történt átalakulástól Állami Egészségügyi Ellátó Központként működik. Az alperes adatkezelési tevékenységét a Tételes Egészségügyi Adattár (a továbbiakban: TEA) elnevezésű nyilvántartás útján végzi. Ebben olyan adatbázisból kérhetők le statisztikai adatok, amelyeket a közfinanszírozású egészségügyi szolgáltatók jogszabályi előírás alapján jelentenek. Az adatok elsődleges gyűjtését és feldolgozását az Országos Egészségbiztosítási Pénztár (a továbbiakban: OEP) végzi, melyeket a 76/2004. (VIII.19.) ESzCsM rendelet előírása alapján személyazonosításra alkalmatlan módon kell átadnia az alperes részére.[2] A TEA adattár tartalmazza a fekvő- és járóbeteg szakellátás, művesekezelés, CT/MRI vizsgálatok, esetfinanszírozott eszközök és beavatkozások rekordjait. Az adattár nyilvános, mindenki számára elérhető, abból ún. aggregált, összesített adatokat lehet lekérdezni különböző megjelenítési és szűrőfeltételek beállításával, melynek eredményeként egy összesített adatokat tartalmazó eredménytáblázat jelenik meg a beállításnak megfelelő bontásban. Ha a megadott szűrési feltételek eredményeként ötnél kevesebb esetszám adódik, a rendszer adatot nem szolgáltat. Az alperes feladatellátása során az OEP által a részére átadott adatokkal kapcsolatba hozható személyek személyazonosító adataival nem rendelkezik, nem ismeri az adott személynek az OEP által képzett és kiadott kilenc jegyű ún. kapcsolati kódját (quasi TAJ-szám), az ehhez tartozó személyt és személyazonosító adatait.
[3] Az OEP a felperessel - kérésére - közölte a kapcsolati kódját, és felhívta a figyelmét, ha jelzi az alperesnek, hogy ez a kapcsolati kód hozzá tartozik, személye beazonosíthatóvá válik. A felperes 2014. március 12-én az alpereshez intézett levelében kérte az általa tárolt személyes adatainak másolatát oly módon, hogy kapcsolati kódját az alperesnek egy arra alkalmas számítógépébe saját maga begépeli, majd az adatokat lekéri.
[4] Az alperes 2014. április 16-án kelt válaszában közölte, hogy a TEA adatbázisban személyes adatok kezelésére nincs felhatalmazása, ilyeneket nem is kezel, így a felperes egészségügyi ellátási eseteivel kapcsolatos adatok sem állnak a rendelkezésére. Amennyiben a felperes által javasolt eljárással kér le adatokat, nem állapítható meg, hogy a felperes valóban a saját TAJ számából képzett kulcsot gépelt-e be a rendszerbe, mert ennek ellenőrzésére nincs lehetősége. Ugyanakkor a felperes sem tudna meggyőződni arról, hogy a kapcsolati kódot az informatikai rendszer tárolja-e, ebben az esetben ugyanis az érintett adatok visszaszemélyesítése lehetővé válik. Tájékoztatta arról is, hogy a felperes által javasolt eljárással a részéről személyes adatkezelés valósulna meg, amelyhez felhatalmazással nem rendelkezik.
[5] Megkeresésére a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala arról tájékoztatta a felperest, hogy a 2014. január 1-jei adatok szerint Szegeden a 6724 irányítószámon vele azonos születési idővel 1 fő férfi rendelkezik érvényes lakóhellyel.
A kereseti kérelem és ellenkérelem
[6] A felperes a 2014. december 14-én benyújtott keresetében adatvédelmi felvilágosítás keretében a róla tárolt adatok másolatának kiadására kérte kötelezni az alperest, és arra az esetre, ha bizonyítást nyerne, hogy a tárolt adatok személyes adatok, kérte megállapítani az adatkezelés jogellenességét és az adatok törlésének elrendelését.[7] Az alperes a kereset elutasítását indítványozta. Védekezése szerint jogszabályi felhatalmazás alapján és kizárólag a jogszabály által meghatározott körben kezel személyazonosításra nem alkalmas, a kapcsolati kódok alapján pusztán a betegutat azonosítható adatokat, amelyek személyes adatoknak nem minősülnek.
Az első- és másodfokú ítélet
[8] Az elsőfokú bíróság ítéletével a keresetet elutasította. A felperes fellebbezése alapján eljárt másodfokú bíróság ítéletével az elsőfokú bíróság ítéletét helybenhagyta.[9] A jogerős ítélet indokolása szerint, az egészségügyben szenzitív adatok kezelése folyik, amelyre az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) speciális szabályokat ír elő. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) az Eüak. háttérjogszabályát képezi. Az Eüak. az információáramlás veszélyeinek elhárítását és az Infotv. előírásaival való harmonizáció megteremtését kívánja megvalósítani úgy, hogy meghatározza az egészségügyi adatokat, illetve az azokhoz kapcsolódó személyazonosító adatok összekapcsolt kezelésének feltételeit. Az Eüak. elsődlegesen az egészségügyi ellátó hálózaton belüli adatkezelést szabályozza, ugyanakkor szabályozásra kerülnek az ezen kívüli adatkezelési szituációk is. A törvény az egészségügyi hálózattal kapcsolatba került, vagy kerülő személyek - tehát nem feltétlenül csak betegek - személyiségi jogait védi az adatokhoz való illetéktelen hozzáféréssel szemben, lehetőség szerint nem gátolva az adatok célhoz rendelt hatékony felhasználását.
[10] A másodfokú bíróság hivatkozott a személyes adat Infotv. 3. §-ában meghatározott fogalmára, valamint az Infotv. 4. § (1) bekezdése alapján a személyes adat célhoz kötött kezelésének kötelezettségére. Ismertette az egyes személyazonosításra alkalmatlan ágazati (egészségügyi, szakmai) adatok körének meghatározására, gyűjtésére, feldolgozására vonatkozó részletes szabályokról szóló 76/2004. (VIII.19.) ESzCsM rendelet (a továbbiakban: Rendelet) 4. §-át, amely előírja, hogy az OEP az általa finanszírozási célból gyűjtött és kezelt adatokhoz való hozzáférés és ellenőrizhetőségük érdekében a 2. számú melléklet B) és C) pontjai szerinti adatokat, az ott meghatározott időszakok szerint, megküldi az alperesnek, aki azokat havi gyakorisággal feldolgozza. A tételes jelentési kötelezettséget tartalmazó Rendelet 2. számú mellékletének B) pontja szerint az OEP az adatokat személyazonosításra alkalmatlan módon, kapcsolati kóddal ellátva szolgáltatja, amely biztosítja az ellátott betegek megkülönböztetését, az egyes ellátási események összefűzését.
[11] A másodfokú bíróság megállapította, hogy a megismételt eljárásban az elsőfokú bíróság - a hatályon kívül helyező végzés előírásainak megfelelően - vizsgálta, hogy az alperes az OEP-től ténylegesen milyen adatokat kap, és ezek alapján hogyan történik a TEA adatbázis összeállítása. A bizonyítási eljárás eredményeként kétségtelenül megállapítható, hogy az OEP a Rendelet 2. számú melléklet B) pontja alapján szolgáltat adatokat az alperes részére, az átadott adatok adatszerkezete a Rendeletben meghatározott adattartalmon alapul. Az alperes az Infotv. 22. § (2) bekezdésében foglalt bizonyítási kötelezettségének, mely szerint adatkezelése "jogszabályszerű", azaz nem kezel személyes adatot, eleget tett. Az OEP által a Rendelet szerint megküldött adatok, amelyek kezelését az alperes jogszabály alapján végzi, személyazonosításra nem alkalmasak. A felperes ennek ellenkezőjét nem bizonyította. Önmagában a felperes szubjektív véleménye, mely szerint meggyőződése, hogy a TEA adatbázisból a személyazonosítás elvégezhető, megfelelő bizonyítéknak nem tekinthető.
A felülvizsgálati kérelem és ellenkérelem
[12] A jogerős ítélet ellen a felperes nyújtott be felülvizsgálati kérelmet, annak hatályon kívül helyezése és elsődlegesen a keresetének való helyt adás, másodlagosan az elsőfokú bíróság új eljárásra utasítása érdekében. Felülvizsgálati álláspontja szerint a Rendelet 2. számú melléklete - az 1. § (2) bekezdés előírásának nem megfelelően - olyan adatok átadását írja elő, amelyek egyértelműen alkalmasak a személyazonosításra. A felperes előadta, hogy saját kutatásai alapján arra az eredményre jutott, hogy az alperes által kezelt három adat: a születési dátum, a lakóhely irányítószáma és a személy neme Magyarországon csak egy állampolgár személyes adatának felelhet meg. Az alperes átgondolatlan adatkezelési tevékenysége, figyelemmel a közérdekből nyilvános adatokra, nemzetbiztonsági kockázatot is jelent. A szóban forgó adatok az Infotv. 3. § (1) bekezdése alapján a természetes személy közvetve történő azonosítását teszik lehetővé. Az Európai Unió Bíróságának a C-582/14. számú ügyben hozott döntése is alátámasztja, hogy a kapcsolati kóddal ellátott, közvetve azonosítható adatok akkor is személyes adatoknak minősülnek, ha nem az alperes, hanem más adatkezelő igénybe vételével hozzáférhető módszerek állnak rendelkezésre az érintett azonosításához. Ilyen például a Nemzeti Egészségbiztosítási Alapkezelő Központ (a továbbiakban: NEAK), amely a TAJ és a pszeudo-TAJ összerendelési táblázatot az érintett személyről halála után is, meghatározatlan ideig kezeli. Az azonosításhoz szükséges további információkhoz legálisan hozzá lehet jutni internetes közösségi oldalakból (Facebook, Skype, Youtube, Google, Twitter stb.). A perben az alperes csupán azt bizonyította, hogy közvetlenül nem tudja az érintetteket azonosítani. A Nemzeti Adatvédelmi és Információszabadság Hatóság a perben csatolt határozatában személyes adatnak minősített olyan adatokat, amelyek közvetve minősülnek személyes adatnak. Amennyiben a perbeli adatok közvetve azonosítható személyes adatok, az Infotv. 14. § a) pontja szerint jogosult azokról tájékoztatást kérni.[13] A felperes a Pp. 155/A. §-ra és az Európai Unió működéséről szóló szerződés 267. cikke alapján kérte, hogy a Kúria forduljon az Európai Unió Bíróságához (a továbbiakban: EUB) előzetes döntéshozatali eljárás kezdeményezése érdekében. A következő kérdések feltételét indítványozta:
1. A Tételes Egészségügyi Adattárban található adatok az Európai Parlament és a Tanács 95/46/EK számú, a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló irányelve 2. cikk a) pontja szerint közvetett módon azonosítható személyes adatoknak minősülnek-e?
2. Az Európai Alapvető Jogok Chartája 8. cikk (2) bekezdése második mondatát olyan módon kell-e értelmezni, hogy a felperes a rá vonatkozó adatok másolatát akkor kapja meg, ha segítséget nyújt a saját azonosításához az alperesnek? A felperes hivatalos irattal igazolhatja, hogy milyen kapcsolati kódot rendelt az adataihoz a NEAK, és/vagy a személyi igazolványával és lakcímkártyával igazolhatja a születési dátumát, lakóhelyének irányítószámát és a nemét?
[14] Az alperes a jogerős ítélet hatályában való fenntartását kérte. Álláspontja szerint a jogerős ítélet megalapozottan utasította el a keresetet. Az OEP által átadott kapcsolati kódokból nem tudja azonosítani a személyeket, a kóddal az általuk ismeretlen személyekhez tartozó esetek (betegutak) kapcsolhatók csupán össze. A nyilvántartásban szereplő adatok személyazonosításra alkalmatlan adatok, személyes adatokat tehát nem kezel.
A Kúria döntése és jogi indokai
[15] A felülvizsgálati kérelem az alábbiak szerint eredménytelen.[16] A felperes keresete az Infotv. 14. § a) pontja alapján az alperes által kezelt, személyes adatairól való tájékoztatás adására irányult. A perben bizonyítást nyert, hogy az OEP a Rendelet 2. számú mellékletének B) pontja szerint a konkrét egészségügyi ellátásra vonatkozó adatokat az általa képzett kapcsolati kóddal ellátva, a személy nemét, születési dátumát és lakóhelyének irányítószámát tartalmazó adatokkal együtt küldi meg az alperes részére. Az alperes állítása szerint, ezekből az adatokból a természetes személy nem azonosítható, ezért azok személyes adatnak nem minősülnek, így a felperes keresete nem teljesíthető. A felperes megítélése szerint, ezek az adatok más, jogszerűen vagy nyilvánosan hozzáférhető adatbázisokból megszerezhető adatokkal együtt alkalmasak az érintett személy azonosítására, s mint közvetve azonosítható adatok, személyes adatoknak minősülnek. A felperes kereseti kérelme teljesíthetősége érdekében felajánlotta, hogy személyazonosságának utólagos igazolása mellett, az alperes székhelyén begépeli az alperes számítógépébe az OEP-től rendelkezésére bocsátott ún. pszeudo-TAJ azonosítóját. A perbeli jogvita elbírálása szempontjából ezért annak volt döntő jelentősége, hogy az alperes által kezelt adatok személyes adatoknak minősülnek-e, így vonatkoznak-e az adatkezelésre az Infotv. rendelkezései.
[17] Az Infotv. perbeli időszakban (2014. december 14.) hatályos 2. § (1) bekezdése alapján e törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik. Az Infotv. 3. § 2. pontja szerint személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés. Az Infotv. 3. § 1. pontja értelmében érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy. Az Infotv. 4. § (3) bekezdése alapján a személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható; az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
[18] A fenti rendelkezések értelmében a személyes adat fogalmi eleme - egyebek mellett -, hogy az adat, információ alapján a természetes személy azonosított vagy azonosítható legyen. A személyes adat fogalmi elemeinek értelmezéséhez a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK európai parlamenti és tanácsi irányelv (a továbbiakban: Irányelv) 29. cikke által létrehozott, a természetes személyeknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport (jelenleg: Európai Adatvédelmi Testület) 4/2007 számú véleménye ad iránymutatást. [A vélemény a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló európai parlament és tanács 2016/679 rendeletének (általános adatvédelmi rendelet, GDPR) 94. cikk (2) bekezdése értelmében jelenleg is hatályos.] A véleményben kifejtett szakmai álláspont szerint, a természetes személyt "azonosítottnak" tekinthetjük, ha a személyek egy csoportján belül elkülönül a csoport valamennyi egyéb tagjától. A természetes személy akkor "azonosítható", ha ennek megtétele lehetséges. Az azonosíthatóság tehát egy küszöbfeltétel, amely meghatározza, hogy az információ személyes adatnak minősül-e. Az adott személyt azonosítani lehet "közvetlenül" (leggyakrabban a neve alapján) vagy "közvetve" (kisegítő információval). Azokban az esetekben, ahol a hozzáférhető azonosítók kiterjedése első látásra nem teszi lehetővé az adott személy kiválasztását, e személy még azonosítható lehet, mivel az említett információ más információkkal összekapcsolva (ez utóbbi akár megvan az adatkezelőnél, akár nincs) az egyént másoktól megkülönböztethetővé teszi. Az Irányelv (26) preambulumbekezdésének az azonosíthatóság meghatározásához adott iránymutatása szerint, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az adott személy azonosítására. Az azonosítás eszközét elsősorban az adatfeldolgozás célja határozhatja meg. Amikor az érintett azonosítása nem szerepel a feldolgozás céljai között (pl. kutatás, statisztikai adatgyűjtés), az azonosítás megakadályozását célzó technikai intézkedések játszanak fontos szerepet. A "pszeudonimizálás" a személyazonosság elrejtésének folyamata, melynek eredményeként elérhető, hogy az újbóli azonosítás ne legyen lehetséges (anonimizált adat), vagy az azonosítás elvégezhető legyen visszafelé követhető módon. Ez utóbbi esetben a pszeudonimizált adatok alapján a személyek "közvetve azonosíthatók". A pszeudonimizálás tipikus formája, a kulccsal kódolt adatok esetében a lehetséges azonosításba esetlegesen bevont valamennyi fél által azonosítható természetes személyre vonatkozó információkat hoznak létre, így ezen adatoknak az adatvédelmi szabályok alá kell tartozniuk. Ez azonban mégsem jelenti azt, hogy az ugyanazon kódolt adatkészletet feldolgozó bármely más adatkezelő személyes adatot dolgozna fel, amennyiben a külön rendszerben, amelyben ezek az egyéb adatkezelők működnek, az újbóli azonosítás kifejezetten kizárt, és e tekintetben megfelelő technikai intézkedésre került sor.
[19] A személyes adat fogalmának fent ismertetett értelmezése alapján megállapítható, hogy az adott esetben az alperes által kezelt, valamely természetes személyre vonatkozó egészségügyi adatok, a nem, a születési dátum és a lakóhely irányítószáma a természetes személy személyes adatai, amelyek alapján az érintett közvetve azonosítható. Ez azt jelenti, hogy ezek az adatok ebben az összetételben nem teszik azonosíthatóvá a természetes személyt, más forrásból származó további adatok összekapcsolásával azonban alkalmasak lehetnek az érintett természetes személy azonosítására, az érintettre vonatkozó következtetés levonására.
[20] A kereset elbírálása szempontjából irányadó Rendelet 2. § j) pontja alapján az alperes jogelődje (GYEMSZI) a jogszabályokban foglalt feladatkörében statisztikai adatokat gyűjt és elemez. Az Eüak. 20. § (1) bekezdése alapján az érintett egészségügyi adatai statisztikai célra személyazonosításra alkalmatlan módon kezelhetők. A Rendelet 2. §-a alapján az egészségügyi, szakmai adatot személyazonosításra alkalmatlan módon - a törvényben meghatározott célból - lehet kezelni. A Rendelet 2. számú melléklet B) pontja értelmében az OEP az adatokat személyazonosításra alkalmatlan módon kapcsolati kóddal ellátva szolgáltatja, amely biztosítja az ellátott betegek megkülönböztetését, az egyes ellátási események összefűzését.
[21] A per nem vitás adatai szerint, az alperes részére továbbított adatokat az OEP teszi a természetes személy azonosítására alkalmatlanná (pszeudonimizálja) és látja el kapcsolati kóddal. Az alperes részére megküldött adatok alapján a természetes személy (érintett) ugyan közvetve azonosítható, ennek elvi lehetősége ugyanakkor a perbeli esetben nem elégséges annak megállapításához, hogy az alperes személyes adatokat kezel. A perben nem merült fel adat arra, hogy az alperes rendelkezik azokkal a technikai feltételekkel (kapcsolati kódból a személyazonosítást visszakövethető módon lehetővé tevő információ, metódus, további nyilvántartások, stb.), amelyek az érintettel való kapcsolat helyreállításához szükségesek. Ezért az alperes által kezelt, az érintett természetes személy azonosítására alkalmatlan adatok a személyes adat minőségüket már nem őrzik meg [Infotv. 4. § (3) bek.]. Így érdemben helytállóan állapította meg a másodfokú bíróság, hogy az alperes által kezelt adatok nem személyes adatok. Erre tekintettel az alperes kezelésében lévő adatokról az Infotv. 14. § a) pontjának rendelkezése alapján tájékoztatás nem kérhető, mert azok nem tartoznak az Infotv. hatálya alá [Infotv. 2. § (1) bek.].
[22] Helyesen állapította meg az elsőfokú bíróság, hogy a kereset a felperes személyének tényleges azonosítása nélkül nem teljesíthető, a TEA adatbázis "visszaszemélyesítésére" pedig az alperesnek jogszabályi lehetősége nincs. A felperes a kereset teljesíthetősége érdekében további, az alperes által nem kezelt adatok összekapcsolásával kívánt az alperes által nyilvántartott információkhoz jutni. A felperes azzal, hogy a saját kapcsolati kódját rendelkezésre bocsátja, az alperes által tárolt kapcsolati kódok közül a sajátját kiemelve, azt a kapcsolati kódhoz tartozó adatokkal a személyéhez rendeli. Így az alperes által nyilvántartott, önmagukban a természetes személy azonosítására alkalmatlan adatok a felperes személyének azonosítására alkalmassá válnak. Az adatok ilyen módon való összekapcsolásával olyan új adattartalom jön létre, amely már személyes adatnak minősül, mert annak alapján az érintett felperes azonosítottá válik. A perbeli ágazati (egészségügyi, szakmai) adatok személyazonosításra alkalmas módon való kezelésére az alperes nem jogosult [Eüak. 20. § (1) bek., Rendelet 2. §]. A felperes által a keresetének teljesíthetősége érdekében felajánlott eljárás tehát az alperes jogosulatlan adatkezeléséhez vezetne.
[23] A Kúria nem találta indokoltnak az EUB megkeresését előzetes döntéshozatali eljárás kezdeményezése céljából. A felperes által feltenni indítványozott kérdések a hivatkozott uniós jogszabályi rendelkezések helyes alkalmazási módját és értelmezését illetően észszerű kételyt nem vetnek fel. Az 1. számú kérdés alapján az Irányelv 2. cikk a) pontjának rendelkezése az Adatvédelmi Munkacsoport véleményének fényében egyértelmű. A 2. számú kérdés a Charta 8. cikk (2) bekezdése értelmezésének szükségességét, miszerint mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, a perbeli jogvita elbírálása során az értelmezés szükségességét ugyancsak nem vetette fel.
[24] A kifejtettekre figyelemmel a Kúria megállapította, hogy a jogerős ítélet érdemben jogszabálysértés nélkül utasította el a keresetet, ezért a jogerős ítéletet a Pp. 275. § (3) bekezdése alapján hatályában fenntartotta.
Az alkalmazott jogszabályok és az alkalmazott joggyakorlat
[25] Infotv. 3. §, 4. § (3) bek. 14. §A döntés elvi tartalma
[26] Az adatkezelő által kezelt, a természetes személy azonosítását közvetve, az adatkezelő által nem kezelt további adat összekapcsolásával lehetővé tevő adat személyes adat, amely az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.Záró rész
[27] A Kúria az eredménytelen felülvizsgálattal élő felperest a Pp. 78. § (1) bekezdése alapján kötelezte az alperes ügyvédi képviseletével felmerült és a 32/2003. (VIII.22.) IM rendelet 3. § (3) és (5) bekezdései alapján megállapított felülvizsgálati eljárási költségének megfizetésére.Budapest, 2019. június 26.
Dr. Baka András s.k. a tanács elnöke, Dr. Kovács Zsuzsanna s.k. előadó bíró, Dr. Pataki Árpád s.k. bíró
(Kúria Pfv.IV.20.954/2018/6.)