személyes adatok kezelése peres eljárások során

Személyes adatok felhasználása bizonyítékként peres eljárások során

A polgári perrendtartás (Pp.) alapján jogsértő és a perben nem használható fel az a bizonyítási eszköz, amelynek a bíróság elé terjesztése személyiségi jogot sértene. Azonban az Európai Unió Bíróságának (EUB) közelmúltban hozott ítélete szerint, ha a megfelelő mérlegelést a bíróság elvégzi, akkor a személyes adatokat tartalmazó iratok a perben bizonyítékként felhasználhatóak. Ennek oka, hogy a GDPR szerint a személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal, például a Charta 47. cikkében biztosított hatékony bírói jogvédelemhez való joggal.

Az elsősorban peres ügyekben alkalmazandó EUB ítélet érdekessége, hogy a bíróságok is kötelesek mérlegelni, hogy az adott bizonyítási eszköz alkalmazása szükséges és arányos-e adatvédelmi szempontból. Bár a mérlegelési szempontok viszonylag szűkszavúan kerültek megjelölésre, mégis fontos kiemelni, hogy az ítéletben foglaltak természetesen nemcsak a bíróságokra terjednek ki, hanem a felekre is, tehát nagy mennyiségű vagy érzékeny személyes adatok perben történő felhasználása előtt érdemes mérlegelni, hogy ez megtehető-e.

Tényállás, a C‑268/21 számú ügy részletei​

A svédországi Fastec irodaépületet épített a Nycander részére, amelynek során az építkezésen dolgozó személyek a jelenlétüket elektronikus személyzeti nyilvántartás útján rögzítették az adójogszabályokban foglalt kötelezettségek teljesítése céljából. A Fastec megbízásából a személyzeti nyilvántartást az Entral AB társaság szolgáltatta.

A Fastec keresetet indított a tingsrätt (körzeti bíróság, Svédország) előtt az elvégzett munka díjának megfizetése iránt, amely a vállalat szerint a Nycander fennálló tartozásának felel meg. Ez utóbbi társaság vitatta a Fastec keresetét, többek között arra hivatkozva, hogy a Fastec személyzete a keresetben megjelöltnél kevesebb munkaórát teljesített. 

Annak érdekében, hogy Nycander bizonyíthassa ezen álláspontját, az Entral arra való kötelezését kérte a bíróságtól, hogy a Fastec a személyzeti nyilvántartását elsődlegesen változtatás nélkül vagy másodlagosan az érintettek nemzeti személyi azonosító számának kitakarásával nyújtsa be, mivel az említett személyzeti nyilvántartásban rögzített adatok lehetővé teszik a Fastec személyzete által teljesített munkaórák bizonyítását.

A Fastec vitatta e kérelmet, elsődlegesen arra hivatkozva, hogy az ellentétes a GDPR 5. cikke (1) bekezdésének b) pontjával, ugyanis személyzeti nyilvántartása a társaság tevékenységének a svéd adóhatóság általi ellenőrzése céljából gyűjtött személyes adatokat tartalmazza, és e céllal nem összeegyeztethető ezen adatoknak a bíróság előtti hozzáférhetővé tétele.

Az ügy és a döntéshozatal során kettő olyan releváns kérdés is felmerült, amelynek részletes feltárása és megválaszolása kiemelten releváns abban az esetben, ha nagy mennyiségű vagy érzékeny személyes adatok bíróságok felé történő benyújtásáról van szó.

Előzetes döntéshozatalra terjesztett 1. kérdés

A GDPR 6. cikkének (3) és (4) bekezdését úgy kell e értelmezni, hogy e rendelkezés polgári bírósági eljárás keretében alkalmazandó a harmadik személyek elsősorban az adóellenőrzés céljából gyűjtött személyes adatait tartalmazó személyzeti nyilvántartás bizonyítékként történő benyújtására?

A rövid válasz, természetesen igen, a GDPR a bíróságokra és az adatkezelésükre is vonatkozik.

A GDPR 2. cikkének (2) és (3) bekezdésében említett esetek kivételével a rendelet mind a magánszemélyek, mind pedig a hatóságok által végzett adatkezelési műveletekre alkalmazandó, ideértve az olyan igazságügyi hatóságok tevékenységét is mint a bíróságok.

Továbbá, nem csupán az elektronikus személyzeti nyilvántartás létrehozása és vezetése minősül a GDPR tárgyi hatálya alá tartozó személyesadat‑kezelésnek, hanem a személyes adatokat tartalmazó, valamely bíróság által bírósági eljárás keretében kibocsátott, digitális vagy fizikai okirat bizonyítékként való benyújtása is.

Mindemellett minden személyesadat‑kezelésnek, ideértve a bíróságokhoz hasonló hatóságok által végzett adatkezelést is, meg kell felelnie az általános adatvédelmi rendelet 6. cikkében rögzített jogszerűségi feltételeknek:

  • A 6. cikke (1) bekezdés e) pontja szerint a személyes adatok kezelése jogszerű, ha az közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.

  • A (3) bekezdés szerint ezt a jogalapot pedig az uniós jog vagy azon tagállam joga határozza meg, amelynek hatálya alá az adatkezelő tartozik. Ezenkívül az uniós vagy a tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.

  • Amennyiben pedig a személyes adatok kezelése nem abból a célból történik, mint amely célból ezen adatokat gyűjtötték (mint a jelen esetben a bíróság általi adatkezelés), úgy a 6. cikk (4) bekezdés értelmezése szerint az ilyen adatkezelés azzal a feltétellel megengedett, hogy többek között tagállami jogon alapul, és egy demokratikus társadalomban az általános adatvédelmi rendelet 23. cikkének (1) bekezdésében említett célok egyikének biztosítása érdekében szükséges és arányos intézkedésnek minősül, így többek között bírói függetlenség, bírósági eljárások védelme, vagy polgári jogi követelések érvényesítése.
Az arányosság elvének figyelembevétele

A svéd perjog releváns rendelkezései, amelyek előírják valamely okirat bizonyítékként való benyújtásának kötelezettségét és a nemzeti bíróságok azon lehetőségét, hogy elrendeljék ezen okirat benyújtását, a személyes adatok kezelésének alapjául szolgáló jogalapnak minősülnek. Bár e rendelkezések főszabály szerint megfelelő jogalapot képeznek az ilyen adatkezelés engedélyezéséhez, az előzetes döntéshozatalra utaló határozatból kitűnik, hogy e jogalap különbözik az adózás rendjéről szóló törvény által teremtett jogalaptól, amely törvény alapján az alapügyben szóban forgó személyzeti nyilvántartást adóellenőrzés céljából kidolgozták.

Tehát ezen adatok olyan bírósági eljárás keretében történő kezelése, mint amely az alapügy tárgyát képezi, az adatok adóellenőrzés céljából végzett gyűjtésének céljától eltérő célból végzett adatkezelésnek minősül. E körülmények között az adatgyűjtés céljától eltérő célból történő személyesadat kezelésének nem csupán a nemzeti jogon, hanem az általános adatvédelmi rendelet 6. cikkének (4) bekezdése értelmében egy demokratikus társadalomban szükséges és arányos intézkedésnek is kell minősülnie, és biztosítania kell az általános adatvédelmi rendelet 23. cikkének (1) bekezdésében szereplő célok valamelyikének elérését. E célok között szerepel e rendelet 23. cikke (1) bekezdésének f) pontja szerint „a bírói függetlenség és a bírósági eljárások védelme”. E cikk (1) bekezdésének j) pontja szerint a polgári jogi követelések érvényesítése szintén olyan célnak minősül, amely igazolhatja a személyes adatoknak az adatgyűjtés céljától eltérő célból történő kezelését. Nem kizárt tehát, hogy harmadik személyek személyes adatainak valamely polgári bírósági eljárás keretében történő kezelésének alapjául ilyen célok szolgáljanak.

Mindazonáltal a bíróság feladata annak vizsgálata, hogy a svéd jog releváns rendelkezései egyrészt megfelelnek e e célkitűzések bármelyikének, másrészt pedig szükségesek e és arányosak e az említett célkitűzésekkel, és a személyadat kezelés olyan eseteinek körébe tartozhatnak e, amelyek az általános adatvédelmi rendelet 23. cikke (1) bekezdésének f) és j) pontjával összefüggésben értelmezett 6. cikke (3) és (4) bekezdésének rendelkezései alapján jogszerűnek tekinthetők.

Előzetes döntéshozatalra terjesztett 2. kérdés

A GDPR 5. és 6. cikkét úgy kell e értelmezni, hogy a nemzeti bíróságnak a személyes adatokat tartalmazó dokumentum bemutatásának polgári peres eljárásban történő elrendelése során figyelembe kell vennie az érintett érintettek érdekeit. Ha igen, akkor az uniós jog, és különösen a GDPR előír-e konkrét követelményeket arra vonatkozóan, hogy miként kell ezt az értékelést elvégezni?

A svéd jog nem követeli meg kifejezetten azon személyek érdekeinek figyelembevételét, akiknek a személyes adatairól van szó. A nemzeti ítélkezési gyakorlatnak megfelelően e rendelkezések csak a bizonyíték relevanciájának és az ellenérdekű félnek a szóban forgó információk hozzáférhetővé tételének megtagadásához fűződő érdekének mérlegelését írják elő.

A fent részletezettek alapján a szükségesség és arányosság követelményeinek vizsgálata során a nemzeti bíróságnak figyelembe kell vennie a fennálló ellentétes érdekeket, amikor harmadik személyek személyes adatait tartalmazó okirat benyújtása elrendelésének célszerűségét mérlegeli. E tekintetben hangsúlyozni kell, hogy a nemzeti bíróság által elvégzendő súlyozás eredménye mind az egyes ügyek körülményeitől, mind pedig a szóban forgó eljárás típusától függően változhat. E tekintetben különösen figyelembe kell venni az „adattakarékosság” elvét, amely az arányosság elvét fejezi ki. Az adattakarékosság ezen elve szerint a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.

A nemzeti bíróság tehát köteles meghatározni, hogy a személyes adatok hozzáférhetővé tétele megfelelő és releváns‑e a nemzeti jog alkalmazandó rendelkezései által követett cél biztosítása szempontjából, és hogy e cél nem valósítható‑e meg a jelentős számú harmadik fél személyes adatainak védelmére tekintettel kevésbé korlátozó bizonyítási eszközök alkalmazásával, például egyes kiválasztott tanúk kihallgatásával.

A nemzeti bíróság ítélheti úgy, hogy a felek vagy harmadik személyek személyes adatait közölni kell vele annak érdekében, hogy az ügy teljes ismeretében és az arányosság elvének tiszteletben tartása mellett súlyozhassa a fennálló érdekeket. Ezen értékelés adott esetben ahhoz vezethet, hogy e bíróság engedélyezi a vele ily módon közölt személyes adatoknak az ellenérdekű fél számára történő teljes vagy részleges hozzáférhetővé tételét, ha úgy ítéli meg, hogy az ilyen hozzáférhetővé tétel nem haladja meg azt a mértéket, amely a jogalanyoknak a Charta 47. cikkéből eredő jogai tényleges gyakorlásának biztosításához szükséges.

Annak értékelése során, hogy el kell e rendelni a személyes adatokat tartalmazó okirat benyújtását, a nemzeti bíróságnak figyelembe kell vennie az érintettek érdekeit, és azokat az egyes ügyek körülményeitől és a szóban forgó eljárás típusától függően, az arányosság elvéből, valamint különösen a Rendelet 5. cikke (1) bekezdésének c) pontjában említett adattakarékosság elvéből következő követelmények megfelelő figyelembevételével kell súlyoznia.

A teljes ítélet itt érhető el.

Szerző:
Kozma Zoltán

Kozma Zoltán

Partner,

Technológiai csoportvezető

Kozma Zoltán

Zoltán a DLA Piper Hungary Technológia csapatának vezetője és pro bono koordinátora. Szakterületei elsősorban az információtechnológia, a média- és hírközlési jog, az adatvédelem és a szellemi alkotások joga, emellett széleskörű tapasztalattal rendelkezik a munkajog területén is. Tanácsadással és peres képviselettel egyaránt foglalkozik. Számos adatvédelmi megfelelési projektben vett részt, ügyfeleit adatvédelmi és egyéb hatósági eljárásokban is képviseli.
E-mailt küldök

Kérdése van? Keressen minket bizalommal!

Kövesse LinkedIn oldalunkat!

Legfrissebb tartalmaink
amerikai kettős adóegyezmény felmondása
Adó | Tax

Megfojthatja a magyar innovációt az amerikai kettős adóegyezmény felmondása?

Vajon mi az összefüggés az amerikai-magyar kettős adóegyezmény megszűnése és a magyar vállalkozások technológia-fejlesztési képessége (és így a magyar gazdaság fejlődési potenciálja) között? Ha az egyezmény megszűnése miatt bizonyos típusú magyarországi innováció hátrányt szenvedhet, akkor ezt a hátrányos helyzetet vajon hogyan lehet feloldani? Milyen stratégiát kell kialakítani a magyar vállalkozásoknak a megváltozott környezetben?

Tovább >>