KÜ BH 2020/345
KÜ BH 2020/345
2020.11.01.
A mérlegelési jogkörben hozott döntés nem jogszabálysértő pusztán azon az alapon, hogy a jogszabályban meghatározott mérlegelési szempontok közül csak azokat mutatja be, amelyeket a hatóság az adott ügy szempontjából relevánsnak tartott, a jelentőséggel nem bíró, a nem értékelt, illetve nem értelmezhető elemeket nem sorolja fel [679/2016. EU Rendelet (Rendelet) 33. cikk, 34. cikk].
A fellebbezés alapjául szolgáló tényállás
[1] Az alperes a 2019. március 21. napján kelt – közérdekű bejelentés alapján hivatalból indult eljárásban hozott – NAIH/2019/2668/2. számú határozatában megállapította, hogy a felperes nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. évi április 27-i (EU) 2016/679 Az európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, a továbbiakban: Rendelet) 33. cikke alapján fennálló incidens-bejelentési kötelezettségének, továbbá a Rendelet 34. cikke alapján fennálló érintetti tájékoztatási kötelezettségének sem a bekövetkezett adatvédelmi incidenssel kapcsolatban (1.). Ezért utasította a felperest, hogy tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről, továbbá rögzítse az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket a nyilvántartásában (2.). A jogsértés miatt kötelezte a felperest 11 000 000 forint adatvédelmi bírság megfizetésére (3.), valamint elrendelte a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát (4.).
[2] A határozat indokolása szerint a felperes által üzemeltetett http://web.dkp.hu honlaphoz köthető, személyes adatokat tartalmazó felhasználói adatbázis nyilvánosan elérhetővé vált az interneten. A támadás egy, a honlap beállításaiból adódó adatbázis-sérülékenység miatt valósulhatott meg. A támadó által használt parancs publikálása révén egy informatikai szempontból alacsonyan képzett ember számára is lehetőség nyílt arra, hogy az adatbázisszerverhez hozzáférjen és onnan adatokat szerezzen. A nyilvánosságra került adatbázis egy 2013-ban valós adatokkal feltöltött tesztrendszer része volt, amely a regisztrált felhasználók teljes nevét, a regisztráció során megadott felhasználónevét, e-mail-címét, illetve – titkosítva – a belépéshez szükséges jelszót, összesen 11 614 db rekordot tartalmazott. Az incidens konkrét időpontja nem ismert, az ismeretlen támadó blogbejegyzése alapján a sérülékenység kihasználása 2018 áprilisában történhetett. A felperes nyilatkozata szerint az adatvédelmi incidensről 2018. augusztus 22-én értesült, az adatbázis-sérülékenységet a rendszerében 2018. augusztus 23-án megszüntette.
[3] A Rendelet 33. cikk (1) bekezdésére utalással rögzítette, hogy a felperes az incidenst annak ellenére nem jelentette be a határozat meghozataláig, hogy megindította a hatósági ellenőrzést, majd a hatósági eljárást vele szemben. Álláspontja szerint nincs jelentősége annak, hogy az adatok mikor keletkeztek és annak sem, hogy azokat a felperes milyen célból és milyen rendszer részeként gyűjtötte eredetileg, mert a személyes adatok kezelésére vonatkozó követelményeknek az adatkezelés teljes időszakában köteles eleget tenni. Az adatok személyes, illetve különleges jellegüket nem vesztették el önmagukban azáltal, hogy azok esetleg már nem aktuálisak. A magas kockázati besorolást megalapozza az is, hogy az incidens olyan személyes adatokat érintett, amelyekből az érintettek politikai véleményére vonatkozó következtetést lehet levonni. A különleges adatok az érintettek nagy részénél nem voltak más forrásból kideríthetők, azok kizárólag az incidens kapcsán kerültek nyilvánosságra.
[4] A Rendelet 34. cikk (1) bekezdésére hivatkozással kifejtette, hogy az incidens magas kockázata indokolja annak incidens-nyilvántartásban való feltüntetését és az érintettek tájékoztatását. Az érintettek magánszférájára jelentett kockázat csak úgy mérsékelhető eredményesen, ha tudomással bírnak arról, és megtehetik az általuk szükségesnek tartott további intézkedéseket. A nyilvántartásba vétel elmaradásának nem lehet jogszerű alapja az, hogy az adatok elavultak.
[5] Kitért arra, hogy amennyiben a jelszavak titkosítása különösebb szakértelem, idő és költségráfordítás nélkül, bárki által visszafejthetővé válik, úgy az nem felel meg a Rendelet 32. cikk (1) bekezdése szerinti, a tudomány és technológia állásának megfelelő szintnek.
[6] Abban a kérdésben, hogy indokolt-e az adatvédelmi bírság kiszabása, az alperes a Rendelet 83. cikk (2) bekezdése szerint mérlegelte az ügy összes körülményét. A bírság kiszabását szükségesnek tartotta, mert a felperes nem tett eleget az incidensbejelentési kötelezettségének egy magas kockázatú, különleges adatokat is érintő incidenssel összefüggésben, és arról az érintetteket sem tájékoztatta, lényegében teljes egészében mellőzte a vonatkozó jogszabályi követelményekből következő feladatai teljesítését. Erre figyelemmel nem tartotta megfelelőnek az információs önrendelkezési jogról és az információs szabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 75/A. §-a szerinti figyelmeztetést.
[7] A bírság kiszabása során figyelembe vette a Rendelet 83. cikk (2) bekezdésében meghatározott szempontokat és a jogsértés jellegét. Súlyosító körülményként értékelte, hogy az adatvédelmi incidens kifejezetten magas kockázattal járt; politikai véleményre vonatkozó, különleges személyes adatokat érintett, az érintettek egyéni azonosítását is lehetővé tevő, rájuk nézve további incidensek kockázatát hordozó adatok váltak megismerhetővé. Súlyosító körülményként értékelte továbbá, hogy a felperes tudomással bírt az incidensről, az érintett adatok különleges személyes adat jellege nyilvánvaló, mégsem tette meg a bejelentéssel, valamint az érintettek tájékoztatásával intézkedéseket, így magatartása kifejezetten magas fokon felróható. Az elavult titkosítási technológia az incidensnek az érintettek jogaira és szabadságaira nézve fennálló kockázatát kifejezetten megnövelte. Emellett az incidenssel érintettek száma magas, összesen több, mint 6000 fő volt. Enyhítő körülményként vette figyelembe, hogy a felperes az incidensről való tudomásszerzést követően azonnal intézkedéseket tett az incidens kiváltó okának megszüntetése érdekében. Az alperes – figyelemmel arra, hogy a felperes nem ment túl a jogszabályi kötelezettségei teljesítésén – önmagában nem értékelte enyhítő körülményként azt, hogy a felperes az eljárás során az adatközlésre felhívó végzéseinek határidőben eleget tett. A bírság kiszabása körében figyelembe vette még a felperes 2017. évi beszámolója szerinti bevételét, valamint a 2018. évi költségvetés szerint előirányzott bevételét. Megítélése szerint a jogsértés súlyára és a felperes gazdálkodási adataira tekintettel a kiszabott bírság arányos mértékű.
A kereseti kérelem és az ellenkérelem
[8] A felperes keresetében – elkövetett jogsértés hiányában – kérte a támadott határozat megsemmisítését, illetve megváltoztatását, szükség szerint az alperes új eljárásra kötelezésével, valamint a bírság kiszabásának mellőzését, illetve összegének mérséklését. Állította, hogy – az incidens időpontjára figyelemmel – nem volt alkalmazható a Rendelet 33. és 34. cikke. Az adatok idejétmúltak, ezért az incidens nem járt kockázattal a természetes személyek jogai-ra nézve, ezért sem bejelentési, sem tájékoztatási kötelezettsége nem volt. Vitatta, hogy a jelszavak titkosítása gyenge védelmet jelentett. A bírság kiszabása körében kétségbe vonta az alperes érdemi megállapításait, az incidens kockázatát. Érvelése szerint sérült a fokozatosság elve, mert ez volt az első adatvédelmi szabályszegése, új a szabályozási környezet, az incidensnek nem okozója, hanem elszenvedője volt, az adatokat jogszerűen kezelte, a szükséges technikai intézkedéseket azonnal megtette. Az alperes helytelenül állapította meg a 2017. évi bevételeit és a 2018. évi előirányzott bevételeit. Véleménye szerint az esettel érintettek száma sem indokolja a magas összegű bírság kiszabását. Konkrét határozatok megjelölésével állította, hogy az alperes esetében eltért a korábbi bírságolási gyakorlatától.
[9] A bírságkiszabás körében a keresetlevélben konkrét jogszabálysértést nem jelölt meg, előkészítő iratában a Rendelet 83. cikk (2) bekezdés e) és k) pontjaira, valamint az Info tv. 61. § (5) bekezdésére hivatkozott. A per tárgyalásán utalt még a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv 29. cikke szerinti Adatvédelmi Munkacsoport WP 253 számú, a 2016/679. rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról szóló iránymutatásra (a továbbiakban: WP 253. Iránymutatás).
[10] Az alperes védiratában a határozatban foglaltak fenntartása mellett kérte kereset elutasítását.
Az elsőfokú ítélet
[11] Az elsőfokú bíróság ítéletével a határozat 3. pontját megsemmisítette és e körben az alperest új eljárásra kötelezte, egyebekben a keresetet elutasította.
[12] Indokolása szerint a Rendelet 99. cikk (2) bekezdése értelmében a Rendeletet 2018. május 25-től kell alkalmazni, nincs arra vonatkozó rendelkezés, miszerint a Rendelet előírásait csak a hatálybalépése után bekövetkezett incidensek körében kellene alkalmazni. Hangsúlyozta, hogy az alperes nem a Rendelet 32. cikke szerinti adatbiztonsági követelmények megsértését kérte számon a felperesen, az incidensről való tudomásszerzés időpontjában pedig a Rendelet már hatályban volt.
[13] A Rendelet (75) és (76) preambulumbekezdéseiben, valamint 9. cikk (1) bekezdésében írtakra figyelemmel az incidenst maga is magas kockázatúnak tekintette, ugyanis a politikai véleményre vonatkozó adatok a személyes adatok különleges kategóriájába tartoznak. Az adatvédelmi incidens következtében pedig megismerhetővé váltak a személyes adatok a pártok tagjairól, regisztrált támogatóiról, vagyis az érintettek politikai véleményére vonatkozó következtetés vált levonhatóvá. Hangsúlyozta, hogy a politikai véleményre utaló adat öt év elteltével sem veszíti el különleges személyes adat minőségét, ugyanakkor az adatbázisból nem volt megállapítható, hogy az adatok nem aktuálisak, mint ahogy az sem, hogy az csak tesztrendszerben működött. Az adatvédelmi incidens magas kockázatára figyelemmel a felperesnek teljesítenie kellett volna a bejelentési és tájékoztatási kötelezettségét.
[14] A bírságkiszabás körében kiemelte, miszerint az alperes annak eldöntésekor, hogy szükség van-e bírság kiszabására, illetve a bírság összegének megállapításakor is mérlegelési jogkörben jár el, a mérlegelési szempontokat a Rendelet 83. cikk (2) bekezdés a)-k) pontjai, 99. cikk (2) bekezdés második fordulata tartalmazza, amely kötelező és közvetlenül alkalmazandó valamennyi tagállamban, de erre utal az Info tv. 75/A. §-a is.
[15] A közigazgatási perrendtartásról szóló 2017. évi I. törvény (a továbbiakban: Kp.) 85. § (5) bekezdésére utalással rögzítette, hogy a határozatból nem volt megállapítható a rendelet 83. cikk (2) bekezdése szerinti pontok értékelése. A figyelembe vett négy súlyosító és egy enyhítő körülmény nem fedi le a Rendelet 83. cikk (2) bekezdésében meghatározott valamennyi szempontot sem a bírság alkalmazása, sem annak mértéke körében. Az alperes semmilyen módon nem értékelte például a jogsértés időtartamát, az adatkezelés jellegét, a jogsértéssel érintettek által elszenvedett kár mértékét, a jogsértés szándékos vagy gondatlan jellegét, a kár enyhítése érdekében tett intézkedést. A Rendelet 83. cikk (2) bekezdés e) pontjába és az Info tv. 61. § (5) bekezdésébe ütközően nem értékelte, hogy a felperes korábban nem követett el adatvédelmi szabályszegést. Azt sem vizsgálta, hogy a jogsértés következményeként a felperes elért-e pénzügyi hasznot, vagy elkerült-e veszteséget.
[16] Az alperes az Info tv. 61. § (5) bekezdésében foglalt mérlegelési szempontok értékeléséről sem adott számot.
[17] Megítélése szerint a felperes bevételei között nem vehető figyelembe a 2018. évre vonatkozóan a célhoz kötött állami támogatás összege, ezt ő ugyanis a 2018. évi országgyűlési választással összefüggő kiadásokra használhatta fel. Nincs azonban akadálya az állami támogatás és a kölcsön bevételként történő figyelembevételének, az ugyanis attól függetlenül minősül bevételnek, hogy a központi költségvetésből kapja, és e bevételek felhasználása nem célhoz kötött.
[18] A megismételt eljárásra nézve előírta a felperes terhére megállapított jogsértésekre tekintettel a Rendelet 83. cikk (2) bekezdése és az Info tv. 61. § (5) bekezdése szerinti szempontok értékelését, először abban a körben, hogy fennáll-e az adatvédelmi bírság kiszabásának szükségessége. Bírság kiszabása esetén az összeg tekintetében ugyanezen jogszabályi rendelkezésben foglaltakat kell szem előtt tartani, a WP 253 Iránymutatásban foglalt alapelvek és értékelési szempontok megfontolásával.
A fellebbezések és a fellebbezési ellenkérelmek
[19] A felperes fellebbezésében az elsőfokú ítélet keresetet elutasító részének kereseti kérelmének megfelelő megváltoztatását kérte. Állította, hogy az ítélet a Kp. 92. § (1) bekezdés c) pontjába, a Rendelet 33. cikkébe, 34. cikkébe, 4. cikk 12. pontjába, valamint a jogalkotásról szóló 2010. évi CXXX. törvény 2. § (2) bekezdésébe és 7. § (1) bekezdésébe ütközik.
[20] Előadta, hogy – az incidens bekövetkezésének időpontjára figyelemmel – nem lehet az ügyben a Rendeletet alkalmazni, azt az alperes lényegében visszaható hatállyal alkalmazta. Az incidens megtörténtekor még más jogszabályi környezet volt hatályban, amely nem tartalmazott bejelentésre vonatkozó kötelezettséget. A bejelentési kötelezettség elmulasztása, mint jogsértés, nem létezhet önmagában, ahhoz szükségszerűen kapcsolódik egy megelőző esemény, az annak alapjául szolgáló incidens. A Rendelet 33. és 34. cikkében meghatározott kötelezettséget az adatvédelmi incidenssel kapcsolatban fogalmazza meg, méghozzá a Rendelet szerinti adatvédelmi incidens vonatkozásában. Ezért nyilvánvaló, hogy csak a Rendelet hatálybalépését követően bekövetkezett adatvédelmi incidensekre vonatkozhat a bejelentési és tájékoztatási kötelezettség.
[21] Álláspontja szerint a bekövetkezett esemény a Rendelet alkalmazása esetén sem esik bejelentési kötelezettség alá, mert az ötéves időtávlatra figyelemmel az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Megjegyezte, hogy az érintettek tájékoztatása egyébként is rendkívüli nehézséggel járt volna, a halálozások, kilépések és az adatváltozások okán irreális elvárás lett volna.
[22] Az alperes fellebbezésében a határozat 3. pontját megsemmisítő és őt új eljárásra kötelező rendelkezés megváltoztatásával a kereset teljes egészében való elutasítását kérte, a másodlagos kérelme ezen ítéleti rész hatályon kívül helyezésre, valamint az elsőfokú bíróság új eljárásra és új határozat hozatalára való utasítására irányult. Kiemelte, hogy az elsőfokú ítélet sérti a Kp. 85. § (1) és (2) bekezdését, (5) bekezdését, 88. § (1) bekezdés c) pontját, valamint 89. § (1) bekezdését.
[23] Okfejtése szerint a támadott ítélet túlterjeszkedett a kereseti kérelmen, mert annak ellenére állapította meg a Rendelet 83. cikk (2) bekezdésében felsorolt valamennyi szempont figyelembevételének hiányát, valamint a WP 253 Iránymutatás figyelmen kívül hagyását, hogy erre vonatkozóan a felperes semmilyen sérelmet nem jelölt meg.
[24] Az Info tv. 61. § (5) bekezdése a Rendelet hatálya alá tartozó adatkezelések tekintetében nem alkalmazható, azt az Info tv. 2. § (2) bekezdése egyértelműen és kifejezetten is kizárja.
[25] A bírságkiszabás körében valamennyi releváns tényezőt okszerűen figyelembe vett, erről a határozat indokolásában megfelelően számot adott. Ugyanakkor az elsőfokú bíróság nem jelölte meg, hogy az általa hiányolt szempontok mennyiben relevánsak, azok értékelése mennyiben hatott volna ki az ügy érdemére, okszerűen milyen releváns kapcsolat fedezhető fel a kérdéses szempont és az adott marasztalt magatartás között a konkrét ügyben.
[26] Kifejezetten figyelembe vette az Info tv. 75/A. §-ában foglaltakat, indokát adta annak, hogy az adatvédelmi szabályok első alkalommal való megsértése ellenére miért nem tartotta megfelelőnek a figyelmeztetést. Nincs olyan főszabály, miszerint az első alkalommal történő jogsértés pusztán figyelmeztetéssel járna, és ehhez képest egyfajta kivétel lenne a bírságolás.
[27] A célhoz kötött támogatások figyelembevételével kapcsolatban az ítélet konkrét jogszabálysértést nem jelölt meg, az sem állapítható meg, hogy a bevétel ilyen jellege mennyiben releváns a bírság szempontjából.
[28] Azzal is érvelt, hogy a WP 253 Iránymutatás bár figyelembe vehető lenne a Rendelet 83. cikkének alkalmazása során, azonban az nem minősül jogszabálynak, az nem hivatkozható a Rendelettel szemben.
[29] A felperes fellebbezési ellenkérelmében a korábban előadottak megismétlésével kérte az alperes által támadott ítéleti rész helybenhagyását.
[30] Az alperes fellebbezési ellenkérelmében a határozatban foglaltakra figyelemmel kérte az ítélet keresetet elutasító részének helybenhagyását.
A Kúria döntése és jogi indokai
[31] A felperes fellebbezése nem alapos, az alperes fellebbezése alapos.
[32] A Kúria az elsőfokú bíróság ítéletét a Kp. 108. § (1) bekezdésében foglaltaknak megfelelően a fellebbezések és a fellebbezési ellenkérelmek keretei között vizsgálta felül.
[33] Az elsőfokú bíróság a jogvita elbírálása szempontjából irányadó tényállást lényegében helyesen állapította meg, a felperesi jogsértések tekintetében a vonatkozó jogszabályi rendelkezések helytálló értelmezésével jogszerű következtetést vont le, míg a bírság kiszabása körében – eltérő jogi álláspontja miatt – tévesen állapított meg, hogy a kereset e részében alapos.
[34] A felperes a fellebbezésében lényegében a keresetében foglaltakat ismételte meg, az elsőfokú ítéletet a határozattal szemben már felhozott kifogások miatt sérelmezte, a bizonyítékok felülmérlegelését, újraértékelését, illetve a jogszabályok saját álláspontjának megfelelő értelmezését kívánta elérni. Az elsőfokú bíróság azonban a felperesi jogsértés tekintetében a keresetet minden vonatkozásában elemezte és elbírálta, az ítéletben a Kp. 84. § (2) bekezdése szerint alkalmazandó, a polgári perrendtartásról szóló 2016. évi CXXX. törvény (a továbbiakban: Pp.) 346. § (4) és (5) bekezdéseiben foglaltaknak teljes mértékben megfelelő, kellően részletes indokát adta döntésének.
[35] A kifejtettekkel a Kúria egyetért, azok megismétlése nélkül, a fellebbezésre tekintettel az alábbiakat hangsúlyozza.
[36] A Rendelet 33. cikk (1) bekezdése értelmében az adatkezelő indokolatlan késedelem nélkül köteles a tudomására jutott adatvédelmi incidenst az illetékes hatóságnak bejelenteni, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.
[37] A Rendelet 34. cikk (1) bekezdése szerint, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
[38] A Rendelet 99. cikk (2) bekezdése kimondja, hogy a Rendeletet 2018. május 25-től kell alkalmazni.
[39] A jogvita szempontjából annak van jelentősége, hogy az alperes nem a Rendelet 32. cikkében meghatározott adatbiztonsági követelmények megsértése miatt marasztalta el a felperest, hanem a Rendelet 33. cikke szerinti bejelentési és 34. cikke szerinti tájékoztatási kötelezettség elmulasztása miatt. E rendelkezések értelmében a felperesnek a tudomására jutott incidenssel kapcsolatban állt be a számonkért kötelezettsége, a tudomásszerzés időpontjában pedig a Rendelet már hatályban volt. A Rendelet 99. cikk (2) bekezdése megszorítás nélkül írja elő a szabályok alkalmazásának kötelezettségét, ezért függetlenül attól, hogy maga az incidens a Rendelet hatálybalépése előtt következett be, a felperesnek az incidensről való tudomásszerzés időpontjában hatályos Rendelet szerint kellett volna eljárnia. Visszaható hatályú jogalkalmazásról nincs szó, hiszen az alperes a Rendelet hatálybalépése előtt bekövetkezett incidenssel kapcsolatban semmiféle jogszabálysértést nem állapított meg.
[40] A Rendelet 33. cikk (1) bekezdése értelmében az adatvédelmi incidenst kizárólag akkor nem kell bejelenteni, ha valószínűsíthetően nem jár kockázattal az érintettekre nézve. A főszabály alóli kivételt nem támasztják alá a felperes által felhozott érvek, hiszen az ötéves időtávlat – a választási ciklusokra is figyelemmel – egyáltalán nem tekinthető hosszúnak, pusztán az időmúlás nem teszi elavulttá az adatokat, de különösen nem szünteti meg a személyes adatok különleges jellegét. A nyilvánosságra került személyazonosításra alkalmas adatokból az érintettek politikai véleményére vonatkozó információ levonható volt, így azok – miután nem vitatottan valós adatokról van szó – a tesztrendszer ellenére magas kockázattal jártak.
[41] Az érintettek tájékoztatásával kapcsolatos nehézségek nem alapozzák meg a kötelezettség teljesítése alóli mentességet, ilyen kivételt ugyanis a Rendelet nem határoz meg.
[42] A kifejtettekre figyelemmel az elsőfokú bíróság keresetet elutasító részét – annak helyes indokaira figyelemmel, a Kp. 111. § (2) bekezdésében foglaltaknak megfelelően – a Kp. 109. § (1) bekezdése szerint helybenhagyta.
[43] Az alperes fellebbezésével kapcsolatban a Kúria rámutat arra, hogy a Kp. 37. § (1) bekezdés f) pontja értelmében a keresetlevélnek tartalmaznia kell a közigazgatási tevékenységgel okozott jogsérelmet. A Kp. – eltérően az 1952-es Pp.-ben megkövetelt jogszabálysértésre hivatkozástól – azt juttatja kifejezésre, hogy a fél keresetében konkrét jogszabályi rendelkezés megsértését is megjelölheti, de nem akadálya a felülvizsgálatnak az sem, ha a konkrét jogszabályhelyet nem jelöli meg ugyan, de a keresetből egyértelműen megállapítható a kifogásolt jogszabálysértés. A felperes a keresetében szövegszerűen részletezte a bírságkiszabással kapcsolatos jogsérelmét, így a Kúria megítélése szerint az elsőfokú bíróság nem terjeszkedett túl a kereseti kérelmen, amikor a határozat jogkövetkezményekre vonatkozó részét az általa beazonosított jogszabályi rendelkezések mentén vizsgálta.
[44] Az Info tv. 2. § (2) bekezdése értelmében a személyes adatoknak a Rendelet hatálya alá tartozó kezelésére a Rendeletet az Info tv.-nek az itt felsorolt rendelkezéseiben meghatározott kiegészítésekkel kell alkalmazni. Ebben a felsorolásban az Info tv. 61. § (5) bekezdése nem szerepel, ezért az Info tv. 61. § (5) bekezdésében foglaltaknak való megfelelést tévesen várta el az elsőfokú bíróság az alperestől.
[45] Az eljárt bíróság helyesen fejtette ki a bírságkiszabás körében, hogy mind annak eldöntésekor, hogy szükség van-e bírság kiszabására, mind a bírság összegének megállapításakor is az alperes mérlegelési jogkörben jár el, amelynek szempontjait a Rendelet 83. cikk (2) bekezdése sorolja fel. Tévedett azonban akkor, amikor úgy ítélte meg, hogy ezek értékelése a határozatból nem állapíthatók meg.
[46] A Rendelet 83. cikk (2) bekezdése szerint a közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)-h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni az a)-k) pontokban felsorolt szempontokat.
[47] A Rendelet 58. cikk (2) bekezdés b) pontja értelmében a felügyeleti hatóság elmarasztalja az adatkezelőt, ha adatkezelési tevékenysége megsértette a Rendelet rendelkezéseit.
[48] A Kp. 85. § (5) bekezdése szerint mérlegelési jogkörben megvalósított közigazgatási cselekmény jogszerűsége körében a bíróság azt is vizsgálja, hogy a közigazgatási szerv hatáskörét a mérlegelésre való felhatalmazásának keretei között gyakorolta-e, a mérlegelés szempontjai és azok okszerűsége a közigazgatási cselekményt tartalmazó iratból megállapíthatók-e.
[49] A közigazgatási bíróság jogszerűségi vizsgálatot folytat, a mérlegelési jogkörben hozott döntés is csak akkor semmisítheti meg, ha az jogszabálysértő. A mérlegelési jogkörben hozott döntés sajátossága, hogy a hatóság a határozatát olyan jogszabályra alapozza, amely kizárólag a döntés kereteit jelöli ki. Ez esetben a közigazgatási szerv több jogszerű döntés közül választhat. Ennélfogva nincs helye a döntés megsemmisítésének pusztán azon az alapon, hogy lehetséges egy másik, ugyancsak jogszerű mérlegelésen alapuló döntés. A közigazgatási bíróságot nem illeti meg a felülmérlegelés lehetősége, hiszen ez esetben elvonná a hatóság hatáskörét, és a helyébe lépve választana egy másik jogszerű megoldást. Nem elégséges indok a kiszabott bírság eltúlzottnak tűnő mértéke sem.
[50] A felperes érvelésével szemben a Kúria rámutat arra, hogy a jogalkalmazói gyakorlat nem minősül jogszabálynak, egyébként sem a felperes, sem a bíróság nem ismeri a hatósági gyakorlatot teljeskörűen, de az alperes által kiválasztott egyes bírságösszegekből következetes, egyértelmű bírságkiszabási gyakorlatra következtetni nem lehet. E mellett az alperes nincs elzárva attól sem, hogy a korábbi gyakorlatán – éppen a jogszerűség érdekében – változtasson. Önmagában emiatt nem jogsértő a döntés.
[51] A Kúria szerint az alperes határozatának bírság kiszabására vonatkozó része teljes mértékben megfelel a Kp. 85. § (5) bekezdésében meghatározott követelményeknek. Az indokolásban megfelelő részletességgel számot adott a figyelembe vett körülményekről, a mérlegelt szempontok előjeléről és azok általa értékelt nyomatékáról.
[52] A Kúria hangsúlyozza, hogy a Rendelet 83. cikk (2) bekezdésében felsorolt szempontok közül az alperesnek azokat a körülményeket kellett értékelnie, amelyek az adott ügyben relevánsak voltak. A határozatban nem nevesített szempontokat úgy kell tekinteni, hogy azokat az alperes nem tartotta a bírságkiszabás körében jelentősnek, azok sem pozitív, sem negatív előjellel nem voltak figyelembe vehetők. Nem jogszabálysértő a mérlegelési jogkörben hozott döntés pusztán azon az alapon, hogy a hatóság a Rendeletben felsorolt, ám az adott ügyben jogi jelentőséggel nem bíró körülményeket nem sorolta fel azzal, hogy azok nem értékelhetők vagy nem értelmezhetők az ügyben. A mérlegelési jogkörben hozott döntés akkor jogszabálysértő, ha a mérlegelés folyamata, a figyelembe vett szempontok súlyozása a határozat indokolásából nem állapítható meg, az egyes szempontokat okszerűtlenül vagy iratellenes mérlegelte, továbbá ha figyelmen kívül hagyott olyan elemet, amely az ügy összes körülménye szempontjából valódi jelentőséggel bír, illetve, ha olyan körülményt értékelt, amelynek a jogkövetkezmény alapjául szolgáló jogsértéssel összefüggésben tényleges jogi jelentősége nincs.
[53] A Kúria a fentiek szerint részletezte, hogy az alperes, mintegy másfél oldalon keresztül számot adott az alkalmazott szankció indokairól. Bemutatta, hogy miért tartja indokoltnak a bírság kiszabását és azt is, hogy miért nem tartotta elegendőnek csupán a figyelmeztetés alkalmazását. Részletesen feltárta a figyelembe vett súlyosító és enyhítő körülményeket. Kétségtelen, hogy ezek a tényezők nem fedik le teljesen a Rendelet 83. cikk (2) bekezdésében meghatározott valamennyi szempontot, ám az eljárt bíróság nem mutatta ki, hogy az általa hiányolt szempontok az adott ügy tekintetében mennyiben és miért lennének relevánsak. Ezenkívül megállapítható az is, hogy a felperes felróhatóságát, az általa tett intézkedéseket az alperes kifejezetten értékelte.
[54] Az eljárt bíróság jogszabálysértés megjelölése nélkül állapította meg, hogy a célhoz kötött állami támogatás összege a felperes bevételei között nem vehető figyelembe. Ilyen rendelkezést az ügyben alkalmazandó jogszabályok egyike sem tartalmaz, egyébként is ritkán fordul elő bírságfizetési célú állami támogatás, valamint az is, hogy a bevételek között kifejezetten egy esetleges bírság megfizetésére különítsenek el meghatározott összeget.
[55] A Kúria szerint az alperes határozata a bírságkiszabásra vonatkozó 3. pontjában sem jogszabálysértő, ezért az ezt megsemmisítő és új eljárásra kötelező ítéleti rendelkezést a Kp. 109. § (2) bekezdése szerint megváltoztatta, és a keresetet e részében is elutasította.
(Kúria Kf.III.37.998/2019.)
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás