KÜ BH 2023/258

Az Európai Unió Bírósága előzetes döntéshozatali eljárásának szükségessége nem áll fenn abban az esetben, ha az Európai Unió Bírósága az adott ügyben már elvégezte az alkalmazandó uniós jog értelmezését [2017. évi I. törvény (Kp.) 118. § (1) bek.; Európai Unió Működéséről szóló Szerződés 267. cikk].

[1] A felperes Magyarország egyik piacvezető internet- és televíziószolgáltatója, aki 2018 áprilisában tesztelési, hibaelhárítási célból létrehozott egy „test” elnevezésű tesztadatbázist (a továbbiakban: Tesztadatbázis), amelybe a lakossági ügyfelei körülbelül egyharmadának személyes adatait másolta át, egy másik, a honlapjához köthető adatbázisában direkt marketing célú, a hírlevélre feliratkozók adatait és a honlap felületéhez való hozzáférésre lehetőséget adó rendszergazdai adatokat tárolt naprakészen, amely a lakossági ügyfeleinek nem egészen 3%-át, valamint 43 rendszergazda felhasználó adatait tartalmazta.

[2] A felperes 2019. szeptember 23-án arról szerzett tudomást, hogy egy etikus hacker informatikai támadás útján a honlapon keresztül a nyílt forráskódú tartalomkezelő rendszer (a továbbiakban: Rendszer) sérülékenységét kihasználva hozzáfért a Tesztadatbázisban tárolt személyes adatokhoz, illetve hozzáférhetett a honlaphoz köthető adatbázisban tárolt személyes adatokhoz is. A felperes a jelzést követően a hibát az elérhető nem hivatalos javítás letöltésével kijavította, a Tesztadatbázist törölte, az etikus támadóval titoktartási szerződést kötött, és jutalmat ajánlott neki. Ezen túlmenően az Informatikai Biztonsági Szabályzatában meghatározott féléves belső auditot, és a más rendszerei ellenőrzésére már korábban is használt webes sérülékenység vizsgáló szolgáltatást kiterjesztette minden interneten keresztül elérhető rendszerére, így a weboldalra is, majd az adatvédelmi incidenst 2019. szeptember 25-én bejelentette az alperesnek.

[3] A bejelentés alapján az alperes hatósági ellenőrzést, majd annak lezárását követően adatvédelmi hatósági eljárást indított és a 2020. május 18-án kelt NAIH/2020/1160/10. számú határozata rendelkező részének 1. pontjában megállapította, hogy

a) a felperes megsértette a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelete (a továbbiakban: általános adatvédelmi rendelet) 5. cikk (1) bekezdés b) és e) pontját azzal, hogy a hibaelhárítási célból létrehozott Tesztadatbázist a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, így a Tesztadatbázisban tárolt nagy számú személyes adatot a következő közel másfél év alatt cél nélkül, azonosításra alkalmas módon tárolta, és a Tesztadatbázis törlésének hiánya közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését;

b) a felperes megsértette az általános adatvédelmi rendelet 32. cikk (1)–(2) bekezdéseit azzal, hogy nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedéseket, ugyanis az általa használt Rendszer több mint 9 éve ismert, megfelelő eszközökkel egyébként detektálható és javítható sérülékenységét kihasználva lehetett hozzáférni a nyilvánosan elérhető weboldalon keresztül az incidenssel érintett Adatbázisokhoz; és az incidenssel érintett személyes adatok tekintetében nem alkalmazott titkosítást.

A határozat rendelkező részének 2. pontjában kötelezte a felperest, hogy vizsgálja felül valamennyi személyes adatokat tartalmazó adatbázisát abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása, és ennek eredményéről értesítse az alperest. A 3. pontban kötelezte a felperest 100 000 000 forint adatvédelmi bírság megfizetésére. A 4. pontban elrendelte a határozat nyilvánosságra hozatalát.

[4] Az elsőfokú bíróság az Európai Unió Bírósága (a továbbiakban: EUB) előzetes döntéshozatali eljárását kezdeményezte az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) és e) pontjainak értelmezésére. Az EUB a C-77/21. számú ítéletében (a továbbiakban: Ítélet) az uniós jogot értelmezte. Ezt követően az elsőfokú bíróság a felülvizsgálattal támadott jogerős ítéletével az alperes NAIH/2020/1160/10. számú határozata 1.a. pontját az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontja megsértésének megállapítása tekintetében, valamint a határozat 3. és 4. pontjait megsemmisítette, a jogkövetkezmények körében az alperest új eljárásra kötelezte, ezt meghaladóan a keresetet elutasította.

[5] A jogerős ítélet megállapította, hogy a felperes – az általános adatvédelmi rendelet 6. cikk (4) bekezdés a) pontjára figyelemmel – az ügyfelek személyes adatait a Tesztadatbázisban jogszerűen, az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontjában foglaltaknak megfelelően, az eredeti adatkezelési céllal összeegyeztethető módon kezelte, azonban az adatkezelése ellentétes volt az általános adatvédelmi rendelet 5. cikk (1) bekezdés e) pontjában foglalt „korlátozott tárolhatóság” elvével.

[6] Az elsőfokú bíróság „az Ítéletre és a peres felek által nem vitatott tényekre tekintettel” megállapította, hogy a felperes a személyes adatokat eredetileg az előfizetői szerződések megkötése, teljesítése céljából gyűjtötte és tárolta, emellett a Tesztadatbázis létrehozásának közvetlen célja egy konkrétan felmerült hibához kapcsolódóan a szükséges tesztek elvégzése és a hiba kijavítása volt. Bár a Tesztadatbázis létrehozásához kapcsolódó cél valóban szorosan kapcsolódott az eredeti adatkezelési célhoz, azonban mégsem volt azzal teljesen azonos. A hiba elhárítására 2018 áprilisában került sor, és a felperes a Tesztadatbázist csupán 2019 szeptemberében szüntette meg, ezért a több mint másfél éves adatkezelés a szükséges adatkezelési időtartamot indokolatlanul hosszú idővel meghaladta. E körülmény alapelveknek való megfelelését az általános adatvédelmi rendelet 5. cikk (2) bekezdésében foglaltak ellenére a felperes nem tudta igazolni; azt maga is elismerte, hogy a Tesztadatbázist figyelmetlenségből nem törölte, holott a fenntartását a hiba elhárítása már nem indokolta, majd a Tesztadatbázisról megfeledkezett a támadásról való tudomásszerzésig.

[7] A felperes a perben ismételten indítványozta az EUB előzetes döntéshozatali eljárásának kezdeményezését, állítva, hogy az EUB félreértette az előzetes döntéshozatali eljárást kezdeményező indítványt. Az elsőfokú bíróság ezzel kapcsolatban rögzítette, hogy az EUB eljárását kezdeményező végzésben feltett mindkét kérdésben kifejezetten szerepelt a párhuzamos adatkezelésre, a személyes adatok párhuzamosan két adatbázisban tárolására utalás (például „az adatkezelő az egyébként jogszerű célhoz kötötten gyűjtött és tárolt személyes adatokat párhuzamosan egy másik adatbázisban is tárolja”), a felperes alappal nem hivatkozhat arra, hogy ezt nem vette figyelembe az EUB az álláspontja kialakításakor. Az Ítéletből mindössze az tűnik ki, hogy ennek a körülménynek az EUB nem tulajdonított meghatározó jelentőséget a jogi norma értelmezésénél. Az elsőfokú bíróság megállapította ezért, hogy az EUB az Ítéletében az általános adatvédelmi rendelet ügyben releváns rendelkezéseit már értelmezte, a felperesnek az Ítélettel kapcsolatban megfogalmazott aggálya megalapozatlan volt, így az ismételt előzetes döntéshozatali eljárás kezdeményezésére irányuló indítványt elutasította.

[8] A jogerős ítélet szerint a felperes az érintett adatok tárolásával kapcsolatban kockázatelemzést nem végzett, a szakvéleményben leírtak alapján tőle elvárható lett volna a Rendszer sérülékenységének felismerése és kijavítása. A szakvélemény alapján megállapította, hogy megfelelő titkosítás használatával megakadályozható lett volna a személyes adatok megismerése. Bár az adatkezelés biztonságának elérésére a jogalkotó nem kötelező jelleggel rendeli el az érintett adatok titkossá tételét, de ezt is olyan intézkedésnek tartja, ami adott esetben alkalmas lehet az adatbiztonság megteremtésére. A jelen ügyben a felperes – különös tekintettel arra, hogy egyéb intézkedést nem tett – legalább a személyes adatok titkosítását elvégezhette volna az adatok védelme érdekében. Ennek elmulasztásával megsértette az általános adatvédelmi rendelet 32. cikk (1) bekezdés a) pontja és a (2) bekezdése szerinti kötelezettségét, azaz nem tette meg a megfelelő technikai és szervezési intézkedéseket annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.

[9] Mivel az alperes határozata az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontja megsértésének megállapítása, valamint jogkövetkezmények (bírság kiszabása, döntés nyilvánosságra hozatala) alkalmazása tekintetében jogszabálysértő volt, az elsőfokú bíróság az alperes határozatának 1.a. pontját az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontja megsértésének megállapítása tekintetében, valamint a 3. és 4. pontjait megsemmisítette, és a jogkövetkezmények körében az alperest új eljárásra kötelezte, ezt meghaladóan a keresetet elutasította. A jogsértések alperestől eltérő megállapítása miatt a jogkövetkezmények mérlegelésére vonatkozó keresetrészt a bíróság érdemben nem vizsgálta.

[10] Az elsőfokú bíróság ítélete ellen a felperes felülvizsgálati kérelmet terjesztett elő, melyben annak befogadását a közigazgatási perrendtartásról szóló 2017. évi I. törvény (a továbbiakban: Kp.) 118. § (1) bekezdés a) pont aa), ab), ac) és ad) alpontjaira hivatkozással kérte.

[11] A Kp. 118. § (1) bekezdés a) pont aa) alpont kapcsán arra hivatkozott, hogy a Kúria az eddigi ítélkezési gyakorlata során nem vizsgálta azt, hogy eltérő adatkezelési célokról van-e szó akkor, ha a jogszerű adatkezelési cél érdekében kezelt adatokat az adatkezelő egy új adatbázisba menti, továbbá a „célhoz kötöttség” elve, a „korlátozott tárolhatóság” elve és az adatbiztonság követelménye milyen esetekben sérül, azokat miként kell értelmezni, illetve, hogy azok megsértése milyen arányú bírság kiszabását alapozhatja meg.

[12] A felperes a felülvizsgálati kérelme befogadását a Kp. 118. § (1) bekezdés a) pont ab) alpontja alapján azért kérte, mert az adatkezelési tevékenység a jogalanyok széles körét érinti. A perbeli esetben egy olyan helyzet jogi értékeléséről van szó, amely a hétköznapi életben számtalanszor előfordul. Nagy jelentősége van annak, hogy az adatkezelők, amikor jogszerű célra gyűjtött személyes adatokat kezelnek, egyes technikai adatkezelési műveleteket elvégezhetnek-e úgy, hogy ez ne sértse a célhoz kötöttségre, illetve korlátozott tárolhatóságra vonatkozó alapelveket. A felperes szerint a jogerős ítélet szerinti jogértelmezés arra vezet, hogy a mindennapi életben tömegesen előforduló technikai adatkezelési műveletek céljáról tájékoztatni kellene az érintetteket, ami értelmetlen és a gyakorlatban megvalósíthatatlan lenne.

[13] A felperes a felülvizsgálati kérelemben részletesen kifejtette az arra vonatkozó álláspontját, hogy az EUB azon téves feltételezés alapján vizsgálta az elé terjesztett kérdést, hogy az elsőfokú bíróság szerint az eredeti adatgyűjtésre és az adatok további kezelésére két eltérő cél érdekében került sor. Az elsőfokú bíróság végzésben megfogalmazott világos és egyértelmű kérdés ellenére az EUB nem adott választ arra, hogy a perbeli adatkezelési művelet olyan „további adatkezelésnek” minősül-e, amely az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontja alkalmazása során elkülönült céllal rendelkezik, vagy egy olyan adatkezelési művelet, amelynek célját nem lehet mesterségesen elkülöníteni a felperes által végzett adatkezelés, mint az adatokon végzett műveletek összességének általános céljától, amelyre az adatokat eredetileg gyűjtötték. Az elsőfokú bíróság tehát előzetes döntéshozatalra bocsájtotta ugyan a kérdést, azonban arra nem kapott választ, így a felperes álláspontja szerint az előzetes döntéshozatal szükségessége továbbra is fennáll, a felülvizsgálati kérelem befogadása ezért a Kp. 118. § (1) bekezdés a) pont ac) alpontja alapján indokolt.

[14] A felperes előadta továbbá, hogy az elsőfokú bíróság nem merítette ki a keresetet, mivel a jogerős ítélet nem tartalmaz döntést arról, hogy a Határozat 1.b pontjának második (titkosításra vonatkozó) fordulata jogellenes-e. A felperes érvelését teljes mértékben figyelmen kívül hagyva az ítélet [35] bekezdésében mindössze annyit rögzített, hogy a felperes „legalább a személyes adatok titkosítását elvégezhette volna az adatok védelme érdekében”. Az elsőfokú bíróság azonban nem indokolta meg, hogy az idézett megállapítást milyen jogszabályi rendelkezésből vonta le, ezáltal a felülvizsgálati kérelem a felperes alapvető eljárási jogának valószínűsíthető sérelme miatt is indokolt.

[15] A Kúria megvizsgálta a felülvizsgálati kérelmet és megállapította, hogy a befogadás feltételei nem állnak fenn.

[16] A Kp. 118. § (1) bekezdése szerint a Kúria a felülvizsgálati kérelmet akkor fogadja be, ha

a) az ügy érdemére kiható jogszabálysértés vizsgálata

aa) a joggyakorlat egységének vagy továbbfejlesztésének biztosítása,

ab) a felvetett jogkérdés különleges súlya, illetve társadalmi jelentősége,

ac) az Európai Unió Bírósága előzetes döntéshozatali eljárásának szükségessége

ad) a kérelmező alapvető eljárási jogának valószínűsíthető sérelme, vagy az ügy érdemére kiható egyéb eljárási szabályszegés, illetve

a Kúria közzétett határozatától jogkérdésben való eltérés

miatt indokolt.

[17] A Kp. 117. § (4) bekezdése alapján a felülvizsgálati kérelemben meg kell jelölni a kérelem befogadhatóságának okát, azonban annak fennállását bizonyítani és azt – a 118. § (1) bekezdés a) pont ad) alpontja szerinti ok kivételével – indokolni nem kell. A 118. § (1) bekezdés b) pontja szerinti ok esetében meg kell jelölni azt a közzétett kúriai határozatot és annak azt a részét, amelytől a felülvizsgálni kért határozat jogkérdésben eltér. A fél által megjelölt befogadhatósági okhoz a bíróság nincs kötve.

[18] A Kúria megjegyzi, hogy a Kp. 117. § (4) bekezdése nem teremt alanyi jogot a felülvizsgálati kérelem befogadásra. A befogadásról döntő bíróság a felülvizsgálati kérelem alapján vizsgálja meg, hogy az ügyben olyan kérdés merül-e fel, amely a Kp. 118. § (1) bekezdésének rendelkezései alá tartozik. A Kúria a befogadhatóság tárgyában hozandó döntése körében kizárólag a Kp. 118. § (1) bekezdésében felsorolt befogadási ok(ok) fennállását vizsgálhatja, a felülvizsgálati kérelemben megjelölt, annak alapját képező jogszabálysértésekről nem foglalhat állást, mert arra csupán a már befogadott felülvizsgálati kérelmet érdemben elbíráló határozatában van törvényes lehetőség.

[19] A Kp. 118. § (1) bekezdés a) pont aa) alpontjában meghatározott befogadhatósági ok azt teszi lehetővé, hogy a Kúria az alsóbb fokú bíróságok felett megfelelő kontrollt gyakorolhasson, és az egységes ítélkezés követelményének megtartása érdekében az alsóbb fokú bíróságok számára – szükség szerint – irányt mutasson. A joggyakorlat egysége azt jelenti: a bíróságok között nincs eltérés a tekintetben, hogy az egyes jogszabályokat miként kell értelmezni, azaz mi a jogi norma alapvető tartalma, illetve azt hogyan kell alkalmazni. (Kfv.IV.37.584/2022/2.)

[20] A Kúria a joggyakorlat egységének biztosítása érdekében a felülvizsgálati kérelmet akkor fogadja be, ha a jogerős ítélet olyan elvi jelentőségű jogkérdést vet fel, amellyel kapcsolatban még nem foglalt állást, feltéve, hogy a jogértelmezést igénylő elvi jelentőségű jogkérdés vonatkozásában a bírói gyakorlat nem egységes, vagy a joggyakorlattól eltérő bírói döntés megismétlődésének, ezáltal a jogegység megbomlásának a veszélye áll fenn. (Kfv.IV.37.679/2020/2.)

[21] A Kúria megállapította, hogy a felperes ezen alpont alapján azért kérte a felülvizsgálati kérelem befogadását, mert a véleménye szerint a Kúriának vizsgálnia kellene azt, hogy eltérő adatkezelési célokról van-e szó akkor, ha a jogszerű adatkezelési cél érdekében kezelt adatokat az adatkezelő egy új adatbázisba menti, továbbá a „célhoz kötöttség” elve, a „korlátozott tárolhatóság” elve és az adatbiztonság követelménye milyen esetekben sérül, azokat miként kell értelmezni, illetve, hogy azok megsértése milyen arányú bírság kiszabását alapozhatja meg.

[22] A Kúria hangsúlyozza, hogy a felülvizsgálati eljárásban nem általános jogértelmezést folytat, hanem az adott ügyben felmerült – és felülvizsgálati kérelemmel támadott – jogkérdésben dönt, azaz a felülvizsgálati eljárásnak nem célja általános, a konkrét felülvizsgálattal nem érintett jogkérdésekben való állásfoglalás. A felperes pedig a felülvizsgálati kérelmében nem támadta a jogerős ítélet azon megállapítását, hogy nem sértette meg a „célhoz kötöttség” elvét, továbbá a jogerős ítélet a jogkövetkezmények, így a bírság összegének megállapítását az alperes megismételt eljárására utalta – mely rendelkezést a felperes szintén nem támadott – így ezen kérdések nem lehettek a felülvizsgálati eljárás tárgyai, ahogyan annak az általános kérdés vizsgálata sem, hogy a „korlátozott tárolhatóság” elve és az adatbiztonság követelménye milyen esetekben sérül. Mindezek tekintetében így a felülvizsgálati kérelem befogadásának sincs helye.

[23] A Kúria utal továbbá arra, hogy bizonyítás felvételének a felülvizsgálati eljárásban a Kp. 120. § (5) bekezdése alapján nincs helye, a Kp. 78. § (2) bekezdése szerint pedig a bíróság a bizonyítékokat egyenként és összességében a megelőző eljárásban megállapított tényállással összevetve értékeli. Jogszabálysértést ebben a körben a rögzített tényállás iratellenessége, a bizonyítékok kirívóan okszerűtlen, vagy a logika szabályaival ellentétes mérlegelése alapozhat meg. A felülvizsgálat csak arra szorítkozhat, hogy a mérlegelés körébe vont adatok, tények értékelésénél nincs-e nyilvánvalóan helytelen következtetés (Kfv.III.37.768/2022/7.)

[24] Az elsőfokú bíróság „az Ítéletre és a peres felek által nem vitatott tényekre tekintettel” állapította meg, hogy a felperes a személyes adatokat eredetileg az előfizetői szerződések megkötése, teljesítése céljából gyűjtötte és tárolta, emellett a Tesztadatbázis létrehozásának közvetlen célja egy konkrétan felmerült hibához kapcsolódóan a szükséges tesztek elvégzése és a hiba kijavítása volt. Bár a Tesztadatbázis létrehozásához kapcsolódó cél valóban szorosan kapcsolódott az eredeti adatkezelési célhoz, azonban mégsem volt azzal teljesen azonos {jogerős ítélet [27] és [31] bekezdések}. Figyelemmel arra tehát, hogy a konkrét ügyben az adatkezelés – eltérő – céljának megállapítása bizonyítási eljáráson (pontosabban a felek egyező nyilatkozataira tekintettel a bizonyításra vonatkozó szabályok szerint bizonyítás nélkül megállapítható tényeken) és nem jogi következtetésen alapult, így jelen ügyben az adatkezelés céljának vizsgálata nem szolgálhatta sem a joggyakorlat egységének, sem a továbbfejlesztésének biztosítását.

[25] A felperes a felülvizsgálati eljárás lefolytatását a jogkérdés különleges súlya, társadalmi jelentősége okán is kérte. A felvetett jogkérdés különleges súlya akkor állapítható meg, ha a vizsgált jogkérdés túlmutat a konkrét ügyön, nagy számú új típusú ügy esetén a jogegység, vagy a jogbiztonság érdekében szükséges a Kúria iránymutatása. Az ügyek társadalmi jelentősége jellemzően akkor mutatható ki, ha olyan jogkérdés merült fel, amely a társadalom széles körét közvetlenül, vagy közvetve érinti. (Kfv.IV.37.960/2020/2.)

[26] Mindez azt jelenti, hogy az adott ügy – illetve a bíróság által abban elfoglalt jogi álláspont – ne csak az adott ügyben érintettekre legyen kihatással közvetve, hanem az adott ügyben nem szereplő jogalanyok helyzetét illetően is irányt mutasson. (Kfv.III.37.778/2020/2.) Az egyént ért jogsérelemnek önmagában társadalmi jelentősége, különleges súlya nincs. (Kfv.III.37.197/2021/2.)

[27] A Kúria az ügyben a felvetett jogkérdés különleges súlyát, illetve társadalmi jelentőségét nem látta megállapíthatónak önmagában azon az alapon, hogy az adatkezelési tevékenység a jogalanyok széles körét érinti. Másrészt jelen eljárásban a jogsértés megállapítása – a felülvizsgálati kérelemben foglaltakkal ellentétben – nem a Tesztadatbázis létrehozásához (az adatok másolásához) kapcsolódott, hanem ahhoz, hogy a Tesztadatbázis törlésére a létrehozatalát indokoló hiba 2018. áprilisi elhárítása után több mint másfél évvel került sor. A felperes a perben az adatkezelési alapelveknek való megfelelését az általános adatvédelmi rendelet 5. cikk (2) bekezdésében foglaltak ellenére nem tudta igazolni, továbbá maga is elismerte, hogy a Tesztadatbázist figyelmetlenségből nem törölte, holott a fenntartását a hiba elhárítása már nem indokolta, majd a Tesztadatbázisról megfeledkezett a támadásról való tudomásszerzésig. Az ügy ezen egyedi körülményeire tekintettel a jogalanyok széles körét sem közvetlen, sem közvetett módon nem érinti, az ügy a felperes sajátos magatartásának megítélésről szól. Jelen ügy tárgya ugyanis nem önmagában a Tesztadatbázis létrehozása volt, hanem az, hogy azt a felperes a javítási munkálatok elvégzését követően azt nem törölte.

[28] A felperes álláspontja szerint a felülvizsgálati kérelem befogadását az Európai Unió Bírósága előzetes döntéshozatali eljárásának szükségessége is indokolja. Ennek körében arra hivatkozott, hogy az EUB azon téves feltételezés alapján vizsgálta az elé terjesztett kérdést, hogy az elsőfokú bíróság szerint az eredeti adatgyűjtésre és az adatok további kezelésére két eltérő cél érdekében került sor. Ahogyan a Kúria azt jelen végzés [24] bekezdésében már kifejtette, az elsőfokú bíróság az ítéletében maga állapította meg az adatok további kezelésének eltérő célját, így amennyiben az EUB ezen „feltevés” alapján hozta volna meg az Ítéletét, az nem téves feltevésen alapulna. Másrészt megállapítható – ahogyan arra az elsőfokú bíróság is rámutatott –, hogy ennek a körülménynek az EUB nem tulajdonított meghatározó jelentőséget a jogi norma értelmezésénél.

[29] A Kúria hangsúlyozza, hogy az EUB előzetes döntéshozatali eljárásának célja nem a tagállami bíróság előtt folyó jogvita eldöntése, hanem a tagállami bíróság által alkalmazandó uniós jog – végső fokú – értelmezése. A felülvizsgálati kérelem szerint az EUB nem adott választ arra, hogy a perbeli adatkezelési művelet összeegyeztethető-e a „korlátozott tárolhatóság” követelményével, illetve az EUB nem foglalkozott azzal a kérdéssel, hogy a „korlátozott tárolhatóság” körében mi következik abból, ha a perbeli esetben nem eltérő célú további adatkezelésre került sor. Figyelemmel arra, hogy ezen kérdések nem az uniós jog értelmezésére, hanem a perbeli eset értékelésére vonatkoznak, azok tekintetében az előzetes döntéshozatali eljárás szükségessége fel sem merülhet.

[30] A Kúria megállapította továbbá, hogy az uniós jog jelen ügy eldöntése szempontjából lényeges szabályainak értelmezését – éppen a jelen ügyben kezdeményezett előzetes döntéshozatali eljárásban – az EUB elvégezte. Az Európai Unió Működéséről Szóló Szerződés 267. cikk harmadik bekezdése értelmében, amennyiben uniós jogi kérdés merül fel egy olyan bíróság előtt, amelynek határozatai ellen a nemzeti jog értelmében nincs jogorvoslati lehetőség, e bíróság köteles eleget tenni azon kötelezettségének, hogy az ügyet a Bíróság elé terjessze, kivéve ha azt állapította meg, hogy a felmerült kérdés nem releváns, a szóban forgó uniós jogi rendelkezést a Bíróság már értelmezte, vagy az uniós jog helyes alkalmazása annyira nyilvánvaló, hogy az semmilyen ésszerű kétségnek nem enged teret (lásd különösen: Cilfit és társai ítélet, 283/81, EU:C:1982:335, 21. pont; Boxus és társai ítélet, C-128/09–C-131/09, C-134/09, C-135/09, EU:C:2011:667, 31. pont). Mindezért a Kúria megállapította, hogy a vizsgált jogszabályhely értelmezése iránt nem volt helye az Európai Unió Működéséről Szóló Szerződés 267. cikk szerinti előzetes döntéshozatali eljárás kezdeményezésének, így erre tekintettel a felülvizsgálati kérelem befogadásának.

[31] A felperes alapvető eljárási jogának valószínűsíthető sérelmére vagy az ügy érdemére kiható egyéb eljárási szabályszegésre hivatkozással is kérte a felülvizsgálati kérelem befogadását, melynek körében azt adta elő, hogy az elsőfokú bíróság nem merítette ki a keresetet, mivel a jogerős ítélet nem tartalmaz döntést arról, hogy a Határozat 1.b pontjának második (titkosításra vonatkozó) fordulata jogellenes-e. A felperes érvelését teljes mértékben figyelmen kívül hagyva az ítélet [35] bekezdésében mindössze annyit rögzített, hogy a felperes „legalább a személyes adatok titkosítását elvégezhette volna az adatok védelme érdekében.” Az elsőfokú bíróság azonban nem indokolta meg, hogy az idézett megállapítást milyen jogszabályi rendelkezésből vonta le.

[32] A Kúria ezzel szemben megállapította, hogy a felülvizsgálati kérelemben foglalt érvelés nyilvánvalóan iratellenes, ezért a felülvizsgálati kérelem befogadását nem alapozhatja meg. A jogerős ítélet felperes által idézett részletet megelőző mondatrész szerint „különös tekintettel arra, hogy egyéb intézkedést [a felperes] nem foganatosított”, azaz a megállapítás alapja nem önmagában az volt, hogy a felperes nem végzett titkosítást, hanem az – ahogyan az az ítélet [34]–[36] bekezdésekben ki van fejtve –, hogy semmilyen technikai és szervezési intézkedést nem tett azért, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja megsértette az általános adatvédelmi rendelet 32. cikk (1) bekezdés a) pontja és a (2) bekezdése szerinti kötelezettségét. A felperes által előadottak tehát nem voltak alkalmasak arra, hogy a kereset kimerítéséhez és a megfelelő indokoláshoz fűződő alapvető eljárási jogának sérelmét valószínűsítsék.

[33] A Kúria megvizsgálva a felülvizsgálati kérelmet a fentiek alapján arra a következtetésre jutott, hogy a jelen ügyben a befogadás feltételei tehát nem állnak fenn, ezért a felülvizsgálati kérelem befogadását a Kp. 118. § (2) bekezdésére alapítottan megtagadta.