Kfv.II.37.660/2022. számú ügy

Nyomtatóbarát változat
Dátum: 
2023. március 21.

A Kúria
mint felülvizsgálati bíróság

végzése

Az ügy száma: Kfv.II.37.660/2022/13.

A tanács tagjai:

Dr. Kovács András a tanács elnöke
Dr. Figula Ildikó előadó bíró
Dr. Bögös Fruzsina bíró
Dr. Szilas Judit előadó bíró
Dr. Tóth Kincső bíró

A felperes:

A felperes képviselője:

Az alperes: Nemzeti Adatvédelmi és Információszabadság Hatóság

Az alperes képviselője: ...

A per tárgya: adatvédelmi ügy

A felülvizsgálati kérelmet benyújtó fél: alperes

A felülvizsgálni kért jogerős határozat: Fővárosi Törvényszék 105.K.700.384/2022/12. számú ítélete

Rendelkező rész

A Kúria az Európai Unió Bírósága előzetes döntéshozatali eljárását kezdeményezi az alábbi kérdésekben:

1.) Úgy kell-e értelmezni a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46 EK irányelv hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács 2016.április 27-i 2016/679 rendelet (továbbiakban: GDPR) 14.cikk (5) bekezdés c.) pontját – a GDPR 14.cikk (1) bekezdésére és a 62. preambulum bekezdésére figyelemmel –, hogy a 14.cikk (5) bekezdés  c.) pont szerinti kivétel nem vonatkozik az adatkezelő saját eljárásban létrehozott adatra, csak az olyan adatra, melyet az adatkezelő kifejezetten mástól szerzett be?

2.) Amennyiben a GDPR 14. cikk (5) bekezdés c) pontja az adatkezelő saját eljárásában létrehozott adatra is alkalmazandó, akkor úgy kell-e értelmezni a felügyeleti hatóságnál történő panasztételi jogot szabályozó GDPR 77.cikk (1) bekezdését, hogy a tájékoztatási kötelezettség megsértését állító természetes személy a panasztételi joga gyakorlása során annak vizsgálatát is kezdeményezheti, hogy a GDPR 14.cikk (5) bekezdés c.) pontjában említett tagállami jog az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik-e?

3.) Amennyiben a 2. kérdésre adott válasz igenlő, akkor a GDPR 14.cikk (5) bekezdés c.) pontja értelmezhető-e úgy, hogy az abban szereplő „megfelelő intézkedés” a GDPR 32. cikk szerinti adatbiztonsági intézkedések leírását (a jogszabályban) várja el a tagállami jogalkotótól?

A Kúria az előzetes döntéshozatali eljárás befejezéséig a felülvizsgálati eljárást felfüggeszti.

A végzés ellen jogorvoslatnak nincs helye.

Indokolás

[1] A Kúria mint olyan bírói fórum, amelynek döntése ellen további jogorvoslatnak nincs helye, az EUMSZ 267. cikke alapján az ügy elbírálásához szükséges uniós jogi rendelkezések értelmezését kéri az Európai Unió Bíróságától (a továbbiakban: EUB).

A jogvita tárgya és az előzetes döntéshozatali kérelemhez kapcsolódó releváns tények.

[2] Magyarországon a koronavírus elleni védettségi igazolványt jogszabályi felhatalmazás alapján a perben nem álló Budapest Fővárosi Kormányhivatal (a továbbiakban: kérelmezett) állította ki. A természetes személy felperes, miután kézhez kapta a kérelmezettől a COVID-19 járványhoz kapcsolódó oltást igazoló védettségi igazolványát, 2021. április 30-án, közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: alperes) panaszt nyújtott be, amelyben adatvédelmi hatósági eljárás lefolytatását kezdeményezte, és kérte a kérelmezett utasítását arra, hogy adatkezelési műveleteit hozza összhangba a GDPR rendelkezéseivel. Panaszában többek között kifogásolta, hogy a kérelmezett elmulasztotta a védettségi igazolványok kiállításával kapcsolatos adatok kezelésére vonatkozóan az adatkezelési tájékoztatót elkészíteni és közzétenni, nincs elég információ arról, hogy mi az adatkezelés célja, jogalapja, melyek, és hogyan érvényesíthetőek az érintett jogok.

[3] A panaszbejelentés alapján megindult eljárásban az alperes felhívására a kérelmezett nyilatkozott arról, hogy a védettségi igazolvány kiállításával kapcsolatos feladatait a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm.rendelet (a továbbiakban: Kormr.) 2. §-a alapján látja el, az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés e) pontja, a különleges személyes adatok során a GDPR 9. cikk (1) bekezdés i) pontja. Nyilatkozott arról, hogy az adatkezeléssel érintett adatokat a Kormr. 3. § (2)-(3) bekezdése szerint automatikus információátadással veszi át az elektronikus szolgáltatási tér működtetőjétől, és a személyi adat és lakcím-nyilvántartást vezető szervtől. Állította, hogy a GDPR 14. cikk (5) bekezdés c) pontja alapján nem volt köteles az adatkezelésről  tájékoztatást adni, ennek ellenére az adatkezelési tájékoztatót mégis elkészítette, és weboldalán közzétette.

[4] Az alperes 2021. november 15-én kelt NAIH-4576-13/2021. számú határozatával a felperes kérelmét elutasította. A határozat indokolása megállapította, hogy a kérelmezettnek nem volt tájékoztatási kötelezettsége a GDPR 14. cikke alapján, ugyanis a kérdéses adatkezelésre a GDPR 14. cikk (5) bekezdés c) pontja kivételszabálya alkalmazandó. A vizsgált adatkezelés jogalapját a hivatkozott Kormr. teremti meg, és mivel a kérelmezett az adatokat nem az érintettektől gyűjtötte, másrészt a Kormr. 3. § (1) bekezdése kifejezetten előírta a kérelmezett számára az adatgyűjtést, így a kérelmezett a GDPR 14. cikk (5) bekezdés c) pontja szerint nem volt köteles tájékoztatást adni. Az indokolás megjegyezte, hogy jó gyakorlatnak tekintette azt, hogy a kérelmezett függetlenül attól, hogy nem volt jogszabályi kötelezettsége, adatkezelési tájékoztatását weboldalán közzétette.

[5] Az alperes hivatalból vizsgálta a GDPR 14. cikk (5) bekezdés c) pontja 2. fordulatában szereplő, az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedés kérdését, és megállapította, hogy a Kormr. 5-7. § és 2-3. §-ai ilyennek tekintendőek.

[6] Az indokolás megjegyezte, hogy a kivételszabály alkalmazhatósága értékelésénél figyelemmel volt a WP260 számú iránymutatás 66. pontjára, és a 3/2020. EDBP iránymutatás 41. pontjára is.

[7] Az indokolás szerint a tájékoztatási kötelezettség teljesítése azért sem volt kötelezettsége a kérelmezettnek, mert a felperesről hivatalból ismerte a végzettségét, és szakismeretét, emiatt őt jogsérelem nem érhette.

[8] Az indokolás szerint a felperesnek a GDPR 77. cikk (1) bekezdése szerint csak a rá vonatkozó jogsérelem orvoslására volt joga kérelmet előterjeszteni, így az adatkezelési tájékoztató más érintettek részére való megküldésére és jogsértés esetén bírság kiszabására irányuló kérelmét a hatóság nem bírálta el. Megjegyezte, hogy ennek ellenére hivatalból vizsgálta a Kormr. szabályozását, köztük a GDPR 14. cikk (5) bekezdés c) pontja 2. fordulatát is.

[9] A felperes a határozattal szemben közigazgatási pert kezdeményezett. Keresetét a Fővárosi Törvényszék ítélete alaposnak találta, ezért az alperes határozatát megsemmisítette és az alperest új eljárásra kötelezte.

[10] Az eljárt bíróság ítélete indokolása a GDPR 14. cikk (5) bekezdés c) pontját értelmezve megállapította, hogy a kivételszabály alkalmazásának nem volt helye, mert a védettségi igazolványok tekintetében keletkeznek olyan adatok, amelyeket az adatkezelő nem átvesz más szervtől, hanem maga keletkeztet. Ezek többek között a védettségi igazolvány (kártya) sorszáma, a betegségen átesettek esetén az igazolvány érvényességi ideje, a kártyán lévő QR kód, a kézbesítő levélen szereplő vonalkód és egyéb alfanumerikus kódok, valamint az adatkezelő eljárása során keletkezett, az ügykezeléshez kapcsolódó adatok.

[11] Az eljárt bíróság értelmezése szerint a GDPR 14. cikk (5) bekezdés c) pontja kivételszabálya kizárólag a más szervtől átvett adatokra vonatkozhat.

[12] Az ítélet indokolása szerint a határozat kirívóan okszerűtlenül látta alkalmazhatónak a GDPR 14. cikk (5) bekezdés a) pontja szerinti kivételszabályt, mert az csak akkor alkalmazható, ha a tájékoztatás korábban kiterjedt az adatkezelés minden egyes aspektusára, illetve ha az adatkezelés körülményeiben nem állt be változás időközben, és az érintett szakképesítése felkészültsége ennek megítélése során relevanciával nem bír.

[13] Az indokolás szerint a felperes alpereshez benyújtott kérelme nem a GDPR 58. cikk (2) bekezdés c) pont szerinti hatáskör gyakorlására irányult, hanem a GDPR 77. cikk (1) bekezdése alapján panasztételi jogával élt, és ez a rendelkezés nem szűkíti a hatósághoz fordulás jogát azon feltétellel, hogy a felperesnek először a kérelmezetthez kellett volna fordulnia. Megjegyezte, hogy az alperes előtti eljárásban az alperes a kérelmezettet általános módon az összes érintettre, és nem kifejezetten a felperesre vonatkozóan kérte nyilatkozni.

[14] A közigazgatási bíróság ítélete a GDPR 14. cikk (5) bekezdés c) pontja 2. fordulatát nem vizsgálta, az ezen kivételszabályra vonatkozó értelmezése miatt.

[15] A jogerős ítélettel szemben alperes részéről előterjesztett rendkívüli jogorvoslati kérelem (felülvizsgálati kérelem) eredményeként a Kúria előtt felülvizsgálati eljárás indult.

[16] Az alperes felülvizsgálati kérelme szerint a közigazgatási bíróság jogsértő ítéletet hozott, többek között azért, mert tévesen és jogszabálysértő módon értelmezte a GDPR 14. cikk (1) bekezdését és (5) bekezdésének c) pontját.

[17] A felperes felülvizsgálati ellenkérelmében elsődlegesen a Fővárosi Törvényszék ítélete hatályban való fenntartását indítványozta, állítva, hogy az eljárt bíróság jogszabályoknak megfelelő ítéletet hozott, másodlagosan, amennyiben ezen állásponttal a Kúria nem értene egyet, indítványozta az EuB előtt az előzetes döntéshozatali eljárás kezdeményezését a GDPR 14. cikk (1) bekezdés és 14. cikk (5) bekezdés c) pontja kivételszabálya értelmezésére.

Az alkalmazandó jog

[18] A) Uniós jog:

GDPR 14. cikk (1) bekezdés:

Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d) az érintett személyes adatok kategóriái;

e) a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f) adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat....

[19] GDPR 14. cikk (5) bekezdés:

Az (1)-(4) bekezdést nem kell alkalmazni, ha és amilyen mértékben:

a) az érintett már rendelkezik az információkkal;

b)

c) az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

d)

[20] GDPR 77. cikk (1) bekezdés:

Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.

B) Tagállami jog

60/2021. (II.12.) Korm.rendelet – A koronavírus elleni védettség igazolásáról (a felperes kérelme alpereshez érkezésekor hatályos szövege releváns rendelkezései:

[21] 2. § (6) és (7) bekezdés:

A védettségi igazolványt a jogosult természetes személy részére Budapest Főváros Kormányhivatala (hatóság) vagy hivatalból, vagy kérelemre állítja ki.

[22] 3. § (3) bekezdés:

A hatóság – a 2. § (6) bekezdés c) és d) pontja szerinti esetben

a) az EESZT működtetőjétől az érintett TAJ számát, a 2. § (1) bekezdés e) és g) pontja szerinti adatot, valamint az (1) bekezdés szerinti adatokat,

b) a személyiadat- és lakcímnyilvántartást vezető szervtől az érintett nevét, útlevelének és állandó személyazonosító igazolványának okmányazonosítóját, lakcímét

automatikus információátadással – szükség esetén az összerendelési nyilvántartáshoz kapcsolódó szolgáltatás útján – átveszi.

[23] 2. § (1) bekezdés:

A védettségi igazolvány tartalmazza:

a) az érintett nevét,

b) az érintett útlevelének számát, ha ezzel rendelkezik,

c) az érintett állandó személyi azonosító igazolványának számát, okmányazonosítóját, ha ezzel rendelkezik,

d) a védettségi igazolvány sorszámát,

e)  az oltottság tényének igazolása esetén az oltás idejét,

f) fertőzésből történő felgyógyulás tényének az igazolása esetén az igazolvány érvényességének a dátumát,

g)  az a)–f) pont szerinti adatokból képzett, informatikai eszközzel optikailag olvasható adattároló kódot,

h) szöveges jelzésként a kártya személyazonosító igazolvány vagy útlevél felmutatásával együtt érvényes, vagy nem ruházható át, vagy az igazolványhoz kapcsolódó jogosultságok a koronavírus.gov.hu internetes oldalon ellenőrizhetők” … feliratokat.

Az előzetes döntéshozatali eljárás kezdeményezésének indokoltsága, a felek érvei

[24] A Kúria a tagállami jog szerint az a bírói fórum, amelynek döntésével szemben további jogorvoslatnak nincs helye.

[25] A felek között eldöntendő kérdés jogi alapja a GDPR, azaz másodlagos jogforrásként rendeleti szintű jogszabály, azaz a perben közvetlenül alkalmazandó európai uniós jog kívánja meg az értelmezést, mely jogértelmezés az EuB hatáskörébe tartozik.(EUMSZ. 267. cikk)

[26] A Kúria vizsgálta az előzetes döntéshozatali eljárás kezdeményezésének C-283/81. számú Cilfit ügyben [ECLI:EU:C:1982:335] megfogalmazott, majd a C-561/19. számú ügyben [ECLI:EU:C:2021:799] pontosított feltételeit, és megállapította, hogy a kezdeményezés feltételei fennállóak az alábbiak miatt.

[27] A felmerült kérdés az ügy érdemi elbírálása szempontjából releváns, ugyanis többek között attól függ az alperes felülvizsgálati kérelme megalapozottsága, hogy

a) a GDPR 14. cikk (5) bekezdés c) pontja kivételszabálya a vizsgált adatkezelésre alkalmazható-e;

b) lehet-e a GDPR 77. cikk (1) bekezdés szerinti panaszeljárás során az érintettnek kifogás tárgyává tenni a GDPR 14. cikk (5) bekezdés c) pontja 2. fordulatát, és amennyiben igen, akkor értelmezésre szorul, hogy a GDPR 14. cikk (5) bekezdés c) pontja 2. fordulatában mit jelent a megfelelő intézkedésekről történő rendelkezés a tagállami jog viszonylatában.

[28] Másrészt az EuB még nem értelmezte a jogvitában alkalmazandó GDPR 14. cikk (5) bekezdés c) pontja kivételszabályát, és ezen kivételszabállyal összefüggésben a GDPR 77. cikk (1) bekezdését.

[29] Bár a 29. cikk szerinti adatvédelmi munkacsoport WP260 számú iránymutatás 66. pontja, és az ezzel nagyjából azonos tartalmú, 3/2020. számú EDPB iránymutatás 41. pontja ezen kivételszabályt egyfajta módon értelmezte, azonban a munkacsoport értelmezése nem minősíthető az uniós jog autentikus értelmezésének, az nem az EUMSz 288. cikke szerinti uniós jogi aktus, és nem kötelező a tagállami bíróságokra, valamint a jelen jogvitában értelmezendő kérdésre sem ad választ.

[30] Harmadrészt a GDPR alkalmazandó szabályai értelmezése nem nyilvánvalóak annyira, hogy minden ésszerű kételyt kizárjanak, ugyanis a GDPR 14. cikk (5) bekezdés c) pontja kapcsán a három hivatásos bírói tanácsban eljáró közigazgatási bíróság és az öt hivatásos bírói tanácsban eljáró Kúria a jogszabályi rendelkezés 1. fordulatát eltérően értelmezi, másrészt a GDPR (62) preambulumbekezdésében és a normaszövegben foglalt kifejezés egymástól eltérő (rögzítés/közlés – megszerzés/közlés), harmadrészt a felperes állítása szerint az alperesnek az adott jogi rendelkezéshez kapcsolódóan eltérő jogértelmezése is volt.

[31] A felperes szerint a GDPR 14. cikk (5) bekezdés c) pontja kivételszabálya csak akkor vehető figyelembe, amennyiben a kezelt adat az érintetten kívüli személytől megszerzett adatra vonatkozik, és nem alkalmazható akkor, amennyiben az adat az adatkezelő által keletkeztetett. Érvelése szerint az alperes álláspontja a tájékoztatáshoz való jog kiüresítését eredményezné, miközben nyilvánvaló, hogy a tájékoztatáshoz való jog kiemelkedően fontos az érintettek jogai érvényesítéséhez, azaz, hogy tudjanak arról, hogy az adott adatkezelés tekintetében milyen jogaik vannak.

[32] Az alperes szerint ezzel szemben a vizsgált adatkezelésre a GDPR 14. cikk (5) bekezdés c) pontja alkalmazható. Érvelése szerint a GDPR a tájékoztatás két szintjét szabályozza az érintetteket megillető tájékoztatás kapcsán; egyrészt az érintetteteket külön kérelem nélkül is megillető tájékoztatás szabályait a GDPR 13. és 14. cikkei, míg az érintett kérelmére adandó tájékoztatás szabályait a GDPR 15. cikk rendelkezései. Amennyiben az adatkezelő a személyes adatot közvetlenül az érintettől gyűjti, úgy a GDPR 13. cikke szerint kell tájékoztatást adni, minden más esetben a 14. cikk szerint kell eljárni. Hangsúlyozta, hogy a GDPR zárt rendszert alkot a tájékoztatás formájára, ennek megfelelően nincs olyan adatkezelés, amely jellegénél fogva kívül esne a tájékoztatási kötelezettséggel érintett adatkezelések körén.

[33] Érvelése szerint a perbeli adatkezelés egésze a GDPR 14. cikk tárgyi hatálya alá tartozik, ebből következően, mivel a vizsgált adatkezelés „nem az érintettől megszerzett” adatokra vonatkozik, így a 14. cikk (5) bekezdés c) pontjában szereplő kivételszabály a vizsgált adatkezelésre is alkalmazandó.

[34] Érvelése alátámasztásaként hivatkozott a GDPR (62) preambulumbekezdésére, amely e kivételszabályhoz kapcsolódóan – szemben a normaszövegben szereplő kifejezéssel – a személyes adat rögzítés és közlés kifejezéseket tartalmazza.

[35] Hivatkozott az EUB C-243/20. számú Trapeza Peiraios ítélete 32. pontjára [ECLI:EU:C:2021:1045], valamint az ott hivatkozott ítélkezési gyakorlatra, mely szerint valamely uniós jogi szöveg egyes nyelvi változatai közötti eltérés esetén a szóban forgó rendelkezés azon szabályozás általános rendszerére és céljára tekintettel kell értelmezni, amelynek az a részét képezi. Állítása szerint a kérdéses rendelkezéseket, amennyiben rendszertani szempontból értelmezzük, akkor a GDPR (62) preambulumbekezdése a megszerzés/gyűjtés kifejezésekhez képest lényegesen tágabb jelentésű kifejezéseket használ rögzítés/tárolás/nyilvántartásfogalmakkal, másfelől, míg a 14. cikk (1) bekezdés csak egy adatkezelési műveletre utal (megszerzés/gyűjtés), addig a 14. cikk (5) bekezdés c) pontja minden esetben több adatkezelési műveletet von a kivételi körbe (a megszerzés mellett az egyes szövegváltozatok szerint a közlés vagy nyilvánosságra hozatal is kivételi körbe tartozik).

[36] Érvelése szerint rendszertani szempontból a GDPR egyes rendelkezéseinek összevetése alapján arra lehet következtetni, hogy a 14. cikk (5) bekezdés c) pontjának tárgyi hatálya minimum azonos adatkezelési műveleti körre terjed ki, mint az (1) bekezdés.

[37] Az ésszerű kétely a GDPR 77. cikk (1) bekezdése szerinti, közvetlenül felügyeleti hatóságnál kezdeményezhető panaszeljárás terén is fennáll, a GDPR 14. cikk (5) bekezdés c) pontjával összefüggésben.

[38] Az alperes szerint a GDPR 14. cikk (5) bekezdés c) pont 2. fordulata a tagállami jog megfelelősége vizsgálatát jelenti, ami az alperes szerint egyfajta normakontroll eljárás lefolytatását várná a felügyeleti hatóságtól, holott a felügyeleti hatóság egy tagállami jogszabály helyessége vizsgálatára hatáskörrel nem rendelkezik.

[39] A felperes szerint a GDPR 77. cikk (1) bekezdése szerinti panasztételi jog, azaz az érintettre vonatkozó adatkezelési szabály megsértésére hivatkozás nem korlátozható, és ilyen esetben panaszeljárásban kezdeményezheti az érintett a felügyeleti hatóságnál a GDPR 14. cikk (5) bekezdés c) pont 2. fordulata vizsgálatát is.

[40] Végül az EUB a GDPR 14. cikk (5) bekezdés c) pontja 2. fordulatában szereplő, „az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedések” értelmezésével a tagállami bíróság hasznos választ adhatna a jogvita eldöntéséhez, ahhoz, hogy mit kell ilyen helyzetben a felügyeleti hatóságnak, illetve az eljárt bíróságnak a tagállami jogszabálynál vizsgálnia.

[41] A Kúria álláspontja szerint ez utóbbi kérdés akkor lesz releváns az ügyben, amennyiben a Kúria alábbiakban kifejtett álláspontját az EuB megerősíti, és amelynek eredményeként lefolytatandó megismételt eljárásban ebben a jogvitás kérdésben is az elsőfokú bíróságnak állást kell foglalnia.

A Kúria álláspontja a feltett kérdésekben

Az első kérdésről

[42] A Kúria alapvetően osztja a GDPR 14. cikk (5) bekezdés c) pontja kivételszabálya alkalmazhatóságával összefüggésben az alperes álláspontját, mely szerint a kivételszabály az adatkezelés valamennyi olyan formájára vonatkoztatható, amely nem a GDPR 13. cikk szerinti, érintettől megszerzett adatokat jelenti.

[43] Erre utal a GDPR 14. cikk (5) bekezdés c) pontja értelmezését is adó, (62) preambulumbekezdés, amely a normaszövegben szereplő „megszerzés” kifejezés helyett a „rögzítés” kifejezést használja.

[44] A Kúria vizsgálta a GDPR 14. cikk (5) bekezdés c) pontja magyar nyelvű változatában „megszerzés” kifejezés, valamint a (62) preambulumbekezdés rögzítés kifejezés más nyelvi változatokban való szerepeltetését. Ennek során megállapította, hogy a normaszövegben a magyar szöveggel azonos kifejezéssel szerepel az angol (obtain), a német (erlangung), a francia (obtention), az olasz (ottenimento) és a spanyol (obstencion) nyelvi változatokban . Ehhez képest a GDPR (62) preambulumbekezdésben a magyar rögzítés kifejezés az angol  (recording), valamint az olasz  (registratione) és a francia nyelvi változatban (enregistrement) azonos a magyar kifejezéssel, míg a német és spanyol változatban a „tárolás” kifejezés szerepel (speicherung – cuando el registro).

[45] A fentiekből látható, hogy nem a különböző nyelvi változatok között van különbözőség, hanem elsősorban a preambulumban adott értelmezés és a normaszöveg által használt kifejezés között. Míg az előbbi egy tágabb adatkezelési műveleti körre vonatkozik, a GDPR 14. cikk (5) bekezdés c) pontja 1. fordulatában szereplő „megszerzés” kifejezés egy szűkebb adatkezelési műveleti körre vonatkozik.

[46] Miután a GDPR 14. cikk tárgyi hatályát elsősorban annak (1) bekezdése adja meg, valamint magának a 14. cikknek a címe, mely szerint a vizsgált rendelkezés a nem az érintettől megszerzett személyes adatokra vonatkozik, ebből következően a GDPR 14. cikk (5) bekezdés c) pontja kivételszabálya valamennyi, nem az érintettől megszerzett személyes adat kezelésére, ebből következően az adatkezelőnél keletkeztetett adatokra is vonatkozik.

A második kérdésről

[47] A Kúria a 2. kérdésében lényegében arra várja a választ, hogy a GDPR 14. cikk (5) bekezdés c) pontja 2. fordulatában szereplő,  az érintett jogos érdekeinek védelmét szolgáló tagállami jogban található megfelelő intézkedések kérdését, azaz a tagállami jog GDPR szerinti garanciái vizsgálatát a felügyeleti hatóság jogosult-e elvégezni, és az érintett – jelen perbeli esetben a felperes – egy tagállami jogszabály GDPR-nak való megfelelőségét számon kérheti-e panasztételi eljárás keretében.

A harmadik kérdésről

[48] A 3. kérdésre az EUB-nek nyilvánvalóan csak akkor kell választ adnia, amennyiben a 2. kérdésre adott válasza szerint a felügyeleti hatóságnak van hatásköre vizsgálni, és az érintettnek panasztételi joga során lehetősége van számon kérni a GDPR 14. cikk (5) bekezdés c) pontja 2. fordulatában szereplő, tagállami jog GDPR-nak való megfelelősége kérdését.

[49] A Kúriának számára nem egyértelmű, hogy mit jelent az uniós jogalkotó szerint az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedés fogalma.

[50] A Kúria álláspontja szerint bár logikusnak látszik erre a kérdésre azt a választ adni, hogy a megfelelő intézkedések körébe egyrészt beletartozó, a GDPR 14. cikk (1) bekezdés a)-f) pontjában felsorolt tényezőknek a kérdéses tagállami jogban való szerepeltetése, másrészt a GDPR 32. cikkében szabályozott, az adatkezelés adatbiztonsági intézkedések leírásának számonkérhetősége, ugyanakkor jogszabályok ilyen típusú technikai szabályokkal terhelése ellen hat a normaszöveg érthetőségének, a normavilágosság követelményének, és elegendő garancia lehet az is, ha ezen adatbiztonsági intézkedések jogszabályban való külön leírása nélkül a tagállam valamely érintett szerve ezen adatbiztonsági intézkedéseknek eleget tesz, és a felügyeleti szerv számára – annak eljárása esetén - azokat igazolni tudja.

Záró rész

[51] A fentiekre tekintettel a Kúria a Kp. 34. § (1) bekezdés a) pontja alkalmazásával előzetes döntéshozatali eljárás kezdeményezéséről határozott, és a Kp. 34. § alapján alkalmazandó polgári perrendtartásról szóló 2016. évi CXXX. törvény 126. § (1) bekezdése szerint a felülvizsgálati eljárást felfüggesztette, az előzetes döntéshozatali eljárás befejezéséig.

[52] A Kúria a végzése indokolása tartalmában figyelemmel volt az EUB előzetes döntéshozatal irányi kérelmek előterjesztésére vonatkozóan kiadott 2019/C, 380/01. számú ajánlására az anonimizálás során annak 21. pontjára.

[53] A végzés elleni fellebbezés lehetőségét a Kp. 34. §-a alapján alkalmazandó Pp. 128. § (5) bekezdése, és a Kp. 116. § d) pontja zárja ki.

Budapest, 2023. február 8.

Dr. Kovács András s.k. a tanács elnöke,
Dr. Figula Ildikó s.k. előadó bíró,
Dr. Bögös Fruzsina s.k. bíró,
Dr. Szilas Judit s.k. előadó bíró,
Dr. Tóth Kincső s.k. bíró