Az Európai Bíróság fontos magyar vonatkozású, adatvédelmi bírságolási gyakorlatot érintő ügyben értelmezte a GDPR alapján a célhoz kötöttség és a korlátozott tárolhatóság alapelveit. Kimondta, hogy ellentétes a korlátozott tárolhatóság elvével, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztadatbázisban a tesztek elvégzéséhez és a hibák kijavításához szükségesnél hosszabb ideig tárolja. A KRS Ügyvédi Iroda szakértőinek összefoglalása.

Forrás: Dell

Az ügy előzménye, hogy 2020. májusában a Nemzeti Adatvédelmi és Információszabadság Hatóság
(NAIH) adatkezelési hiányosságokat tárt fel a DIGI internetszolgáltatónál, és 100.000.000 forint
összegű adatvédelmi bírságot szabott ki a DIGI-re.

A feltárt hiányosságok lényege, hogy a DIGI tesztek elvégzésére és hibák kijavítására létrehozott egy adatbázist, amelybe átmásolta körülbelül 322.000 előfizetőjének a személyes adatait és azokat a hibák kijavítását követően sem törölte.

Az adatkezelés során a célhoz kötöttség elvén túlmenően adatbiztonsági előírásokat is megsértett. A személyes adatok között szerepeltek nevek, telefonszámok, e-mail címek és igazolványszámok is. Az problémát egy etikus hacker fedezte fel és jelentette a DIGI felé, a DIGI pedig adatvédelmi incidens keretében bejelentette ezt a hatóságnak.

A DIGI a Fővárosi Törvényszék előtt megtámadta a NAIH határozatát, arra hivatkozással, hogy a
tesztadatbázis létrehozatala nem változtatta meg az adatkezelés célját, miután abból nem következik
olyan előírás, amely meghatározná, hogy mely adatbázisban szükséges adatkezelést lefolytatnia az
adatkezelőnek, továbbá a DIGI azt is állította, hogy a tesztadatbázis létrehozatalának az volt a célja,
hogy jobban megfeleljen a biztonságos adatkezelés követelményének.

A Fővárosi Törvényszék felfüggesztette az eljárást és előzetes döntéshozatal iránti kérdéssel fordult az
Európai Bírósághoz arra vonatkozóan, hogy megváltoztatta-e az adatkezelés célját az ügyféladatok
átmásolása a tesztadatbázisba, valamint, hogy a tesztadatbázis létrehozatala összhangban van-e az
adatkezelés céljával. A Fővárosi Törvényszék arra is rákérdezett, hogy abban az esetben, ha a
tesztadatbázis létrehozatala nincsen összhangban a célhoz kötöttség elvével, akkor hogyan érvényesül
az adatok korlátozott tárolhatóságának elve a tesztadatbázis vonatkozásában.

Az Európai Bíróság október 20-i döntésében egyrészt rámutatott, hogy önmagában a célhoz kötöttség elvével

nem ellentétes, ha az adatkezelő egy tesztadatbázisban rögzíti és tárolja a korábban más adatbázisban gyűjtött és tárolt személyes ügyfél adatokat, amennyiben a tesztadatbázis tekintetében történő adatkezelés megfelel azon konkrét céloknak, melyek kapcsán a személyes adatokat eredetileg gyűjtötték.

Azt ugyanakkor már a Fővárosi Törvényszéknek kell majd meghatároznia, hogy a konkrét ügyben teljesültek-e az előzetes döntésben meghatározott kritériumok. Az Európai Bíróság a korlátozott tárolhatóság elvével összefüggésben arra is rámutatott, hogy azzal ellentétes, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztadatbázisban a szükségesnél hosszabb ideig tárolja.