A GDPR 6. cikk (1) bekezdés e) pontjában foglalt jogalap szerint akkor lehet jogszerűnek tekinteni az adatkezelést, ha az közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. A sajtó tevékenységének és ezáltal a sajtótermékeknek a sokszínűsége okán az ezen jogalapnak való megfelelést nem lehet általánosságban a sajtó tevékenységére értelmezni, hanem azt mindig konkrétan, a személyes adatok kezelésére vonatkozó elvek érvényre juttatása mellett szükséges vizsgálni [2011. évi CDXXV. törvény (Magyarország Alaptörvénye) VI. cikk (1), (3) bek., IX. Cikk (1)-(2), (4) bek., 28. cikk; 2011. évi XCII. törvény (Infotv.) 26. cikk (2) bek., 60/A. § (6) bek.; 2010. évi CIV. törvény (Smtv.) 10. §].
A felülvizsgálat alapjául szolgáló tényállás
[1] Az I. rendű felperes a Forbes Magazin 2015 augusztusában megjelent „Legnagyobb magyar családi vállalkozások” összeállításában szerepeltette első alkalommal a II–IV. rendű felperesi családot.
[2] Ezt követően a 2019 szeptemberében megjelent legnagyobb családi vállalkozásokat tartalmazó kiadvány online és nyomtatott változatában (a továbbiakban: Adatkezelés 1.) szerepelt az érdekeltségükbe tartozó cég és a család, majd a 2019 decemberében megjelent 50 leggazdagabb magyart tartalmazó kiadvány nyomtatott és online változatában (a továbbiakban: Adatkezelés 2.) a II. rendű felperes.
[3] Az Adatkezelés 1. során a nyomtatott változatban megjelenésre került a család neve, az érdekeltségükben álló vállalkozás neve, a vállalkozás becsült értéke, központja, alapításának éve, valamint a vállalkozásban érdekelt generációk száma. Az online kiadványból a Fővárosi Törvényszék döntésének következtében eltávolításra került a család neve, helyette a vállalkozás tulajdonosa kifejezés olvasható. Sem az online, sem a nyomtatott változatban a II–IV. rendű felperesek teljes neve nem került feltüntetésre.
[4] Az Adatkezelés 2. során a nyomtatott változatban a II. rendű felperes került nevesítésre, továbbá életkora, becsült vagyonának összege, a vagyon forrása. Megjelent az MNB növekedési kötvényprogramjának célját leíró keretes szócikk, amely szintén tartalmazta II. rendű felperes nevét és a kibocsátás volumenét.
[5] Az I. rendű felperes az Adatkezelés 1. és Adatkezelés 2. során a II–IV. rendű felperesek vonatkozásában a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016. április 27-i 2016/679 rendelete (a továbbiakban: GDPR) 4. cikk 2. pontja szerint adatkezelést végzett.
[6] Előzetesen az I. rendű felperes tájékoztatta a II–IV. rendű felpereseket az adatkezelésről, visszajelzést kért az általa mellékelt módszertani számítások szerint végzett vagyonbecslés pontosságáról.
[7] A II–IV. rendű felperesek a személyes adataik kezelése ellen írásban tiltakoztak, a sajtótermékekben történő megjelenésük mellőzését, adataik törlését kérték, amelyet az I. rendű felperes nem teljesített.
[8] Az ennek nyomán kérelemre indult eljárásban az alperes 2020. július 23-án kelt NAIH/2020/1154/9. számú határozatában megállapította, hogy az I. rendű felperes azzal, hogy az Adatkezelés 1. és Adatkezelés 2. során folytatott adatkezeléssel összefüggésben az érdekmérlegelést nem megfelelően végezte el, és saját, illetve harmadik fél jogos érdekeiről, valamint annak a II–IV. rendű felperesek érdekeivel való összemérésének eredményéről előzetesen nem tájékoztatta a II–IV. rendű felpereseket, megsértette a GDPR 6. cikk (1) bekezdés f) pontját.
[9] Azzal, hogy az I. rendű felperes az Adatkezelés 1. és Adatkezelés 2. tekintetében nem nyújtott megfelelő tájékoztatást az adatkezelés valamennyi lényeges körülményéről és a II–IV. rendű felperesek személyes adatok kezelése elleni tiltakozáshoz való jogáról, továbbá a II–IV. rendű felperesek érintetti joggyakorlására irányuló kérelmeire adott válaszaiban nem nyújtott tájékoztatást a jogérvényesítési lehetőségekről, megsértette az GDPR 5. cikk (1) bekezdés a) pontját, az 5. cikk (2) bekezdését, a 12. cikk (1) és (4) bekezdését, 14. cikkét, 15. cikkét és a 21. cikk (4) bekezdését.
[10] Az alperes a jogellenes adatkezelés miatt az I. rendű felperest elmarasztalta és utasította a tájékoztatási kötelezettségről, valamint az érdekmérlegelés során figyelembe vett fennálló érdekekről, az érdekmérlegelés eredményéről, a tiltakozáshoz való jogról és a jogérvényesítési lehetőségről szóló tájékoztatás pótlására. Kimondta, hogy amennyiben az I. rendű felperes a jövőbeni tervezett adatkezelések során a jogos érdeket mint jogalapot kívánja felhasználni, akkor a jogszabályoknak megfelelően és a határozatában foglaltak figyelembevételével végezzen érdekmérlegelést, beleértve a tiltakozást követő második, egyedi érdekmérlegelést is. Arra is kötelezte az I. rendű felperest, hogy alakítsa át az előzetes tájékoztatással kapcsolatos gyakorlatát.
[11] Az alperes az adatvédelmi bírság kiszabására vonatkozó kérelmet elutasította, ugyanakkor a megállapított jogsértések miatt hivatalból 2 000 000 forint adatvédelmi bírság megfizetésére kötelezte az I. rendű felperest. Egyidejűleg elutasította a II–IV. rendű felperesek kérelmének azon részét, hogy rendelje el az adatkezelés korlátozását, személyes adataik törlését és az I. rendű felperes személyes adataik kezelésétől való eltiltását. A II–IV. rendű felpereseknek az ideiglenes intézkedéssel történő adatkezelési korlátozás és a személyes adatok közzétételére vonatkozó eltiltás iránti kérelmét szintén elutasította.
[12] Döntése jogi indokaként felhívta a GDPR [47], [60], [65], [67] és [153] preambulum bekezdéseit, a 2. cikk (1) bekezdését, a 4. cikk (1) bekezdés 1–2., 4. és 6–7. pontjait, 5. cikkét, a 6. cikk (1) bekezdését, 12. cikkét, 14. cikkét, a 15. cikk (1) bekezdését, 16–17. cikkeit, a 18. cikk (1)–(2) bekezdéseit, a 21. cikk (1)–(4) bekezdéseit, a 77. cikk (1) bekezdését, a 83. cikk (1)–(2) és (5)–(7) bekezdéseit, a 85. cikk (1)–(2) bekezdéseit. Megjelölte az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 1. §-át, a 3. § 6. pontját, a 27. § (3) bekezdését, a 38. § (2) bekezdését, a 60. § (1)–(2) bekezdéseit, a 61. § (1) bekezdését, a 75/A. §-át; az Alaptörvény VI. cikk (1) és (3) bekezdéseit, a IX. cikk (1)–(2) és (4) bekezdéseit; a magánélet védelméről szóló 2018. évi LIII. törvény (a továbbiakban: Mvtv.) 1–2. §-ait, a 8. § (1)–(2) bekezdéseit, 9. §-át; az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) 17. §-át és a 47. § (1) bekezdés a) pontját; a cégnyilvánosságról, a cégbírósági eljárásról és végelszámolásról szóló 2006. évi V. törvény (a továbbiakban: Ctv.) preambulumát, 10. § (1)–(2) bekezdéseit, a 24. § (1) bekezdés b), f) és h) pontjait, a 27. § (3) bekezdés a) és e) pontjait; az állami vagyonról szóló 2007. évi CVI. törvény (a továbbiakban: Vagyon.tv.) 5. §-át; a sajtószabadságról és a médiatartalmak alapvető szabályairól szóló 2010. évi CIV. törvény (a továbbiakban: Smtv.) 4. § (3) bekezdését, 10. §-át és 13. §-át; a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.) 2:44. §-át. Hivatkozott az emberi jogok és az alapvető szabadságok védelméről szóló, Rómában, 1950. november 4-én kelt Egyezmény és az ahhoz tartozó nyolc kiegészítő jegyzőkönyv kihirdetéséről szóló 1993. évi XXXI. törvénnyel kihirdetett Emberi Jogok Európai Egyezménye 8. cikkére és a 10. cikk (1) bekezdésére, a Büntető Törvénykönyvről szóló 2012. évi C. törvény (a továbbiakban: Btk.) 459. § (1) bekezdés 12. pontjára. Felhívta az Alkotmánybíróság 3145/2018. (V. 7.) AB határozata indokolásának [31]–[32], [46] és [48] bekezdéseit, a 165/2011. (XII. 20.), a IV/1368/2018. és a IV/316/2019. számú AB határozatokat, az Európai Unió Bíróságának (a továbbiakban: EUB) C-73/07., C-345/17. számú ítéleteit, valamint az Emberi Jogok Európai Bírósága (a továbbiakban: EJEB) 13778/88. 1999., 21980/93. 1999. és 931/13. 2017. számú döntéseit.
[13] A határozat alapvetése az, hogy az Adatkezelés 1. és Adatkezelés 2. a GDPR hatálya alá tartozik, azok vonatkozásában az I. rendű felperes adatkezelőnek minősül. Az II–IV. rendű felperesek neve, tulajdonosi és ügyvezetői pozíciója közérdekből nyilvános adat. Vállalkozásuk több országban piacvezető, az üzleti világnak mint a közélet egy szegmensének aktív alakítójává váltak, az értékeléseket és a bírálatokat nagyobb türelemmel kell viselniük. A vállalkozás állami támogatásból végrehajtott beruházásai szintén közérdekből nyilvános adatot képeznek. A II–IV. rendű felperesek az adatkezelés során megjelölt családnév, generációk száma és a cégnyilvántartás adatai alapján pontosan beazonosíthatók, más családtagok nem tartozhatnak e körbe.
[14] A II–IV. rendű felperesek gazdasági tevékenységéből származó vagyona, a vállalkozás becsült értékének közlése véleményközlés.
[15] Az I. rendű felperes által megjelölt adatkezelési cél (a sajtószabadságból fakadó jogok gyakorlása, tájékoztatási tevékenység megvalósítása révén az üzleti élet átláthatóságához, követhetőségéhez való hozzájárulás és a vállalkozói kultúra erősítése) figyelembevételével az adatkezelés nem sérti a célhoz kötöttség elvét. A tárgybeli ún. gazdaglisták összeállítása nem tartozik a sajtó közéleti „őrkutya” („watchdog”) szerepköréhez, konkrét közéleti vitához. Az I. rendű felperes tevékenysége nem gazdasági újságírás, hanem – konkrét tényfeltárás, oknyomozás hiányában – „pletykaéhséget” elégít ki.
[16] Az adatkezelés jogalapja körében megállapította, a gazdaglisták összeállítása nem közérdekű feladat, következésképpen, valamely jogszabály által közfeladatnak minősített tevékenységhez kapcsolódó adatkezelés hiányában a GDPR 6. cikk (1) bekezdés e) és a 17. cikk (3) bekezdés b) pontjaiban foglaltaknak nem feleltethető meg. Egyéb jogalap hiányában az adatkezelés a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdeken alapulhat. Erre pedig akkor kerülhet sor, ha az adatkezelő előzetesen elvégzi a GDPR [47] preambulum bekezdésében szereplő érdekmérlegelést, és ennek eredményeképpen az adatkezelő vagy harmadik fél jogos érdeke felülmúlja az érintett adatkezelés révén érő esetleges hátrányait.
[17] A GDPR 13. cikk (1) bekezdés d) és 14. cikk (2) bekezdés b) pontjaiban dokumentált háromlépcsős érdekmérlegelés során azonosítani kell az adatkezelő jogos érdekét, az ellenpontot képező alanyi érdeket és az érintetti alapjogot, majd ezek súlyozását követően lehet következtetni arra, hogy mely jogos érdek élvez elsőbbséget.
[18] A kezelt személyes adatok nem a II–IV. rendű felperesek családi és magánéletével, hanem a gazdasági-üzleti életben elért eredményeivel, az érdekkörükbe tartozó vállalkozás tevékenységével állnak összefüggésben. A közérdekből nyilvános személyes adataikon, a vagyon, illetve a vállalkozás becsült értékén túl személyes adatkezelés nem történt, az nem haladta meg a szükséges és arányos mértéket, továbbá összeegyeztethető az adatkezelés céljával. Ezáltal a GDPR 5. cikk (1) bekezdés b)–e) pontjaiban meghatározott elvek nem sérültek. Mivel azonban az I. rendű felperes az érdekmérlegelést nem megfelelően végezte el, és nem nyújtott teljes körű előzetes tájékoztatást saját és a nyilvánosság érdekének a II–IV. rendű felperesek jogos érdekével történő összevetésének eredményéről, sértette a GDPR 6. cikk (1) bekezdés f) pontját és 5. cikk (2) bekezdését.
[19] Az érintetti jogok biztosítása körében azzal érvelt, az I. rendű felperes az Adatkezelés 1. során előzetesen megjelölte a II–IV. rendű felperesek számára a kezelt személyes adatokat, az adatkezelés célját (a közvélemény tájékoztatása és a sajtószabadsághoz való jog gyakorlása), az adatok forrását (nyilvános adatbázisok, közzétett adatok), a becslés módszertanát, az adatkezelés időtartamát, a sajtótermék megjelenése utáni adattörlést, valamint a lista elkészítésében közreműködő munkatársakat; az Adatkezelés 2. vonatkozásában a fentieken túl adatkezelési célként, jogalapként a GDPR 6. cikk (1) bekezdés f) pontját, a nyilvánosság tájékoztatását a vállalkozás által felhasznált állami támogatásról és a MNB kötvényprogramjában történő részvételről, így a GDPR 13. cikkében foglaltak nem sérültek.
[20] Kimondta azt is, az I. rendű felperes profilalkotást valósított meg. Mindezek ismeretében nem adott kellő tájékoztatást az adatkezelés céljáról és jogalapjáról, az adatkezelő vagy harmadik fél jogos érdekéről és az érdekmérlegelés eredményéről, a profilalkotás várható következményeiről, az érintetti és panasztételi jogokról, ezért nem megfelelően tett eleget az előzetes tájékoztatási kötelezettségének, amellyel megsértette a GDPR 5. cikk (1) bekezdés a) pontját és 14. cikkét.
[21] Az I. rendű felperes nem tájékoztatta a II–IV. rendű felpereseket a profilalkotás várható következményeiről, az érintetti és a panasztételi jogról, amellyel megsértette a GDPR 15. cikkét.
[22] A II–IV. rendű felperesek tiltakozása előtt az I. rendű felperes nem tett eleget az GDPR 21. cikk (4) bekezdésében foglaltaknak. Ugyanakkor a II–IV. rendű felperesek tiltakozásuk során csak általánosságban hivatkoztak a Ptk. és az Mvtv. rendelkezéseire, családjuk biztonsági helyzetére, közszereplői minőségük hiányára, ezért az I. rendű felperes nem volt azon egyedi információk birtokában, amelyek alapulvételével az egyedi érdekmérlegelést elvégezhette volna. Nem követett el jogsértést azáltal, hogy nem végzett egyedi érdekmérlegelést; ugyanakkor nem nyújtott tájékoztatást a tiltakozásra és az adatkezelés korlátozására irányuló kérelem nyomán megtett intézkedéseiről, a jogorvoslati lehetőségekről, jogsértő módon nem tett eleget a GDPR 12. cikk (1) és (4) bekezdéseiben meghatározott kötelezettségének. A Forbes honlapján elérhető általános adatkezelési tájékoztató közzététele, valamint a kérelmező jogi képviselővel történő eljárása e kötelezettsége alól nem mentesítette.
[23] A II–IV. rendű felperesek kérelme nyomán megállapította, a véleménynyilvánítás szabadsága és a tájékozódáshoz való jog gyakorlása körében a GDPR 17. cikk (3) bekezdés a) pontja alapulvételével a törléshez való jog nem érvényesíthető.
[24] A GDPR 58. cikk (2) bekezdés c)–d) pontjaira hivatkozással ajánlotta az I. rendű felperes számára a gazdaglistákon szereplő személyek neve helyett egyetlen betű, a tevékenységét bemutató szócikk helyett pedig minimális ágazati információ feltüntetését.
[25] Az adatvédelmi bírság kiszabása iránti kérelmet – az Ákr. 10. § (1) és 35. § (1) bekezdéseire hivatkozással – ügyfélképesség hiánya okán utasította el.
[26] A GDPR 83. cikk (2) és (5) bekezdései, valamint az Infotv. 75/A. §-a alapján a feltárt jogsértésekre tekintettel a figyelmeztetést nem ítélte arányos és visszatartó erejű szankciónak, ezért az I. rendű felperes adatkezelési gyakorlata felülvizsgálatának ösztönzése, a tudatos személyes adatkezelés kialakításának elősegítése érdekében prevenciós célból adatvédelmi bírságot szabott ki. E körben súlyosító körülményként vette figyelembe a GDPR 83. cikk (5) bekezdés a) és b) pontjaiban meghatározott jogsértések megvalósítását; azt, hogy a II–IV. rendű felperesek kérelmére sem sikerült megfelelő adatkezelést kialakítani, így hatósági közreműködésre volt szükség; a jogsértéseknek az I. rendű felperes hozzáállásából következtethető szándékos jellegét; azt, hogy a II–IV. rendű felperesek által jelzett hiányosságok ellenére üzleti tranzakció történt, és a károk enyhítésére csak bíróság által elrendelt ideiglenes intézkedés következtében került sor. Értékelte a Forbes világszintű ismertsége, elismertsége és a médiapiacon betöltött szerepe miatti, az adatkezelés jogszerűségéért és az átlátható tájékoztatásért fennálló kiemelt felelősségét. Enyhítő körülményként vette figyelembe a különleges személyes adatok kezelésének hiányát, azt, hogy a személyes adatok egyben közérdekből nyilvános cégadatok is, a vagyon-, illetve értékbecsléssel feltüntetett adatok pedig csak következtetések. Figyelembe vette, hogy az I. rendű felperessel szemben korábban nem állapított meg a személyes adatok kezelésével kapcsolatos jogsértést, ugyanakkor a perben támadott határozattal egyidőben hozott NAIH/2020/838/9. számú határozatban ugyanezen jogsértések miatt került sor bírság kiszabására.
A kereseti kérelmek
[27] Mind az I. rendű felperes, mind pedig a II–IV. rendű felperesek is eljárási és anyagi jogi jogsértésekre hivatkozással kérték az alperes határozatának bírósági felülvizsgálatát.
[28] Az I. rendű felperes keresetében elsődlegesen a jogerős határozat megváltoztatásával a GDPR 6. cikk (1) bekezdés e) pontjának megfelelő adatkezelés jogszerűségének, ebből fakadóan az érdekmérlegelés szükségtelenségének, a III–IV. rendű felperesek és közeli hozzátartozójuk ügyféli jogállása hiányának a megállapítását, a II–IV. rendű felperesek kérelme elutasítását kérte. Indítványozta annak a megállapítását, hogy tájékoztatási kötelezettségének és a GDPR 21. cikk (4) bekezdésében foglaltaknak eleget tett. Kérte a támadott határozat utasításának mellőzését és az adatvédelmi bírság törlését. Másodlagosan a határozat megsemmisítését és az alperes új eljárásra kötelezését, míg harmadlagosan a határozat megváltoztatásával az adatvédelmi bírság mellőzését, negyedlegesen a bírság összegének mérséklését indítványozta.
[29] A II–IV. rendű felperesek keresetükben a határozat megsemmisítését és az alperes új eljárásra kötelezését kérték.
Az elsőfokú bíróság ítélete
[30] A törvényszék ítéletével a felperesek keresetét elutasította.
[31] Elöljáróban rögzítette, az I. rendű felperes az Adatkezelés 1. és az Adatkezelés 2. vonatkozásában a GDPR 4. cikk 2. pontjában foglaltaknak megfelelő adatkezelést végzett.
[32] A felek által hivatkozott eljárási jogszabálysértéseket részben alaptalannak találta.
[33] Megállapította, hogy a III–IV. rendű felperesek, valamint közeli hozzátartozójuk ügyféli jogállással rendelkeztek az Infotv. 60. § (1) bekezdése és az Ákr. 10. § (1) bekezdése értelmében. Alaptalannak találta az I. rendű felperes azon állítását, hogy a határozat rendelkező részének 1.1. és 1.2. pontjai egymással átfedésben lennének, és hogy azok többletelemet nem tartalmaznak, mivel eltérő az egyes pontok jogalapja. A GDPR 77. cikk (1) bekezdése és az Infotv. 60. § (1)–(2) bekezdései alapján lefolytatott adatvédelmi hatósági eljárásban a 83. cikk (4)–(6) bekezdéseiben felsorolt rendelkezések megsértése miatt helye van közigazgatási bírság kiszabásának, ebből következően az érintetti rendelkezések megsértése külön is megállapítható. A GDPR 57. cikk (1) bekezdés b) és d) pontjában foglaltakból nem következik, hogy az alperesnek az egyes adatkezelői csoportokra – különösen a sajtóra – vonatkozóan sajátos és egyedi tájékoztatót kellene készítenie és azt közzétennie. Az alperes feladatkörébe nem tartozik bele a sajtó széles körű tevékenységének a beazonosítása, alapvető funkcióinak behatárolása.
[34] Az elsőfokú bíróság tényként fogadta el, hogy az alperes elmulasztotta az Infotv. 60/A. § (6) bekezdésében és a GDPR 77. cikk (2) bekezdésében előírt értesítési és tájékoztatási kötelezettségét. Ez az eljárási szabálysértés azonban nem olyan mértékű, amely kihatott az ügy érdemére. A II–IV. rendű felperesek a perben nem tudtak felhozni olyan bizonyítékot, amelyet az alperes a tényállás megállapítása során figyelmen kívül hagyott volna, védekezéshez való joguk nem sérült.
[35] Szintén alaptalan a II–IV. rendű felpereseknek az alperes tényállás tisztázási kötelezettség megsértésére vonatkozó vitatása. Az egyenlő bánásmód követelménye megsértésének vizsgálatára az alperes sem a GDPR, sem pedig az Infotv. rendelkezései alapján hatáskörrel nem rendelkezett.
Az anyagi jogi kifogások
[36] Ezt követően az elsőfokú bíróság az anyagi jogi kifogásokat vizsgálta. E körben döntését elsődlegesen arra alapította, hogy az I. rendű felperes adatkezelésének jogalapja a GDPR 6. cikk (1) bekezdés f) pontja. Habár az I. rendű felperes tevékenysége kapcsolódik az Alaptörvényben meghatározott tájékoztatáshoz fűződő alapjoghoz, attól az még nem minősül jogszabályban meghatározott közérdekű tevékenységnek. A sajtó feladata az Alaptörvényben védett alkotmányos alapjogok biztosításához szükséges, védelemre szorul és ahhoz elengedhetetlen az adatkezelés, hogy ebbéli feladatát el tudja látni. Az, hogy az I. rendű felperes az adatkezelések során alkotmányos feladatkörében járt el, nem azonos azzal, hogy közérdekű feladatot hajtott végre. A magyar jog alapján valamely jogszabály által közfeladatnak minősített tevékenységhez kapcsolódó feladat az I. rendű felperes tevékenysége során nem állapítható meg.
[37] Hangsúlyozta, a közigazgatási perben eljáró bíróság feladata kizárólag annak vizsgálata volt, hogy az ügy tényállása mellett az I. rendű felperes tevékenysége ellehetetlenül-e a GDPR szabályainak alkalmazása révén. Azt azonban nem vizsgálhatta, hogy a sajtó alkotmányos feladatának ellátásához szükséges jogszabályi rendelkezések megalkotását a magyar jogalkotó elmulasztotta-e, azaz nem egyeztette össze a véleménynyilvánítás és a tájékozódás szabadságára vonatkozó szabályokat a személyes adatok védelmére vonatkozó szabályokkal. A 6. cikk (1) bekezdésének f) pontjában foglalt jogos érdek megállapításához azonban mindenképpen szükséges az érdekek mérlegelésének elvégzése, melynek eleget téve az I. rendű felperes tevékenysége nem lehetetlenül el.
[38] Az adatkezelés céljának vizsgálata kapcsán az eljárt bíróság kifejtette, az Adatkezelés 1. és Adatkezelés 2. végeredményeként megjelent sajtótermékek értéksemlegesek. Azok az értékbecsléssel kapcsolatos szándékos elferdítést, a sajtótermékek megjelenéséhez kapcsolódó erkölcsi vagy társadalmi negatív értékítéletet, ezekkel összefüggő értékelhető tényeket nem tartalmaznak.
[39] Egy működő vállalkozás piaci értékének a meghatározása valamennyi üzleti információ birtokában sem lehet teljesen pontos, az kizárólag nyilvános információkra támaszkodva adott becslés. Ezáltal az I. rendű felperes tevékenysége, az eredmények sajtótermékben való közlése az üzleti–gazdasági újságírás körébe tartozó tevékenység. Kiemelt jelentősége van a közvélemény tájékoztatásának a közpénzek magánvállalkozások fejlesztése érdekében történő felhasználásáról, amelynek célja nem a közvélemény pletykaéhségének kielégítése, hanem a sajtó „közéleti őrkutya” szerepköréhez kapcsolódik. Az érdekmérlegelést a jogalkotó azáltal, hogy az Infotv. 3. § 6. pontjának megfelelően a Ctv. 10. § (2) bekezdésében meghatározott teljes körű nyilvánosságot biztosította a cégadatokról, nem végezte el. A teljes körű nyilvánosság az adatok megismerésének jogát jelenti, amely nem foglalja magában azok kezelésének jogát és a kezelés során ezen adatokból más jellegű, adott esetben személyes adatokra történő következtetések levonását. Az érdekmérlegelés szabályszerű elvégzése mintájaként hivatkozott az Adatvédelmi Munkacsoport WP217. számú véleményére.
[40] Megítélése szerint az I. rendű felperes érdekmérlegelése nem volt megfelelő, az „féloldalasra” sikerült, teljeskörűsége nem dokumentált. Nem vette számba az érintettek valamennyi lehetséges jogos érdekét és az érdekek összevetésével is adós maradt. Hangsúlyozta, a teljes körű érdekmérlegelés hiányában a jogos érdek fennállhat ugyan, azonban az annak megállapításához szükséges adatkezelői aktív tevékenység elvégzése nem igazolható. Minden érintettnek egyedi tájékoztatást kellett volna kapnia a GDPR 14–15. cikkeiben foglaltakról, azonban a tájékoztatás hiányossága miatt nem ellenőrizhető a 14. cikk (3) bekezdésében foglalt határidők megtartottsága, nem nevesített az adatkezeléssel érintettek köre. A tájékoztatások nem terjedtek ki a 14. cikk (1) bekezdésének a), b) és d) pontjaiban, a (2) bekezdés c), e) és f) pontjaiban foglaltakra. Elmaradt az érintettek tájékoztatása a 15. cikk (1) bekezdésének b), e), f) és g) pontjaiban foglaltakról, az I. rendű felperes nem bocsátotta a II–IV. rendű felperesek részére a 15. cikk (3) bekezdés 1. mondatában foglaltakat.
[41] Nem osztotta az I. rendű felperes azon érvelését, hogy a Forbes honlapján közzétett általános adatkezelési tájékoztatóban szereplő érintetti jogérvényesítési lehetőségek pótolták volna ezen hiányosságot. Az I. rendű felperest ugyanis aktív tájékoztatási kötelezettség terheli. Az alól pedig az sem mentesíti, hogy a II–IV. rendű felperesek jogi képviselővel jártak el.
[42] A törvényszék vizsgálta az adatkezelés formáját is, kimondva, hogy sem az Adatkezelés 1, sem az Adatkezelés 2. nem tekinthető a GDPR 4. cikk 4. pontjában meghatározott profilalkotásnak. Az I. rendű felperes ezáltal nem volt köteles a profilalkotásról tájékoztatást sem nyújtani. Ugyanígy alaptalannak találta az I. rendű felperes arra vonatkozó kereseti érvelését, hogy a közérdekből nyilvános adatok tekintetében nem értelmezhető a GDPR 21. cikkében megfogalmazott tiltakozáshoz való jog. A bíróság hangsúlyozta, a természetes személy II–IV. rendű felperesek személyes adatainak kezeléséről van szó, amely személyes adatok védelméhez való jog konkurál az I. rendű felperes sajtótevékenységéhez fűződő alkotmányos alapjoggal. Nem lehet egyetlen alkotmányos alapjognak sem olyan értelmet adni, hogy kizárja az I. rendű felperes tájékoztatási kötelezettségét a tiltakozáshoz való joggal összefüggésben. Mindezek kapcsán a második, egyediesített érdekmérlegelés eredményeképpen kell azt eldönteni, hogy az adatkezelés fenntartható-e, mivel a 21. cikk (1) bekezdése alapján az adatkezelőt terheli annak bizonyítása, hogy saját kényszerítő erejű jogos érdekei elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben. Amennyiben a megfelelő tájékoztatást az adatkezelő elmulasztja, megakadályozza az érintettet a tiltakozáshoz való jogának gyakorlásában.
[43] Megfelelőnek találta az alperes adatvédelmi bírság kiszabása körében tett intézkedését, a bírság összegének meghatározását. Értékelte, hogy az alperes figyelembe vette az I. rendű felperes gazdasági teljesítőképességét, egyenként és tételesen vizsgálta, hogy mely körülmények relevánsak és irrelevánsak, górcső alá vette az I. rendű felperes javára és terhére értékelhető körülményeket.
[44] Az elsőfokú bíróság az I. rendű felperes indítványa alapján az EUB előzetes döntéshozatali eljárását nem kezdeményezte, mivel a javasolt kérdés nem az uniós jog vagy valamely rendelkezés értelmezésére irányult.
[45] Ezt követően a bíróság vizsgálta a II–IV. rendű felperesek anyagi jogi érveit. Egyetértett velük abban, hogy nem közszereplők, ezért az Alaptörvény VI. cikk (1) bekezdésében és a IX. cikk (4) bekezdésében foglalt alapjogaik korlátozása kizárólag szűk körben lehetséges. Ennek okán vizsgálni kellett a kezelt személyes adatok jellegét, az adatkezelés célját, szükségességét és annak arányosságát. Rámutatott, a Kúria Pfv.IV.20.531/2020/4. számú ítéletében is kimondta, az információs önrendelkezési jog (a személyes adatok védelméhez való jog) mint alapjog korlátozható. A gazdasági élet azon szereplőinek, akik ezen tevékenységük során közpénzt, közvagyont használnak fel, számolniuk kell azzal, hogy kritika alanyává válhatnak, amelyet a közszereplőkhöz hasonló mértékben kell eltűrniük (Pfv.IV.21.116/2019/10.).
[46] A Kúria Pfv.IV.20.096/2018/5. számú döntésének indokolására utalva kifejtette, bár a II–IV. rendű felperesek nem minősülnek közszereplőknek, a közpénzt és a közbeszerzést érintő ügyek kapcsán személyük közérdeklődésre tarthat számot, tűrési kötelezettségük határai tágabbak.
[47] A II–IV. rendű felperesekre vonatkozó adatkezelés kizárólag a gazdasági–üzleti életben elért személyes adataikra korlátozódott, családi és magánéletükkel azok nem álltak összefüggésben. A Ctv. adatai közérdekből nyilvános személyes adatok és a vagyon, illetve a vállalkozás becsült értékén túl adatkezelés nem történt, így a GDPR 5. cikk (1) bekezdésének b–e) pontjában foglalt alapelvekkel összhangban a szükséges és arányos mértéket az I. rendű felperes nem lépte túl.
[48] Kimondta azt is, jelen esetben az adatkezeléshez kapcsolódó jogos érdek elsőbbséget élvez a II–IV. rendű felperesek jogos érdekével szemben. A II–IV. rendű felperesek magánélethez fűződő joga nem sérült, a megjelent tényadatok negatív értékítéletet nem közvetítettek, ezáltal nem tartotta relevánsnak a magyar társadalom gazdagokkal szemben megfogalmazott ellenérzéseiről, negatív viszonyulásáról és a bűnözők érdeklődésének esetleges felkeltéséről előadott II–IV. rendű felperesi hivatkozásokat. A társadalom sajátos hazai gondolkodásmódja nem releváns az ügyben.
[49] Az adatkezelés jogalapjára a GDPR és nem az Infotv. rendelkezéseit kell alkalmazni, ezért az Infotv. 26. § (2) bekezdésére hivatkozás sem lehetett mérvadó.
[50] Az egyediesített érdekmérlegelés hiánya kapcsán hangsúlyozta, a GDPR [47] preambulum bekezdésében és a 6. cikk (1) bekezdés f) pontjában foglaltak szerint elvégzett előzetes érdekmérlegelés szükségszerűen általános jellegű, az adatkezelő csak az érintettek előzetesen felismerhető jogos érdekeit tudta számba venni. A II–IV. rendű felperesek a saját helyzeteikkel kapcsolatos indokaikat nem tárták az I. rendű felperes felé, ezért az általánostól eltérő egyediesített érdekmérlegelés elvégzése objektív okból nem volt lehetséges, az alperes alappal állapította meg a jogsértés hiányát.
[51] Az adatkezelésnek a GDPR 18. cikk (1) bekezdés d) pontja szerinti korlátozására nem kerülhetett sor, mert a korlátozás végső időpontját a 21. cikk (1) bekezdésének megfelelően elvégzett egyediesített érdekmérlegelés eredménye szabja meg. Következésképpen, ha az nem végezhető el, úgy az adatkezelés korlátozásának nincs helye. Az adatkezelések a sajtótermékek megjelenését követően megszűntek, az I. rendű felperes a II–IV. rendű felperesek személyes adatait törölte.
[52] Nem sérült az GDPR 5. cikk d) pontjában rögzített pontosság elve sem, e körben a II–IV. rendű felperesek előadásaikat nem kívánták bizonyítani. Rámutatott, különbséget kell tenni a véleményként és a tényként közölt adatok között. A sajtótermékben megjelent becslés mint megközelítő vagy hozzávetőleges adat egy újságírói elemzés eredményeként született vélemény, amely szükségszerűen pontatlan és a becsült összegnek a vagyon tényleges összegétől való eltérésének mértéke nem volt megállapítható.
[53] A II–IV. rendű felperesekről alkotott vélemény nem személyes adat, így annak jogsértő jellegét kizárólag a személyiségi jogok megsértésének körében állapíthatja meg polgári bíróság. A vagyonbecslés eredményétől eltérően, az abból levont következtetések, vagyis azok a tényállítások, hogy a családi vállalkozás az 50 legnagyobb értékű magyar vállalkozás egyike, vagy, hogy a II. rendű felperes az 50 leggazdagabb magyar egyike, már személyes adatok. A cégadatokból előállított adatok, vagyis az I. rendű felperes következtetésének helyessége mind a tiltakozás, mind a közigazgatási eljárás során legalább megközelítő, vagy nagyságrendi adatok közlésével cáfolható lett volna, amelyet azonban a II–IV. rendű felperesek nem tettek meg. Azt azonban tényként rögzítette, hogy habár a III–IV. rendű felperesek a tárgyi időszakban nem voltak a családi vállalkozás tulajdonosai, csak ügyvezetői, az adatkezelés egy családi vállalkozás értékét és nem a teljes család vagyonát becsülte fel, így azon adatok pontatlansága sem állapítható meg. A GDPR 5. cikk (1) bekezdés d) pontjában előírt pontosság követelménye vélemény esetén nem értelmezhető, éppen azért, mert a természetes személyről megfogalmazott vélemény nem az adott természetes személy személyes adata. A természetes személyre vonatkozó bármely információkezelés szabályszerűsége vizsgálatára az alperes rendelkezik hatáskörrel, ellenben a természetes személyről mondott vélemény vagy tényállítás esetleges jogsértő voltának a megállapítására kizárólag a polgári bíróság jogosult.
[54] Az elsőfokú bíróság a személyes adatok automatizált állományait, illetőleg azok gépi feldolgozását sem állapította meg.
[55] A bíróság a II–IV. rendű felperesek előzetes döntéshozatali eljárás kezdeményezésére vonatkozó indítványát elutasította, mivel a GDPR 12–14. cikkei, valamint 21. cikk (1) bekezdésének az ügyben releváns értelme egyértelműen megállapítható volt. Az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 11. cikke érvényesülésének biztosítását a GDPR 85. cikke a nemzeti jogalkotás körébe utalta, a nemzeti jogszabályok értelmezése nem az EUB hatásköre.
Az I. rendű felperes felülvizsgálati kérelme
[56] Az I. rendű felperes felülvizsgálati kérelmében a jogerős ítélet megváltoztatását és az alperes határozatának megsemmisítését kérte. Elsődleges álláspontja szerint az adatkezelése jogszerű volt a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalapon. Erre tekintettel nem terheli érdekmérlegelési, dokumentálási és az erről való előzetes tájékoztatási kötelezettség.
[57] Másodlagosan – amennyiben a Kúria a GDPR 6. cikk (1) bekezdés f) pontjának jogalapját megalapozottnak tartaná – úgy kérte a jogerős ítélet megváltoztatását, az alperes határozatának megsemmisítését, figyelemmel arra, hogy az elsőfokú bíróság téves következtetésre jutott a körben, hogy nem tett eleget előzetes érdekmérlegelési és tájékoztatási kötelezettségeinek. Harmadlagosan a kiszabott bírság mellőzését, illetve annak mérséklését indítványozta.
[58] Kifejtette, a perbeli jogvita tárgya, hogy a gazdasági újságírás közérdekű feladatnak minősül-e vagy sem, így a sajtószervek által ilyen tevékenységek körében végzett adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés e) vagy f) pontja, és ekként milyen kötelezettségek hárulnak az adatkezelést végző sajtószervekre. Az alperes elvárása a médiaszolgáltatók mindennapos tájékoztatási gyakorlatától eltér, az rendkívüli adminisztratív terheket ró rájuk, ellehetetlenítve a sajtó működését.
[59] Eljárási jogsérelem körében kifejtett érvelése szerint a jogerős ítélet nem orvosolta az alperesi határozat alaki hibáját, a rendelkező rész 1.1. és 1.2. pontjainak átfedéseit. A GDPR 6. cikk (1) bekezdés f) pontja semmilyen rendelkezést nem tartalmaz az érdekmérlegeléssel kapcsolatban, így a határozat 1.1. pontja helytelen jogalapot jelöl meg, és az az 1.2. ponthoz képest redundáns.
[60] Vitatta a jogerős ítélet III–IV. rendű felperesek ügyféli jogállásával kapcsolatos megállapításait, hiszen ezen természetes személy felperesek nevét és az érdekkörükbe tartozó vállalkozás adatait nem kezelte. Az eljárt bíróság ezzel a kérdéssel nem foglalkozott és tényként kezelte III–IV. rendű felperesek érintetti státuszát és perbeli legitimációját, amely a GDPR 4. cikk (1) bekezdése szerinti érintett fogalmának nem felel meg.
Az adatkezelés jogalapja
[61] Az I. rendű felperes érvelése szerint téves a törvényszék azon megállapítása, hogy ne jelölt volna meg olyan jogszabályt, amely a GDPR [45] preambulum bekezdése szerinti jogalapnak tekinthető, mivel hivatkozott az Smtv. 10. §-ára. Az Alkotmánybírósághoz még nem jutott el olyan ügy, amelyben a sajtó adatkezelése mentén határozta volna meg az adatkezelés jogalapjával kapcsolatos alkotmányos szempontokat. Ugyanakkor a bíróság jogalkalmazási feladata, hogy az Alaptörvény 28. cikkével összhangban döntse el a pert. Ebből a szempontból irreleváns, hogy az I. rendű felperes által hivatkozott alkotmánybírósági határozatok személyiségi jogi kérdések mentén születtek.
[62] Téves a törvényszéknek a közérdekű feladat fogalmával kapcsolatos jogértelmezése. Ezt a fogalmat ugyanis a jogszabályok nem határozzák meg és a joggyakorlat sem dolgozta ki, ugyanakkor a közügyek köre sokkal szélesebb a politikai ügyeknél (28/2014. (IX. 29.) AB határozat [37]). A sajtó tájékoztatási tevékenysége közérdekű tevékenység, az ehhez kapcsolódó adatkezelés közérdekű feladatból végzett adatkezelés. Magyarország Alaptörvénye elismeri a személyes adatok védelméhez való jogot, a közérdekű adatok nyilvánosságát, a sajtószabadságot és a sajtó sokszínűségét. A sajtó szerepe felértékelődik a közéleti véleménynyilvánítás körében, mivel a társadalmi, politikai viták éppen abból állnak, hogy a közélet szereplői, illetve a közvitában résztvevők egymás elképzeléseit, politikai teljesítményét és azzal összefüggésben egymás személyiségét bírálják. A sajtó alkotmányos küldetése, hogy a közhatalom gyakorlóit ellenőrizze. Az Alkotmánybíróság tehát döntéseiben a sajtó alkotmányos küldetéséről beszél: ez az alkotmányos küldetés (a tájékoztatás), a közönség jogainak a biztosítása közérdekű, és semmiképpen sem pusztán magánérdekű tevékenység. A sajtó fő funkciói a közhatalom ellenőrzése, a véleményformáláshoz információ biztosítása, közvélemény formálása a demokrácia alapvető elemei, amelyhez kapcsolódó adatkezelés a köz érdekében történik.
[63] A GDPR 6. cikk (1) bekezdés e) pontja két esetkört fed le: ha az adatkezelő közhatalmi jogosítványt gyakorol vagy, ha az adatkezelés közérdekű feladat gyakorlásához szükséges. Ez utóbbi esetben nem közhatalmi jogosítványról, hivatali hatáskör gyakorlásáról van szó, hanem szélesebb értelemben vett közérdekű tevékenység végzéséről. A GDPR egyértelműen fogalmaz a tekintetben, hogy az állami szervek által ellátott közfeladatokon túl is léteznek olyan közérdekűnek minősülő tevékenységek, amelyek megfelelő jogalapul szolgálhatnak az adatkezelés számára. A törvényszék azonban nem adta érdemi indokát annak, hogy az Smtv. 10. §-a miért nem tekinthető olyan jogszabálynak, amely közérdekű feladat jogszabályi alapjaként értelmezhető.
[64] Hangsúlyozta, az alperes által felhívott Puskar ügyben (C-73/16.) nem volt alapjogi kollízió, az abban az ügyben érintett adóhatóság nem alapjogi jogalany. A jogerős ítélet tévesen értelmezi a GDPR-ban foglalt közérdekű tevékenységek körét, és abszurd módon az újságírást egyszerű magánérdekként kezeli. Ezzel szemben a helyes jogértelmezés az, hogy a sajtó a feladatainak a teljesítésekor közérdekű feladatot lát el, ezért az ehhez kapcsolódó adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés e) pontja.
[65] A felperes munkavállalói kizárólag nyilvánosan elérhető adatbázisok alapján állították össze listájukat, az újságírói tevékenység pedig azt a hozzáadott értéket adja ezen adatbázisokhoz, amely a laikus polgárok számára segít értelmezni és összegezni az egyébként nyilvánosan elérhető, hatalmas mennyiségű információt. A lista elkészítése tehát már önmagában is közérdekű tevékenység.
[66] A sajtó „watchdog” szerepének gyakorlása egyúttal azt jelenti, hogy az Smtv. 10. §-ával összhangban közérdekű feladatot teljesít. Az I. rendű felperes ezen túl hivatkozott a Ptk. 2:44 §-ára, arra, hogy a per tárgyát képező adatkezelés a közügyek szabad vitatását biztosító alapjog gyakorlásának minősül. Ezáltal a véleménynyilvánítási szabadsága magasabb szintű oltalmat élvez.
[67] A véleményszabadság fókuszában elsősorban a közügyek és nem a közszereplők állnak, ezért a nyilvános közlés minősítése során nem a véleménynyilvánítással érintett személyéből kell kiindulni, hanem azt kell vizsgálni, hogy a közlés közügyek, közéleti kérdések vitatására vonatkozik-e.
Az érdekmérlegelési és tájékoztatási kötelezettség sajtószabadságra való hatása
[68] A GDPR 6. cikk (1) bekezdés f) pontján nyugvó jogalap olyan terhet ró a sajtóra, amely nem feleltethető meg a józan észnek és közjónak, a sajtót a tevékenysége hatékony ellátását ellehetetlenítő mértékig akadályoztatja. Az újságírás kapcsán elvárt egyedi érdekmérlegelés és az erről történő előzetes tájékoztatás összeegyeztethetetlen a sajtó működésével, az ezzel járó munka és adminisztrációs teher veszélyezteti a médiaszolgáltatók működését és az Smtv. szerinti feladatok ellátását. Nem feleltethető meg azon elvnek, hogy a sajtó működése, közlése időszerű, a közélet aktualitásához igazodó. A legtöbb sajtótartalom alapja személyes adat, a határozati előírás a hírérték romlandóságával összeegyeztethetetlen késedelemhez vezetne a nyilvánosság tájékoztatása terén. Ellenben a 6. cikk (1) bekezdés e) pontján alapuló adatkezelés esetében nincs érdekmérlegelési kötelezettség, és a 14. cikk (5) bekezdése arra is lehetőséget ad, hogy a tájékoztatási kötelezettséget mellőzze az adatkezelő, ha a szóban forgó információk rendelkezésre bocsátása aránytalanul nagy erőfeszítést igényelne, vagy a kötelezettség valószínűsíthetően lehetetlenné tenné, illetve komolyan veszélyeztetné az adatkezelés céljainak elérését.
[69] A kezelt adatok közérdekből nyilvános adatok, amelyek mindenki számára megismerhető cégadatoknak is minősülnek. A Ctv. 10. § (2) bekezdésében végzett gazdasági újságírás keretében történő felhasználás e személyes adatok célhoz kötött adatkezelését jelenti. Vagyis a gazdasági szerepvállalás körében a személyes adatok egy körének nyilvánosságát maga a jogalkotó rendelte el. Tévesen hivatkozott a törvényszék az Adatvédelmi Munkacsoport WP217. számú állásfoglalására, mivel az már nem hatályos. A WP260 iránymutatás kapcsán azonban kifejtette, a bíróság jogellenesen nem értékelte a felperest terhelő tájékoztatási kötelezettséget az érintetteknek küldött levelek és az általános adatvédelmi tájékoztató együttes összevetésével. Ezáltal az elsőfokú bíróság nem végezte el a bizonyítékok értékelésére vonatkozó kötelezettségét, az ítélet nem tartalmaz indokolást azzal kapcsolatban, hogy az adatvédelmi tájékoztató miért nem tekinthető kielégítő tájékoztatásnak és ennek megfelelően érdekmérlegelésnek. A WP260 számú iránymutatás pedig kifejezetten azt javasolja, hogy online jelenlét esetében az adatkezelő online adatkezelési tájékoztatást adjon (24. bekezdés). Így amennyiben a bíróság együttesen értékelte volna az összes mellékletet és az adatvédelmi tájékoztatót, úgy megállapíthatta volna, hogy a tájékoztatás nem csupán kielégíti, de meg is haladja a GDPR 14. cikke szerinti elvárásokat.
[70] Súlyos eljárási hibaként értékelte, hogy az alperesi határozat a 15. cikk (1) bekezdés e) és g) pontjának, illetve a 15. cikk (3) bekezdésének a sérelmét nem állapította meg. A közigazgatási perben eljáró bíróságnak pedig nincs lehetősége a felülvizsgálni kért határozatot úgy helybenhagyni, hogy az indokolásban a határozathoz képest többletjogsértést állapít meg.
A profilalkotás
[71] Ellentmondó a törvényszék ítélete a profilalkotás körében, mivel a határozat jogkövetkezményeinek – a bírság kiszabásának is – helybenhagyása miatt az I. rendű felperesnek tájékoztatást kell adni a profilalkotásról, amit pedig a döntés értelmében nem végez. Ha az alperes határozata kis részben is jogszerűtlen – jelen esetben a profilalkotás kapcsán – akkor a bíróság nem teheti meg, hogy a kereset elutasítása mellett helybenhagyja a határozatot, mivel azáltal nem tölti be jogvédelmi funkcióját. Ez pedig egyértelműen kihatott a bírság mértékére is, mert a bíróság nem mérlegelte külön-külön a GDPR egyes cikkeit és alpontjait, így a profilalkotást sem. Az ezzel összefüggő tájékoztatási kötelezettség állítólagos megsértése azonban a bírság részét képezte, így, ha ez jogsértő, akkor a bírság kiszabása is.
Tiltakozási joggal kapcsolatos megállapítások
[72] A GDPR 17. cikk (3) bekezdés a) pontjára tekintettel nem lehet alkalmazni a 21. cikk (4) bekezdését. A törléshez való jog nem gyakorolható ugyanis, ha az adatkezelés szükséges a véleménynyilvánítás szabadságához és tájékozódáshoz való jog gyakorlása céljából. Jelen esetben az érintetteknek nincs joga a személyes adatainak törlését kérni az I. rendű felperestől. Márpedig nem lehet elvárás, hogy az adatkezelő egy olyan jog gyakorlásának lehetőségéről oktassa ki az érintettet, amely jog nem gyakorolható. Mindazonáltal az újságíró által legitimnek tartott és nyilvánosan elérhető adatok alapján közölt cikkben szereplő személy előzetes véleményét kikérni és a figyelmét hangsúlyosabban felhívni a tiltakozás jogára elodázhatja a sajtócikk megjelenését. Az adatkezelési tájékoztató 8.12. pontja kifejezetten tartalmazza a tiltakozási jogot, amelyet, mint csatolt bizonyítékot a bíróság nem értékelt.
Bírság kiszabása
[73] Az I. rendű felperes megítélése szerint a bírság összege aránytalan, az sérti a GDPR 83. cikkét. A bírság kiszabása generális prevenciós célokat nem szolgálhat. A bírságot ugyanis nem a lista tartalma miatt szabta ki az alperes, hanem az érdekmérlegelés, előzetes tájékoztatás és hozzáférési jog kapcsán állított jogsértések miatt. Ezért érthetetlen, hogy a lista tényleges tartalmával kapcsolatos alperesi elvárás milyen okból szerepelhet a bírság kiszabásának és mértékének indokai között. Jogszerűtlen magatartást lehet bírsággal sújtani, nem pedig az alperes által nem követendő tartalomszerkesztést.
Előzetes döntéshozatali eljárás kezdeményezése
[74] Egyidejűleg felülvizsgálati kérelmében az I. rendű felperes az EUB előzetes döntéshozatali eljárásának kezdeményezését indítványozta.
A II–IV. rendű felperesek felülvizsgálati kérelme
[75] A II–IV. rendű felperesek a törvényszék ítéletének az alperes határozatára is kiterjedő hatályon kívül helyezését és a kereseti kérelmüknek történő helytadást indítványozták.
[76] Megítélésük szerint a GDPR 6. cikk (1) bekezdésének sem az e) pontja, sem az f) pontja nem alkalmazható mint jogalap.
[77] Az f) pont közfeladat hiányában nem alkalmazható, mivel a gazdaglista nem a tényfeltáró újságírás körébe, hanem a bulvár kategóriába tartozik, amely esetben fel sem merülhet a közérdekből történő adatkezelés. Az f) pont azért nem alkalmazható, mert eredetileg az I. rendű felperes maga sem erre alapozta az adatkezelését.
[78] Az érintetti tiltakozást követően az adatkezelőt terhelte a jogos érdek bizonyítása, az egyediesített érdekmérlegelés elvégzését pedig nem korlátozhatja, hogy az érintett indokolja-e a tiltakozását, kifejti-e mögöttes érdeksérelmeit. Ha nincs egyediesített érdekmérlegelés, a személyes adatokat a tiltakozást követően a GDPR 18. cikk (1) bekezdése alapján korlátozni, majd pedig a 17. cikk (1) bekezdés c) pontja alapján törölni kellett volna. Ugyanakkor mivel az adatkezelés is jogszerűtlen volt, a GDPR 17. cikk (1) bekezdés d) pontja alapján az alperesnek el kellett volna rendelnie az adatok törlését. Pletykaéhséget kielégítő sajtótermék esetén a GDPR 17. cikk (3) bekezdés a) pontja nem korlátozhatja az információs önrendelkezési, valamint az Alaptörvény VI. cikk (1) bekezdés szerinti magánszférához való jogukat.
[79] A vagyonbecslés spekuláción alapult, annak eredménye nem valós volt, ezzel sérült a GDPR 5. cikk (1) bekezdés d) pontja, valamint a személyes adatok gépi feldolgozása során az 5. cikk d) pontja. Nem elvárható a II–IV. rendű felperesektől, hogy a jogsértő adatkezeléshez pontos adatokat szolgáltassanak, a pontatlanságot pedig az is alátámasztja, hogy a II. rendű felperes és a B. család teljes vagyona megegyezik, ami nem felel meg az Smtv. 10. § (1) bekezdésében foglalt pontos tájékoztatási kötelezettségnek.
[80] A határozat egyidejűleg sérti a GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elvét is.
[81] Jogszerűnek ítélik, hogy az elsőfokú bíróság megállapítása szerint az alperes elmulasztotta az Infotv. 60/A. § (6) bekezdésében, valamint a GDPR 77. cikk (2) bekezdésében előírt értesítési és tájékoztatási kötelezettségét, azonban álláspontjuk szerint ez az eljárási szabálysértés az ügy érdemére kihatott. Azon joguktól fosztotta meg az alperes őket, hogy előadhassák az érintetti érveiket, amelyeket sem az adatkezelő, sem a hatóság nem ismert és nem ismerhetett. Ezt a jogsértést pedig nem reparálja a döntés ellen biztosított jogorvoslati joguk.
[82] Súlyos hiányosságként és jogszabálysértésként értékelték, hogy az elsőfokú bíróság nem vizsgálta a GDPR 5. és 6. cikkének sérelmét a körben, hogy a jogszerű adatkezelés feltétele az, hogy tisztességes és jogszerű célból, meghatározott jogalap alapján történjen az adatkezelés. Kifejezett jelentősége annak van, hogy az adatkezelés első fázisa az adatgyűjtés, a profilozás, illetőleg az adatok rendezése hogyan történik. Ha az adatgyűjtés jogellenes, az erre alapított további adatkezelési művelet is az.
[83] Sérelmezték, hogy a törvényszék nem vizsgálta, személyes adatról van-e szó minden egyes gyűjtött és közölt információ tekintetében; volt-e célja az adatkezelésnek és ez a cél jogszerűnek minősül-e; az adatkezelés elengedhetetlenül szükséges-e a cél megvalósításához; van-e jogalapja az adatkezelésnek. Amennyiben mind a négy esetben megállapítható a jogszerűség, helyesen vizsgálta az alperes azt a kérdést, hogy teljesítette-e az I. rendű felperes az érintettek felé fennálló kötelezettségeit. Az elsőfokú bíróság azonban nem értékelte, hogy a hatóság az Ákr. 62. §-ában foglalt tényállás-tisztázási kötelezettségének sem tett eleget.
[84] Megítélésük szerint jogsértő az ítélet 69. pontja abban a tekintetben, hogy olyan védiratban szereplő érvelést fogadott el, amely nem tárgya az eredeti határozatnak. Nem kaptak lehetőséget arra, hogy kifejtsék, a GDPR 77. cikk megsértése körében milyen negatív hatásokat tapasztaltak, és magánéletüket hogyan korlátozta az I. rendű felperes kiadványában történő megjelenés.
[85] A pontosság elve azt követelné meg, hogy egy becsült információt személyes adat formájában jogszerűen ne lehessen közölni. Ugyanakkor az ítélet 82. pontja szerint a vélemény nem lehet személyes adat, ami nem más, mint a személyes adat fogalmának téves értelmezése. Ha ugyanis az érintettre vonatkozóan egy véleményre következtetést lehet levonni és ezáltal az érintett azonosítható, az a GDPR 4. cikk 1. pontja alapján személyes adat. Az alperes eseti döntéseire hivatkozással hangsúlyozták, egy adott „botránykrónika” az érintett magánéletére rendkívül negatív hatással van és a magánszféra védelméhez fűződő jog primátusa egyértelműen kell érvényesüljön.
Felülvizsgálati ellenkérelem
[86] Az alperes felülvizsgálati ellenkérelmében a jogerős ítélet hatályában történő fenntartását indítványozta.
A Kúria döntése és jogi indokai
[88] A felperesek felülvizsgálati kérelme – az alábbiak szerint – alaptalan.
[89] A felülvizsgálati eljárás kereteit a Kp. 115. § (2) bekezdése folytán alkalmazandó Kp. 108. § (1) bekezdése szerint a felülvizsgálati kérelem és az ellenkérelem jelöli ki. A Kp. 120. § (5) bekezdésére figyelemmel a felülvizsgálati eljárásban bizonyítás felvételének nincs helye, a Kúria a felülvizsgálati kérelem elbírálása során a jogerős határozat meghozatalakor rendelkezésre álló iratok és bizonyítékok alapján dönt.
[90] Figyelemmel arra, hogy mind I. rendű, mind II–IV. rendű felperesek felülvizsgálati kérelemmel éltek, a Kúria azokat együttesen vizsgálva, az adott jogsérelem kapcsán értékelte.
[91] A Kúria megállapította, az eljárt bíróság a pontosan és törvényesen megállapított tényállásból összességében helytálló jogi következtetéseket vont le. A felperesek keresetét minden vonatkozásában elemezte és elbírálta, ítéleti indokolása nagyobb részben megfelelő jogértelmezésen alapul, kellően részletes, okszerű és logikus érvelést tartalmaz. A kifejtett jogi álláspontot a Kúria nagyobb részben osztja, a felülvizsgálati kérelmekre figyelemmel a következőket hangsúlyozza.
Eljárási jogi jogsérelmek
[92] A természetes személyek személyes adatainak kezelésével összefüggő védelem mind az Európai Unió jogában, mind Magyarország Alaptörvényében biztosított alapvető jog.
[93] A Charta a személyes adatok védelmének deklarálásával közös európai hivatkozási alapot teremtett azáltal, hogy a 8. cikk (1) bekezdése – az EUMSZ 16. § (1) bekezdésével egyezően – rögzíti, mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.
[94] Magyarország Alaptörvénye VI. cikkének (3) bekezdése kimondja, hogy mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.
[95] A személyes adatok védelmének követelményrendszerét az Alkotmánybíróság már a GDPR hatályba lépését megelőzően, korai döntéseiben [15/1991. (IV. 13.) AB határozat] kidolgozta, hangsúlyozva, hogy azt nemcsak hagyományos védelmi jogként kell értelmezi, hanem annak aktív oldalát is figyelembe véve, információs önrendelkezési jogként. A magánélet védelmének része a személyes adatok védelméhez való jog.
[96] Ez a védelem a természetes személyeket állampolgárságuktól és lakóhelyüktől függetlenül megilleti az Európai Unióban.
[97] Ugyanakkor a GDPR hatályára vonatkozó rendelkezések szerint annak előírásai, a személyes adatok védelme kizárólag a természetes személyek adataival kapcsolatban értelmezhető, a perbeli esetben a jogi személy ilyen adatait, ekként a II–IV. rendű felperesek tulajdonában, illetve ügyvezetésük alatt álló cég adatait nem illeti meg ez a típusú védelem.
[98] Személyes adat a GDPR 4. cikkének 1. pontja értelmében az azonosított vagy azonosítható természetes személyre (a GDPR fogalomrendszerében érintettre) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható.
[99] Adatkezelésnek minősül a 4. cikk 2. pontja szerint a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
[100] A személyes adat fogalmának a meghatározásában szereplő bármely információ kifejezés az adatok széles körét foglalja magában, vagyis minden olyan információ személyes adatnak tekintendő, amely kötődik az egyénhez. Ezáltal a személyes adatok relációjával ebbe a körbe tartoznak az érintettre vonatkozó adatok, valamint az adatokból az érintett kontextusában levont következtetések is.
[101] Elemezve az Adatkezelés 1. és Adatkezelés 2. folytán megjelent sajtótermékek tartalmát megállapítható, az annak során végzett adatkezelési műveletek a GDPR 2. cikk (1) bekezdése értelmében a hatálya alá tartoznak, a GDPR mint európai uniós rendelet közvetlenül alkalmazandó.
[102] Nem vitatott, hogy a II. rendű felperes az Adatkezelés 2. esetében egyértelműen azonosítható, érintett, ügyfélnek minősül. A Kúria ugyanakkor – az elsőfokú bírósággal egyezően – alaptalannak találta az I. rendű felperes azon hivatkozását, hogy a III–IV. rendű felperesek ügyféli jogállással ne rendelkeztek volna.
[103] A személyes adatok védelméhez fűződő jog alanyát érintettnek nevezzük. Érintett a fentiekben meghatározott definíció alapján bármely olyan meghatározott természetes személy lehet, aki a személyes adata alapján akár közvetetten is, de beazonosítható. Közvetetten akkor válik azonosíthatóvá, ha bizonyos információk összessége alapján meghatározható, behatárolható a személye. Ez megtörténhet akként is, hogy az adott információt más információkkal összekapcsolva másoktól megkülönböztethetővé teszi.
[104] Az Adatkezelés 1. eredményeképpen megjelent sajtótermékben az I. rendű felperes a II–IV. rendű felperesek családnevét és a család két generációját tüntette fel, amelynek alapulvételével a nyilvános cégadatokból a III–IV. rendű felperesek, illetve közeli hozzátartozójuk is egyértelműen, név szerint beazonosíthatóak voltak. Az I. rendű felperes ugyanezeket a nyilvános cégadatokat használta fel az Adatkezelés 2. vonatkozásában is, amely adatkezelések során szükségszerűen jutott a III–IV. rendű felperesek és közeli hozzátartozójuk személyes adatainak birtokába. Személyes adataikat a GDPR 4. cikkének 2. pontja értelmében kezelte, ezáltal érintettként az Infotv. 60. § (1) bekezdése és az Ákr. 10. § (1) bekezdése alapján ügyféli jogállással rendelkeztek.
[105] Alaptalan az I. rendű felperes azon hivatkozása, hogy a támadott határozat rendelkező részének 1.1. és 1.2. pontjai egymással átfedésben vannak, az 1.1. pont az 1.2. ponthoz képest többletelemet nem tartalmaz, az nem más, mint a jogalapban tévedés kétszeres értékelése, így azok kizárják egymást.
[106] A határozat rendelkező részének 1.1. pontja a 6. cikk (1) bekezdés f) pontjának, míg 1.2. pontja az 5. cikk (1) bekezdés a) pontjának, az 5. cikk (2) bekezdésének, a 12. cikk (1) és (4) bekezdéseinek, 14. cikkének, 15. cikkének és a 21. cikk (4) bekezdésének sérelmét állapította meg.
[107] Tény, hogy az I. rendű felperes tévesen jelölte meg az Adatkezelés 1. jogalapját.
[108] A GDPR 83. cikk (5) bekezdés a) pontja azonban kifejezetten előírja a bírság kiszabását az adatkezelés elveinek az 5., 6., 7. és 9. cikkben előírtak megsértése miatt. A határozat megállapításainak alapvető indoka a jogalap téves megjelölésével és elsődlegesen ennek következményei elmulasztásával következett be. Ebből pedig értelemszerűen következik a bírság kiszabása. Ugyanakkor attól, hogy a jogalapot tévesen jelöli meg az adatkezelő, nem zárható ki az, hogy más jogalapon jogszerű az adatkezelése.
[109] Az Infotv. 60/A. § (6) bekezdésében, valamint a GDPR 77. cikk (2) bekezdésében előírt értesítési, illetve tájékoztatási kötelezettség megsértését a törvényszék megállapította, azzal, hogy mint eljárási jogszabálysértés, az ügy érdemére érdemben nem hatott ki. E tekintetben kiemelt jelentősége van annak, hogy a kérelemre indult adatvédelmi hatósági eljárásban a II–IV. rendű felperesek már előterjesztett kérelmükben kifejthették érveiket. Sem az elsőfokú bírósági eljárásban, sem a felülvizsgálati kérelmükben nem tudtak felhozni olyan tényt, bizonyítékot, amelyet az alperes a tényállás megállapítása során figyelmen kívül hagyott volna. Védekezéshez való joguk, jogorvoslati joguk nem sérült, mivel közigazgatási pert indítottak, felülvizsgálattal éltek, az értesítés elmaradása igazolhatóan nem eredményezte az Alaptörvény XXIV. cikkében biztosított alapjogok sérelmét sem.
[110] Az alperesnek az Ákr. 62. §-a alapulvételével az ügyben releváns tényállást a döntésének meghozatalához szükséges mértékben kellett kizárólag tisztáznia, ennek során az adatkezelések jogszerűségéről állást foglalnia, így ezen eljárási jogi jogsérelem sem valósult meg, ahogy az elsőfokú bíróság indokolási kötelezettségének is maradéktalanul eleget tett.
[111] A Kúria a továbbiakban a felülvizsgálati kérelmekkel érintett anyagi jogi kifogásokat vizsgálta.
Az adatkezelés jogalapja
[112] A GDPR [41] preambulum bekezdése kimondja, az adatkezelés jogalapjának vagy az azt meghatározó jogalkotási intézkedésnek világosnak és pontosnak, alkalmazásának pedig előreláthatónak kell lennie a hatálya alá tartozó személyek számára, összhangban az EUB és az EJEB ítélkezési gyakorlatával.
[113] Az EUB ítélkezési gyakorlata (Österreichischer Rundfunk és társai ügyében hozott döntés C 465/00, C 138/01 és C 139/01, 77. pont; Privacy International ítélet C 623/17, 65. pont) megfogalmazza az előreláthatóság e követelményét, amelynek célja többek között annak biztosítása, hogy a szóban forgó intézkedés hatályát és alkalmazását szabályozó rendelkezések kellően egyértelműek és pontosak legyenek, és ennek következtében az érintett személy megérthesse, hogy miként, milyen célból és milyen típusú adatok kezelésére kerül sor.
[114] A Kúria szükségesnek tartja kiemelni, jelen ügy tárgya nem általánosságban a sajtó adatkezelési tevékenysége jogalapjának meghatározása, hanem kifejezetten az I. rendű felperes által kiadott és a perrel érintett online és nyomtatott kiadványok körében vizsgálta a kezelt adatok körét és az adatkezelés jogszerűségét.
[115] A GDPR 6. cikk (1) bekezdés e) és f) pontja értelmében a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
[125] Az (1) bekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
[126] A Kúria kiemeli, a GDPR 6. cikk (2) bekezdésének rendelkezése szerint a rendeletbe foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is.
[127] A (3) bekezdés kimondja azt is, hogy az (1) bekezdés c) és e) pontja szerinti adatkezelés jogalapját vagy az uniós jognak vagy azon tagállami jognak kell megállapítania, amelynek hatálya alá az adatkezelő tartozik. Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.
[129] Nem csak az erre irányuló indítványok, de az ügy uniós jogi vonatkozása okán is vizsgálta a Kúria az EUB-hoz fordulás lehetőségét, annak szükségességét. Az EUMSZ 267. cikkében meghatározott együttműködés keretében a nemzeti bíróság feladata, hogy az ügy sajátos körülményeire tekintettel megállapítsa mind az előzetes döntéshozatal szükségességét az ítélethozatalhoz, mind pedig annak relevanciáját.
[130] A GDPR [45] preambulum bekezdése többek között arra is kitér, hogy ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie. Ez a rendelet nem követeli meg, hogy az egyes konkrét adatkezelési műveletekre külön-külön jogszabály vonatkozzon. Elegendő lehet az is, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség. Az adatkezelés célját is uniós vagy tagállami jogban kell meghatározni. E rendeletnek a személyes adatok kezelésének jogszerűségére vonatkozó általános feltételeit ezen túlmenően ezek pontosíthatják, az adatkezelő megjelölésére vonatkozó pontos szabályokat, az adatkezelés tárgyát képező személyes adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel a személyes adatok közölhetők, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát, valamint egyéb, a jogszerű és tisztességes adatkezelés biztosításához szükséges intézkedéseket is meghatározhatják.
[131] Itt utal a Kúria az Infotv. 5. § (3) bekezdésének rendelkezésére, mely szerint a GDPR 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg. Vagyis hazánkban nemcsak általában tagállami jog, hanem kifejezetten törvény vagy önkormányzati rendelet kell meghatározza a fenti adatok körét.
[132] A GDPR 85. cikk (1) és (2) bekezdése értelmében a tagállamok jogszabályban összeegyeztetik a személyes adatok a rendelet szerinti védelméhez való jogot a véleménynyilvánítás szabadságához és a tájékozódáshoz való joggal, ideértve a személyes adatok újságírási célból, illetve tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelését is. A személyes adatok újságírási célból, illetve tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelésére vonatkozóan a tagállamok kivételeket vagy eltéréseket határoznak meg a II. fejezet (elvek), a III. fejezet (az érintett jogai), a IV. fejezet (az adatkezelő és az adatfeldolgozó), az V. fejezet (a személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása), a VI. fejezet (független felügyeleti hatóságok), a VII. fejezet (együttműködés és egységesség) és a IX. fejezet (az adatkezelés különös esetei) alól, ha e kivételek vagy eltérések szükségesek ahhoz, hogy a személyes adatok védelméhez való jogot össze lehessen egyeztetni a véleménynyilvánítás szabadságához és a tájékozódáshoz való joggal.
[133] A GDPR [153] preambulum bekezdése szerint a tagállamok jogának össze kell egyeztetnie a véleménynyilvánítás és a tájékozódás – ideértve az újságírói, a tudományos, a művészi, illetve az irodalmi kifejezés – szabadságára vonatkozó szabályokat a személyes adatok védelmére vonatkozó, e rendelet szerinti joggal. Helyénvaló, hogy a kizárólag a személyes adatoknak az újságírás, a tudományos, a művészi vagy az irodalmi kifejezés céljából végzett kezelése eltérés tárgyát képezze vagy mentesüljön az e rendelet egyes rendelkezéseiben szereplő követelmények alól, ha ez ahhoz szükséges, hogy a személyes adatok védelméhez való jogot a véleménynyilvánítás szabadságához és tájékozódáshoz való joggal összeegyeztessék, amelyet a Charta 11. cikke biztosít. Ez alkalmazandó különösen a személyes adatok audiovizuális területen, valamint a hírarchívumokban és sajtókönyvtárakban történő kezelésére. Következésképpen a tagállamok jogalkotási intézkedések elfogadásával határozzák meg az ezen alapvető jogok közötti egyensúly érdekében a szükséges kivételeket és eltéréseket. A tagállamok kivételeket és eltéréseket fogadnak el az általános elvek, az érintett jogai, az adatkezelő és adatfeldolgozó, a személyes adatoknak harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása, a független felügyeleti hatóságok, az együttműködés és az egységes alkalmazás, illetve az egyedi adatkezelési helyzetek tekintetében. Ha ezek a kivételek vagy eltérések a tagállamok között különböznek, az adatkezelőre alkalmazandó tagállami jogot kell alkalmazni. A véleménynyilvánítás szabadságához való jog minden demokratikus társadalomban fennálló jelentőségének figyelembevétele érdekében az e szabadsághoz tartozó olyan fogalmakat, mint az újságírás, tágan kell értelmezni.
[134] Újságírási célból kivételek, eltérések tagállami meghatározására nem került sor. Következésképpen a jogalkotó szerint kivételek vagy eltérések nem szükségesek ahhoz, hogy a személyes adatok védelméhez való jogot össze lehessen egyeztetni a véleménynyilvánítás szabadságához és a tájékozódáshoz való joggal. Pontosan a tagállami hatáskör fenntartása okán született a GDPR 6. cikk (2) bekezdése, ugyanakkor a magyar jogalkotó az adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében az (1) bekezdés e) pontjának való megfelelés céljából nem vezetett be konkrétabb rendelkezéseket, amelyekben pontosabban meghatározza az adatkezelésre vonatkozó konkrét követelményeket. A sajtó általi konkrét adatkezelési műveletekre külön jogszabály nem született, az Smtv. ilyen irányú módosítására nem került sor.
[135] Ezáltal tagállami jogszabályban az sem került meghatározásra, hogy az adatkezelés jogalapja körében a GDPR 6. cikk (1) bekezdés e) pontjában foglalt közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat alatt mit értünk pontosan.
[136] Az egyes fogalmak meghatározása kapcsán a Kúria rámutat, az EUB ítélkezési gyakorlata értelmében az uniós jog egységes alkalmazásának követelményéből és az egyenlőség elvéből egyaránt az következik, hogy a jelentésének és hatályának meghatározása érdekében a tagállami jogokra kifejezett utalást nem tartalmazó uniós jogi rendelkezést az egész Európai Unióban általában önállóan és egységesen kell értelmezni, figyelembe véve nemcsak annak kifejezéseit, hanem e rendelkezés összefüggéseit és a kérdéses szabályozás célját is, a tagállamokban használt minősítésektől függetlenül (C 18/20. számú ítélet 32. pont).
[137] A Kúria mindezek ismeretében arra a következtetésre jutott, az e kérdésben történő tagállami hatáskör fenntartása okán előzetes döntéshozatali eljárás lefolytatása nem lehetséges.
[138] A Kúria a GDPR 6. cikk (1) bekezdés e) pontjában foglalt jogalap kapcsán leszögezi, akkor lehet jogszerűnek tekinteni az adatkezelést, ha az adatkezelés közérdekű vagy az az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. Az e feltételnek való megfelelést azonban nem lehet általánosságban a sajtó tevékenységére értelmezni, az ügy tárgya nem is általánosságban a gazdasági újságírás adatvédelmi szempontú értékelése, hanem azt mindig konkrétan, az egyes adatkezelés vonatkozásában, az adatkezelés célja figyelembevétele mellett szükséges vizsgálni. A Kúria ennek megfelelően kizárólag az Adatkezelés 1. és Adatkezelés 2. kapcsán született sajtótermékek körében tette vizsgálat tárgyává az I. rendű felperes adatkezelői tevékenységét. Abból kell kiindulni, mi az adatkezelés konkrét célja, ehhez kell megtalálni a jogalapot, és vizsgálni annak közérdekűségét.
[139] A Kúria a sajátos és egyedi körülmények összességének értékelése során arra a megállapításra jutott, hogy az Adatkezelés 1. és az Adatkezelés 2. jogalapja helyesen a GDPR 6. cikk (1) bekezdés f) pontja, jelen esetben az adatkezelés nem az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához volt szükséges és nem minősül közérdekűnek.
[140] A magyar jogban a közérdekűség fogalma meghatározásra nem került. A Kúria utal arra, támpontul szolgálhat az általános forgalmi adóról szóló 2007. évi CXXVII. törvény, amely kimondja, hogy közhatalmi tevékenység különösen „a jogszabályalkotási, az igazságszolgáltatási, az ügyészi, a védelmi, a rendvédelmi, a külügyi és igazságügyi igazgatási, a közigazgatási jogalkalmazói, a hatósági ellenőrzési és pénzügyi ellenőrzési, a törvényességi felügyeleti és ellenőrzési, az államháztartási, európai uniós és egyéb nemzetközi támogatás elosztásáról való döntési tevékenység”.
[141] Ez a meghatározás azonban még nem elegendő a GDPR. 6. cikk (1) bekezdés e) pontjában foglaltak értelmezéséhez.
[142] A GDPR 6. cikk (1) bekezdés e) pontjának második fordulata szerinti közhatalom gyakorlása közvetlenül jogszabályhoz kötött, ami azt jelenti, jogszabály hozza létre a közhatalmi szervezetet, jogszabály ruházza fel cselekvési hatáskörrel, és jogszabály rögzíti az elérendő célokat is, amelyek érdekében a tevékenységét kifejti. Ezt a GDPR is megerősíti, amikor kimondja: a közhatalmi jogosítvány gyakorlásához szükséges adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie. A közhatalmi szervek feladataik ellátása során végzett adatkezelésük esetében azonban nem alkalmazhatják a jogos érdek jogalapot. Az adatkezelő közfeladatait meghatározó jogszabályi rendelkezéseken alapuló adatkezelés jogalapja tehát a GDPR 6. cikk (1) bekezdésének e) pontja.
[143] A GDPR 6. cikk (1) bekezdés e) pontja második fordulatának alkalmazásához szükséges közhatalmi hatáskörrel az I. rendű felperes nem rendelkezett, így ebből eredő feladatellátásra és ahhoz szükséges adatkezelésre nem kerülhetett sor.
[144] Hangsúlyozni kell azt is, hogy a sajtó tevékenysége rendkívül szerteágazó a politikai híradástól kezdődően egészen a sport-, a tudományos, a közéleti, de a pletykatartalomig is. Az újságírói tevékenység eltér minden más tevékenységtől. Az egyes sajtótermékeket nem lehet egyazon mérce alapján minősíteni. Az adatkezelések sokfélesége okán, a Kúria megítélése szerint elengedhetetlen az adott tevékenységre vonatkozó ágazati jogszabályok – az Infotv. alapján törvény vagy önkormányzati rendelet – vizsgálata ahhoz, hogy megállapítsuk, közérdekű tevékenységről van-e szó. Ilyen tagállami törvényre az I. rendű felperes maga is hivatkozott, ezáltal helytálló volt az Smtv. 10. §-ának e körben történő vizsgálata.
[145] A Kúria Magyarország Alaptörvénye 28. cikkének jogértelmezésre adott iránymutatására is figyelemmel volt, miszerint a bíróságok a jogalkalmazás során a jogszabályok szövegét elsősorban azok céljával és az Alaptörvénnyel összhangban értelmezik. A jogszabályok céljának megállapítása során elsősorban a jogszabály preambulumát, illetve a jogszabály megalkotására vagy módosítására irányuló javaslat indokolását kell figyelembe venni. Az Alaptörvény és a jogszabályok értelmezésekor azt kell feltételezni, hogy a józan észnek és a közjónak megfelelő, erkölcsös és gazdaságos célt szolgálnak.
[146] Az Smtv. 10. §-a kimondja, hogy mindenkinek joga van arra, hogy megfelelően tájékoztassák a helyi, az országos és az európai közélet ügyeiről, valamint Magyarország polgárai és a magyar nemzet tagjai számára jelentőséggel bíró eseményekről. A médiarendszer egészének feladata a hiteles, gyors, pontos tájékoztatás ezen ügyekről és eseményekről.
[147] Ez a rendelkezés összhangban áll az Alaptörvény IX. cikk (2) bekezdésében foglaltakkal, amely szerint Magyarország elismeri és védi a sajtó szabadságát és sokszínűségét, biztosítja a demokratikus közvélemény kialakulásához szükséges szabad tájékoztatás feltételeit.
[148] A hivatkozott jogszabályi rendelkezés a tájékozódáshoz való jogot deklarálja, ugyanakkor a tájékoztatási kötelezettség előírása nem keletkeztet konkrét kötelezettséget az egyes médiatartalom-szolgáltatókra.
[149] A Kúria megítélése szerint az Adatkezelés 1. és Adatkezelés 2. eredményeként létrejött ún. gazdaglisták fenti jogszabályhelyek alapján nem minősülnek közérdekűnek és azok nem az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében készültek még azzal együtt sem, hogy azok közpénzek felhasználására vonatkozó adatokat is tartalmaznak. A legnagyobb családi vállalkozások és a leggazdagabb magyarok listájának összeállítását tartalmazó kiadvány elkészítése nem közfeladat, nem közérdekű tevékenység.
[150] A felek által felhívott alkotmánybírósági döntések értelmezése sem arról szól, hogy az I. rendű felperes tevékenysége jogszabályban meghatározott közérdekű tevékenység, hanem arról ad számot, hogy az kapcsolódik az Alaptörvényben meghatározott tájékoztatáshoz és tájékozódáshoz fűződő alapjoghoz, ami nem vitatott. Az Alkotmánybíróság gyakorlatában a véleménynyilvánítás jogának kitüntetett helye volt mindig is az alapjogok rendszerében. A véleményszabadság érvényesülése a demokrácia, a nyitott társadalom előfeltétele. Az Alkotmánybíróság vélemény-, sajtó- és szólásszabadsággal kapcsolatos gyakorlata több ízben utalt e jogok mögött álló értékre: a kommunikációs jogok érvényesülése révén alakul ki és marad fönn a demokratikus közvélemény [30/1992. (V. 26.) AB határozat, a továbbiakban: ABh1]. Az Alaptörvény e szabadságjogok deklarálásakor megismétli az alkotmánybírósági határozatokban visszatérő megfogalmazást: „Magyarország biztosítja a demokratikus közvélemény kialakulásához szükséges szabad tájékoztatás feltételeit.”
[151] A 3/2015. (II. 2.) AB határozat rendelkezése szerint a közéleti véleménynyilvánítás fokozott védelme nemcsak a közügyekben megfogalmazott értékítéletekre, hanem a közügyek körébe tartozó tényállításokra is vonatkozik. A közügyekkel kapcsolatos tények, információk közlésének fokozott védelme kiváltképp vonatkozik a sajtó működésére, mivel a sajtónak alkotmányos küldetése, hogy a közügyek alakulására befolyással lévő történéseket, körülményeket, összefüggéseket feltárja, és a nyilvánosság tudomására hozza. A média szabad tájékoztató tevékenysége a modern demokratikus nyilvánosság legfontosabb alkotóeleme, ezért központi jelentősége van annak, hogy a sajtó bizonytalanság, megalkuvás és félelem nélkül láthassa el ezt a feladatát. Ez nem azt jelenti, hogy a sajtó tájékoztató tevékenységére ne vonatkozhatnának törvényi előírások – ilyen előírásokat az Alkotmánybíróság már több esetben alkotmányosnak talált (lásd 1/2007. (I. 18.) AB határozat, illetve 3096/2014. (IV. 11.) AB határozat) –, de ezek megalkotásakor és értelmezésekor mindig úgy kell eljárni, hogy a sajtó alkotmányos küldetésének teljesítését, a közérdeklődésre számot tartó információk közzétételét ne akadályozzák vagy hátráltassák.
[152] Következésképpen a sajtó feladata az Alaptörvényben védett alkotmányos alapjogok biztosítása, ez pedig szükségszerűen maga után vonja az adatkezelést is. Azonban ezek a rendelkezések nem határozzák meg a sajtó adatkezelési jogcímét.
[153] A Kúria szerint a jogos érdek mint jogalap az információk közzétételét nem akadályozza vagy hátráltatja, ellenben a véleménynyilvánításhoz és tájékoztatáshoz való jog mellett megjelenő személyes adatok védelmét garanciálisan biztosítja.
[154] A 7/2014. (III. 7.) AB határozat megállapításai szerint a sajtó – tevékenységének egyre összetettebb és szerteágazóbb jellege mellett is – mindenekelőtt a véleménynyilvánításnak, a véleményformálásnak és a véleményalkotáshoz nélkülözhetetlen információszerzésnek az eszköze. A szólásszabadság kitüntetett jellege e tekintetben a sajtószabadságra is vonatkozik, és vonatkozik rá a szabadság kettős igazolása is: a sajtószabadság jelentőségét a szubjektív alapjog és a demokratikus közvélemény alkotmányos intézménye egyaránt igazolja. Az Alaptörvény IX. cikkének (2) bekezdése ennek megfelelően a sajtószabadság elismerése mellett a demokratikus közvélemény kialakulásához szükséges szabad tájékoztatás feltételeinek biztosításáról is rendelkezik.
[155] Az Alkotmánybíróság e döntésében hangsúlyozza, hogy a szólás- és sajtószabadság kétféle igazolása és tartalma, azaz az egyéni önkifejezésre fókuszáló alanyi, valamint a demokratikus közvéleményt középpontjába állító intézményi oldal nem versengő, még kevésbé egymást gyengítő érvek, hanem egymást kölcsönösen kiegészítő és támogató alkotmányos szempontok. Előfordulhat, hogy hol az egyik, hol a másik oldal kerül előtérbe, de összességében – és egyes alkotmányjogi kérdéseknél egészen konkrétan is – erősítik egymást. Egyértelműen ilyen alkotmányjogi kérdésnek minősül a szólásszabadság és a közéleti szereplők személyiségvédelme kollíziójának problémája.
[156] A szólásszabadság kitüntetett szerepe azzal jár, hogy egyrészt csak kivételes jelleggel kell engednie a korlátozására felhozott más jogokkal, illetve alkotmányos értékekkel szemben, másrészt a szabad véleménynyilvánítást korlátozó törvényeket megszorítóan kell értelmezni. „A vélemény szabadságával szemben mérlegelendő korlátozó törvénynek nagyobb a súlya, ha közvetlenül másik alanyi alapjog érvényesítésére és védelmére szolgál, kisebb, ha ilyen jogokat csakis mögöttesen, valamely »intézmény« közvetítésével véd, s legkisebb, ha csupán valamely elvont érték önmagában a tárgya (pl. a köznyugalom)”. A korlátozásnál is figyelemmel kell lenni a szólásszabadság kettős, egymást erősítő igazolására, azaz a jogalkotónak „a véleménynyilvánítási szabadság alkotmányos határait úgy kell meghatároznia, hogy azok a véleményt nyilvánító személy alanyi joga mellett a közvélemény kialakulásának, illetve szabad alakításának a demokrácia szempontjából nélkülözhetetlen érdekét is figyelembe vegyék”. A sajtószabadságra szintén vonatkoznak a szólásszabadság korlátozásánál irányadó tételek, azzal együtt, hogy azoknak a sajtó működésének sajátosságaihoz igazodva kell érvényesül (ABh1).
[157] Az Alkotmánybíróság döntéseinek adatvédelmi szempontú vizsgálata is az egyes jogos érdekek összevetésének szükségességét vetik fel, amelynek során a sajtószerv alapjogi kollíziót is végez.
[158] Megjegyzi a Kúria, az I. rendű felperes azon felülvizsgálati érve, hogy a Charta 8. cikkét kibontó GDPR nem ronthatja le a sajtószabadság védelmi szintjét téves, mivel a Charta a korábban kifejtettek szerint védi a magánélethez való jogot és kiemelten a személyes adatokat. Alapjogok konkurálnak egymással, a kollíziót fel kell oldani. Mindemellett a jogos érdek mint jogalap jelen esetben nem korlátozza a sajtószabadságot, a megfelelő eljárás lefolytatását követően az I. rendű felperesnek lehetősége van jogszerű adatkezelést végeznie. A tevékenysége nem lehetetlenül el.
Érdekmérlegelés
[159] A GDPR [4] preambulum bekezdés értelmében a személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal. Ez a rendelet minden alapvető jogot tiszteletben tart, és szem előtt tartja a Chartában elismert és a Szerződésekben rögzített szabadságokat és elveket, különösen ami a magán- és a családi élet, az otthon és a kapcsolattartás tiszteletben tartásához és a személyes adatok védelméhez, a gondolat-, a lelkiismeret- és a vallásszabadsághoz, a véleménynyilvánítás szabadságához és a tájékozódás szabadságához, a vállalkozás szabadságához, a hatékony jogorvoslathoz és a tisztességes eljáráshoz, és a kulturális, vallási és nyelvi sokféleséghez való jogot illeti.
[160] Valamennyi adatkezelés az érintett információs önrendelkezési jogára hatással van, mivel annak körülményeit az adatkezelő alakítja ki. Mind a Chartában, mind az EUMSZ-ben, mind pedig Magyarország Alaptörvényében rögzített jogot vagy szabadságot érinthet. Így az egyértelműen hatással lehet az érintettek magánszférához való jogára, a családi élet, az otthon és a kapcsolattartás tiszteletben tartásához való jogára, de ugyanúgy akár a jóhírnév védelméhez fűződő jogra is. Ebből fakadóan az érdekmérlegelés körében az adatkezelőnek fel kell térképeznie, hogy milyen elvárásokat támaszthat az érintett az adatkezeléssel szemben. Ez valósul meg az előzetes érdekmérlegelés során, valamint további figyelembe veendő körülmény, hogy a személyes adatok kezelésére a lehető legrövidebb ideig kerüljön sor és ezen személyes adatokhoz csak a legszűkebb személyi kör férjen hozzá.
[161] A jogos érdek fennállta esetén annak az adatkezelő általi precíz és indokolt alátámasztása is szükséges.
[162] A jogos érdek mint jogalap esetén az adatkezelőnek ki kell választania azt, hogy mely célból, meddig és milyen adatokat kezel, milyen garanciális intézkedéssel biztosítja, hogy az adatkezelés csak szükséges mértékben és arányosan korlátozza az érintettek jogait és szabadságát. Az érdekmérlegelés elvégzését az adatkezelőnek igazolni tudnia kell, amely az elszámoltathatóság elvéből [GDPR 5. cikk (2) bekezdés] fakad. Ebben az esetben az adatkezelőnek érdekmérlegelést kell elvégeznie, amely bemutatja, hogy miért írja felül az adatkezelő jogos érdeke az érintettek jogait.
[163] A Kúria kiemeli, mindig az adott konkrét helyzetre, tevékenységre vonatkozóan kell vizsgálni a jogos érdeket és azt, hogy szükséges-e az adatkezelés a cél eléréséhez, avagy vannak-e olyan alternatív megoldások, amelyek alkalmazásával a tervezett cél adatkezelés nélkül, illetve kevésbé korlátozó eszközökkel szintén megvalósítható.
[164] Ezt követően történik az érdekek, elvárások felmérése és az érintettekre gyakorolt hatás elemzése. Az, hogy a személyes adatát valakinek kezelik és ez nem sérelmes rá nézve, még nem jelent megfelelő mérlegelést, vagyis azt, hogy az adatkezelő az érintett szempontjait, érdekeit, alapvető jogait és szabadságait teljes körűen figyelembe vette. Jelen ügyben az előbbiek összevetése szempontjából releváns kérdés az, hogy milyen kedvezőtlen és kedvező hatással jár az adatkezelés az érintettek magánszférájára. Az érdekmérlegelés alkalmazása tehát mindig együtt jár azzal a követelménnyel, hogy az adatkezelőknek kell gondoskodniuk meghatározott garanciák beépítéséről.
[165] Végezetül meg kell határozni, hogy miért korlátozza arányosan az adatkezelő vagy harmadik fél jogos érdeke az érintettek jogait.
[166] Tény, hogy az Adatvédelmi Munkacsoportot felváltotta az Európai Adatvédelmi Testület, azonban a munkacsoport ajánlásai támpontul szolgálnak azokban a kérdésekben, amelyek a korábbiakhoz hasonlóan kerültek szabályozásra azzal a megjegyzéssel, hogy az ajánlás nem minősül uniós jogszabálynak, annak kötőereje nincs.
[167] Alaptalan az I. rendű felperes azon érvelése, hogy az érdekmérlegelést a jogalkotó már maga elvégezte. Az Infotv. 3. § 6. pontjának megfelelően a Ctv. 10. § (2) bekezdésében meghatározott teljes körű nyilvánosság a cégadatok körében nem értelmezhető úgy, hogy bárkinek bármilyen célból teljes körű felhatalmazást biztosítana a nyilvános cégadatok kezelésére vonatkozóan. Valamely személyes adat jogszerűen történt nyilvánosságra hozatala nem teszi jogszerűvé az előzőekben felsorolt kritériumok nélkül a további adatkezelést, ezeknek az adatoknak a gyűjtését, felhasználását. Ez a jogértelmezés a célhoz kötött felhasználás elvébe is ütközne. Fontos hangsúlyozni, személyes adatot kezelni csak meghatározott, egyértelmű és jogszerű célból, a céllal összeegyeztethető módon lehet. Vagyis önmagában az, hogy a II–IV. rendű felperesek érdekeltségébe tartozó cégadatok a Ctv. által bárki által megismerhető közérdekből nyilvános adatok, még nem jelenti azt, hogy az ebből megismerhető személyes adataik bármilyen célból, korlátozás nélkül kezelhetőek. Az adatkezeléssel érintett adatok személyes adat minőségüket megtartják.
[168] A jogos érdekek összevetésének az I. rendű felperes nem tett maradéktalanul eleget. Felsorakoztatta a jogos érdekeit, azt azonban igazolhatóan nem vetette össze az érintettek olyan érdekeivel, alapvető jogával és szabadságával, melyek a személyes adatok védelmét szükségesség teszik. Az érdekmérlegelés és erről az érintettek tájékoztatása azt biztosítja, hogy az adatkezelő a GDPR 6. cikk (1) bekezdés f) pontján alapuló jogos érdekét és ekként adatkezelésének jogalapját megfelelően alátámassza.
[169] Jogszerűen állapította meg az elsőfokú bíróság, hogy a teljes körű érdekmérlegelés hiányában a jogos érdek fennállhat, azonban az annak megállapításához szükséges adatkezelői aktív tevékenység elvégzése nem igazolható. Az érdekmérlegelést az adatkezelést megelőzően kell elvégezni. Nem szolgálhat kimentésül az I. rendű felperes infrastrukturális hátterének, anyagi- és humánerőforrásainak nem megfelelő volta.
[170] Hangsúlyozni kell, az I. rendű felperest a perrel érintett sajtótermékek elkészítésében a GDPR 6. cikk (1) bekezdés f) pontjában foglalt jogos érdek megállapításához szükséges érdekmérlegelés elvégzése nem akadályozza, a sajtószabadság megvalósításához szükséges feladatainak ellátása nem lehetetlenül el, számára aránytalan terhet nem jelenthet, mivel az több hónapos előkészítő munka eredménye.
[171] A Kúria a II–IV. rendű felperesek felülvizsgálati kérelmében foglaltak kapcsán vizsgálta az adatkezelés célját, a megjelent sajtótermékek minősítését. Az alperes és a II–IV. rendű felperesek szerint az adatkezelések „pletykaéhséget” kielégítő sajtótermékek megjelenését szolgálták, míg az I. rendű felperes és az elsőfokú bíróság akként foglalt állást, hogy az üzleti -gazdasági újságírás körébe tartozó sajtótermékek megjelenése a szócikkeken keresztül hozzátett a sajtó közéleti „őrkutya” szerepköréhez.
[172] A sajtó funkciójának egyik értelmezése szerint a média „őrkutyaként” áll a hatalmat gyakorlók felett. A családi vállalkozás piaci szegmensében elért sikeréhez kapcsolódó állami támogatások közlése, a vállalkozás jövőbeni fejlődésének az MNB hitelprogramja segítségével történő előrevetítése a gazdasági újságírás része. A közvélemény tájékoztatása a közpénzeknek a magánvállalkozások fejlesztése érdekében történő felhasználásáról – ezáltal a magyar gazdaság és társadalom fejlődésének, mint legitim célnak az elősegítéséről – a sajtó „őrkutya” azaz a „nyilvánosság őre” szerepköréhez tartozik, ugyanakkor a legtehetősebbeket tartalmazó gazdaglista összeállítása a pletykaéhséget kielégítő újságírás körébe is sorolható. Élesen ezekben a sajtótermékekben a két funkció nem válaszható külön, azok együttesen jelen vannak.
[173] Az I. rendű felperes által is megjelölten a véleménynyilvánítás és a tájékozódáshoz való jog, mely adatvédelmi cél az egyes jogos érdekek összevetése kapcsán bír jelentőséggel.
[174] Az alapelveknek a személyes adatok kezelése során – az adatkezelő személyétől, az adatkezelés jellegétől, az érintett esetleges akaratától, nyilatkozatától vagy bármilyen más körülménytől függetlenül – folyamatosan érvényesülniük kell. A Kúria e tekintetben hangsúlyozza, az adatkezelés céljának meghatározása kiemelkedik az elvek közül, figyelemmel arra, hogy annak meghatározása előfeltétele kell legyen az adatkezelés megkezdésének.
[175] „Az információs önrendelkezési jog gyakorlásának feltétele és egyben legfontosabb garanciája a célhoz kötöttség, ami azt jelenti, hogy személyes adatot feldolgozni csak pontosan meghatározott és jogszerű célra szabad. Az adatfeldolgozásnak minden szakaszában meg kell felelnie a bejelentett és közhitelűen rögzített célnak. A célhoz kötöttségből következik, hogy a meghatározott cél nélküli, „készletre” történő, előre nem meghatározott jövőbeni felhasználásra való adatgyűjtés és tárolás alkotmányellenes” [15/1991. (IV. 13.) AB határozat, 3110/2013. (VI. 4.) AB határozat, 2396/2021. AB határozat]. A célhoz kötöttség alapelve csak akkor érvényesül, ha a cél konkrétan meghatározott, a túl homályos, általános adatkezelési cél nem megfelelő. Az I. rendű felperes a hatósági eljárás és a bírósági eljárás során különböző célokat jelölt meg. Ugyanakkor a II–IV. rendű felperesekkel folytatott levelezés tartalmából – mely tájékoztatásnak ki kell terjednie a célra is – megállapítható, hogy adatkezelése célja a véleménynyilvánítás és a tájékozódáshoz való jog biztosításán túl a legnagyobb magyar családi vállalkozásokat és a leggazdagabb magyarokat tartalmazó kiadvány elkészítése volt.
[176] A II–IV. rendű felperesek nem közszereplők, ezért az Alaptörvény VI. cikk (1) bekezdésében és IX. cikk (4) bekezdésében foglalt alapjogaik korlátozása szűk körben lehetséges, így feltétlenül vizsgálni szükséges a kezelt személyes adataik jellegét, az adatkezelés célját, szükségességét és arányosságát.
[177] Az EUB gyakorlata is azt követi, a magánélet tiszteletben tartásához való alapvető jog védelme uniós szinten megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak (Tele2 Sverige és Watson és társai ítélet, C-203/15 és C-698/15, 96. pont; Puškár ítélet, C-73/16, 112. pont).
[178] A személyes adatok védelméhez való jog – mint információs önrendelkezési jog – korlátozható.
[179] Az Alaptörvény I. cikkének (3) bekezdése szerint alapvető jog más alapvető jog érvényesülése vagy valamely alkotmányos érték védelme érdekében, a feltétlenül szükséges mértékben, az elérni kívánt céllal arányosan, az alapvető jog lényeges tartalmának tiszteletben tartásával korlátozható. Az alapjog-korlátozásnak ez a tesztje mindenekelőtt a jogalkotót kötelezi, ugyanakkor hatáskörükhöz igazodva a jogalkalmazókkal szemben is alkotmányos követelményt fogalmaz meg. E követelményből – az Alaptörvény 28. cikkére is tekintettel – a bíróságoknak az a kötelezettsége adódik, hogy ha olyan jogszabályt értelmeznek, amely valamely alapjog gyakorlását korlátozza, akkor a jogszabály engedte értelmezési mozgástér keretein belül az érintett alapjog korlátozását kizárólag a szükséges és arányos mértékű beavatkozás szintjére szorítsák [3/2015. (II. 2.) AB határozat [21] bekezdés].
[180] A Kúria utal a Pfv.IV.20.096/2018/5. számú döntése indokolásának [14] bekezdésében foglaltakra, amely szerint, ha az érintett személy nem is minősül közszereplőnek, a gazdasági életben való részvétele, vagyonosodása, a közpénzt és közbeszerzést érintő ügyek kapcsán személye közérdeklődésre tarthat számot, a közügyeket érintő témákban a tűrési kötelezettségének határai tágabbak, elérik a közszereplőkhöz hasonló mértéket.
[181] A jogos érdekek összevetése kapcsán kiemelt jelentősége van annak, hogy az adatkezelések kizárólag a II–IV. rendű felperesek gazdasági–üzleti életben elért személyes adatainak kezelésére korlátozódtak, az adatkezelések a családi- és magánéletükkel nem álltak összefüggésben. Az I. rendű felperes a Ctv., a Vagyontv. és az Infotv. felhívott rendelkezései alapján közérdekből nyilvános személyes adatokból szerzett információt feldolgozva határozta meg vagyonukat. Megállapíthatóan, az adatkezelés a GDPR 5. cikk (1) bekezdésének b)–e) pontjaiban foglalt alapelvekkel összhangban a szükséges és arányos értéket nem lépte túl. A II–IV. rendű felperesek magánélethez fűződő joga nem sérült, az adatkezelés csak a gazdasági–üzleti tevékenységüket érintette. Az adatkezelések és a sajtótermékekben megjelenített tényadatok negatív értékítéletet nem közvetítettek.
Tiltakozás joga
[182] A GDPR 21. cikkének (1) bekezdése értelmében az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
[183] Mindez azt jelenti, ha a jogos érdek a jogalap, a GDPR alapján az érintett élhet tiltakozási jogával. Miután széleskörű mérlegelési szabadsága van az adatkezelőnek, éppen ezért az érintett tiltakozáshoz való joga az információs önrendelkezési jog, valamint a vele szemben álló érdekek érvényesítése közötti egyensúly megteremtését szolgáló egyik jogvédelmi és jogorvoslati eszköz. Az adatkezelő ebben az esetben is bizonyítja, hogy az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben az ő kényszerítő erejű jogos érdeke elsőbbséget élvezhet (GDPR [69] preambulum bekezdés).
[184] A jogosultság az érintettnek az érdekmérlegelés eredményének bemutatását követően lehetőséget biztosít arra, hogy tiltakozni tudjon a személyes adatai további kezelése ellen.
[185] Az érintett nem köteles megjelölni azt a saját helyzetével kapcsolatos okot, amelyre a kérelmét alapozza. Azonban ennek hiányában, ha nem fejti ki önkéntesen, kellő részletességgel a tiltakozásának az okát, az adatkezelő nem tudja elvégezni az egyedi érdekmérlegelést, csak a korábbi érdekmérlegelés eredményét tudja felmutatni.
[186] Azt vizsgálja ebben az esetben az adatkezelő, hogy az érintettnek a tiltakozási jog során általa megjelölt érdekeivel, jogaival szemben az ő jogos érdekei továbbra is elsőbbséget élveznek-e. Fontos azt is hangsúlyozni, hogy a mérlegelés és a bizonyítási teher elsődlegesen az adatkezelőre hárul, aki köteles minden tényezőt kellő súllyal figyelembe venni, vagyis az általa hivatkozott okoknak minden esetben relevanciával kell bírniuk egy vizsgálat során.
[187] Mindezek ismeretében a Kúria megállapította, hogy a II–IV. rendű felperesek tiltakozása folytán hivatkozott társadalmi megítélést, negatív értékítéletet, magánéletre való negatív hatásokat, befolyásokat értékelnie kellett volna az I. rendű felperesnek. Mint adatkezelőnek meg kellett volna vizsgálnia, hogy az érintettek magánszféráját kevésbé korlátozó eszköz, módszerek alkalmazhatóak-e és, hogy a jogos érdeke megelőzi-e ezek ismeretében is az érintettek érdekeit, alapvető jogait, szabadságait.
[188] E vizsgálat hiányában is azonban a Kúria megítélése szerint a II–IV. rendű felperesek olyan érvet nem hoztak fel, amely adataik törlését eredményezhette volna.
[189] A tiltakozáshoz való jogról szóló tájékoztatást kötelező jelleggel írja elő a GDPR 14. cikk (2) bekezdés c) pontja. Önmagában pedig az, hogy a törlés, mint adatkezelési művelet alól vannak rendeleti kivételek, nem mentesíti a tájékoztatás kötelezettsége alól az adatkezelőt.
Tájékoztatás
[190] A GDPR 14. cikke többek között kimondja, ha a személyes adatokat nem az érintettől szerezték meg – ami jelen esetben fennáll – az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:
a) az adatkezelőnek és képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) az érintett személyes adatok kategóriái;
e) a személyes adatok címzettjei, illetve a címzettek kategóriái.
[191] Mindemellett a tájékoztatási kötelezettség kiterjed a személyes adatok tárolásának időtartamára, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjaira, jelen esetben az adatkezelő vagy harmadik fél jogos érdekeire. Az adatkezelőnek tájékoztatnia kell az érintetteket arról a jogukról, hogy kérelmezhetik a rájuk vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhatnak a személyes adatok kezelése ellen. Szintén ki kell terjednie a tájékoztatásnak a felügyeleti hatósághoz címzett panasz benyújtásának jogára és a személyes adatok forrására.
[192] Az érdekmérlegelés értelmében az érintetteknek egyedi tájékoztatást kellett volna kapniuk a GDPR 14–15. cikkeiben foglaltakról. A tájékoztatások azonban nem terjedtek ki az GDPR 14. cikk (1) bekezdés a), b) és d) pontjaiban (az Adatkezelés 1. tekintetében továbbá a c) pont második fordulatában), (2) bekezdés c), e) és f) pontjaiban foglaltakra. Úgyszintén elmaradt az érintettek tájékoztatása a 15. cikk (1) bekezdés b), e), f) és g) pontjaiban foglaltakról.
[193] A Forbes honlapján közzétett általános adatkezelési tájékoztatóban szereplő érintetti jogérvényesítési lehetőségek egyértelműen nem pótolják a GDPR 14–15. cikkeiben foglaltakat, azonban rámutat a Kúria, a honlapon elhelyezett adatvédelmi tájékoztató az érdekmérlegelés körében az egyéni tájékoztatás mellett figyelembe vehető, ha az adatkezelő arra igazolhatóan felhívja az érintettek figyelmét. Erre jelen esetben nem került sor, továbbá annak tartalma is megtévesztő, mivel az kizárólag a felhasználók által a honlapon önkéntesen, a társaság által nyújtott szolgáltatások igénybevétele érdekében megadott személyes adatok kezelésének elveit tartalmazza.
[194] Megjegyzi a Kúria, a támadott határozat alapja a téves jogalap megjelölése mellett az érdekmérlegelés elvégzésének és a tájékoztatási kötelezettségének a hiányossága volt. Azonban a GDPR 14. cikk (5) bekezdése a tájékoztatási kötelezettség alóli kivételeket fogalmaz meg. E körben azt is, ha a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne vagy komolyan veszélyeztetné az adatkezelés céljainak elérését.
[195] A felülvizsgálattal érintett kiadványok időszakos jellege, az azokat megelőző több hónapos munka, hosszas előkészítés, a felek között folytatott levelezgetések ezt nem támasztják alá, azonban más sajtótermék esetében hivatkozási alap lehet.
[196] Fontos azonban, hogy ezekben az esetekben is az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.
Profilalkotás
[197] A GDPR 4. cikkének 4. pontja értelmében a profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.
[198] Következésképpen a profilalkotás nem más, mint egy automatizált, egyedi döntési mechanizmus, olyan adatkezelési művelet, amely arról szól, hogy az adatkezelő a felhasználó személyiségéről, annak számára jelentőséggel bíró részéről alkot egy képet. Ezt követően a levont következtetésből az adatgyűjtés irányultságától függően felvázolható valamely tulajdonsága, viselkedése.
[199] Azt, hogy az adatkezelés során a GDPR 4. cikkének 4. pontjában meghatározott profilalkotás nem történt, a felülvizsgálati kérelmekben a felek már nem vitatták. Az I. rendű felperes azt kizárólag a bírság összegének meghatározása körében sérelmezte.
[200] A Kúria rámutat, ez a tény a tájékoztatási kötelezettség egészének elmulasztására nem hatott ki, a határozatból megállapíthatóan az alperes a bírságkiszabás jogalapja vagy összegszerűsége körében a profilalkotást nem értékelte, az a döntésének jogszerűségét érdemben nem befolyásolta.
Pontosság
[201] A GDPR 5. cikk (1) bekezdés d) pontja szerint a személyes adatok kezelésének pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
[202] A GDPR 18. cikk (1) bekezdés a) pontja értelmében amennyiben az érintett vitatja a személyes adatok pontosságát, akkor a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát.
[203] A pontosság alapelve biztosítja, hogy az adatkezelő figyelemmel legyen arra, hogy az általa kezelt adatok a valóságnak megfelelő, helyes, teljes adatok legyenek. Ha ennek nem felel meg az adatkezelés, az érintett élhet a helyesbítés jogával is.
[204] A II. rendű felperes neve, a II–IV. rendű felperesek családi neve, az érdekkörükbe tartozó vállalkozás neve pontossága nem vitatott. Ugyanakkor családi vállalkozásuk értéke már egy becsült érték, csakúgy, mint a II–IV. rendű felperesek vagyonának értéke.
[205] Kiemeli a Kúria, az I. rendű felperes elküldte a II–IV. rendű felperesek részére a módszertana által készített vagyon- és értékbecslést. Minden esetben visszajelzést is kért tőlük és kérte, ha szükséges pontosítsák az adatokat. A sajtótermékekben megjelent becslések egy újságírói elemzés eredményeképpen születettek, ennek a becsült összegnek a vagyon tényleges összegétől való eltérésének mértéke nem állapítható meg anélkül, hogy azt az érintettek pontosan megjelölnék.
[206] A nyilvános cégadatokból előállított adatok, tehát az I. rendű felperes következtetésének helyessége az érintettek által cáfolható lett volna, amelyet azonban a II–IV. rendű felperesek nem tettek meg, a családjuk vagy a II. rendű felperes leggazdagabbak körébe tartozásának téves voltát nem is állították, e vagyon becsült összegétől való eltérést nem határozták meg.
[207] Mindazonáltal az adatok pontosságának a követelménye jogot keletkeztet az érintett részére arra, hogy a személyes adatainak a helyesbítését kérje. A GDPR [39] preambulum bekezdése is rögzíti, hogy a pontatlan személyes adatok helyesbítése érdekében minden észszerű lépést meg kell tenni. A személyes adatok vonatkozásában ez azt jelenti, hogy az adatkezelés céljához viszonyítva a személyes adatok ne legyenek töredékesek, azok pontosak legyenek.
Adatok korlátozása, törlése
[208] A GDPR 17. cikk (1) bekezdés d) pontjában foglaltak szerint az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az adatkezelés jogellenesen történt.
[209] Az érintett – elhatározása szerint – nyújthat be kérelmet az adatok törlése iránt, ugyanakkor köteles nyilatkozni arról is, hogy milyen, a GDPR-ban foglalt indokok alapján kezdeményezi személyes adatai törlését. E körben a II–IV. rendű felperesek a jogellenes adatkezelést jelölték meg. Azonban vannak olyan helyzetek, amelyek a törléshez való jog negatív feltételeit jelentik, ami azzal a következménnyel jár, hogy a törlést annak ellenére nem kell végrehajtani, hogy annak egyéb, pozitív feltételei fennállnak.
[210] A GDPR 17. cikk (3) bekezdés a) pontja kimondja, az (1) bekezdés nem alkalmazandó, amennyiben az adatkezelés a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából szükséges.
[211] A szabad véleménynyilvánításhoz való jog a demokratikus jogállam kiemelt alapértéke, amely szavatolja, hogy az egyén a gondolatait, véleményét szabadon megfogalmazza és kifejtse, hozzájárul különböző nézetek és eszmék szabad áramlásához. A szabad véleménynyilvánítás a „fejlődni képes és valóban eleven társadalom létezésének alapfeltétele” [ABh1].
[212] A véleménynyilvánítás szabadsága e körben magában foglalja a tájékozódáshoz való jogot, az információk átadásának szabadságát, de felöleli a sajtószabadságot, a közérdekű és közérdekből nyilvános adatok megismerésének, terjesztésének jogát, vagyis a teljes információ szabadságot. Ezen információk törlésének korlátlan lehetősége kiüresítené és sértené e jogosultságokat. Éppen ezért a véleménynyilvánítás szabadsága és a tájékozódáshoz való jog gyakorlása, valamint a törléshez való jog között megfelelő egyensúlyt kell teremteni, ennek biztosítása pedig a nemzeti bíróságokra és hatóságokra hárul (C-360/10. ítélet [46] bekezdés).
[213] A véleménynyilvánítás szabadságához és a tájékozódáshoz való jogot mint adatkezelési célt az I. rendű felperes kifejezetten megjelölte, következésképpen az érintettek személyes adatai törlésére jelen esetben nem kerülhetett sor. A véleménynyilvánítás szabadságát mint a Charta 11. cikkében nevesített alapjogot és mint a tájékozódáshoz való jog alapjogát, a GDPR ezen a ponton is kiemelten védi.
Többletjogsértés megállapítása
[214] A támadott határozathoz képest a törvényszék ítélete többletjogsértést nem állapított meg, a GDPR 15. cikkének megsértését az alperes kifejezetten kimondta határozata 46. oldalán. A profilalkotás kapcsán tett elsőfokú bírósági megállapítás következménye értelemszerűen az ennek körében előírt tájékoztatás szükségtelensége. A 15. cikk felhívott rendelkezései azonban nem kizárólag a profilalkotásról történő tájékoztatást követelik meg.
[215] Annyiban osztja a Kúria az I. rendű felperes álláspontját, hogy a levelezgetések során a kezelt adatok egy része, a forrás és a címzettek köre megjelölésre került, azonban ennek kihatása az ügy érdemére nincs. Az I. rendű felperes ugyanis teljes körű érdekmérlegelést nem végzett a jogszabályi előírásoknak megfelelően.
Bírság
[216] A GDPR 83. cikk (2) bekezdése értelmében közigazgatási bírságot az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni többek között a jogsértés jellegét, súlyosságát és időtartamát, a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek számát, akiket a jogsértés érint. Szintén értékelni kell a jogsértés szándékos vagy gondatlan jellegét, az adatkezelő vagy az adatfeldolgozó felelősségének mértékét, az általa korábban elkövetett releváns jogsértéseket, a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértékét. Figyelembe kell venni azt is, hogy a jogsértés milyen személyes adatokat érintett, és az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezőket.
[217] A bírság összegének meghatározása az alperes mérlegelési tevékenységének eredménye. Megállapítható, hogy az alperes a bírság összegének meghatározása során egyenként és tételesen vizsgálta a hivatkozott felsorolásban szereplő körülményeket, de ezen túl az I. rendű felperes gazdasági teljesítőképességét is, részletesen indokolta az I. rendű felperes javára és terhére értékelhető körülményeket. Nem volt ellenben szempont az egyes jogsértések külön-külön történő értékelése. Ezen mérlegelés eredményeként a felülvizsgálati bíróság szerint az alperes a jogsértés súlyával arányban álló bírságot szabott ki, kirívóan okszerűtlen következtetéseket nem vont le.
[218] Mindezekre figyelemmel a Kúria a felülvizsgálati kérelmekben hivatkozott jogszabálysértések megállapíthatóságának hiányában a Kp. 121. § (2) bekezdését alkalmazva a jogerős ítéletet – ezen indokolásbeli kiegészítéssel – hatályában fenntartotta.
(Kúria Kfv.III.37.978/2021/10.)