Az utóbbi években elharapódzott az a gyakorlat, hogy az emberek, ha megorrolnak a szolgáltatójukra, a munkáltatójukra, valamelyik közüzemi cégre vagy éppen a közös képviselőjükre, akkor adatvédelmi fronton támadják. Nem is alaptalanul, a legtöbb cég még mindig védtelen, sajnálnak pár százezer forintot áldozni ügyvédre, azaz adatvédelmi megfelelőségük kialakítására.
Támadni három fronton lehet: közigazgatási jogi, büntetőjogi és polgári jogi vonalon. Jelen blogcikkben ez utóbbit tárgyaljuk. Vegyünk egy tipikus példát.
Ügyfelem bement érdeklődni egy magánegészségügyi központ recepciójára. Kedvesen elbeszélgettek vele, adtak neki prospektusokat, árajánlatot, majd távozott. A beavatkozást végül egy másik intézményben végeztette el. Fél év múlva kapott egy üzenetet egy barátjától: „Ha már modellnek álltál, nem kellett volna egy másik pulóvert felvenni? J” Kiderült, hogy a magánegészségügyi központ kamerája által róla rögzített kép a magánkórház ügyvezetőjének úgy megtetszett, hogy őt választották adott évben a cég reklámarcának. Amolyan „szomszéd lány” jellegű képe éppen beleillett a cégvezetés elképzeléseibe. A gond csak az volt, hogy neki nem szóltak. Kérdés nem volt, hogy ezért magas összegű sérelemdíjat kell fizetniük. Üzletszerűen éltek vissza képmásával, és az egyébként magáról nem is tetsző, előnytelennek tartott képe rengeteg emberhez, köztük ismerősökhöz is eljutott. A legtöbb személyiségi jogsérelem azonban nem ilyen egyértelmű. Különösen igaz ez a személyes adataink védelméhez fűződő jogaink mások általi megsértésére.
A GDPR rendelet kétségtelenül szigorú követelményeket támaszt az adatkezelőkkel szemben. Ha egy cég vagy intézmény megszegi ezeket (például jogosulatlanul továbbítja az adatainkat, vagy nem ad megfelelő tájékoztatást adataink kezelésről), az adatvédelmi hatóság (NAIH) közigazgatási (adatvédelmi) bírságot szabhat ki. De vajon minden GDPR-sértés egyben polgári jogi személyiségi jogsérelem is? A rövid válasz: nem, önmagában nem. A magyar Polgári Törvénykönyv szerint ugyan a személyes adatok védelméhez való jog a személyiségi jogok körébe tartozik (Ptk. 2:43. § e) pont), de a bíróságok értelmezése szerint nem minden adatkezelési hiba éri el azt a szintet, hogy az tényleges személyiségi jogsértésnek minősüljön.
A Kúria több döntésében hangsúlyozta, hogy a személyes adat puszta jogellenes kezelése – minden egyéb körülmény hiányában – nem valósít meg automatikusan személyiségi jogsértést. Vagyis attól, hogy egy előírást megszegtek, még nem biztos, hogy a magánszféránkat vagy emberi méltóságunkat is megsértették volna. Ha a munkáltató a munkaruha-gyártó cégnek a hozzájárulásunk nélkül kiadta a melltartó-méretünket vagy a privát e-mail címünket egy ügyfélnek, aki ehhez ragaszkodott, az önmagában nem jogsértés. De ha emiatt a „legdúskeblűbb ügyfelünknek” elnevezésű ajándékcsomag jön a nevünkre a munkavédelmis srácoktól vagy éppen a privát e-mailt kikuncsorgó személy hónapokon keresztül ostromol minket, akkor már más a helyzet. E szabályok megsértésének előbbiekben bemutatott „továbbélése” már olyan mértékű és jellegű beavatkozás a magánszférába, amely a polgári jog szerint jogi elégtételt (pl. sérelemdíjat) indokol.
Egy nemrégiben közzétett kúriai határozat tételesen kimondja: „A GDPR 6. cikk (1) bekezdésében rögzített, a személyes adatok kezelésére vonatkozó szabályok megszegése önmagában nem eredményezi a Ptk. 2:43. § e) pontjában szereplő ... személyes adatok védelméhez való jog megsértését, és abból nem következik automatikusan a Ptk. 2:52. §-ában szabályozott sérelemdíj alkalmazhatósága sem.” Más döntések indokolásában is megjelenik, hogy a személyes adat jogosulatlan kezelése önmagában, további tényállási elem hiányában nem alapozza meg a személyiségi jogi igényt. Magyarán: a bíróság akkor lát személyiségi jogsértést, ha a GDPR-szabályszegés egyúttal közvetlenül támadja az érintett emberi méltóságából fakadó jogait, például a magánéletét, jóhírnevét, stb. Ez összhangban áll azzal az elvvel, hogy a polgári jogi személyiségvédelem a személy ellen irányuló, súlyosabb, méltóságot sértő beavatkozások esetén nyújt jogorvoslatot. Csak akkor beszélhetünk Ptk. szerinti jogsérelemről, ha a GDPR-sértés olyan hatást gyakorolt az érintettre, ami sérti az emberi méltóságát vagy a magánélet tiszteletét. Ezt az összefüggést a felperesnek kell bemutatnia a perben, hiszen, ha a felperes állít, akkor a felperes bizonyít. És biztosan nem lesz elég, ha a családtagok lenyilatkozzák, hogy „a Piri azokban a napokban nagyon szomorú volt”.
Egy felperes e-mail címével történt adminisztrációs hiba miatt indított pert. A cégnyilvántartásba tévesen az ő személyes e-mail címéhez nagyon hasonló címet jegyeztek be hivatalos elérhetőségnek. Emiatt éveken át kapott kéretlen leveleket, amelyeket tulajdonképpen az alperesnek (vállalkozásnak) szántak, de a cím-elírás folytán nála landoltak. Érthető módon ez bosszantotta: arra hivatkozott, hogy a mulasztás miatt folyamatos kellemetlenség érte, és ezért sérelemdíjat követelt a személyes adatai jogellenes kezelése miatt.
Mit szólt ehhez a bíróság? Első fokon megítélték a sérelemdíjat, mondván az e-mail cím személyes adat, jogsértő közzététele hátrányos következményekkel járt (a spam-áradat), így fennáll a személyiségi jogsértés. A másodfok viszont az ellenkezőjére jutott – és végül a Kúria is osztotta ezt az álláspontot. A Kúria rámutatott, hogy ebben az esetben a téves e-mail cím bejegyzése nyilvánvaló elírás volt, nem irányult a felperes személye ellen, és amint kiderült, az alperes ki is javíttatta. Önmagában az a tény, hogy a felperes e-mail címét egy pontatlan karakter miatt jogellenesen kezelték (és emiatt kéretlen levelei érkeztek), nem minősült olyan súlyú jogsérelemnek, ami személyiségi jogi igényt megalapozna. Magyarul: bosszantó és kellemetlen, de nem érte olyan erkölcsi hátrány vagy méltóságsérelem, amiért a polgári bíróság kárpótlást ítélne meg.
Ez a példa rávilágít, hogy puszta kényelmetlenség vagy technikai szabálysértés még nem elég a sikeres perhez. Kell valami további tényező: például, ha a jogsértés rossz színben tüntet fel, lejárat, megaláz, vagy érzékeny magánéleti információk jogosulatlan nyilvánosságra hozatalával méltóságában sért – na, ott már nyílik a pénztárca (a sérelemdíj formájában).
Előfordul, hogy a személyes adataink védelme ütközik mások jogával vagy egy tágabb érdekével – tipikusan a sajtó vagy nyilvánosság igényével. Egy ismert üzletember esete jól példázza ezt: felkerült a sajtóban az „50 leggazdagabb magyar” listára, ahol nem csak a vagyonára vonatkozó adatokat tették közzé, hanem korábbi büntetőügyeiről is említést tettek. Ő nem járult hozzá az adatai publikálásához, sőt kifejezetten tiltakozott ellene. Felvetődik a kérdés: a hozzájárulás nélküli adatközlés sérti-e a személyiségi jogait?
A bíróság végül arra a következtetésre jutott, hogy a konkrét esetben a közérdek (a nyilvánosság tájékoztatásához fűződő érdek) erősebb volt, mint az üzletember adatvédelmi igénye. Figyelembe vették, hogy az illető közismert személyiség, gyakran nyilatkozik a sajtóban, a büntetőügye sem titok, ráadásul tevékenysége a gazdaságra érdemi hatással van – tehát jelentős közérdeklődés mutatkozik a vagyoni helyzete és az azt befolyásoló tényezők iránt. Mindezek alapján a bíróság kimondta, hogy az adatközlés egy közügy részének tekinthető, a sajtószabadság gyakorlása körébe esik, így nem jogellenes – hiába történt a felperes tiltakozása ellenére, nem valósult meg személyiségi jogsértés. Ebben az ügyben tehát a GDPR-szabályok megsértése (hozzájárulás hiánya) nem eredményezett polgári jogi felelősséget, mert a körülmények alapján a felperes nem tudta igazolni, hogy emberi méltóságát vagy magánéletét érő sérelem történt.
A fenti esetek tanulsága, hogy önmagában egy GDPR-cikkely megsértésére alapozva nem érdemes sérelemdíjra számítani. Ha valaki pert indít személyes adatainak védelme érdekében, az alábbiakat mindenképp tartsa szem előtt:
Összefoglalva: A GDPR ad egy ernyőt az adatvédelemhez, de a polgári bíróság csak akkor lép közbe sérelemdíjjal, ha az ernyő kilyukadásából következően valóban meg is áztunk. Ezért mielőtt pert indítunk egy adatvédelmi incidens miatt, gondoljuk végig, miben nyilvánult meg a személyes sérelmünk. Ha csupán technikai szabályszegés történt, de nem ért minket valódi méltóságbeli vagy magánéleti hátrány, akkor a per legvalószínűbb eredménye a felperes oldalán a költségek viselése lesz. Hiszen az ügy alperesének ügyvédjét felperesi pervesztesség esetén felperes fizeti, a saját ügyvédjéről nem is beszélve. És ez nem lesz kevés.
A Kúria 2023-ban hozott precedensértékű döntése szerint a bíróságok nem mérsékelhetik önkényesen a pernyertes fél által igényelt ügyvédi munkadíjat. Ezt követően az igazságügyi miniszter új rendelete megerősítette a Kúria által elindított reformot, és előírta, hogy a pervesztes félnek teljes egészében meg kell térítenie a pernyertes fél oldalán felmerült ügyvédi munkadíjat. A bíróságok csak kivételes esetekben mérsékelhetik ezt az összeget. Ezt a kérdéskört most nem bontom ki jobban, külön blogcikkre érdemes.
A tárgyalt témával nem kívánom elvenni a sérelmet szenvedettek kedvét a jogérvényesítéstől. Ha az adatkezelés ténylegesen túlment egy határon – például lejáratta, megalázta vagy kiszolgáltatott helyzetbe hozta az érintettet –, akkor már igenis van helye a személyiségi jogi igényérvényesítésnek. A lényeg tehát: a GDPR megsértése nem automatikus belépő a bíróságra – a siker kulcsa a többlettények és az egyéni sérelem hiteles bemutatása.
Disclaimer: A fenti összefoglaló nem teljes körű jogi tanács, csupán iránymutatás. Adatvédelmi jogsértés gyanúja esetén érdemes szakemberhez fordulni, aki segít felmérni, hogy az adott eset túlmutat-e egy puszta GDPR-incidensen, és megalapoz-e személyiségi jogi igényt.
szerző:
Dr. Varga M. Péter - LL.M.
irodavezető ügyvéd
munkajogi és adatvédelmi szakjogász
