Adatvédelem: így tárolhatók az ügyfelektől bekért információk

Az ügy előzménye, hogy 2020. májusában a Nemzeti Adatvédelmi és Információszabadság Hatóság
(NAIH) adatkezelési hiányosságokat tárt fel a DIGI internetszolgáltatónál, és 100.000.000 forint
összegű adatvédelmi bírságot szabott ki a DIGI-re.

Az adatkezelés során a célhoz kötöttség elvén túlmenően adatbiztonsági előírásokat is megsértett. A személyes adatok között szerepeltek nevek, telefonszámok, e-mail címek és igazolványszámok is. Az problémát egy etikus hacker fedezte fel és jelentette a DIGI felé, a DIGI pedig adatvédelmi incidens keretében bejelentette ezt a hatóságnak.

A DIGI a Fővárosi Törvényszék előtt megtámadta a NAIH határozatát, arra hivatkozással, hogy a
tesztadatbázis létrehozatala nem változtatta meg az adatkezelés célját, miután abból nem következik
olyan előírás, amely meghatározná, hogy mely adatbázisban szükséges adatkezelést lefolytatnia az
adatkezelőnek, továbbá a DIGI azt is állította, hogy a tesztadatbázis létrehozatalának az volt a célja,
hogy jobban megfeleljen a biztonságos adatkezelés követelményének.

A Fővárosi Törvényszék felfüggesztette az eljárást és előzetes döntéshozatal iránti kérdéssel fordult az
Európai Bírósághoz arra vonatkozóan, hogy megváltoztatta-e az adatkezelés célját az ügyféladatok
átmásolása a tesztadatbázisba, valamint, hogy a tesztadatbázis létrehozatala összhangban van-e az
adatkezelés céljával. A Fővárosi Törvényszék arra is rákérdezett, hogy abban az esetben, ha a
tesztadatbázis létrehozatala nincsen összhangban a célhoz kötöttség elvével, akkor hogyan érvényesül
az adatok korlátozott tárolhatóságának elve a tesztadatbázis vonatkozásában.

Az Európai Bíróság október 20-i döntésében egyrészt rámutatott, hogy önmagában a célhoz kötöttség elvével

Azt ugyanakkor már a Fővárosi Törvényszéknek kell majd meghatároznia, hogy a konkrét ügyben teljesültek-e az előzetes döntésben meghatározott kritériumok. Az Európai Bíróság a korlátozott tárolhatóság elvével összefüggésben arra is rámutatott, hogy azzal ellentétes, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztadatbázisban a szükségesnél hosszabb ideig tárolja.