Adatvédelmi Szakmai Egyesület Hírek Az adatkezelői felelősség mint kvázi veszélyes üzem

Az adatkezelői felelősség mint kvázi veszélyes üzem


A magyar magánjog első deliktuális különös tényállása a hatásában a „XIX. század mesterséges intelligenciájának” tekinthető vasút miatt jelent meg, bár a ma hatályos Polgári Törvénykönyv felelősségi rezsimszerkezetétől eltérően külön törvénycikk tárgyát képezte. A jogalkotó akkor ismerte fel elsőként, hogy az ipari forradalom teremtette új kihívások új megközelítéseket kívánnak a jogrendszerben, azon belül a kártérítési felelősség körében is. A veszélyes üzem technológiai fejlettségtől függően koronként dinamikusan változó fogalma ugyanis azt jelenti, hogy a károkozás mögött nincs már közvetlenül megragadható emberi hiba, mulasztás, illetve a károkozás nagyságrendje olyan mértéket ölthet, melyet egyetlen személyre telepítve teljesen kiüresítheti a jogintézmény reparatív és preventív funkcióját is. A kártelepítés logikája tehát az, hogy viselje a felelősséget az. akinek érdekében áll adott veszélyes tevékenység üzemeltetése, hiszen neki van lehetősége arra is, hogy azt minél biztonságosabbá tegye. De mi köze van mindennek a XXI. századi adatkezelő felelősségéhez? A cikkből kiderül!

A bevezetőben hivatkozott törvénycikk érdekessége, hogy mai szemmel első olvasatra pont, hogy kizárja a vasúttársaság felelősségét, hiszen úgy fogalmaz a vonatkozó szakasz, hogy „Ha valamely, habár a közforgalomnak még át nem adott vaspálya üzeménél valaki életét veszti, vagy testi sértést szenved, az ezáltal okozott károkért az illető vaspálya-vállalat felelős, kivéve, ha a vállalat bebizonyitja, hogy a halált vagy a testi sértést elhárithatlan esemény (vis major), vagy egy harmadik személynek elhárithatlan cselekménye, melyet a vaspályatársulat megakadályozni képes nem volt, vagy a megholtnak, illetőleg a sérültnek saját hibája okozta.” A „habár” itt ugyanakkor nem korlátozó, hanem kiterjesztő jellegű, tehát nem csak az át nem adott vasútüzemre vonatkozik, hanem azt jelenti, hogy már az átadás előtt is felelőssége van a vasúttársaságnak, aminek azért van, illetve volt jelentősége a XIX. században, mert egy-egy vasútvonal elkészülése és átadása között jelentősebb idő telt el. A „habár” tehát fogalmilag rámutat arra, hogy az építés, próbaüzem és egyéb szakaszok alatt is ugyanaz a felelősség mint a rendes üzemeltetésnél, a veszély (és a felelősség) tehát nem az utasok szállításával keletkezik, hanem magának a tevékenységnek a kifejtésével, hogy a vasúti pályán vasúti szerelvények közlekedtek (akár szállítottak utast, akár nem).

A veszélyes üzem mai fogalma részben a jogszabályból, részben a bírói joggyakorlatból származik.

A veszélyes üzemi tevékenység során kisebb mulasztás vagy csekély üzemzavar esetén is több személy és jelentősebb vagyontömeg kerülhet veszélybe, a következményeket erősítik fel a gépi folyamatok. Ebből adódóan mindig vizsgálandó az egész folyamat idővonala, teljes műszaki-technikai láncolata, hogy pontosan levezethető legyen a mulasztás, üzemzavar, rendellenesség pontos hatása a folyamatban részt vevőkre. A bírói gyakorlat esetcsoportjai szerint a veszélyes üzem gépi meghajtású járművek, berendezések, üzemek lehetnek, robbanó, sugárzó vagy mérgező anyagok, építkezés, bányászat és egyéb nagy volumenű, nagy környezeti behatással járó tevékenységek. A felsorolásból de a jogintézmény természetéből is látszik tehát, hogy a fogalom dinamikusan változik: a technológiai fejlődéssel új esetcsoportok alakulnak ki és válnak veszélyes üzemmé.

Hogyan lehet valami veszélyes üzemi felelősség? Jogszabály előírhatja, hogy a tevékenységet végző a veszélyes üzemi felelősség szabályai szerint felel: ilyen a hatályos Ptk-ban az emberi környezetet veszélyeztető tevékenységet végző és a veszélyes állat tartója. Jogszabály előírhatja továbbá, hogy az adott (nem veszélyes üzemi) tevékenységet végző kimentési szabályaira a veszélyes üzemi felelősség kimentési szabályait kell alkalmazni bizonyos jogpolitikai indokok miatt: ilyen lehet a vadászható állat által okozott kárért való felelősség, és ilyen az adatkezelő felelőssége is. Utóbbi kettő tehát dogmatikailag a veszélyes üzemi felelősséghez hasonló „kvázi veszélyes üzemi felelősség”, ahol nem a teljes szabálykészletet hanem csak a kimentési feltételeket alkalmazzuk.

Milyen esetcsoportok lehetnek az adatkezelő kvázi veszélyes üzemi felelőssége körében és hogyan alakulhat a kimentés?

Védekezhet-e egy polgármesteri hivatal 2026-ban azzal a bíróság előtt, hogy támadás érte szervereit, és nem tehet róla, hogy a településen helyi adót fizető lakosai összes személyes adatát megszerezték a támadók? A rövid válasz az, hogy nem.

2026-ban a kiberbiztonság a közfeladatot ellátó közigazgatási szerveknél nemzeti és uniós jogszabályok által szabályozott, folyamatba épített követelmény, megfelelő megelőző-óvó intézkedések, védekezés nélkül a támadás nem minősülhet működési körön kívül eső, elháríthatatlan oknak. Elméleti alapon kimentési okként kezelhetnénk egy olyan, soha nem látott, globális kibertámadást, amelyet a sci-fik „zero day-ként” szoktak hívni. Ez viszont feltehetően olyan visszafordíthatatlan károsodást okoz, hogy kisebb gondja is nagyobb lesz a települési lakosságnak, hogy személyes adatai kiszivárgása miatt aggódjon, de elméleti szinten mint kimentési ok ezt vethetjük fel mai tudásunk szerint.

Azt ugyanakkor fontos aláhúzni, hogy a kimentés körében nem rendkívüli eseményt kell felmutatni, hanem többek között azt, hogy az adott esemény a szokásos vagy a szokatlan kockázati körbe tartozik-e 2026-ban. Az első hibrid hadviselési forma, amely a fegyveres támadás mellett az ellenség kritikus infrastruktúráit digitális úton támadta, minősülhetett szokatlan, addig nem látott kockázatnak, amely kimentési lehetőséget tartalmaz. Amióta viszont ismert a hibrid hadviselés fogalma és gyakorlata, átkerült a szokásos kockázati körbe, amely nem ad lehetőséget a mentesülésre.

A példa hasonlít a kontraktuális felelősségi körben a covid első hullámára, amely egy addig soha nem látott és tapasztalt globális világjárvány hatásaival szemben nem tartalmazott érvényes, hatásos megküzdési stratégiákat, és kimentési okként működhetett, ha sok más körülmény mellett a szerződéskötés időpontja a covid kitörése előttre esett. A covid további hullámaiban azonban már egyre több ismeretanyag halmozódott fel, és elsődleges fontosságú körülményként a szerződéskötés időpontjában már lehetett tudni a szerződő felek részéről, hogy globális világjárvány dühöng, amely megnehezíti az adott szolgáltatás teljesítését, viszont a nem szerződésszerű teljesítés alóli kimenekülésre már nem megfelelő hivatkozás. Amennyiben tehát a zero day 1.0 után elkövetkezik a zero day 2.0 már nem hivatkozhatunk arra, hogy sajnálatos módon ez egy olyan szokatlan kockázat volt, amire nem tudtunk felkészülni, ezáltal működési körünkön kívülálló, elháríthatatlan oknak minősül és a felelősségünket nem alapítja meg.

Az Infotv. 24. § (3) bekezdésének kimentési szabálya gyakorlatilag azonos a veszélyes üzemi felelősség kimentésével, ezért a Ptk. 6:535. §-ához kialakult bírói gyakorlat itt is alkalmazhatónak tűnik. Ennek értelmében az adatkezelő kivételes esetben mentesülhet, mert a tevékenységi kör fogalma rendkívül tág, a mentesülés csak olyan külső, rendkívüli eseménynél képzelhető el, amely az adatkezelési tevékenységtől független és kellő gondosság mellett sem volt elhárítható. Az Infotv. nem pusztán objektivizált felelősséget szabályoz tehát, hanem a veszélyes üzemi felelősséghez hasonlóan a bizonyítási terhet is az adatkezelőre telepíti, ami a kvázi veszélyes üzemi felelősség talán legfontosabb jellemzője. A tevékenységi kör természetesen nem csak rendkívüli esemény hanem szervezési kérdés is: mennyire volt felkészült adott szervezet a példában nevesített támadás előtt. Megfelelő színvonalú műszaki-informatikai rendszere volt-e, az átesett-e rendszeres ellenőrzésen, karbantartások, a személyzet részesült-e rendszeres továbbképzésekben, voltak-e szimulált és aztán alaposan kielemzett próbatámadások stb.

Az Infotv. 24. §-át jelentősen árnyalja a GDPR 82. cikkének (3) bekezdése, mely szerint „Az adatkezelő, illetve az adatfeldolgozó mentesül az e cikk (2) bekezdése szerinti felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.”

A szakirodalom sajnos nem segített abban, hogy az első látásra egymásnak ellentmondó két kimentési klauzula viszonya milyen: azonos jelentéstartalmúak? Vagy esetleg a GDPR kifejezéshasználata olyan tág, hogy még a cikkben felvázolt kvázi veszélyes üzemi felelősségi kimentési szabályánál is szigorúbban húzza meg a károkozó adatkezelő számára a kimenekülési útvonalat? Eltérés esetén mint közvetlenül alkalmazandó uniós norma biztos, hogy a GDPR szakasza élvez elsőbbséget a bíróságon, ugyanakkor érdekes kérdés de sajnos nem találtam rá választ az Infotv. módosítása kapcsán az indokolásban, hogy miért választotta a nemzeti jogalkotó 2018-ban ezt a több mint száz éves hagyományra visszatekintő megoldást a kimentés kapcsán. Ez alapján tehát önmagában a cikk ezen pontján érvényes válasz nem adható arra, hogy az „adatkezelés körén kívül eső elháríthatatlan ok” ugyanazzal a mércével mér-e, mint a „semmilyen módon nem terheli felelősség” szakasz.

Az EUB ugyan értelmezte már a GDPR 82. cikkének (3) bekezdését például a bolgár adóhatóságot ért kibertámadás kapcsán, ahol a mentesüléshez vezető utat azt jelentheti a bíróság szerint, ha a kárt előidéző esemény semmilyen módon nem tulajdonítható az adatkezelőnek, ez viszont nem a magyar működési kör fogalmából indul ki, ezért a két klauzula teljes tartalmi azonossága jelenleg nem állapítható meg. Az az elvárás viszont, hogy az adatkezelő mentesülhet, ha nem sértette meg a GDPR 5., 24. és 32. cikkei szerinti adatbiztonsági kötelezettségeket, nagyon hajaz a veszélyes üzemi tevékenység működési körének értelmezéséhez.

Az is lehet, hogy a kérdésfeltevésem rossz: nem az a kérdés, hogy miért szerepel a kvázi veszélyes üzemi felelősség a kimentés körében az adatkezelőnél az Infotv-ben és az hogy viszonyul a GDPR-hoz, hanem lehet hogy az a kérdés (és egyben a válasz is), hogy a szabály meghagyása konkretizálja-e a meglehetősen általános GDPR szabályt a bírósági gyakorlat számára, az Infotv. tehát nem konkurencia, hanem értelmezési segédlet a GDPR-hoz.

Kutatásaim kiterjedtek más tagállami összeütközésre vagy legalábbis bizonytalan értelmezési tartományt keresésére, de amennyire fel tudtam térképezni például a német és az osztrák jogalkotási gyakorlatot, ott egyszerűen beillesztették a deliktuális felelősségi rezsimbe és nem tapasztottak hozzá egy több mint száz éves jogintézményt. Ennek fényében még érdekesebb – és bosszantóbb – hogy a jogalkotó 2018-as Infotv-módosítási akaratának háttere nem világos az elérhető indokolásból.

Ekkor tekintettem még korábbra, és megnéztem, hogy az Infotv. 2011. 07. 26-i közlönyállapota szerint az eredeti szakasz hogy szólt: 23. § (1) Az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Az érintettel szemben az adatkezelő felel az adatfeldolgozó által okozott kárért is. Az adatkezelő mentesül a felelősség alól, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. A GDPR hatályba lépésekor a jogalkotónak két lehetősége volt: változatlanul hagyja a szabályt vagy átveszi a GDPR szóhasználatát. Előbbi megoldást alkalmazta – csak nem adott rá választ a módosító jogszabály indokolásában. Sem nyelvtani, sem dogmatikai, sem történeti értelmezés nem visz közelebb ahhoz, hogy miért ez a ma hatályos szabály, és hogy oldható fel az ellentmondás a GDPR szövegével – ha van egyáltalán ellentmondás.

Itt még egy értelmezési tartomány kínálkozik: megnézni, hogy az Infotv. hatálybalépésekor mit mondott az indokolás erről az előző bekezdésbeli szakaszról. Az indokolás nem azt mondja, hogy az adatkezelés veszélyes, hanem hogy az érintettel szemben az adatkezelő van döntési pozícióban. A veszélyes üzemnél az objektív felelősség indoka a veszélyforrás feletti uralom, ami jelen témánk szempontjából az információs hatalom. Míg a veszélyes üzemi felelősség objektivizálását a veszélyforrás feletti uralom indokolja, addig az Infotv. – eredeti – indokolása szerint az adatkezelő objektív felelősségének alapja az adatkezelő és az érintett közötti információs és döntési aszimmetria. A két felelősségi alakzat indoka tehát eltérő, de közös jellemzőjük, hogy a jogalkotó a fokozott ellenőrzési és befolyásolási lehetőséggel rendelkező félre telepíti a kockázatot.

A jogszabály működési körön kívüli elháríthatatlan ok fogalmát az indokolás így magyarázza: „kimentő okként csak vis maior vagy az érintett szándékos vagy súlyosan gondatlan magatartása szolgáljon”. A működési kör ugyanakkor jóval tágabb mint a vis maior, legtipikusabb példája a harmadik személy magatartása a működési körben, de az indokolás ezt egyszerűsíti le a vis maior esetekre. A 2011-ben még létező nemvagyoni kártérítés jogintézménye ismeretében az „objektív alapon megtérítendő vagyoni és a szubjektív alapú nem vagyoni károk” még helyes megállapítás volt, de 2014 óta a sérelemdíj jogintézményének bevezetésével már nyilvánvalóan nem alkalmazható.

Összességében tehát arra jutottam, hogy az Infotv. nem azért közelít a veszélyes üzemi felelősséghez, mert az adatkezelést fokozott veszéllyel járó tevékenységnek tekinti, hanem azért, mert azonos felelősségpolitikai megoldást alkalmaz: a tevékenység felett döntési és ellenőrzési pozícióban lévő személyre telepíti a kockázatot, és számára csak rendkívül szűk körben enged mentesülést. Az Infotv. objektív felelősségének igazolása így ugyanarra a kockázattelepítési logikára épül, mint a veszélyes üzemi felelősség, csak a veszélyforrás helyét az információs és döntési fölény veszi át.


Írta: Dr. Kajó Cecília