Amikor a GDPR már nem segít – egy online kaszinó és a hozzáférési jog határai

/in /by

Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) jelentős előrelépést jelentett a személyes adatok védelme tekintetében, azonban az érintettek sokszor visszaélésszerűen élnek a GDPR által biztosított jogaikkal, amely jelentősen megnehezíti az adatkezelők mindennapjait.

Egy friss ítélet azonban rámutatott: a hozzáférési jognak is vannak korlátai. A Landgericht Dortmund (Dortmundi Regionális Bíróság) egy online kaszinó ügyében kimondta, hogy az érintetti jogokat nem lehet visszaélésszerűen gyakorolni.

Miről szólt az ügy?

A dortmundi bíróság 2025. április 8-án egy online szerencsejátékkal kapcsolatos ügyben hozott döntést, melyben a GDPR által garantált, az érintett hozzáféréshez való jogának visszaélésszerű gyakorlását állapította meg a bíróság.

Az érintett – aki korábban egy online kaszinóban játszott – kártérítési pert kívánt indítani, mivel az adott kaszinó egy ideig engedély nélkül működött Németországban. A játékos azt állította, hogy ezen időszakban jelentős befizetéseket teljesített a kaszinó felé, mely befizetések teljes összegét nem veszítette el a szerencsejáték során, így a kaszinó köteles az el nem veszített összeget visszafizetni, ezért szerette volna ezt a veszteséget bíróság előtt érvényesíteni. Csakhogy nem tudta, hogy mikor és pontosan mennyi pénzt veszített, nem készített, vagy már nem voltak meg neki saját feljegyzései a játszmákról és a veszteségekről, nem tudta alátámasztani, hogy a kaszinóban nem veszítette el a teljes befizetett összeget és megjelölni sem tudta, hogy ha nem veszített el mindent, akkor mekkora összeggel tartozik neki a kaszinó.

A szerencsétlenül járt játékos a felmerült probléma megoldását a GDPR által garantált hozzáférési jogban próbálta megtalálni. Élelmes módon arra gondolt, hogy a személyes adat GDPR szerinti fogalmába a lejátszott játékok, valamint azok eredményei beletartoznak és tekintettel arra, hogy a játékok adatai szükségesek egy esetleges vita rendezéséhez alappal feltételezte, hogy a kaszinó ezeket az adatokat tárolja is saját védelme érdekében.

Alanyunk ennek megfelelően élve a GDPR által garantált lehetőséggel hozzáférési kérelmet nyújtott be a kaszinóhoz; kérte, hogy adják át neki az összes rá vonatkozó adatot, így a játszmák és veszteségek adatait is, annak érdekében, hogy kiszámíthassa, pontosan mekkora összeget is követelhetne vissza.

Terve azonban már az első lépcsőfoknál megakadt: a kaszinó a kérelmét elutasította, mivel azt visszaélésszerű kérésnek vélte, az adatokat nem adta át, melyet azzal indokoltak, hogy azokat nem a GDPR céljaival összhangban álló célra, hanem egy a GDPR-tól független alapon indítandó per előkészítésére kívánta felhasználni a kérelmező.

Az érintett a kaszinó elutasítását jogszerűtlennek tartotta, ezért bírósághoz fordult, kérte az adatok kiadását és amennyiben az adatok alapján a kaszinó ténylegesen tartozik, a marasztalását is az el nem vesztett összegek erejéig. A felperes várakozásaival ellentétben azonban a bíróság a kaszinónak adott igazat, a bíróság szerint a kérés joggal való visszaélésnek minősült, így az adatok hiányában a marasztalási kérést is elutasította.

Miért visszaélés?

A GDPR 12. cikk (5) bekezdése b) pontja szerint az adatkezelők megtagadhatják a hozzáférést, ha a kérelem „egyértelműen megalapozatlan” vagy „túlzó”. A bíróság úgy értelmezte a GDPR rendelkezését, hogy ez a felsorolás nem teljeskörű és kizárólagos, más, visszaélésszerű helyzetek fennállása esetén is megalapozottan tagadhatja meg egy adatkezelő a hozzáférési kérés teljesítését.

Az ítéletben hangsúlyozták: a hozzáférési jog célja nem az, hogy valaki a GDPR-t pereskedés előtt vagy annak során bizonyíték gyűjtésre használja, hanem az adatkezelési folyamatok átláthatóságának biztosítása, valamint lehetőség teremtése arra, hogy az érintett ellenőrizhesse, hogy az adatkezelésre jogszerűen, illetve az adatkezelő által nyújtott tájékoztatásnak megfelelően kerül-e sor, erre utal a GDPR 63. preambulumbekezdése is, mely kimondja, hogy „Az érintett jogosult, hogy hozzáférjen a rá vonatkozóan gyűjtött adatokhoz, valamint arra, hogy egyszerűen és észszerű időközönként, az adatkezelés jogszerűségének megállapítása és ellenőrzése érdekében gyakorolja e jogát.” az esetünkben azonban a felperes nem azt akarta ellenőrizni, hogy a kaszinó milyen adatokat kezel róla és azokat megfelelően kezeli-e, hanem kizárólag azt szerette volna megtudni, hogy mennyi pénzt veszített, és ezt kártérítési igényének alapjául akarta felhasználni.

A bíróság továbbá összehasonlította az ügybéli helyzetet más, hasonló helyzetekkel, ahol az érintett nem fér hozzá saját adataihoz. Ilyen helyzet tipikusan az egészségügyi adatokhoz való hozzáférésnél áll fenn: egy beteg sokszor nem tud hozzáférni, nem rendelkezik az összes rá vonatkozó információval, lelettel, eredménnyel. Neki valóban nincs más reális lehetősége, csak az orvosnál tárolt adatok megismerése, és nem elvárható tőle, hogy ezekről nyilvántartást vezessen akár évekre visszamenőleg. A bíróság álláspontja szerint azonban egy játékos esetében – aki maga is vezethetett volna nyilvántartást a veszteségeiről – nem áll fenn ugyanez a szükséghelyzet.

A bíróság szerint ezért a felperes kérelme már túlmutat a GDPR által garantált jog célján, és a jog ilyen gyakorlása visszaélés szerű joggyakorlás. Ez az ítélet ritka példa arra, hogy egy bíróság a hozzáférési jogot megtagadta joggal való visszaélésre hivatkozva.

Az ítélet azért is különleges jelentőséggel bír, mivel általánosságban a bíróságok inkább az érintettek oldalán állnak, és szűken értelmezik az „abuse of rights” (joggal való visszaélés) fogalmát. Most azonban a dortmundi bíróság rámutatott:

• A GDPR nem használható minden célra, különösen nem polgári jogi perek előkészítésére.
• Az adatvédelemre létrejött jogszabályok nem helyettesítik a polgári eljárásjog által garantált eljárás során alkalmazható információgyűjtési cselekményeket.

Ez egyfajta figyelmeztetés mind az érintetteknek, mind a jogászoknak: a GDPR erős eszköz, de nem svájci bicska, amit bármilyen célra elő lehet húzni.

Az Európai Bíróság (CJEU) több ügyben (például C-307/22, C-416/23, C-38/21) kimondta, hogy az uniós jog tiltja a jogok visszaélésszerű gyakorlását. Ez az általános elv most a GDPR kapcsán is alkalmazást nyert egy egyedi ügyben.

Mit jelent ez nekünk Magyarországon?

Tekintettel arra, hogy a döntés Németországban született, magyar felhasználókra egyelőre nincs hatása. Ha a gyakorlat átvételre kerül, akkor a GDPR továbbra is védi az érintettek jogait, ha azt szeretnénk tudni, hogy egy adatkezelő mit tárol rólunk és milyen alapon, valamint azt mire használja fel, ezekhez jogunk van hozzáférést kérni, de a hozzáférési kérelmet a GDPR valódi céljára érdemes használni. Így, ha ellenőrizni szeretnénk, hogy egy webáruház törölte-e a régi címünket, vagy ha gyanús adatkezelést tapasztalunk, nyugodtan adjuk be a kérelmet, azonban várhatóan nem használhatjuk majd a GDPR-t „fegyverként” vagy kiskapuként. Ha perelni akarunk valakit és nem tudjuk, hogy pontosan mit is szeretnénk kérni, a szükséges információkat, bizonyítékokat a polgári peres szabályok szerint érdemes beszereznünk, nem az adatvédelem eszközeivel visszaélve.

dr. Humbert Kitti / Fischer Zoltán