GDPR

Adatvédelem mindenkinek / Data protection for everyone

30 millió forintos adatvédelmi bírsággal indul a fesztiválszezon

2019. június 14. 11:50 - poklaszlo

Az adatvédelmi hatóság (NAIH) – az eddig legnagyobb bírságot kiszabva – 30 millió Ft megfizetésére kötelezte a Sziget Zrt-t a nagyobb fesztiváljaira történő beléptetéssel kapcsolatos adatkezelésekre tekintettel. A NAIH hosszabb időszakot vizsgált, 2016. június 1-től induló időszakot érintette az eljárás. Ez alapján pedig a megállapítások és a szankciók is két elkülönülő időszakra vonatkoznak: (i) 2018. május 24-ig terjedő időszak (GDPR előtt), (ii) 2018. május 25-től kezdődő időszak (GDPR után). A bírságot a GDPR utáni időszak tekintetében megállapított jogsértések miatt szabta ki a Hatóság.

1. Mit vizsgált a NAIH? Milyen adatok kezelésére került sor, milyen célból és jogalapon?

GDPR előtti időszak

A NAIH a nagy fesztiválok esetében alkalmazott beléptetési gyakorlatához kapcsolódó adatkezelést vizsgálta (2016-ban érkezett panaszok alapján indult az első vizsgálat). Az eredetileg alkalmazott eljárás szerint a beléptetés során beszkennelték a vendégek személyi igazolványát, és a panaszok szerint nem adtak megfelelő tájékoztatást az érintetteket az adatkezelés körülményeiről (milyen célból és mennyi ideig kezelik a személyi igazolványokról készített másolatot, azt mire használják fel, stb.). A személyazonosító okmányból az alábbi adatokat rögzítették: állampolgárság, név, okmány típusa, száma, lejárata, születési dátum, nem. A beléptetés során továbbá az érintettről kép- és hangfelvétel készült.

Az adatkezelés jogalapjaként - eredetileg - az érintett hozzájárulása került meghatározásra. A szervező fenntartotta magának azt a jogot, hogy ha az érintett fentiekhez nem adta meg a hozzájárulását, akkor a belépésre szolgáló karszalagot érvényteleníthette és a rendezvényre való belépést megtagadhatta. Később a jogalap tekintetében a szervező a jogos érdekre hivatkozott (Infotv. korábbi 6. § (5) bekezdés b) pont), de az érdekmérlegelési tesztet nem végezte el.

Az adatkezelés célja a terrorfenyegetettség csökkentése, a hatóságok által kockázatosnak minősített személyek kiszűrése, így a rendezvény és a látogatók biztonságának előmozdítása volt, továbbá az adatkezelés célja a belépéssel kapcsolatos visszaélések kiszűrése is volt (ne tudjon több különböző személy ugyanazzal a karszalaggal belépni).

GDPR utáni időszak

A szervező változtatott a belépéssel kapcsolatos gyakorlatán és a jegyek perszonalizációja során a szükségesnek tartott adatokat (látogató vezeték- és keresztneve, születési dátum, származási ország, nemzetiség és nem, valamint okmányon lévő fénykép) a személyazonosító okmányból kiolvasva, de már az okmány lemásolása nélkül rögzítette (ha az okmányon lévő fénykép rögzítése technikai okok miatt nem lehetséges, a helyszínen készített fényképet).

A karszalag becserélésekor a karszalaghoz rendelték a látogató személyes adatait, továbbá a látogató jogosultságait a karszalagon található ún. RFID chip segítségével, ami a karszalag elektronikus azonosítója. A beléptető kapuknál valamennyi belépés alkalmával sor kerül az RFID chip leolvasására. A beléptető kapuknál ezen ellenőrzés céljából a beléptető személyzet előtti monitoron megjelenítésre kerül a belépni kívánó személy képmása, neve, neme és születési ideje (adatok szűkített köre).

A beléptetés során végzett adatkezelés jogalapjaként a GDPR 6. cikk (1) bekezdés f) pontja (jogos érdek) került megjelölésre, a visszaélések kiszűrése és a látogatók személyi biztonságának biztosítása céljából.

Az érdekmérlegelési teszt két érdekkört azonosított: az ahhoz fűződő gazdasági érdeket, hogy az eladott jegyekkel ne lehessen visszaélni, továbbá a látogatók élethez és személyi biztonsághoz fűződő érdekét és a szervező rendezvény-szervezéssel kapcsolatos érdekét, amelynek elengedhetetlen feltétele, hogy a látogatók számára biztonságos környezetet tudjon biztosítani.

2. Milyen adatvédelmi jogsértéseket állapított meg a NAIH?

A GDPR előtti adatkezelés tekintetében azt állapította meg a Hatóság, hogy az adatkezelés

  1. nem megfelelő jogalap alapján történt,
  2. nem felelt meg a célhoz kötöttség elvének,
  3. az érintettek nem kaptak megfelelő előzetes tájékoztatást.

A GDPR alkalmazandóvá válását követően szervezett rendezvényeken alkalmazott beléptetési gyakorlat kapcsán a NAIH azt állapította meg, hogy az adatkezelésre

  1. nem megfelelő jogalap alapján,
  2. a célhoz kötöttség és az adattakarékosság elveinek megsértésével

került sor.

3. Milyen tanulságok szűrhetők le a határozatból?

Az alábbiakban elsősorban a GDPR utáni adatkezelés tekintetében megállapított jogsértésekkel foglalkozunk, amely a bírság kiszabásának alapjául is szolgált. Ugyanakkor kiemelek néhány olyan a GDPR előtti időszak vonatkozásában tett megállapítást is, amely a GDPR utáni időszakban is alkalmazandó lehet.

Hozzájárulás önkéntessége

Még a GDPR előtti adatkezelés vonatkozásában állapította meg a NAIH, de vélhetően a GDPR szerinti hozzájáruláson alapuló adatkezelések esetében is – az önkéntesség megítélése kapcsán – alkalmazható lesz az a következtetés, hogy „… nem tekinthető megfelelő jogalapnak a hozzájárulás olyan esetben, amikor a hozzájárulás meg nem adása nélkül nem érvényesülhet egy másik, attól független adatkezelés, illetve az ellenszolgáltatás megfizetésével igénybe vett szolgáltatás. A Hatóság álláspontja szerint tehát nem volt valódi választási lehetősége az érintetteknek a beléptetéssel összefüggő adatkezelés során.

Jogos érdeken alapuló adatkezelés

A jogos érdeken alapuló adatkezelés kapcsán a határozat több általánosan is alkalmazható megállapítást tartalmaz (a GDPR előtti és utáni időszak vonatkozásában is):

  • Az érintetti érdekek részletes vizsgálata szükséges, nem elég általánosságban rögzíteni az érintetti ellenérdekeket (jelen esetben az érdekmérlegelési teszt csak annyit jegyzett meg, hogy „az érintettek (…) adatkezeléssel szemben felhozható szempontjai általánosságban, mint minden adatkezelés kapcsán, hogy nem kívánják személyes adataik tárolását, kezelését”, azaz a Hatóság álláspontja szerint nem vizsgálta részletesebben, hogy az érintettek konkrétan mely jogait korlátozza az adatkezelés, hogy a korlátozás milyen mértékű és jár-e kockázattal, amennyiben jár, milyen kockázatot jelent az érintettek részére). Ennek hiányában az érdekmérlegelés nem teljes, nem felel meg a GDPR 6. cikkében foglaltaknak, így nem szolgálhat az adatkezelés megfelelő jogalapjául.
  • Az adatkezelő jogos érdeke alapján végzett adatkezelésnek is a szükséges és a cél elérésére alkalmas adatkörre kell korlátozódnia (jelen ügyben pl. egy fényképfelvétel és név rögzítése és a karszalag ezen keresztül történő megszemélyesítése szükséges lehet, de az ezen felüli adatkör, mint állampolgárság, személyazonosító okmány típusa, száma és lejárata, születési dátum és nem rögzítése már nem).
  • „… nem lehet olyan érdekekre hivatkozni a személyes adatok kezelése kapcsán, amelyekkel kapcsolatban az adatkezelő ténylegesen jogszerűen nem járhat el, tehet intézkedéseket, azaz amely adatok kezelése az adatkezelő szempontjából ténylegesen cél nélkülinek tekinthető, hiszen az adatot az adatkezelő az adott érdek érvényesítéséhez maga nem tudja felhasználni”, később azt is rögzíti a NAIH, hogy „az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontja nem ad alapot olyan érdekekre hivatkozással történő adatkezelésre, amelyekkel kapcsolatban az adatkezelő ténylegesen jogszerűen nem járhat el, tehet intézkedéseket, azaz amely adatok kezelése az adatkezelő szempontjából ténylegesen cél nélkülinek tekinthető.
  • A Hatóság elismeri ugyan a Kötelezett biztonságos rendezvények szervezéséhez fűződő gazdasági érdekét, azonban álláspontja szerint a Kötelezett által megjelölt célok (terrorcselekmények, erőszakos és egyéb, kábítószerrel kapcsolatos bűncselekmények megelőzése és megakadályozása) az erre feljogosított szervekkel való együttműködés útján valósíthatóak csak meg, maga a Kötelezett nem léphet az arra jogosult állami szereplők helyébe.” Ennek következtében a megjelölt, legitim cél (biztonságos rendezvények szervezése) eléréséhez más eszközök alkalmazása lehet szükséges és megfelelő.

Elszámoltathatóság

A NAIH rögzíti, hogy „az elszámoltathatóság elve alapján az adatkezelő kötelezettsége, hogy bizonyítsa, hogy az általa alkalmazott adatkezelés megfelel a rendeletben szereplő alapelveknek, így többek között köteles azt megfelelően bizonyítani, hogy adatkezelése megfelel a célhoz kötöttség és adattakarékosság elvének …”. Amennyiben az adatkezelés nem szükséges vagy alkalmatlan a meghatározott cél eléréséhez, mert pl. túlzott adatkörre vonatkozik, akkor az adatkezelő nem tudja igazolni a GDPR-nak való megfelelést sem, így sérül az elszámoltathatóság elve.

Készletező adatkezelés (célhoz kötöttség, adattakarékosság)

Azon adatok esetében, amelyek a cél elérsére alkalmatlannak bizonyulnak, megállapítható a készletező adatkezeléshez is, hiszen sérül a célhoz kötöttség és adattakarékosság elve.

A Hatóság álláspontja szerint készletezőnek minősül az olyan adatkezelés, amely alapja „egy jövőbeni bizonytalan esemény, egy kivételes helyzet, amely az esetek döntő többségében nem következik be”. Jelen ügyben pl. a látogatók származási országának a rögzítése abból a célból, hogy megállapítható legyen, hogy egy esetleges terrorcselekmény vagy egyéb bűncselekmény esetén mely ország külképviseleti hatóságát kell értesíteni, a NAIH álláspontja szerint nem felel meg sem a célhoz kötöttség, sem az adattakarékosság elvének, készletező adatkezelésnek minősül.

4. Milyen tényezőket vett figyelembe a Hatóság a bírság kiszabása során?

A Hatóság a bírságkiszabás során súlyosbító körülményként az alábbi tényezőket vette figyelembe:

  • az érintettek számát (több, mint nyolcszázezer fő);
  • a jogsértés szándékos jellegét, mivel az adatkezelő az általa készített érdekmérlegelési tesztben annak ellenére a terrorcselekmények, valamint más erőszakos és kábítószerrel kapcsolatos bűncselekmények megelőzését és megakadályozását jelölte meg, hogy a Hatóság a korábbi vizsgálati eljárás során több alkalommal kifejezésre juttatta, hogy az adatkezelést e célok elérése érdekében nem találja alkalmas eszköznek;
  • az adatkezelő piaci helyzetét (mivel a fesztiválok, szórakoztató célú tömegrendezvények piacának meghatározó súlyú szereplője, magatartásának megítélése kiemelt közfigyelem alá esik, és a piac egyéb szereplői számára is mintaként szolgálhat);
  • a kiszabott bírság akkor képes elérni célját, ha annak összege – az adatkezelő értékesítési árbevételéhez is viszonyítva – érezhető mértékű.

Enyhítő körülménynek minősült, hogy az adatkezelő részben eleget tett a Hatóság korábbi felszólításának (már nem hozzájárulás alapján kezeli a személyes adatokat, nem szkenneli be a személyazonosító okmány teljes adattartalmát).

Frissítés (2019.07.14.): A Parlament elfogadta azt a törvénymódosítást, amely lényegében lehetővé teszi a tömegrendezvények szervezőinek, hogy a NAIH által kifogásolt adatkezelést a jövőben jogi kötelezettség teljesítése körében folytassák (a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény módosításáról).

A módosítás szerint, ha a belépőjegy ellenében látogatható, zeneszolgáltatást főszolgáltatásként nyújtó tömegrendezvényre belépésre jogosító, forgalomba hozott jegyek száma meghaladja a 25.000 darabot, a tömegrendezvény szervezője

  1. a tömegrendezvényre belépő természetes személyek személyi biztonságának biztosítása,
  2. a bűncselekmények - kiemelten terrorcselekmények - hatékony megelőzésének, illetve felderítésének elősegítése, így különösen a tömegrendezvényen elkövetett bűncselekmények bizonyítása,
  3. körözött személyek azonosítása és elfogása
    céljából köteles a tömegrendezvényre belépésre jogosító jegy ellenében belépni szándékozó természetes személy (látogató) meghatározott személyes adatait rögzíteni.

A tömegrendezvény szervezője a tömegrendezvény befejezésének időpontjától számított 90 napig kezeli a látogató

  1. családi és utónevét,
  2. állampolgárságát,
  3. születési idejét,
  4. nemét,
  5. személyazonosításra alkalmas, arcképmását tartalmazó okmányát kiállító hatóság székhelye szerinti állam megnevezését, valamint
  6. arcképmását.

A tömegrendezvény szervezője az a)-e) pontja szerinti adatokat az azokat tartalmazó okmány alapján, az f) pontja szerinti adatot (arcképmás) az azt tartalmazó okmánynak kizárólag az ezen adatot tartalmazó részéről készített másolat útján rögzíti.

Amennyiben az adatok előzetes rögzítése történik meg a jegyvásárláskor, akkor az előzetesen rögzített adatokat a tömegrendezvény helyszínén, a tömegrendezvényre való belépést megelőzően - az okmány bemutatásával - össze kell vetni a látogató okmányának adataival. Amennyiben az elektronikus jegyvásárlás útján történő előzetes rögzítés során a látogató arcképe nem került rögzítésre, azt az összevetéssel egyidejűleg rögzíteni kell. Ha az összevetés eredménye alapján az állapítható meg, hogy az előzetes rögzítés során megadott adatok nem egyeznek meg a látogató okmányának adataival, úgy e látogató tekintetében az adatokat a tömegrendezvény helyszínén kell felvenni azzal, hogy e látogató a tömegrendezvényre való belépése esetén a tömegrendezvény szervezője az előzetes rögzítés során megadott adatokat haladéktalanul törli. A tömegrendezvény szervezője a látogató által az előzetes rögzítés során megadott adatokat a tömegrendezvény befejezését követően akkor is haladéktalanul törli, ha a látogató a tömegrendezvény kezdetének időpontjától a tömegrendezvény befejezésének időpontjáig a tömegrendezvényre nem lépett be.

Az adatok továbbítására az alábbi szervek részére kerülhet sor: 

  • terrorizmust elhárító szerv,
  • bűnmegelőzési célból folytatott titkos információgyűjtést végző szerv,
  • az előkészítő eljárást folytató szerv,
  • büntetőeljárás során a nyomozó hatóság, az ügyészség és a bíróság, valamint
  • körözési eljárást lefolytató szerv.
Szólj hozzá!
Címkék: bírság hozzájárulás jogalkotás portfolioblogger elszámoltathatóság Magyarország NAIH HU jogalap jogos érdek érdekmérlegelési teszt adattakarékosság célhoz kötöttség

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr9514893836

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása