GDPR

Adatvédelem mindenkinek / Data protection for everyone

Két újabb, kamerás megfigyeléssel (is) kapcsolatos NAIH határozat

2019. augusztus 23. 11:30 - poklaszlo

A magyar adatvédelmi hatóság (NAIH) két újabb határozatot tett közzé, amelyek ismét hasznos támpontot nyújthatnak a GDPR egyes rendelkezéseinek értelmezését illetően. Az egyik esetben a magánszemélyek által végzett adatkezelés és a háztartási célú adatkezelés határai, a másik esetben pedig az érintetti jogok gyakorlása és a joggyakorlás biztosítása képezte elsősorban a vizsgálat tárgyát. Utóbbi határozatában a Hatóság fontos megállapításokat tett a hozzáférési jog tartalmával és terjedelmével kapcsolatban is.  

1. Magánszemély által üzemeltetett kamerával folytatott adatkezelés (NAIH/2019/860)

A vizsgált kamerarendszer 4 db kamerából állt, melyből kettő álkamera volt. A kamerákat vagyon- és személybiztonsági célból helyezték üzembe, mivel a kötelezettek egy korábbi vita miatt fenyegetve érezték magukat. A kötelezettek az adatkezelés jogalapja kapcsán nem nyilatkoztak. Bár a kamerák - a kötelezettek nyilatkozatai szerint - maszkolási funkcióval vannak ellátva, de - az eljárással érintett időszakban - a szomszéd magánterületéről is készültek felvételek, illetve a közterület felé is irányuló kamera esetében nem került alkalmazásra a megfelelő maszkolás. A kamerák internetes eléréssel nem rendelkeznek és nem továbbítják az adatokat harmadik személy felé. A kötelezettek nyilatkozata szerint a kamerák elhelyezéséről az érintetteknek szóbeli tájékoztatást adtak. 

Háztartási célú adatkezelés feltételeinek vizsgálata

Az ügyben a fő kérdés az volt, hogy az adatkezelésre kiterjed-e a GDPR hatálya vagy megvalósulnak-e a háztartási célú adatkezelés feltételei? 

A GDPR 2. cikk (2) bekezdése alapján, a Rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt: természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik. (Egy korábbi bejegyzésben, a gépjárművekbe szerelt kamerák kapcsán részletesen foglalkoztunk a témával.) 

Ezzel kapcsolatban a NAIH - hivatkozva a C‑212/13. sz. ügyben (Rynes-ügy) hozott EB ítéletre is - megállapította, hogy 

[...] a jelen eljárás tárgyát képező kamerás megfigyelés – abban a részében, amennyiben az adatkezelő magántulajdonán kívül eső területen tartózkodó személyekre is kiterjed –, nem esik az említett kivétel alá. Nem tekinthető ugyanis kizárólag személyes vagy otthoni tevékenység keretében végzett adatkezelésnek az a vagyonvédelmi célú kamerás megfigyelőrendszerrel végzett adatkezelés, amely az adatkezelést végző személy magánszféráján kívülre irányul.

Megállapította továbbá a Hatóság azt is, hogy "[...] a Kötelezettek az általuk üzemeltetett kamerákkal oly módon készítenek képfelvételt, hogy annak maszkolási funkciója nem megfelelő, minek következtében a közterületet és más magánterületét is megfigyelik, az adatkezelésük nem minősülhet háztartási adatkezelésnek."

Tekintettel arra, hogy az adatkezelésre a háztartási célú adatkezelésekre vonatkozó kivétel nem alkalmazható, így az adatkezelés a GDPR hatálya alá tartozik és az adatkezelés jogszerűségének feltétele valamely, a Rendelet 6. cikkében szabályozott jogalap fennállása. Ennek hiányában, a Hatóság megállapított az adatkezelés jogszerűtlenségét. 

(A háztartási célú adatkezelésre vonatkozó kivétel kamerafelvételek kapcsán történő alkalmazására vonatkozóan lásd az Európai Adatvédelmi Testület - véleményezésre közzétett - 3/2019. sz. iránymutatásának 2.3. pontját is.)

Közös adatkezelés

A NAIH határozatának egy másik, sajnos nem túl részletesen kifejtett eleme, hogy az adatkezelés kapcsán megállapították a közös adatkezelés megvalósulását. A közös adatkezelés kérdésével a GDPR - az irányelvhez képest részletesebben - külön cikkben (26. cikk) foglalkozik és az elmúlt időszakban több Európai Bíróság által hozott ítélet foglalkozott a témával. (Legutóbb a július végén hozott Fashion ID-ítélet, amelyről itt írtam részletesebben.)  

A Hatóság - a kötelezettek erre irányuló nyilatkozatában foglaltaktól eltérően - azt állapította meg: "[...] azáltal, hogy közösen üzemeltetik a kamerarendszert, annak felszereléséről közösen döntöttek, az adatkezelés célját közösen határozták meg, ezért […] szintén adatkezelőnek minősül és az Ügyfelek közös adatkezelést folytatnak a kamerarendszer alkalmazása során."

2. Érintetti joggyakorlással kapcsolatos eljárás (NAIH/2019/1859)

A kérelmező több (2018 június 14-én, 2018. augusztus 22-én és 2018. november 5-én kelt), összetett érintetti joggyakorlásra irányuló kérelmeket nyújtott be az adatkezelőhöz: 

  • A kérelmező tájékoztatást kért arról, hogy az adatkezelő milyen kamerafelvételeket kezel róla, azok pontosan hol és mikor készültek, illetve azokat az ő adatkezelés korlátozására vonatkozó kérelme vagy a jogos érdeke alapján kezeli-e az adatkezelő. Ezen túlmenően több kamerafelvétel kapcsán élni kívánt az adatkezelés korlátozásához való jogával, és kérte, hogy az adatkezelő ezen felvételeket ne törölje, azokat öt évre zárolja. 
  • A kérelmező kérte az adatkezelő Telecenterével és az adatkezelő központi számával meghatározott időszakban folytatott beszélgetésekről készült hangfelvételek másolatát, továbbá egy listát, amelyen fel van tüntetve a beszélgetés dátuma, annak pontos kezdete, a beszélgetés időtartama, az ügyintéző neve, valamint a beszélgetés egyedi azonosítója. (Ezen kérelmét további kérelmeiben kiterjesztette az újabb kérelmekig terjedő időszakra.) Kérte ezen felvételeknek az adatkezelő bankfiókjában történő meghallgatását is.
  • Tájékoztatást kért továbbá a privátbanki hívásokról készült hangfelvételek kezelésének céljáról, jogalapjáról, az adatkezelés időtartamáról, az adatfeldolgozó nevéről, címéről, az adatkezeléssel összefüggő tevékenységéről, az esetleges továbbításuk céljáról és jogalapjáról, valamint az adatkezelés minden további körülményéről, ideértve az esetleges adatvédelmi incidenseket.
  • Kérte egy meghatározott időszakra vonatkozó pénztárbefizetési bizonylatainak másolatát, valamint az azokba való betekintést. Tájékoztatást kért továbbá arról, hogy a Kérelmezett a pénztárbefizetési bizonylatokat milyen jogszabályi rendelkezés alapján, milyen célból, mennyi ideig őrzi meg.
  • A kérelmező álláspontja szerint eltűnt az adatkezelő irattárából a 2013. december 3-án kelt USD és HUF számlaszerződése, a VISA bankkártyaszerződése, valamint az E-banking szerződése. Ezzel összefüggésben tájékoztatást kért az adatkezelőtől a szerződések eltűnéséről, annak észleléséről, dokumentálásáról, időpontjáról.
  • A kérelmező továbbá részletes tájékoztatást kért a személyes adatai kezeléséről, az adatkezelés jogalapjáról, figyelemmel arra is, hogy ahol hozzájárulás az adatkezelés jogalapja, ott vissza kívánja vonni a hozzájárulását.
  • Másolatot kért a kérelmező bankfiókban történt ügyintézésről készült jegyzőkönyvekről, illetve kérte az eredeti jegyzőkönyvekbe való betekintés biztosítását is.
  • Másolatot, valamint az eredeti példányokba való betekintést kért az adatkezelő fiókhálózatnak küldött azon utasításokról, amelyek szerint vele szemben meg kell tagadni a bankfióki ügyintézést. Másolatot kért a fiókhálózatnak eljuttatott körlevélben található, őt ábrázoló fényképről. A fényképpel kapcsolatban tájékoztatást kért a fénykép forrásáról, illetve kérte a fénykép törlését.
  • Kérelmező másolatot kért aláírásmintájáról, valamint a személyi kölcsönszerződéséhez kapcsolódóan az adósminősítést tartalmazó dokumentumról. Tájékoztatást kért továbbá arról, hogy a fenti személyi kölcsönszerződésével összefüggésben benyújtott jövedelemigazolását az adatkezelő mikor semmisítette meg.

A fentiek alapján tehát a kérelmező a GDPR alapján őt megillető hozzáférési jog (15. cikk (1) és (3) bekezdés is) mellett, az adatkorlátozáshoz való jogát és a törléshez való jogát is gyakorolni kívánta. 

Kérelmek késedelmes teljesítése

Az adatkezelő az előterjesztett kérelmekre 2018. december 18-án válaszolt, ugyanakkor egyetlen kérelmet sem válaszolta meg érdemben, illetve nem nevezte meg, hogy pontosan mely kérelmek kapcsán tagadja meg az intézkedést azok ismétlődő jellege miatt, így - a Hatóság álláspontja szerint - ezen válasza nem tekinthető a GDPR 12. cikk (5) bekezdése b) pontja szerinti kérelem alapján történő intézkedés megtagadásának. (A GDPR hivatkozott pontja szerint: "[...] Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:a) észszerű összegű díjat számíthat fel, vagy b) megtagadhatja a kérelem alapján történő intézkedést.") Érdemi választ pedig csak 2019. február 8-án adott. Az adatkezelő ugyanakkor formálisan nem élt a GDPR által biztosított lehetőséggel, hogy a válaszadási határidőt legfeljebb 2 hónappal meghosszabbítsa. (GDPR 12. cikk (3) bekezdés)

Az adatkezelő tehát megsértette a GDPR 12. cikk (3) és (4) bekezdését a kérelmek késedelmes megválaszolása miatt. 

A hozzáférési joggal kapcsolatos megállapítások

Az adatkezelő valamennyi érintett felvételt a kérelmező zárolási, azaz adatkezelés korlátozása iránti kérelme alapján kezelt. Ugyanakkor az adatkezelő a kérelmező kamerafelvételek másolatának rendelkezésére bocsátására irányuló kérelmét megtagadta, arra hivatkozással, hogy azok üzleti titkokat, valamint harmadik személyek képmását is tartalmazzák. A kamerafelvételek megtekintésére vonatkozóan ugyanakkor lehetőséget biztosított.

A Hatóság a fentiekkel kapcsolatban az alábbi megállapításokat tette: 

A felvételekbe való betekintés biztosítása más típusú hozzáférést biztosít a személyes adatokhoz, illetve az üzleti titokhoz, mint az azt tartalmazó felvétel másolatának a Kérelmező rendelkezésre bocsátása. A betekintés – tekintettel arra, hogy a Kérelmező jelen volt a kamerafelvétel készítése során, és így személyesen is találkozott a felvételeken látható harmadik személyekkel – kisebb mértékben korlátozza a felvételen látható harmadik személyek személyes adataik védelméhez való jogát – különösen akkor, ha kitakarásra kerülnek a felvételeken –, mint a felvételek másolatának Kérelmező részére való átadása.  

Az adatkezelő úgy nyilatkozott, hogy a betekintés során sem ismerhetné meg a kérelmező az eredeti, módosítás nélküli felvételeket, csak azokat, amelyeken már a védendő adatok és információk kitakarásra kerültek. A kitakarás keretében az adatkezelőnek arra is lehetősége van, hogy harmadik személyek személyes adatain túl azon információkat kitakarja, amelyek álláspontja szerint az üzleti titkát képezik. "Az üzleti titkot képező információk kitakarásával a felvételek elvesztik az üzleti titok jellegüket, mivel önmagában a kérelmező bankfiókban való mozgása nem tekinthető üzleti titoknak, mivel ezen információ semmiféle vagyoni értékkel nem bír. A bankfiókok ügyfélforgalom számára nyitva álló részének a berendezése, az ügyfélteret figyelő kamerák elhelyezése szintén nem minősül üzleti titoknak, mivel az az érintett gazdasági tevékenységet végzők számára is könnyen hozzáférhető információ."

Tekinetettel arra, hogy a védett adatok és információk megismerése megakadályozható a felvételek megfelelő kitakarásával, ezért a - kitakarásokkal ellátott felvételről készült - másolat kiadásnak megtagadásával az adatkezelő megsértette a GDPR 15. cikk (3) bekezdését. 

A hangfelvételek kapcsán az adatkezelő nem sértette meg a kérelmező hozzáférési jogát, hiszen a hangfelvételek másolatát biztosította. A GDPR alapján ugyan egyértelmű, hogy a hozzáférési jog gyakorlása nem jelenti azt az adatkezelők szempontjából, hogy adatokat az érintett által kért szempontok szerint rendszerezve vagy más módon új adattartalmat előállítva kellene biztosítani. Az adatkezelők szempontjából mégis nagyon fontos megállapítást tett a NAIH, amikor a kérelmező által a hangfelvételekről kért lista kapcsán egyértelműen kimondta az alábbiakat: 

A Kérelmező a hangfelvételek másolatának rendelkezésére bocsátása mellett kért egy listát, amelyen általa támasztott szempontrendszer alapján kérte a hangfelvételek felsorolását, rendszerezését. A hatósági eljárás során nem merült fel arra vonatkozó információ, hogy ilyen listával a Kérelmezett rendelkezne, az érintetti hozzáférési joggyakorlás keretében pedig az adatkezelő a rendelkezésére álló adatokról, információkról való tájékoztatásra köteles, és nem kötelezhető arra, hogy olyan adatokat állítson elő, generáljon, amelyekkel egyébként nem rendelkezik. Az adatkezelő nem köteles a személyes adatokkal való további műveletek elvégzésére az érintetti joggyakorlás keretén belül.

A hozzáférési jog kereteivel kapcsolatban szintén fontos megállapítása a Hatóságnak az alábbi: 

A Kérelmező azon kérelme, hogy a Kérelmezett adjon tájékoztatást részére a privátbanki telefonhívások kapcsán a rögzített hívások során készült hangfelvételekre vonatkozó adatkezelési körülményekről, nem kifejezetten a közte és a Kérelmezett között zajlott beszélgetésekről készült hangfelvételekre vonatkozott, hanem a Kérelmezett általános gyakorlatára. Tekintettel arra, hogy a hozzáférési jog keretén belül az érintett arról kaphat tájékoztatást, hogy személyes adatai kezelése folyamatban van-e, és ha folyamatban van, annak mik a körülményei, ezért az nem terjed ki a kizárólag az adatkezelő általános adatkezelési gyakorlatáról való tájékoztatásra. [...]

A korábban eltűnt szerződések kapcsán is azt mondta ki a Hatóság, hogy nem sértette meg az adatkezelő a hozzáférési jogot, hiszen "[...] az adatkezelő az érintett hozzáférési kérelme teljesítésének keretében nem köteles új adatokat előállítani, mivel a hozzáférési jog arra biztosít lehetőséget, hogy az érintett átlássa, hogy az adatkezelő milyen adatokat, hogyan kezel róla." (A szerződések eltűnése kapcsán korábban született már adatvédelmi hatósági határozat.)

A körlevél rendelkezésre bocsátásának megtagadása is megsértette a GDPR 15. cikk (3) bekezdése szerinti hozzáférési jogot. A körlevél eredeti példányába való betekintés kapcsán a Hatóság megjegyezte az is, hogy "... amennyiben egy dokumentumról az adatkezelő [...] másolatot ad az érintettnek, azzal a lehető legteljesebb mértékben biztosítja a hozzáférési jogát, tehát a másolat kiadásán túl a GDPR rendelkezései alapján nem köteles az eredeti dokumentumokba betekintést biztosítani, hacsak erre külön jogszabály nem kötelezi."

Az adatkorlátozáshoz való jog megsértése

A vagyonvédelmi törvény GDPR-al ellentétes korábbi rendelkezései okoztak zavart jelen ügyben is. (Hasonló megállapítást korábban is tett már a NAIH.) Az adatkezelő  megsértette a GDPR 18. cikk (1) bekezdését, mivel a felvételek kezelésének korlátozását nem hajtotta végre a jogi igények előterjesztéséhez szükséges ideig.

Tekintettel arra, hogy időközben a vagyonvédelmi törvény módosításra került, így a jövőben hasonló értelmezési nehézségek remélhetőleg nem merülnek fel. 

Bírság

A NAIH az ügyben 700.000 Ft összegű bírság kiszabása mellett döntött, amely kapcsán az alábbi tényezőket vette figyelembe: 

  • az adatkezelő késedelmesen válaszolt a kérelmekre és e körben gondtalanul járt el, 
  • a vagyonvédelmi törvény GDPR-al ellentétes rendelkezései jogbizonytalanságot jelentettek, 
  • az adatkezelő a jogsértés orvoslása érdekében a teljesítési határidő lejártát követően nagyrészt eleget tett a kérelmező érintetti joggyakorlásra irányuló kérelmeinek,
  • a hangfelvételeket korábban is megküldte az adatkezelő a kérelmezőnek, így a mostani késedelmes teljesítés nem okozott jelentős érdeksérelmet, 
  • a "Kérelmező több összetett, nagyvonalakban ismétlődő, azonban kisebb részletekben eltérő érintetti joggyakorlásra irányuló kérelmet nyújtott be – és nyújt be folyamatosan – a Kérelmezetthez, szinte követhetetlenné téve, hogy melyik kérelme pontosan mire is irányult. Ezen kérelmek sorozatos előterjesztése nehezíti a kérelmeinek pontos és megfelelő elbírálását, teljesítését a Kérelmezett részéről. Emellett a Kérelmező magatartása miatt maradt el a Kérelmezett székhelyén a kamerafelvételekbe való betekintés, valamint a hangfelvételek visszahallgatása. A Kérelmező tehát a Kérelmezettel szembeni magatartásával megnehezíti az érintetti joggyakorlásra irányuló kérelmeinek a Kérelmező általi elbírálását."
Szólj hozzá!
Címkék: bírság portfolioblogger Magyarország NAIH HU Fashion ID kamerás megfigyelés Rendelet érintetti jogok közös adatkezelés háztartási célú adatkezelés hozzáférési jog

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr6615012604

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása