A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 50 millió forintos adatvédelmi bírságot szabott ki a HÉV-állomásokon és HÉV-megállóhelyeken folytatott kamerás megfigyelési és hangrögzítési gyakorlat miatt. A határozat a kamerás megfigyelőrendszert üzemeltetésén és az esetlegesen kapcsolódó hangrögzítésen túlmenően is fontos tanulságokkal szolgálhat az adatkezelők számára. 

1. A tényállás rövid összefoglalása

A MÁV-HÉV Zrt. (jogutód: MÁV Személyszállítási Zrt.) 2020 novemberétől közel négy éven át, összesen 19 HÉV-állomáson és megállóhelyen üzemeltetett olyan kamerarendszert, amely nemcsak képet, hanem hangot is rögzített. A hangrögzítési funkció minden arra alkalmas kameránál automatikusan be volt kapcsolva anélkül, hogy arra valójában szükség lett volna. Az érintettek száma rendkívül magas volt: 2023-ban egy átlagos munkanapon több mint 34 ezer utas fordult meg a hangrögzítéssel érintett megállókban, 2024-ben hozzávetőlegesen több, mint 8.662.010 utast érintett a vizsgált adatkezelés.

Az ügy egyik különösen aggályos szála, hogy a MÁV-HÉV Zrt. 2021-ben együttműködési megállapodást kötött a Kerepesi Polgármesteri Hivatallal, amelynek keretében a Szilasligeti HÉV-megálló kameráinak élőképeihez - hanggal együtt - távoli hozzáférést biztosított. Ez a gyakorlat súlyos következménnyel járt: 2022 augusztusában a polgármester egy, a kamerák által rögzített szexuális tartalmú felvételt hozott nyilvánosságra a saját Facebook-oldalán, ami több médiában is megjelent.

Fontos utalni arra, hogy a vizsgált adatkezelés alapjául szolgáló jogszabályi környezet, a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény (Szsztv.) több alkalommal változott, így 2019. április 26. előtt a hangrögzítést lehetővé tette a jogalkotó a képrögzítés mellett, ezt követően azonban az Szsztv. úgy módosult, hogy - többek között - kikerült az Szsztv. 8. § (1) bekezdés szövegéből a hangfelvétel készítésének lehetősége. 2025. január 1-jével az Szsztv. 8. § úgy módosult, hogy ismét bekerült a hangrögzítés lehetősége. Szintén módosult az Szsztv. - 2023. június 26-i hatállyal - az adatmegőrzési időtartam tekintetében, előírva, hogy  a szolgáltató a felvételt a rögzítéstől számított 16. napon törölni köteles.

2. Milyen jogsértéseket állapított meg a NAIH?

A NAIH a GDPR több alapvető rendelkezésének megsértését állapította meg: 

• Az átláthatóság elvének (GDPR 5. cikk (1) bekezdés a) pont) és a tájékoztatási kötelezettségnek a megsértése. A megállókban kihelyezett tájékoztatók nem tették kellően egyértelművé a hangrögzítés tényét, mivel azok csak "Kamerával megfigyelt terület" feliratot tartalmaztak, a hangrögzítésre csupán apró betűvel, alig olvashatóan utaltak. Az adatkezelési tájékoztató ráadásul téves jogalapokat is megjelölt, így az utasok nem tudhatták, valójában milyen alapon kezelik az adataikat. A Hatóság kifogásolta a tájékoztató naprakészségét és könnyen hozzáférhető voltát (GDPR 12. cikk (1) bekezdés), továbbá megállapította, hogy az adattovábbítás kapcsán sem tartalmazta a vizsgált időszak egy részében a szükséges információkat (GDPR 13. cikk (1) bekezdés e) pont). 
• Az adattakarékosság elvét  (GDPR 5. cikk (1) bekezdés c) pont) sértette, hogy a hangrögzítés funkciót automatikusan, szükségesség vizsgálata nélkül kapcsolták be minden erre alkalmas eszközön, azaz több személyes adatot gyűjtöttek, mint amennyire az adatkezelés célja szempontjából szükség lett volna.
• A kötelezett nem tudott érvényes jogalapot (GDPR 6. cikk (1) bekezdés) igazolni sem a hangrögzítésre, sem a Kerepesi Polgármesteri Hivatalnak történő adattovábbításra. Az Szsztv. a vizsgált időszakban nem adott felhatalmazást hangfelvétel készítésére,* a jogos érdekre való hivatkozás pedig nem volt megfelelően alátámasztva. A jogos érdek vizsgálata kapcsán a Hatóság rögzítette, hogy az adatkezelő az "összes megállóban kialakított adatkezelés kapcsán egyetlen érdekmérlegelést végzett, amelyben a szükségesség-arányosság-alkalmasság kérdését nem vizsgálta érdemben, nem vetette érdekeit össze az érintettek valós érdekeivel az érdekmérlegelési tesztjében sem." (kiemelés tőlem)   
• Komoly hiányosság volt az adatvédelmi hatásvizsgálat (GDPR 35. cikk) teljes elmaradása is. A nyilvános terek nagymértékű, folyamatos, hangot is rögzítő kamerás megfigyelése tipikusan olyan eset, amely indokolta volna a hatásvizsgálat elkészítését.
• Végezetül a korlátozott tárolhatóság elve (GDPR 5. cikk (1) bekezdés e) pont) is sérült, mert a Hatóság helyszíni szemléje során olyan korábbi felvételeket talált, amelyeket a nyomozóhatóságok számára már átadtak, de a másolataikat a MÁV-HÉV Zrt. nem törölte, egyes esetekben másfél évig, előre meghatározott megőrzési idő nélkül tárolta azokat.

3. Hogyan állapította meg a NAIH a bírság összegét?

A Hatóság 50 millió forint összegű bírságot állapított meg, amely a jogelőd 2024. évi nettó árbevételének (közel 9 milliárd forint) 0,56%-a volt, jóval a kiszabható maximum alatt.

• Súlyosbító körülmények között értékelte a Hatóság, hogy a jogsértés rendszerszintű volt és majdnem négy évig tartott, rendkívül nagyszámú érintettet érintett, valamint hogy az adatkezelés különleges adatokat is érinthetett. Szintén súlyosbító tényező volt, hogy a jogsértésre egy külső bejelentés hívta fel a Hatóság figyelmét, nem pedig a szervezet maga észlelte azt.
• Enyhítő körülményként vette figyelembe a NAIH, hogy a MÁV-HÉV Zrt. az eljárás során végig együttműködött, határidőben válaszolt a megkeresésekre, a hangrögzítést 2024 novemberében leállította, és a jogellenesen tárolt felvételeket is törölte. Enyhítő körülmény volt továbbá, hogy a szervezettel szemben korábban nem állapítottak meg releváns jogsértést. A jogsértéseket a hatóság gondatlannak minősítette: a szervezet törekedett a szabályok betartására, de nem járt el kellő körültekintéssel.

4. Tanulságok 

A határozat több fontos gyakorlati tanulsággal szolgál:

• Az adatkezelők nem kapcsolhatnak be egy technikai funkciót csupán azért, mert az elérhető, hanem minden adatkezelésnek igazolható célja és jogalapja kell, hogy legyen, továbbá szükségesnek és az adatkezelési cél megvalósításához alkalmasnak kell lennie.
• A kamerás megfigyeléssel járó adatkezeléshez – különösen, ha az nyilvános tereket érint – tipikusan adatvédelmi hatásvizsgálatot kell végezni.
• Az érdekmérlegelésnek érdeminek kell lennie, különösen egy olyan széleskörű adatkezelés vonatkozásában, mint amely a jelen ügyben vizsgált adatkezelés volt. Adott esetben az is szükséges lehet, hogy például több helyszínen folytatott - azonos célú - adatkezelés esetén a különböző helyeken felmerülő eltérő szempontokat is figyelembe vegyék. 
• Az érintetteknek adott tájékoztatás nem formalitás, hanem valóban könnyen hozzáférhetőnek, egyértelműnek és naprakésznek kell lennie. Az adatkezelés lényeges elemei tekintetében érdemi tájékoztatást kell adni, pl. a jelen ügyben a hangrögzítést is jól láthatóan jelezni kellett volna, nem elég az apró betűs utalás, továbbá az adattovábbítások tekintetében is szükséges a naprakész tájékoztatás.
• Harmadik félnek történő adattovábbítás esetén pontosan tisztázni kell a jogalapot és az adatvédelmi szerepeket, és erről tájékoztatni kell az érintetteket is.
• Az adatmegőrzési határidők betartása és dokumentálása nem csupán adminisztratív feladat, hanem alapvető adatvédelmi kötelezettség. Ebbe beletartozik az is, hogy a jogszabályi környezet vagy a körülmények változása esetén időről-időre a megőrzési idő felülvizsgálatára lehet szükség, amelyet el kell végezni és az adatkezelőnek a gyakorlatát ehhez kell igazítania (és az esetlegesen módosuló megőrzési időket át kell vezetnie a dokumentációban, így pl. az adatkezelési tájékoztatóban).