Jellemzően nem jogszerűen működnek a közterületi kamerarendszerek
A NAIH az önkormányzatok közterületi térfigyelő kamerarendszereivel kapcsolatos hiányosságokat évről-évre összefoglalja. Az egyik legfontosabb körülmény az, hogy a rendszert a közterületfelügyelet üzemeltetheti és kezelheti (mely működhet az önkormányzat keretein belül vagy önállóan), más személy, így például a polgármester, adatkezelési tevékenységet nem folytathat. További fontos szempont, hogy az adatkezelés megkezdéséhez szükséges a közterület-felügyelet előterjesztése alapján hozott képviselő-testületi döntés a képfelvevő elhelyezéséről, vagyis a térfigyelő rendszer alkalmazásáról, valamint a megfigyelt közterület kijelöléséről. Ezen túlmenően a képfelvevők elhelyezéséről és a megfigyelt közterületről tájékoztatni kell a rendőrséget, és e tájékoztatást a polgármesteri hivatal honlapján is közzé kell tenni. Emellett a Hatóság tapasztalatai szerint gyakran nincs jogosultsági nyilvántartás, hiányos a hozzáférések (manuális/elektronikus) naplózása az önkormányzati rendszereknél, és olyan kamerák térfigyelő rendszerbe integrálása is előfordul, amelyek alkalmazása számos kockázatot hordozhat. Végezetül a Hatóság értelmezése szerint a bűnmegelőzési célból rendszeresített kamerarendszer adatkezelésének a jogalapja az Infotv. és nem a személyes adatok védelmét szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR).
Számos jogsértés és bírság a kamerás megfigyelések területén
Az elektronikus megfigyelőrendszerek működése kiemelt vizsgálati fókusz, a vizsgálatok során számos esetben szabnak ki magas adatvédelmi bírságot.
Az egyik ügyben az adatkezelő egy kávézó és az ahhoz tartozó terasz területén működtette a kamerarendszert. A NAIH a vizsgálatot lezáró döntésében kiemelte, hogy a vendégek elvárhatják, hogy ne figyeljék meg őket nyilvános helyeken, különösen akkor, ha ezeket a helyeket jellemzően szabadidős tevékenységek céljára használják. Az éjszaka és a rendes munkaidőn kívül üzemelő megfigyelőrendszer azonban jogszerű lehet és az általában szükséges és alkalmas az adatkezelő vagyonát fenyegető veszélyek elkerülésére. Kiemelte azonban azt is, hogy a hangrögzítés éjszaka és a rendes munkaidőn kívül sem tekinthető jogszerű adatkezelési módnak. A kamerák helyzetétől függetlenül érvényesülő szempont, hogy a megfigyelt területre belépéskor figyelmeztető ikont kell elhelyezni (megfigyelés ténye, célja, jogalapja, érintetti jogok megjelölésével) összhangban az Európai Adatvédelmi Testület 3/2019. számú iránymutatásában foglaltakkal, illetve utalni kell arra, hol érhető el a további, részletes tájékoztatás (ún. kétszintű tájékoztatás elve).
Egy másik ügyben a Hatóság egy balatoni szálláshely kamerahasználatát vizsgálta. Megállapította, hogy bizonyos, csupán élőképet közvetítő kamerák látószögébe kizárólag az ingatlan olyan részei estek bele, ahol a szállóvendégek csak áthaladnak, illetve ahol - a NAIH álláspontja szerint - a kamerák ténylegesen alkalmasak vagyonvédelmi célok betöltésére (pl. parkoló). Emellett, mivel a kamerák az utcafrontról is láthatók, így visszatartó erővel is bírnak az ingatlan területére való illetéktelen behatolással, illetve egyéb vagyon elleni bűncselekmények elkövetésével szemben. A Hatóság álláspontja szerint azáltal, hogy rendszer csak élőképet közvetít, az érintettek magánszférájába való beavatkozás jelentősen kisebb foka valósul meg, mint ha sor kerülne a személyes adataik rögzítésére. A hangrögzítés azonban ebben az esetben is jogellenesnek minősült. Az étkezőben elhelyezett kamera tekintetében a Hatóság rámutatott arra, hogy az az elérni kívánt céllal nem arányos és a vendégek elvárásaival is ellentétes. A recepciós pult feletti kamera útján megvalósuló adatkezelés szükségességét a Hatóság elfogadta, tekintettel arra, hogy a felvételek alapján ténylegesen történik a helyszínen készpénzforgalom, illetve a pénzkazetta is a kamera látószögébe eső szekrényben került elhelyezésre. Megállapította azonban, hogy az érintettek nem kaptak átlátható és könnyen hozzáférhető tájékoztatást.
Egy további ügyben egy fogorvosi rendelő kamerás megfigyelését vizsgálta a Hatóság, az ügyben helyszíni szemlét is tartott. A helyszíni szemle során a Hatóság nem észlelt a váróteremben olyan értékes tárgyat – ital automatát, külső recepciós pultot, számítógépet, festményt, bútort stb. – amelyek megfigyelése megfelelne a vagyonvédelmi célnak, és ebből az indokból a kamerák a védendő vagyontárgyakra irányulhatnának. A váróterem egészének kamerás megfigyelését a Hatóság szintén nem tartotta elfogadhatónak. A kezelő/rendelő helyiségben történő megfigyelés esetében (a Hatóság korábbi állásfoglalásai szerint is) a kamera nem mutathatja/rögzítheti kezelés közben azonosítható módon a pácienst, kivéve annak kifejezett írásos hozzájárulása esetét pl. tudományos, oktatási célból. A kezelőhelyiségben a vagyonvédelem és a személybiztonság mint munkáltatói jogos érdeket alátámasztó célok a Hatóság által tapasztaltak alapján nem indokoltak. A vagyonvédelmi célzatú megfigyelés rendelési időben csak a készpénz átadásának vagy annak őrzésére szolgáló helyre irányulhat, nem életszerű, hogy rendelési időben nagyobb értékű fogászati felszerelést tulajdonítanának el. Ezen túlmenően a kamerarendszer üzembe helyezése előtt az adatkezelő köteles felmérni, hogy hol és mikor szükséges feltétlenül kamerák alkalmazása. A fogászati kezelés költségének kifizetése, a készpénz őrzése valóban indokolhatja a kamerás megfigyelést, de ebben az esetben a vagyonvédelem jogszerű célként csak akkor lenne elfogadható, ha a kamera látószöge valóban csak a pénz átadására, illetve annak őrzésére szolgáló helyre irányulna. Végezetül a Hatóság azt is kifogásolta, hogy a megfigyelés (kamerák látószöge) alkalmas a munkavállalók munkájának folyamatos megfigyelésére, ami aránytalan és indokolatlan adatkezelést jelentett. Végezetül a bejáratnál nem került piktogram elhelyezésre, így az alapvető tájékoztatási követelmény is sérült.
Rengeteg az adatvédelmi incidens az egészségügyben
Egy, az egészségügy területét érintő ügyben a Hatóság közérdekű bejelentés alapján járt el. A bejelentő a Hatósághoz továbbított egy, a bejelentőnek megküldött e-mail üzenetet és annak mellékleteként egy Excel táblázatot. A közérdekű bejelentéshez csatolt eredeti e-mailt és táblázatot az egészségügyi szolgáltató küldte meg felnőtt háziorvosok és házi gyermekorvosok részére. Az e-mail üzenethez mellékelt, titkosítatlan Excel táblázat 1153 sorban tartalmazta betegek személyes adatait, panaszaikat, vizsgálati eredményüket. A NAIH megállapította, hogy az adatkezelő az egészségügyi adatok továbbítása során nem tett eleget a kockázatarányos védelem elvének, valamint az adatvédelmi incidenst nem a GDPR előírásai szerint értékelte és kezelte. A Hatóság 10 000 000 Ft adatvédelmi bírság kiszabása mellett döntött. A hatósági döntés bírósági felülvizsgálata során a Fővárosi Törvényszék megállapította, hogy az adatvédelmi bírság kiszabásánál a veszélyhelyzet ténye, illetve a Hatósággal való együttműködés enyhítő körülményként nem vehetőek figyelembe.
Számos adatvédelmi incidens kapcsolódott egészségügyi lelet téves címzett részére történő továbbításához. A tévesen kiküldött e-mailek esetében - a Hatóság érvelése szerint - utóbb az incidens orvoslására technikai szempontból nem sok lehetőség van, ezért az ilyen incidensek kockázatainak megelőzése, az adatkezelő proaktív magatartása különösen fontos. A Hatóság ehhez kapcsolódóan kihangsúlyozta, hogy ezen adatok továbbítása e-mailben bármilyen hozzáférés-védelem vagy titkosítás alkalmazása nélkül nem felel meg az adatkezelés által jelentett kockázatok mértékének megfelelő adatbiztonság szintjének.
A marketing területén a hozzájárulások megfelelő volta volt kérdéses
A Hatóság több döntésében is kiemelte, hogy az érvényes hozzájárulásnak több, fontos feltétele is van. Először is az adatkezelőnek az érintett adatkezelést be kell mutatnia. Az adatkezelési tájékoztatóban pedig nem csupán a személyes adatokat kell nevesíteni, de meg kell jelölni a személyes adatok forrását is. Meg kell továbbá jelölni azt is, hogy mely személyes adatok megadása kötelező és melyek önkéntesek. Lakcím, e-mail cím, telefonszám kapcsolati adatok esetében célonként külön hozzájárulást kell kérni. A termék kiszállítása, a rendelés visszaigazolása, a számla kiállítása, a hírlevél küldése és a telefonos segítségnyújtás eltérő céloknak minősülnek. Rámutatott arra is, hogy a harmadik országbeli szolgáltató bevonása külön is bemutatandó (és ahhoz külön jogalap is kellhet). Az adatkezelési tájékoztatást pedig az érintett által elérhető csatornán kell nyújtani, a honlap nem feltétlenül elegendő. A BM név- és lakcímadatbázisából nyert adat esetében azt is kihangsúlyozta, hogy az adatkezelés jogalapja nem lehet az érintett hozzájárulása, mert a hozzájárulás fogalmi elemei nem állnak fenn. Az érintett ugyanis nem ehhez járult hozzá. Végezetül a hozzájáruláskérés megfelelőségére honlap sütik esetében is ügyelni kell. Ez azt is jelenti, hogy süti esetében is célonként külön hozzájárulás, illetve megfelelő, részletes, előzetes tájékoztatás szükséges (lsd. TV2 Médiacsoport Zrt. adatvédelmi bírság döntés).
Az adatvédelmi szabályok nem ismeretén is sok múlhat
95.000.000,- Ft adatvédelmi bírság került kiszabásra az ALDI-val szemben, mivel az az alkoholtermékek értékesítésénél az életkor ellenőrzéséhez kapcsoslódóan nem a GDPR szerint járt el. A Hatóság megállapította, hogy a törvény által megkövetelt adatkezeléssel ellentétesen, azt meghaladva nem csupán kétség esetén, hanem általános jelleggel előírta a bolti eladó munkakörben foglalkoztatott munkavállalói számára minden egyes alkoholtartalmú italt vásárolni szándékozó személy életkorának kötelező ellenőrzését. Az eljárás során megállapítást nyert az is, hogy az adatkezelő ALDI munkatársai által rögzített születési dátumot a kasszarendszer nem csak a vásárló életkorának kiszámítására használta fel, hanem a naplófájlok részeként 180 napig tárolta, ahhoz az üzletlánc adatfeldolgozói is hozzáférhettek.
A cikk szerzője:
Dr. Kéri Ádám
ügyvéd, adatvédelmi szakértő
a Magyar Könyvvizsgálói Kamara Oktatási Központ oktatója