A beléptetés adatvédelmi aggályai
Olvasási idő:
2019. május 23-án a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) meghozta határozatát a Sziget Zrt. beléptetéssel összefüggő adatkezelését vizsgáló hatósági eljárással kapcsolatban, melyben 30.000.000,- Ft, azaz harmincmillió forint adatvédelmi bírság megfizetésére kötelezte az adatkezelőt. Cikkünkben a határozat közzétételét követő eseményeket ismertetjük.
A döntés jelentősége
Az Európai Parlament és a Tanács (Eu) 2016/679. számú rendelete, azaz az általános adatvédelmi rendelet (GDPR) 2018. május 25-től alkalmazandó. A NAIH 2018. június 30. napjától gyakorolja a GDPR szerinti felügyeleti hatósági feladat- és hatásköröket a 2011. évi CXII. törvény (Infotv.) alapján.
A hatóság honlapján elérhető, 2019. évben közzétett határozatok közül a Sziget Zrt. ügyében hozott döntés tartalmazza a GDPR alapján kiszabott legmagasabb magyar adatvédelmi bírságot.
Előzmények
A 27 oldalas határozat szerint a NAIH-hoz 2016-ban bejelentések érkeztek a Volt Fesztivállal kapcsolatban, amelyekben a bejelentők sérelmezték a Sziget Kft. (a Sziget Zrt. jogelődje) beléptetési gyakorlatát, melynek során beszkennelték a vendégek személyi igazolványát, továbbá azt, hogy nem tájékoztatják megfelelően az érintetteket az adatkezelés körülményeiről, így arról, hogy milyen célból és mennyi ideig kezelik a személyi igazolványokról készített másolatot, azt mire használják fel. Az említett adatkezelések a fesztiválra való belépés feltételeként szolgáltak. A fentiekkel kapcsolatban a NAIH vizsgálati eljárásokat indított.
A NAIH kérdésére Sziget Kft. válaszlevelében kifejtette, hogy a beléptető rendszer kialakítása a 2015. novemberi párizsi eseményeket követően kezdődött meg, terrorcselekmények megelőzése és nemzetbiztonsági tevékenység támogatása céljából. A Sziget Kft. vizsgálat idején hatályos adatvédelmi szabályzata szerint a beléptetéssel összefüggő adatkezelés célja elsődlegesen a látogatók személyi biztonságának megóvása, másodlagosan a belépéssel kapcsolatos visszaélések kiszűrése volt.
A NAIH álláspontja szerint a Sziget Kft. által alkalmazott gyakorlat alkalmatlan és nem elengedhetetlen az adatkezelési célok eléréséhez, továbbá megállapította, hogy a Sziget Kft. tájékoztatása nem felelt meg az Infotv. 20. § (2) bekezdése szerinti előírásoknak. Ennek megfelelően a NAIH felszólította a Sziget Kft-t, hogy változtasson gyakorlatán és tájékoztassa az érintetteket a jogszabályi követelményeknek megfelelően.
Ismételt felszólítás és határidő-hosszabbítási kérelem ellenére a felszólításban foglaltak teljesítésére nem került sor.
A hatósági eljárás
A fenti előzmények után a hatósághoz 2018 nyarán újabb bejelentés érkezett a Volt Fesztivál beléptetési gyakorlatával kapcsolatban. Erre figyelemmel a NAIH hivatalból hatósági eljárást indított a részvénytársasággá átalakult Sziget Zrt. ellen. Az eljárás során a hatóság az adatkezelőnek a 2016-tól 2018. május 24-ig terjedő, illetve a 2018. május 25-t követő időszakban szervezett rendezvényeit is vizsgálta a releváns jogszabályoknak való megfelelés szempontjából.
A Sziget Zrt. az eljárás során előadta, hogy változtatott adatkezelési gyakorlatán, de erről „adminisztrációs okok” miatt elmulasztotta tájékoztatni a hatóságot. A beléptetés során az okmányokat a továbbiakban nem másolták le; az okmány bemutatása alapján felvettek minden szükséges – a korábbiakhoz képest kevesebb – személyes adatot, illetve az érintett fényképét rögzítették, vagy – ha a rögzítés technikai okok miatt nem lehetséges – a helyszínen készítettek róla képet. Ezt követően a belépést az érintett karszalagjában elhelyezett chip segítségével ellenőrizték. A Sziget Zrt. az általa kezelt adatokat a rendezvényt követő 72 órán belül megsemmisítette, melyet törlési jegyzőkönyvvel igazolt.
Az így keletkezett adatbázisban szereplő személyes adatokat a Sziget Zrt. kizárólag a hatósági jelzés szerint potenciálisan veszélyt jelentő személyek kiszűrése, visszaélések megelőzése és a látogatók személyi biztonságának védelme érdekében kezelte.
A Sziget Zrt. a beléptetés során végzett adatkezelések jogalapjaként a GDPR 6. cikk (1) bekezdés f) pontját jelölte meg, mint az adatkezelő és az érintettek jogos érdekeit. Az ehhez kapcsolódó érdekmérlegelési tesztet a Sziget Zrt. megküldte a NAIH részére.
A hatóság döntése
A GDPR alkalmazását megelőző adatkezelések kapcsán a NAIH – kisebb kiegészítésekkel – fenntartotta a korábbi vizsgálati eljárásában tett megállapításokat, miszerint a vizsgált időszakban folytatott adatkezelés nem megfelelő jogalappal történt, nem felelt meg a célhoz kötöttség elvének, továbbá az érintettek nem kaptak megfelelő tájékoztatást.
A GDPR alapján végzett adatkezelések kapcsán a NAIH első körben megvizsgálta a Sziget Zrt. által alkalmazott érdekmérlegelési tesztet. A hatóság megállapította, hogy a Sziget Zrt. nem végezte el érdemben a tesztben az egymással szemben álló érdekek, illetve a korlátozás jogszerűségének mérlegelését, így az nem alkalmas az adatkezelés jogszerűségének igazolására. Emellett a NAIH kiért arra is, hogy a terrorcselekmények és más bűncselekmények megelőzése, mint a Sziget Zrt. saját adatkezelése jogellenes adatkezelésnek minősül, mivel az azokhoz kapcsolódó közérdekű célok érvényesítése nem a Sziget Zrt. feladata, arra nincsen semmiféle jogszabályi, vagy hatósági felhatalmazása. A NAIH eljárásra során az adatkezelést alkalmatlannak találta a megjelölt célok eléréséhez.
A hatóság több adatkezelésnél (például a látogató származási országának kezelése abból a célból, hogy meg lehessen határozni, hogy terrorcselekmény esetén melyik külképviseletet kell értesíteni) is megállapította azok készletező jellegét, tehát az adatkezelés célja egy olyan jövőbeni, bizonytalan eseményhez kapcsolódik, amely az esetek döntő többségében nem következik be. Ezek az adatkezelések sértik a célhoz kötöttség és az adattakarékosság elvét.
Az alkalmazott szankció
A Sziget Kft. GDPR alkalmazása előtti adatkezelési gyakorlatának jogsértő jellegét a NAIH ugyan megállapította, de bírságszankció kiszabásától – az adatkezelés tényleges lezárulására, a jogszabályváltozásokra, az eltelt időre, illetve az ily módon megállapítandó szankció represszív hatására figyelemmel – eltekintett.
2018. május 25-t követő adatkezelések kapcsán a NAIH megállapította, hogy a Sziget Zrt. adatkezelési gyakorlatával megsértette a célhoz kötöttség és az adattakarékosság elvét, továbbá nem megfelelő jogalappal kezelte az érintettek személyes adatait. A NAIH mérlegelte az Infotv. 75/A. §-ban szereplő követelményeket, (a személyes adatok kezelésére vonatkozó jogszabályok első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő figyelmeztetésével intézkedik a hatóság) de megállapította, hogy a figyelmeztetés nem lenne arányos és kellő visszatartó erővel bíró szankció, így adatvédelmi bírság kiszabása mellett döntött.
A bírság összegének megállapításakor a NAIH figyelembe vette az érintettek nagy számát, a jogsértés szándékos jellegét, annak tényét, hogy a Sziget Zrt. szórakoztató célú tömegrendezvények piacának meghatározó súlyú szereplője, magatartásának megítélése kiemelt közfigyelem alá esik, és a piac egyéb szereplői számára is mintaként szolgálhat, valamint a Sziget Zrt. értékesítési árbevételét, melyhez viszonyítottan az adatvédelmi bírság „érzékelhető mértékű”. A NAIH enyhítő körülményként értékelte, hogy a Sziget Zrt. a hatósági felszólításoknak részben eleget tett és együttműködő magatartást tanúsított az eljárás során.
Észrevételeink
1. Adatkezelés elvei
A NAIH határozatában a Sziget Zrt. beléptetési gyakorlata során végzett adatkezelések kapcsán az alábbi GDPR-ban szereplő alapelvek megsértésére hivatkozott:
- Célhoz kötöttség: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. […]
- Adattakarékosság: a személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsak kell lenniük, és a szükségesre kell korlátozódniuk.
- Elszámoltathatóság: az adatkezelő felelős a személyes adatok kezelésére vonatkozó elvek megfeleléséért, továbbá képesnek kell lennie e megfelelés igazolására.
Mivel a GDPR 83. cikk (5) bekezdése alapján az adatkezelés elveinek megsértése esetén a felügyeleti hatóság a legmagasabb, tehát legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű közigazgatási bírsággal sújthatja az adatkezelőket, valamennyi adatkezelés során kiemelt figyelmet kell fordítani arra, hogy az megfeleljen az adatkezelés GDPR-ban meghatározott elveinek. Emellett az ennek való megfelelést kötelező igazolni, tehát minden adatkezelési folyamatot le kell szabályozni az erre szolgáló jogi dokumentumokkal.
A célhoz kötött elve kapcsán a GDPR Preambulumának (39) bekezdése kimondja, hogy a személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, illetve akkor lehetséges az adatkezelés, ha annak célját egyéb eszközzel észszerű módon nem lehetséges elérni. Ennek megfelelően minden esetben vizsgálni kell, hogy az elérni kívánt jogszerű cél ésszerű módon megvalósítható-e adatkezelés nélkül és amennyiben nincsen ilyen eszköz, akkor lehet adatkezelést végezni. Az adatkezelési célnak már a személyes adatok begyűjtésének időpontjában explicit módon megfogalmazottnak lennie.
Az adattakarékosság elvének való megfelelés körében arra kell figyelemmel lenni, hogy az adatkezelés céljának megvalósításához ténylegesen alkalmas személyes adatokat kezeljék, azaz ne legyen gyűjtve olyan személyes adat, amire valójában nincs szüksége az adatkezelőnek az elérni kívánt célhoz.
Az elszámoltathatóság elvéből származik a terjedelmes dokumentálási kötelezettség, melynek alapján az adatkezelőnek bizonyítékokkal kell rendelkeznie arra vonatkozóan, hogy adatkezelése megfelel a GDPR előírásainak.
2. Érdekmérlegelési teszt
Amennyiben az adatkezelés az adatkezelő, vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, érdekmérlegelési tesztet kell készíteni e jogalap igazolásához. Az érdekmérlegelési teszt összeállításához különböző hatósági határozatok és iránymutatások segítenek. A 29. cikk szerint Adatvédelmi munkacsoport (a továbbiakban: „WP29”) 06/2014. számú véleményének 1. melléklete tartalmazza az érdekmérlegelési teszt javasolt felépítését. Természetesen a vélemény a GDPR-ra tekintettel felmerülő ésszerű kiegészítésekkel alkalmazható a megjelölt jogalapok kapcsán a gyakorlatban.
Az érdekmérlegelési teszt eredményéről, illetve tartalmáról való tájékoztatás követelményeire a NAIH egyik jelentős ajánlása, és a WP29 átláthatóságról szóló iránymutatása is kitér.
Az érdekmérlegelési teszttel kapcsolatban fontos elvárás, hogy az érintettek érdekeit is kellő részletességgel mutassa be, melyre figyelemmel elvégezhető a teszten belül az arányosítás arra nézve, hogy az érintett alapvető jogai, vagy érdekei elsőbbséget élveznek-e az adatkezelő, vagy harmadik fél érdekeivel szemben, vagy sem. Amennyiben ez az elem nem, vagy hiányosan kerül meghatározásra, az érdekmérlegelési teszt alkalmatlan az adatkezelő, vagy harmadik fél jogos érdekének, így jogalap igazolására, tehát az adatkezelés jogellenes. Ez a hiányosság a Sziget Zrt. által összeállított érdekmérlegelési tesztben felmerült, amely a NAIH érvelése alapján alkalmatlanná tette a tesztet a jogos érdek igazolására.
Következő cikkünkben a határozat közzétételét követő törvényjavaslatot, illetve a NAIH ehhez kapcsolódó közleményét ismertetjük.
Dr. Miklós Péter Ákos
jogász és adatvédelmi tisztviselő