A nemrég elsőként nyilvánosságra hozott adatvédelmi bírság kiszabásával is járó GDPR ügy közel sem egyszerű, ezért úgy gondoljuk, érdemes részletesen feldolgozni, hogy pontosan miben hibázott a megbüntetett vállalkozás, és milyen intézkedésekkel előzhette volna meg a bírságot.

Cikkünkben a gyakorlati oldalról kívánjuk bemutatni a konkrét esetet, valamint rávilágítani azokra a lehetőségekre és előkészületekre, melyek segítségével elkerülhetővé válhatnak a hasonló büntetések.

A konkrét ügy elemzése

Ahogy előző cikkünkben megírtuk, a konkrét határozat szerint 2018-ban egy magánszemély fordult a vállalathoz azzal a kérésével, hogy egy személyiségi jogi perhez, illetve értékpapír jogviszonyhoz kapcsolódó perhez kívánja kikérni azon kamerafelvételeket, melyek a vállalkozás recepciós- és ügyfélvárakozó terében készültek róla az általa megadott időszakokban.

A magánszemély (továbbiakban: Érintett) a GDPR 15. cikke szerint élni kívánt a hozzáférési jogával. A kamerafelvételekbe történő betekintés mellett azok másolatát és a felvételek 5 éves időtartamra történő zárolását is kérte. A vállalat kamerás adatkezeléséről szóló tájékoztatójában rögzítette, hogy a kamerafelvételek felhasználás hiányában 3 napon belül automatikusan törlésre kerülnek. A zárolási kérelem azért fontos, mert a zárolt adatokat nem lehet törölni.

A kamerarendszert üzemeltető vállalat nem tett eleget az Érintett egyik kérésének sem:

• Nem zárolta a kamerafelvételeket, így azok automatikusan megsemmisültek a vállalt megőrzési határidőt követően.
• Nem kerültek kiadásra azon képi anyagok, amelyek a kérelmező magánszemélyről készültek a recepción és az ügyfélvárakozó térben.

A vállalat a 2005. évi CXXXIII. törvényre – (a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól) (továbbiakban Szvtv.) hivatkozva utasította el a magánszemély kérelmét a 31.§(6)bekezdése alapján:

• Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel, illetve más személyes adatának rögzítése érinti,
• a (2), a (3), illetve a (4) bekezdésben foglaltaknak megfelelően a kép-, hang-, valamint kép- és hangfelvétel, illetve más személyes adat rögzítésétől számított három munkanapon, harminc, illetve hatvan napon belül,
• jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.

A vállalat szerint a magánszemély nem igazolta kellő részletességgel a felvételek zárolásának és kiadásának igényét, emiatt a felvételek törlésre kerültek.

Az Érintett az elutasítás miatt kérelmet nyújtott be a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) irányába, akik a közel 3 hónapos ügymenet végén elmarasztalták a vállalatot, és 1.000.000 Ft-os adatvédelmi bírságot szabtak ki a szabályszegésért.

Jogharmonizációs problémák

A GDPR 2018. május 25. napján közvetlenül alkalmazandóvá vált az összes tagállamban. A közvetlen alkalmazhatóság azt jelenti, hogy a rendelet minden további tagállami intézkedés (pl. új magyar törvény) nélkül alkalmazandó. Fontos tudni, hogy a GDPR a vonatkozó magyar jogszabályoknál magasabb szintű. Bár a GDPR hatálybalépése után a magyar jogalkotó több alkalommal is módosította erre tekintettel a magyar jogszabályokat, a GDPR-ral való teljes összhang elérése még sajnos nem sikerült. Ha esetlegesen emiatt eltérés lenne a magyar jogszabályok és GDPR között, úgy a GDPR-t szükséges alkalmazni.

Magyarországon a kamerafelvételek kezelése jelenleg 5 különböző törvény, illetve rendelet alapján történik:

• Rendőrségi törvény (1994. évi XXXIV. törvény)
• Közterület felügyeleti törvény (1999. évi LXIII. törvény)
• 2005. évi CXXXIII. törvény (továbbiakban: Szvtv.),
• az Európai Parlament és Tanács 2016/679 rendelete (továbbiakban: GDPR) valamint
• az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.)

A törvények teljes harmonizációja blogcikkünk megjelenéséig még nem történt meg, így az emiatt előforduló esetleges eltérések esetében a GDPR-ban leírtak az irányadók és követendők.

A vizsgált esetben hiába rendelkezik az Szvtv. úgy, hogy a kamerafelvételek kiadását a jogos érdek igazolásához köti, a GDPR rendelete lehetővé teszi az Érintett számára a hozzáférési jogának indoklás nélküli gyakorlását.

A hatóság a hozzáférési jog gyakorlásának megsértése és az adatkezelés zárolásához való jog megsértése mellett azért is döntött a bírság kiszabása mellett, mert a vállalkozás elmulasztotta az Érintett tájékoztatását a jogorvoslati lehetőségekről.

A fellebbezésről

Jogorvoslatra közigazgatási per útján van lehetőség. A 2017-ben megújult közigazgatási perrendtartás miatt a közigazgatási per jelentős költségekkel járhat:

• A határozat alapján a közigazgatási perindítás csak a Fővárosi Törvényszéken lehetséges.
• Kötelező a jogi képviselet (ügyvédkényszer) az ügyben.
• Az eljárás rendkívül formalizált és kötött, emiatt az ügyvédi díjak is megtöbbszöröződnek.
• Mivel nincs még kialakult joggyakorlat, várhatóan több szakértői csoport is bevonásra kerül a peres eljárás során. Ennek költségeit a vesztes félnek kell megtéríteni.
• Az egyedi eseteket egyedileg szükséges megvizsgálni és kiértékelni.
• A rendeletben alkalmazható "túlzó" adatszolgáltatási igény meghatározása, vagy az "ésszerű" díjazás kiszámítása szubjektív megítélés, mely kihívást jelenthet a döntéshozók részére.

Szakmai javaslatunk

Minden egyes adatkezeléssel kapcsolatos döntést és a folyamatok kialakítását a GDPR figyelembevételével hozzanak meg! Javasoljuk, hogy a vállalatok minél előbb végezzék el a kamerarendszerek működtetésének átgondolását és átszervezését. Csak a legszükségesebb helyeken alkalmazzanak kamerákat, és azokat csak valós és megalapozott jogos érdek esetén telepítsék, használják. A kamerafelvételek készítéséről minden esetben tájékoztatni kell az esetleges Érintetteket, valamint ismertetni kell velük a jogorvoslati lehetőségeket.

Nem szabad elfelejteni, hogy a kamerafelvételek készítése a törvénykezés szerint csak az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, vagy az üzleti, fizetési, bank- és értékpapírtitok védelme, valamint vagyonvédelem céljából történhet!

A hatóság oldaláról a NAIH által alkalmazott szankció konzekvens alkalmazása várható minden olyan esetben, ahol egy hatósági eljárás során megállapításra kerül, hogy

• Nem megfelelően került konfigurálásra a kamera rendszer.
• Az adatkezelő nem tett eleget annak, hogy a magánszemélyek gyakorolhassák a GDPR-ban leírt jogaik gyakorlását.
• Az adatkezelő nem rendelkezik érvényes kamera szabályzattal, illetve nem az abban leírtak szerint történik az adatkezelés.
• Az adatkezelő nem tájékoztatta előzetesen az Érintetteket a kamerafelvételek rögzítésének tényéről.
• Az adatkezelő nem tájékoztatta az Érintetteteket a jogorvoslati lehetőségekről.

A kamerafelvételek készítésével kapcsolatban a hatóság több - még a GDPR alkalmazását megelőző - esetben is szabott ki adatvédelmi bírságot. A cikkeinkben megvizsgált ügy alapján várhatóan ezt a területet kiemelt figyelemmel vizsgálja a NAIH, így a vállalkozásoknak érdemes alaposan átvizsgálni a kamerás megfigyeléssel kapcsolatos folyamataikat, szabályzataikat és tájékoztatóikat.