30 millió forintos adatvédelmi bírság

A Nemzeti Adatvédelmi és Információszabadság Hatóság 30 millió forintos adatvédelmi bírság megfizetésére kötelezte a Sziget Zrt.-t az általa szervezett rendezvényeken folytatott, beléptetéssel összefüggő, jogszabályoknak nem megfelelő adatkezelési tevékenységével kapcsolatban. A Sziget Zrt. nem ért egyet a döntéssel és bírósági felülvizsgálatot kezdeményez.

A Hatóság két részre osztotta a Sziget Zrt. adatkezelési tevékenységét, az első szakasz a 2018. május 25-e előtti időszakot vizsgálta, a második vizsgálati szakasz a 2018. május 25-e utáni adatkezelésre vonatkozik.
A Hatóság már a korábbi években kétszer is eljárást folytatott a Sziget Zrt. által szervezett rendezvények beléptetéssel kapcsolatos adatkezelése tekintetében, a résztvevők bejelentései nyomán. Ezekben az eljárásokban a Hatóság megvizsgálta a Sziget Zrt. által hivatkozott adatkezelési jogalapot ( érintett hozzájárulása), és megállapította, hogy

“annak, aki részt kívánt venni az általuk szervezett rendezvényeken, meg kellett adnia a beléptetés során kért valamennyi személyes adatát – ez lényegében a személyazonosító igazolvány beszkennelését jelentette – anélkül nem vehetett részt az eseményen. Így tehát hiányzik az önkéntesség.”

A Hatóság azt is megállapította, hogy a résztvevők csak megfelelő tájékoztatás után adhatnak hozzájárulást, amely ebben az esetben hiányzott, így nem felelt meg az Info törvényben meghatározott követelményeknek.
A Hatóság kimondta, hogy bár a Sziget Zrt. nem nevezte meg a jogos érdeken alapuló jogalapot, nem végzett megfelelő érdekmérlegelést, mégis nyilatkozataiban arra hivatkozott, hogy azért volt szükség a résztvevők személyi igazolványának beszkennelésére  hogy megelőzzék, illetve megakadályozzák terrorcselekmények elkövetését.

A Hatóság a látogatók biztonságának megteremtésére választott eszközt, módszert nem tartja megfelelőnek, valamint arányosnak az elérni kívánt cél megvalósításához. Illetve felhívja a Sziget Zrt. figyelmét, hogy a terrorcselekmények megakadályozása, elhárítása más Hatóságok feladatkörébe tartozik.

A Hatóság azt sem tartja megfelelőnek, hogy a Sziget Zrt. a 72 órás törlési határidő helyett, 1 évig megőrizte az érintettek személyes adatait.

A Hatóság külön vizsgálta a Sziget Zrt. 2018. május 25-e után végzett adatkezelését. A Sziget Zrt. által végzett érdekmérlegelési teszt, a Hatóság szerint,

“nem igazolja, hogy a megvalósított adatkezelés alkalmas lenne a tesztben nevesített valamennyi adatkezelési cél megvalósítására, vagyis, hogy az adatkezelés jogszerű lehetne.”

A Hatóság megállapította, hogy

“a visszaélések elkerülése tekintetében a Kötelezett által végzett adatkezelés egyedül arra alkalmas, hogy megakadályozza, hogy egy karszalaggal több személy léphessen be a fesztivál területére… az egyéb célokból végzett adatkezelés a GDPR 5. cikk (1) bekezdés b) pontját sérti.”

A Hatóság a Sziget Zrt. által kezelt adatkör tekintetében megállapította, hogy „beléptető-monitoron a látogatók képmásán és nevén felül azok nemének és születési idejének kezelése a Hatóság álláspontja szerint se nem szükséges, se nem alkalmas a visszaélések megakadályozására….”

A Hatóság megállapította, hogy nem megfelelő a látogatók származási országának rögzítése.

“A megjelölt adatkezelés készletezőnek minősül, ugyanis a meghatározott cél egy jövőbeni bizonytalan esemény, egy kivételes helyzet, amely az esetek döntő többségében nem következik be, így valamennyi látogató származási országára vonatkozó adatának e célból való kezelése a Hatóság álláspontja szerint nem felel meg sem a célhoz kötöttség, sem az adattakarékosság elvének, így az adatkezelés a rendelet 5. cikk (1) bekezdés b) és c) pontjába ütközik.”

A Hatóság a 2018. május 25-e előtti időszakra vonatkozó adatkezelés tekintetében bírságszankciót nem alkalmaz, mivel az preventív jellegét már elvesztette. Viszont a 2018. május 25-e után folytatott adatkezelésével a Sziget Zrt. megsértette a GDPR több cikkét is, ezért 30 millió forintos adatvédelmi bírságot szabott ki.

Mindeközben módosító törvényjavaslatot nyújtottak be képviselők 2019. június 18-án az Országgyűlés elnökének „A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény” tekintetében.

A javaslat célja az lenne, hogy a zeneszolgáltatást főszolgáltatásként nyújtó tömegrendezvény szervezőjének, aki több mint huszonötezer jegyet hozott forgalomba, rögzítenie kell a rendezvény látogatóinak személyi adatait. Ennek célja a rendezvényt látogatók biztonságának biztosítása, valamint a bűncselekmények megelőzése, felderítése, körözött személyek azonosítása lenne.

 

Dr. Krausz Miklós 

LL.M.  ügyvéd, infokommunikációs szakjogász (doctor iuris cum laude díszoklevél) (cum laude jogi szakvizsga oklevél) A Net-jog alapítója, internet-ügyvéd, webshopjog jogterület tapasztalt szakértője.

https://net-jog.hu/

Adatvédelmi tisztviselő (DPO) képzés

Kerülje el a büntetést!

augusztus 28., szeptember 5.

Államilag engedélyezett felnőttképzés.

augusztus 28. – augusztus 29.

Államilag engedélyezett felnőttképzés.