A Net-jog.hu irodája:

2119 Pécel, Álmos vezér utca 24/1.
Központi telefon:  +36 1 506 0338

Központi e-mail:

Email: [email protected]

Központi telefonszám: +36 1 506 0338 (H-P 8-20 óra között)

Központi e-mail cím: [email protected]

gdpr bírság
adatkezelés, adatkezelési tájékoztató, adatvédelmi nyilatkozat, adatvédelmi nyilatkozat minta, adatvédelmi rendelet, adatvédelmi szabályzat, adatvédelmi szabályzat készítés, adatvédelmi szakértő, adatvédelmi tájékoztató, adatvédelmi törvény, bírság, GDPR, GDPR bírság, GDPR megfeleltetés, GDPR ügyvéd, net-jog, ügyvéd, ügyvédi iroda

30 millió forintos adatvédelmi bírság

A Nemzeti Adatvédelmi és Információszabadság Hatóság 30 millió forintos adatvédelmi bírság megfizetésére kötelezte a Sziget Zrt.-t az általa szervezett rendezvényeken folytatott, beléptetéssel összefüggő, jogszabályoknak nem megfelelő adatkezelési tevékenységével kapcsolatban. A Sziget Zrt. nem ért egyet a döntéssel és bírósági felülvizsgálatot kezdeményez.

A Hatóság két részre osztotta a Sziget Zrt. adatkezelési tevékenységét, az első szakasz a 2018. május 25-e előtti időszakot vizsgálta, a második vizsgálati szakasz a 2018. május 25-e utáni adatkezelésre vonatkozik.
A Hatóság már a korábbi években kétszer is eljárást folytatott a Sziget Zrt. által szervezett rendezvények beléptetéssel kapcsolatos adatkezelése tekintetében, a résztvevők bejelentései nyomán. Ezekben az eljárásokban a Hatóság megvizsgálta a Sziget Zrt. által hivatkozott adatkezelési jogalapot ( érintett hozzájárulása), és megállapította, hogy

annak, aki részt kívánt venni az általuk szervezett rendezvényeken, meg kellett adnia a beléptetés során kért valamennyi személyes adatát – ez lényegében a személyazonosító igazolvány beszkennelését jelentette – anélkül nem vehetett részt az eseményen. Így tehát hiányzik az önkéntesség.

A Hatóság azt is megállapította, hogy a résztvevők csak megfelelő tájékoztatás után adhatnak hozzájárulást, amely ebben az esetben hiányzott, így nem felelt meg az Info törvényben meghatározott követelményeknek.
A Hatóság kimondta, hogy bár a Sziget Zrt. nem nevezte meg a jogos érdeken alapuló jogalapot, nem végzett megfelelő érdekmérlegelést, mégis nyilatkozataiban arra hivatkozott, hogy azért volt szükség a résztvevők személyi igazolványának beszkennelésére  hogy megelőzzék, illetve megakadályozzák terrorcselekmények elkövetését.

A Hatóság a látogatók biztonságának megteremtésére választott eszközt, módszert nem tartja megfelelőnek, valamint arányosnak az elérni kívánt cél megvalósításához. Illetve felhívja a Sziget Zrt. figyelmét, hogy a terrorcselekmények megakadályozása, elhárítása más Hatóságok feladatkörébe tartozik.

A Hatóság azt sem tartja megfelelőnek, hogy a Sziget Zrt. a 72 órás törlési határidő helyett, 1 évig megőrizte az érintettek személyes adatait.

A Hatóság külön vizsgálta a Sziget Zrt. 2018. május 25-e után végzett adatkezelését. A Sziget Zrt. által végzett érdekmérlegelési teszt, a Hatóság szerint,

nem igazolja, hogy a megvalósított adatkezelés alkalmas lenne a tesztben nevesített valamennyi adatkezelési cél megvalósítására, vagyis, hogy az adatkezelés jogszerű lehetne.

A Hatóság megállapította, hogy

a visszaélések elkerülése tekintetében a Kötelezett által végzett adatkezelés egyedül arra alkalmas, hogy megakadályozza, hogy egy karszalaggal több személy léphessen be a fesztivál területére… az egyéb célokból végzett adatkezelés a GDPR 5. cikk (1) bekezdés b) pontját sérti.

A Hatóság a Sziget Zrt. által kezelt adatkör tekintetében megállapította, hogy „beléptető-monitoron a látogatók képmásán és nevén felül azok nemének és születési idejének kezelése a Hatóság álláspontja szerint se nem szükséges, se nem alkalmas a visszaélések megakadályozására….”

A Hatóság megállapította, hogy nem megfelelő a látogatók származási országának rögzítése.

A megjelölt adatkezelés készletezőnek minősül, ugyanis a meghatározott cél egy jövőbeni bizonytalan esemény, egy kivételes helyzet, amely az esetek döntő többségében nem következik be, így valamennyi látogató származási országára vonatkozó adatának e célból való kezelése a Hatóság álláspontja szerint nem felel meg sem a célhoz kötöttség, sem az adattakarékosság elvének, így az adatkezelés a rendelet 5. cikk (1) bekezdés b) és c) pontjába ütközik.

A Hatóság a 2018. május 25-e előtti időszakra vonatkozó adatkezelés tekintetében bírságszankciót nem alkalmaz, mivel az preventív jellegét már elvesztette. Viszont a 2018. május 25-e után folytatott adatkezelésével a Sziget Zrt. megsértette a GDPR több cikkét is, ezért 30 millió forintos adatvédelmi bírságot szabott ki.

Mindeközben módosító törvényjavaslatot nyújtottak be képviselők 2019. június 18-án az Országgyűlés elnökének „A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény” tekintetében.

A javaslat célja az lenne, hogy a zeneszolgáltatást főszolgáltatásként nyújtó tömegrendezvény szervezőjének, aki több mint huszonötezer jegyet hozott forgalomba, rögzítenie kell a rendezvény látogatóinak személyi adatait. Ennek célja a rendezvényt látogatók biztonságának biztosítása, valamint a bűncselekmények megelőzése, felderítése, körözött személyek azonosítása lenne.

0
, , , , ,

Hasonló Bejegyzések