A Net-jog.hu irodája:

2119 Pécel, Álmos vezér utca 24/1.
Telefon: +36 30 622 41 79 (H-Cs 10 és 12, illetve 13 és 15 óra között)

Központi e-mail:

Irodánk: 2119 Pécel, Álmos vezér utca 24.

gdpr bírság

30 millió forintos adatvédelmi bírság

A Nemzeti Adatvédelmi és Információszabadság Hatóság 30 millió forintos adatvédelmi bírság megfizetésére kötelezte a Sziget Zrt.-t az általa szervezett rendezvényeken folytatott, beléptetéssel összefüggő, jogszabályoknak nem megfelelő adatkezelési tevékenységével kapcsolatban. A Sziget Zrt. nem ért egyet a döntéssel és bírósági felülvizsgálatot kezdeményez.

A Hatóság két részre osztotta a Sziget Zrt. adatkezelési tevékenységét, az első szakasz a 2018. május 25-e előtti időszakot vizsgálta, a második vizsgálati szakasz a 2018. május 25-e utáni adatkezelésre vonatkozik.
A Hatóság már a korábbi években kétszer is eljárást folytatott a Sziget Zrt. által szervezett rendezvények beléptetéssel kapcsolatos adatkezelése tekintetében, a résztvevők bejelentései nyomán. Ezekben az eljárásokban a Hatóság megvizsgálta a Sziget Zrt. által hivatkozott adatkezelési jogalapot ( érintett hozzájárulása), és megállapította, hogy

annak, aki részt kívánt venni az általuk szervezett rendezvényeken, meg kellett adnia a beléptetés során kért valamennyi személyes adatát – ez lényegében a személyazonosító igazolvány beszkennelését jelentette – anélkül nem vehetett részt az eseményen. Így tehát hiányzik az önkéntesség.

A Hatóság azt is megállapította, hogy a résztvevők csak megfelelő tájékoztatás után adhatnak hozzájárulást, amely ebben az esetben hiányzott, így nem felelt meg az Info törvényben meghatározott követelményeknek.
A Hatóság kimondta, hogy bár a Sziget Zrt. nem nevezte meg a jogos érdeken alapuló jogalapot, nem végzett megfelelő érdekmérlegelést, mégis nyilatkozataiban arra hivatkozott, hogy azért volt szükség a résztvevők személyi igazolványának beszkennelésére  hogy megelőzzék, illetve megakadályozzák terrorcselekmények elkövetését.

A Hatóság a látogatók biztonságának megteremtésére választott eszközt, módszert nem tartja megfelelőnek, valamint arányosnak az elérni kívánt cél megvalósításához. Illetve felhívja a Sziget Zrt. figyelmét, hogy a terrorcselekmények megakadályozása, elhárítása más Hatóságok feladatkörébe tartozik.

A Hatóság azt sem tartja megfelelőnek, hogy a Sziget Zrt. a 72 órás törlési határidő helyett, 1 évig megőrizte az érintettek személyes adatait.

A Hatóság külön vizsgálta a Sziget Zrt. 2018. május 25-e után végzett adatkezelését. A Sziget Zrt. által végzett érdekmérlegelési teszt, a Hatóság szerint,

nem igazolja, hogy a megvalósított adatkezelés alkalmas lenne a tesztben nevesített valamennyi adatkezelési cél megvalósítására, vagyis, hogy az adatkezelés jogszerű lehetne.

A Hatóság megállapította, hogy

a visszaélések elkerülése tekintetében a Kötelezett által végzett adatkezelés egyedül arra alkalmas, hogy megakadályozza, hogy egy karszalaggal több személy léphessen be a fesztivál területére… az egyéb célokból végzett adatkezelés a GDPR 5. cikk (1) bekezdés b) pontját sérti.

A Hatóság a Sziget Zrt. által kezelt adatkör tekintetében megállapította, hogy „beléptető-monitoron a látogatók képmásán és nevén felül azok nemének és születési idejének kezelése a Hatóság álláspontja szerint se nem szükséges, se nem alkalmas a visszaélések megakadályozására….”

A Hatóság megállapította, hogy nem megfelelő a látogatók származási országának rögzítése.

A megjelölt adatkezelés készletezőnek minősül, ugyanis a meghatározott cél egy jövőbeni bizonytalan esemény, egy kivételes helyzet, amely az esetek döntő többségében nem következik be, így valamennyi látogató származási országára vonatkozó adatának e célból való kezelése a Hatóság álláspontja szerint nem felel meg sem a célhoz kötöttség, sem az adattakarékosság elvének, így az adatkezelés a rendelet 5. cikk (1) bekezdés b) és c) pontjába ütközik.

A Hatóság a 2018. május 25-e előtti időszakra vonatkozó adatkezelés tekintetében bírságszankciót nem alkalmaz, mivel az preventív jellegét már elvesztette. Viszont a 2018. május 25-e után folytatott adatkezelésével a Sziget Zrt. megsértette a GDPR több cikkét is, ezért 30 millió forintos adatvédelmi bírságot szabott ki.

Mindeközben módosító törvényjavaslatot nyújtottak be képviselők 2019. június 18-án az Országgyűlés elnökének „A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény” tekintetében.

A javaslat célja az lenne, hogy a zeneszolgáltatást főszolgáltatásként nyújtó tömegrendezvény szervezőjének, aki több mint huszonötezer jegyet hozott forgalomba, rögzítenie kell a rendezvény látogatóinak személyi adatait. Ennek célja a rendezvényt látogatók biztonságának biztosítása, valamint a bűncselekmények megelőzése, felderítése, körözött személyek azonosítása lenne.