30 milliós GDPR bírságot kapott a Volt a Sound és a Sziget

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Megbírságolta a NAIH a Sziget a Balaton Sound és a Volt fesztiválokat szervező céget a beléptetési eljárás során elkövetett adatvédelmi jogsértések miatt.

A NAIH szerint a 2016-2017 közötti rendezvényeken való beléptetéshez kapcsolódó adatkezelés sértette az adatvédelmi szabályokat, mert az adatkezelő nem megfelelő jogalap alapján kezelte a személyes adatokat, az adatkezelés nem felelt meg a célhoz kötöttség elvének és az érintettek sem kaptak megfelelő tájékoztatást.

A NAIH külön vizsgálta a GDPR hatálybalépését követő adatkezelési gyakorlatot, amelyet szintén jogsértőnek talált. A 2018-as rendezvényeken való adatkezelés szintén nem megfelelő jogalap alapján történt, illetve a szervező cég nem tartotta be a célhoz kötöttség és az adattakarékosság elvét.

A GDPR hatálybalépése óta ez az első olyan ügy, amelyben a NAIH által kiszabott bírság meghaladja a korábban az Infotv. által megállapított bírságmaximumot.

Több érintett azért fordult a NAIH-hoz, mert a 2016-os Volt fesztiválon beszkennelték a személyi igazolványukat, azonban nem nyújtottak tájékoztatást arról, hogy az így megszerzett személyes adatokat meddig és milyen célból kezelik, illetve a karszalag kiadása során az érintettekről kép és hangfelvétel készült.

Abban az esetben, ha az érintett az adatai rögzítéséhez nem járult hozzá, a szervező megtagadhatta a karszalag kiadását vagy később érvényteleníthette azt.

Az adatkezelő az adatkezelési tevékenységét, az érintett tájékoztatáson alapuló önkéntes hozzájárulására, mint jogalapra alapította, amely hozzájárulást az érintettek a beléptetési folyamatban való részvételükkel adnak meg.

A NAIH 2017-ben kelt első felszólító levelében felhívta az adatkezelő figyelmét, hogy önkéntesség hiányában a hozzájárulás nem fogadható el jogalapként. A szervező nem értett egyet a NAIH álláspontjával és úgy érvelt, hogy az érintetteknek valós választási lehetőségük van, mivel nem kötelező jegyet venniük a rendezvényre.

A szervező szerint a rendezvény komoly terrorfenyegetettségnek van kitéve, ezért a 2015-ben kialakított rendszer arányosan korlátozza az érintettek jogait, mert célja az ő testi épségüknek, életüknek és egészségüknek védelem, illetve a terrorcselekmények megelőzése, a Volt és a Balaton Sound esetében ezt az adatkezelési célt az adatkezelő a jogos érdekére alapította.

A szervező tájékoztatása szerint az így felvett adatokat a rendezvények zárását követő 72 óráig őrzik, jogsértő cselekmény esetén pedig a hatósági kötelezés időtartamáig. A kezelt adatokat nem továbbítják harmadik személy részére.

A beléptetést végző személyek a regisztrációkor készített fényképet vetették össze a belépésre jelentkező személlyel és így állapították meg a belépési jogosultságot.

A személyes adatokat tároló adatbázishoz csak a legmagasabb hozzáférési jogosultsággal rendelkező munkavállalók fértek hozzá, kizárólag abból a célból, hogy a hatósági megkereséseket teljesítsék.

A NAIH az adatkezelő állításainak ellenőrzése érdekében felvette a kapcsolatot a rendőrséggel, az Alkotmányvédelmi Hivatallal és a TEK-kel is.

A NAIH szerint a vizsgált adatkezelésekre vonatkozó tájékoztatás nem felelt meg az Infotv. vizsgálati eljárásban vizsgált időszakban hatályos 20. § (2) bekezdésének, és ezért felszólította, hogy tájékoztatását hozza összhangba a törvény rendelkezéseivel és –az egyéb szempontból is felülvizsgált –adatkezelési gyakorlatával.

Miután a Sziget Kft. az első felszólításban foglaltaknak nem tett eleget, a Hatóság még egy ízben –a , Sziget Kft. 2017. július 19. napján kelt válaszlevelére is tekintettel –2017. december 20. napján kelt levelében ismételten felszólította a Sziget Kft.-t, hogy vizsgálja felül adatkezelési gyakorlatát és alakítsa át a hatályos jogszabályi rendelkezéseknek megfelelően, valamint alakítsa át beléptetési rendszerét úgy, hogy az –kiemelt figyelemmel az adatkezelés megfelelő jogalapjára –megfeleljen a hatályos jogszabályi követelményeknek.

A Sziget átvette a második felszólítást is, azonban arra már nem válaszolt.

A Hatóság a beléptetés során elfogadhatónak tartja bizonyos személyes adatok kezelését az adatkezelő jogos érdeke alapján, ugyanakkor csak olyan adat kezelésére kerülhet sor ebben az esetben,amely alkalmas a cél elérésére, így például az érintettről készített fényképfelvétel és az érintett neve. Ezen felül azonban további adatok kezelése nem szükséges

A fesztivállátogatók biztonságának garantálását is elfogadható célnak tekintette a Hatóság, azonban a szervező által alkalmazott adatkezelési tevékenységet nem. A NAIH áttekintette több nagy fesztivál biztonsági gyakorlatát és ezeket mint alternatív, a személyes adatokat kevésbé korlátozó rendelkezéseket a szervező elé tárta. A szervező azonban azt állította, hogy ezeket automatikusan nem lehet alkalmazni, de ezen álláspontját nem fejtette ki részletesen.

Az adatok megőrzésével kapcsoltban is jogsértőnek találta az adatkezelési gyakorlatot a NAIH, mert a rendezvény zárását követő 72 órán túli adatkezelés célja a valamely eljárás kezdeményezése, amely során az eljáró hatóságnak át kell adni az adatokat, ezt követően azonban nem volt célja az adatok megőrzésének.

A szervező nem adott tájékoztatást az igénybe vett adatfeldolgozókról sem, annak ellenére, hogy azok jelentős szerepet töltöttek be.

A szervező az érdekmérlegelési tesztben nem vizsgálta részletesebben, hogy az érintettek konkrétan mely jogait korlátozza az adatkezelés, hogy a korlátozás milyen mértékű és jár-e kockázattal, amennyiben jár, milyen kockázatot jelent az érintettek részére, tehát az adatkezelő  az egymással szemben álló érdekek és a korlátozás jogszerűségének mérlegelését nem végezte el a tesztben

A bírság kiszabása során a NAIH értékelte, hogy a 2016-2017-es adatok már törlésre kerültek, az adatkezelési tevékenység megszűnt, ezért a bírság csak represszív szankcióként lenne alkalmazható, amellyel a kívánt cél nem érhető el, így ezen évekre eltekintett a bírság kiszabásától.

A GDPR hatálybalépést követő időszakra kiszabott bírság esetében a NAIH figyelembe vette, hogy a szervező megsértette a GDPR több rendelkezését is, amelynek eredményeképpen nem megfelelő jogalap alapján, a célhoz kötöttség és adattakarékosság elveinek megsértésével kezelte a látogatók százezreinek személyes adatait.

A NAIH a bírságkiszabás során súlyosbító körülményként az alábbi tényezőket vette figyelembe:

• az érintettek számát, mivel az adatkezelő  által a 2018-as év során rendezett VOLT, Balaton Sound és Sziget Fesztiválon összesen több, mint nyolcszázezer ember vett részt;
• a jogsértés szándékos jellegét, mivel az adatkezelő az általa készített érdekmérlegelési tesztben annak ellenére a terrorcselekmények, valamint más erőszakos és kábítószerrel kapcsolatos bűncselekmények megelőzését és megakadályozását jelölte meg, hogy a Hatóság a korábbi vizsgálati eljárás során több alkalommal kifejezésre juttatta, hogy az adatkezelést e célok elérése érdekében nem találja alkalmas eszköznek;
• az adatkezelő a fesztiválok, szórakoztató célú tömegrendezvények piacának meghatározó súlyú szereplője, magatartásának megítélése kiemelt közfigyelem alá esik, és a piac egyéb szereplői számára is mintaként szolgálhat;-a kiszabott bírság akkor képes elérni célját, ha annak összege –a Kötelezett értékesítési árbevételéhez is viszonyítva –érezhető mértékű.

(naih.hu)

---