30 milliós GDPR bírságot kapott a Volt a Sound és a Sziget

Megbírságolta a NAIH a Sziget a Balaton Sound és a Volt fesztiválokat szervező céget a beléptetési eljárás során elkövetett adatvédelmi jogsértések miatt.

A NAIH szerint a 2016-2017 közötti rendezvényeken való beléptetéshez kapcsolódó adatkezelés sértette az adatvédelmi szabályokat, mert az adatkezelő nem megfelelő jogalap alapján kezelte a személyes adatokat, az adatkezelés nem felelt meg a célhoz kötöttség elvének és az érintettek sem kaptak megfelelő tájékoztatást.

A NAIH külön vizsgálta a GDPR hatálybalépését követő adatkezelési gyakorlatot, amelyet szintén jogsértőnek talált. A 2018-as rendezvényeken való adatkezelés szintén nem megfelelő jogalap alapján történt, illetve a szervező cég nem tartotta be a célhoz kötöttség és az adattakarékosság elvét.

A GDPR hatálybalépése óta ez az első olyan ügy, amelyben a NAIH által kiszabott bírság meghaladja a korábban az Infotv. által megállapított bírságmaximumot.

Több érintett azért fordult a NAIH-hoz, mert a 2016-os Volt fesztiválon beszkennelték a személyi igazolványukat, azonban nem nyújtottak tájékoztatást arról, hogy az így megszerzett személyes adatokat meddig és milyen célból kezelik, illetve a karszalag kiadása során az érintettekről kép és hangfelvétel készült.

Abban az esetben, ha az érintett az adatai rögzítéséhez nem járult hozzá, a szervező megtagadhatta a karszalag kiadását vagy később érvényteleníthette azt.

Az adatkezelő az adatkezelési tevékenységét, az érintett tájékoztatáson alapuló önkéntes hozzájárulására, mint jogalapra alapította, amely hozzájárulást az érintettek a beléptetési folyamatban való részvételükkel adnak meg.

A NAIH 2017-ben kelt első felszólító levelében felhívta az adatkezelő figyelmét, hogy önkéntesség hiányában a hozzájárulás nem fogadható el jogalapként. A szervező nem értett egyet a NAIH álláspontjával és úgy érvelt, hogy az érintetteknek valós választási lehetőségük van, mivel nem kötelező jegyet venniük a rendezvényre.

A szervező szerint a rendezvény komoly terrorfenyegetettségnek van kitéve, ezért a 2015-ben kialakított rendszer arányosan korlátozza az érintettek jogait, mert célja az ő testi épségüknek, életüknek és egészségüknek védelem, illetve a terrorcselekmények megelőzése, a Volt és a Balaton Sound esetében ezt az adatkezelési célt az adatkezelő a jogos érdekére alapította.

A szervező tájékoztatása szerint az így felvett adatokat a rendezvények zárását követő 72 óráig őrzik, jogsértő cselekmény esetén pedig a hatósági kötelezés időtartamáig. A kezelt adatokat nem továbbítják harmadik személy részére.

A beléptetést végző személyek a regisztrációkor készített fényképet vetették össze a belépésre jelentkező személlyel és így állapították meg a belépési jogosultságot.

A személyes adatokat tároló adatbázishoz csak a legmagasabb hozzáférési jogosultsággal rendelkező munkavállalók fértek hozzá, kizárólag abból a célból, hogy a hatósági megkereséseket teljesítsék.

A NAIH az adatkezelő állításainak ellenőrzése érdekében felvette a kapcsolatot a rendőrséggel, az Alkotmányvédelmi Hivatallal és a TEK-kel is.

A NAIH szerint a vizsgált adatkezelésekre vonatkozó tájékoztatás nem felelt meg az Infotv. vizsgálati eljárásban vizsgált időszakban hatályos 20. § (2) bekezdésének, és ezért felszólította, hogy tájékoztatását hozza összhangba a törvény rendelkezéseivel és –az egyéb szempontból is felülvizsgált –adatkezelési gyakorlatával.

Miután a Sziget Kft. az első felszólításban foglaltaknak nem tett eleget, a Hatóság még egy ízben –a , Sziget Kft. 2017. július 19. napján kelt válaszlevelére is tekintettel –2017. december 20. napján kelt levelében ismételten felszólította a Sziget Kft.-t, hogy vizsgálja felül adatkezelési gyakorlatát és alakítsa át a hatályos jogszabályi rendelkezéseknek megfelelően, valamint alakítsa át beléptetési rendszerét úgy, hogy az –kiemelt figyelemmel az adatkezelés megfelelő jogalapjára –megfeleljen a hatályos jogszabályi követelményeknek.

A Sziget átvette a második felszólítást is, azonban arra már nem válaszolt.

A Hatóság a beléptetés során elfogadhatónak tartja bizonyos személyes adatok kezelését az adatkezelő jogos érdeke alapján, ugyanakkor csak olyan adat kezelésére kerülhet sor ebben az esetben,amely alkalmas a cél elérésére, így például az érintettről készített fényképfelvétel és az érintett neve. Ezen felül azonban további adatok kezelése nem szükséges

A fesztivállátogatók biztonságának garantálását is elfogadható célnak tekintette a Hatóság, azonban a szervező által alkalmazott adatkezelési tevékenységet nem. A NAIH áttekintette több nagy fesztivál biztonsági gyakorlatát és ezeket mint alternatív, a személyes adatokat kevésbé korlátozó rendelkezéseket a szervező elé tárta. A szervező azonban azt állította, hogy ezeket automatikusan nem lehet alkalmazni, de ezen álláspontját nem fejtette ki részletesen.

Az adatok megőrzésével kapcsoltban is jogsértőnek találta az adatkezelési gyakorlatot a NAIH, mert a rendezvény zárását követő 72 órán túli adatkezelés célja a valamely eljárás kezdeményezése, amely során az eljáró hatóságnak át kell adni az adatokat, ezt követően azonban nem volt célja az adatok megőrzésének.

A szervező nem adott tájékoztatást az igénybe vett adatfeldolgozókról sem, annak ellenére, hogy azok jelentős szerepet töltöttek be.

A szervező az érdekmérlegelési tesztben nem vizsgálta részletesebben, hogy az érintettek konkrétan mely jogait korlátozza az adatkezelés, hogy a korlátozás milyen mértékű és jár-e kockázattal, amennyiben jár, milyen kockázatot jelent az érintettek részére, tehát az adatkezelő  az egymással szemben álló érdekek és a korlátozás jogszerűségének mérlegelését nem végezte el a tesztben

A bírság kiszabása során a NAIH értékelte, hogy a 2016-2017-es adatok már törlésre kerültek, az adatkezelési tevékenység megszűnt, ezért a bírság csak represszív szankcióként lenne alkalmazható, amellyel a kívánt cél nem érhető el, így ezen évekre eltekintett a bírság kiszabásától.

A GDPR hatálybalépést követő időszakra kiszabott bírság esetében a NAIH figyelembe vette, hogy a szervező megsértette a GDPR több rendelkezését is, amelynek eredményeképpen nem megfelelő jogalap alapján, a célhoz kötöttség és adattakarékosság elveinek megsértésével kezelte a látogatók százezreinek személyes adatait.

A NAIH a bírságkiszabás során súlyosbító körülményként az alábbi tényezőket vette figyelembe:

  • az érintettek számát, mivel az adatkezelő  által a 2018-as év során rendezett VOLT, Balaton Sound és Sziget Fesztiválon összesen több, mint nyolcszázezer ember vett részt;
  • a jogsértés szándékos jellegét, mivel az adatkezelő az általa készített érdekmérlegelési tesztben annak ellenére a terrorcselekmények, valamint más erőszakos és kábítószerrel kapcsolatos bűncselekmények megelőzését és megakadályozását jelölte meg, hogy a Hatóság a korábbi vizsgálati eljárás során több alkalommal kifejezésre juttatta, hogy az adatkezelést e célok elérése érdekében nem találja alkalmas eszköznek;
  • az adatkezelő a fesztiválok, szórakoztató célú tömegrendezvények piacának meghatározó súlyú szereplője, magatartásának megítélése kiemelt közfigyelem alá esik, és a piac egyéb szereplői számára is mintaként szolgálhat;-a kiszabott bírság akkor képes elérni célját, ha annak összege –a Kötelezett értékesítési árbevételéhez is viszonyítva –érezhető mértékű.

(naih.hu)

Kapcsolódó cikkek:


Varga Judit: jövőre megkezdődhet a bírák bérének rendezése
2019. július 16.

Ősszel indulnak a konkrét viták az igazságügyi alkalmazotti és a bírói bérek rendezésének részleteiről, jövőre pedig remélhetőleg megkezdődik a folyamat - közölte az igazságügyi miniszter az M1 aktuális csatorna hétfő esti műsorában.

Az eu-s jognak megfelelően módosította szabályzatát az Airbnb
2019. július 15.

Az eu-s jognak megfelelően módosította szabályzatát az Airbnb

Az Európai Bizottság bejelentette, hogy a szálláshelyek online piacterét üzemeltető Airbnb az uniós fogyasztóvédelmi hatóságokkal folytatott tárgyalások nyomán továbbfejlesztette és teljes mértékben egyértelművé tette fogyasztói ajánlatainak megjelenítését, összhangba hozva azokat az uniós jogi normákkal.

Rosszabb is lehet a csődnél – így mentem meg a cégem
2019. július 15.

A „csőd” és a „csődeljárás” kifejezés a mindennapi szóhasználatban egyet jelent „tönkrement” fogalmával, ami jogi értelemben a felszámolási eljárást jelentené. Mindezekkel szemben amennyiben valaki csődeljárás megindítását kéri a cégével szemben, az pontosan a cég megmentésének szándékát fejezi ki, elköteleződést a társaság gazdasági célja mellett és felelősségvállalást a hitelezők felé. Dr. Pajor Dávid ügyvéd segít eloszlatni néhány félreértést.

Olaszliszkai emberölés: feltételesen szabadult az elsőrendű vádlott
2019. július 15.

Feltételesen szabadult a 2006-os olaszliszkai ügy elsőrendű vádlottja, akit 2009-ben ítéltek 17 év szabadságvesztésre emberölés és rongálás bűntette miatt. A férfi hétfőn hajnalban hagyta el a Szegedi Fegyház és Börtönt - tapasztalta a helyszínen a közmédia munkatársa.