Akár több millió forintos bírságra is számíthatnak azok a videós megfigyelőrendszereket alkalmazó cégek és intézmények, amelyek nem ügyelnek a személyes adatok megfelelő kezelésére. Az idei évtől új uniós iránymutatás segíti a magyar jogalkalmazókat a vonatkozó jogszabályok értelmezésében és alkalmazásában – hívja fel a figyelmet a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda.
Az Európai Adatvédelmi Testület 2020 januárjában fogadta el legfrissebb (3/2019. számú) Iránymutatását, amely többek közt azt is tisztázza, hogy az általános adatvédelmi rendelet, a GDPR hogyan értelmezendő a különböző vállalati és nyilvános videós megfigyelő rendszerek (például a CCTV-k) használata során. Világossá teszi, hogyan biztosítható a személyes adatok jogszerű kezelése a hagyományos és intelligens videóeszközök alkalmazása esetén például irodaházakban, pénzintézeteknél, nagyobb munkáltatóknál vagy bevásárlóközpontokban. Az Iránymutatás a rendelet értelmezésében, a megfelelő joggyakorlat kialakításában segít a tagállamok – így Magyarország – adatkezelőinek és hatóságainak. A kamerák jogszabályokat sértő alkalmazása komoly bírságokkal járhat, ami több millió forint is lehet. Szabálytalan kamerás megfigyelés miatt a GDPR alapján az eddigi legmagasabb bírság Magyarországon 5 millió forint volt.
A jogszerű adatkezelés feltétele, hogy annak célját minden egyes kamerára nézve részletesen, írásban, konkrétan meghatározzák. A „biztonság” vagy „az Ön biztonsága” nem lehet elég indok: a jogalap nagyon sokszor a jogos érdeken alapul, amelynek „valósnak és jelen lévőnek” kell lennie. Így például elegendő jogalap lehet a kamerák alkalmazására, ha valaki áruházat nyit egy veszélyes környéken, az azonban már nem, ha az áruházi mosdó állapotának ellenőrzésére szerelnek fel kamerákat.
Az adatkezelést a szükséges mértékűre kell korlátozni, így például egy üzem esetében munkaidőben a vagyonmegóvási célú megfigyelés sokszor indokolatlan lehet.
„A magyar adatvédelmi hatóság, a NAIH gyakorlata alapján egy munkahelyen a kamerás megfigyelés csak nagyon szigorú korlátok között alkalmazható, és annak célja nem lehet a munkavállalók és tevékenységük megfigyelése vagy munkahelyi viselkedésük befolyásolása. A munkahelyi kamerás megfigyelés elsődleges célja általában a vagyonmegóvás, értékvédelem, illetőleg az emberi élet és testi épség védelme lehet.”
– mondta el Dr. Vári Csaba, a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda adatvédelmi csoportjának vezetője.
Az adatkezelő esetről esetre köteles saját (esetleg mások) jogos érdekét az érintettek alapvető jogaival és szabadságaival összemérni. Mindig olyan megoldást kell keresni, amely a lehető legkevésbé avatkozik be a magánszférába, és a megfigyelés tényét és szükségességét időről időre felül kell vizsgálni.
A beavatkozás erőssége egyebek mellett az érintett ésszerű elvárásaitól függ. Amikor nem feltételezhető a kamerás megfigyelés – például a kikapcsolódásra szolgáló helyiségek, éttermek, mosdók esetében –, nincs jelentősége, hogy egyébként helyeztek ki tájékoztató jelzéseket, a kamera alkalmazása önmagában alapvető jogokat sérthet.
A CCTV-k által megfigyelt vagy rögzített adatok sokszor a személyes adatok különleges kategóriái közé tartoznak, ezért kezelésük során a GDPR speciális, a különleges adatok kezelésére vonatkozó rendelkezései irányadók. Így például önmagában abból, hogy valaki belép a megfigyelés alatt álló területre, nem következik az, hogy a rá vonatkozó különleges adatokat nyilvánosságra is kívánja hozni, ezért ebben az esetben a vonatkozó speciális jogalap sem alkalmazható.
A biometrikus adatok kezelése is szigorú szabályokhoz kötött: az adatkezelő köteles hasonló adatok felvétele nélküli alternatívát is biztosítani, ami az érintettre nézve sem járhat korlátozással vagy további költségekkel. Így például, ha a reptéri utasfelvételnél a gyors beléptetéshez arcfelismerő rendszert alkalmaznak, kell lennie másik módszernek is azok számára, akik ehhez nem járulnak hozzá.
A megfigyelt területre való belépéskor, az ott-tartózkodás során és annak elhagyását követően is lehetőséget kell adni a tiltakozáshoz való jog gyakorlására. A megfigyelés így általában csak akkor jogszerű, ha az adatkezelő a kérésnek megfelelően azonnal meg tudja állítani a kamerát, vagy ha a megfigyelt terület annyira lezárt, hogy az adatkezelő képes az előzetes hozzájárulását biztosítani – azaz a kérdéses területre az érintett enélkül nem is jogosult belépni.
Az Iránymutatás többszintű megközelítést javasol az átláthatóság és tájékoztatás megteremtésére. Az első szint a figyelmeztető jelzés, amely tartalmazza a legfontosabb információkat, míg a további részleteket meg lehet adni a második szinten is. A figyelmeztető jelzésnek jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kell adnia a tervezett adatkezelésről, annak okáról, az adatkezelő személyéről, az adatvédelmi tisztviselőről vagy felelősről, illetve az érintettek jogairól. A jelzésnek tartalmaznia kell bármilyen olyan információt, amely az érintett számára meglepő lehet, például ha az adatot harmadik személyeknek továbbítják, vagy ha a felvételt különösen hosszú ideig rögzítik.
Az adatkezelőnek magánszféra-barát technológiákat javasolt alkalmaznia a megfigyelőrendszerek kiépítésekor. Ezeknek lehetővé kell tennie az egyes területek maszkolását vagy összezavarását, illetve a harmadik személyekről készült felvételek kivágását.