A szükségtelen adatkezelés tízmilliós bírsággal járhat

2019. augusztus 22. 08:58
A vállalkozások a működésükkel összefüggésben személyes adatok sokaságát kezelik. A kezelt személyes adatok körének meghatározásakor azonban érdemes szem előtt tartani azt a követelményt, hogy csupán azon személyes adatok gyűjtéséhez (kezeléséhez) ragaszkodjunk, melyek abszolút szükségesek a jogszerű adatkezelési cél eléréséhez. Sem praktikus szempontból, sem pedig biztonsági megfontolásból nem kezelhetünk ugyanis szükségtelen mértékben személyes adatokat. Ezen követelmény részleteit példákon keresztül mutatjuk be:

A Sziget Zrt. beléptetési gyakorlata: indokolt, de eltúlzott

A Sziget Zrt. beléptetési gyakorlatával a Nemzeti Adatvédelmi és Információszabadság Hatóság több alkalommal foglalkozott. Tényszerűen megállapítható, hogy a rendezvények alkalmával jelentős számú résztvevő fordul meg a Sziget Zrt. által szervezett egyes eseményeken, mely megfelelő személy- és vagyonvédelmi intézkedések meghozatalát indokolhatja. Ezen jogos érdekére támaszkodva a szervező úgy döntött, hogy a beléptetésnek azt a formáját választja, hogy előre megvásárolt jegy esetén a helyszínen az un. becserélő ponton, helyszíni jegyvásárlás esetén a helyszíni pénztárnál személyazonosító okmányból leolvasva – de az okmány lemásolása nélkül – felveszi a látogató vezeték- és keresztnevét, születési dátumát, származási országát, nemzetiségét és nemét, valamint rögzíti az okmányon lévő fényképet, illetve, amennyiben az okmányon lévő fénykép rögzítése technikai okok miatt nem lehetséges, a helyszínen készít fényképet az érintettről. A személyes adatok alapján a szervező chipes karszalagot is készített, melyet a bejáratnál minden alkalommal leolvastak. Leolvasás alkalmával az érintett belépő személy adatai fényképpel együtt egy monitoron jelentek meg, mely lehetővé tette a belépő személy azonosítását. Az adatkezelő szervező az adatkezelés céljaként a visszaélések megelőzését, valamint a személy- és vagyonvédelem általános, illetve megelőző jellegű védelmét emelte ki. A hatóság a beléptetési gyakorlattal összefüggésben a visszaélések megelőzése, illetve a közbiztonság garantálása jogos érdekeket nem vitatta, úgy vélte azonban, hogy ahhoz az adatkezelő szükségtelenül széles körben kezelt személyes adatokat. Álláspontja szerint az adatkezelő céljainak eléréséhez a név és a fénykép személyes adatok kezelése is elegendő lett volna. Ezen túlmenően arra is rámutatott, hogy ésszerűtlen (szükségtelen) is volt a többletadatok rögzítése, hiszen a szervező központi adatbázisokhoz nem fért hozzá, így a belépő személyek közveszélyes voltát ellenőrizni nem tudta. Végezetül azt is kiemelte, hogy a közbiztonság ilyen szintű garantálása az állam és nem a piaci szereplők feladata, így ahhoz eszközzel sem rendelkezhetnek.

 

Amikor egy honlap kért több adatot, mint amennyi szükséges

Egy másik esetben a hatóság egy ügyvédi iroda által működtetett honlap adatkezelése vonatkozásában állapított meg jogsértést. A honlap számos funkciót bizosított: lehetőség volt kérdés feltevésére, kalkulátor alkalmazására, valamint hírlevélre történő feliratkozásra is. A kérdést egy olyan űrlap segítségével lehetett elküldeni, amelynél a név, e-mail, teljes név, lakcím kötelezően kitöltendő elemként szerepelt. Az adatkezelő ezt azzal indokolta, hogy az egyes kérdéseket a megválaszolásban résztvevő partnerei között földrajzi alapon osztja szét, így valamennyi személyes adat valamely jogszerű célt ténylegesen szolgál. A hatóság döntésében rámutatott a célhoz kötöttség és az adattakarékosság elveinek a fontosságára, melynek tükrében nem lehetséges nagy mennyiségű személyes alapot „valamire csak jó lesz” alapon készletezni. Személyes adatok gyűjtésére ugyanis csak meghatározott, egyértelmű és jogszerű célból történhet. A személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk. Ezeknek tükrében jogsértőnek tartotta azt, hogy az adatkezelő több funkció adatkezeléseit összevonta, illetve szükségtelen kényelmi szempontok alapján végezte a személyes adatok kezelését.

 

 

 

 

A munkahelyi belépésnél alkalmazott ellenőrzések: nehéz megfelelően kivitelezni

Számos vállalkozás alkalmaz véletlenszerű csomagátvizsgálást belépő és/vagy távozó munkavállalók, ügyfelek vonatkozásában. Ezzel összefüggésben a Hatóság azonban megállapította, hogy a vállalkozás azon gyakorlata, mely szerint a megbízott vagyonőrök általános vagyonvédelmi célból – véletlenszerűen – átvizsgálják a munkavállalók munkahelyre bevitt csomagjait, táskáit, nem felel meg a célhoz kötött adatkezelés elvének, és indokolatlanul sérti a munkavállalók (más személyek) magánszféráját. A célhoz kötöttség elvének figyelembe vételén túlmenően arra is felhívta a hatóság a munkáltató figyelmét, hogy a személy- és vagyonvédelemről szóló 2005. évi CXXXIII.tv.(Szvtv.) nem teszi lehetővé a vagyonvédelmi cégek számára az alapos gyanú nélküli vizsgálatokat. Utalt arra is, hogy az érintett csomagja az érintett magánszférája, melynek átvizsgálása emberi méltóságot is sérthet. Végezetül arra is felhívta a figyelmet, hogy amennyiben a munkáltató ellenőrzése ilyen eszközt foglal magában az érdekmérlegelés keretében vizsgálni szükséges a szükségesség és arányosság követelményét, egyéb, alternatív megoldások létezését (beléptetőkapu, fémdetektor), illetve eljárási garanciák beemelését (szakszervezeti jelenlét, jegyzőkönyv stb.). Az érdekmérlegelési teszt elvégzése során a vállalkozásnak azt kell igazolnia a csomagátvizsgálás bevezetése előtt, hogy más módszerek nem voltak hatékonyak a munkavállalói jogsértő cselekmények megelőzésére. Csak a tényleges, ismétlődő, rendszeresen visszatérő, és más módszerrel meg nem szüntethető jogsértések alapozhatják meg azt, hogy a vállalkozás csomagátvizsgálást vezessen be. Amennyiben ez  megtörténik, a vagyonvédelmi cégeket és a vállalkozás ellenőrzést végző munkavállalóit eltérő jogok illetik meg. A vagyonvédelmi cégek jogkörét ugyanis az Szvtv. jelentősen beszűkíti.

 

Dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

Ami rossz hír a briteknek, jó hír a magyar kamionsofőröknek

2021. szeptember 27. 09:26
A toborzás októberben kezdődhet

Megszakad, de nem ér véget – a munkaközi szünet rejtelmei

2019. május 21. 08:42
Munkavédelmi szerepe is van