Jelen cikkünkben a Nemzeti Adatvédelmi- és Információszabadság Hatóság (a továbbiakban: NAIH vagy Hatóság) 2022. évi tevékenységéről szóló beszámolójában megjelent, kiemelt jelentőségű témakörökről, adatvédelmi ügyekről számolunk be („A Nemzeti Adatvédelmi és Információszabadság Hatóság Beszámolója a 2022. évi tevékenységéről”, a teljes beszámoló itt elérhető). Az ügyek rövid ismertetését követően összefoglaljuk a lényeges tanulságokat, észrevételeinket.

1. A 2022. évi országgyűlési választás és választási kampány tapasztalatai (NAIH-3182/2022)

A politikai választási kampányok során alkalmazott adatkezelési műveletek tipikusan a polgárok telefon/e-mail/postai úton történő megkeresése, különféle rendezvényekről történő tájékoztatása, aktuális témákban véleménykérés, aláírásgyűjtő ív kitöltése, ahol a polgárok személyes adatainak kezelésével kapcsolatban előfordulhatnak jogsértések. 2022. április 3-án lezajlott az országgyűlési képviselők általános választása, amelyhez kapcsolódóan számos bejelentés, panasz érkezett a Hatósághoz különösen az ellenzéki pártok által folytatott kampánytevékenység kapcsán. A választópolgárok számtalan kampánycélú megkeresést kaptak e-mailen, telefonon, valamint postai úton. A Hatóság kéretlen politikai kampányhívások miatt folytatott vizsgálatot, amely kampányhívás során a hívó felek az ellenzéki előválasztás jelöltjeinek támogatására, a választáson részvételre buzdították a megkeresetteket. A telefonos kampány során az egyik ellenzéki miniszterelnök-jelöltet támogató szervezet megbízásából a hívásokat lebonyolító kft. adatbázisában szereplő telefonszámokra kezdeményeztek automata általi hívást, a hívás során a miniszterelnök-jelölt nevében elhangzott politikai üzenet volt hallható. A Hatóság a vizsgált adatkezelés tekintetében mind a politikai szervezet, mind a kitelefonálást bonyolító kft. adatkezelői minőségét megállapította. Ezen túlmutatóan azonban a Hatóság vizsgálta azt is, hogy a politikai szervezet és a kft. közös adatkezelőknek, vagy önálló adatkezelőknek tekintendőek-e. A feltárt tényállás alapján megállapításra került, hogy az adatkezelés célját – amely az érintettek figyelmének felhívása az előválasztásra és a szavazásra, továbbá ezzel összefüggésben közvélemény-kutatás lefolytatása volt – a politikai szervezet és a kitelefonálást végző kft. közösen határozta meg. Az adatkezelés eszközét is együttesen határozták meg, a politikai szervezet döntött arról, hogy az adatkezelés célját hanghívás útján kívánja elérni, azt azonban, hogy ennek megvalósítása hogyan, milyen módon, milyen személyes adatok felhasználásával, milyen üzenetek érintettekhez hívás útján történő eljuttatásával történjen, a politikai szervezet és a kft. közösen határozták meg. A politikai szervezet és a kft. tehát a célok és eszközök meghatározásában közösen vettek részt, összehangoltan, egymásra tekintettel döntöttek az adatkezelés módjáról és az adatkezelésben végzett tevékenységeik egymástól elválaszthatatlanok és szorosan összefüggtek, ezáltal közös adatkezelőknek minősültek. A felek nem kötöttek adatvédelmi megállapodást az adatkezelés vonatkozásában.

Észrevételek az ügy kapcsán: Az adatkezelői minőség meghatározásának lényeges eleme az adatkezelés céljaira és eszközeire gyakorolt ráhatás, befolyás mértéke. Az adatkezelőknek megállapodást kell kötniük egymással, amelyben meghatározzák, hogy milyen módon teljesítik a GDPR szerinti kötelezettségeket, vagyis milyen jogalapon, milyen személyes adatokat, mennyi ideig kezelnek az adatkezelők, vagy az érintettek előzetes tájékoztatásával kapcsolatban hogyan járnak el, továbbá meg kell határozniuk azt is, hogy ki lesz felelős a kérelmek megválaszolásáért, amikor az érintettek a GDPR-ban biztosított jogaikat gyakorolják. A közös adatkezelők által kötött valamely szerződés azonban önmagában nem váltja ki az adatkezelői megállapodást, csak abban az esetben minősülhet annak is, ha tartalmaz az adatkezelői kötelezettségek teljesítéséért fennálló felelősségre és feladatokra vonatkozó megállapításokat.

2. Létfontosságú érdekre alapított kamerás megfigyelés (NAIH-88/2022)

Egy vállalat üzlethelyiségére felszerelt kamerarendszert vizsgálta a Hatóság, mert a kamerák közterületet és egy közeli társasház lakóinak mozgását is megfigyelés alatt tartották a magánszemély panaszos szerint. Az adatkezelő vállalat egy kávézót üzemeltetett úgy, hogy az üzlete előtti járda egy részét, tehát közterületet bérelt az önkormányzattól és ott teraszt hozott létre. Az erről szóló használati megállapodás szerint a használat nem terjedt ki a gyalogos folyosóra, csupán az üzlet bejárata előtti és a gyalogos folyosón túli területre, kifejezetten tehát az asztalok és székek által elfoglalt területre. A vállalat az üzlethelyiség vendégei, személyzete testi épségének védelme, valamint a teraszon elhelyezett vagyontárgyak védelme miatt, létfontosságú érdekének védelmére hivatkozással – a GDPR 6. cikk (1) bekezdés d) pontja – szereltette fel a kamerákat. A Hatóság megállapította, hogy a vállalat a személyes adatokat jogalap nélkül kezeli azzal, hogy a teraszon éttermi asztalokat figyel meg és a vendégekről folyamatosan képet és hangot rögzít a működtetett kamararendszer segítségével, mely nem felel meg az arányosság követelményének. A Hatóság megállapította továbbá, hogy a létfontosságú érdek jogalap nem alkalmazható a kamerarendszerrel történő megfigyeléssel összefüggő adatkezelésre. A Hatóság kötelezte az adatkezelőt, hogy megfelelő jogalapon és megfelelő tájékoztatás mellett üzemeltesse a kamerákat vagy szüntesse meg az adatkezelést.

Észrevételek az ügy kapcsán: A kamerás megfigyelésre alkalmazandó jogalap jellemzően a jogos érdek lehet, amely vonatkozásában azonban szükséges annak vizsgálata, hogy az adatkezelő jogos érdeke nem jelent-e aránytalan korlátozást, beavatkozást az érintettek magánszférájába, jogaikba és szabadságaikba. A vendégek magánszférájának aránytalan sérelmét jelenti, hogyha őket nyilvános helyen, szabadidős tevékenységük során folyamatosan megfigyelik, róluk kép- és hangfelvételt is rögzítenek.

3. Hangrögzítést végző vagyonvédelmi célból üzemeltetett kamerák (NAIH-5114/2022)

Egy balatoni szálláshelyet működtető vállalat területén két egymástól elkülöníthető kamerarendszert üzemeltetett. Az első kamerarendszer fix analóg kamerákból állt, amelyek csak élőképet közvetítettek, a második IP-kamerákból, amelyek képet és hangot is rögzítettek. Az analóg rendszer kamerái a parkolót, illetve a kaputól a szálláshely bejáratáig terjedő sávot figyelték meg, míg az IP-kamerák a recepciót, az étkezőt, a belső udvart, valamint az épület teraszán elhelyezett jakuzzit. Ezen kamerák mozgásra aktiválódtak, és kezdték meg a rögzítést. Az adatkezelő a kamerarendszerek útján megvalósuló adatkezelése jogalapjaként a GDPR 6. cikk (1) bekezdés f) pont szerinti jogos érdekét jelölte meg, az adatkezelés céljaként pedig a személy- és vagyonvédelmet. A Hatóság az analóg kamerarendszer útján megvalósuló adatkezelést jogszerűnek találta, mivel a kamerák látószögébe kizárólag az ingatlan olyan részei estek bele, ahol a szállóvendégek csak áthaladnak, illetve ahol ténylegesen alkalmasak vagyonvédelmi célok betöltésére, pl. parkoló. Emellett mivel a kamerák az utcafrontról is láthatók, így visszatartó erővel is bírnak az ingatlan területére való illetéktelen behatolással, illetve egyéb vagyon elleni bűncselekmények elkövetésével szemben. A Hatóság álláspontja szerint azáltal, hogy rendszer csak élőképet közvetít, az érintettek magánszférájába való beavatkozás jelentősen kisebb foka valósul meg, mint ha sor kerülne a személyes adataik rögzítésére. A Hatóság ugyanakkor a határozatában megállapította, hogy az IP-kamerákból álló kamerarendszer útján történő hangrögzítés jogellenes, mivel az adatkezelés az elérni kívánt céllal nem arányos, és annak szükségességét az adatkezelő az eljárásban nem igazolta. A hangrögzítés nem tekinthető általánosan bevett gyakorlatnak vagyonvédelmi kamerás megfigyelések esetében, így az érintettek tájékoztatás hiányában nem is számíthattak arra, hogy a kamerák a képmásuk mellett a hangjukat, a beszélgetéseiket is rögzíti. A Hatóság továbbá az étkezőben elhelyezett kamera vonatkozásában megállapította, hogy az adatkezelés az elérni kívánt céllal nem arányos, és a vendégek elvárásaival ellentétes az, ha őket pihenés, étkezés közben figyelik meg. A Hatóság elrendelte az étkezőben elhelyezett, illetve a belső udvarra és a jakuzzira irányuló kamerák leszerelését, eltiltotta az adatkezelőt a további jogsértéstől, valamint hárommillió forint adatvédelmi bírság megfizetésére kötelezte az adatkezelőt.

Észrevételek az ügy kapcsán: A kamerás megfigyelések esetében az Adatkezelő jogos érdeke általánosan elfogadható adatkezelési jogalap, azonban szükséges a személy- és vagyonvédelmi célokkal, az adatkezelés céljaival összhangban meghatározni az adatkezelés valamennyi körülményeit (a fenti ügy kapcsán utalunk a kamerák látószögének beállítására, a megfigyelt terület, valamint a rögzítés módjának meghatározására). Minden esetben az Adatkezelőt terheli a felelősség az adatkezelés alapvető körülményeinek, eszközeinek meghatározása kapcsán a jogszerűen folytatott adatkezelés biztosítása körében. Az adatkezelés eszközeit oly módon kell megválasztani, hogy az adatkezelés ne vonja maga után az érintettek alapvető jogainak és szabadságainak, magánszférájának az adatkezelés céljával össze nem egyeztethető, aránytalan sérelmét.

4. Kirívóan jogsértő adatkezelések egy szépségszalonban (NAIH-2732/2023)

Több bejelentés érkezett a Hatósághoz, melyekben a bejelentők azt kifogásolták, hogy egy szépségszalonban, ahol arc- és testkezeléseket, valamint orvosesztétikai beavatkozásokat végeznek, minden helyiségben kamerák üzemelnek, melyeken keresztül mind a munkavállalókat, mind a vendégeket lehallgatják. Noha a szépségszalon üzemeltetője arról tájékoztatta az érintetteket, hogy képfelvétel készül, azonban a hangfelvételről, valamint a megfigyelés valódi céljáról nem nyújtott tájékoztatást. A bejelentések szerint a hangfelvétel készítésének a célja, hogy ellenőrizzék a kezelést végző munkatársakat, valamint információkat szerezzenek a vendégekről, és ezen információk alapján még több kezelést és arcápoló terméket adjanak el nekik. A Hatóság megállapította, hogy a szépségszalon a munkavállalókat és a vendégeket is jogsértően figyelte meg, és adatkezelése kirívóan jogsértő volt, többek között a hangrögzítésre, hangfelvételek készítésére a szépségszalon nem rendelkezett jogalappal, a kamerafelvételek munkavállalók általi felhasználása, illetve a hozzáférés módja és belső szabályozása nem volt megfelelő. A vendégek adatainak marketing célra történő kezeléséhez továbbá a szépségszalon sem az érintettek megfelelő tájékoztatását, sem az általa hivatkozott jogalapok fennállását nem igazolta. Mivel a szépségszalon a konzultációs lapokon és az adatbázisában jogszerűtlenül kezelt a különleges, egészségügyi adatokat, a Hatóság emiatt is elmarasztalta, 30 millió forint adatvédelmi bírságot szabott ki, megtiltotta a kamerás adatkezelést a kezelőkben, valamint a diagnosztikai és vizsgálati szobákban, továbbá elrendelte a videofelvételek, az egészségügyi adatok törlését is.

Észrevételek az ügy kapcsán: az adatkezelés jogszerűsége akkor állapítható meg, hogyha az adatkezelő a személyes adatok valamennyi adatkezelési célból történő kezeléséhez érvényes jogalappal rendelkezik, továbbá, ha az érintett megfelelő tájékoztatást és döntési lehetőséget kapott arra vonatkozóan, hogy a megadott személyes adatait milyen adatkezelési célból fogják kezelni. Az érintettek tudta nélkül, illetve félrevezetésével, nem megfelelő tájékoztatásával végzett adatkezelések kirívó jogsértéseket valósíthatnak meg, melyek rendkívül magas adatvédelmi bírság kiszabásához vezethetnek.

A GDPR fokozott védelemben részesíti a személyes adatok különleges kategóriáiba tartozó adatokat, különösen az egészségügyi adatokat. Ilyen személyes adatok kezelése során fokozott körültekintéssel, megfelelő adatbiztonsági intézkedések mellett, a célhoz kötött adatkezelés, adattakarékosság elveit tiszteletben tartva kell eljárnia az adatkezelőnek. Ezen kívül az érintett hozzájárulása, előzetes tájékoztatása nélkül hangfelvétel készítése és annak felhasználása alapvetően jogellenes, amennyiben az nem közérdeket vagy létfontosságú érdekek védelmét szolgálja, hanem az érintettek magatartásának, preferenciáinak kielemzését és az adatkezelő marketing céljait.

5. Egészégügyi dokumentáció hiánya (NAIH-4137/2022)

Egy nőgyógyászati rendeléssel kapcsolatos ügyben a kérelmező várandósgondozását végezte egy orvos, magánegészségügyi ellátás keretében. A magzat halálát követően a kérelmező több alkalommal írásban kérte a teljes egészségügyi dokumentáció másolatának kiadását, az orvos azonban a kérelmeket át sem vette. A szolgáltatónak hazai jogszabály alapján dokumentációvezetési kötelezettsége állt fenn, annak másolatát a GDPR alapján kellett volna biztosítania. A Hatóság megállapította, hogy az ellátó orvos az általa bérelt rendelő helyiségében nem biztosította, hogy az oda érkező küldeményeket bárki átvegye, így az érintetti kérelem sem jutott el hozzá. Az eljárás során bebizonyosodott, hogy az orvos a várandós nő ellátásról semmilyen dokumentációt nem készített, sem papír alapú leletet nem adott a betegnek, sem a jogszabály alapján kötelező elektronikus leletfeltöltési kötelezettségének nem tett eleget, ezért a Hatóság a dokumentáció másolatának biztosítását elrendelni nem tudta. Az orvos a hatósági eljárásban egymásnak ellentmondó nyilatkozatokat tett, valamint az érintetteknek nyújtott adatkezelési tájékoztatója is valótlan tájékoztatást tartalmazott, mert őket elektronikus és papír alapú dokumentáció vezetéséről, és a jogszabályi feltöltési kötelezettség teljesítéséről tájékoztatta, ezért a Hatóság megállapította, hogy az orvos adatkezelése nem volt átlátható, valamint adatvédelmi bírságot szabott ki.

Észrevételek az ügy kapcsán: A GDPR-ban meghatározott elszámoltathatóság elve azt hivatott biztosítani, hogy az adatkezelő utólagosan is képes legyen bizonyítani az általa folytatott adatkezelések jogszerűségét. E jogszerűség nem csupán a GDPR szerinti kötelező adatvédelmi dokumentáció elkészítését, meglétét foglalja magában, hanem azt is, hogy az adatkezelő a rá, tevékenységére vonatkozó speciális jogszabályi rendelkezésekben meghatározott dokumentációs, adatmegőrzési kötelezettségének is eleget kell tennie. A kötelező dokumentációra, iratmegőrzésre vonatkozó kötelezettségek nemteljesítése ugyanis azt eredményezheti, hogy az adatkezelő nem tud eleget tenni a GDPR szerinti adatkezelői kötelezettségeinek, így például – a fenti ügy alapján – az érintetti kérelmeket nem tudja teljesíteni önhibájából fakadóan, mulasztása, kötelezettségszegése okán.

6. Szakellátott gyermekek pályaalkalmassági/IQ felmérése (NAIH-13/2022)

A Hatóság civil szervezet beadványa alapján indított vizsgálatot abban, a sajtóban is megjelent ügyben, amely szerint az Országos Gyermekvédelmi Szakszolgálat (a továbbiakban: OGYSZ) elnöke a szakellátott gyermekek pályaalkalmassági/IQ felmérésének végrehajtásával kapcsolatban egyedi utasítást adott. Az utasításnak megfelelően a gyermekvédelmi gondoskodásban élő 6-18. év közötti gyermekeknek a gyámok közreműködésével kötelezően részt kellett venniük a felmérésben, amely során a szakellátott gyermekek a gyám közreműködésével a https://testometrika.com oldalon elérhető teszt kitöltésére voltak kötelezettek. A felmérés teljesítésére a gyámok kaptak felszólítást, akadályozottságuk esetén a mérést a helyettes gyám, a nevelőszülő, illetve a gyermekotthon/ lakásotthon nevelője volt köteles elvégezni. A teszt kitöltése végén a gyermek egy egyedi azonosítót kapott, ezzel együtt kellett megküldenie az eredményt a megyei/fővárosi területi gyermekvédelmi szakszolgálat részére. A Hatóság a hivatkozott weboldalt áttekintette és tesztregisztrációt végzett, amely során megállapította, hogy az orosz weboldalon az adatkezeléshez feltétlenül hozzájárulást kell adni, az oldal a hozzájárulás visszavonása után is kezelheti az adatot, ha az orosz jog úgy rendelkezik, valamint az oldal használójának adatai automatikusan továbbításra kerülnek a Google-höz és a Yandexhez mint az online platformhoz webanalitikai sütiket biztosító harmadik felekhez.

A Hatóság álláspontja szerint a fentiek adatvédelmi szempontból a jogsérelem közvetlen veszélyét jelentették, mivel a gyermekvédelmi gondoskodásban élők kötelezően kitöltsék a hivatkozott oldalon található tesztet, amely során nem biztonságos harmadik országokba történő adattovábbítással az adatok kikerültek a magyar joghatóság alól, főként, hogy ez közfeladattal kapcsolatos adatkezelés során történt, ezért a Hatóság az utasításban elrendelt adatkezelés megszüntetésére szólította fel az OGYSZ-t. Az OGYSZ a felszólításnak eleget tett. A Hatóság megállapította továbbá, hogy sem a gyámok, sem a gyermekek nem kaptak előzetes tájékoztatást az adatkezelésről, valamint azt is, hogy az OGYSZ-nek – tevékenysége jellegéből és az érintetti körből kifolyólag – a kockázatok elemzése során fokozott figyelemmel kell eljárnia minden olyan esetben, amikor új adatkezelési tevékenységet kíván folytatni.

Észrevételek a fenti ügy kapcsán: Amennyiben egy adatkezelő tevékenységéhez kapcsolódóan új adatkezelési folyamatot kíván bevezetni, amely kockázatot jelenthet az érintettek alapvetői jogaira, szabadságaira nézve a tervezett adatkezelés valamennyi körülményeire, eszközeire tekintettel, minden esetben szükséges előzetes konzultáció a Hatósággal, illetve érdekmérlegelési teszt elvégzése. Megjegyezzük, hogy a GDPR értelmében a gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Egyebekben az érintettet a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán őt megillető jogokat.

A személyes adatok harmadik országokba történő továbbításának feltételei kapcsán a GDPR 44. cikke előírja, hogy személyes adatok harmadik országba történő továbbítása során mind az adattovábbítást végrehajtó adatkezelőnek, mind az adatokat fogadó adatkezelő vagy adatfeldolgozó esetén legalább a GDPR-ban adatvédelem szintjét kell garantálnia megfelelő biztonsági intézkedések alkalmazása által. A nem biztonságos harmadik országokba történő adattovábbítás minden nemzeti adatkezelő részére elkerülendő gyakorlat

2023.05.25.

Amennyiben kérdése van az adatvédelem témakörében, vagy szüksége van adatvédelmi tanácsadás szolgáltatásunkra, keressen minket a lenti elérhetőségeink egyikén:

Miklós Péter – adatvédelmi jogász

Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu

 

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap