Blog
Blog » 30 MILLIÓS REKORD GDPR BÍRSÁG A SZIGET FESZTIVÁLNAK – MI VOLT A HIBA?
30 MILLIÓS REKORD GDPR BÍRSÁG A SZIGET FESZTIVÁLNAK – MI VOLT A HIBA?
2019 Június 26
Pár nap híján egy évvel a GDPR hatálybalépése után az Adatvédelmi Hatóság kiosztotta az eddigi legmagasabb összegű adatvédelmi bírságot Magyarországon. A célpont nem más, mint a legnagyobb magyar fesztiválszervező cég, akinek a közönség a SZIGET, a VOLT és a Balaton Sound fesztiválokat is köszönheti. A NAIH a fesztiválokon alkalmazott beléptetés folyamatát, illetve az ennek során végzett adatkezeléseket vette górcső alá. Rövid cikkükben összefoglaljuk, hogy milyen hibákat tárt fel a NAIH.
1. A beléptetés a fesztiválokon
A fesztiválszervező („Szervező”) tevékenysége már évek óta foglalkoztatta a NAIH-t, és az ügyben a hatóság vizsgálta a GDPR hatálybalépése előtti és utáni adatkezeléseket is. Mivel a bírság a GDPR alapján végzett adatkezelésekre vonatkozik, ezért a cikkben csak ezekkel foglalkozom.
A Szervező 2015-t követően kezdte meg a jelenlegi beléptető rendszer kialakítását, amelyet elsősorban a 2015. novemberi párizsi terrorcselekmények inspiráltak. A bírsággal érintett időszakban a beléptetés így zajlott: amikor a fesztiválozó a fesztivál-jegyet karszalagra váltja be, akkor másolás nélkül, a személyazonosító okmányából kinyerik a nevét és egyéb azonosító adatait, valamint a fényképet, vagy ha ez utóbbi nem lehetséges, akkor a helyszínen készítenek róla fényképet.
Ezt követően ezeket az adatokat hozzárendelik a karszalagon található RFID chiphez azzal kiegészítve, hogy a karszalag tulajdonosa melyik napon és milyen területekre léphet be. A karszalagot ezt követően minden egyes beléptetéskor leolvassák, ilyenkor pedig a monitoron látható a fesztiválozó képmása, neve, neme és születési ideje, amely alapján a személyzet azonosítani tudja.
2. De miért van erre szükség?
A Szervező alapvetően két elkülöníthető célt, illetve érdeket nevezett meg, amelyek szerinte a beléptetés során végzett adatkezelést indokolják.
Elsődlegesen, a Szervező szerint a belépő személyek azonosításával megvalósítható a tömegrendezvényen résztvevő látogatók személyi biztonságának megóvása, kiszűrhetők a potenciális elkövetők.
Másodlagosan, a karszalagok személyhez rendelésével megelőzhetők a visszaélések, például, hogy egy karszalaggal több személy lépjen be különböző időpontokban vagy hogy jegyüzérek magasabb áron adják el a jegyeket.
A Szervező szerint ezek a jogos érdekek megelőzik a fesztiválozók személyes adataik védelméhez fűződő jogát, melyet érdekmérlegelési teszttel támasztott alá. A beléptetéssel kapcsolatos adatkezelést tehát a saját és a látogatók jogos érdekére alapozta.
3. A fesztiválozók személyi biztonságának garantálása
A NAIH, bár elismerte, hogy a Szervezőnek gazdasági érdeke fűződik a biztonságos rendezvények szervezéséhez, a Szervező által e célból végzett adatkezelést mégsem tartotta jogszerűnek alapvetően két okból.
A NAIH szerint egyrészt a bűncselekmények, így a terrorcselekmények megelőzése vagy megakadályozása valójában közérdekű célok, amelyek érvényesítéséhez a Szervező nem rendelkezik megfelelő eszközökkel. Ezen célok érvényesítése ugyanis az erre feljogosított állami szervek, hatóságok feladata. A Szervezőnek más eszközökkel kellene elérnie az adatkezelés célját, így például együttműködhet ezekkel a szervekkel, fizikai átvizsgálást, fémdetektort alkalmazhat.
Másrészt, a NAIH szerint a beléptetés során alkalmazott adatkezelés nem is alkalmas a bűncselekmények megelőzésére. A Szervezőnek ugyanis nincs egy ún. referencia-adatbázisa, amellyel összevethetné a beléptetés során felvett adatokat, így ezzel a módszerrel valójában nem tudja kiszűrni az esetleges bűnelkövetőket.
4. A visszaélések kiszűrése
A NAIH e körben megállapította, hogy a Szervezőnek tényleges jogos gazdasági érdeke fűződik a visszaélések kiszűréséhez, és ez az érdek adott esetben elsőbbséget élvezhet a fesztivált látogatók személyes adatai védelméhez való jogával szemben.
A NAIH szerint azonban e cél vonatkozásában is bukik az adatkezelés jogszerűsége, alapvetően az következő indok miatt.
A jegyek személyhez rendelése az első beléptetés során, illetve az ennek során megvalósított adatkezelés csak arra alkalmas, hogy megakadályozza, hogy egy karszalaggal több személy lépjen be.
Ugyanakkor ez a fajta adatkezelés nem teszi lehetővé a jegyüzérek tevékenységének visszaszorítását. Nem az a jellemző ugyanis, hogy a jegyüzér beváltja a karszalagot és a már beváltott karszalagot értékesíti tovább, hanem az, hogy a jegyüzér magát az előre megváltott belépőjegyet adja el magasabb áron. Ezt pedig a karszalagok személyhez rendelése nem tudja megakadályozni. Már csak hab a tortán, hogy a NAIH szerint a Szervező által kezelt egyes adatok (pl. születési név, nem) nem is szükséges a visszaélések megakadályozásához.
5. A rekord bírság
A Szervezőt a NAIH a fentiek miatt 30 Millió Forintos bírsággal sújtotta. Ahogy a bevezetőben is említettem, Magyarországon ilyen magas összegű bírságra még nem volt példa, főként, hogy a GDPR hatályba lépése előtt a bírság maximuma 20 Millió Forint volt, amelyet csak egyszer szabott ki a NAIH.
Jelen esetben a hatóság a bírság kiszabása során súlyosító körülményként értékelte többek között az érintettek jelentős számát, illetve, hogy a szervező a szórakoztató tömegrendezvények piacának meghatározó súlyú szereplője. Emellett a NAIH azt is figyelembe vett, hogy korábban már több alkalommal jelezte a szervezőnek, hogy nem tartja jogszerűnek az adatkezelést.
Enyhítő körülményként értékelte ugyanakkor a hatóság, hogy a szervező legalább részben változtatott a korábbi gyakorlatán és már nem (érvénytelen) hozzájárulás alapján kezeli az adatokat, valamint nem szkenneli be a teljes személyazonosító okmányt.
Ahogy a SZIGET fesztivál példája is mutatja, az adatkezelés során sajnos nem feltétlenül igaz, hogy a cél szentesíti az eszközt. Még ha az adatkezelésed célja valós és jogszerű, az eszköz rossz megválasztásával, illetve alkalmatlanságával alááshatod az adatkezelés jogszerűségét, ezért érdemes körültekintően eljárni.
-
MEDDIG TERJED A BÍRÓ DÖNTÉSI SZABADSÁGA?
Mit tehet a bíró, ha a tények alátámasztják a felperes keresetét, de a fél tévesen jelöli meg kereseti kérelme jogcímét? Megítélheti ilyenkor a bíróság a felperes követelését a helyes jogalapon? A kérdésre a 2018. óta hatályos polgári perrendtartás egyértelmű választ ad, rövid cikkünkben pedig egy friss kúriai döntésen keresztül járjuk körül a jogcímhez kötöttség témakörét.
Bővebben » -
A PENNÁTÓL A PENDRIVE-IG – II. RÉSZ: KONZERVATÍV POLGÁRI JOG
Amint arra legutóbbi cikkünkben is utaltunk, az írásbeliség kapcsán a Polgári Törvénykönyvben lefektetett szabályok iránymutatásul szolgálnak valamennyi jogterület kapcsán. Ebből kifolyólag cikksorozatunkban az egyes jogterületek vizsgálatát a polgári joggal fogjuk kezdeni. Körbejárva a bírói gyakorlatot látni fogjuk, hogy a többi jogághoz képest a polgári jogi területen szigorúbb felfogással találkozhatunk és a hétköznapi értelemben vett írásbeli kommunikáció sok esetben nem felel meg az írásbeliség polgári jogi kritériumainak .
Bővebben » -
VERSENGŐ VÁLASZTOTTBÍRÓSÁGI ÉS RENDES BÍRÓSÁGI KIKÖTÉSEK – ELŐADÁS A MAGYAR VÁLASZTOTTBÍRÓSÁGI EGYESÜLET KÖZGYŰLÉSÉN
A Magyar Választottbírósági Egyesület (MVbE) 2022. december 16. napján tartotta éves közgyűlését, melyet követően Irodánk vezető partnere, dr.Schmidt Richárd tartott online előadást „Dupla vagy semmi? - Versengő választottbírósági és rendes bírósági kikötések” címmel.
Bővebben »