30 MILLIÓS REKORD GDPR BÍRSÁG A SZIGET FESZTIVÁLNAK – MI VOLT A HIBA?

26 June 2019

Pár nap híján egy évvel a GDPR hatálybalépése után az Adatvédelmi Hatóság kiosztotta az eddigi legmagasabb összegű adatvédelmi bírságot Magyarországon. A célpont nem más, mint a legnagyobb magyar fesztiválszervező cég, akinek a közönség a SZIGET, a VOLT és a Balaton Sound fesztiválokat is köszönheti. A NAIH a fesztiválokon alkalmazott beléptetés folyamatát, illetve az ennek során végzett adatkezeléseket vette górcső alá. Rövid cikkükben összefoglaljuk, hogy milyen hibákat tárt fel a NAIH.

1. A beléptetés a fesztiválokon

A fesztiválszervező („Szervező”) tevékenysége már évek óta foglalkoztatta a NAIH-t, és az ügyben a hatóság vizsgálta a GDPR hatálybalépése előtti és utáni adatkezeléseket is. Mivel a bírság a GDPR alapján végzett adatkezelésekre vonatkozik, ezért a cikkben csak ezekkel foglalkozom.

A Szervező 2015-t követően kezdte meg a jelenlegi beléptető rendszer kialakítását, amelyet elsősorban a 2015. novemberi párizsi terrorcselekmények inspiráltak. A bírsággal érintett időszakban a beléptetés így zajlott: amikor a fesztiválozó a fesztivál-jegyet karszalagra váltja be, akkor másolás nélkül, a személyazonosító okmányából kinyerik a nevét és egyéb azonosító adatait, valamint a fényképet, vagy ha ez utóbbi nem lehetséges, akkor a helyszínen készítenek róla fényképet.

Ezt követően ezeket az adatokat hozzárendelik a karszalagon található RFID chiphez azzal kiegészítve, hogy a karszalag tulajdonosa melyik napon és milyen területekre léphet be. A karszalagot ezt követően minden egyes beléptetéskor leolvassák, ilyenkor pedig a monitoron látható a fesztiválozó képmása, neve, neme és születési ideje, amely alapján a személyzet azonosítani tudja.

2. De miért van erre szükség?

A Szervező alapvetően két elkülöníthető célt, illetve érdeket nevezett meg, amelyek szerinte a beléptetés során végzett adatkezelést indokolják.

Elsődlegesen, a Szervező szerint a belépő személyek azonosításával megvalósítható a tömegrendezvényen résztvevő látogatók személyi biztonságának megóvása, kiszűrhetők a potenciális elkövetők.

Másodlagosan, a karszalagok személyhez rendelésével megelőzhetők a visszaélések, például, hogy egy karszalaggal több személy lépjen be különböző időpontokban vagy hogy jegyüzérek magasabb áron adják el a jegyeket.

A Szervező szerint ezek a jogos érdekek megelőzik a fesztiválozók személyes adataik védelméhez fűződő jogát, melyet érdekmérlegelési teszttel támasztott alá. A beléptetéssel kapcsolatos adatkezelést tehát a saját és a látogatók jogos érdekére alapozta.

3. A fesztiválozók személyi biztonságának garantálása

A NAIH, bár elismerte, hogy a Szervezőnek gazdasági érdeke fűződik a biztonságos rendezvények szervezéséhez, a Szervező által e célból végzett adatkezelést mégsem tartotta jogszerűnek alapvetően két okból.

A NAIH szerint egyrészt a bűncselekmények, így a terrorcselekmények megelőzése vagy megakadályozása valójában közérdekű célok, amelyek érvényesítéséhez a Szervező nem rendelkezik megfelelő eszközökkel. Ezen célok érvényesítése ugyanis az erre feljogosított állami szervek, hatóságok feladata. A Szervezőnek más eszközökkel kellene elérnie az adatkezelés célját, így például együttműködhet ezekkel a szervekkel, fizikai átvizsgálást, fémdetektort alkalmazhat.

Másrészt, a NAIH szerint a beléptetés során alkalmazott adatkezelés nem is alkalmas a bűncselekmények megelőzésére. A Szervezőnek ugyanis nincs egy ún. referencia-adatbázisa, amellyel összevethetné a beléptetés során felvett adatokat, így ezzel a módszerrel valójában nem tudja kiszűrni az esetleges bűnelkövetőket.

4. A visszaélések kiszűrése

A NAIH e körben megállapította, hogy a Szervezőnek tényleges jogos gazdasági érdeke fűződik a visszaélések kiszűréséhez, és ez az érdek adott esetben elsőbbséget élvezhet a fesztivált látogatók személyes adatai védelméhez való jogával szemben.

A NAIH szerint azonban e cél vonatkozásában is bukik az adatkezelés jogszerűsége, alapvetően az következő indok miatt.

A jegyek személyhez rendelése az első beléptetés során, illetve az ennek során megvalósított adatkezelés csak arra alkalmas, hogy megakadályozza, hogy egy karszalaggal több személy lépjen be.

Ugyanakkor ez a fajta adatkezelés nem teszi lehetővé a jegyüzérek tevékenységének visszaszorítását. Nem az a jellemző ugyanis, hogy a jegyüzér beváltja a karszalagot és a már beváltott karszalagot értékesíti tovább, hanem az, hogy a jegyüzér magát az előre megváltott belépőjegyet adja el magasabb áron. Ezt pedig a karszalagok személyhez rendelése nem tudja megakadályozni. Már csak hab a tortán, hogy a NAIH szerint a Szervező által kezelt egyes adatok (pl. születési név, nem) nem is szükséges a visszaélések megakadályozásához.

5. A rekord bírság

A Szervezőt a NAIH a fentiek miatt 30 Millió Forintos bírsággal sújtotta. Ahogy a bevezetőben is említettem, Magyarországon ilyen magas összegű bírságra még nem volt példa, főként, hogy a GDPR hatályba lépése előtt a bírság maximuma 20 Millió Forint volt, amelyet csak egyszer szabott ki a NAIH.

Jelen esetben a hatóság a bírság kiszabása során súlyosító körülményként értékelte többek között az érintettek jelentős számát, illetve, hogy a szervező a szórakoztató tömegrendezvények piacának meghatározó súlyú szereplője. Emellett a NAIH azt is figyelembe vett, hogy korábban már több alkalommal jelezte a szervezőnek, hogy nem tartja jogszerűnek az adatkezelést.

Enyhítő körülményként értékelte ugyanakkor a hatóság, hogy a szervező legalább részben változtatott a korábbi gyakorlatán és már nem (érvénytelen) hozzájárulás alapján kezeli az adatokat, valamint nem szkenneli be a teljes személyazonosító okmányt.

Ahogy a SZIGET fesztivál példája is mutatja, az adatkezelés során sajnos nem feltétlenül igaz, hogy a cél szentesíti az eszközt. Még ha az adatkezelésed célja valós és jogszerű, az eszköz rossz megválasztásával, illetve alkalmatlanságával alááshatod az adatkezelés jogszerűségét, ezért érdemes körültekintően eljárni.