Blog
Blog » 30 MILLIÓS REKORD GDPR BÍRSÁG A SZIGET FESZTIVÁLNAK – MI VOLT A HIBA?
30 MILLIÓS REKORD GDPR BÍRSÁG A SZIGET FESZTIVÁLNAK – MI VOLT A HIBA?
26 June 2019
Pár nap híján egy évvel a GDPR hatálybalépése után az Adatvédelmi Hatóság kiosztotta az eddigi legmagasabb összegű adatvédelmi bírságot Magyarországon. A célpont nem más, mint a legnagyobb magyar fesztiválszervező cég, akinek a közönség a SZIGET, a VOLT és a Balaton Sound fesztiválokat is köszönheti. A NAIH a fesztiválokon alkalmazott beléptetés folyamatát, illetve az ennek során végzett adatkezeléseket vette górcső alá. Rövid cikkükben összefoglaljuk, hogy milyen hibákat tárt fel a NAIH.
1. A beléptetés a fesztiválokon
A fesztiválszervező („Szervező”) tevékenysége már évek óta foglalkoztatta a NAIH-t, és az ügyben a hatóság vizsgálta a GDPR hatálybalépése előtti és utáni adatkezeléseket is. Mivel a bírság a GDPR alapján végzett adatkezelésekre vonatkozik, ezért a cikkben csak ezekkel foglalkozom.
A Szervező 2015-t követően kezdte meg a jelenlegi beléptető rendszer kialakítását, amelyet elsősorban a 2015. novemberi párizsi terrorcselekmények inspiráltak. A bírsággal érintett időszakban a beléptetés így zajlott: amikor a fesztiválozó a fesztivál-jegyet karszalagra váltja be, akkor másolás nélkül, a személyazonosító okmányából kinyerik a nevét és egyéb azonosító adatait, valamint a fényképet, vagy ha ez utóbbi nem lehetséges, akkor a helyszínen készítenek róla fényképet.
Ezt követően ezeket az adatokat hozzárendelik a karszalagon található RFID chiphez azzal kiegészítve, hogy a karszalag tulajdonosa melyik napon és milyen területekre léphet be. A karszalagot ezt követően minden egyes beléptetéskor leolvassák, ilyenkor pedig a monitoron látható a fesztiválozó képmása, neve, neme és születési ideje, amely alapján a személyzet azonosítani tudja.
2. De miért van erre szükség?
A Szervező alapvetően két elkülöníthető célt, illetve érdeket nevezett meg, amelyek szerinte a beléptetés során végzett adatkezelést indokolják.
Elsődlegesen, a Szervező szerint a belépő személyek azonosításával megvalósítható a tömegrendezvényen résztvevő látogatók személyi biztonságának megóvása, kiszűrhetők a potenciális elkövetők.
Másodlagosan, a karszalagok személyhez rendelésével megelőzhetők a visszaélések, például, hogy egy karszalaggal több személy lépjen be különböző időpontokban vagy hogy jegyüzérek magasabb áron adják el a jegyeket.
A Szervező szerint ezek a jogos érdekek megelőzik a fesztiválozók személyes adataik védelméhez fűződő jogát, melyet érdekmérlegelési teszttel támasztott alá. A beléptetéssel kapcsolatos adatkezelést tehát a saját és a látogatók jogos érdekére alapozta.
3. A fesztiválozók személyi biztonságának garantálása
A NAIH, bár elismerte, hogy a Szervezőnek gazdasági érdeke fűződik a biztonságos rendezvények szervezéséhez, a Szervező által e célból végzett adatkezelést mégsem tartotta jogszerűnek alapvetően két okból.
A NAIH szerint egyrészt a bűncselekmények, így a terrorcselekmények megelőzése vagy megakadályozása valójában közérdekű célok, amelyek érvényesítéséhez a Szervező nem rendelkezik megfelelő eszközökkel. Ezen célok érvényesítése ugyanis az erre feljogosított állami szervek, hatóságok feladata. A Szervezőnek más eszközökkel kellene elérnie az adatkezelés célját, így például együttműködhet ezekkel a szervekkel, fizikai átvizsgálást, fémdetektort alkalmazhat.
Másrészt, a NAIH szerint a beléptetés során alkalmazott adatkezelés nem is alkalmas a bűncselekmények megelőzésére. A Szervezőnek ugyanis nincs egy ún. referencia-adatbázisa, amellyel összevethetné a beléptetés során felvett adatokat, így ezzel a módszerrel valójában nem tudja kiszűrni az esetleges bűnelkövetőket.
4. A visszaélések kiszűrése
A NAIH e körben megállapította, hogy a Szervezőnek tényleges jogos gazdasági érdeke fűződik a visszaélések kiszűréséhez, és ez az érdek adott esetben elsőbbséget élvezhet a fesztivált látogatók személyes adatai védelméhez való jogával szemben.
A NAIH szerint azonban e cél vonatkozásában is bukik az adatkezelés jogszerűsége, alapvetően az következő indok miatt.
A jegyek személyhez rendelése az első beléptetés során, illetve az ennek során megvalósított adatkezelés csak arra alkalmas, hogy megakadályozza, hogy egy karszalaggal több személy lépjen be.
Ugyanakkor ez a fajta adatkezelés nem teszi lehetővé a jegyüzérek tevékenységének visszaszorítását. Nem az a jellemző ugyanis, hogy a jegyüzér beváltja a karszalagot és a már beváltott karszalagot értékesíti tovább, hanem az, hogy a jegyüzér magát az előre megváltott belépőjegyet adja el magasabb áron. Ezt pedig a karszalagok személyhez rendelése nem tudja megakadályozni. Már csak hab a tortán, hogy a NAIH szerint a Szervező által kezelt egyes adatok (pl. születési név, nem) nem is szükséges a visszaélések megakadályozásához.
5. A rekord bírság
A Szervezőt a NAIH a fentiek miatt 30 Millió Forintos bírsággal sújtotta. Ahogy a bevezetőben is említettem, Magyarországon ilyen magas összegű bírságra még nem volt példa, főként, hogy a GDPR hatályba lépése előtt a bírság maximuma 20 Millió Forint volt, amelyet csak egyszer szabott ki a NAIH.
Jelen esetben a hatóság a bírság kiszabása során súlyosító körülményként értékelte többek között az érintettek jelentős számát, illetve, hogy a szervező a szórakoztató tömegrendezvények piacának meghatározó súlyú szereplője. Emellett a NAIH azt is figyelembe vett, hogy korábban már több alkalommal jelezte a szervezőnek, hogy nem tartja jogszerűnek az adatkezelést.
Enyhítő körülményként értékelte ugyanakkor a hatóság, hogy a szervező legalább részben változtatott a korábbi gyakorlatán és már nem (érvénytelen) hozzájárulás alapján kezeli az adatokat, valamint nem szkenneli be a teljes személyazonosító okmányt.
Ahogy a SZIGET fesztivál példája is mutatja, az adatkezelés során sajnos nem feltétlenül igaz, hogy a cél szentesíti az eszközt. Még ha az adatkezelésed célja valós és jogszerű, az eszköz rossz megválasztásával, illetve alkalmatlanságával alááshatod az adatkezelés jogszerűségét, ezért érdemes körültekintően eljárni.
-
WE ARE 15!
Recently we celebrated our 15th Anniversary, which is a very important milestone for us. Looking back, our Office went through a long improvement until the formation of our present profile: providing legal support in domestic and international commercial law issues and helping our clients doing business in Hungary.
Read more » -
When should employers pay the consideration for non-compete obligation in Hungary?
The Hungarian Labour Code does not specify the due date of the consideration for non-compete obligation, which resulted in legal uncertainty. Based on the recent case law, the judiciary filled this gap with legal interpretation. In our article we summarize this recent development in Hungarian labour law practice.
Read more » -
ARBITRATION PROCEEDINGS IN HUNGARY
The Hungarian arbitration procedure, compared to the Hungarian state court procedure, is much simpler, less formal. However, it is still necessary to know these simpler procedural rules, to conclude the dispute successfully. Consequently, we summarize below the most important procedural principles and rules based on the Hungarian Arbitration Act and on the Rules of Procedure.
Read more »