Az Európai Únió Adatvédelmi Testületének álláspontja szerint aki a honlapján vagy egyéb eszközein használj a Facebook Like gombját az közös adatkezelőnek minősül a Facebook-al együtt. 

Tekintettel arra, hogy a Facebook éppen adatvédelmi háborút vív az EU-val - és vesztésre áll - érdemes felkészülni.

A Testület egy konkrét esetet is vizsgált, nevezetesen a német piacvezető Fashion ID webshop működését. Arra jutottak, hogy a Like gombra klikkelésen keresztül a weboldal látogatónak személyes adatait összegyűjtötték és Facebooknak továbbítoták. Igen, úgy látszik ilyet is tud a Like gomb. Elvileg az üzemeltető nem adatkezelő, hiszen az adatok feldolgozása a Facebooknál zajlik ugyanakkor a személyes adatok megadásához a hozzájárulást a weboldal üzemeltetőjének kellene megadni.

Egy panaszos lakó azért fordult a NAIH-hoz, mert szerinte a társasház laptopjának (biztonsági őr) kezelője hozzáfétr a társasház elektronikus megfigyelőrendszere által rögzített felvételekhez, ami sérti a magánszférját. A laptopot kezelő személy nem munkatársa a társasházkezelő cégnek, ezért rá nem vonatkozik a társasházkezelővel kötött adatfeldolgozási szerződés

A hatóság kiszállt és körbenézett. A társasház házititkára nem tudta megmondani, hogy milyen célból és milyen jogalap alapján üzemeltetik a kamerákat, annyit viszont tudott, hogy a társasház 2002-es építésekor már kihelyezték azokat és jelenleg az uszodát, a wellness részleget, a kerti kijárót, a recepciót a garázst és a portát figyelik. A házititkár azzal védekezett,hogy ő a társasház pénzügyeit és postázását intézi a saját számítógépéről.

A recepciós elmondta, hogy a kamerák által rögzített képeket tárolják, de fogalma sem volt a tárolás időtartamáról. Az  élőképet a monitoron látják, azonban az érintetteknek kérésre sem engednek betekintést a felvételekbe. A társasház kameraszabályzattal nem rendelkezett, az érkezőket mindössze a kapunál kihelyezett piktogramm figyelmezteti a megfigyelőrendszer alkalmazására.

A biztonsági őr elmondta, hogy a portaszolgálatot ellátó személyek a biztonsági cég alkalmazottjai, akik a kamerák élőképét látják, figyelik, de a rögzített felvételekhez nem férnek hozzá. A rendszerbe való belépéshez pedig az összes portaszolgálatos ugyanazt a felhasználónevet és jelszót használja. A biztonsági őr elmondása szerint körülbelül 22 kamera működik a társasház területén. (Azt se tudta tehát, hány kamerájuk van.)

A NAIH informatikai szakértője igazolta a biztonsági őr által elmondottakat és megállapította, hogy a felvételekhez történő hozzáférés megfelelően korlátozott, de a számítógép bekapcsolása után a rendszer automatikusan elindul, ezért nem azonosítható a portaszolgálatos személye. A kamerakezelő programba pedig minden munkatárs ugyanazzal a felhasználónévvel és jelszóval tud belépni.

Megszólalt az intézőbiztottság elnöke is, aki elmondta, hogy a kamerák működtetésének célja az emberi élet, a testi épség, a személyi szabadság védelme, stb.  Egyébként pedig elrettentő funkciót is betöltenek, ezért hagyták fent azokat.

Az intézőbizottság elnöke elmondta, hogy a tulajdonosokat a kamerarendszerrel összefüggő adatkezelésről a szabályzatokat kifüggesztették a faliújságra és a lakók, belépők figyelmét kihelyezett táblákkal hívják fel az elektronikus megfigyelőrendszer alkalmazásának tényéről. 

A NAIH észrevétele és a büntetés okai:

A felvételen szereplő természetes személy érintett számára biztosítani kell valamennyi, az Infotv.- ben felsorolt jog gyakorlását. A felvételek megismeréséről jegyzőkönyvet kell készíteni, amelynek tartalmaznia kell a rögzített felvételt, az annak megismerésére jogosult személy nevét, továbbá az adatok megismerésének okát és idejét.

A NAIH szerint a kamera-rendszer megtervezése során sem a társasház, sem a biztonsági cég nem tette meg azokat a technikai és szervezési intézkedéseket, és nem alakította ki azokat az eljárási szabályokat, amelyek az adatok biztonságát szolgálják, így különösen védik azokat a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Ennek hiányát bizonyítja, hogy a rendszerhez hozzáférő valamennyi a recepción dolgozó személy ugyanazon felhasználónév-jelszó párost használta. Egy rendszer akkor biztonságos ha valamennyi hozzáférési jogosultságot kapó személy differenciáltan, külön felhasználónevet és jelszót használ. Ezzel a megoldással biztosítható annak ellenőrizhetősége és megállapíthatósága, hogy adott esetben mely személyes adatokat, mikor és ki vitte be a rendszerbe.

Jelenleg a társasházi kamerarendszer létesítésére és üzemeltetésére vonatkozó szabályokat a társasházakról szóló törvény tartalmazza, mely szerint a közös tulajdonban álló épületrészek, helyiségek és területek megfigyelését szolgáló, zárt rendszerű műszaki megoldással kiépített elektronikus megfigyelőrendszer létesítéséről és üzemeltetéséről a közgyűlés az összes tulajdoni hányad szerinti legalább kétharmados többségével rendelkező tulajdonostársak igenlő szavazatával dönthet.

A kamerarendszer nem irányulhat a külön tulajdonban álló lakás vagy nem lakás céljára szolgáló helyiség bejáratára vagy más nyílászárójára akkor sem, ha az a közös tulajdonban álló épületen, épületrészen vagy területen van elhelyezve. A kamerarendszer nem helyezhető el a közös tulajdonban és a tulajdonostársak közös használatában álló olyan helyiségben sem, amelyben a megfigyelés – a helyiség rendeltetéséből fakadóan – az emberi méltóságot sértheti.

A társasház intézőbizottságának elnöke által megküldött adatvédelmi szabályzat nem tartalmazza az adatkezelési körülményeket, ezért a Társasház, mivel nem nyújtott megfelelő előzetes tájékoztatást az érintettek számára, így az általa hozzájárulásnak tekintett közgyűlési határozat, mint jogalap sem felelt meg az Infotv. követelményeinek.

A Thtv. alapján a társasházban üzemelő kamerarendszernek meg kell felelnie a mindenkori legmagasabb adatbiztonsági követelményeknek. Ehhez hozzátartozik, hogy az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

Nem felel meg az adatbiztonság követelményeinek a helyszíni vizsgálaton a Hatóság tudomására jutott azon tény, mely szerint a kamerarendszer üzemeltetése kapcsán olyan szerződéses láncolat alakult ki az üzemeltető cégek között, amely alapján csupán jelentős nehézségek árán lehet megállapítani, hogy pontosan mely alvállalkozó jogosult hozzáférni a rendszerhez. Ez a körülmény azt valószínűsíti, hogy az adatbiztonságért felelős szerv nem tartja kontroll alatt az általa üzemeltetett rendszert, ezáltal nem biztosított a személyes adatok megfelelő védelme.

Tanulságok:

- külön felhasználónév és jelszó mindenkinek

- világos adatvédelmi és kamerarendszer szabályzat, jogosultságok, betekintési naplózás stb.

- adózás szempontjából biztos jó a cégháló (ki kit jelent be és hová), de akkor is kellenek a jól megírt szabályzatok

- attól, hogy egy ház "társas", még nem közös minden és nem lehet bárhová kamerát felfúrni

- hanem a közgyűlés elé kell vinni az egész témát

A NAIH ítélete itt olvasható.

Egy adós kérelmet nyújtott be a NAIH-hoz, melyben adatvédelmi hatósági eljárás lefolytatását kezdeményezte, és kérte a Kötelezett adatkezelésének kivizsgálását, a jogellenes adatkezelés tényének a megállapítását, továbbá kérte a Hatóságtól, hogy utasítsa a Kötelezettet a kért személyes adat törlésére, tiltsa el a Kötelezettet a jövőbeni jogsértő magatartástól, továbbá kérte a Kötelezettel szemben a bírságot is magában foglaló szankció megállapítását.

A behjató cég vagy bank (a határozatból nem derül ki a válaszlevélben tájékoztatta a kérelmező adóst, hogy „Mindaddig amíg a tartozás nem kerül rendezésre Társaságunk jogosult az Adós egyéb elérhetőségein is – akár személyesen, akár telefonon vagy írásban – felvenni a kapcsolatot az Adóssal Társaságunk jogos érdekeinek érvényesítése, azaz a tartozás behajtása vagy a gépkocsi birtokbavétele érdekében.” 

A Kötelezett nyilatkozata szerint a Kérelmező (adós) elektronikus elérhetőségét nem, csak a telefonszám adatait kezeli, a kezelésének jogalapja a hozzájárulás. A vezetékes telefonszámot és a mobiltelefonszámot pedig a Kérelmező a 2008. 09. 11. napján aláírt „Kölcsönkérelmi adatlap”-on adta meg. A beható cég nyilatkozata szerint az adatkezelés jogalapja a cég jogos érdeke, továbbá „A nyilvántartásba vétel célja egyrészt a kölcsön elbírálásakor az adatok valódiságának ellenőrzése, továbbá a szerződés során a kapcsolattartás, másrészt a későbbiek során a szerződés nem – vagy nem szerződésszerű teljesítés esetére az ügyfél tájékoztatása a tartozás összegéről és a mulasztás jogkövetkezményéről.” 

A Hatóság döntése

1. Kérelmező adattörlési kérelme: a Kötelezettnek nincs törvényi felhatalmazása a Kérelmező telefonszám adatainak kezelésére. A Kérelmező telefonszám adatai kezelésének jogalapja a Kötelezett számára a Kérelmező 2008. szeptember 11-én adott hozzájárulása volt, ezt a Kötelezett is elismerte. Az információs önrendelkezési jog természetéből adódóan az érintettnek joga van ahhoz, hogy a hozzájárulásával kezelt adatok törlését kérje. A Kérelmező 2019. január 28-án kelt levelében az kérte, hogy a Kötelezett minden egyéb, esetlegesen nyilvántartott telefonszámát törölje, tehát a telefonszámai kezeléséhez adott hozzájárulását visszavonta.

2. A Kérelmező telefonszám adatai kezelésének jogalapja a hozzájárulás visszavonását követően:  a hozzájáruláson alapuló adatkezelés esetében figyelemmel kell lenni az általános adatvédelmi rendelet 5. cikk 11. pontjára, mely szerint a hozzájárulás egyik fogalmi eleme az önkéntesség, a saját elhatározáson alapuló döntés. Ez az információs önrendelkezési jog azt jelenti, hogy - jogszabályban elrendelt adatkezelések kivételével - személyes adataival mindenki maga rendelkezik, mindenki maga határoz arról, hogy személyes adatait másnak megadja-e, vagy sem, így nem csak a hozzájárulás megadásáról, hanem annak indokolási kötelezettség nélküli visszavonásáról is dönthet. Az általános adatvédelmi rendelet 17. cikk (1) bekezdésének b) pontja alapján a személyes adatokat a hozzájárulás visszavonását követően törölni kell, ha az adatkezelésnek nincs más jogalapja. 

3. A Hatóság álláspontja szerint a Kérelmező telefonszámainak kezelése a követelés behajtásához és a Kérelmezővel történő kapcsolattartáshoz nem elengedhetetlenül szükséges, hiszen a Kötelezett a Kérelmezővel történő kapcsolattartáshoz egyéb elérhetőségi adatait is kezeli. A Kérelmező lakcímadatának kezelése a telefonszámának törlését követően is biztosítja a kapcsolattartás lehetőségét. A Kérelmező a Kötelezetthez intézett adattörlési kérelmében kifejezetten azt kérte, hogy őt a postai címén kívül más fórumon ne keressék. Ha telefonszám a telefonos kapcsolattartásra a továbbiakban nem használható, akkor a kezelése cél nélkülivé válik.

A Hatóság a bírság kiszabása során az alábbi tényezőket vette figyelembe:

-  A jogalap nélküli adatkezelés a Kötelezett magánszféráját jelentősen érinti, és az ezzel okozott jogsérelmet a Kötelezett szándékos magatartása, adatkezelési gyakorlata idézte elő.

-  A jogsértés súlyos, mert érintetti jog (törléshez való jog) gyakorlását érinti, továbbá a Kötelezett az adatkezelésével az általános adatvédelmi rendelet több cikkét is megsértette, köztük alapelvi jogsértést is megvalósított.

-  A bírságkiszabással a Hatóság speciális prevenciós célja az, hogy ösztönözze a Kötelezettet arra, hogy vizsgálja felül a telefonszám adat kezelésével kapcsolatos adatkezelési gyakorlatát.

-  A Hatóság a kiszabott bírságösszeg meghatározásakor a sepciális perevenciós cél mellett figyelemmel volt a bírsággal elérni kívánt generálpreventív célra is, mellyel - a Kötelezett újabb jogsértéstől való visszatartása mellett - valamennyi piaci szereplő adatkezelési gyakorlatának a jogszerűség irányába való mozdulását kívánja elérni. Ugyanis a jogos érdek fennállta, mint jogalap nem egy kötetlenül, bármely az adatkezelő érdekében álló esetre, esetkörre alkalmazható szabály, hanem a jogos érdekre történő hivatkozás precíz alátámasztása is szükséges.

2018. 12.21-én született meg az első GDPR alapján kiszabott adatvédelmi bírság Magyarországon. A NAIH határozatában 1 millió Ft összegű bírságot szabott ki.

Történt ugyanis, hogy az érintett a róla a recepción készült kamerafelvételek zárolását, és az azokba való betekintés jogát kívánta gyakorolni. A kamerakép egyébként arra kellett, hogy egy peres ügyében bizonyítékként szolgálhasson. Az adatkezelő viszont azt válaszolta, hogy a kamera hangot nem, csak képet rögzít, ezért úgyse tudná használni semmire továbbá véleménye szerint az érintett által előadott indokok nem alapozták meg a kérelem jogosságát, nem támasztotta kellően alá az igényét.

A NAIH szerint az adatkezelőnek nincs mérlegelési lehetősége atekintetben, hogy az érintett által kért korlátozás alkalmas-e igényérvényesítésre.

Jogilag pedig azzal védekezett, hogy a a Vagyonvédelmi törvény 31. § (6) bekezdése szerint - jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges feltétel nem teljesült az érintett oldalán. A felvételek végül törlésre kerültek az adatvédelmi szabályzatuk alapján.

Az érintetti jogok sérelme

A NAIH határozatatában úgy döntött, hogy az adatkezelő megsértette

az érintett hozzáférési jogát (GDPR 15. cikk),

az adatkezelés korlátozásához való jogát (18. cikk)

és nem adott megfelelő tájékoztatást a jogorvoslati lehetőségekről (12. cikk (4) bekezdés).

A hozzáférési jog megsértésével kapcsolatban a Hatóság leszögezte, hogy "a hozzáférési jog – ideértve annak részjogosítványát is, a másolat rendelkezésre bocsátáshoz való jogot – gyakorlása kapcsán a GDPR nem támaszt többletkövetelményeket, az feltétel nélkül gyakorolható, tehát az érintettnek nem kell igazolnia a hozzáférési joga gyakorlásához fűződő jogát vagy jogos érdekét, illetve nem kell indokolnia, hogy mi okból kíván élni ezzel a jogával." 

Az adatkezelő arra hivatkozással utasította el az érintett hozzáférési kérelmét, hogy az érintett nem igazolta a GDPR 18. cikk (1) bekezdésében foglalt valamely feltétel fennállását, azaz az érintett jogos érdekének igazolásához kötötte, pedig a hozzáférési jog gyakorlására irányuló érintetti kérelem teljesítése kizárólag a GDPR 12. cikk (5) bekezdése szerinti esetekben tagadható meg, azaz csak akkor, ha a kérelem egyértelműen megalapozatlan vagy túlzó. Ilyen körülmény azonban nem merült fel, illetve ilyenre az adatkezelő sem hivatkozott. A Hatóság tehát megállapította a GDPR 15. cikkének (hozzáférési jog) megsértését. 

Az adatkezelő úgy gondolta, jó ötlet a Vagyonvédelmi törvény vonatkozó rendelkezéseire hivatkozni, csakhogy ezek nem állnak még teljesen összhangban a GDPR-ral (a történet az un. Saláta-törvény előtt játszódik). Egyébként pedig a GDPR, mint közvetlenül alkalmazandó uniós jogforrási aktus és a vele ellentétes törvény viszonyában, a GDPR rendelkezésének kell érvényesülnie a vele ellentétes tagállami belső szabállyal szemben is. 

A Hatóság megállapította a GDPR 12. cikk (4) bekezdésének (érintett jogainak gyakorlását segítő intézkedések) sérelmét is, mivel az adatkezelő az érintettnek küldött elutasításában megjelölte ugyan az elutasítás ténybeli és jogi indokait, azonban nem tájékoztatta a kérelmezőt jogorvoslati lehetőségeiről.

Tanulságok:

1. Ha valaki a GDP-ba szereplő jogaira hivatkozik, legyünk nagyon kedvesek s együttműködők, ha annyira bele akar tekinteni a kameraképekbe és szeretne magának egy DVD-t íratni, akkor tegyük meg, ha ez nem okoz valami óriási érdeksérelmet. Tudom, hogy macerás és bosszantó is, de joga van hozzá és nem nagyon van mit mérlegelni. Olyan keveset tudunk a NAIH gyakorlatáról, hogy inkább kövessünk el mindent a feljelentés meg polgári per elkerülésére, mint kapjunk egy hatalmas bírságot.

2. Nem kell tehát igazolnia, hogy miért kéri a kameraképet vagy bármilyen aktát, amit pl. egy dolgozóról vezetünk. Jól gondoljuk meg és készüljünk fel, ha arra akarunk hivatkozni, hogy a kérés megalapozatlan vagy túlzó,  

3. Mielőtt jogászkodunk és más egyéb törvényekre akarunk hivatkozni, ne felejtsük, hogy a GDPR közvetlenül alkalmazandó EU-s rendelkezés és aduász, mindent visz. Nagyon erős indokok kellenek, hogy szembe menjünk vele.