Egy panaszos lakó azért fordult a NAIH-hoz, mert szerinte a társasház laptopjának (biztonsági őr) kezelője hozzáfétr a társasház elektronikus megfigyelőrendszere által rögzített felvételekhez, ami sérti a magánszférját. A laptopot kezelő személy nem munkatársa a társasházkezelő cégnek, ezért rá nem vonatkozik a társasházkezelővel kötött adatfeldolgozási szerződés
A hatóság kiszállt és körbenézett. A társasház házititkára nem tudta megmondani, hogy milyen célból és milyen jogalap alapján üzemeltetik a kamerákat, annyit viszont tudott, hogy a társasház 2002-es építésekor már kihelyezték azokat és jelenleg az uszodát, a wellness részleget, a kerti kijárót, a recepciót a garázst és a portát figyelik. A házititkár azzal védekezett,hogy ő a társasház pénzügyeit és postázását intézi a saját számítógépéről.
A recepciós elmondta, hogy a kamerák által rögzített képeket tárolják, de fogalma sem volt a tárolás időtartamáról. Az élőképet a monitoron látják, azonban az érintetteknek kérésre sem engednek betekintést a felvételekbe. A társasház kameraszabályzattal nem rendelkezett, az érkezőket mindössze a kapunál kihelyezett piktogramm figyelmezteti a megfigyelőrendszer alkalmazására.
A biztonsági őr elmondta, hogy a portaszolgálatot ellátó személyek a biztonsági cég alkalmazottjai, akik a kamerák élőképét látják, figyelik, de a rögzített felvételekhez nem férnek hozzá. A rendszerbe való belépéshez pedig az összes portaszolgálatos ugyanazt a felhasználónevet és jelszót használja. A biztonsági őr elmondása szerint körülbelül 22 kamera működik a társasház területén. (Azt se tudta tehát, hány kamerájuk van.)
A NAIH informatikai szakértője igazolta a biztonsági őr által elmondottakat és megállapította, hogy a felvételekhez történő hozzáférés megfelelően korlátozott, de a számítógép bekapcsolása után a rendszer automatikusan elindul, ezért nem azonosítható a portaszolgálatos személye. A kamerakezelő programba pedig minden munkatárs ugyanazzal a felhasználónévvel és jelszóval tud belépni.
Megszólalt az intézőbiztottság elnöke is, aki elmondta, hogy a kamerák működtetésének célja az emberi élet, a testi épség, a személyi szabadság védelme, stb. Egyébként pedig elrettentő funkciót is betöltenek, ezért hagyták fent azokat.
Az intézőbizottság elnöke elmondta, hogy a tulajdonosokat a kamerarendszerrel összefüggő adatkezelésről a szabályzatokat kifüggesztették a faliújságra és a lakók, belépők figyelmét kihelyezett táblákkal hívják fel az elektronikus megfigyelőrendszer alkalmazásának tényéről.
A NAIH észrevétele és a büntetés okai:
A felvételen szereplő természetes személy érintett számára biztosítani kell valamennyi, az Infotv.- ben felsorolt jog gyakorlását. A felvételek megismeréséről jegyzőkönyvet kell készíteni, amelynek tartalmaznia kell a rögzített felvételt, az annak megismerésére jogosult személy nevét, továbbá az adatok megismerésének okát és idejét.
A NAIH szerint a kamera-rendszer megtervezése során sem a társasház, sem a biztonsági cég nem tette meg azokat a technikai és szervezési intézkedéseket, és nem alakította ki azokat az eljárási szabályokat, amelyek az adatok biztonságát szolgálják, így különösen védik azokat a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Ennek hiányát bizonyítja, hogy a rendszerhez hozzáférő valamennyi a recepción dolgozó személy ugyanazon felhasználónév-jelszó párost használta. Egy rendszer akkor biztonságos ha valamennyi hozzáférési jogosultságot kapó személy differenciáltan, külön felhasználónevet és jelszót használ. Ezzel a megoldással biztosítható annak ellenőrizhetősége és megállapíthatósága, hogy adott esetben mely személyes adatokat, mikor és ki vitte be a rendszerbe.
Jelenleg a társasházi kamerarendszer létesítésére és üzemeltetésére vonatkozó szabályokat a társasházakról szóló törvény tartalmazza, mely szerint a közös tulajdonban álló épületrészek, helyiségek és területek megfigyelését szolgáló, zárt rendszerű műszaki megoldással kiépített elektronikus megfigyelőrendszer létesítéséről és üzemeltetéséről a közgyűlés az összes tulajdoni hányad szerinti legalább kétharmados többségével rendelkező tulajdonostársak igenlő szavazatával dönthet.
A kamerarendszer nem irányulhat a külön tulajdonban álló lakás vagy nem lakás céljára szolgáló helyiség bejáratára vagy más nyílászárójára akkor sem, ha az a közös tulajdonban álló épületen, épületrészen vagy területen van elhelyezve. A kamerarendszer nem helyezhető el a közös tulajdonban és a tulajdonostársak közös használatában álló olyan helyiségben sem, amelyben a megfigyelés – a helyiség rendeltetéséből fakadóan – az emberi méltóságot sértheti.
A társasház intézőbizottságának elnöke által megküldött adatvédelmi szabályzat nem tartalmazza az adatkezelési körülményeket, ezért a Társasház, mivel nem nyújtott megfelelő előzetes tájékoztatást az érintettek számára, így az általa hozzájárulásnak tekintett közgyűlési határozat, mint jogalap sem felelt meg az Infotv. követelményeinek.
A Thtv. alapján a társasházban üzemelő kamerarendszernek meg kell felelnie a mindenkori legmagasabb adatbiztonsági követelményeknek. Ehhez hozzátartozik, hogy az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.
Nem felel meg az adatbiztonság követelményeinek a helyszíni vizsgálaton a Hatóság tudomására jutott azon tény, mely szerint a kamerarendszer üzemeltetése kapcsán olyan szerződéses láncolat alakult ki az üzemeltető cégek között, amely alapján csupán jelentős nehézségek árán lehet megállapítani, hogy pontosan mely alvállalkozó jogosult hozzáférni a rendszerhez. Ez a körülmény azt valószínűsíti, hogy az adatbiztonságért felelős szerv nem tartja kontroll alatt az általa üzemeltetett rendszert, ezáltal nem biztosított a személyes adatok megfelelő védelme.
Tanulságok:
- külön felhasználónév és jelszó mindenkinek
- világos adatvédelmi és kamerarendszer szabályzat, jogosultságok, betekintési naplózás stb.
- adózás szempontjából biztos jó a cégháló (ki kit jelent be és hová), de akkor is kellenek a jól megírt szabályzatok
- attól, hogy egy ház "társas", még nem közös minden és nem lehet bárhová kamerát felfúrni
- hanem a közgyűlés elé kell vinni az egész témát
A NAIH ítélete itt olvasható.