Akár több millió forintos bírságra is számíthatnak azok a videós megfigyelőrendszereket alkalmazó cégek és intézmények, amelyek nem ügyelnek a személyes adatok megfelelő kezelésére. Az idei évtől új uniós iránymutatás segíti a magyar jogalkalmazókat a vonatkozó jogszabályok értelmezésében és alkalmazásában – hívja fel a figyelmet a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda.

Idén januárban fogadta el legfrissebb iránymutatását az Európai Adatvédelmi Testület, amely többek közt azt is tisztázza, hogy az általános adatvédelmi rendelet, a GDPR hogyan értelmezendő a különböző vállalati és nyilvános videós megfigyelő rendszerek (például a CCTV-k) használata során.

Világossá teszi, hogyan biztosítható a személyes adatok jogszerű kezelése a hagyományos és intelligens videó-eszközök alkalmazása esetén például irodaházakban, pénzintézeteknél, nagyobb munkáltatóknál vagy bevásárlóközpontokban. Az iránymutatás a rendelet értelmezésében, a megfelelő joggyakorlat kialakításában segít a tagállamok – így Magyarország – adatkezelőinek és hatóságainak. A kamerák jogszabályokat sértő alkalmazása komoly bírságokkal járhat, ami több millió forint is lehet. Szabálytalan kamerás megfigyelés miatt a GDPR alapján az eddigi legmagasabb bírság Magyarországon ötmillió forint volt.

Mi az elegendő jogalap?

A jogszerű adatkezelés feltétele, hogy annak célját minden egyes kamerára nézve részletesen, írásban, konkrétan meghatározzák. A „biztonság” vagy „az Ön biztonsága” nem lehet elég indok: a jogalap nagyon sokszor a jogos érdeken alapul, amelynek „valósnak és jelen lévőnek” kell lennie. Így például elegendő jogalap lehet a kamerák alkalmazására, ha valaki áruházat nyit egy veszélyes környéken, az azonban már nem, ha az áruházi mosdó állapotának ellenőrzésére szerelnek fel kamerákat.

Az adatkezelést a szükséges mértékűre kell korlátozni, így például egy üzem esetében munkaidőben a vagyonmegóvási célú megfigyelés sokszor indokolatlan lehet. „A magyar adatvédelmi hatóság, a NAIH gyakorlata alapján egy munkahelyen a kamerás megfigyelés csak nagyon szigorú korlátok között alkalmazható, és annak célja nem lehet a munkavállalók és tevékenységük megfigyelése vagy munkahelyi viselkedésük befolyásolása – mondta Vári Csaba, a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda adatvédelmi csoportjának vezetője.

Mint mondta, a munkahelyi kamerás megfigyelés elsődleges célja általában a vagyonmegóvás, értékvédelem, illetőleg az emberi élet és testi épség védelme lehet.

A kamera alkalmazása önmagában alapvető jogokat sérthet

Az adatkezelő esetről esetre köteles saját – esetleg mások – jogos érdekét az érintettek alapvető jogaival és szabadságaival összemérni. Mindig olyan megoldást kell keresni, amely a lehető legkevésbé avatkozik be a magánszférába, és a megfigyelés tényét és szükségességét időről időre felül kell vizsgálni.

A beavatkozás erőssége egyebek mellett az érintett ésszerű elvárásaitól függ. Amikor nem feltételezhető a kamerás megfigyelés – például a kikapcsolódásra szolgáló helyiségek, éttermek, mosdók esetében –, nincs jelentősége, hogy egyébként helyeztek ki tájékoztató jelzéseket, a kamera alkalmazása önmagában alapvető jogokat sérthet.

A CCTV-k által megfigyelt vagy rögzített adatok sokszor a személyes adatok különleges kategóriái közé tartoznak, ezért kezelésük során a GDPR speciális, a különleges adatok kezelésére vonatkozó rendelkezései irányadók. Így például önmagában abból, hogy valaki belép a megfigyelés alatt álló területre, nem következik az, hogy a rá vonatkozó különleges adatokat nyilvánosságra is kívánja hozni, ezért ebben az esetben a vonatkozó speciális jogalap sem alkalmazható.

Szigorúan szabályozott biometrikus adatkezelés

A biometrikus adatok kezelése is szigorú szabályokhoz kötött: az adatkezelő köteles hasonló adatok felvétele nélküli alternatívát is biztosítani, ami az érintettre nézve sem járhat korlátozással vagy további költségekkel. Így például, ha a reptéri utasfelvételnél a gyors beléptetéshez arcfelismerő rendszert alkalmaznak, kell lennie másik módszernek is azok számára, akik ehhez nem járulnak hozzá.

A megfigyelt területre való belépéskor, az ott-tartózkodás során és annak elhagyását követően is lehetőséget kell adni a tiltakozáshoz való jog gyakorlására. A megfigyelés így általában csak akkor jogszerű, ha az adatkezelő a kérésnek megfelelően azonnal meg tudja állítani a kamerát, vagy ha a megfigyelt terület annyira lezárt, hogy az adatkezelő képes az előzetes hozzájárulását biztosítani – azaz a kérdéses területre az érintett e nélkül nem is jogosult belépni.

A figyelmeztető jelzésnek jól látható, könnyen érthető és jól olvasható formában általános tájékoztatást kell adnia a tervezett adatkezelésről, annak okáról, az adatkezelő személyéről, az adatvédelmi tisztviselőről vagy felelősről, illetve az érintettek jogairól. A jelzésnek tartalmaznia kell minden olyan információt, amely az érintett számára meglepő lehet, például ha az adatot harmadik személyeknek továbbítják, vagy ha a felvételt különösen hosszú ideig rögzítik.

Az adatkezelőnek magánszféra-barát technológiákat javasolt alkalmaznia a megfigyelőrendszerek kiépítésekor. Ezeknek lehetővé kell tennie az egyes területek maszkolását vagy összezavarását, illetve a harmadik személyekről készült felvételek kivágását.

Borítókép: Envato Elements, forrás: Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda