A videörögzítés esete a suszterrel és a kaptafával
ADATKEZELES.BLOG.hu – A videörögzítés esete a suszterrel és a kaptafával
A svéd adatvédelmi hatóság ezúttal egy videórögzítés miatt szabott ki SEK 20.000 bírságot [1], amely határozatnak az ismertetése azért különösen fontos, mivel a határozatban szereplő hibákat szinte mindenki elköveti Magyarországon is.
Ezentúl viszont nincs már apelláta, aki ezeket a hibákat elköveti, azt meg fogják bírságolni.
Ennek az elkerülése érdekében formabontó módon először a tanulságokat mutatom be:
– Az sem mentesít a bírságolás alól, hogy – ahogy azt még a hatóság is megállapította -, valójában a jogsértés alanyai éppen azok, akiknek az érdekében papíron a videókamerákat elhelyezték, és üzemeltessék,
– A nonprofit jelleg, az üzleti és szakmai adatkezelés teljes hiánya sem mentesít a felelősségre vonás alól,
– A videórögzítés megkezdéséről még a belépés előtt meg kell adni a szükséges és megfelelő tájékoztatást.
Amely megállapításokból azonnal adódik az, hogy az eddigi „lazaság” nem működik tovább:
Nem lehet egy videókamera piktogram elhelyezésével megfelelni a GDPR-nak.
Mik voltak a további hibák és a hiányosságok?
Ezek közül az egyik legfontosabb az volt, hogy hangot is rögzítettek, ami azért baj, mivel a hang rögzítése általában tiltott tevékenységnek minősül és csak kivételes – és alaposan megindokolt – esetekben alkalmazható.
Éppen ezért ha valahol, valaki hangot is rögzít a megfelelő szabályzat hiányában, akkor azt most azonnal fejezze be.
A következő hiba az volt, hogy – most érdemes nagyon figyelni – nem minden videókamera esetén mutatták be azok alkalmazásának a szükségességét. Bizony, bármilyen furcsa lesz ez most sokak számára, de egy munkahelyen, társasházban, étteremben, üzletben, rendelőben, gyógyszertárban nem azt kell már igazolni, hogy szükség van a videórögzítésre, hanem azt, hogy miért van szükség az adott – tehát minden egyes – videókamerára.
A legsúlyosabb hibák azonban mégsem ezek voltak, hanem a látszólag bagatellek, a formaságok:
Mert az igazán súlyos hiba az volt, hogy voltak olyan dokumentumok, amikben leírták, hogy mit figyelnek meg a videókamerák és hogy miért. És hogy miért volt ez hiba? Azért, mert nem pontosan azt a területet figyelték meg a videókamerák és nem pontosan abból a célból. Így például az egyik videókamera elhelyezésének a célja egy ajtó figyelése lett volna, ehelyett egy folyosót is megfigyelt. Ezen túlmutatóan azonban az is kiderült, hogy ezeket a videókamerákat azért helyezték el, mert korábban rongálások voltak, sérülések és ezek elkövetőjét kívánták ezzel a módszerrel felderíteni.
Jogosnak tűnnek ezek a megfogalmazások és célok?
Abszolút. Csakúgy mint a munkahelyek megfigyelése a „jogos érdekre”, vagy az úgynevezett „érdekmérlegelési tesztre” való hivatkozással. Ezek valóban jogosnak tűnnek, csakhogy ettől még nem lesznek hivatkozási alapok. Erre jó példa a Digi [2] esete, ahol azt írták bele a szabályzatba, hogy sérülékenységi teszteket kell végezni, viszont azt hitték, hogy ezzel le is van tudva a kötelezettség, „a tudományos és jogi technoblabla” le van rakva, jó lesz az így. Hát nem. Sőt, éppen ellenkezőleg! Mert pontosan ezek az esetek azok, amikor a Felügyeleti hatóság éppen az „Adatkezelő önbevallása alapján” – helyesebben a később már vissza nem vonható, és nem módosítható „beismerő vallomására” hivatkozva – fogja megállapítani például a határozatban hivatkozott videórögzítés esetén azt, hogy:
A rongálások a videókamerák felszerelése után megszűntek, ezért okafogyottá vált a megfigyelés.
Tessék ezt most megízlelni, mert ez a tipikus esete annak, hogy „minden bogár rovar, de nem minden rovar bogár”. Mert ha az a hivatkozási alap, hogy rongálások történtek, akkor erre hivatkozva csak addig lehet rögzíteni a képfelvételeket, amíg a rongálót el nem kapják, vagy a rongálások abba nem maradnak.
Ezért nem mindegy az első válasz.
Mert ha az hibás, akkor már régen minden elveszett, ahogy akkor is, ha nincs rendben a dokumentáció, mert azt nem lehet utólag pótolni. Egy ilyen esetben úgy fog járni a felkészületlen Adatkezelő, mint a Digi, amit most különösen abban az analógiában kell kiemelni, hogy a bírság mértéke nem csak az elkövetett jogsértéstől, hanem az adott Adatkezelő forgalmi adataitól is függeni fog. Ez az adat pedig például egy társasház vagy egy lakásszövetkezet esetén akár a közös költségben is nevesíthető, tehát egy nagyobb közösség magasabb bírság kivetésére számíthat.
Éppen ezért rendkívül fontos annak a tudatosítása, hogy a videórögzítő rendszert alkalmazók minél előbb tegyék jogszerűvé az Adatkezelésüket [3], mert különben garantálható a bírság egy sértett vendég, egy „etikus hacker” [4], vagy éppen egy rosszakaró bejelentése, esetleg egy sértett munkavállaló hirtelen jött „önérzete” [5] alapján meginduló eljárás következményeként.
És hogy hogyan jött ide a suszter és a kaptafa esete?
Úgy, hogy sajnos különböző okokból a mai napig sokan hiszik azt, hogy elég egy matrica kiragasztása, és már rögzíthetnek is bármit és bármeddig, mert nekik azt mondták, hogy „erre joguk van”. Esetleg még papírjuk is van arról, hogy nekik „jogos érdekeik vannak”. Számukra most egy nagyon rossz hírem van. Nem csak arról van szó, hogy ez nem igaz, hanem arról, hogy ezt a logikát sürgősen el kell felejteni. Mert ezek a papírok és érvek manapság – vö. Digi esete – már nem védelmet nyújtanak, hanem a bírságot garantálják és annak a (m)értékét növelik, mert azok éppen azt igazolnák minden kétséget kizáróan, hogy az Adatkezelő egyáltalán nem ért ahhoz, amit csinál – márpedig ennek hiányában a Személyes adatok kezelését, de főleg Különleges adatokat kezelését megkezdeni Tilos. [6]
Bírságmentes kellemes nyarat kívánok mindenkinek!
Hivatkozások:
1. https://www.datainspektionen.se/globalassets/dokument/beslut/2020-06-16-kamerabevakning-hos-brf.pdf
2. A Digi ügyével egy külön cikkben foglalkoztunk.
3. Egy gyors és hatékony megoldás például az SzVMSzK által ajánlott is ajánlott ezCAM™ módszertan.
4. Szofisztikáltan fogalmazva Btk. szerinti köztörvényes bűnöző, avagy zsaroló.
5. Egyesek ezt kicsinyes bosszúnak hívnák, én inkább nagyon drága tanulópénznek nevezném.
6. Sokakat még a mai napig meglepetésként ér, de valójában az egész GDPR-ban csak egyszer fordul elő az a szó, hogy „Tilos”, viszont éppen azon a helyen, ami a videórögzítésre is vonatkozik. A Tilos alól pedig csak kivétel szabályok léteznek, de ezek közé a kivételek közé már nem tartoznak bele a magyar jogszabályok, mivel több mint egy éve pusztán azokra hivatkozva már nem lehet videórögzítést alkalmazni.