SZVMSZK

Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamara

Hírek Szakmai Kollégium 

A videórögzítés az új Felügyelet hatósági határozatok tükrében

Mint arról már Önök is értesültek, az elmúlt időszakban a vagyonvédelmi vállalkozások tevékenységét, így különösen a videórögzítést az alapjaiban érintő számos határozat és iránymutatás született meg, amiknek a következményeit ezúttal egy egységes szerkezetben mutatom be az Önök számára.

Elsőre a legkülönösebb, a szakma számára talán a legfontosabb ítélet Hollandiában született meg [1], ahol a bíróság egy nagymamát kötelezett a saját gyermeke keresete alapján arra, hogy tíz napon belül távolítsa el a saját unokájának az egyetlen fényképét a közösségi médiából, mert ellenkező esetben napi 50 EUR (de legfeljebb 1.000 EUR) bírságot lesz köteles fizetni.

Miért különösen fontos ez az ítélet? Azért, mert két dolgot teljesen egyértelművé tesz:

  • Még egyenesági rokonság esetén sem lehet Biometrikus Különleges adatot [2] olyan Célból felhasználni, amihez az érintett – vagy annak a gondviselője – nem járult hozzá.
  • A magánszemély is Adatkezelőnek minősül akkor, ha nem tudja kétséget kizáróan bizonyítani azt, hogy a tevékenysége kizárólag saját célú felhasználást valósít meg. [3]

Ezekből a megállapításokból pedig az következik, hogy a „szakmai vagy az üzleti cél” nem azt jelenti, hogy valaki pénzt kér vagy kap a Személyes adatokért, hanem azt, ha azokat bárki üzleti vagy szakmai célból felhasználhatja, vagy azok kezelésében részt vállal [4].

Ebből következően a videórögzítő rendszert üzemeltető vagy karbantartó vállalkozások nem is lehetnek mások a videórögzítéshez kapcsolódó Adatkezelések tekintetében, mint Adatkezelők.

Éppen ezért most már nyilvánvaló az, hogy a vagyonvédelmi célú megbízási szerződések formája nem lehet „adatfeldolgozói szerződés”, mert az fogalmilag ki van zárva, hiszen a videórögzítés tervezése, telepítése és üzemeltetése során a Megbízó és a Megbízott között nem ez a reláció áll fenn. A helyes terminus éppen ezért szinte mindig a Közös adatkezelés a garanciális javítási, karbantartási és üzemeltetési szerződések esetén, mivel az ezeket a szerződéseket megkötő vagyonvédelmi vállalkozások szükségszerűen fognak Adatkezelési feladatokat is ellátni a szerződés keretén belül. [5]

Éppen ezért fontos tudniuk, hogy ezeket a terminusokat nem a szerződés szövegezése határozza meg, hanem a ténylegesen ellátott tevékenység. Egy hibásan megfogalmazott szerződés tehát nem azt fogja eredményezni, hogy a vagyonvédelmi vállalkozás mentesülhet a felelősségre vonás alól, hanem azzal, hogy az még bírságolási alapot is fog képezni. Nem szabad ugyanis megfeledkezni arról, hogy:

  • az Adatkezelést kizárólag a megfelelő tudás és szerződések birtokában lehet megkezdeni.
  • a Különleges adatok kezelése – mint amilyen például a képmás és a videófelvétel – pedig alapértelmezetten Tilos [6], mivel azok kizárólag a kivétel szabályok szerint kezelhetők [7].

Ebből következik, hogy az elvárásoknak meg nem felelő esetben, vagy pláne azoknak az ellenében készített videófelvételek felhasználhatósága még akkor is minimum kétes lesz egy bizonyítási eljárás során, ha azokat egyáltalán meg tudja addig őrizni a sértett. Adott esetben ugyanis a szabálysértési vagy büntetőügyi eljárás alá vont gyanúsított adatvédelmi panaszának az eredményeként a Felügyeleti hatóság, azaz a NAIH akár a jogszerűtlenül készített felvételek kényszertörlését is elrendeltetheti.

Abban az esetben pedig, ha ez megtörténne, akkor az ebből fakadó károkért a Megbízó felelőssé fogja tenni azt, aki ezt a kockázatot nem védte ki, vagy erre nem hívta fel a figyelmet.

Az elmarasztalás lehetősége pedig már nem csak elmélet, hanem a gyakorlat, amire most egy dán [8], és egy magyar példát [9] fogok bemutatni. Az első esetben a kiszabott bírság indoka nem meglepő, egy érintett panaszt tett, az Adatkezelő pedig törölte a Személyes adatait a panaszt kivizsgálása előtt. Ez a cselekedet – éppen az Adatkezelő tevőlegessége miatt – nyilvánvalóan nem felelne meg egyetlen jogrendnek sem, ugyanakkor az ebből következő tanulságokat le kell vonni:

  • nem szabad megfeledkezni arról, hogy a videórögzítésnél a véletlen törlés esete is felléphet, amit utólag meglehetősen nehéz – inkább lehetetlen – lenne a szándékostól megkülönböztetni,
  • a videórögzítő rendszerek minden pillanatban automatikusan törölnek.

Amikből következően a felkészületlen üzemeltetők minden videórögzítő rendszer minden pillanatában akár a dániai bírság mértékével – 50.000 DKK – nézhetnek szembe. Hasonló fenyegetettséget jelent az is, ha a Megbízó nem tudja a videórögzítéshez kapcsolódó kéréseket megfelelően kezelni, mivel ez éppen Magyarországon került több más jogsértéssel együtt 700.000 Ft-os bírsággal szankcionálásra.

Ez utóbbi esetben pedig arra is utalni kell, hogy a videórögzítéshez – engedélyköteles tevékenységről lévén szó – a szakma gyakorlójának hivatalból kell értenie, tehát egy nem megfelelő szerződés, vagy a megfelelő oktatás, szakmai anyag átadása hiányában a felügyeleti hatósági egy panasz kivizsgálása után akár egyedül is felelőssé teheti a vagyonvédelmi vállalkozást. Ennek a kockázata pedig egyre magasabb, mivel a NAIH részben az Szvmt. 2019-es jogharmonizációjára való indirekt hivatkozással megváltoztatta korábbi véleményét, és ma már arra az álláspontra helyezkedik, hogy adott esetben a videórögzítő felvételeit [9] akkor is át kell adni az érintettnek, ha az erre vonatkozó igényét nem indokolja meg. Erre viszont egy erre felkészítetlen, vagy egy nem megfelelő szerződéssel rendelkező Megbízott biztosan nem lesz képes.

Ne feledjék el ezért azt sem, hogy 2019 április 26. óta már nem lehet sem érdekmérlegelési tesztre, sem az Szvmt.-re, sem az Tht.-re, sem az Lszt.-re való hivatkozással videórögzítő rendszereket telepíteni és üzemeltetni, mivel erre már kizárólag a GDPR alapján nyílik lehetőség.

A fentiek miatt tartja fontosnak a Kamara, hogy a vagyonvédelmi vállalkozások:

  • megértsék az állampolgárok jogait [10], hogy felkészüljenek a kockázataikra,
  • megismerjék a GDPR logikáját és a szakma számára egységesített fogalmakat [11] annak érdekében, hogy az azonos, illetve eltérő jogi fogalmakon ugyanazt értsék,
  • megismerjék a videórögzítés GDPR szerinti logikáját [12] a veszélyhelyzet idején

annak érdekében, hogy a jövőben olyan komplex megoldásokkal láthassák el a Megbízóikat, amik egyértelművé teszik az érintetek és a felek jogait, kötelességeit és a tennivalóikat is. [13]

Munkájukhoz jó egészséget kívánva,
Antal Tibor
Adatvédelmi tisztviselő, SzVMSzK

Szakmai lektor:
dr. Pongor Sándor
Szakmai kabinet, SzVMSzK

Hivatkozások:
[1] https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBGEL:2020:2521

[2] GDPR 4. cikk 14.: „biometrikus adat”: […] amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép […], 9. cikk 1. szerint pedig ez az adat Különleges adatnak minősül.

[3] A döntés különlegességét és jelentőségét többek között az adja, hogy a GDPR Preambulum (18) alapján általában nem is kell a rendeletet alkalmazni a közösségi hálózatokon történő kapcsolattartásra.

[4] Még az eszközök kis- és nagykereskedelmi forgalmazása esetén is gondolni kell a garanciális meghibásodások, javítások és különösen a beszállító felé történő visszaszállítások megfelelő kezelésére.

[5] Különösen fontosnak tartom a GDPR Preambulum (18) pontjának a megemlítését, mivel az a pont egyértelművé teszi, hogy aki a magánszemélyek számára biztosít Személyes adatok kezeléséhez kapcsolódó szolgáltatásokat üzleti alapon, az önmagában ettől Adatkezelővé vagy Adatfeldolgozóvá válik.

[6] GDPR 9. cikk 1.: „A […] természetes személyek egyedi azonosítását célzó […] biometrikus adatok […] kezelése tilos.”

[7] GDPR 9. cikk 2. a) : „az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez”

[8] https://edpb.europa.eu/news/national-news/2020/fine-proposed-danish-recruitment-company_en

[9] https://naih.hu/files/NAIH_2019_1859_hatarozat.pdf

[10] GDPR – Mindenkinek: Díjmentes kiadvány

[11] GPDR – Vagyonvédelmi vállalkozások módszertan – a veszélyhelyzet ideje alatt díjmentes az SzVMSzK-val szerződésben álló vagyonvédelmi vállalkozások számára

[12] GDPR – Veszélyhelyzeti videórögzítés – díjmentes megoldás a veszélyhelyzet ideje alatt

[13] Például az ATASI® ezCAM™ módszertanok az SzVMSzK és az ATASI Kft. gondozásában