Igencsak figyeljünk! Precedens értékű NAIH határozat a videórögzítéssel kapcsolatban

A lényeg „A világ megváltozott, a pre-GDPR logikával ma már nem lehet videórögzítő rendszereket tervezni, kiépíteni, vagy üzemeltetni.” Antal Tibortól az SZVMSZK adatvédelmi tisztviselőjétől idéztünk, aki a kamara honlapján részletesen mutatja be a NAIH egy ügyben hozott precedens értékű határozatát. Az ügy jelentőségére és tanulságaira való tekintettel a következőkben a teljes cikket leközöljük. Szóval: kéretik a témát igencsak komolyan venni!

Forrás: szvmszk

Forrás: szvmszk

A NAIH-3748-2021 határozat – kamerák üzemeltetése idősek otthonában.

Elsősorban arra szeretném felhívni a figyelmüket, hogy a hivatkozott határozat alapja egy – nem elírás! – 2018. május 28.-án tett bejelentés, vagyis ennek az ügynek az elbírálása közel három évig tartott. Jól látható tehát, hogy valóban igaz az az állítás, miszerint sokkal több hatósági eljárás van folyamatban, mint amennyi az ismertté vált határozatokból vélelmezhető lenne.

Az alábbiakban olyan részleteket emelek ki a határozatból, amelyek minden bizonnyal sokkolóan fognak hatni azok számára, akik még nem találkoztak hasonló indoklásokkal

1. megállapítja, hogy az Ügyfél megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontja szerinti célhoz kötött adatkezelés elvét azzal, hogy jogszerűtlen célból üzemeltette a vizsgált időszakban a 9., 10., 11. és 23. számú kamerákat;
2. megállapítja, hogy az Ügyfél megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elvét azzal, hogy úgy üzemeltette az 5., 15., 18. és 21. számú kamerát, illetve úgy üzemelteti a 3., 13., 14., 16., 17., 19., 20. és 22. számú kamerákat, hogy azok alkalmatlanok voltak, illetve alkalmatlanok az Ügyfél által meghatározott adatkezelési cél elérésére;
3. megállapítja, hogy az Ügyfél megsértette az általános adatvédelmi rendelet 5. cikk (2) bekezdése szerinti elszámoltathatóság alapelvét azzal, hogy nem igazolta a 22. és 23. számú kamera látószögének módosítását;
4. megállapítja, hogy az Ügyfél megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontja szerinti jogszerű és tisztességes adatkezelés elvét az intézményvezető irodájában elhelyezett 23. számú kamera üzemeltetésével
7. utasítja az Ügyfelet arra, hogy – az 5., 15., 18. és 21. számú kamerák kivételével, tekintettel arra, hogy azokat az Ügyfél már üzemen kívül helyezte – szüntesse meg a jogellenes adatkezelést a 9., 10., 11. és 23. számú, célhoz kötött adatkezelést sértő kamerák vonatkozásában a kamerák üzemen kívül helyezésével vagy látószögük olyan módosításával, hogy az adatkezelés megfeleljen a jogszerű adatkezelés követelményeinek;
8. utasítja, az Ügyfelet arra, hogy megfelelő jogalap alapján üzemeltesse a Hatóság által nem kifogásolt, jogszerű célokból alkalmazott és célokra alkalmas kamerákat és azokról nyújtson megfelelő és átlátható tájékoztatást

A fentiekből már egyértelmű lehet az, hogy a videórögzítés valóban kockázatos tevékenységgé vált, hiszen a Felügyeleti hatóság az elvárásoknak megfelelően valóban egyesével(!) is megvizsgálja a videókamerák jogszerűségét és általánosságban is a videórögzítésről való tájékoztatást, ami ebben az esetben egy 500.000 Ft-os – a szokásos mértékhez képest méltányos – bírság kiszabását eredményezte.

Milyen hibákat követett el az Adatkezelő?

Alapvetőket. Elsősorban, a válaszaival azt bizonyította be, hogy nem érti az elvárásokat, másodsorban viszont azt, hogy ha komolyan vesszük a válaszait, akkor nemhogy videórögzítést, de még csak a saját intézményét – egy idősek otthonát – sem üzemeltethetnének. Lássunk erre egy példát:

A.) […] az Ügyfél üzemelteti az Otthon és annak lakói vagyonvédelme, valamint a munkarend és a házirend fenntartása, továbbá az emberi élet, testi épség, személyi szabadság és üzleti titok védelme céljából. Az Ügyfél az adatkezelés jogalapjaként a munkáltató jogos érdekeinek érvényesítését és az érintettek hozzájárulását jelölte meg.”

Hiszen amit arra már rámutattam, nem lehet általános indoklásokat alkalmazni. A „bizonyíték orgia”, azaz minden létező eshetőség felsorolása nem azt eredményezi, hogy „az egyik majd jó lesz”, hanem azt, hogy egyiket sem fogja elfogadni a Felügyeleti hatóság! A határozatnak ezt a részét elolvasva tehát az már szinte biztosan tudható volt, hogy a bírság elkerülhetetlen lesz, de ettől függetlenül érdemes elemezni az Adatkezelőnek a Felügyeleti hatóság számára adott válaszait:

b.) „Az Ügyfél vizsgálati eljárásban tett nyilatkozata szerint jogos érdekét egyrészt az támasztja alá, illetve a kamerákra azért van szükség, mert az Otthon udvara körülkerített, azonban a kerítésen keresztül idegenek bejutását nem akadályozza meg. Az épület földszinti ablakai a terepszinttől egyszerűen elérhetőek, könnyen bejuthat illetéktelen személy. A kamerák azonban segítenek ezeket megakadályozni.”

Mi a gond ezzel az érveléssel?

A lényeg. A videókamerák ugyanis egészen biztosan nem akadályozhatják meg a behatolást. Erre a célra a rácsok, zárt ablakok, vagy riasztórendszerek alkalmazása a megoldás. Ebből következik, hogy ezeknek a videókameráknak az üzemeltetése jogszerűtlen, és főleg azért, mert amint arra szintén nyomatékosan felhívtam a figyelmet: „A jogos érdek bemondása” nem ultima ratio, hanem a legnehezebben bizonyítható .

Adatkezelési jogalap, amihez ebben az esetben leginkább Adatvédelmi hatásvizsgálatra – preGDPR: érdekmérlegelési teszt – és sok más egyéb teendőre van szükség. Jelen esetben azonban éppen abból tudható, hogy ezekkel nem rendelkeztek, mert ha így lett volna, akkor annak a következménye a bekezdés első felében felsorolt valódi védelmi intézkedéseket megvalósítását eredményezte volna.

c.) „Az Ügyfél vizsgálati eljárásban tett nyilatkozata szerint a lakók által vásárolt élelmiszerek más lakók által történő eltulajdonításával összefüggő vitás helyzetek tisztázását szolgálják a teakonyhákban elhelyezett kamerák. Az Ügyfél nyilatkozata szerint a teakonyhákban előfordul, hogy a lakók személyes tárgyakat, ételeket vesznek el egymástól, a másikat lopással gyanúsítják meg, és mindez az állapotuk romlásához is vezet. A kamerafelvétel megtekintése után azonban megnyugszanak és visszaáll az eredeti állapot. Ezen kívül nyomon követhető az is, ha valaki elesik, az milyen szögben és milyen módon történt, így az Otthon munkatársai célzottan tudnak hozzáfogni a kezeléshez. A teakonyhákban üzemelő kamerák tehát azon kívül, hogy a vagyon védelmét, a lopások elkerülését is szolgálják, sürgős baleset esetében növelik a célzott beavatkozást és a gondozottak életben maradását.”

Mi a gond ezzel az érveléssel?

Ugyanaz, mint fentebb. A bizonyíték „orgia”, amely indokok közül egyebekben az „életben maradás” talán a legkomolyabb tévedés. Abban az esetben ugyanis, ha az érvelést komolyan vesszük, akkor abból az következne, hogy a lakók életveszélyben vannak, ami az intézmény azonnali bezárását eredményezné.
Nyilvánvaló tehát, hogy ez az érv nem lehet megfelelő, és már csak azért sem, mert ha igaz lenne, akkor a videófelvételeket egyrészt nem rögzíteni kellene, hanem folyamatosan megfigyelni, másrészt ha valóban erről lenne szó, akkor nem a jogos érdek, hanem az érintettek életének a védelme lenne a jogalap.

És akkor most néhány további részletet is szeretnék kiemelni a Felügyeleti hatóság indoklásából:

d.) „A Hatóság a vizsgálati eljárásban több alkalommal kifejtette, hogy az irodai helyiségekben üzemelő kamerákkal összefüggő adatkezelés – a kamerák elhelyezése miatt – sérti az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pont szerinti célhoz kötött adatkezelés elvét. A Hatóságnak megküldött kameraképek alapján a kamerák látószöge a munkavállalókra irányul, figyelve az egész napos tevékenységüket. A Hatóság álláspontja szerint az Otthon, illetve a lakók iratainak, továbbá a pénznek a védelmére a legalkalmasabb eszköz egy zárható szekrény, illetve széf”

amely indoklás szó szerint azt mondja ki, hogy a videórögzítés nem alkalmas a vagyonvédelemre, hiszen az a vagyont nem védi meg, erre a célra – ha léteznek – akkor olyan eszközöket kell alkalmazni, amikkel valóban el lehet érni a valódi célt, vagyis a dolgok, a vagyonelemek megvédését.

e.) „Az Ügyfél továbbá, bár – nyilatkozata szerint – a megfelelő tájékoztatás követelményének eleget tett, továbbá adatvédelmi szabályzatot készített, azonban ezek sem feleltek meg az általános adatvédelmi rendelet szabályainak.”

amely indoklás világosan bemutatja, hogy a hozzá nem értők által készített, uniformizált, a helyszínhez nem is kapcsolódó, a jogszabályokat ismételgető, a felelősséget a megfigyeltekre hárítani szándékozó szabályzatok inkább ártanak, mint használnak.

Végezetül pedig még egy részletre szeretném felhívni a figyelmüket, amire az előadáson is kitértem. A NAIH kifejezetten jószándékú és segítőkész. Jelen esetben például három(!) alkalommal szólította fel az Adatkezelőt (NAIH/2019/5088., NAIH/2019/5088/4. és NAIH/2020/2767. ügyiratszámú felszólítások) arra, hogy tegye jogszerűvé az Adatkezelését, és amikor már – elnézést a kifejezésért, de nincs rá jobb kifejezés – megunták az értetlenséget, még akkor is dobtak egy mentőövet az Adatkezelő számára:

f.) „Mivel az adatvédelmi hatósági eljárás során a Hatóság jogsértés megállapítása esetén hivatalból adatvédelmi bírságot szabhat ki, felhívta az Ügyfelet arra, hogy mutasson be minden olyan lényeges tényt és körülményt, amelynek az esetleges bírságkiszabás során jelentősége lehet. Az Ügyfél ezzel kapcsolatban azt nyilatkozta, hogy ebben a formában nem tudja értelmezni a Hatóság kérdését, és kérte, hogy pontosan jelölje meg, hogy milyen tényekről kell még nyilatkoznia. Az Ügyfél továbbá azt nyilatkozta, hogy elsődleges érdeke a jogszabályoknak megfelelő működés és a bírság elkerülése, így azért került sor a kamerarendszer teljes felülvizsgálatára és a Hatósággal való kapcsolatfelvételre. Az Ügyfél álláspontja szerint ugyanakkor nincs olyan jelentős tény és körülmény, amely bírság kiszabásának alapjául szolgálna, mivel a vizsgálati eljárás során az intézményvezető több oldalon keresztül írta le azokat az eseteket, amelyek felvetik és igazolják a kamerarendszer működtetésének szükségességét (például verekedések, a gondozók gondos munkájának igazolása az elhelyezettekkel, rokonaik feljelentései kapcsán, a vagyonvédelem mind a lakók vagyonának megőrzése, mind az Otthon tulajdonának megőrzése). Ezeken kívül az Ügyfél nem tud újabb tényeket és körülményeket felsorolni.”

Én pedig éppen azt szerettem volna elérni az oktatással, hogy megértsék és elfogadják azt, hogy ezek a válaszok azok, amiket soha, semmikor és semmiféle ügyben nem lehet a Felügyeleti hatóság számára megadni. Ezek ugyanis minden látszat ellenére nem csak azt bizonyítják be, hogy az Ügyfél képtelen az elvárásoknak megfelelni, hanem azt, hogy arra is képtelen, hogy az intézményben a verekedéseket(!) megakadályozzák. Ha tehát azt jelentik ki, hogy az általuk vezetett intézményben ezek mennyisége és mértéke olyan magas, hogy az külön utólagos intézkedéseket igényel, mert preventív jelleggel azok nem
megakadályozhatók, akkor az azt jelenti, hogy nem képesek a bentlakók biztonságát garantálni.

Ez pedig egyet jelent: azt, hogy pótcselekvéssel, a megoldás helyett a bizonyítékok gyűjtésére koncentrálva kívánják a felelősséget eltolni maguktól, amivel éppen azt bizonyítják be, hogy eszük ágában sincs a bentlakókat megillető Alapvető jogok biztosítása, és amik közül talán éppen az a legkisebb baj, amikor a Személyes adatok kezelésére vonatkozó szabályokra nem fordítanak kellő figyelmet.

No és az vajon honnan tudható, hogy a videórögzítés nem váltotta be az ahhoz nyilvánvalóan minden alapot nélkülözően támasztott reményeket?

Onnan, hogy ha ez így történt volna, akkor az Adatkezelő éppen arra hivatkozhatott volna az eljárás során, hogy elérték a céljaikat, mivel a videórögzítés alkalmazása óta megszűntek azok az esetek, amiknek a kizárása érdekében a videórögzítést alkalmazzák.

A Felügyeleti hatóság tehát ezúttal is szó szerint a szájukba adta a választ. Odadobta nekik a mentőhajót a mentőhelikopterrel és a parti őrséggel, hogy „írjátok már meg azt, hogy volt értelme a kiépítésnek, mert még ha nem is voltatok tökéletesek, de legalább a céljaitokat elértétek, és akkor azt méltányolhatnánk!” Ennek a hiányában azonban az Adatkezelés védhetetlen, hiszen bizonyított, hogy azt nem utolsó lehetőségként, nem az érintettek érdekében, nem minden más lehetőséget kizárva vették alkalmazásba.

A fentiekből milyen következtetések vonhatók le?

Az, hogy a hibásan megadott válaszokból olyan következtetések vonhatók le, amik nyilvánvalóan nem felelnek meg a ténybeliségnek a hivatkozott intézménnyel kapcsolatban. Teljesen nyilvánvaló ugyanis minden józanul gondolkodó számára az, hogy nem folyamatos verekedésekről, perekről van szó, hanem egyedi, nem ismétlődő esetekről. Ennek a kijelentése azonban egyszerre teszi nyilvánvalóvá azt, hogy az intézmény az alapvető funkciójának megfelel, és azt is, hogy egyes szervezeti, működési hiányosságokat és zavarokat olyan eszközökkel próbálnak feloldani, amik erre nem alkalmasak. Meg kell érteni, el kell fogadni, és minden Ügyfél számára el kell mondani, hogy a videórögzítést kizárólag csak abból a célból és kizárólag csak azokkal a feltételekkel szabad alkalmazni, amiről mindenki tud, és ami megindokolható. Erre pedig az szolgáltatja a legjobb bizonyítékot, hogy a Felügyeleti hatóság ebben az esetben sem a videórögzítés egészének, hanem csak a videókamerák töredékének a jogszerűtlenségét állapította meg.

Miket érdemes tehát minden videórögzítő rendszer tervezése során megfontolni?

  • Valóban képes a videórögzítés megakadályozni valamit? Valóban megtettünk mindent a kockázatok kivédése érdekében, és csak ezek után, ennek az ismeretében van szükség a videórögzítésre?
  • Valóban tudjuk ezt az állítást bizonyítani is?
  • Valóban arra használják a rendszert, amit állítanak, vagy sokkal inkább megfigyelésre?
  • Valóban szükség van annyi videókamerára, amennyi telepítésre kerülne vagy telepítésre került?
  • Valóban elkészült a szabályzat, vagy csak szolgai módon ismételték meg a jogszabályokat?
  • Valóban megfelelnek az elvárásoknak az Adatkezelési tájékoztatások?
  • Úgy áll a videórögzítéshez az Adatkezelő, hogy „neki erre joga van” vagy úgy, hogy „szüksége van rá”?

Amely kérdéseket és válaszokat nem csak a jövőben telepítendő, hanem a már meglévő videórögzítő rendszerek esetén is ellenőrizni, szükség esetén pedig módosítani is kell.

Nem felejthető:

– az Szvmt.-re való hivatkozással már 2019 óta nem üzemeltethető videórögzítő rendszer!
– a GDPR hatályba lépése óta eltelt három év, ezért az akkor még jogszerűnek minősülő rendszerekre is igaz, hogy az azok három évente kötelező Adatvédelmi felülvizsgálatára mielőbb sort kell keríteni.

Budapest, 2021.05.26.
Antal Tibor
Adatvédelmi tisztviselő
SzVMSzK

Kapcsolódó cikkek:

Hozzászólások