Idén két, GDPR bírságolással kapcsolatos hírt is felkapott a sajtó, minden bizonnyal az adatvédelmi bírságok jelentős összege miatt. Az egyik esetben harmincmillió forint adatvédelmi bírságot szabtak ki egy szépségszalonnal szemben, a másik esetben kilencvenötmillió forint volt az adatvédelmi bírság összege, amit egy kiskereskedelmi üzletlánccal szemben szabtak ki. Ebben a cikkünkben az egyik esetet mutatjuk be röviden.
A szépségszalonnal szembeni ügy bejelentésre indult, a bejelentők azt kifogásolták, hogy a vállalkozás minden helyiségben (irodában, kezelőben, folyosón, recepción) kamerákat üzemeltetett, melyek hangot is rögzítenek. És bár arról tájékoztatta az érintetteket, hogy képfelvétel készül róluk, a hangfelvételről, valamint a megfigyelés valódi céljáról nem nyújtott tájékoztatást. A bejelentések szerint a hangfelvétel készítésének a célja, hogy ellenőrizzék a kezelést végző munkatársakat, valamint információkat szerezzenek a vendégekről, és hogy a beszerzett információk alapján még több kezelést és arcápoló terméket adjanak el nekik. A Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) érkezett bejelentések arra is kitértek, hogy a társaság olyan ajánlási gyakorlatot is folytat, melynek során arra kérik vendégeiket, hogy adják meg ismerőseik nevét és elérhetőségeit, majd ezen adatok felhasználásával ingyenes kezelést ajánlanak az így megkeresett érintetteknek.
A szépségszalon összesen 32 db kamerából álló kamerarendszert üzemeltetett, azonban kamerás adatkezelésre vonatkozó szabályzattal nem rendelkezett, amelynek érintettjei a társaság munkavállalói és vendégei voltak. A felvételekhez az ügyvezetőnek, a pénzügyi vezetőnek, a munkaügyi vezetőnek és a raktárosnak továbbá az értékesítési vezetőnek volt hozzáférése hivatalosan, de gyakorlatilag bárki hozzáférhetett egy, a monitorra ragasztott jelszóval.
Amennyiben egy adatkezelő több adatkezelési célra végez megfigyelést, a célhoz kötött és átlátható adatkezelés elvének megfelelően a megfigyelési célokat mindegyik használatban lévő kamera vonatkozásában, célonként a megfigyelés megkezdése előtt részletesen és pontosan dokumentálni kell. A társaság nem határozta meg egyértelműen a kamerás adatkezelés célját, és nem fejtette ki részletesen, hogy az egyes helyiségekben, mely kamerákkal, milyen adatkezelési célból végzi a megfigyelést. Az érintettek részére a konzultációs lapokon megjelölt célok, valamint a társaság honlapján nyújtott tájékoztatásban ismertetett célok nem voltak összhangban egymással, ezáltal erősen sérült az átlátható adatkezelés elve.
A Hatóság megállapította, hogy a társaság munkavállalóit a kamerarendszer mindegyik helyiségben a munkavégzés során, továbbá a pihenőidejükben is folyamatos megfigyelés alatt tartja. Vagyonvédelmi célú megfigyelés esetén a munkáltatónak igazolnia kell azt, hogy ténylegesen fennállnak olyan körülmények, amelyek indokolják az egyes kamerák elhelyezését és más módon nem biztosítható az elérendő cél. Emellett a munkáltatónak különös figyelemmel kell lennie arra, hogy az adott kamera látószöge alapvetően a védendő vagyontárgyra irányuljon, és ne váljon a munkavállalók munkavégzésének megfigyelésére alkalmas eszközzé. A Hatóság álláspontja szerint a raktárhelyiségben a vagyonvédelem elfogadható adatvédelmi célja lehet az adatkezelésnek és a folyosókon, illetve a hátsó bejárati ajtóra irányuló kamera vonatkozásában is megfelelő adatkezelési célnak tekinthető a vagyonvédelem. A Hatóság azonban nem ismerte el a vagyonvédelmi célt jogszerűnek az irodák, a kezelők, kontroll szobák, továbbá a munkavállalók által étkezésre használt oktató szoba vonatkozásában, mivel egyrészt a társaság nem igazolta, hogy ezen helyiségekben milyen védendő vagyontárgyak találhatóak, illetve semmilyen vagyonvédelmi célt alátámasztó indokot nem jelölt meg.
Mivel a kamerarendszer a vendégeket is rögzítette, így vizsgálta a Hatóság az ő megfelelő tájékoztatásukat is. A Hatóság a helyszíni szemle során megállapította, hogy a szépségszalon területén nem volt kihelyezve tájékoztatás arról, hogy a helyiségben kamerás megfigyelés történik. A kamerás megfigyelésre vonatkozóan a konzultációs adatlapokon feltüntetett egy mondatos tájékoztatás alapján „a […] Szépségközpont folyamatos kamerafelvételeket készít a szalon egész területén (kivéve a mosdókat és öltözőket)” tájékoztatták a vendégeket, a hatósági álláspont szerint ez azonban nem felel meg a kellően részletes tájékoztatás követelményének. A kamerafelvételekről történő tájékoztatás azonban nem tartalmazta azt az elengedhetetlen információt, hogy a kamerarendszer kép mellett hangot is rögzít. A hangrögzítés a képrögzítéstől eltérő adatkezelésnek minősül, amelynek jogszerűségét, és a hozzá fűződő jogos érdeket külön kellett volna igazolnia a társaságnak az eljárás során. A hangrögzítés a magánszféra súlyosabb sérelmét eredményezi azáltal, hogy sem a vendégek, sem pedig a munkavállalók észszerűen nem számíthatnak a hangalapú rögzítésre, így különösen a kezelés közben elhangzott beszélgetések, egyéb társalgások során megosztott magáninformációk vonatkozásában.
A kamerarendszer által rögzített felvételek vonatkozásában a Hatóság vizsgálta a tisztességes adatkezelés követelményének érvényesülését is. Megállapították, hogy a kamerarendszer alkalmas volt a munkavállalók és az általuk végzett tevékenység állandó jellegű megfigyelésére. A döntésében a Hatóság kimondta, hogy a társaság a munkavállalóknak a munkavégzés befolyásolására irányuló folyamatos megfigyelésével, továbbá a kezelőhelyiségekben a vendégekről intim helyzetekben készített folyamatos kép- és hangfelvételekkel megsértette a tisztességes adatkezelés elvét.
A döntés kitért arra is, hogy a társaság nem garantálta az adatkezelés bizalmas jellegét, valamint a személyes adatok védelme érdekében nem tett egyéb intézkedéseket, így a kamerák képéhez, valamint a tárolt felvételekhez bármely alkalmazott cél nélkül, könnyedén hozzáférhetett.
Vizsgálták a szépségszalon ügyfélajánlási rendszerét is. Ennek a lényege, hogy a vendégek, amennyiben elégedettek egy szolgáltatással, első kapcsolatfelvétel céljából ismerőseik elérhetőségi adatait megadják a társaságnak, ez azonban jellemzően az ajánlott személy tudta és hozzájárulása nélkül történik. Az ajánlott személyek adatai vonatkozásában sem mentesülhet az adatkezelő az adatkezelői felelősség alól, így a szalon az érintettek hozzájárulásának hiányában az adatkezelés jogalapját nem volt képes megfelelően igazolni, hiszen az ajánló személy nyilatkozata nem elegendő.
A társaság adatkezelési tájékoztatója szerint a társaság bizonyos személyes adatokat a szerződés teljesítése érdekében kezel, majd a név és telefonszám adatokat ezen kívül további célokra is felhasználja, így a konzultációs időpontok megszervezéséhez, valamint üzletszerzés és személyre szabott ajánlatokról való tájékoztatás céljára. Ugyanakkor az adatkezelés jogalapjaként a társaság azt jelölte meg, hogy a személyes adatokat a vendégek és a társaság közötti szerződés létrehozásával, fenntartásával és megszűnésével összefüggésben kezeli. Ilyen esetben, ha szerződés teljes egészében megszűnik, abban az esetben az adatok kezelése már nem szükséges e szerződés teljesítéséhez, így az adatkezelőnek törölnie kell azokat, kivéve, ha jogszabályi kötelezettség rendelkezik az adatok tárolásáról. Ebben az esetben azonban az érintettekkel közölni kell, hogy e célok érdekében meddig tartják még nyilván az adatokat.
A vizsgálat megállapította, hogy a társaság vendég adatbázisában több ezer olyan bejegyzés található, amely nem köthető a társasággal szerződéses kapcsolatban álló vendégekhez, továbbá a társaság nem tudta igazolni az összes vendége vonatkozásában, hogy a szerződéses jogalap alapján kezelt személyes adatok köthetőek-e konkrét érvényes szerződéshez.
Vizsgálták a szépségszalon marketing célú adatkezelését is. A társaság a tájékoztatójában említi, hogy „üzletszerzés” továbbá „személyre szabott ajánlatokról való tájékoztatás” céljából kezel személyes adatokat, de ez a tájékoztatás nem felel meg az átláthatóság követelményének, mivel túl általános és nem egyértelmű, hogy milyen jellegű az adatkezelés és hogy megfelel-e az adatkezelési célnak. A társaság a jogalapot illetően először úgy nyilatkozott, hogy kezel vendég adatokat marketing célokra a konzultációs adatlapon megadott hozzájárulás alapján, majd azt nyilatkozta, hogy a társaság jogos érdeke alapján kezel marketing célokra vendég adatokat, ezután kijelentette, hogy a vendégek adatait nem használja ilyen célokra. Végezetül akként nyilatkozott, hogy marketing célú adatkezelés csak a modellek és a munkavállalók vonatkozásában történik a közösségi médiában megjelenő videofelvételek formájában, melyek jogalapjai a felvételeken szereplő személyek papír alapú hozzájáruló nyilatkozatai voltak, melyeket kulccsal zárható szekrényben tároltak. A vizsgálat során a Hatóság azonban a konzultációs lapokon nem talált olyan részt, amely a direkt marketing megkeresésekhez való hozzájárulást tartalmazta volna.
A társaság a konzultációs lapokon az érintettek egészségügyi adatait is rögzítette és tárolta. Ezzel kapcsolatban arra hivatkozott, hogy ezen különleges adatok kezelésére azért van szükség, hogy az előre lefoglalt időpontot a vendégek ne veszítsék el. Egészségügyi adatoknak a kezelése csak a GDPR szigorúbb szabályainak betartása mellett lehetséges. Nem elég például az érintett hozzájárulása, hanem „kifejezett” hozzájárulás szükséges.
A hozzájárulás akkor lesz „kifejezett”, ha az érintett valamilyen módon megerősíti a beleegyezését, illetve minden kétséget kizáróan tisztában van azzal, hogy az adatkezelés különleges adataira fog vonatkozni, és azok kezeléséhez hozzájárul. Akkor is kifejezett hozzájárulás kell, ha az érintett a saját egészségi állapotára szabott, egyedi terméket rendel meg az adatkezelőtől és ennek során a szerződés teljesítése lehetetlen a különleges adatok kezelése nélkül.
A Hatóság a vendégek kifejezett hozzájárulásának igazolásaként nem fogadta el a társaság azon nyilatkozatát, miszerint a különleges adatok kezeléséhez az érintettek a konzultációs adatlapon az aláírásukkal hozzájárultak, mivel a becsatolt konzultációs adatlapokon nem volt olyan rész, ahol a vendégek kifejezetten a különleges személyes adataik kezeléséhez járulhattak volna hozzá. Emellett a társaság a válaszaiban nem támasztotta alá azt sem, hogy az egyes egészségügyi adatok kezelése az általa nyújtott szolgáltatások teljesítéséhez elengedhetetlenül szükséges volt, vagy azt, hogy a kezelési időpontok elhalasztása más módon nem lehetséges, ezért az adatkezelés nem volt jogszerű.
A fenti ügy jó példája annak, milyen fontos az adatvédelmi szabályok ismerete és betartása a mindennapi működés során. A szépségszalont üzemeltető társaságra kiszabott 30.000.000,- Ft adatvédelmi bírság nem csak önmagában magas, de az közel 14%-a volt a társaság előző évi teljes árbevételének.
A másik, amire az ügy rávilágít, hogy a GDPR rendelet előírásainak való megfelelésével összefüggésben indult adatvédelmi hatósági eljárásban elengedhetetlen a területen jártas szakértő, ügyvéd igénybevétele, aki a lehetőségekhez képest megfelelő válaszokat tud adni a Hatóság kérdéseire, és segíthet elkerülni a szintén nem elhanyagolható mértékű (jelen esetben 600.000 Ft összegű) eljárási bírságot is.