A Nemzeti Adatvédelmi és Információszabadság Hatóság 30 millió forint adatvédelmi bírság kiszabását rendelte el egy szépségszalon adatkezelésével kapcsolatos jogsértések kapcsán. A Szépségközpont több adatvédelmi rendelkezést is megszegett, ezért ezeket két részben elemezzük. Az első, amivel cikkünkben foglalkozunk az a kamerás megfigyeléssel kapcsolatos adatkezelés során vétett jogszabálysértések köre. Következő cikkünkben az ügyféladatok kérdésével folytatjuk.

Egy Szépségközpont, amely arc- és testkezeléseket, orvosesztétikai beavatkozásokat végez, valamint kozmetikai termékeket is forgalmaz, 32 db kamerát üzemeltetett a szalon területén.

A kamerák élő képei folyamatosan láthatóak voltak, valamint 7 napra visszamenőleg, 24 órás mentett felvételekhez is hozzá tudtak férni az alkalmazottak. A dolgozók a számítógépek asztalán kihelyezett parancsikonnal egy jelszó beírásával tudták elérni a felvételeket, amely a ki volt ragasztva a számítógépre. Tehát nem volt megfelelő technikai és szervezeti intézkedés az adatbiztonság érdekében, nem biztosították a videofelvételek tárolására szolgáló helyiség megfelelő védelmét.

Ezen kívül ahhoz, hogy az adatkezelés jogszerű legyen, lényeges feltétel, hogy arról az adatkezelő megfelelő tájékoztatást nyújtson. Már a megfigyelt területre lépéskor szükséges jelezni a bejárati ajtón, kapun elhelyezett piktogrammal, hogy kamerás megfigyelés történik. Majd a szalonban elérhető részletes tájékoztatót szükséges kihelyezni a vendégek részére és nem pedig elintézni annyival, hogy egy mondatot beszúrunk a konzultációs adatlapon. Az alkalmazottak esetében pedig nem elegendő a szóbeli tájékoztatás, a kamerás adatkezelési tájékoztatót a rendelkezésükre kell bocsájtani és annak elfogadását rögzíteni szükséges.

A Társaság jogi képviselője úgy nyilatkozott, hogy a kamerás adatkezelés jogalapja a hozzájárulás, valamint a jogos érdek, a célja pedig vagyonvédelem volt. A Hatóság azonban ezt aggályosnak tartja. Nem lehet egyszerre több jogalapra hivatkozással adatkezelést végezni, hiszen az sérti az átláthatóság és tisztesség elvét, illetve a hozzájárulásra pedig csak kivételes esetben alkalmazható jogalap. A hozzájárulásnak az általános adatvédelmi rendelet szerinti definíciója szerint megfelelő tájékoztatáson kell alapulnia és önkéntesnek kell lennie. A Társaság nem rendelkezett a kamerás adatkezelésre vonatkozó szabályzattal. A vagyonvédelmi cél azért aggályos a szalon tekintetében, mert a megfigyelt helyiségek vonatkozásában nem található olyan vagyontárgy, ami indokolttá tenné ezt a célt. Bár a cég utólagosan készített ugyan érdekmérlegelési tesztet, ez visszamenőleg nem igazolt megfelelő jogalapot az adatkezelésre, így a szükségesség és arányosság követelményét sem támasztja alá és az adattakarékosság elvének sem felel meg.

A Szalon munkavállalói és vendégei a felvételeken beazonosíthatóak voltak, és nem csak képmásukat, de hangjukat is rögzítették a kamerák. Az érintettek képmása és hangja személyes adatnak minősül, és mivel a vizsgáló- és kezelőhelyiségekben intim élethelyzetekben láthatók, ez súlyosan csorbítja jogaikat. Ez esetben a cég jogos érdekével szemben elsőbbséget élveznek, így a kamerás megfigyelés ezekben a helyiségekben nem lehet arányos intézkedés. A hangrögzítéssel a szalon célja az volt, hogy az értékesítési vezető figyelemmel kísérje a munkavállalóknak a vendégekkel való kommunikációját, de ez nem lehet elfogadható indok arra, hogy a magánszférát ilyen súlyosan megsértsék.

A fenti esetből is láthatjuk mennyire fontos a jogszabályoknak megfelelő, körültekintő és részletes szabályozás, amennyiben kamerarendszert működtetünk.

Feleljen meg a GDPR rendelkezéseinek! Adatvédelmi, GDPR csomagjaink a szabályzatok elkészítését szolgálják, továbbá ügyvédeink adatvédelmi, adatbiztonsági szakjogászok, így akár a teljes megfeleltetésben, akár DPO tisztség betöltésében is tudunk segíteni.

A Webes GDPR csomagot azon ügyfeleinknek ajánljuk, akik nem értékesítenek a weboldalukon, nem üzemeltetnek webshopot, nem lehet előfizetni a weboldalukon semmilyen szolgáltatásra; de ezek ellenére bekérnek személyes adatokat a weboldalon (pl. kapcsolati, ajánlatkérő űrlapon, hírlevél-feliratkoztatást alkalmaznak, cookie-kat használnak).

Előfizetek a naprakész GDPR-t biztosító Webes GDPR csomagra

A webshop csomagot a klasszikus webáruházak részére ajánljuk, azon ügyfeleinknek, akik egy csomagban szeretnék a webshop üzemeltetéshez szükséges jogi teendőket elvégeztetni. Ebben a csomagban a webshophoz szükséges ÁSZF-et, adatkezelési tájékoztatót (GDPR) készítünk a VirtualJog rendszerén keresztül.

Előfizetek a naprakész ÁSZF-et és GDPR-t biztosító Webshop csomagra

A kamerás GDPR csomagot azon ügyfeleinknek ajánljuk, akik kamerás megfigyelést végeznek például az üzlethelyiségükben, ipari létesítményeinkben, vagy akár elektronikus megfigyelést alkalmaznak a munkahelyen.

Előfizetek a naprakész kamerás GDPR-t biztosító Kamerás GDPR csomagra