Kamerarendszer üzemeltetés adatvédelmi kérdései (3. rész)
Mik a kamerarendszer üzemeltetésének adatvédelmi követelményei? Milyen területet és hogyan figyelhetnek meg a kamerák? Mennyi ideig tárolható a felvétel? Hogyan kell tájékoztatni a megfigyelt területre belépő személyeket arról, hogy kamerarendszer működik?
A fentiek mellett még számos más kérdés merül fel az adatkezelőben a kamerarendszer üzemeltetésével kapcsolatosan. Többrészes cikkünkben ezeknek a kérdéseknek a megválaszolásához szeretnénk segítséget nyújtani a NAIH témában megjelent határozatai és az Európai Adatvédelmi Testület kamerarendszerek üzemeltetésével kapcsolatos állásfoglalása alapján.
Az Európai Adatvédelmi Testület kamerarendszerek üzemeltetésével kapcsolatos állásfoglalása teljes terjedelmében elérhető a honlapunkon, magyar nyelven.
A kamerarendszerek üzemeltetésével kapcsolatos cikksorozatunk első része, mely az adatkezelési célokkal és jogalapokkal foglalkozik, itt érhető el, második része, mely a megfigyelhető területtel, az adatkezelési időtartammal, illetve az adatbiztonsággal foglalkozik, itt érhető el.
3. rész
Közreműködők, tájékoztatás, hatásvizsgálat
Cikksorozatunk utolsó részében kitérünk arra az esetre, amikor a kamerarendszer üzemeltetése során külső közreműködő igénybevételére kerül sor, arra, hogy hogyan kell a megfigyelt területre belépő személyeket megfelelően tájékoztatni az adatkezelés jellemzőiről, és hogy milyen egyéb kérdések merülnek fel az érintettek jogainak gyakorlása során. Cikkünk lezárásaképpen pedig ismertetjük a hatásvizsgálat elvégzésének kötelező eseteit.
Adatfeldolgozó igénybevétele
Előfordulhat, hogy az adatkezelő által megbízott harmadik személyek tevékenységük ellátása során hozzáférnek akár a kamerarendszer által közvetített élőképhez, akár a tárolt felvételekhez (például portaszolgálat ellátására megbízott társaság munkatársai vagy a kamerarendszert karbantartó személyek). Amennyiben ezen megbízottak feladataik ellátása során a Rendelet 4. cikk 8. pontja szerint adatfeldolgozónak minősülnek, úgy az adatkezelő a Rendelet 28. cikkében foglaltak szerint köteles eljárni, így – többek között – az adatfeldolgozóval a Rendelet 28. cikk (3) bekezdése szerinti tartalommal adatfeldolgozói szerződést kötni.
A szerződésben szükséges rendelkezni arról, hogy az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő által meghatározott és szerződésben rögzített célból, utasításai szerint kezelheti, az adatkezelés tekintetében önálló döntési jogosultsága nincs. Szükséges továbbá az adatfeldolgozóknak titoktartási kötelezettséget és szerződéses garanciákat vállalni a feladatai teljesítése közben megismert személyes adatok megőrzésére vonatkozóan.
Önálló/közös adatkezelő közreműködő igénybevétele
Előfordulhat olyan eset is, amikor a kamerarendszer üzemeltetésével megbízott cég nem utasítás alapján jár el, hanem teljes önállósággal, saját belátása szerint végezheti a feladatát. Szerződésében csupán az van meghatározva, hogy biztosítania kell az adott terület védelmét, azonban az ezzel kapcsolatos részletszabályok meghatározása már saját hatásköre. Önállóan dönt a kamerák látószögének meghatározásáról, a felvételek visszanézésről, hatóság részére történő átadásukról, az ő eszközein történik az adatok tárolása, stb.
Ilyen esetben az őrzés-védelmi feladatokkal megbízott harmadik fél önálló vagy közös adatkezelőként jár el a feladatai ellátása során, és az ezzel kapcsolatos valamennyi jogszabályi kötelezettség is terheli.
Előzetes tájékoztatás teljesítése két lépésben
Kamerás megfigyelés esetén a Rendelet 13. cikk szerinti előzetes tájékoztatást két lépésben kell megtenni.
Első lépésként a megfigyelt területre lépéskor kell figyelmeztetni az oda belépő személyeket a kamerarendszer működésének tényéről, a megfigyelt területen kívül (bejárati ajtón, kapun) elhelyezett piktogram, egyéb jelzés útján nyújtott rövid tájékoztatással, mely írásos, közérthető rövid tájékoztatást ad a kamerarendszer üzemeltetésének legfontosabb jellemzőiről és a részletes tájékoztató elérhetőségéről. E tájékoztatásnak a funkciója, hogy a területre belépéskor nem elkerülhető adatkezelésre figyelmeztet és a szükséges teljes körű tájékoztatás elérhetőségére, hozzáférhetőségére utal.
Ezt a tájékoztatást második mozzanatként szükségszerűen ki kell egészítenie egy, legalább a helyszínen (de akár a weboldalon is) elérhető teljes (hosszabb és részletes) tájékoztatónak, mely a Rendelet 13. cikkében meghatározott valamennyi információt maradéktalanul tartalmazza.
Az érintett hozzáférési jogának gyakorlása
A Rendelet 15. cikk (1) bekezdésében foglaltak szerint az érintett jogosult arra, hogy kérelmére az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy az érintett személyes adatainak kezelése folyamatban van-e és ha igen, akkor az adatkezelő a személyes adatokhoz és az adatkezeléssel kapcsolatos egyes információkhoz hozzáférést biztosítson részére.
Az érintett bármikor kérhet hozzáférést és akár másolatot is azon felvételről, amelyen személyes adata (azaz hangja vagy képmása) szerepel. A hozzáférési jog gyakorlása kapcsán a GDPR nem támaszt többletkövetelményeket, az feltétel nélkül gyakorolható, tehát az érintettnek nem kell igazolnia a hozzáférési joga gyakorlásához fűződő jogát vagy jogos érdekét, illetve nem kell indokolnia, hogy mi okból kíván élni ezzel a jogával.
Amennyiben a felvételeken más személy is szerepelnek, úgy az érintetti jog gyakorlása során az adatkezelőnek figyelemmel kell lennie arra, hogy megtegyen minden lehetséges intézkedést e személyek jogainak és szabadságainak védelme érdekében. Ilyen intézkedés lehet például a felvétel azon részeinek kivágása, ahol más személyek láthatóak, amennyiben ez nem lehetséges vagy ez az érintett jogainak gyakorlását akadályozná, úgy a felvételen látható további személyek imperszonalizációja (kihomályosítása, kitakarása). Fontos, hogy kizárólag azon időtartam kerüljön az érintett rendelkezésére bocsátásra, mely valóban releváns és a személyes adatának minősül.
Sokszor problémát jelenthet a hozzáférési jog gyakorlása esetén az érintett felvételen történő azonosítása. Ennek érdekében az adatkezelő előírhatja, hogy az érintett – önmaga személyazonosításán túl – adjon meg további információt, például jelölje meg azon időintervallumot (esettől függően ésszerű mértékben), amikor a kamera látószögében tartózkodott. Ez esetben szükséges az érintettet előzetesen tájékoztatni arról, hogy adott esetben milyen további információkra van szüksége ahhoz, hogy az érintett kérelmét teljesíteni tudja.
Érdekes kérdéskör a kamerafelvételek kapcsán a helyesbítéshez való jog gyakorlása, mely elsőre úgy tűnhet, hogy nem értelmezhető, azonban bizonyos extrém esetekben mégis lehetséges helyesbítési kérelemmel fordulni az adatkezelőhöz. Ilyen például, ha a kamerafelvétel úgy készül, hogy azon szerepel a dátum, esetleg az idő is, azonban helytelenül. Az érintett kérheti ennek a helyesbítését, amennyiben ez releváns.
Hatásvizsgálat lefolytatása
Amennyiben a kamerarendszer üzemeltetése során megvalósuló adatkezelés – figyelemmel annak jellegére, hatókörére, körülményeire és céljaira –, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő az adatkezelést megelőzően a Rendelet 35. cikke szerint köteles hatásvizsgálatot lefolytatni.
A kamerarendszer üzemeltetésével összefüggő adatkezelések tekintetében a NAIH hatásvizsgálati „fekete listáján” két eset szerepel:
˗ „14. Módszeres megfigyelés. Érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera),”
˗ „16. Munkavállaló munkájának megfigyelése. Munkavállalók munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése. Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.”
Amennyiben az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő köteles a Hatósággal konzultálni.