Kamerás megfigyelőrendszer üzemeltetésének adatvédelmi kérdései (2. rész)
Mik a kamerás megfigyelőrendszer jogszerű üzemeltetésének követelményei? Milyen területet és hogyan figyelhetnek meg a kamerák? Mennyi ideig tárolható a felvétel? Hogyan kell tájékoztatni a megfigyelt területre belépő személyeket arról, hogy kamerarendszer működik?
A fentiek mellett még számos más kérdés merül fel az adatkezelőkben a kamerarendszerek üzemeltetésével kapcsolatosan. Többrészes cikkünkben többek között ezeknek a kérdéseknek a megválaszolásához szeretnénk segítséget nyújtani a NAIH témában megjelent határozatai és az Európai Adatvédelmi Testület kamerarendszerek üzemeltetésével kapcsolatos állásfoglalása alapján.
Az Európai Adatvédelmi Testület kamerarendszerek üzemeltetésével kapcsolatos állásfoglalása teljes terjedelmében elérhető a honlapunkon, magyar nyelven.
A kamerás megfigyelőrendszerek üzemeltetésével kapcsolatos cikksorozatunk első része, mely az adatkezelési célokkal és jogalapokkal foglalkozik, itt, harmadik része, mely a közreműködőkről, a tájékoztatásról és a hatásvizsgálatról szól, itt érhető el.
2. rész
Megfigyelhető terület, időtartam, adatbiztonság
Amennyiben az adatkezelő meghatározta a jogszerű adatkezelési célt és megfelelő jogalappal rendelkezik a kamerarendszer üzemeltetése során megvalósuló adatkezelésre, úgy a kamerák felszerelése előtt fel kell mérnie, hogy a cél elérése érdekében pontosan hol szükséges kamerát kihelyezni, illetve azok milyen időszakokban működjenek. E körben körültekintően kell megvizsgálni, hogy az elérni kívánt cél hogyan teljesíthető az érintett személyek autonómiájának legkisebb sérelme mellett.
A kamerák által megfigyelhető terület
A kamerák által megfigyelhető terület tekintetében a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvényben (Szvmt.) tartalmaz rendelkezéseket. E szerint „nem alkalmazható elektronikus megfigyelőrendszer olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, próbafülkében, mosdóban, illemhelyen, kórházi szobában és szociális intézmény lakóhelyiségében”.
Az épületen kívül kamerarendszer az Szvmt. szerint kizárólag magánterületen alkalmazható (Szvmt. 30. § (2) bekezdés). A törvény azonban a megfigyelés lehetőségét kiterjeszti a közönség számára nyilvános magánterületre is. Az, hogy mi számít a magánterület közönség számára nyilvános részének, a törvény az alábbiak szerint határozza meg:
„Olyan magánterület, amely mindenki számára korlátozás nélkül igénybe vehető, ideértve a közterület azon részét is, amelynek birtokába a személy- és vagyonvédelmi tevékenység folytatására megbízó valamely polgári jogi jogügylet, különösen bérleti vagy haszonbérleti jogviszony keretében jut, feltéve, ha
a) a területrész igénybevétele, használata a személy- és vagyonvédelmi tevékenységet folytató által őrzött magánterület nyilvános részén folyó tevékenységhez szervesen kapcsolódik, annak folyamatosságát, segítését szolgálja, vagy
b) a megbízó (megrendelő), avagy a magánterület nyilvános részét igénybe vevő közönség ingóságainak elhelyezésére szolgál;”.
A kamerás megfigyelőrendszer elhelyezésének kiválasztásakor fontos továbbá figyelemmel lenni arra, hogy a kamerák ne legyenek alkalmasak a munkavállalók megfigyelésére. A NAIH több alkalommal is kihangsúlyozta, hogy a kamerás megfigyelés abszolút korlátját jelenti az emberi méltóság tiszteletben tartása, ezért kamerákat nem lehet működtetni a munkavállalók és az általuk végzett tevékenység állandó jellegű megfigyelésére. A tisztességes adatkezelés elvének megsértését állapította meg és adatvédelmi bírságot szabott ki a Hatóság például egy olyan esetben, amikor a kamerák alkalmasak voltak munkavállalók megfigyelésére. A bírságot megállapító határozat szerint jogellenesnek és tisztességtelennek tekinthető az olyan elektronikus megfigyelőrendszer alkalmazása, amelynek célja a munkavállalók munkahelyi viselkedésének a befolyásolása, kamerákkal történő folyamatos megfigyelése, ellenőrzése (13. oldal).
A kamerák működési idejének beállításakor is szükséges a célhoz kötöttség elvét figyelembe venni, így például, ha a kamerával megfigyelt területen a jogsértés veszélye csak egy meghatározott időintervallumban áll fent (például áruforgalom csak napközben van), úgy a kameráknak nem indokolt a nap huszonnégy órájában működnie.
A rögzített felvételek tárolásának ideje
Az adatkezelés időtartamának meghatározása, vagyis az, hogy a kamerák által rögzített felvételek mennyi ideig kerülnek tárolásra – amennyiben jogszabály által nem került explicit módon meghatározásra – az adatkezelő mérlegelésén múlik, figyelembe véve azonban az adatkezelésre vonatkozó alapelveket, úgy, mint az adattakarékosság és a korlátozott tárolhatóság elvét.
Az adatkezelés idejét minden esetben egyedileg kell meghatározni, az adatkezelő által meghatározott adatkezelési célok figyelembevételével, hiszen az adott cél eléréséhez szükséges ideig történhet csak a kamerafelvételek megőrzése. Vagyonvédelmi célból felszerelt kamerák esetében általában az esetleges jogsértések észlelésére sokszor csak a jogsértés megtörténtet követően kerül sor, melyet szükséges végiggondolni és ehhez alkalmazkodva meghatározni az adatkezelési időtartamot.
Az időtartam vizsgálatánál figyelembe veendő – többek között – a 36/2005. (X. 5.) AB határozat, melyben az Alkotmánybíróság megállapította, hogy a kamerás megfigyelőrendszer által készített felvételek 30 napig történő őrzése alkotmányellenes volt az Szvmt. eredeti szövegezésében, mivel az aránytalanul hosszú, és így sérti az általános személyiségi és információs önrendelkezési jogokat.
Az adatkezelési időtartam meghatározásánál tehát mindig az adott cél és az összes körülmény vizsgálata indokolt.
Adatbiztonsági intézkedések
Az adatkezelő a kamerás megfigyelőrendszer üzemeltetésével összefüggő adatkezelés során is mindvégig köteles gondoskodni a kezelt személyes adatok ésszerűen elvárható legmagasabb szintű biztonságáról. A Rendelet előírásainak megfelelően az adatkezelési műveleteket oly módon kell végezni, hogy megfelelő technikai és szervezési intézkedések alkalmazásával biztosított legyen a személyes adatok megfelelő biztonsága, továbbá az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelem is.
A rögzített felvételek tárolása tekintetében olyan adattárolási formát kell választani, amely a lehető legnagyobb biztonságot nyújtja a személyes adatokat tartalmazó felvételek tekintetében. Az adattárolás akár felhőalapú rendszerben, akár fizikai adathordozón történik, védeni kell az adatokat a külső behatásoktól, jogellenes hozzáférésektől. Ennek számtalan módja lehetséges, mindig az adott körülményhez mérten kell a maximális biztonságot kialakítani. Felhőalapú rendszerek esetében például javasolt olyan szolgáltatót választani, aki a Rendeletnek megfelelő biztonsági szintet vállalja a szerződésben, fizikai adattározók esetében pedig azon helyiséget, ahol a szerver található szükséges a megfelelő intézkedésekkel ellátni (megfelelő biztonsági zárhatóság, légkondi, tűzjelző, füstjelző elhelyezése, stb.).
Az élőképhez, illetve a rögzített felvételekhez való hozzáférés tekintetében is szükséges meghozni azokat a technikai és szervezési intézkedéseket, amelyek biztosítják, hogy a hozzáférés csak biztonságos módon és akként történjen, hogy a személyes adatokat csak az ismerhesse meg, akinek ez a feladata, illetve a megismerő személye azonosítható legyen.
Szükséges úgy kialakítani a gyakorlatot, hogy a felvételekhez az arra feljogosított személyek csak érvényes, személyre szóló, azonosítható jogosultsággal – felhasználói névvel és jelszóval – férhessenek hozzá, a rendszerbe történő be- és kilépést, illetve a belépést követő tevékenységeket a rendszer naplózza.
A tárolt felvételek visszanézését, annak okát és idejét, valamint a megismerő személyét szükséges minden esetben jegyzőkönyvben rögzíteni.