Kamerarendszer üzemeltetésének adatvédelmi kérdései (1. rész)

Mik a kamerarendszer jogszerű üzemeltetésének adatvédelmi követelményei? Milyen területet és hogyan figyelhetnek meg a kamerák? Mennyi ideig tárolható a felvétel? Hogyan kell tájékoztatni a megfigyelt területre belépő személyeket arról, hogy kamerarendszer működik?

A fentiek mellett még számos más kérdés merül fel az adatkezelőkben a kamerarendszerek üzemeltetésével kapcsolatosan. Többrészes cikkünkben többek között ezeknek a kérdéseknek a megválaszolásához szeretnénk segítséget nyújtani a NAIH témában megjelent határozatai és az Európai Adatvédelmi Testület kamerarendszerek üzemeltetésével kapcsolatos állásfoglalása alapján.

Az Európai Adatvédelmi Testület kamerarendszerek üzemeltetésével kapcsolatos állásfoglalása teljes terjedelmében elérhető a honlapunkon, magyar nyelven.

A kamerás megfigyelőrendszerek üzemeltetésével kapcsolatos cikksorozatunk második része, mely a megfigyelhető területtel, az adatkezelési időtartammal és az adatbiztonsággal foglalkozik, itt, harmadik része, mely a közreműködőkről, a tájékoztatásról és a hatásvizsgálatról szól, itt érhető el.

1. rész
Adatkezelési célok, jogalapok

A természetes személyekről készült kép- és/vagy hangfelvétel a GDPR és az Infotv. rendelkezései alapján személyes adatnak minősül, ennél fogva az ilyen jellegű adatok kezelését (rögzítését, tárolását, nyilvántartását) is csak ezen jogszabályok rendelkezéseinek megfelelően a jogalap és a cél által határolt keretek között – azokra figyelemmel – lehet megtenni.

Az adatkezelés célja

A jogszerű adatkezelés előfeltétele kamerarendszer üzemeltetése esetén is az, hogy az adatkezelés meghatározott célból történjén. Az adatkezelés célja elektronikus megfigyelőrendszerek esetében többféle lehet, általánosságban a vagyonvédelem a fő cél, amely miatt kamerarendszer kerül kihelyezésére egy-egy épületre, de lehet az emberi élet, testi épség, személyi szabadság védelme, üzleti, fizetési, bank- és értékpapírtitok védelme vagy például veszélyes anyagok őrzése is, illetve bármely, az adatkezelő által adott esetben meghatározott egyéb jogszerű cél.

Az Európai Adatvédelmi Testület külön állásfoglalásban foglalkozik a kamerarendszerek üzemeltetésével kapcsolatos adatkezelés kérdéseivel, melyben az adatkezelés célját illetően rögzíti, hogy azt minden esetben kameránként egyesével kell meghatározni és írásban is megfelelően dokumentálni. A Testület szerint együtt dokumentálható az adatkezelés célja azon kamerák esetében, amelyeket egy adatkezelő ugyanazon célból alkalmaz, mindaddig amíg az összes működő kamera esetében fennáll a meghatározott cél.

Az adatkezelés lehetséges jogalapjai

A kamerarendszer üzemeltetésével összefüggésben személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben a Rendelet 6. cikk (1) bekezdésében meghatározott jogalap valamelyike fennáll.

E körben fontos kiemelni, hogy a Rendelet 6. cikk (1) bekezdés c) pontja szerinti jogszabályi kötelezés csak akkor lehet az adatkezelés jogalapja, amennyiben az alkalmazandó jogszabály az Infotv. 5. § (3) bekezdésének megfelelően meghatározza a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát.

Amennyiben az adatkezelő közhatalmi szerv és az adatkezelés a feladatai ellátásához szükséges, úgy a kamerarendszer üzemeltetésével kapcsolatos adatkezelésre a Rendelet 6. cikk (1) bekezdés e) pontja ad jogalapot.

A Rendelet 6. cikk (1) bekezdés a) pontja, vagyis az érintett hozzájárulása kamerarendszerek esetében csak nagyon kivételes esetekben szolgálhat az adatkezelés jogalapjául, hiszen a gyakorlatban kivitelezhetetlen, hogy az adatkezelő a Rendelet hozzájárulással szembeni elvárásait (annak – többek között – önkéntes, kifejezettnek, egyértelműnek kell lennie, és biztosítani kell, hogy az érintett azt bármikor visszavonhassa) biztosítani tudja.

A legtöbb esetben tehát a Rendelet 6. cikk (1) bekezdés f) pontja, vagyis az adatkezelő jogos érdeke lehet az adatkezelés jogalapja. E pont alapján azonban az adatkezelés csak akkor jogszerű, ha ezen érdekkel szemben nem élveznek elsőbbséget az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé. Az érdekek mérlegelését az adatkezelő köteles a kamerarendszer felszerelését megelőzően elvégezni és azt írásban rögzíteni (érdekmérlegelési teszt).

Különleges adatok kezelése

A jogalap meghatározása során alapvető fontosságú az (51) preambulumbekezdésben írtak figyelembevétele:

„A fényképek kezelését nem szükséges szisztematikusan különleges adatkezelésnek tekinteni, mivel azokra csak azokban az esetekben vonatkozik a biometrikus adatok fogalommeghatározása, amikor a természetes személy egyedi azonosítását vagy hitelesítését lehetővé tevő speciális eszközzel kezelik őket. Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett…”

Az idézet alapján tehát abban az esetben, ha a fénykép-, vagy kamerafelvétel készítésének célja az érintett egyedi azonosítása, és az ehhez szükséges technikai paraméterekkel is rendelkezik a felvétel készítésére szolgáló eszköz, abban az esetben a GDPR 9. cikk (2) bekezdése szerinti kivétel is szükséges az adatkezelés jogszerűségének biztosításához.

Az adatkezelő jogos érdeke, szükségesség, arányosság

Amennyiben az adatkezelő jogos érdeken alapulva alkalmaz elektronikus megfigyelőrendszert, az általa meghatározott jogos érdeknek valós, a jelenben fennálló érdeknek kell lennie. A Testület fent említett állásfoglalása kifejezetten kiemeli, hogy nem lehet valamilyen vélelmezett érdekre hivatkozni. Ezt erősíti meg a NAIH egy, a kamerarendszer jogszerűségét vizsgáló adatvédelmi hatósági eljárásban hozott határozata is, melyben a Hatóság is úgy foglalt állást, hogy vagyon- és/vagy személyvédelmi célból alkalmazott kamerák esetében a tényleges fenyegetettség fennállása szükséges a konkrét helyen és időszakban ahhoz, hogy a vagyon- és/vagy személyvédelem, mint cél és egyben jogos érdek alkalmazható legyen az adatkezelésre (NAIH/2019/2076/11 – 10. oldal).

Mind a Hatóság említett határozata, mind pedig az Európai Adatvédelmi Testület állásfoglalása e körben rögzíti, hogy a személy- és vagyonvédelemi célú kamerák esetén tekintettel kell lenni arra, hogy a megfigyelni kívánt területen az adott településen vagy a környező helységekhez mért átlaghoz képest kiugróan magas-e a betörések, lopások, rongálásos bűncselekmények előfordulása (NAIH/2019/2076/11 – 10. oldal). Amennyiben az adatkezelő meg kíván ennek az elvárásnak felelni, érdemes dokumentálnia a ténylegesen megvalósult bűncselekmények által okozott károkat (bármely korábbi betörést, károkozást, stb.), és figyelemmel lenni a környéken szokásos bűnügyi statisztikákra. A Hatóság álláspontja szerint például „egy önkormányzati épület tipikusan nem olyan helyszín, ahol kimagasló bűnözés várható, ellentétben például egy bankkal vagy benzinkúttal” (NAIH/2019/2076/11 – 10. oldal).

Fontos továbbá, hogy a biztonsági kamerákkal kapcsolatosan az adatkezelés szükségességét nem csak a kamerák felszerelésekor kell dokumentálni, hanem az okok változatlan fennállását időközönként ellenőrizni is kell. Ez az elszámoltathatóság elvéből következik, hiszen eszerint az adatkezelő felelős a Rendeletben foglaltaknak való megfeleléséért és képesnek kell lennie a megfelelés igazolására, vagyis az adatkezelés indokának aktuális fennállását bármikor bizonyítania kell tudnia.

A szükségesség vizsgálata körében lényeges továbbá, hogy elektronikus megfigyelőrendszerek csak abban az esetben alkalmazhatóak, ha nincs az érintettek jogait és szabadságait kevésbé korlátozó módszer a cél elérésére. Vagyis, az adatkezelők a kamerarendszer üzemeltetését megelőzően kötelesek számba venni minden olyan alternatív megoldást, amivel az elérni kívánt cél megvalósítható lenne, ilyen lehet például biztonsági szolgálat alkalmazása, riasztórendszer kiépítése, beléptetőrendszer, belépőkártyák alkalmazása, stb. Amennyiben van más olyan módszer, amellyel hatékonyan és az érintettek jogait és szabadságait kevésbé korlátozva érhető el a vagyonvédelmi cél, úgy az adatkezelőnek ezt a megoldást kell elsősorban alkalmaznia a kamerarendszer felszerelése helyett.