Habár a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) még október végén hirdette ki határozatát, melyben közlik, hogy megbírságolták az OMV-t, a sajtó csak most figyelt fel erre, miután a főként internetes jogra szakosodott Ormós ügyvédi iroda szombaton közzétette az ügyről készített elemzését.
Mi történt?
A NAIH a maximális 20 millió forinthoz közeli bírságot szabott ki az OMV-re az elektronikus megfigyelőrendszereivel kapcsolatos adatvédelmi jogszabálysértések miatt. Az elemzés szerint állampolgári panasz alapján indult az eljárás, melyben kiderült, hogy az OMV „a kockázatok elkerülése és a helyi lakosok biztonságának, valamint kárenyhítés biztosítása” érdekében az egyik töltőállomás kasszájánál a kamera mellé mikrofon telepítésével is megbízta a POLSEC Biztonságtechnikai Kft-t. A hangfelvételeket előbb 30 napig, majd később 60 napig is tárolták. A tárolt hangfelvételekhez kizárólag a kútvezető, illetve a biztonsági cég fért hozzá. A biztonsági kamerarendszerhez kapcsolódó adatkezelés nem volt bejelentve a a NAIH adatvédelmi nyilvántartásába.
A határozat szerint a képfelvétel mellett a hang rögzítése már aránytalannak minősül a személyes adatok védelme szempontjából a szükségesség és az arányosság követelményét figyelembe véve, ráadásul nemcsak a fizető vendégek hangját rögzíti a rendszer, ami önmagában is aggályos, hanem a szinte a teljes munkaidőben a kasszapultban tartózkodó egyes alkalmazottak élőbeszédét és telefonbeszélgetéseiket is. A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló törvény vonatkozó rendelkezése szerint a felvételeket három munkanapon belül törölni kellett volna, ezzel szemben 30, illetve 60 napig is őrizték a felvételeket, speciális jogszabályokra hivatkozva.
Miért ilyen magas a bírság összege?
A NAIH az alábbi szempontok alapján határozta meg a kiemelkedően magas összegű bírságot:
- az érintettek magas száma (164 töltőállomás jelentős hányadában volt mikrofonos hangrögzítés, ez alapján megbecsülhető, hogy akár több százezres nagyságrendű ügyfelet érintett a hangrögzítés)
- a jogsértés súlya: az OMV az adatvédelmi törvény több alapvető rendelkezését is megsértette, és az eljárás megindulásától mind a mai napig folytatja a jogellenes adatkezelési gyakorlatot. Adatkezelési tájékoztatója a mai napig nem felel meg a jogszabályi követelményeknek [mai napig, azaz október 24.]
- a jogsértés ismétlődő jellege
- az OMV piaci súlya
A szakértő szerint az OMV-ügyből sok tanulságot lehet levonni, de az alábbi három kiemelkedik a tanulságok csoportjából:
- együttműködés az eljárás megindulása után: az OMV érdekes strétégiát választott a hatósági eljárás megindulásától: gyakorlatilag beleálltak az általuk képviselt jogi álláspontba és bíztak abban, hogy az adatvédelmi hatóság elfogadja majd a vagyonvédelmi alapokon nyugvó érvelésüket
-
nagy cégek, sok személyes adat: kiemelt figyelem és jelentős bírságok?: mindenképpen fontos iránymutatás a NAIH részéről az a szemponthalmaz, ami alapján gyakorlatilag a maximális bírságösszeghez, 20 millió forinthoz közeli bírságot állapított meg az OMV-ügyben. 2018. május 25-től, a GDPR (általános adatvédelmi rendelet) hatályba lépésétől a nagy cégeknek biztos fel kötni az adatvédelmi gatyát, mert pusztán csak az egyenes arányosítás szabályát alkalmazva ugyanez az ügy akár 5 milliárd forintjába is kerülhetne majd az OMV-nek
- adatvédelmi átvilágítás – kötelező feladat 2018-ban: jövőre minden cégnek és intézménynek kell valamilyen adatvédelmi projektet indítania a saját cégénél
