Csak a szükséges adatokat tárolja! Tízmilliós bírságot kockáztat

Megosztás Tetszik

A vállalkozások személyes adatok sokaságát kezelik a működésükkel összefüggésben. A kezelt személyes adatok körének meghatározásakor azonban érdemes szem előtt tartani azt a követelményt, hogy csupán azon személyes adatok gyűjtéséhez (kezeléséhez) szabad ragaszkodni, melyek abszolút szükségesek a jogszerű adatkezelési cél eléréséhez. Sem praktikus szempontból, sem pedig biztonsági megfontolásból nem lehet ugyanis szükségtelen mértékben személyes adatokat kezelni.

Indokolt, de eltúlzott beléptetési gyakorlat

A Nemzeti Adatvédelmi és Információszabadság Hatóság több alkalommal vizsgálta a Sziget Zrt. beléptetési gyakorlatát. Tényszerűen megállapítható, hogy a rendezvények alkalmával jelentős számú résztvevő fordul meg a Sziget Zrt. által szervezett egyes eseményeken, mely megfelelő személy- és vagyonvédelmi intézkedések meghozatalát indokolhatja. Ezen jogos érdekére támaszkodva a szervező úgy döntött, hogy a beléptetésnek azt a formáját választja, hogy előre megvásárolt jegy esetén a helyszínen, az úgynevezett becserélő ponton, helyszíni jegyvásárlás esetén a helyszíni pénztárnál személyazonosító okmányból leolvasva – de az okmány lemásolása nélkül – felveszi a látogató vezeték- és keresztnevét, születési dátumát, származási országát, nemzetiségét és nemét, valamint rögzíti az okmányon lévő fényképet, illetve, ha az okmányon lévő fénykép rögzítése technikai okok miatt nem lehetséges, a helyszínen készít fényképet az érintettről.

A személyes adatok alapján a szervező csipes karszalagot is készített, melyet a bejáratnál minden alkalommal leolvastak. Leolvasás alkalmával az érintett belépő személy adatai fényképpel együtt egy monitoron jelentek meg, mely lehetővé tette a belépő személy azonosítását. Az adatkezelő szervező az adatkezelés céljaként a visszaélések megelőzését, valamint a személy- és vagyonvédelem általános, illetve megelőző jellegű védelmét emelte ki.

A hatóság a beléptetési gyakorlattal összefüggésben nem vitatta a visszaélések megelőzése, illetve a közbiztonság garantálása jogos érdekeket, úgy vélte azonban, hogy ahhoz az adatkezelő szükségtelenül széles körben kezelt személyes adatokat. Álláspontja szerint az adatkezelő céljainak eléréséhez a név és a fénykép személyes adatok kezelése is elegendő lett volna. Ezen túlmenően arra is rámutatott, hogy észszerűtlen (szükségtelen) is volt a többletadatok rögzítése, hiszen a szervező központi adatbázisokhoz nem fért hozzá, így a belépő személyek közveszélyes voltát ellenőrizni nem tudta. Végezetül azt is kiemelte, hogy a közbiztonság ilyen szintű garantálása az állam és nem a piaci szereplők feladata, így ahhoz eszközzel sem rendelkezhetnek.

OLVASSA TOVÁBB cikkünket, amelyben ismertetjük az internetes honlapok által kért adatokra, valamint a munkahelyi belépésnél alkalmazott ellenőrzésekre vonatkozó adatvédelmi korlátozásokat. 

A teljes cikkhez előfizetőink, illetve 14 napos próba-előfizetőink férnek hozzá, ha e-mail-címük és jelszavuk megadásával belépnek az oldalra.