Mentés

Kamerával védi telephelyét, irodáját, lakását? Adatkezelőnek minősül!

2018 jelentős év lesz az adatvédelem területén, hatályba lép az új európai adatvédelmi rendelet, amely Magyarországon is közvetlenül hatályos és alkalmazandó jogszabály lesz, felváltja a jelenleg hatályos Infotörvényt. A küszöbön álló változás alkalmat biztosíthat arra, hogy elmélyüljön, vagy – jobb később, mint soha alapon – széles körben kialakuljon az adatvédelmi jogi tudatosság.

Az adatvédelmi jog ugyanis széles körben kihat mindennapjainkra. Csak élő, természetes személyek (magánszemélyek) adatai minősülhetnek személyes adatnak, ebből adódóan a természetes személyek jogainak védelme adja az adatvédelmi jog fókuszát.  A vállalatok, egyéb szervezetek szemszögéből pedig annak van kiemelkedő jelentősége, hogy ők a természetes személyek adatai kapcsán adatkezelőnek, vagyis olyannak, aki felelős az adatkezelésért, vagy adatfeldolgozónak, azaz olyannak, akinek a szerepe főleg az, hogy végrehajtsa az adatkezelő utasításait minősülnek.

Cég, egyéb szervezet és magánszemély is lehet adatkezelő 

Sok esetben találkozunk azzal a vélekedéssel, hogy az adatvédelmi jog vállalkozásokra, szervezetekre vonatkozóan jelent elsősorban kötelezettséget, mivel jellemzően ők állnak kapcsolatban nagyszámú ügyféllel; gyűjtenek és kezelnek adatokat, adatbázisokat.  Egy átlagos felhasználó (természetes személy) hajlamos úgy gondolni, hogy az adatvédelemmel csak akkor találkozik, amikor – elolvasás nélkül – rákattint (aláhúzza, kipipálja stb.) a személyes adatainak kezelésére vonatkozóan megfogalmazott hozzájáruló nyilatkozatra, hogy hozzáférjen valamely szolgáltatói tartalomhoz.

Ez a gondolat annak ellenére erősen tartja magát a köztudatban, hogy az adatvédelmi jogszabályok alkalmazásában természetes személy is minden további nélkül lehet adatkezelő.

Kamerás megfigyelés – az adatkezelés egy formája

Teljesen hétköznapi szituációkban is felmerülhet tehát természetes személyek magatartásának adatvédelmi jogi vonatkozása. Ezt szemlélteti a következő jogeset. 

Egy magánszemély kamerarendszert szerelt fel és működtetett a családja házán. A kamera rögzített helyzetben a ház bejáratáról, az utcáról és a szemközti ház bejáratáról készített videófelvételt, amelyet adatrögzítő eszközön – merevlemezen – tároltak végtelenített formában. Miután a merevlemez memóriája megtelt, a későbbi felvétel törölte a korábbi adatokat. Az adatrögzítő eszközhöz nem csatlakoztattak képernyőt, így nem volt lehetőség a kép valós időben történő megtekintésére, a rendszerhez és az adatokhoz kizárólag a magánszemély fért hozzá.

A megfigyelt ház ablakát csúzlival betörték, a kamerás megfigyelőrendszer segítségével két gyanúsítottat azonosítani tudtak. A ház tulajdonosa a rögzített felvételeket átadta a rendőrségnek, amelyeket ezt követően felhasználtak a megindult büntetőeljárásban.

A legjobb védekezés a támadás elvét követve az elkövetők bepanaszolták a kamerarendszert működtető magánszemélyt, adatvédelmi jogi alapon. Arra hivatkoztak, hogy a magánszemély adatkezelőnek minősül, és ebben a minőségében az eljárása több vonatkozásban is jogsértő volt. A nemzeti hatóság meg is állapította a többszörös jogsértést. A határozattal szemben a magánszemély jogorvoslattal élt, a nemzeti bíróság az Európai Bíróság előzetes döntéshozatali eljárása iránti kérelmet terjesztett elő. 

Kérdésének lényege az volt, hogy ügyében alkalmazható-e az a kivétel1, miszerint a „személyes adatkezelés” nem tartozik az adatvédelmi jog tárgyi hatálya alá.

Az előzetes döntéshozatali eljárásban a következő lényegi megállapítások születtek:

  • személyekről kamerával felvett kép a rendelkezések értelmében személyes adatnak minősül,
  • videókamerás megfigyelés főszabály szerint az európai Irányelv hatálya alá tartozik, mivel automatizált módon történő adatkezelésnek minősül, 
  • amely csak abban az esetben nem tartozik az adatvédelmi jogszabály tárgyi hatálya alá – azaz minősül kivételnek – ha az adatkezelést „kizárólag” személyes, illetve otthoni tevékenységek gyakorlása céljából végzik,
  • az olyan videókamerás megfigyelés, amely csak részben, de közterületre is kiterjed – a kamerás megfigyelőrendszerrel adatkezelést végző személy magánszféráján kívülre irányul –, nem tekinthető kizárólag „személyes, illetve otthoni” tevékenységnek.

A konklúzió az tehát, hogy a magánszemély fenti magatartása is az irányadó (cseh) adatvédelmi jogszabály hatálya alá tartozik, annak alapján kell megítélni. 

Az előzetes döntéshozatali eljárásban meghozott ítélet nem azt mondta ki, hogy a magatartás jogellenes, „csak” azt, hogy a magánszemély magatartására alkalmazni kell az irányadó adatvédelmi jogszabályt, mivel annak tárgyi hatálya alá tartozik. A jogosság, jogellenesség kérdését már az irányadó adatvédelmi jogszabály egyéb rendelkezései alapján kell elbírálni.

Érdekli, hogyan iratkozhat fel a Cégkapura? Kattintson!

Az adatvédelmi tudatosság a GDPR életbe lépésével növekedni fog 

Mindezzel arra kívánunk rámutatni, hogy egy hétköznapinak minősülő cselekmény vonatkozásában is felmerülhet az adatvédelmi jog alkalmazásának a kötelezettsége, akár magánszemélyek esetében is. Véleményünk szerint az adatvédelmi tudatosság és felelősség fokozottan kell, hogy érvényesüljön a vállalkozások részéről, mivel esetükben – jellemzően – már fel sem merül az a kérdés, hogy tevékenységük része, vagy egésze az adatvédelmi jog tárgyi hatálya alá tartozik, vagy sem. Esetükben jellemzően azonnal élesben indul a tanúsított magatartás adatvédelmi jogi megfelelőségének a vizsgálata. 

Adatvédelmi blogsorozatunkban arra teszünk kísérletet, hogy érdekes, vitatott megítélésű konkrét esetek rövid bemutatásán keresztül általános jelleggel felhívjuk a figyelmet az adatvédelem egy-egy fontos elemére! Elsősorban (jellemzően) adatkezelőnek minősülő vállalkozások, egyéb szervezetek szemszögéből közelítjük meg az eseteket. 

***

1„Személyes adatkezelés” kivétel megfogalmazása:

a) Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról („Irányelv”),3. cikk (2) Az irányelv nem alkalmazandó […] a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett adatfeldolgozásra.

b) Infotörvény 2. § (4) alapján nem kell alkalmazni a törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.

c)Új adatvédelmi rendelet 2. cikk (1) c) pontja alapján a rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik.

Kapcsolódó bejegyzéseink

Értesüljön az adóváltozásokról

hírlevelünkből!

Feliratkozom
Weboldalunk sütiket használ annak érdekében, hogy személyre szabott és interaktív módon tudjuk megjeleníteni az Ön számára releváns tartalmainkat. A Weboldalunk használatával Ön elfogadja, hogy az oldal sütiket használ. Kérjük, olvassa el Cookies Szabályzatunkat, amelyben további információkat olvashat a sütikről és azt is megtudhatja, hogyan tudja blokkolni vagy törölni őket. Tovább