2019. május 23-án az adatvédelmi hatóság (NAIH) a Sziget Zrt-t 30 millió forintos adatvédelmi bírsággal sújtotta, mert nem tartotta be az adatvédelmi jogszabályokban előírtakat – olvasható a NAIH oldalán közzétett határozatban.

Adatvédelmi jogsértések; vizsgált időszak

A határozatból kiderül, hogy a megbírságolt vállalkozás az első vizsgál időszakban (GDPR hatályba lépése előtt) 2016. június 1. napjától 2018. május 24. napjáig terjedő időszakban szervezett rendezvényeken alkalmazott beléptetési gyakorlat során megvalósított adatkezelés jogellenességét abban a tekintetben, hogy a Sziget Zrt. által az adatkezelés

A másik vizsgálat időszakban, vagyis a 2018. május 25-ét követően (GDPR hatályba lépése utáni időszak) az alábbi jogellenességeket tárta fel a hatóság

  • az adatkezelés nem megfelelő joglap szerint történt,
  • a célhoz kötöttség és az adattakarékosság elveinek megsértésével kezelte az érintettek személyes adatait.

Személyi igazolvány szkennelése; túl sok adat kérése

- hirdetés -

A hatósághoz beérkezett panaszok alapján a VOLT fesztiválon alkalmazták azt a gyakorlatot a beléptetés során a szervezők, hogy az érintett fesztiválozók személyi igazolványait beszkennelték, továbbá nem tájékoztatták őket az adatkezelés körülményeiről. Nem kaptak arról sem tájékoztatást, hogy az így megszerzett adatokat milyen célból és mennyi ideig kezelik és azt mire használják fel.

A megbírságolt cég jogelődje a vizsgált időszakban (GDPR hatályba lépés előtti időszak) hatályos adatkezelési tájékoztatója alapján a cég a jegyvásárlástól elkülönült adatkezelésként jelölte meg a beléptetési folyamat során történő adatkezelést, melynek során a személyazonosító okmányban az érintettről rögzített alábbi adatokat olvasta le, rögzítette és tárolta: állampolgárság, név, okmány típusa, száma, lejárata, születési dátum, nem. Ezzel egyidejűleg az érintettről kép- és hangfelvétel készült, melyet szintén “rögzített, tárolt és kezelt” a vállalkozás.

A vállalkozás adatkezelési tájékoztatójában az is olvasható volt, hogy az adatkezelés az érintett hozzájárulásán alapult, amelyet a fesztiválozók  vásárlói regisztráció során a regisztrációs feltételek elfogadásával, míg a beléptetési folyamat során történő
azonosításnál az abban való részvétellel adnak meg”.

A terrorizmus és a jegyüzérkedés elleni harcra hivatkozott a megbírságolt vállalkozás

A vállalkozás a személyi igazolványok beszkennelésének gyakorlatát azzal indokolta, hogy a nagy létszámú rendezvények terrorfenyegetettsége magasabb, mint más rendezvényeké, mely fokozottabb körültekintést igényel mind a szervezők részéről, mind nagyobb feladatot jelent akár a TEK számára is a terrorizmus elleni, törvényben meghatározott feladataik
végrehajtása során.

Azonban a hatósági vizsgálat alapján kiderült, hogy a vállalkozás nem kapott a bűnüldöző szervektől veszélyes személyekre vonatkozó listát.

bírság

Az adatvédelmi hatóság a vállalkozást 30 millió forintos adatvédelmi bírsággal sújtotta, de csak a GDPR hatályba lépése utáni időszakot vette figyelembe. Az az előtti időszakot nem, mert figyelembe vette az azóta eltelt időt.

Kép forrása: danny howe