2021 és a GDPR – Minden egyes videókamera használat jogszerűségét biztosítani kell

A videórögzítést ma már nagyon komolyan kell venni, mivel elvárássá vált az, hogy minden egyes rendszer minden egyes videókamerája esetén biztosítani kell a jogszerűséget – derül ki Antal Tibor, az ATASI TEAM Kft. ügyvezetője, a Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamara adatvédelmi tisztviselőjének a cikkéből. (Mi ezt az írást kötelező olvasmányként írnánk elő a CCTV technikával dolgozó valamennyi szolgáltató és felhasználó számára. A szerk.)Antal Tibor

Az elmúlt évben számos olyan nagy horderejű változás történt, amelyekre senki sem számított. Ezek közé tartozik a pandémia, ami egyrészről az Európai Uniós szabályok alkalmazási nehézségeit mutatta meg, másrészről éppen ehhez kapcsolódóan a videórögzítéssel szembeni ellenérzés erősödését is. Ezt az egyébként sem könnyű helyzetet nehezítette tovább az Európai Bíróság Schrems II ítélete, ami hatályon kívül helyezte az Európai Unió és az Egyesült Államok között a digitális adatok szabad áramlásáról szóló megállapodást. Ennek a következménye az, hogy bár addig sem volt teljes mértékben jogszerű, azóta viszont az Európai Unióban már kifejezetten tiltottá vált például a Gmail és az amerikai vállalkozások által üzemeltetett hírlevélküldő szolgáltatások üzleti vagy szakmai célú alkalmazása.

Ezek az esetek pedig azért érdemelnek kiemelt figyelmet, mivel a Schrems II ítélet eredetileg mindössze egyetlen ember „ellenérzésén” alapult, ám az végül mégis elég volt ahhoz, hogy az Európai Unió és tagállamok, valamint az Egyesült Államok jogalkotói által szentesített megállapodás semmissé váljon. Az egyszerű emberek érdekérvényesítése talán még soha nem volt ilyen erős, ezért most már rájuk is muszáj figyelni. Erre pedig azért fontos felhívni a figyelmet, hiszen a szakmát az alapjaiban megrázó 2019-es Európai Uniós jogharmonizáció és az Európai Adatvédelmi Testületnek a videórögzítésről szóló 3/2019. számú iránymutatásának a megjelenése óta tudható, hogy egyre nehezebb a videórögzítés jogalapjának, jogszerűségének és a tárolási idejének a meghatározása. Erre a problémára mutat rá a Nemzeti Adatvédelmi és Információszabadság Hatóság 2020-as éves beszámolója is, amiben az exponenciálisan növekvő esetszámokat mutatják be (lásd grafikon – forrás: NAIH 2020. évi beszámoló, 8. oldal) és amely kiadványban az alábbiak is szerepelnek:

„A Hatóság tapasztalatai szerint a bírói gyakorlat a kamerás ügyekben egyre fokozódó elvárásokat támaszt az adatkezelőkkel szemben az adatkezelésük jogszerűségének megítélésében. Számítani lehet arra, hogy az adatkezelőknek egyre pontosabb, egyre konkrétabb bizonyítékokkal kell szolgálniuk a kamerás adatkezelésükre vonatkozóan, ami megerősíti a dokumentációs (írásbeli) elvárásokat is. Az adatkezelőknek ezért tanácsként adható, hogy fokozottan ügyeljenek arra, hogy valamennyi adatkezelési tevékenységüket utólag is igazolni tudják.”

Amiből az következik, hogy egyre erőteljesebb az ellenérzés Magyarországon is a videórögzítéssel szemben, az európai jogrendről pedig, amely az intelligens videórögzítő rendszerek betiltásáról már komolyan foglalkozik, arról talán most még szót se ejtsünk. Mindez azonban ezúttal sem jelenti azt, hogy egy tisztességes vállalkozás ne lenne képes arra, hogy ilyen jellegű rendszereket alkalmazzon, azt azonban igen, hogy az eddigi „lazaságnak” egyszer és mindenkorra leáldozott: 2019-től már csak az európai jogrendnek, vagyis az Általános Adatvédelmi Rendeletnek (GDPR) megfelelő videórögzítés fogadható el, ami jelenleg még számos félreértés tárgyát képezi.

Az egyik félreértés abból fakad, hogy ezt az adatvédelmi jogszabályt sokan nem tudják elhelyezni a magyar jogrendben, holott ez nem is olyan nehéz. Ez egy olyan jogszabály, ami a magyar törvények felett áll és ami mindazokra vonatkozik, akik személyes adatokat szeretnének kezelni. A másik klasszikus félreértés az, hogy „rendben, legyen így, de akkor sem kell kapkodni, mert majd elkészítik az ágazati törvényeket, addig pedig ráérünk”, ami egy óriási tévedés. Régebben ugyanis ezekre valóban szükség volt, de éppen azért, mert 1995 környékén még nemhogy az Európai Uniónak nem voltunk a tagjai, hanem még az adatvédelem területén sem voltak kötelező érvényű európai jogszabályok.

Hasonló félreértésekhez szokott vezetni, amikor azzal érvelnek, hogy „az egyik hatóság ezt mondja, a minisztériumok meg azt, a jogászok és a bíróságok megint mást, akkor most kire hallgassunk?” Nos, ez a jól ismert gondolat is egy tévedésen alapul, hiszen ebben a kérdésben az Alkotmánybírság már idestova harminc éve világosan állást foglalt:

„Az Alkotmánybíróság elvi éllel mutat rá arra, hogy a […] minisztériumi, egyéb központi állami szervektől származó, jogi iránymutatást tartalmazó leiratok, körlevelek, iránymutatások, útmutatók, állásfoglalások és egyéb informális jogértelmezések […] Jogbizonytalanságot teremtenek, kiszámíthatatlanná teszik a jogalanyok, a jogalkalmazó szervek magatartását. Bár a bennük foglalt jogértelmezésnek, jogalkalmazási szempontnak semmiféle jogi ereje, kötelező tartalma nincs, miután az államigazgatás központi szervei bocsátják ki, alkalmasak arra, hogy a címzetteket megtévesszék, s a címzettek kötelező előírásként kövessék azokat. […] Mindezekre tekintettel az Alkotmánybíróság megállapította, hogy a Jat. garanciális szabályainak mellőzésével hozott minisztériumi és egyéb központi állami szervektől származó, jogi iránymutatást tartalmazó leiratok, körlevelek, útmutatók, iránymutatások, állásfoglalások és egyéb informális jogértelmezések kiadása sérti az Alkotmány 2. § (1) bekezdését, így az ezekkel való irányítás gyakorlata alkotmányellenes.”

Ezért tudható, hogy kizárólag a jogalkotás alapvető szabályainak megfelelően meghozott jogszabályok számítanak hivatkozási alapnak, amiken kívül leginkább az Európai Unió Alapjogi Chartájára kell különös figyelmet fordítani az adatvédelem területén. A magyar jogszabályok ezért számos esetben már csak példákkal igyekeznek szolgálni a tudnivalókra, de már nem azok határozzák meg az alapvető szabályokat.

Erre jó példa a Személy- és vagyonvédelmi, valamint a magánnyomozói tevékenységet szabályozó 2005. évi CXXXIII. törvényben megmaradt kitétel(7), amely szerint „nem alkalmazható elektronikus megfigyelőrendszer olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen öltözőben, próbafülkében, mosdóban, illemhelyen, kórházi szobában és szociális intézmény lakóhelyiségében.” Ez a jogszabályi hely ugyanis már felesleges, hiszen az Alapjogi Charta első cikke éppen azt mondja ki, hogy az emberi méltóság sérthetetlen, vagyis nem a helyiségek funkciója, hanem az érintett természetes személyek helyzete határozza meg azt, hogy hol, mikor és milyen tevékenységeket lehet folytatni. Ezért kell ezt a jogszabályi helyet is abban az értelemben alkalmazni a gyakorlatban, miszerint például egy épülő iskola „öltözőként” nevesített helyiségének a megfigyelése az építkezés ideje alatt jogszerű lehet, hiszen abban akkor még nem öltöznek, miközben egy iskolában a folyosó megfigyelése is tilos, ha szükségből ott is öltöznek a gyermekek. Hasonlóképpen anakronisztikus már ugyanezen paragrafus második bekezdése is, ami szerint „a vagyonőr elektronikus megfigyelőrendszert kizárólag magánterületen alkalmazhat”, hiszen a közterület videórögzítéssel történő megfigyelése az erre feljogosított állami szervezeteken és hatóságokon kívül mindig is egy tiltott tevékenység volt.

Ezekből következik, hogy teljesen hibás érvelés az, miszerint a rendőrség „mennyire hálás” azért, ha elkérheti a közterületről készült videófelvételeket. Ők ugyanis bármilyen bizonyíték begyűjtésére jogosultak, hiszen a feladatuk a nyomozás, aminek a keretében még nem feltétlenül szükséges annak a vizsgálata, hogy a videófelétel jogszerűen készült-e el. Éppen ezért ők jogszerűen járnak el akkor, amikor ezeket az eszközöket is felhasználják a nyomozás érdekében. Ezzel szemben a bíróságoknak már kötelessége a jogszerűség vizsgálata, hiszen annak hiányában a videófelvételeket alapértelmezetten ki kell zárniuk a bizonyítékok közül. Jól látható tehát, hogy nem csak az adatvédelmi jog miatt minősülnek kockázatosak ezek a felvételek, hanem azért is, mert azok egyre inkább válnak haszontalanná a vádemelés során.

Videórögzítés grafikon

A világ megváltozott, a régi nem fog visszatérni. Aki alkalmazkodik az új szabályokhoz, az előbb vagy utóbb számottevő piacot fog szerezni. Aki viszont nem, azon inkább előbb, mint utóbb számon fogják kérni az általa tervezett, kiépített vagy üzemeltetett rendszerek jogszerűtlenségét. Ma már nem lehet és nem is szabad az adatvédelmi joghoz való hozzáértés nélkül, szabályzat nélkül vagy éppen olyan szabályzattal videórögzítést tervezni, telepíteni vagy alkalmazni, ami a jogszabályok szövegeit ismétli meg szolgai módon, vagy olyannal, ami túl általános, de legfőképpen olyannal nem, ami esetleg néhány szót ejt az adatbiztonságról, miközben egyetlen szót sem szól az adatvédelemről, az érintettek jogairól.

Ezek a hibák és hiányosságok vezetnek el ugyanis egyre gyakrabban az egyre magasabb összegű adatvédelmi bírságokhoz, és többnyire éppen azért, mivel a videórögzítést alkalmazó vállalkozások nemhogy az érintettek jogait nem tartják tiszteletben, hanem egyszerűen szólva – szabályzat ide, szabályzat oda – de fogalmuk sincs azokról. Ilyen felkészületlenül azonban az Európai Unióban már évek óta nem lehet az érintettek adatait kezelni. Ennek az állításnak a bizonyítása érdekében nézzünk most szembe így egymás között – remélem, hogy már csak – egykori önmagunkkal:

Mindenki tisztában van azzal, hogy az Szvmt. 2019 előtt is csak a „vagyonvédelem” címszóval tette volna lehetővé a videórögzítés alkalmazását mindösszesen három munkanap megőrzési idővel, de pusztán ennek a két egyszerű feltételnek sem tett szinte egyetlen videórögzítő rendszer sem eleget. Ezért is vonult be a köznyelvbe a régi jogszabály abban a formában, hogy „azt csinálok, amit akarok, ha rámutatok az Szvmt.-re” vagy úgy, hogy esetleg nagy duzzogva készíttetek egy „érdekmérlegelési tesztet” is, amit majd jól aláírattatok a munkavállalókkal, és akkor már tényleg minden rendben lesz.

Nos, ez éppen az a logika, ami soha nem volt igaz. Ezeket a megoldásokat szokta ugyanis a NAIH már 2018 előtt is akár 1 millió forintos bírsággal honorálni, tehát ez a fajta gondolatmenet már akkoriban sem volt elfogadható, a GDPR hatályba lépése óta pedig végképp nem alkalmazható. Ezzel szemben a valóság éppen az, hogy a GDPR végre azt tette lehetővé, hogy a valóban indokolható és a valóban videókamerára lebontott videórögzítő rendszerek akár több hetes, vagy akár több célból történő videórögzítést is lehetővé tegyenek.

Vagyis az igazság egyszerűen az, hogy minden ellenkező híresztelés dacára végre megvalósult az, amit a szakma mindig is szeretett volna, ezért most az a feladat, hogy elsősorban el kell engedni a régi rossz megszokásokat, másodsorban pedig meg kell tanulni az új szabályokat, vagy el kell kezdeni alkalmazni a meglévő és bárki számára elérhető megoldásokat.

Forrás: Antal Tibor, Biztonságpiac évkönyv 2021

Kapcsolódó cikkek: