[:en]The recent European Data Protection Board guidelines on the processing of personal data by video means, similar to the recent amendment of the Hungarian Personal and Property Protection Act, make it clear that the GDPR cannot in principle be subject to the consent of data subjects (in particular non-referral behavior), past practice needs to be reviewed on several points.

Practical areas for the 6-point review test are as follows.

1. The Guidelines generally point out that personal home use (such as monitoring of a private garden as an individual) as an exception to which the GDPR does not apply, shall be considered only as a strictly limited exception and shall be reviewed and revised from time to time.

2. The Guidelines also explicitly point out that, for the purposes of the lawfulness of camerawork, objectives must be documented and defined on the one hand, and on the one hand, and that, in theory, any GDPR legal basis may arise, but in practice the use of a legal basis for data processing necessary for the exercise of a legitimate interest or a right in the public interest or in the exercise of official authority is most likely to be possible; the use of a consenting legal basis is possible only in exceptional circumstances.

3. In particular, in accordance with the application of a legitimate interest legal basis, the Guidelines draw attention to the fact that, in order to be valid, a legitimate interest legal basis must always be subject to a weighing test and that public authorities may not rely on that legal basis in the performance of their duties.

When conducting a weighing of interests, the guidelines state, inter alia, that the interest must be a genuine interest, that is to say, not speculative or fictitious, such that the existing interest may be justified by previous specific damage or serious accidents or even statistics (for example, high burglaries), which, however, must be documented in accordance with the principle of accountability.

In addition, it is important to consider the need for data management in the context of interest balancing, in which case the principle of data saving must be respected, ie in all cases the interest of data management must be assessed as to whether the planned data management is appropriate, appropriate and necessary from the viewpoint of the purpose and the processing of the data can only be lawfully carried out if it is not possible to achieve the purpose reasonably by a less restrictive means.

Thus, for example, it should be examined, if appropriate, whether the security objective cannot be achieved by fencing, guarding, better lighting, locks, etc., ie, by means of non-data-processing devices instead of cameras.

However, even if there is no other appropriate instrument, the guidelines state that surveillance can generally be applied up to the boundaries of a given area, and this can only be extended in a specific case and for good reason, technical or physical means should be provided to block surveillance.

In addition to the above, the fundamental rights and interests of the data subjects must always be considered in the weighing up of interests, and monitoring can only be applied if a legitimate interest overrides them.

4. The Guidelines also emphasize that the transmission of recordings is always considered to be a separate form of data processing which also requires an appropriate legal basis, which may or may not be the same as the legal basis for the recording.

For example, the transmission of a recording may be for the purpose of law enforcement, which may be based on a legitimate interest (for example, there is no legal action pending and the controller intends to do so) or the legal basis for the transfer may be legal (eg authority recordings).

5. Finally, it is important to underline that the Guideline also contains some novelties with regard to the obligation to provide information on camera surveillance, which is somewhat chiselled.

Thus, the obligation to provide information is recommended in two steps, firstly by placing a pictogram / warning sign in a clearly visible and legible form, which is essentially recommended for minimal information, ie: identity of the controller, contact information, purpose and legal basis of data management rights and detailed information on data management and its availability.

In addition to these minimum data, it is recommended that the pictogram contains data which cannot be expected by the data subjects, such as a general retention period of more than three days (which must also be justified and justified in all cases), possible transfer outside the EU, etc.

In the second step, detailed information is also needed, which information should be easily accessible (for example, at a reception, checkout or easily accessible location) and which should be referred to in the pictogram.

6. It is also important for data controllers to pay particular attention to taking appropriate data security measures (both organizational and technical, such as the application of internal policies and appropriate IT standards) and, if necessary, to conduct an impact assessment of the planned monitoring. .

It is therefore necessary for data controllers to review their past practice of camera surveillance along the lines of point 6 above, to consider an appropriate legal basis and, in the case of data protection based on legitimate interest, to produce a written interest weighing test appropriate to the validity of the legal basis.[:hu]Az Európai Adatvédelmi Testületnek a videó eszközökkel történő személyes adatok kezelésére vonatkozó legújabb iránymutatásában foglaltak – hasonlóan a magyar személy- és vagyonvédelmi törvény nemrég történt módosításában foglaltakhoz – egyértelművé teszik, hogy a GDPR-ra tekintettel alapvetően nem lehet a kamerás megfigyelések tekintetében az érinettek hozzájárulására (különösen nem ráutaló magatartáson alapuló hozzájárulására) támaszkodni, az ezzel kapcsolatos korábbi gyakorlatot több ponton felül kell vizsgálni.

A 6 pontos felülvizsgálati teszt gyakorlati területei a következők.

1. Az iránymutatás általánosságban felhívja a figyelmet arra, hogy a személyes, otthoni használat (mint például saját kert magánszemélyként történő monitorozása), mint azon kivétel, amely tekintetében a GDPR nem alkalmazandó, kizárólag szűken értelmezendő kivételként tekinthető és esetről esetre meg- és felülvizsgálandó.

2. Az iránymutatás továbbá kifejezetten felhívja a figyelmet arra is, hogy a kamerázás jogszerűségéhez a célokat egyrészről írásban, másrészről kameránkét külön-külön szükséges dokumentálni, illetve meghatározni, továbbá arra is, hogy bár elméletileg bármelyik GDPR szerinti jogalap alkalmazása felmerülhet, a gyakorlatban mégis jellemzően a jogos érdek, vagy a közérdekű, vagy közhatalmi jogosítvány gyakorlásához szükséges adatkezelési jogalap alkalmazási lehetősége a legvalószínűbb, a hozzájárulásos jogalap alkalmazása csak kivételes helyzetben képzelhető el.

3. Az iránymutatás konkrétan a jogos érdek jogalap alkalmazása tekintetében összhangban felhívja a figyelmet arra, hogy jogos érdek jogalap érvényességéhez minden esetben érdekmérlegelési tesztet kell végezni, illetve arra is, hogy közhatalmi szervek feladataik ellátása körében erre a jogalapra nem hivatkozhatnak.

Az érdekmérlegelés elvégzése körében az iránymutatás többek között azt rögzíti, hogy az érdeknek valóban létező érdeknek kell lennie, azaz nem lehet spekulatív vagy fiktív, így például a létező érdeket igazolhatják korábbi konkrét károk vagy súlyos balesetek vagy akár statisztikák is (például egy adott környéken statisztikai értelemben magas a betörések száma), melyeknek ugyanakkor az elszámoltathatósági elvre figyelemmel dokumentáltnak kell lenniük.

Ezen túlmenően fontos és az érdekmérlegelés keretében vizsgálandó az is, hogy az adatkezelésnek szükségesnek is kell lennie, melynek kapcsán az adattakarékosság elvét is be kell tartani, azaz minden esetben az érdekmérlegelés keretében vizsgálandó az is, hogy a tervezett adatkezelés alkalmas, megfelelő és szükséges-e a cél szempontjából és az adatkezelést csak akkor lehet jogszerűen végrehajtani, ha kevésbé korlátozó eszközzel nem lehetséges az adott célt észszerűen megvalósítani.

Így például adott esetben vizsgálandó, hogy nem lehet-e a vagyonvédelmi célt kerítéssel, őrrel, jobb világítással, zárakkal stb., azaz adatkezeléssel nem járó eszközökkel a kamerázás helyett megvalósítani.

Abban az esetben is ugyanakkor, ha nincs más megfelelő eszköz fontos, hogy az iránymutatás szerint általánosságban az adott terület határáig lehet a megfigyelést alkalmazni, ezen csak speciális esetben és megfelelő indokkal lehet túlterjeszkedni, a nem szükséges területek megfigyelésének blokkolásáról technikai vagy fizikai eszközökkel gondoskodni kell.

A fentieken túl továbbá az érdekmérlegelés keretében minden esetben vizsgálandók az érintettek alapvető jogai, érdekei és csak akkor alkalmazható a megfigyelés, ha a jogos érdek ezeket felülírja.

4. Kiemeli az iránymutatás azt is, hogy a felvételek továbbítása minden esetben külön adatkezelés fajtának minősül, amelyhez szintén megfelelő jogalap szükséges, mely adott esetben megegyezhet, de el is térhet a felvétel készítésének jogalapjával.

Így például lehet a felvétel továbbításának célja jogérvényesítés, mely adott esetben alapulhat jogos érdeken (például még nincs folyamatban jogi eljárás és az adatkezelő azt kíván kezdeményezni), de lehet az adattovábbítás jogalapja jogszabályi kötelezettség teljesítése is (így például, amikor egy folyamatban lévő büntetőeljárásban kéri ki a hatóság a felvételeket).

5. Végezetül fontos kiemelni, hogy a korábbi gyakorlatot némileg cizellálva a kamerás megfigyeléssel kapcsolatos tájékoztatási kötelezettség tekintetében is tartalmaz újdonságokat az iránymutatás.

Ezek szerint a tájékoztatási kötelezettség teljesítése két lépésben ajánlott, első lépésben egy piktogram/figyelmeztető jelzés jól látszódó és olvasható elhelyezésével, melyen alapvetően minimális adatok elhelyezése javasolt, azaz: az adatkezelő személye, a kapcsolati információk, az adatkezelés célja és jogalapja, továbbá utalás az érintetti jogokra és a részletes adatkezelési tájékoztatóra és annak elérhetőségére.

Ezen minimális adatokon felül a piktogramon javasolt feltüntetni azon adatokat, amelyekre az érintettek nem számíthatnak, így például az általános három napnál hosszabb megőrzési idő (melyet minden esetben szintén meg kell tudni indokolni és érdekmérlegeléssel alátámasztani), EU-n kívüli esetleges adattovábbítás stb.

Második lépésben pedig a részletes tájékoztatásra is szükség van, mely tájékoztató könnyen hozzáférhető kell, hogy legyen (például recepción, pénztárnál vagy könnyen elérhető helyen történő kiragasztás) és melyre a piktogramon javasolt utalni.

6. Fontos továbbá az adatkezelőknek kiemelt figyelmet fordítani arra is, hogy megtegyék a megfelelő adatbiztonsági intézkedéseket (szervezési és technikai intézkedéseket egyaránt, így például belső szabályzatok és megfelelő IT standard-ek alkalmazása), továbbá amennyiben szükséges, úgy hatásvizsgálatot is készítsenek a tervezett megfigyelés tekintetében.

Szükséges tehát az adatkezelőknek a kamerás megfigyelésekkel kapcsolatos korábbi gyakorlatukat a fenti 6 pont mentén felülvizsgálni, megfelelő jogalapot mérlegelni és jogos érdeken alapuló adatkezelés esetében a fentieket is figyelembe véve a jogalap érvényességéhez megfelelő írásos érdekmérlegelési tesztet készíteni.[:]

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük