30 millióra büntették a Sziget és a VOLT szervezőjét

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) megállapította, hogy a Sziget és a VOLT fesztivált is szervező Sziget Kulturális Menedzser Iroda Zrt. éveken át jogszerűtlenül kezelte a fesztiválozók adatait a beléptetéskor, ezért 30 millió forintos adatvédelmi bírságot szabott ki a cégre – derül ki a május 23-i dátumozású, de a hatóság honlapjára csak csütörtökön felkerült határozatból (pdf), amelyről a Media1 számolt be először.

A NAIH 2016 júniusától napjainkig vizsgálta a cég adatkezelési gyakorlatát, de ezt az időszakot kettébontva értékelték, hiszen időközben életbe lépett az európai unió általános adatvédelmi rendelete (GDPR). A határozat szerint így a szervezők 2016. június 1. és 2018. május 24. között az Infotörvényt sértették meg azzal, hogy

• nem megfelelő jogalap alapján kezelték az adatokat,
• az adatkezelés nem felelt meg a célhoz kötöttség elvének,
• az érintettek nem kaptak megfelelő előzetes tájékoztatást az adataik kezeléséről.

Május 25-től pedig abban vétkeztek, hogy

• nem megfelelő jogalap alapján folyt az adatkezelés, illetve
• sérült a célhoz kötöttség és az adattakarékosság elve.

A NAIH ezért egyrészt elrendeli, hogy a beléptetéskor gyakorolt adatkezelést a cég hozza összhangba a GDPR-ral, másrészt a már a GDPR ideje alatt tanúsított jogsértésekért 30 millió forintos bírságot szabott ki.

A NAIH-hoz a 2016-os VOLT fesztivállal kapcsolatban érkeztek bejelentések, amelyben a fesztiválozók azt kifogásolták, hogy a szervezők beszkennelik a személyi igazolványukat, illetve hogy ezzel kapcsolatban nem kapnak megfelelő tájékoztatást, hogy erre mi szükség van és az így begyűjtött személyes adatokat mennyi ideig szándékoznak kezelni.

Ahogy a Media1 is kiemeli, a Sziget Zrt. elsősorban a terrorizmus és a jegyüzérkedés elleni fellépésre hivatkozott, de a NAIH szerint ehhez kevesebb adat begyűjtése is elegendő lett volna.

Frissítés

Cikkünk megjelenése után a Sziget Kulturális Menedzser Iroda is reagált a NAIH határozatára.

A Nemzeti Adatvédelmi és Információbiztonság Hatóság határozatában foglaltakkal nem értünk egyet, és a megadott határidőn belül bírósági felülvizsgálatot kezdeményezünk. Álláspontunk szerint, miután nincs az ágazatban speciális és kötelező szabályozás, a potenciális biztonsági problémákat különbözőképpen lehet értelmezni. A fesztiválokon történő "check-in" adatvédelmi szempontból nem különbözik a futballstadionok beléptetésétől vagy a szállodák, légitársaságok check-in folyamatától, ezért nem tudjuk elfogadni a NAIH érveit

– írja közleményében a cég.

"Az általunk bevezetett belépés előtti ellenőrzés a biztonsági fejlesztéseink egyik évek óta jól működő és a szakhatóságok által is elismert alapeleme. Az adatokat minden érintett rendezvényt követő 72 órán belül töröltük, marketing célokra nem, csupán a vendégek beazonosítására használtuk, hogy az esetlegesen biztonsági kockázatot jelentő személyeket kiszűrhessük. Hónapokkal ezelőtt kezdeményeztük, hogy olyan jogszabályok szabályozzák ezt a területet, amely a nagy rendezvényeken, de legalábbis a kiemelten magas létszámú fesztiválokon pontosan megszabják, hogyan és miként lehet beazonosítani a vendégeket a biztonság érdekében, mert úgy gondoljuk, hogy a beléptetésnél használt check-in nélkül egy lényegesen magasabb biztonsági kockázatot kell menedzselnünk, és minimum meglepőnek tartjuk, hogy sem a NAIH, sem a jogalkotás ezt a szempontot nem veszi figyelembe" – zárul a közlemény.