A cikk eredetileg a media1.hu-n jelent meg.
A 30 millió forint összegű bírságot az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény és a 2018 májusában életbe lépett GDPR rendelet megsértése miatt rótta ki a Péterfalvy Attila vezette Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a Sziget és a VOLT Fesztiválokat szervező Sziget Kulturális Menedzser Iroda Zrt.-t – tudta meg a Media1.
A Media1 információi szerint az adatvédelmi hatóság a Sziget Zrt. által 2016-tól 2018. május 24-ig, majd 2018. május 25. után időpontokra szervezett különféle rendezvényein, fesztiváljain alkalmazott adatkezelési, illetve beléptetési gyakorlattal kapcsolatban állapított meg jogsértéseket.
A NAIH megállapítása szerint a Sziget Zrt. által 2016. június 1-től 2018. május 24-igterjedő időszakban szervezett rendezvényeken alkalmazott beléptetési gyakorlat során megvalósított adatkezelés során az adatkezelés nem megfelelő jogalap alapján történt, nem felelt meg a célhoz kötöttség elvének, továbbá az érintettek nem kaptak megfelelő előzetes tájékoztatást. A NAIH szerint továbbá a cég által 2018. május 25. napját követőenszervezett rendezvényeken nem megfelelő jogalap alapján, illetve a célhoz kötöttség és az adattakarékosság elveinek megsértésével kezelte az érintettek személyes adatait.
Eleinte szkenneléséhez és hozzájáruláshoz kötötték a beléptetést, később túl sok adatot kértek el
A már a hatóság honlapjára is felkerült határozat szövege alapján az eljárás azután indult, hogy panaszosok 2016-ban sérelmezték a vállalkozás rendezvényein a beléptetésnél alkalmazott gyakorlatot, melynek során beszkennelték a vendégek személyi igazolványát, továbbá azt, hogy nem tájékoztatták megfelelően az érintetteket az adatkezelés körülményeiről, így arról, hogy milyen célból és mennyi ideig kezelik a személyi igazolványokról készített másolatot, azt mire használják fel, illetve megtagadhatták a beléptetést, ha valaki nem járult hozzá az igazolványa szkenneléséhez.
Később pedig, a GDPR rendelet 2018. május 25-i hatálya lépését követően a beléptetéskor jogos érdek alapján 6 adatot is elkértek a beléptetéshez.
A Sziget Zrt. terrorizmus és a jegyüzérkedési elleni harcra hivatkozott
A Sziget az igazolványok ellenőrzésekor többek között terrorizmus elleni harcra és jegyüzérkedés megakadályozására hivatkozott..
A NAIH vizsgálata során azonban az derült ki, hogy a Sziget nem is kapott bűnüldöző szervektől listákat veszélyes személyekről, illetve a cégnél biztonsági szempontból érdektelen adatokat is rögzítettek, hiszen a veszélyes emberek kiszűréséhez elegendő lett volna kevesebb adatot (csak a nevet és a fotót) elkérni a fesztivál vendégeitől.
A hatóság a 30 millió forint összegű bírság kiszabása és az erről rendelkező határozat nyilvánosságra hozatala mellett elrendelte, hogy a Sziget Zrt. az adatkezelési gyakorlatát hozza összhangba az általános adatvédelmi rendelet szabályaival.
A 30 millió forint összegű bírságot egyébként csak a 2018. május 25., azaz a GDPR rendelet hatálya lépése utáni időszakra rótta ki a NAIH, a korábbi időszakban történt jogsértések esetében a hatóság a további bírság kiszabásától eltekintett, tekintettel többek között az azóta eltelt időre.
Frissítés: A Sziget Zrt. nem ért egyet a Nemzeti Adatvédelmi és Információbiztonság Hatóság határozatában foglaltakkal, ezért a megadott határidőn belül bírósági felülvizsgálatot kezdeményez.
A cég a Media1-nek eljuttatott közleményében úgy véli, hogy "a fesztiválokon történő check-in adatvédelmi szempontból nem különbözik a futball stadionok beléptetésétől vagy a szállodák, légitársaságok check-in folyamatától, ezért nem tudjuk elfogadni a NAIH érveit.”
„Az általunk bevezetett belépés előtti ellenőrzés a biztonsági fejlesztéseink egyik évek óta jól működő és a szakhatóságok által is elismert alapeleme. Az adatokat minden érintett rendezvényt követő 72 órán belül töröltük, marketing célokra nem, csupán a vendégek beazonosítására használtuk, hogy az esetlegesen biztonsági kockázatot jelentő személyeket kiszűrhessük.”
