2021. decemberi 9-i határozatában az ír adatvédelmi hatóság („Data Protection Commission” – „Hatóság”) 110 ezer euró (hozzávetőlegesen 42 millió forint) mértékű bírságot szabott ki a Limerick városi és megyei tanács („Limerick City and County Council” – „Tanács”) által megvalósítani kívánt „Smart CCTV projekt” során végzett adatkezelés hiányosságaival kapcsolatban.
Az okosváros projekt során elhelyezett 401 kamera elsődleges célja a bűncselekmények megelőzése, megakadályozása, felderítése és üldözése volt, segítségükkel azonban a gyalogos- és autósforgalom irányítása (és optimalizálása) szempontjából fontos, közel valós idejű statisztikai adatokat is gyűjtöttek. Ezen túlmenően, a kamerák felhasználása útján online streaming szolgáltatás nyújtásával népszerűsítették volna a turisztikai eseményeket (fesztiválok, piacok, felvonulások stb.) a nemzetközi közönség számára, az illegális szemétlerakással és vízszennyezéssel megvalósított bűncselekmények észlelésére és felderítésére pedig két drónt használtak.
Tekintettel arra, hogy az önkormányzatok által üzemeltetett kamerarendszerek adatvédelmi megfelelőségét a Nemzeti Adatvédelmi és Információszabadság Hatóság is nemrég szigorú szempontok alapján vizsgálta, valamint arra, hogy a Digitális Jólét Program 2.0.-ban is külön hangsúllyal szerepel az Okos Város – Smart City fejlesztések témaköre, fontosnak tartjuk összefoglalni az ír hatóság határozatának rendelkezéseit, mert hasznos tanulságokat tartalmaz a hasonló projektek fejlesztői számára.
1. A jogszerűség, tisztességes eljárás és átláthatóság alapelvének megsértése
A Tanács a forgalomirányítási célból használt kamerák által gyűjtött személyes adatok kezelésének jogalapjaként a GDPR 6 (1) e) cikkét jelölte meg. A Hatóság azonban rávilágított, hogy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelésnek uniós vagy tagállami jogszabályon kell alapulnia. A Tanács által hivatkozott jogszabályhelyek egyike sem adott kifejezett felhatalmazást a kamerák forgalomirányítási célú használatára, valamint a nem bűnmegelőzési vagy bűnüldözési célokra felszerelt kamerák képeinek a rendőrkapitányság részére történő valós idejű továbbítására.
2. Megfelelő tájékoztatás elmulasztása
Az Európai Adatvédelmi Testületnek („European Data Protection Board” – „EDPB”) a személyes adatok videoeszközökkel történő kezeléséről szóló 3/2019. számú iránymutatása („Iránymutatás”) alapján a Hatóság kiemelte, hogy az adatkezelési tájékoztató „első rétegét” (vagyis a kamerák működésével kapcsolatos figyelemfelhívó táblát) a megfigyelés helyétől ésszerű távolságban kell elhelyezni. A Tanács azonban a megfigyelt területek környékén egyáltalán nem helyezett ki a GDPR 12. és 13. cikkei által előírt adatkezelési tájékoztatókat, és weboldalán sem volt elérhető részletes adatvédelmi tájékoztató (csak egy hiányos tervezet).
A Tanács a forgalomirányítási célból kihelyezett kamerák által gyűjtött személyes adatok rendőrkapitányságra történő továbbításával megsértette a GDPR-nak az eltérő célból történő további adatkezelés szabályairól rendelkező 13. cikkének (3) alpontját is, ugyanis a kamerák által gyűjtött személyes adatok további, bűnmegelőzési vagy bűnüldözési célra történő felhasználásáról sem tájékoztatta az érintetteket.
3. Megfelelő adatbiztonsági intézkedések hiánya
Sem a városházán, sem a rendőrkapitányságon nem alkalmaztak megfelelő, a GDPR 32. cikke által előírt technikai és szervezési intézkedéseket. A rendőrkapitányságon az adatokhoz hozzáférést igénylők személyét nem naplózták megfelelően, és a felhasználók minden alkalommal az egységes „Garda” felhasználónévvel léptek be a rendszerbe. A belső hozzáférési igények egyedi indokait egyáltalán nem tartották nyilván, a kamerák által továbbított valós idejű képet elemző helyiségbe pedig bárki beláthatott, aki a folyosón elhaladt. További hiányosságként értékelte a Hatóság, hogy sem a városházán, sem a rendőrkapitányságon nem volt figyelmeztetés elhelyezve, amely megtiltotta volna a személyzetnek és a látogatóknak, hogy személyes elektronikai eszközeikkel rögzítsék a képernyőkön megjelenő képeket. A vizsgálat azt is megállapította, hogy a megfigyelőhelyiségekben való tartózkodás során a Tanács alkalmazottai vagy megbízottai számára irányadó szabályokat nem rögzítette külön belső szabályzat.
4. Az érintettek hozzáférési kérelmeinek elutasítása
A városházán működő forgalomirányítási egység („Traffic Management Unit”) a GDPR 15. cikke alapján számos adathozzáférési kérelmet kapott az érintettektől. Bár a forgalomirányítási egységnek volt adatvédelmi tisztviselője, a hozzáférési kérelmek többsége nem jutott el hozzá, az egység vezetője ugyanis a beérkező hozzáférési kérelmeket általában automatikusan elutasította, mivel nem ismerte a GDPR-nak az érintettek hozzáférési jogával kapcsolatos előírásait.
5. A drónokkal kapcsolatos hiányosságok
Az illegális szemétlerakással és vízszennyezéssel megvalósított bűncselekmények észlelése és felderítése körében használt drónok széles mozgásterülettel rendelkező mobil eszközök, amelyek képesek természetes személyek magasból történő rögzítésére vagy fényképezésére. A Hatóság értékelése alapján az ilyen technológia természeténél fogva magas kockázatot jelent az egyének jogaira és szabadságaira nézve, így a GDPR 35. cikke alapján indokolt lett volna az adatvédelmi hatásvizsgálat elvégzése. A Tanács nem tette továbbá elérhetővé az érintettek számára az adatkezeléssel kapcsolatos információkat, pedig ezt könnyedén megtehette volna a weboldalán.
6. Adatvédelmi hatásvizsgálat elmulasztása a kamerarendszerrel kapcsolatban
A drónokhoz hasonlóan a folyamatos megfigyelést biztosító kamerarendszer vonatkozásában is jogsértésként értékelte a Hatóság az adatvédelmi hatásvizsgálat hiányát. A természetes személyek jogaira és szabadságaira nézve valószínűsíthetően magas kockázat a GDPR 35. cikke alapján e körben is indokolttá tette volna a kockázatok vizsgálatát, valamint kezelésük céljából tervezett intézkedések részletezését. A hatásvizsgálatban a Tanácsnak bizonyítania kellett volna, hogy a magántulajdonban levő ingatlanok folyamatos megfigyelés alatt tartása valóban arányos. A Hatóság egyébként elfogadhatóbbnak találta volna a kamerák képének folyamatos megfigyelése helyett az utólagos visszanézést, vagy a valós idejű megfigyelés olyan esetkörökre korlátozását, mikor megfelelő bizonyíték alapján megállapítható, hogy a bűnelkövetés esélye magasabb.
7. Adatmegőrzési időszak
Az egyik megfigyelő egységénél a tárolt személyes adatok csak akkor kerültek törlésre, mikor a merevlemez betelt és az új adatok felülírták a régieket. A Hatóság értékelése szerint ez lényegében egy véletlenszerű adatmegőrzési időszak, és nem is felel meg az egység adatmegőrzési szabályzatában előírt 30 napos időszaknak.
8. Adatfeldolgozási szerződés
A Tanács által a „Smart CCTV projekttel” kapcsolatban kötött adatfeldolgozási szerződés több szempontból is hiányos volt. Először is nem tartalmazott részletes információkat a megfigyelés természetéről, különösen annak folyamatos és valós idejű jellegéről. A szerződést még a GDPR előtt kötötték, és azóta sem frissítették a GDPR 28. cikkének megfelelően. Végezetül, az adatfeldolgozó a Tanács előzetes hozzájárulása nélkül további adatfeldolgozót vett igénybe. A Hatóság összegzése szerint az adatfeldolgozási szerződés részletességének hiánya jelentős bizonytalanságot okozott annak gyakorlati végrehajtásával kapcsolatban, és jelentős veszélynek tette ki az érintettek személyes adatait.
A cikk létrejöttében Bálint János segített.
