Kisboltok, nagyáruházak, bankok, társasházak és hivatalok sorra telepítik a kamerarendszereket, sőt már a buszokon és vonatokon is találkozhatunk kamerákkal. Figyelik az utasokat, az ügyfeleket, ellenőrzik a dolgozókat. Mivel ezen eljárás sokszor tájékoztatás nélkül, illetve jogtalanul történik, a kamerás megfigyelések és a munkahelyi adatkezelési problémák miatt az érintettek gyakran fordulnak a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH), és tesznek feljelentést a cég ellen. Kulcsár Zoltán adatvédelmi szakjogász, informatikus mérnök néhány témába vágó kérdésre adja meg a választ.
Kulcsár Zoltán: A kamerarendszerek üzemeltetése kapcsán két érdek merül fel: az adott cég, szervezet vagyonvédelme és a személyes adatok védelme. E két érdek jellemzően ütközik egymással, és a tapasztalatok szerint az érdekellentétet nem mindig sikerül jól feloldani. Biztos nem megfelelő, ha a cég az első akciós kamerarendszert megvásárolja és felszereli. Ilyenkor többnyire minden félresiklik. Ha például egy boltról van szó, nem működik jól a rendszer, nem csökken a lopások száma, a dolgozók és a vásárlók mérgesek lesznek, ráadásul a NAIH is bírságot vethet ki. Egy dohánybolt például IP kamerákkal, rögzítés és naplózás nélkül, egy mobilappon keresztül figyelte a dolgozóit és a vásárlókat, akiket erről nem tájékoztatott. A NAIH 1 millió forintos bírságot szabott ki a dohányboltra. Ez tehát a legrosszabb, következésképpen elkerülendő megoldás.
Computerworld: Mi lehet a jó megoldás? Hogy kezdjen hozzá a vagyonát védeni kívánó cég?
Kulcsár Zoltán: A vagyonvédelem külön szakterület, aminek művelői az adatvédelemmel összhangban végzik tevékenységüket. Alapelv, hogy a vagyon védelmére kell szorítkozni, a kamerarendszereket tilos a dolgozók munkavégzésének megfigyelésére használni. Ha egy cég árukészletét szeretné védeni, vagy azt szeretné megakadályozni, hogy illetéktelenek jussanak be telephelyére, férjenek hozzá szervereihez stb., első körben a rendelkezésre álló vagyonvédelmi eszközöket kell számba vennie. Nagyon széles a skála, a kamerarendszer csak egy a sok közül. A teljesség igénye nélkül néhány példa, amely nem jár a személyiségi jogok korlátozásával: elektromos zár, a nagyon értékes árucikkek körültekintő elhelyezése, áruvédelmi kapuk, vagyonőrök. Ha ezek az eszközök nem érik el céljukat, akkor jöhetnek szóba a kamerák. Megtörtént eset, amikor egy autókereskedőnél éjjelente az autókból eltűntek a légzsákok. Mivel a telephely nagy mérete, zegzugos felépítése nem tette lehetővé, hogy vagyonőrök vigyázzák az értékeket a nap 24 órájában, nem maradt más lehetőség, mint a kamerarendszer.A GDPR elvárja, hogy a megfelelő vagyonvédelmi eszköz megválasztása előtt a cég érdekmérlegelési tesztet és hatásvizsgálatot végezzen.
CW: Mikorajánlott érdekmérlegelési tesztet és hatásvizsgálatot végezni?
Kulcsár Zoltán: Az egyén szférájába magasabb kockázattal járó beavatkozásoknál, illetve azokban az esetekben, amikor az érintettek- például egy áruház vásárlói - nem járulnak (járulhatnak) hozzá előzetesen a megfigyeléshez. Ilyen esetekben érdekmérlegelési tesztet kell végezni annak eldöntésére, hogy úgynevezett jogos érdek jogalappal történik-e az adatkezelés vagy sem.
CW: Mi az érdekmérlegelési teszt lényege?
Kulcsár Zoltán: A teszt során az adatkezelőnek fel kell mérnie, hogy neki magának milyen előnye származhat, továbbá az érintett személyeknek, azaz a megfigyelés alanyainak, milyen előnyük és hátrányuk származhat az adatkezelésből. Ezeket az előnyöket és hátrányokat figyelembe véve olyan egyensúlyt kell teremteni, amely az érintett számára is megfelelő. Vegyünk két példát! Az egyik színhely legyen egy fagyizó. Ha a tulajdonos felszerel egy kamerát az üzletben, és folyamatosan figyeli az eladót, aki legfeljebb néhány gombóc fagyit ajándékba ad az ismerőseinek, akkor az adatkezelő kára nincs arányban a dolgozó magánszférájába történő beavatkozással. A másik helyszín legyen egy raktár, amelyben 100 milliós árukészletet tárolnak. Ha itt helyeznek el kamerákat, amelyek azt mutatják, hogy a raktáros leveszi az értékes árut a polcról, dobozba csomagolja, majd átadja a futárszolgálatnak, akkor az érdekmérlegelési teszt eredménye valószínűleg más lesz. Jóllehet a raktáros tevékenységét munkaidejének egy részében kamerákkal figyelik, de az így elszenvedett hátrányokkal szemben olyan magas munkaadói érdek áll, amely miatt indokolhatóvá válik az adatkezelés. Természetesen az adatkezelés ilyen esetben is csak akkor jogszerű, ha cserébe a munkaadó olyan garanciákat ad, amelyek megvédik a munkavállalót. Például a cég harmadik félnek nem adja ki a felvételt.
CW: Mi a teendője a kamerával megfigyelt fagylaltosnak vagy raktárosnak, ha úgy érzi, hogy sérültek a jogai?
Kulcsár Zoltán: Elsősorban az adatkezelőhöz, tehát a kamerarendszer üzemeltetőjéhez fordulhat. Jó esetben tisztázzák a problémát, és ott le is zárul az ügy. Ha az érintett személy nem elégedett az adatkezelő eljárásával, akkor alapvetően két lehetősége van. Az egyik, hogy a NAIH-hoz fordul. A hatóság kivizsgálja az ügyet, és megteszi a szükséges intézkedéseket. Például az elmaradt tájékoztatás pótlására kötelezi az adatkezelőt, vagy előírja, hogy adjon másolatot az érintettnek a felvételről. Az is előfordulhat, hogy a NAIH a kamerarendszer leszerelésére, a kamera áthelyezésére vagy átfordítására kötelezi az adatkezelőt. A megfigyelt személy másik lehetősége, hogy bírósághoz fordul. A bíróság a jogsértés megállapításán, illetve bizonyos kötelező lépések előírásán kívül kártérítést, sérelemdíjat is megállapíthat. Ha például valakit kamerákkal, vagy a számítógép billentyűzetébe szerelt leütésfigyelővel, vagy a mobiltelefonra telepített helymeghatározó eszközökkel folyamatosan megfigyeltek úgy, hogy arról nem tájékoztatták, akkor a sérelemdíj akár a milliós forintösszeget is elérheti.
CW: Vannak arra nézve előírások, hogy mennyi ideig szabad tárolni a felvételeket?
Kulcsár Zoltán: Előírások nincsenek, az adatkezelők erről maguk döntenek, a GDPR alapelveivel összehangban. Az Európai Adatvédelmi Testületnek azonban van erre vonatkozó iránymutatása, aminek értelmében a 24 óránál hosszabb tárolást az adatkezelőnek már alapos indokokkal kell alátámasztania, azaz a tárolási időt az adatkezelési céllal összhangba kell hoznia. Ha például egy szállítmányozó cég kamionjainak útja 5 napig tart az indulástól az érkezésig, akkor akár egy hétig is indokolt a berakodást rögzítő kamerás felvételek megőrzése.
CW: Vannak olyan esetek, amikor kötelező az adatkezelést a NAIH-hal engedélyeztetni?
Kulcsár Zoltán: Nincs előzetes engedélyeztetési kötelezettség. Az adatkezelő mindig a saját felelősségére dönti el és indítja a folyamatot.
CW: Melyek a legújabb technológiák a vagyonvédelemben?
Kulcsár Zoltán: A technika már alkalmas rá, hogy mesterséges intelligencián (MI) alapuló vagyonvédelmet működtessenek a cégek. Ez azt jelenti, hogy a viszonylag drága élő erős őrzést, tehát a kamerát megfigyelő személyzetet részben algoritmusokkal lehet kiváltani. Már a mai technikai eszközök is képesek rá, hogy például egy áruház 30 kameráját mesterséges intelligencia segítségével figyeljék. Az MI-alapú eszközök vizsgálják a mozgások irányát, jellegét, és ez alapján elemzik, hogy a mozgás utal-e a megszokottól eltérő vásárlói viselkedésre, rongálásra, esetleg lopásra. Az eredményt jelzik az operátornak, aki már nem feltétlenül az áruházban figyeli folyamatosan a monitorokat, hanem a vagyonvédelmi cég központjában tartózkodik. Egy operátor akár több áruház vagyonvédelmét is felügyelheti, hiszen csak az MI-alapú eszközök által jelzett gyanús eseményekkel kell foglalkoznia: megnéznie és kontrollálnia a gyanús eseteket, majd a szükséges intézkedéseket megtennie, jelezve a rendszerben, hogy valós riasztás volt-e vagy sem. Ezáltal egyrészt maga a rendszer is továbbtanul, másrészt a vagyonvédelmi esemény elhárítható, vagy később bizonyítható lesz. Léteznek tehát már MI-alapú megoldások, de sajnos lassan terjednek.
CW: A mesterséges intelligencia alkalmazása a vagyonvédelemben csökkenti vagy növeli az adatvédelmi kockázatokat?
Kulcsár Zoltán: Részben csökkenti, részben növeli. Csökkenti, hiszen nincs olyan személy, aki folyamatában figyeli a történéseket. Ugyanakkor növeli, mert egy automatizmus képes rá, hogy például arcfelismerést, vagy akár a dolgozók mozgásmintáján alapuló megfigyelést végezzen. Egy ilyen rendszert akár arra is be lehet állítani, hogy folyamatosan megfigyelje saját dolgozóit, például azt, hogy a pénztáros munkaideje hány százalékát tölti ténylegesen a kasszában, vagy az árumozgató milyen utakat jár be az áruházban, a raktárban. Ezt a fajta totális megfigyelést az adatvédelem tiltja, mert az sérti az emberi méltóságot. Az adatvédelemre vonatkozó jogszabályok egyébként Európai Unió szintűek, minden tagállamra nézve kötelezőek.
CW: Vannak már működő, MI-alapú megoldások Magyarországon?
Kulcsár Zoltán: Igen. A közelmúltban tette közzé a NAIH egy Balaton-parti, engedély nélkül működő térfigyelő kamerarendszerrel kapcsolatos, elmarasztaló határozatát, miután a város polgármestere azt nyilatkozta, hogy arcfelismerésen alapú technológiát alkalmaznak a parti sétány megfigyelésére, és ezáltal növelik a bűnüldözés hatékonyságát. A város vezetése azonban fürge volt, és mire a hatóság a helyszínre érkezett, furcsamód nem működtek az arcfelismerési funkciók. Bizonyíték híján a NAIH nem tudott bírságot kivetni.
CW: Történt az utóbbi időben számottevő változás a kamerás megfigyelőrendszerek használata terén?
Kulcsár Zoltán: Nagy változás nem volt. Szembetűnő azonban, hogy a GDPR kötelező alkalmazása, tehát 2018 májusa óta egész Európában megerősödött az előzetes tájékoztatás gyakorlata. Arra is rájöttek a cégek, hogy fontos az adatkezelés időtartamának minimalizálása, és köztudottá vált, hogy tilos a dolgozók munkavégzés közben történő folyamatos megfigyelése. Szintén egyre szélesebb kör fogadta el, hogy tilos a közterület vagy a szomszéd ingatlanának megfigyelése. Ennek értelmében jogellenes például az, ha egy étterem bekamerázza a járdán kialakított teraszát, és így rögzíti az arra közlekedő járókelőket. Közterületi térfigyelő rendszert csak a rendőrség és a közterület-felügyelet üzemeltethet, illetve 2020 februárjában a kistelepülési önkormányzatok is megkapták ezt a jogot.
