dr. Kajó Cecília: A közterületi kamerarendszerek egyes adatvédelmi kérdései adatvédelmi alapfogalmakon keresztül

Nemrég szerencsém volt közterület-felügyelők illetve rendőrök részére előadást tartani a címbeli témában, ahol meglepetésemre alapfogalmak szintjén is olyan sok újdonságot tudtam mondani, hogy megígértették velem, hogy cikk formájában is közzéteszem az oktatási anyag főbb gondolatait.

A közterület-felügyelet (vagy közterület-felügyelők vagy a jegyző által kijelölt köztisztviselő a hivatalban – attól függően, hogy hol melyik lehetőséggel éltek) illetve a rendőrség által használt közterület megfigyelésére alkalmas kamerarendszer telepítése, használata bűnüldözési célú adatkezelésnek minősül. Ez egy olyan alapvetés, amelyet a későbbiekben mindig szem előtt kell tartani, hiszen ez az állítás zárja ki a GDPR hatályát és alkalmazhatóságát ilyen ügyekben és ez teremti meg az Infotv. hatályát és alkalmazhatóságát. De miért is?

Egyrészt maga a GDPR zárja ki több más mellett hatálya alól a bűnüldözési célú adatkezelést, másrészt a GDPR létrejöttével egyidejűleg megalkotott bűnüldözési irányelv (mely az uniós állampolgárokra közvetlenül kötelező rendelettel ellentétben a tagállamokra ró kötelezettséget) azt a célt tűzte ki, hogy a joggyakorlat egységesítése (lásd: GDPR) helyett a joggyakorlat közelítése érdekében meghatározza a fő csapásirányokat a szakterületet illetően. A konkrét jogokat, kötelességeket, feladatokat és elvárásokat az Infotv. ültette át az irányelv alapján.

Fontos, hogy a GDPR – bár a sajtója remek volt és sokan remegtek a kezdetekkor, hogy lecsap a NAIH és kiszabja a maximális eurómilliós bírságot – nem előzmények nélküli: a magyar adatvédelmi jog, azaz korábban az Infotv. és még korábban az Avtv. szakmailag színvonalasan és kvázi naprakészen követte a nemzetközi jelenségeket és a maga módján mindkét jogszabály eleget tett a tőle elvártaknak akkor amikor a hatósági szemlélet helyett még az ombudsmani „számonkérhetőség” vagy inkább számon nem kérhetőség volt az elérhető eszköztár. Az adatvédelmi ombudsman(ok) jogfejlesztő tevékenysége azonban kétségtelenül elvehetetlen érdem az akkori időkből.

A bűnüldözési célú adatkezelés fogalma kapcsán fontos rögzíteni, hogy nem az adat bűnüldözési, hanem az adatkezelés célja, vagyis a teljesen „sima” személyes adat bűnüldözési célból történő kezelése az arra felhatalmazott szerv által adja meg a tartalmát ennek a fogalomnak. Vannak nyilván egyértelműen bűnüldözési adatok illetve bűnügyi adatkezelések, de ezeket most el kell különíteni és le kell hántani a témánktól, mert ezek más halmazokat képeznek.

A GDPR tehát elhatárolódik a bűnügyi célú adatkezeléstől, az irányelv pedig kötelezettséggé teszi a nemzeti jogalkotónak az erről szóló jogszabály megalkotását. Az Infotv. meghatározott szakasza pedig meg is adja ezt a fogalmat nekünk, amelyet összekapcsolunk az Mötv. közfeladatok között felsorolt közbiztonság, közrend biztosítása fogalmával tovább a közterület-felügyeleti törvényben hasonlóan megfogalmazottakkal.

A bűnüldözés (az angol law enforcement kifejezésből fordítva) szélesebb spektrumot fed le, mint amit azt itthon elsőre gondolnánk: beleértjük többek között a szabálysértési jogot is, amely elsősorban a kelet-európai államok illetve Németország sajátja, más országokban a bagatell büntetőjog ilyesfajta fogalmát nem ismerik.

A bűnüldözési célú adatkezelést tehát olyan szervek illetve személyek folytatják akik a bűnfelderítés, bűnmegelőzés, bűnüldözés, büntetés-végrehajtás és szabálysértési jogalkalmazás területén dolgoznak.

Nem „a” szerv vagy „a” személy egy-az-egyben ilyen adatkezelő és nem egy-az-egyben minden eljárására az Infotv. alkalmazandó, úgynevezett hibrid adatkezelésről beszélhetünk. Vagyis amikor például a büntetés-végrehajtási intézetben bekamerázzák a HSR-részleget (hosszúidejű speciális részleg vagyis a TÉSZ-esek, a tényleges életfogytiglan szabadságvesztésüket töltők) ott a kamerahasználatra mindenképpen az Infotv. rendelkezéseit kell alkalmazni, míg a parkolóban, a büfében, az ATM-közelében vagyonvédelmi célból felszerelt rendszerek a GDPR hatálya alá esnek.

De így van ez a rendőrségnél is, a szabálysértési jogalkalmazók eljárásuk során az Infotv. rendelkezéseit alkalmazzák, de pl. a HR-részleg vagy a szakszervezet a tagjai adatait a GDPR alapján kezeli. Nem maga a szerv vagy személy tehát az, akire/amire ráütöttük egységesen, hogy bűnüldözéssel foglalkozik, hanem tevékenységenként le kell szálazni mindig, hogy az adott tevékenység másodlagos szálát adó adatkezeléshez (mely minden mögött ott húzódik, ahol legalább egy nevet, egy számot, egy címet, bármi mást kezelünk) melyik jogszabályt alkalmazzuk.

A GDPR személyi hatálya nagyon leegyszerűsítve bárkire vonatkozik (állampolgárságtól, címtől függetlenül), akit az unió területén megfigyelnek, akinek az unió területén kezelik az adatát. Jogi személynek nincsen személyes adata, egy társaságnál vagy civil szervezetnél történő adatkezelési szabálytalanság, aggály esetén más eljárások vehetőek igénybe (elsősorban a Btk. adatvédelmi jogi tényállásai illetve a Ptk. adta peres lehetőségek), de a társaságon belül adott természetes személynek pl. az ügyvezetőnek nyilvánvalóan vannak személyes adatai, ahol alkalmazni kell a GDPR-t.

A GDPR jó néhány dolognak enged eltérést a tagállamoknak, ilyen pl. az elhunyt személyek adataival kapcsolatos adatkezelés, melyet a nemzeti tagállamok részletszabályokkal kiegészíthetnek, így tett az Infotv. is, amikor az érintett (adatalany) még életében jognyilatkozatot tehet, hogy halála esetén ki kezelheti az adatait, illetve ilyen hiányában a Ptk. szerinti hozzátartozók (szűkebb lehetőségekkel) a haláleset után 5 éven belül még felléphetnek az elhunyt adataival kapcsolatban.

A GDPR tárgyi hatálya leegyszerűsítve a számítógépes és az azon kívüli nyilvántartások vagy olyan adatállományok amelyeket nyilvántartás részévé kívánnak tenni. Vagyis akár az önkormányzati ASP rendszerben kezelt személyes adatok, akár a papíralapú irattárok pl. egyaránt a GDPR hatálya alá esnek egy önkormányzatnál, amennyiben önkormányzati, önkormányzati hatósági vagy államigazgatási hatósági ügyekről beszélünk. Az önkormányzat részeként a közterület-felügyelet által bűnüldözési célú adatkezelés körében kezelt adatok (akár ugyanazon nyilvántartás vagy irattár részeként) már az Infotv. hatálya alá esnek.

Mi a különbség igazából a GDPR és az Infotv. között? Az Infotv. egyrészt a „korábbi hazai GDPR” volt, a GDPR hatályba lépésével pedig olyan szerepkört kapott, amely egyrészt a bűnüldözési irányelv átültetését szolgálta, másrészt olyan részletszabályokat is tartalmaz, amelyekre a GDPR a nemzeti tagállamokat engedte megalkotni.

Elsőre elég hasonló szabályokat találunk pl. az érintetti jogok körében, de érdekességként hozom példaként, hogy amíg a GDPR szerint az érintettet az adatkezelőnek egy hónapon belül (melyet még további két hónappal meg lehet hosszabbítani) kell tájékoztatnia, hogy milyen adatait kezeli, úgy az Infotv. erre 25 napot ad amely nem meghosszabbítható, viszont alapos indok esetén nemhogy meg kell tagadni a válaszadást hanem egyáltalán nem kell válaszolni?

Mire gondolok? A NAIH rengeteg állásfoglalásában írta már le, hogy gyakorlatilag mindenki adatkezelő a világban cégformától, beosztottak számától, tevékenységi formától, bármi mástól függetlenül. Tehát adatkezelő a fodrász, a pék, akár egyéni vállalkozó akár bt. akár zrt., adatkezelő a civil szervezet, adatkezelő a magánszemély amennyiben magára vállal egy konferencia szervezését stb.

Hogy bonyolítsam kicsit a helyzetet, idehozom a hibrid adatkezelő fogalmát is. Nekem mint érintettnek, mint adatalanynak, a GDPR de az Infotv. szerint is jogom van tájékoztatáskéréshez. Ha én pl. megkereséssel fordulok a Budapest Környéki Törvényszékhez, hogy adjon tájékoztatást, hogy rólam milyen személyes adatokat kezel, úgy a polgári peres ügyekben kezelt adataimmal kapcsolatos tájékoztatására a GDPR, a büntetőeljárásokban kezelt adataimmal kapcsolatos tájékoztatására az Infotv. lesz alkalmazandó. Végső soron arra, hogy milyen polgári perben kezelik az én személyes adatomat (megint nagyon leegyszerűsítve, pl. mint felperes, tanú, szakértő stb.) a törvényszéknek 3 hónapja van válaszolni, ha viszont a büntetőeljárásban érintett adataimról kérek tájékoztatást arra 25 napon belül jogosult vagyok, ugyanakkor ha az pl. veszélyeztetné az adott eljárás sikerét (mert pl. azt kellene nekem megírni, hogy 6 hónapja lehallgatnak, megfigyelnek) úgy a szerv törvény erejénél fogva megteheti, hogy nem válaszol.

Míg a GDPR hatálya alá eső adatkezelésnél a tájékoztatás elmulasztása sérti az érintetti joggyakorlásomat és a szerv hibázik ha nem válaszol, úgy az Infotv-es adatkezelésről meg nem adott tájékoztató pl. a fenti példánál maradva teljesen jogszerű, nem hibázik a törvényszék ilyen esetben.

A GDPR fő célját sokan abban látják, hogy egységes adatvédelmi joggyakorlat alakuljon ki 27 tagállamban, attól függetlenül, hogy egy vagy több „helyi NAIH” látja el a hatósági feladatokat (hiszen szövetségi államokban, pl. Németországban annyi „helyi NAIH” van ahány tartomány), de valahogy elsikkadt az a fő cél, ami az unió (illetve korábban még EGK) létrejöttéhez kötődik: az adatok gyors, könnyű, szabad áramlása, ezzel segítve a piacot. Ha egy multinacionális cégnek nem kell pl. 27 tagállam 27-féle adatvédelmi jogszabályát bogarászni, az adatvédelmi hátteret minden tagállamban eltérően kialakítani a cégeinél (mind a munkavállalóira mind az ügyfeleire) az hatalmas nagy könnyebbség vitán felül. Ez a funkció mára kicsit elsikkadt, megkopott, miközben azon megy sokszor a vita hardcore adatvédők között, hogy a fodrásznál levágott és földön hagyott haj különleges személyes adatnak minősül-e (hiszen tartalmazza a DNS-ünket) és nem kellene-e a fodrásznak külön hozzájárulást adni, hogy kezelje az ilyen adatainkat? A csecsemő után kidobott, használt pelenkáról is olvastam már hasonló eszmefuttatást szakmai cikkekben….

A bűnüldözési célt és az adatkezelő szervet a bűnüldözési célú adatkezelés során mindig jogszabály állapítja meg, ez tehát könnyebbség, nem mérlegelés, nem jogalkalmazói kérdés, adott jogszabály adott paragrafusa. Ha ez nincs meg, nem beszélhetünk bűnüldözési célú adatkezelésről és nem az Infotv-t kell alkalmaznunk.

Az Infotv. 3. § (10a) szakaszát két fő részre bonthatjuk fel: van a „klasszikus” bűnüldözési célú adatkezelés (bűnmegelőzés, bűnfelderítés, büntetőeljárások és szabálysértési eljárások, büntetés-végrehajtás) illetve a közrendet, közbiztonságot fenyegető cselekmények elleni védelem, megelőzés (közúti/közterületi kamerahasználat).

A közterületi kamerarendszerek kiépítése és alkalmazása csak kifejezett törvényi felhatalmazás alapján valósítható meg, két típusa van: a szélesebb körű, állandó célú, bűnüldözési célú működtetés (ezt végezheti rendőrség, közterület-felügyelet, közterület-felügyelő, jegyző által kijelölt köztisztviselő – 2020. óta) illetve a szűkebb körű, objektumvédelmi, rendezvénybiztosítási vagy személyszállításhoz kapcsolódó jellegű működtetés. A NAIH 2020-as évi beszámolója illetve az adatvédelmi tisztviselők 2020-as éves konferenciája hosszasabban foglalkozik a témával, az érdeklődőknek ajánlom, hogy keressék fel a www.naih.hu oldalt és ott akár a keresővel akár a menüpontokból keresgéljenek hasznos és színvonalas szakirodalmat illetve videókat.

A tágabb, bűnmegelőzési jellegű működtetés jogszabályi háttere elsősorban a rendőrségi törvény 42. és 42/A. §, a közterület-felügyeletről szóló törvény 7. § (3) bekezdése; a szűkebb, objektumvédelmi jellegű működtetés jogszabály-helyei többek között: a rendőrségi törvény 42. § (5e), a honvédelmi tv. 22. §, a sporttv. 74. § és a fegyveres biztonsági őrségről szóló 1997. évi CLIX. tv. 9/A. § .

Nagyon fontos, kiemelt jelentőségű ismeret a felhasználás célja, amely a közterület-felügyeleti törvény 7. § (6) bekezdése alapján: a rögzítés helyszínén elkövetett bűncselekmény vagy szabálysértés miatt indult eljárásban, elkövetett jogsértés miatt indított közigazgatási hatósági eljárásban, végzett felügyelői intézkedés jogszerűségének megállapítására irányuló közigazgatási hatósági eljárásban, továbbá a felvételen szereplő személy által, jogainak gyakorlása érdekében indított eljárásban használható fel.

Vagyis a mostanában mindenhol felbukkanó „rémek”, „fantomok” megtalálását elősegítendő kimásolt és közösségi hálókra elsősorban polgármesterek vagy jegyzők által feltett felvételek biztosan jogszerűtlen adatkezelésnek minősülnek, és a NAIH a sajtóból értesülve ezek miatt rendszeresen indít hivatalból eljárást.

Nagyon fontos a bűnüldözési célú adatkezelés kapcsán a tárolás ideje: mind telepített rendszer esetén mind egyedi, intézkedés közben készített felvétel esetén a rögzítéstől számított 30 napon belül a felvételt törölni kell. Nagyon fontos továbbá, hogy megkeresés esetén nem automatikusan, hanyatt-homlok továbbítjuk a kért felvételeket hatóságnak, bíróságnak, hanem alaposan áttanulmányozzuk a megkeresést, és amennyiben az nem fér bele a korábban hivatkozott felhasználás céljaiba, esetleg túl tág körű, ugyan bűnüldözési célból de pl. adott helyen adott időben az összes áthaladó vizsgálatát és onnan való „szemezgetést” céloz, meglévő eljárás nélkül, úgy a felvétel jogszerűen nem adható ki.

Kérdésként merült fel az előadáson, hogy mi van akkor, ha a rendőrség a kimásolt felvételt „köszönjük megnéztük/köszönjük nem kellett” szöveggel visszaküldi a közterület-felügyeletnek. Ezzel a rendőrség maga is jogszerűtlen adatkezelést valósít meg véleményem szerint, hiszen az adat hordozóeszközét, a dvd-lemezt saját szervezeti rendszerén belül, nyilván megfelelően dokumentálva kellene megsemmisítenie, nem visszaküldeni azt a feladóhoz, hogy bajlódjon azzal ő. A NAIH oldalán bőséges jogesetet találunk a közterületi kamerarendszerek telepítése és használata kapcsán, általános véleményük azzal kapcsolatban, hogy az önkormányzatok sajnos meglátva valamilyen vagyonbiztonsági jellegű pályázatot, „hanyatt-homlok” pályáznak előzetes felmérések, szakmai felkészülés nélkül, és már a rendszer kiépítése közben vagy után gondolnak adatkezelési-adatvédelmi kérdésekre. Két érdekes jogesetet hozok most az előadáson feldolgozottak közül: az elsőben egy többszörösen megrongált közlekedési tábla őrzése miatt döntött úgy Tatabánya Önkormányzata, hogy közterületi megfigyelést végez kamerával de gépjárműből, melyet egy bejelentő sérelmezett a NAIH-nál. A NAIH vizsgálatában megállapította, hogy a gépjárműből történő „kamerázás” a közterület-felügyelők által megfelel a bűnüldözési célú adatkezelés fogalmának, a bűnmegelőzési funkció valid, ugyanakkor hiányolta a megfelelő tájékoztatást és felhívta a figyelmet arra, hogy rövid, érthető, szöveges felirattal kell ellátni a gépjárművet minden oldalról, minimálisan annyi szövegtartalommal, hogy kamerás megfigyelés történik, mely szerv az adatkezelő, és mi az adatvédelmi tisztviselő elérhetősége. A másik jogeset szerint Siófok biometrikus azonosításra alkalmas kamerarendszert kívánt telepíteni a rendőrséggel közös együttműködésben, mert indokolásuk szerint a város egyes utcáin olyan mértékben megnőtt a bűnözés, hogy szükséges ennek az eszköznek a használata. A biometrikus azonosításra alkalmas kamerarendszer mögött a „sima” kamerákkal szemben – rendkívül leegyszerűsítve – olyan szoftver áll, mely bizonyos azonosítási pontok vagy tájékozódási pontok segítségével egy arcképről egészen nagy bizonyossággal beazonosítja adott személyt (vagy legalábbis több olyan személyt, akikből aztán a keresett személy nagy biztonsággal kiválasztható). A NAIH rendkívül érdekes elemzése összegzéseként megállapította, hogy ma Magyarországon ilyen rendszer használatát a hatályos jogszabályok nem teszik lehetővé (akit érdekel a konkrét jogeset, megtalálja itt.