Éveken át nem úgy kezelte a fesztiválozók adatait a beléptetéskor a Sziget Kulturális Menedzser Iroda, ahogy azt kellett volna, ezért a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 30 millió forintra büntette a Sziget és a VOLT fesztivál szervezőjét – derül ki a hatóság csütörtökön megjelent határozatából.

A NAIH-hoz 2016-ban érkeztek jelzések a panaszosoktól, akik a rendezvényekre való beléptetés gyakorlatát sérelmezték. Egész konkrétan azt, hogy beszkennelik a vendégek személyi igazolványát, továbbá azt, hogy nem tájékoztatják megfelelően az érintetteket az adatkezelés körülményeiről, így arról, hogy milyen célból és mennyi ideig kezelik a személyi igazolványokról készített másolatot, azt mire használják fel. A vállalkozás fenntartotta magának a jogot, hogy ha az érintett fentiekhez nem adta meg hozzájárulását, attól megtagadhatták a belépést.

A Sziget Zrt. válaszában többek közt arra hivatkozott, hogy a nagy létszámú rendezvények terrorfenyegetettsége magasabb, mint más rendezvényeké, mely fokozottabb körültekintést igényel mind a szervezők részéről, mind nagyobb feladatot jelent akár a TEK számára is a terrorizmus elleni, törvényben meghatározott feladataik végrehajtása során. Azonban hangsúlyozták, hogy a személyes adatokat kezelő beléptető rendszernek és működtetésének meg kell felelnie az adatkezelésre vonatkozó jogszabályi rendelkezéseknek.

A NAIH 2016 júniusától 2018. május 24-ig, majd pedig a 2018. május 25. után szervezett rendezvények kapcsán állapított meg jogsértéseket. A hatóság szerint 2016. június 1. napjától 2018. május 24. napjáig terjedő időszakban szervezett rendezvényeken alkalmazott beléptetési gyakorlat során megvalósított adatkezelés nem megfelelő jogalap alapján történt, nem felelt meg a célhoz kötöttség elvének, továbbá az érintettek nem kaptak megfelelő előzetes tájékoztatást.

A NAIH megállapította azt is, hogy 2018. május 25. napját követően szervezett rendezvényeken alkalmazott beléptetési gyakorlat során megvalósított adatkezelés nem megfelelő jogalap alapján, és a célhoz kötöttség és az adattakarékosság elveinek megsértésével kezelte az érintettek személyes adatait.

A hatóság a 30 milliós bírság kiszabása mellett azt is elrendelte, hogy a Sziget Zrt. a beléptetés során alkalmazott adatkezelési gyakorlatát hozza összhangba az általános adatvédelmi rendelet szabályaival.

Az üggyel kapcsolatban a Media1.hu megjegyzi: a 30 millió forint összegű bírságot csak a 2018. május 25., azaz a GDPR rendelet hatálybalépése utáni időszakra rótta ki a NAIH, a korábbi időszakban történt jogsértések esetében a hatóság a további bírság kiszabásától eltekintett, tekintettel többek között az azóta eltelt időre.

A Sziget Zrt. a hírre reagálva közölte: nem értenek egyet a Nemzeti Adatvédelmi és Információbiztonság Hatóság határozatában foglaltakkal, ezért a megadott határidőn belül bírósági felülvizsgálatot kezdeményeznek.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.