A cég már az online jegyvásárlás idején egy sor fontos információt megtud rólunk.

Adatvédelmi tájékoztatójukból kiderül, regisztrációkor meg kell adnunk e-mail-címünk mellett nevünket, születési dátumunkat és pontos címünket, ezen túl az anyja neve, a számlázási cím, a telefonszám, illetve a gépjármű rendszáma mezők is kitöltendők. Fontos tudni, hogy miközben a bejáratnál beszkennelt személyi okmányunkat a cég állítása szerint három nap után törli (indokolt esetben további 1 évig tárolhatja), a jegyvásárláskor megadott adatokat megtartja. Az online regisztráció és az okmányunk lemásolásával szerzett információkkal ráadásul nincs vége az adatgyűjtésnek. A Sziget Kft. a belépés során valamennyi vendégéről video- és hangfelvételt készít. Hogy mennyire indokolt egy ilyen összetett adatbázis kiépítése, arról az adatvédelmi hatóság a magyar belbiztonsági szervek véleményét is kikérte. A megkérdezett Országos Rendőr-főkapitányság, Alkotmányvédelmi Hivatal (AH) és Terrorelhárítási Központ egyhangúan támogatták a cég adatgyűjtési eljárását. Ez azonban érthető, hiszen – miként az a NAIH vizsgálata során kiderült – a Sziget Kft. a nemzetbiztonsági szakszolgálatokkal kapcsolatban állt. A cég elmondása szerint ezt az indokolta, hogy a hatóságoktól érkező megkeresés esetén tájékoztatást adhassanak a rendezvényükön tartózkodó személyekről. Bár az AH jelezte, nem kért a rendezvényszervező cégtől személyes adatokat, a belbiztonsági szerveknek minden bizonnyal nagy segítség, ha szükség esetén több százezer főről készült, részletes adatbázisból kérhetnek információt.

Ahogyan azonban arra a NAIH is felhívja a figyelmet, a terrorelhárításhoz köthető tevékenység alapvetően állami feladat, akkor is, ha a Sziget Kft. gazdasági érdeke indokolttá teszi rendezvényei teljes körű biztosítását.

Itt pedig elérkeztünk az adatvédelmi hatóság egyik legfontosabb észrevételéhez. A biztonság megteremtéséhez szerintük a Sziget Kft.-nek mérlegelnie kellett volna „az adatkezelés alkalmasságát és elengedhetetlenségét, valamint a cél érdekében ható jog gyakorolhatóságát”. Vagyis a biztosítás érdekében a cég csak arányosan gyűjthet vendégeiről információt, a jogszabályi környezet figyelembevételével. – A hatóság álláspontja szerint ez utóbbi három szempont kérdésében nem felel meg a jelenlegi alapelveknek a Sziget Kft. adatkezelése – olvasható a NAIH összefoglalójában. Megjegyzik, egyáltalán nem biztos, hogy a tömeges adatgyűjtés célravezető. Mint írják, megítélésük szerint technikai okokból kétségeket vet fel, hogy a készített adatbázisok képesek egy esetleges terrorcselekmény elhárítására.

Felmerül a kérdés, mi a gyakorlat más, hasonló kaliberű tömegrendezvények esetén. A NAIH négy európai fesztivál beléptetési gyakorlatát is megvizsgálta. Kiderült, a 135 ezer főt felvonultató brit Glastonbury, az Ausztriában megrendezett Novarock, a belgiumi Graspop Metal Meeting, illetve a világ több városában megtartott Tomorrowland szervezői sem alkalmaznak olyan széles körű adatgyűjtést, mint a szigetes szervezők. A hatóság megjegyzi, más európai fesztiválokon különböző beléptetési módszereket vegyítenek, ezzel képesek biztosítani a magasabb szintű védettséget, miközben az érintettek információs önrendelkezési joga nem sérül.

A Sziget Kft. gyakorlatával ugyanis nem csak az a probléma, hogy aránytalanul széles körű adatgyűjtést folytat. A hatóság kritizálta, hogy a fesztiválozót kész tények elé állítják: vagy megadja a személyes adatait, vagy nem léphet be a rendezvényre. Ez a gyakorlat a NAIH szerint uniós irányelvet sért. A vendéget megilleti a személyes adatok átadásának önkéntessége, vagyis a szervezők személyes okmányaink hiányában nem tagadhatják meg a belépést. – A hatóság álláspontja szerint nincs valódi választási lehetősége az érintetteknek a beléptetéssel összefüggő adatkezelés során – írja a NAIH.

Hozzá kell tenni, hogy a Sziget Kft. rendezvényeinek honlapján már tavaly jelezte az új gyakorlat bevezetését. A NAIH azonban arra jutott, hogy a tájékoztatás korántsem volt egyértelmű, ezért a cég adatvédelmi tájékoztatójával kapcsolatban tizenkét pontban fogalmazott meg kritikákat. Ezekből kiderült, a Sziget Kft. több ponton is megsértette az adatkezelés szabályait rögzítő infotörvényt. A felsorolt kifogások között külön kiemelendő, hogy a NAIH szerint a rendezvényszervező cég nem említette meg, hogy a beléptetéskori adatgyűjtés során a karszalagokkal történő visszaélés kiszűrése is szempont volt. A hatóság vizsgálata során derült ki, hogy nemcsak a terrorizmus elleni védekezés miatt másolja le a cég a vendégek személyes okmányait, valamint készít róluk kép-, illetve hangfelvételt, de a gyűjtött adatok segítségével az esetleges visszaéléséket is kiszűri. Erről azonban a cég adatvédelmi tájékoztatójában nem tett említést. Szintén izgalmas részlet, hogy a Sziget Kft. elmondása szerint mintegy húsz alkalmazottjuk fér hozzá a vendégekről készült adatbázisokhoz. A NAIH ezt is kifogásolja, szerintük a cégnél ennél jóval kevesebb személynek is elegendő lenne a tárolt információkhoz jogosultságot adni, ráadásul a Sziget Kft. erről sem tájékoztatott.

A hatóság ezért felszólította a Sziget Kft.-t, hogy vizsgálja felül az adatkezelési gyakorlatát, illetve készítsen olyan tájékoztatót, ami megfelelő felvilágosítást ad a vásárlóknak. A NAIH elrendelte, hogy a cég alakítsa át beléptetési rendszerét a hatályos jogszabályoknak megfelelően.

Hogy mindebből mi valósult meg az idei fesztiválszezonra? A Sziget Kft. honlapjain elérhető tájékoztatók szerint a rendezvényszervező cég egyelőre nem hajtotta végre a hatóság vizsgálatában foglaltakat. A beengedésnél továbbra is beszkennelik a személyazonosító okmányokat, ahogyan arról sem esik szó, hogy az állami szerveket megszégyenítő adatbázis nemcsak a terrorizmus, de a karszalagokkal trükközők ellen is védene. Igaz, ezt a hatóság jelentésében előrevetíti. Mint írják, vizsgálatuk az idei fesztivál szervezésével párhuzamosan történt, ezért csak a jövő évi, 2018-as szezonban várja el az előírások bevezetését. Csókás Sándor, a Sziget Kft. pénzügyi vezetője lapunknak elmondta, a NAIH már ma, a Sziget Fesztivál első napján ellenőrzést végez. – A hatóság munkatársai végigmennek a teljes beléptetési folyamaton, ellenőrzik a kamerarendszerek és elektronikus megfigyelőrendszerek működését – mondta lapunknak Csókás. A pénzügyi vezető hozzátette, kijavították az adatvédelmi tájékoztatóban kifogásolt pontokat, és elküldték azokat a NAIH-nak. Egyben leszögezte, a hatóság állásfoglalásával szemben ellenvéleményt fogalmaztak meg. – A dokumentumban megjelölt külföldi példákat nem tudjuk elfogadni, azok ugyanis egészen más környezetben működnek, mint a mi rendezvényeink – mondta Csókás, aki szerint a Sziget Kft. által szervezett fesztiválokon szükséges az eddig követett adatgyűjtés.