A fesztiválrajongóknak Magyarországon már nem elég a jegyet megvásárolniuk: ha valaki a Sziget Kulturális Menedzser Iroda Kft. (Sziget Kft.) eseményeire kíváncsi, 2016-tól személyes adatait is elkérik. Lapunk munkatársa az elsők között szembesült a piacvezető rendezvényszervező cég által bevezetett új eljárással. A tavaly júniusban megrendezett VOLT fesztiválon az elővételes bérlet nem volt elég a belépéshez, karszalagot csak azután kaphattunk, hogy személyazonosító okmányunk teljes felületét a Sziget Kft. beszkennelhette. Hiába jeleztük, hogy adatkezelési szempontból a kérés nehezen indokolható, a karszalagokat kiadó fiatal kasszás hajthatatlan volt. Beadtuk hát a derekunkat, az így megkapott karszalagra illesztett QR-kód leolvasásával pedig a Sziget Kft. munkatársai bármikor azonosíthattak bennünket. A fesztivál után a szokatlan gyakorlatról kikértük a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) véleményét.
Beadványunkra több mint egy év után kaptunk választ. Közben a jelenség a hatóság napirendjére került. Legutóbb Péterfalvi Attila, a NAIH elnöke az Inforádiónak beszélt az okiratok másolásának egyre elterjedtebb gyakorlatáról. Az interjúból kiderült, kivételes esetek, például terrorcselekmény vagy pénzmosás elhárítása indokolttá teheti az okiratok másolását. A jogszabály ráadásul jövőre változhat, s a magyar politikai akarat további mozgásteret adna a személyes adatok rögzítésére.
A hatóság lapunknak küldött állásfoglalásából kiderül, a Sziget Kft. is a fokozott terrorfenyegetettséggel magyarázza a VOLT-on, a Balaton Soundon és a Sziget Fesztiválon a tömeges adatgyűjtést. – A becsekkolás és az azonosítás különösen fontos, hiszen segít kiszűrni azokat a személyeket, akik esetlegesen rossz szándékkal érkeztek – írták a VOLT fesztivál honlapján. A NAIH megkeresésére a cég részletezte indoklását, eszerint a 2015. novemberi párizsi terrorcselekmény láttán döntöttek úgy, hogy bevezetik az új beléptetési rendszert.
A terrorfenyegetettség azonban hiába legitim indok, a cég nem győzte meg az adatvédelmi hatóságot. A Sziget Kft. adatkezelési gyakorlatát a NAIH tizenkét oldalas dokumentumban kritizálta, négy pontban írt elő konkrét módosításokat. Mielőtt azonban ezeket részleteznénk, fontos tisztázni, milyen adatokat is kér a Sziget Kft., mielőtt valamelyik fesztiváljukra beenged bennünket.
A cég már az online jegyvásárlás idején egy sor fontos információt megtud rólunk.
Adatvédelmi tájékoztatójukból kiderül, regisztrációkor meg kell adnunk e-mail-címünk mellett nevünket, születési dátumunkat és pontos címünket, ezen túl az anyja neve, a számlázási cím, a telefonszám, illetve a gépjármű rendszáma mezők is kitöltendők. Fontos tudni, hogy miközben a bejáratnál beszkennelt személyi okmányunkat a cég állítása szerint három nap után törli (indokolt esetben további 1 évig tárolhatja), a jegyvásárláskor megadott adatokat megtartja. Az online regisztráció és az okmányunk lemásolásával szerzett információkkal ráadásul nincs vége az adatgyűjtésnek. A Sziget Kft. a belépés során valamennyi vendégéről video- és hangfelvételt készít. Hogy mennyire indokolt egy ilyen összetett adatbázis kiépítése, arról az adatvédelmi hatóság a magyar belbiztonsági szervek véleményét is kikérte. A megkérdezett Országos Rendőr-főkapitányság, Alkotmányvédelmi Hivatal (AH) és Terrorelhárítási Központ egyhangúan támogatták a cég adatgyűjtési eljárását. Ez azonban érthető, hiszen – miként az a NAIH vizsgálata során kiderült – a Sziget Kft. a nemzetbiztonsági szakszolgálatokkal kapcsolatban állt. A cég elmondása szerint ezt az indokolta, hogy a hatóságoktól érkező megkeresés esetén tájékoztatást adhassanak a rendezvényükön tartózkodó személyekről. Bár az AH jelezte, nem kért a rendezvényszervező cégtől személyes adatokat, a belbiztonsági szerveknek minden bizonnyal nagy segítség, ha szükség esetén több százezer főről készült, részletes adatbázisból kérhetnek információt.
Ahogyan azonban arra a NAIH is felhívja a figyelmet, a terrorelhárításhoz köthető tevékenység alapvetően állami feladat, akkor is, ha a Sziget Kft. gazdasági érdeke indokolttá teszi rendezvényei teljes körű biztosítását.
Itt pedig elérkeztünk az adatvédelmi hatóság egyik legfontosabb észrevételéhez. A biztonság megteremtéséhez szerintük a Sziget Kft.-nek mérlegelnie kellett volna „az adatkezelés alkalmasságát és elengedhetetlenségét, valamint a cél érdekében ható jog gyakorolhatóságát”. Vagyis a biztosítás érdekében a cég csak arányosan gyűjthet vendégeiről információt, a jogszabályi környezet figyelembevételével. – A hatóság álláspontja szerint ez utóbbi három szempont kérdésében nem felel meg a jelenlegi alapelveknek a Sziget Kft. adatkezelése – olvasható a NAIH összefoglalójában. Megjegyzik, egyáltalán nem biztos, hogy a tömeges adatgyűjtés célravezető. Mint írják, megítélésük szerint technikai okokból kétségeket vet fel, hogy a készített adatbázisok képesek egy esetleges terrorcselekmény elhárítására.
Felmerül a kérdés, mi a gyakorlat más, hasonló kaliberű tömegrendezvények esetén. A NAIH négy európai fesztivál beléptetési gyakorlatát is megvizsgálta. Kiderült, a 135 ezer főt felvonultató brit Glastonbury, az Ausztriában megrendezett Novarock, a belgiumi Graspop Metal Meeting, illetve a világ több városában megtartott Tomorrowland szervezői sem alkalmaznak olyan széles körű adatgyűjtést, mint a szigetes szervezők. A hatóság megjegyzi, más európai fesztiválokon különböző beléptetési módszereket vegyítenek, ezzel képesek biztosítani a magasabb szintű védettséget, miközben az érintettek információs önrendelkezési joga nem sérül.
A Sziget Kft. gyakorlatával ugyanis nem csak az a probléma, hogy aránytalanul széles körű adatgyűjtést folytat. A hatóság kritizálta, hogy a fesztiválozót kész tények elé állítják: vagy megadja a személyes adatait, vagy nem léphet be a rendezvényre. Ez a gyakorlat a NAIH szerint uniós irányelvet sért. A vendéget megilleti a személyes adatok átadásának önkéntessége, vagyis a szervezők személyes okmányaink hiányában nem tagadhatják meg a belépést. – A hatóság álláspontja szerint nincs valódi választási lehetősége az érintetteknek a beléptetéssel összefüggő adatkezelés során – írja a NAIH.
Hozzá kell tenni, hogy a Sziget Kft. rendezvényeinek honlapján már tavaly jelezte az új gyakorlat bevezetését. A NAIH azonban arra jutott, hogy a tájékoztatás korántsem volt egyértelmű, ezért a cég adatvédelmi tájékoztatójával kapcsolatban tizenkét pontban fogalmazott meg kritikákat. Ezekből kiderült, a Sziget Kft. több ponton is megsértette az adatkezelés szabályait rögzítő infotörvényt. A felsorolt kifogások között külön kiemelendő, hogy a NAIH szerint a rendezvényszervező cég nem említette meg, hogy a beléptetéskori adatgyűjtés során a karszalagokkal történő visszaélés kiszűrése is szempont volt. A hatóság vizsgálata során derült ki, hogy nemcsak a terrorizmus elleni védekezés miatt másolja le a cég a vendégek személyes okmányait, valamint készít róluk kép-, illetve hangfelvételt, de a gyűjtött adatok segítségével az esetleges visszaéléséket is kiszűri. Erről azonban a cég adatvédelmi tájékoztatójában nem tett említést. Szintén izgalmas részlet, hogy a Sziget Kft. elmondása szerint mintegy húsz alkalmazottjuk fér hozzá a vendégekről készült adatbázisokhoz. A NAIH ezt is kifogásolja, szerintük a cégnél ennél jóval kevesebb személynek is elegendő lenne a tárolt információkhoz jogosultságot adni, ráadásul a Sziget Kft. erről sem tájékoztatott.
A hatóság ezért felszólította a Sziget Kft.-t, hogy vizsgálja felül az adatkezelési gyakorlatát, illetve készítsen olyan tájékoztatót, ami megfelelő felvilágosítást ad a vásárlóknak. A NAIH elrendelte, hogy a cég alakítsa át beléptetési rendszerét a hatályos jogszabályoknak megfelelően.
Hogy mindebből mi valósult meg az idei fesztiválszezonra? A Sziget Kft. honlapjain elérhető tájékoztatók szerint a rendezvényszervező cég egyelőre nem hajtotta végre a hatóság vizsgálatában foglaltakat. A beengedésnél továbbra is beszkennelik a személyazonosító okmányokat, ahogyan arról sem esik szó, hogy az állami szerveket megszégyenítő adatbázis nemcsak a terrorizmus, de a karszalagokkal trükközők ellen is védene. Igaz, ezt a hatóság jelentésében előrevetíti. Mint írják, vizsgálatuk az idei fesztivál szervezésével párhuzamosan történt, ezért csak a jövő évi, 2018-as szezonban várja el az előírások bevezetését. Csókás Sándor, a Sziget Kft. pénzügyi vezetője lapunknak elmondta, a NAIH már ma, a Sziget Fesztivál első napján ellenőrzést végez. – A hatóság munkatársai végigmennek a teljes beléptetési folyamaton, ellenőrzik a kamerarendszerek és elektronikus megfigyelőrendszerek működését – mondta lapunknak Csókás. A pénzügyi vezető hozzátette, kijavították az adatvédelmi tájékoztatóban kifogásolt pontokat, és elküldték azokat a NAIH-nak. Egyben leszögezte, a hatóság állásfoglalásával szemben ellenvéleményt fogalmaztak meg. – A dokumentumban megjelölt külföldi példákat nem tudjuk elfogadni, azok ugyanis egészen más környezetben működnek, mint a mi rendezvényeink – mondta Csókás, aki szerint a Sziget Kft. által szervezett fesztiválokon szükséges az eddig követett adatgyűjtés.
