A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) megállapította, hogy a Sziget és a VOLT fesztivált is szervező Sziget Kulturális Menedzser Iroda Zrt. éveken át jogszerűtlenül kezelte a fesztiválozók adatait a beléptetéskor, ezért 30 millió forintos adatvédelmi bírságot szabott ki a cégre – derül ki a május 23-i dátumozású, de a hatóság honlapjára csak csütörtökön felkerült határozatból (pdf), amelyről a Media1 számolt be először.
A NAIH 2016 júniusától napjainkig vizsgálta a cég adatkezelési gyakorlatát, de ezt az időszakot kettébontva értékelték, hiszen időközben életbe lépett az európai unió általános adatvédelmi rendelete (GDPR). A határozat szerint így a szervezők 2016. június 1. és 2018. május 24. között az Infotörvényt sértették meg azzal, hogy
Május 25-től pedig abban vétkeztek, hogy
A NAIH ezért egyrészt elrendeli, hogy a beléptetéskor gyakorolt adatkezelést a cég hozza összhangba a GDPR-ral, másrészt a már a GDPR ideje alatt tanúsított jogsértésekért 30 millió forintos bírságot szabott ki.
A NAIH-hoz a 2016-os VOLT fesztivállal kapcsolatban érkeztek bejelentések, amelyben a fesztiválozók azt kifogásolták, hogy a szervezők beszkennelik a személyi igazolványukat, illetve hogy ezzel kapcsolatban nem kapnak megfelelő tájékoztatást, hogy erre mi szükség van és az így begyűjtött személyes adatokat mennyi ideig szándékoznak kezelni.
Ahogy a Media1 is kiemeli, a Sziget Zrt. elsősorban a terrorizmus és a jegyüzérkedés elleni fellépésre hivatkozott, de a NAIH szerint ehhez kevesebb adat begyűjtése is elegendő lett volna.
Cikkünk megjelenése után a Sziget Kulturális Menedzser Iroda is reagált a NAIH határozatára.
A Nemzeti Adatvédelmi és Információbiztonság Hatóság határozatában foglaltakkal nem értünk egyet, és a megadott határidőn belül bírósági felülvizsgálatot kezdeményezünk. Álláspontunk szerint, miután nincs az ágazatban speciális és kötelező szabályozás, a potenciális biztonsági problémákat különbözőképpen lehet értelmezni. A fesztiválokon történő "check-in" adatvédelmi szempontból nem különbözik a futballstadionok beléptetésétől vagy a szállodák, légitársaságok check-in folyamatától, ezért nem tudjuk elfogadni a NAIH érveit
– írja közleményében a cég.
"Az általunk bevezetett belépés előtti ellenőrzés a biztonsági fejlesztéseink egyik évek óta jól működő és a szakhatóságok által is elismert alapeleme. Az adatokat minden érintett rendezvényt követő 72 órán belül töröltük, marketing célokra nem, csupán a vendégek beazonosítására használtuk, hogy az esetlegesen biztonsági kockázatot jelentő személyeket kiszűrhessük. Hónapokkal ezelőtt kezdeményeztük, hogy olyan jogszabályok szabályozzák ezt a területet, amely a nagy rendezvényeken, de legalábbis a kiemelten magas létszámú fesztiválokon pontosan megszabják, hogyan és miként lehet beazonosítani a vendégeket a biztonság érdekében, mert úgy gondoljuk, hogy a beléptetésnél használt check-in nélkül egy lényegesen magasabb biztonsági kockázatot kell menedzselnünk, és minimum meglepőnek tartjuk, hogy sem a NAIH, sem a jogalkotás ezt a szempontot nem veszi figyelembe" – zárul a közlemény.