A kamerás megfigyelés kérdésköre állandó témája a magyar adatvédelmi hatóságoknak[1] és bíróságoknak. A jogalkalmazás során rengeteg egymással ellentétes kérdés merül fel. Különösen nehéz a megítélése annak a jogi kérdésnek, ha egy magánszemély vagy jogi személy a saját biztonságának védelme érdekében helyez el kamerát, amelynek látószöge nemcsak a védett objektumot mutatja, hanem a közterületet, vagy akár egy másik személy magánterületét.
Az Európai Unió Bírósága egy cseh tagállami bírósági megkeresés kapcsán részletesen elemezte a kérdéskört, a jelen tanulmány célja az Európai Bíróság döntésén keresztül a lehetséges magyar jogértelmezést bemutatni, kitekintéssel a magyar adatvédelmi hatóság jelenlegi gyakorlatára is.
1. A Ryneš-ügy[2]
1.1. Tényállás
F. RYNEŠ 2007. október 5. és 2008. április 11. között kamerarendszert szerelt fel és működtetett a családja házának tetőpárkányzata alatti részén. A kamerát rögzített helyzetbe állította, nem volt forgatható. A kihelyezett kamera a ház bejáratáról, az utcáról és a szemközti ház bejáratáról készített felvételeket. Ugyanakkor a kamerarendszer csak videofelvétel készítését tette lehetővé, amelyet adatrögzítő eszközön tárolt végtelenített formában. Miután a merevlemez memóriája megtelt, a későbbi felvétel automatikusan törölte a korábbi felvételeket. Az adatrögzítő eszközhöz F. RYNEŠ nem csatlakoztatott külön képernyőt, így nem volt lehetőség a kép valós időben történő megtekintésére. Kizárólag F. RYNEŠ fért hozzá közvetlenül a rendszerhez és az adatokhoz.
F. RYNEŠ azért működtette ezt a kamerát, hogy saját és családja tulajdonát, testi épségét és életét megvédje, indoka az volt, hogy ismeretlen tettesek rendszeresen betörtek a házába. Egy újabb támadást követően a felvételeket átadta a nyomozóhatóságnak, amely két elkövetőt azonosítani is tudott. Az elkövetők elleni eljárásban közvetlenül felhasználta a cseh nyomozóhatóság RYNEŠ felvételeit. A gyanúsítottak egyike panasszal élt a nyomozóhatóság intézkedése ellen, és kérte annak megvizsgálását, hogy F. RYNEŠ jogszerűen működteti-e a megfigyelőrendszert.
A cseh adatvédelmi hatóság[3] foglalkozott az üggyel, majd határozatában[4] azt állapította meg, hogy F. RYNEŠ jogellenesen működteti a kamerarendszert, mert adatkezelőként:
(i) hozzájárulás nélkül gyűjtött személyes adatokat a házára szerelt kamerarendszerrel;
(ii) nem tájékoztatta az érintetteket a személyes adatok kezeléséről, az adatkezelés terjedelméről és céljáról, az adatkezelő személyéről és az adatkezelés módjáról, valamint arról, hogy ki fér hozzá a személyes adatokhoz, és
(iii) nem teljesítette a nemzeti hatóság felé a bejelentési kötelezettségét.
F. RYNEŠ bírósági úton kérte az adatvédelmi határozat felülvizsgálatát, sikertelenül[5], ezért a Legfelsőbb Közigazgatási Bírósághoz[6] fordult.
A Legfelsőbb Közigazgatási Bíróság felfüggesztette a nemzeti eljárást és az alábbi kérdést intézte az EUB-hez és felfüggesztette az ügyet:
„Akkor is a 95/46 […] 3. cikkének (2) bekezdése értelmében vett, „a természetes személy által kizárólag személyes, illetve otthoni tevékenységek gyakorlása céljából végzett” személyes-adatkezelésnek minősíthető-e egy családi házra szerelt kamerarendszernek a ház tulajdonosai tulajdonának, testi épségének és életének védelme céljából történő működtetése, ha e rendszer közterületet is megfigyel?”
1.2. Az Irányelv vonatkozó rendelkezései
Az EUB a döntésében a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, az Európai Parlament és a Tanács 95/46/EK irányelvét ((1995. október 24.) elemezte.
A 95/46 irányelv (10), (12) és (14)–(16) preambulumbekezdése a következőket mondja ki:
„(10) […] a személyes adatok feldolgozására [helyesen: kezelésére] vonatkozó nemzeti jogszabályok célja az alapvető jogok és szabadságok, különösen a magánélet tiszteletben tartásához való jog védelme, amelyet mind az emberi jogok és alapvető szabadságok védelméről szóló európai egyezmény 8. cikke, mind a közösségi jog általános alapelvei elismernek; […] ezért az említett jogszabályok közelítése nem vezethet az általuk nyújtott védelem szintjének csökkenéséhez, sőt, magas védelmi szintet kell biztosítson a Közösségen belül;
[…]
(12) […] ki kell zárni a természetes személyek által végzett adatfeldolgozást [helyesen: adatkezelést], amennyiben azt kizárólag személyes vagy házi használatra [helyesen: amennyiben azt kizárólag személyes, illetve otthoni tevékenységek gyakorlása], például levelezés, vagy címjegyzékek vezetése során végzik;
[…]
(14) […] a természetes személyek hang‑ és képadatainak felvételére, továbbítására, feldolgozására, rögzítésére, tárolására és közlésére használatos módszereknek az információs társadalom keretén belül történő fejlesztésének fontosságát figyelembe véve ennek az irányelvnek alkalmazhatónak kell lennie az ilyen adatokhoz kapcsolódó feldolgozásra [helyesen: kezelésre];
(15) […] az ilyen adatok feldolgozására [helyesen: kezelésére] ez az irányelv csak akkor terjed ki, ha az automatizált módon történik, vagy ha a feldolgozott [helyesen: kezelt] adatokat egy egyénekhez kapcsolódó speciális szempontok szerint strukturált nyilvántartási rendszerben tárolják, vagy kívánják tárolni a szóban forgó személyes adatokhoz való könnyű hozzáférés lehetővé tétele érdekében;
(16) […] a hang‑ és képadatok feldolgozása [helyesen: kezelése], például a videokamerás megfigyelőrendszerek esetében, nem tartozik ennek az irányelvnek a hatáskörébe, amennyiben az adatfeldolgozást [helyesen: adatkezelést] közbiztonsági, honvédelmi, nemzetbiztonsági célból, vagy az adott állam büntetőjog területén végzett, illetve más, a közösségi jog hatálya alá nem tartozó tevékenységei során végzik”.
4. Ezen irányelv 2. cikke értelmében:
„Ezen irányelv alkalmazásában:
a) »személyes adat« az azonosított vagy azonosítható természetes személyre (»érintettre«) vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen […] a személy fizikai […] identitására vonatkozó egy vagy több tényezőre történő utalás révén;
b) »személyes adatok feldolgozása« (»feldolgozás«) [helyesen: »személyes adatok kezelése« (»kezelés«)] a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés [helyesen: lekérdezés], felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés;
c) »személyesadat‑nyilvántartórendszer« (»nyilvántartó rendszer«) a személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető;
d) »adatkezelő« az a természetes […] személy, […] [aki] önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját.”
5. Az említett irányelv 3. cikke a következőképpen rendelkezik:
„(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására [helyesen: kezelésére], valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására [helyesen: kezelésére], amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) Az irányelv nem alkalmazandó [helyesen: nem alkalmazható] az alábbi személyesadat‑feldolgozásokra [helyesen: a személyes adatok alábbi kezelésére]:
- a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet [helyesen: adatkezelés] nemzetbiztonsági ügyre vonatkozik [helyesen: nemzetbiztonsági üggyel kapcsolatos]), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek [helyesen: adatkezelés],
- a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett adatfeldolgozás [helyesen: a természetes személy által kizárólag személyes, illetve otthoni tevékenységek gyakorlása céljából végzett adatkezelés].”
6. Ugyanezen irányelv 7. cikkének szövege a következő:
„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel [helyesen: kezelhetők], ha:
a) az érintett ahhoz egyértelmű hozzájárulását adta;
vagy
[…]
f) az adatfeldolgozás [helyesen: az adatkezelés] az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű [helyesen: jogos] érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1 cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.”
7. A 95/46 irányelv 11. cikke a következőképpen rendelkezik:
„(1) Abban az esetben, ha az adatokat nem az érintettől szerezték be, a tagállamoknak rendelkezniük kell arról, hogy az adatkezelő […] a személyes adatok felvételének elvállalásakor […] köteles az érintettel legalább az alábbi információkat közölni, kivéve, ha az érintett már rendelkezik ezekkel az információkkal:
a) az adatkezelő […] személye;
b) az adatfeldolgozás [helyesen: adatkezelés] célja;
c) bármely egyéb információ, mint például:
- az érintett adatok kategóriái,
- az adatok címzettjei vagy a címzettek kategóriái,
- betekintési jog és az érintettre vonatkozó adatok helyesbítéséhez való jog,
amennyiben e további információk, tekintettel az adatgyűjtés sajátos körülményeire, az érintett vonatkozásában a tisztességes adatfeldolgozás [helyesen: adatkezelés] biztosításához szükségesek.
(2) Az (1) bekezdés nem alkalmazható, különösen a statisztikai célú vagy a történelmi, vagy tudományos célú adatfeldolgozás [helyesen: adatkezelés] esetében, ha a kérdéses információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényel, illetve ha a rögzítést vagy a közlést jogszabály kifejezetten előírja. Ezekben az esetekben a tagállamoknak garantálniuk kell a megfelelő biztosítékokat.”
8. Az irányelv 13. cikkének (1) bekezdése a következőket írja elő:
„A tagállamok jogszabályokat fogadhatnak el a […] 11. cikk (1) bekezdésében […] foglalt jogok és kötelezettségek körének korlátozására, amennyiben a korlátozás az alábbiak biztosításához szükséges:
[…]
d) bűncselekmények vagy a szabályozott foglalkozások etikai vétségeinek megelőzése, vizsgálata, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
[…]
g) […] mások jogainak és szabadságainak védelme.”
9. Az említett irányelv 18. cikkének (1) bekezdése értelmében:
„A tagállamoknak rendelkezniük kell arról, hogy az adatkezelő […] értesítse a […] felügyelő hatóságot akár egyetlen, akár több, összefüggő célt szolgáló, részben vagy egészen automatizált módon történő adatfeldolgozási [helyesen: adatkezelési] művelet vagy műveletsorozat elvégzését megelőzően.”
1.3. A főtanácsnoki indítvány
NIILO JAASKINEN főtanácsnok 2014. július 10-én tette közzé az indítványát. Az indítványban annak megállapítását javasolta, hogy nem terjed ki az Irányelv 3. cikk (2) bekezdése az F. Rynes által végzett adatkezelésre.
A főtanácsnok hangsúlyozta, hogy a Bíróságnak még nem kellett olyan ügyet tárgyalnia, amelyben megállapította volna, hogy a 95/46 irányelv 3. cikke (2) bekezdése második francia bekezdésének alkalmazási feltételei teljesülnek, bár alkalmazandóságára hivatkoztak többek között a Lindqvist-ügyben is. A főtanácsnok szerint az a kérdés, hogy az F. RYNEŠ által „a ház tulajdonosai tulajdonának, egészségének és életének védelme céljából” végzett tevékenységek a 95/46 irányelv hatálya alá tartoznak-e, nem önmagában az ilyen megfigyelés folytatásának lehetőségét érinti.
Indítványának 53. pontjában a főtanácsnok is rámutatott – a személyes adatok kezelése csak abban az esetben tartozik a 95/46 irányelv 3. cikke (2) bekezdésének második francia bekezdésében foglalt kivétel hatálya alá, ha azt kizárólag az adatkezelést végző személy személyes, illetve otthoni tevékenységi körében végzik.
Így a természetes személyekkel kapcsolatban a levelezés és a címjegyzékek vezetése a 95/46 irányelv (12) preambulumbekezdésére tekintettel akkor is „kizárólag személyes, illetve otthoni tevékenységnek” minősül, ha mellesleg más személyek magánéletét is érinti, illetve érintheti.
Ugyanakkor az olyan videokamerás megfigyelés, mint amilyenről az alapeljárásban szó van, ugyan csak részben, de közterületre is kiterjed, és így a kamerás megfigyelőrendszerrel adatkezelést végző személy magánszféráján kívülre irányul, nem tekinthető a 95/46 irányelv 3. cikke (2) bekezdésének második francia bekezdésében foglaltak értelmében kizárólag „személyes, illetve otthoni” tevékenységnek.
1.4. Az EUB döntése
A Bíróság a tényállás kapcsán azt a jogi kérdést értelmezte, hogy „az Irányelv 3. cikke (2) bekezdésének második francia bekezdését úgy kell-e értelmezni, hogy egy olyan kamerarendszer működtetése, amely személyekről készített videófelvételt adatrögzítő eszközön – például merevlemezen – tárol végtelenített formában, és amelyet egy természetes személy azért szerelt fel a családi házára, hogy megvédje a[7] háztulajdonosok tulajdonát, testi épségét és életét, a kamerarendszerrel végzett megfigyelés pedig közterületre is kiterjed, olyan adatkezelésnek minősül-e, amelyet e rendelkezés értelmében kizárólag személyes, illetve otthoni tevékenységek gyakorlása céljából végeznek”.
A Bíróság az ítéletében arra a következtetésre jutott, hogy „Az irányelv 3. cikke (2) bekezdésének második francia bekezdését úgy kell értelmezni, hogy egy olyan kamerarendszer működtetése, amely személyekről készített videófelvételt adatrögzítő eszközön – például merevlemezen – tárol végtelenített formában, és amelyet egy természetes személy azért szerelt fel a családi házára, hogy megvédje a háztulajdonosok tulajdonát, testi épségét és életét, a kamerarendszerrel végzett megfigyelés pedig közterületre is kiterjed, nem minősül olyan adatkezelésnek, amelyet e rendelkezés értelmében kizárólag személyes, illetve otthoni tevékenységek gyakorlása céljából végeznek.”
Jogi elemzésében a Bíróság megerősítette, hogy a „személyes adat” fogalma a 95/46 irányelv 2. cikkének a) pontjában szereplő meghatározásnak megfelelően magában foglalja „az azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ[t]”. Azonosíthatónak az a személy minősül, „aki közvetlen vagy közvetett módon azonosítható, különösen […] a személy fizikai […] identitására vonatkozó egy vagy több tényezőre történő utalás révén”[8]. Az adatkezelés pedig magában foglalja az alábbi műveleteket is: „a személyes adatokon […] végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, […] tárolás”.
A Bíróság álláspontja szerint kétségtelen, hogy „a személyekről kamerával felvett kép az előző pontban ismertetett rendelkezés értelmében személyes adatnak minősül, mivel lehetővé teszi az érintett személy azonosítását”.
Mivel személyes adatok kezeléséről van szó, felmerül, hogy a kamerás megfigyeléssel megvalósuló adatkezelés az irányelv 3. cikke alá tartozik-e. A Bíróság értelmezésében a kamerás adatkezelés, az esetben rögzített módon automatizált módon történő adatkezelésnek minősül[9], ezért szükségszerűen az irányelv hatálya alá tartozik. Azaz nem fogadható el az az érvelés, hogy nem minden esetben felismerhetőek a személyek a felvételeken.
A következő lépcsőben azt vizsgálta a Bíróság, hogy alkalmazható-e a kamerás megfigyelésre a 3. cikk (2) bekezdésének kivétele, vagyis: „kizárólag személyes, illetve otthoni tevékenységek gyakorlása céljából” végzik-e az adatkezelést.
A Bíróság elemzése szerint: az irányelv 1. cikkéből és (10) preambulumbekezdéséből kitűnik, az irányelv célja az, hogy biztosítsa a természetes személyek alapvető jogainak és szabadságainak, különösen a személyes adatok kezelése tekintetében a magánélet tiszteletben tartásához való jognak a magas szintű védelmét[10]. Az állandó ítélkezési gyakorlat szerint[11] a magánélethez fűződő, az Európai Unió Alapjogi Chartájának 7. cikkében biztosított alapvető jog védelme megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak. A Bíróság leszögezte, hogy „Mivel a 95/46 irányelvnek az alapvető szabadságok és különösen a magánélet tiszteletben tartásához való jog megsértésére alkalmas személyesadat-kezelést szabályozó rendelkezéseit szükségszerűen az Alapjogi Chartában foglalt alapvető jogok fényében kell értelmezni”. Az irányelv alkalmazása adott esetben megengedi – különösen az említett irányelv 7. cikkének f) pontja, 11. cikkének (2) bekezdése, valamint 13. cikke (1) bekezdésének d) és g) pontja értelmében – az adatkezelő jogos érdekeinek figyelembevételét, amelyek körébe – ahogyan az alapeljárásban is – az adatkezelő és családja tulajdonának, testi épségének és életének megvédése is beletartozik.
1.5. A döntés jelentősége[12]
A döntést követően viszonylag nagy számban jelent meg elemzés a nemzetközi sajtóban, többnyire azzal a téves következtetéssel, hogy az EUB nem engedélyezi a magánszemélyek általi kamerás megfigyelést[13].
(a) Az adatkezelés fogalmának értelmezése
Az ügy lényegében a 95/46 irányelv alkalmazhatóságának első példája a videokamerás megfigyelés esetére. A bíróság a megfigyelés kérdését vizsgálta, ezért irrelevánsnak ítélte azt, hogy a képeket később törölték vagy mentették-e.
(b) Az alapjogok ütközése
A 95/46 irányelv alkalmazandóságának összefüggésében a valamely közterület videokamerás megfigyelését végző természetes személyeknek a magánélet védelméhez való joga és az ott tartózkodó érintetteknek a személyes adatok tiszteletben tartásához való joga közötti összeütközésről van szó.
A Bíróság úgy találta, hogy a jelen ügyben alkalmazandó a Charta, különösen annak 7. és 8. cikke. A szóban forgó helyzet az adatkezelő és az érintett alapvető jogai közötti összeütközéshez vezethet, tehát: a jelen ügyben az F. Ryneš és az azonosított bűnelkövetők közötti összeütközésről van szó.
A Bíróság megerősítette a Google döntések kapcsán körvonalazódó azt a következtetést[14], hogy a 95/46 irányelvnek az alapvető szabadságok és különösen a magánélet tiszteletben tartásához való jog megsértésére alkalmas személyesadat-kezelést szabályozó rendelkezéseit szükségszerűen az alapvető jogok fényében kell értelmezni, amelyek az állandó ítélkezési gyakorlat szerint azon általános jogelvek szerves részét képezik, amelyek tiszteletben tartását a Bíróság biztosítja, és amelyek immár a Charta részét képezik.
(c) A videokamerás megfigyelőrendszerek irányelv hatálya alá tartozása
A videokamerás megfigyelőrendszereket a folyamatos és rendszeres működés jellemzi, a felvételek esetleges megőrzésének – változó – időtartamától függetlenül. A bíróság elkülönítette továbbá a közterületre irányuló (azaz: egy rögzített helyzetben felszerelt típusú megfigyelőrendszert, amely közterületre, valamint a szemközti ház bejáratára is kiterjed, és így az ott tartózkodó, az e megfigyelésről előzetesen nem tájékoztatott meghatározatlan számú személy azonosítását teszi lehetővé), és a mobiltelefonokkal, videokamerákkal vagy digitális fényképezőgépekkel készített felvételeket.
A bíróság álláspontja szerint a képeket rögzítő videokamerás megfigyelőrendszer a 95/46 irányelv hatálya alá tartozik, amennyiben önmagában véve automatizált adatkezelésnek minősül (ez a helyzet a digitális felvételek esetében), vagy ilyen adatkezeléshez vezet.
(d) A magáncélú adatkezelésekre alkalmazható kivétel
A magánélet tiszteletben tartásához való jogot illetően elmondható, hogy „a Bíróság állandó ítélkezési gyakorlata szerint ezen alapvető jog védelme minden esetben megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak”, és hogy e tekintetben „a személyes adatoknak a Charta 8. cikkének (1) bekezdésében szereplő kifejezett kötelezettségből eredő védelme különös jelentőséggel bír a Charta 7. cikkében szereplő, a magánélet tiszteletben tartásához való jog szempontjából”.
Az alapeljárás azt a kérdést veti fel, hogy F. RYNEŠ tevékenysége a 95/46 irányelv 3. cikke (2) bekezdésének második francia bekezdésében rögzített, a „természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett” adatkezelésre vonatkozó kivétel alkalmazásában kizárt-e a 95/46 irányelv hatálya alól. E rendelkezés nem a személyesadat-kezelés előzetes döntéshozatalra előterjesztett kérdésben leírt céljára, vagyis „a ház tulajdonosai tulajdonának, egészségének és életének védelm[ére]” irányul.
A kérdéskör vitatott: a cseh, az olasz és a lengyel kormány, valamint az Egyesült Királyság Kormánya azt az álláspontot képviselte az ügyben, hogy az alapeljárásban szóban forgóhoz hasonló videokamerás megfigyelőrendszer működtetésére, amelynek célja a ház tulajdonosai tulajdonának, egészségének és életének védelme, a 95/46 irányelv 3. cikke (2) bekezdése második francia bekezdésének értelmében kizárólag személyes célra, vagy háztartási tevékenység keretében kerül sor, még akkor is, ha az említett rendszer közterületet is megfigyel.
Ezzel szemben a cseh adatvédelmi hatóság[15], az osztrák, a portugál és a spanyol kormány, valamint a Bizottság úgy véli, hogy abban az esetben, ha – mint a jelen ügyben – az említett rendszer közterületet is megfigyel, a fent említett kivétel nem alkalmazandó.
A személyesadat-kezelés célja ugyanis nem lehet meghatározó egy a közúton sétáló és videokamerás megfigyelés tárgyát képező gyalogos vonatkozásában azon védelem szempontjából, amelyre ez utóbbinak a személyes adatok kezelőjével szembeni jogi helyzetét meghatározó pontos jogszabályi rendelkezések részéről szüksége van. Az adatkezelés célja ezzel szemben szerepet játszhat az adatkezelés jogszerűségének értékelése során. Az irányelv hatályát tehát objektív szempontok alapján kell meghatározni.
Párhuzam vonható a Lindqvist-üggyel. Abban az ügyben a jelen ügyhöz hasonlóan egy természetes személy által megvalósított személyesadat-kezelést értelmezett a Bíróság. Tizzano főtanácsnok azt az álláspontot képviselte, hogy a „kizárólag személyes célra vagy háztartási tevékenység keretében” végzett tevékenységek kategóriája csak az olyan tevékenységekre terjed ki, mint „a levelezés és a címjegyzékek vezetése […], vagyis a nyilvánvalóan magánjellegű és bizalmas tevékenységekre, amelyeket arra szántak, hogy az érintettek személyes körén vagy háztartása körén belül maradjanak”. A „személyes célra” végzett tevékenységek a családi élethez kapcsolódnak, és azokra általában a lakóhelyen vagy a családtagok számára közös más helyeken, például a másodlagos lakóhelyen, hotelszobában vagy személygépjárműben kerül sor. E tevékenységek mind összefüggnek a magánélet Charta 7. cikkében biztosított védelmével. Ugyanakkor a közterület rendszeres, természetes személy által végzett videokamerás megfigyelése nem mentesül a személyes adatok védelméből eredő, a jogi személyekre és hatóságokra alkalmazandó követelmények alól. Ez az értelmezés végeredményben lehetővé teszi, hogy a valamely családi ház előtt található közterület videokamerás megfigyelését végző személyek ne részesüljenek előnyben az egyéb, társasházi épületek környékén végzett megfigyeléshez képest, mivel így valamennyi személyesadat‑kezelőre, legyenek azok természetes vagy jogi személyek, azonos követelmények vonatkoznak.
Az e kérdésben történő állásfoglalás talán a döntés legnagyobb jelentőségű eleme, ugyanis az adatvédelmi törvény hatálya alá vonja az adott tényállást, amely ellenkező esetben csupán más (pl. személyiségi jogi) rendelkezések alapján volna szankcionálható.
(e) Az érdekmérlegelési teszt
Mivel a kérdés, amit a bíróság vizsgált, csak az volt, hogy alkalmazható-e az irányelv, az ítélet nem foglalkozik részletesen azzal a kérdéssel, hogy a 7. cikk f) pontja szerinti kivitel alkalmazható-e. Ugyanakkor a főtanácsnoki indítvány részletesen elemzi a kérdést, és indokolásában a bíróság is elvi éllel rámutat, hogy álláspontja szerint a kivétel alkalmazható.
A 95/46 irányelv 7. cikkének f) pontja ugyanis két együttes feltételt ír elő ahhoz, hogy az adatok kezelése jogszerű legyen, nevezetesen egyfelől azt a feltételt, hogy a személyes adatok kezelése az adatkezelő, vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítéséhez szükséges, másfelől pedig azt, hogy ezeknél ne legyenek magasabb rendűek az érintett személy alapvető jogai és szabadságai. Figyelembe kell venni azt a tényt, hogy e feltételek közül a második megköveteli a szóban forgó ellentétes jogok és érdekek közötti súlyozást, amely főszabály szerint az adott egyedi eset körülményeitől függ, és amelynek keretében a súlyozást végző személynek vagy intézménynek kell figyelembe vennie az érintett személynek a Charta 7. és 8. cikkéből eredő jogai jelentőségét. Az F. RYNEŠ által folytatott tevékenység célja egyéb alapvető jogai – így a tulajdonhoz való jog és a családi élethez való jog – élvezetének védelme volt. Ennek megfelelően az, hogy a 95/46 irányelv alkalmazandó, nem feltétlenül kedvezőtlen a személyes adatok kezelőjének érdekeire nézve, feltéve, hogy ezek esetében valóban jogos érdekekről van szó, az említett irányelv 7. cikke f) pontjának megfelelően. A főtanácsnok arra mutatott rá, hogy „nem logikus azt állítani, hogy F. RYNEŠ alapvető jogai védelme érdekében mellőzni kell egy európai irányelv alkalmazását, amelynek célja pontosan az, hogy megfelelő egyensúlyt teremtsen ez utóbbi, illetve más természetes személyek, nevezetesen a személyesadat‑kezeléssel érintett személyek jogai között”.
2. Az adatvédelmi biztos gyakorlata
Az adatvédelmi biztosok nagy számú ügyben foglalkoztak a térfigyelő rendszerek adatvédelmi kérdéseivel[16].
Az utolsó adatvédelmi biztos[17] kifejezetten foglalkozott egy állásfoglalásában[18] a magánszemély által végzett közterületi megfigyeléssel. Következtetésében (az EUB álláspontjával egyezően) arra jutott, hogy nem alkalmazható a magánszemélyekre vonatkozó törvényi kivétel: „A kamerák használatával kapcsolatban egyértelműen kijelenthető, hogy magánszemély közterületet nem tarthat megfigyelés alatt, hiszen speciális törvény hiányában az Avtv. előírásait kell alkalmazni, mely alapján az érintettek hozzájárulására lenne szükség. Közterületet kizárólag a külön törvényben felhatalmazott szervezetek figyelhetnek meg. Ilyen szervezet a rendőrség. A rendőrségről szóló 1994. évi XXXIV. törvény 42. §-a hatalmazza fel a rendőrséget az adatkezelésre. Magánszemély térfigyelő kamerát csak úgy helyezhet el, hogy azzal kizárólag a saját tulajdonban álló ingatlan területét lehessen megfigyelni”.
3. A NAIH gyakorlata
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárása során elsősorban a magyar jogszabályt alkalmazza. A magyar adatvédelmi törvény hatálya alá tartozó kérdésekben az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény az irányadó (Infotv.)
A NAIH gyakorlata ellentmondásos a kamerás megfigyelés tekintetében. A NAIH elkülöníti a magáncélú használatot (gépjárművekre szerelt kamerák) és a törvényi felhatalmazás alapján lehetséges kamerázást (vagyonvédelmi törvény, társasházi törvény).
A NAIH a gépjárművekre szerelt kamerák[19] elemzése kapcsán arra (az EUB döntésével ellentétes) következtetésre jutott, hogy az magáncélú. A magyar törvény magánszemélyekre vonatkozó kivétel alkalmazhatóságához a hatóság azt a követelményt fűzi, hogy a gépjármű (amelybe a kamerát szerelik) magánszemély tulajdonában legyen. További feltétel, hogy a felvétel nem lehet kiváló minőségű, mert ez is ellentmondana a háztartási célnak.
A gépjárműbe szerelt kamerás ügyben a hatóság a RYNEŠ-ügyben felmerült jogi kérdést vizsgálta, azonban mind a cseh hatósággal mind a bírósággal ellentétes következtetésre jutott. A magyar hatóság értelmezésében a bírósági felhasználás nem tartozik az adatvédelmi hatóság körébe.
A munkáltatók által végzett vagyonvédelmű célú adatkezelés[20] és a Google Street View által végzett kamerafelvételek során a magyar hatóság következtetése szerint az érdekmérlegelés tesztje alapján az „irányelv közvetlen hatálya” miatt a kamerás megfigyelés (bizonyos feltételek esetén[21]) jogszerű lehet.
A munkáltatók által végzett vagyonvédelmű célú adatkezelésről szóló ajánlásában a hatóság az alábbiakat fejtette ki: „Az Mt. rendelkezései általános felhatalmazást nyújtanak a munkáltatói ellenőrzéshez kapcsolódó adatkezelésre, azonban ezen keretek tartalommal való megtöltése munkáltatónak az alkalmazott eszközökkel kapcsolatos részletszabályokat belső szabályzatban kell egyértelműen, érthetően, pontosan, részletesen meghatározni. Ennek kidolgozása során a munkáltatónak különös tekintettel kell lennie az arányosság követelményére valamennyi adatkezelési cél tekintetében. Ez az érdekarányossági vizsgálat lényegében megfeleltethető az Adatvédelmi Irányelv 7. cikk f) pontjának. A fent kifejtettek alapján megállapítható, hogy az Mt. rendelkezései önmagukban nem adnak felhatalmazást az elektronikus megfigyelőrendszerek alkalmazására. Az Mt. keretszabályait más jogszabályi rendelkezések és a munkáltató által alkotott, a tartalmi garanciákat rögzítő szabályzatok töltik meg valós, a napi gyakorlatban is érvényesülő tartalommal. Ezek a részletszabályok szavatolják végső soron, hogy a munkáltató a munkavállaló munkaviszonnyal összefüggő magatartását az Mt. keretszabályai között, és az Infotv.-ben rögzített alapelveknek megfelelően ellenőrizze”.
4. A Társasházak által végzett kamerázás
A Társasházi törvény meghatározott feltételekkel lehetőséget biztosít a társasházi kamerás megfigyelésre. Ezek a feltételek az alábbiak:
A közös képviselő vagy az intézőbizottság által kötött szerződés alapján a kamerarendszer üzemeltetője a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvényben meghatározott személy lehet.
A kamerarendszer a következő feltételek együttes fennállása esetén üzemeltethető: a) a kamerarendszer kizárólag az emberi élet, a testi épség, a személyi szabadság védelmét, a jogsértő cselekmények megelőzését és bizonyítását, valamint a közös tulajdonban álló vagyon védelmét szolgálja, b) a fennálló körülmények valószínűsítik, hogy a jogvédelem más módszerrel, mint a felvételek felhasználása, nem érhető el, c) alkalmazása az a) pontban meghatározott célok eléréséhez elengedhetetlenül szükséges mértékig terjed, és nem jár az információs önrendelkezési jog aránytalan korlátozásával.
A kamerarendszer a felvételeket automatikusan rögzíti és a rögzítést követő 15 napig kell tárolni abból a célból, hogy azok a rögzítés helyszínén elkövetett bűncselekmény vagy szabálysértés miatt indult büntető-, szabálysértési vagy más hatósági, bírósági eljárásban – ideértve az érintett személy vagy a társasházi közösség által, jogainak érvényesítése céljából indított eljárásokat, akár a polgári peres eljárást is – bizonyítékul, az erre törvényben felhatalmazott adatkezelők által felhasználhatóak legyenek. E határidő lejártát követően a fel nem használt felvételeket haladéktalanul törölni kell úgy, hogy azok többé ne legyenek helyreállíthatóak. A kamerarendszer nem irányulhat a külön tulajdonban álló lakás vagy nem lakás céljára szolgáló helyiség bejáratára vagy más nyílászárójára.
A kamerarendszer által rögzített felvételekhez kizárólag a rendszer üzemeltetője férhet hozzá, azokat csak a szerződésből fakadó kötelezettségei érvényesítéséhez szükséges és a jogsértő cselekmény megelőzése vagy megszakítása érdekében mellőzhetetlen esetben jogosult megismerni, és a felvételeket csak a bíróság, a szabálysértési vagy más hatóság részére továbbíthatja.
Az, akinek jogát vagy jogos érdekét a kamerarendszer által rögzített felvétel érinti, a felvétel rögzítésétől számított tizenöt napon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak üzemeltetője ne semmisítse meg, illetve ne törölje.
A kamerarendszerrel felszerelt épületbe, épületrészbe és a kamerák által megfigyelt területre belépni, ott tartózkodni szándékozó személyek figyelmét jól látható helyen, jól olvashatóan, a megfelelő tájékoztatásra alkalmas módon fel kell hívni az elektronikus megfigyelőrendszer alkalmazásának tényére. A tájékoztatásban meg kell jelölni az üzemeltető személyét és elérhetőségét is. Az üzemeltető az érintett személyt – kérésére – köteles tájékoztatni a felvételek készítésével kapcsolatos minden tényről, így különösen annak céljáról és jogalapjáról, az üzemeltetésre jogosult személyéről, a felvételek készítésének időpontjáról és tárolásának időtartamáról, továbbá arról, hogy kik ismerhetik meg a felvételeket. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira, valamint jogorvoslati lehetőségeire.
5. Következtetések
Az EUB döntése alapján egyértelmű, hogy személyes adatok kezelése valósul meg akkor is, ha a kamera nem rögzít adatot, és nincs jelentősége annak, hogy rögzítés esetén később törlésre kerülnek-e az adatok, illetőleg mely időpontban kerülnek törlésre.
Az EUB döntése alapján semmilyen közterületre irányuló kamerás megfigyelés nem tekinthető magáncélú adatkezelésnek.
Az EUB döntése szerint a külön tárolás nélküli, „végtelenített” felvétel készítés automatizált adatkezelés.
A közterületre irányuló kamerák esetében ezért elsődleges kérdés, hogy magyar törvény biztosít-e rá jogalapot (társasházi törvény, vagyonvédelmi törvény). Amennyiben törvényi jogalap igazolható, abban az esetben az érintettek megfelelő tájékoztatásáról és az adatvédelmi nyilvántartásba történő bejelentésről kell a jogszerűséghez gondoskodni.
A törvényi jogalap hiányában, mivel az érintettek nem beazonosíthatók és nyilvánvalóan nem kérhető a hozzájárulásuk, az irányelv 7. cikk e) pontja illetőleg a magyar törvény 6. § (1) bekezdés b) pontja teremthet jogalapot. Az irányelv 7. cikk f) pontjára mint jogalapra sikerrel csak magánszemély hivatkozhat. A magyar törvény 6. § (1) bekezdés § b) pontja esetében az élet-testi épség védelme elfogadható indok lehet, azonban a kérdéskörrel a magyar hatóság ez ideig még egyáltalán nem foglalkozott. Megjegyezzük, hogy a hatósági eljárásban történő felhasználhatóság szintén lehet olyan egyéb jogalap, amely az adatkezelő érdekeinek védelmét szolgálja az érintettel (feltételezett elkövető) szemben. Ennek részletes kifejtése azonban nem szerepel a bírósági döntésben, abból a pusztán jogtechnikai okból, hogy a döntés annak az előzetes kérdésnek a vizsgálatára készült, hogy egyáltalán az irányelv hatálya alá vonható-e a kamerás megfigyelés.
Amennyiben a jogalap a kamerarendszer üzemeltetésére alátámasztható, az adatkezelésről szóló pontos tájékoztatást szabályzat formájában továbbá a nyilvántartásba történő bejelentéssel kell megvalósítani.
A szerző 2000 óta ügyvéd, adatvédelmi ügyekre szakosodott.
[1] NAIH állásfoglalások, ABI határozatok, ABI ajánlások.
[2] C-212/13. sz. ügy
[3] https://www.uoou.cz/en/ [2015.08.30.]
[4] 2008. augusztus 4.
[5] A Prágai Városi Bíróság 2012. április 25-i ítéletével helybenhagyta az adatvédelmi hatóság határozatát.
[6] Nejvyšší správní soud
[7] 95/46 irányelv 2. cikkének b) pontja.
[8] Az azonosíthatóság kérdésében részletesen lásd: Jóri András: Adatvédelmi kézikönyv.
[9] Tekintettel arra, hogy a felvételt adatrögzítő eszközön – merevlemezen – tárolják végtelenített formában.
[10] Lásd: Google Spain és Google ítélet, C-131/12., EU:C:2014:317, 66. pont).
[11] Lásd: IPI-ítélet, C-473/12, EU:C:2013:715, 39. pont; Digital Rights Ireland és társai ítélet, C-293/12 és C-594/12, EU:C:2014:238, 52. pont.
[12] A döntés elemzése a főtanácsnoki indítvány logikáját követi.
[13] http://www.dailymail.co.uk/wires/reuters/article-2870387/EU-court-clears-limited-use-outside-home-surveillance-cameras.html vagy http://www.theguardian.com/law/2014/dec/11/home-surveillance-cctv-images-may-breach-data-protection-rules-european-court-judgment-says [2015.08.30.]
[14] A Google Spain és Google ítéletben a Bíróság a következőket állapította meg: „a Charta 7. cikke biztosítja a magánélet tiszteletben tartásához való jogot, míg a Charta 8. cikke kifejezetten kinyilvánítja a személyes adatok védelméhez való jogot. Ez utóbbi cikk (2) és (3) bekezdése úgy rendelkezik, hogy az ilyen adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni, mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, és joga van azokat kijavíttatni, továbbá e szabályok tiszteletben tartását független hatóságnak kell ellenőriznie. Ezeket a követelményeket többek között a 95/46 irányelv 6., 7., 12., 14. és 28. cikke hajtja végre.”(19)
[15] Figyelmet érdemel, hogy az ügyben a kormány és az adatvédelmi hatóság eltérő álláspontot képviselt, ami alátámasztja az adatvédelmi hatóság függetlenségét.
[16] Részletesen lásd: http://abi.atlatszo.hu/index.php?menu=kamerazas1, illetőleg elemzése tekintetében Szabó Endre Győző előadása: http://abiweb.obh.hu/abi/wwi_2010/doc/szaboe.ppt [2011.08.18]
[17] Dr. Jóri András
[18] http://abi.atlatszo.hu/index.php?menu=kamerazas1&dok=1151/P/2009-6 [2015.08.30.]
[19] http://www.naih.hu/files/allasfoglalas_kamera_sajat_gepjarmuben.pdf [2015.08.30.]
[20] http://www.naih.hu/files/Ajanlas-a-munkahelyi-kameras-megfigyelesr-l.pdf [2015.08.30.]
[21] Az adatkezelés bejelentése és megfelelő tájékoztatás, továbbá a Vagyonvédelmi törvény szerinti törlési kötelezettség betartása.