Elektronikus megfigyelőrendszer üzemeltetése kapcsán (többek között) az adatkezelési tájékoztató nem megfelelő elérhetősége okán 60.000.000,- Ft bírsággal sújtotta a Nemzeti Adatvédelmi és Információszabadság Hatóság az egyik bankfiókot idén.
A hatóság vizsgálata bejelentésre indult; egy ügyfél a bankfiók nyitvatartási idején kívül tranzakciót kívánt a bankautomatánál végrehajtani, amely meghibásodott. Az ügyfél meg szerette volna ismerni a bankautomatánál üzemelő elektronikus megfigyelőrendszer útján megvalósuló adatkezelésről szóló tájékoztatót, amely az automatán elhelyezett piktogram alapján az ügyféltérben volt elérhető, azonban ehhez ott nem férhetett hozzá (lévén, hogy az zárva volt) az interneten pedig ilyen tájékoztatás nem volt fellelhető.
Az ügyfél arra kérte az adatkezelőt, hogy a bankautomata kamerafelvételeit, illetve az ügyfélszolgálattal folytatott beszélgetés másolatát adják ki részére, azonban erre a GDPR-ban rögzített határidő lejártát követő 3 napon belül került csak sor.
Az eljárásban az adatkezelő nem tagadta, hogy a tájékoztatás kizárólag a bakfiókban volt elérhető, azonban az eljárás során a gyakorlatát felülvizsgálta, a weboldalán elérhetővé tette a tájékoztatást, továbbá gondoskodott a többszintű adatkezelési tájékoztatás kialakításáról (azaz a bankautomatánál lévő piktoram mellett rövid tájékoztatást is lehelyezett az adatkezelésről az ügyféltérben lévő tájékoztatás mellett).
Az eljárás során a hatóság megállapította, hogy az adatkezelő nem tett eleget a GDPR előírásai szerinti tájékoztatási kötelezettségnek, hiszen a bankfiók nyitvatartási idején kívül az adatkezelési tájékoztató nem volt hozzáférhető az érintettek számára, annak ellenére, hogy ilyen időszakokban is sor került személyes adatok kezelésére.
A hatóság megállapította az is, hogy az adatkezelő nem teljesítette határidőben az ügyfél érintetti kérelmét.
Fontos hangsúlyozni, hogy a hatóság nem csak a konkrét esetet vizsgálta, hanem az eljárás során felülvizsgálta az adatkezelő valamennyi más bankfiókra vonatkozó adatkezelési gyakorlatát is, amelyet figyelembe vett a – jelentős összegű – bírság kiszabásakor.
A fent tárgyalt eset kapcsán érdemes levonni a tanulságokat; legfőképpen azt, hogy az elektronikus megfigyelőrendszerrel történő adatkezelés esetén nagyon körültekintően kell eljárni és alaposan végig kell gondolni azt, hogy pontosan hol, hogyan és milyen részletes tájékoztatást kapjanak arról az érintettek.