30 milliós adatvédelmi bírságot kapott a Sziget, - beperli a hatóságot
Az eddig kiszabott legmagasabb összegű bírságot az Infotörvény (2011. évi CXII. törvény) és a GDPR rendelet megsértése miatt rótta ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
A NAIH megállapítása szerint a Sziget Zrt. által 2016. június 1-től 2018. május 24-ig terjedő időszakban szervezett rendezvényeken alkalmazott beléptetési gyakorlat során megvalósított adatkezelés során az adatkezelés
- nem megfelelő jogalap alapján történt,
- nem felelt meg a célhoz kötöttség elvének,
- az érintettek pedig nem kaptak megfelelő előzetes tájékoztatást.
A hatóság honlapjára felkerült határozat alapján a panaszosok 2016-ban sérelmezték a vállalkozás rendezvényein a beléptetésnél alkalmazott gyakorlatot, melynek során beszkennelték a vendégek személyi igazolványát, továbbá azt, hogy nem tájékoztatták megfelelően az érintetteket az adatkezelés körülményeiről, így arról, hogy milyen célból és mennyi ideig kezelik a személyi igazolványokról készített másolatot, azt mire használják fel, illetve megtagadhatták a beléptetést, ha valaki nem járult hozzá az igazolványa szkenneléséhez.
A szervezet a GDPR rendelet 2018. május 25. után (emlékeztető: a GDPR rendelet türelmi idejének lejárta) ugyan változtattak a korábbi gyakorlatukon, de a beléptetéskor jogos érdekre hivatkozva 6 adatot is elkértek a beléptetéshez, - amelyet a hatóság túl soknak minősített.
A Sziget az igazolványok ellenőrzésekor többek között terrorizmus elleni harcra és jegyüzérkedés megakadályozására hivatkozott.
A NAIH vizsgálata során azonban az derült ki, hogy a Sziget nem is kapott bűnüldöző szervektől listákat veszélyes személyekről, illetve a cégnél biztonsági szempontból érdektelen adatokat is rögzítettek, hiszen a veszélyes emberek kiszűréséhez elegendő lett volna kevesebb adatot (csak a nevet és a fotót) elkérni a fesztivál vendégeitől.
A hatóság a 30 millió forint összegű bírság kiszabása és az erről rendelkező határozat nyilvánosságra hozatala mellett elrendelte, hogy a Sziget Zrt. az adatkezelési gyakorlatát hozza összhangba az általános adatvédelmi rendelet szabályaival.
A Sziget és a VOLT fesztivált szervező Sziget Zrt. nem ért egyet az adatvédelmi hatóság által kiszabott 30 millió forint összegű bírsággal, ezért bírósági felülvizsgálatot kér.