Még 2019-ben történt, tehát a GDPR már hatályba lépett, a szabályai minden adatkezelő számára kötelezettségeket határozott meg. Nem kivétel ez alól a kamerák használatának adatvédelmi szabályozása sem.
Egy gyártó cég vezetése úgy döntött, hogy elektronikus megfigyelőrendszert épít ki, ami az üzem területén, több helyen figyeli majd – a cégvezetés szerint – különös figyelmet érdemlő területeket. Ezekből a kamerákból jutott a telephely több pontjára, utak, épületek külső megfigyelésére éppúgy, ahogy néhány a belső terekbe is. Így oldották meg például a munkavállalók által használt ebédlő kontrollját is, amely a munkavállalók közös étkezésére, és a munkaközi szünet eltöltésére kijelölt helyiségként üzemelt.
Kamerákból volt bőven, így jutott belőlük a munkavállalók által használt munkavégzési helyiségekbe is, melyek látóterét kifejezetten úgy állították, hogy azok kizárólag a munkavállalók megfigyelésére lettek alkalmasak. Ez már önmagában is jogellenes: a GDPR, az Info tv. és az MT is tiltja.
Kiderült, hogy a kamerás megfigyelőrendszer telepítéséről előzetesen nem tájékoztatták megfelelően az érintetteket. Ők a rendszer telepítése után szóban annyi tájékoztatást kaptak, hogy mostantól kamerarendszer üzemel az adott helyiségekben. Arról nem volt információjuk, hogy milyen célból telepítették azokat, mire alapozták a jogot a telepítésnél (tehát mi a jogalap), a felvételeket ki láthatja, hol és meddig tárolják azokat. Sem szóban, sem írásban nem kaptak mindezekről tájékoztatást, még írásos kérésükre sem.
A gyáron belüli feszültségekből hamarosan NAIH-bejelentés született, amit a hatóság kivizsgált és 2020-ban döntést is hozott.
Megállapítást nyert, hogy a GDPR és az Info tv. betartása több pontos is hiányt szenved:
- sérült a jogszerűség, tisztességes eljárás és átláthatóság elve (5. cikk (1) bek. a) pont)
- célhoz kötöttség elve (5. cikk (1) bek. b) pont)
- az adattakarékosság elve (5. cikk (1) bek. c) pont)
- hibás és/vagy hiányzik a jogalapok meghatározása (6. cikk (1) bek.)
- nem volt megfelelő az éritettek tájékoztatása (13. cikk (1)-(2) bek.)
Mindezeket egybevetve olcsón megúszta az adatkezelő, hiszen mindössze egy 500ezer forintos csekket kellett befizetniük. Ugyanakkor jóval kevesebb lett volna a költsége (bírság mentesen), ha szakemberre bízza a GDPR megfeleltetésből eredő feladatokat.