Simán. Rendszeresen megtörténik. De általában nem foglalkozik vele a világsajtó. A múlt heti eset virálissá válásának alapja, hogy egyik oldalról benne van a techno-korszak emberének végtelen kiszolgáltatottsága, a másik oldalról pedig az, hogy az egyes szerepekbe bárki belehelyezkedhetett. A férfi, a nő, a vezető, a beosztott, a csaló, a megcsalt, a csalással fantáziáló, a megcsalástól félő, szinte mindenki. Kommentelők befogadhatatlan mennyisége tört pálcát a pár felett vagy éppen bocsájtott meg nekik, ki-ki ízlése szerint. Sokan taglalták a helyzet munkajogi következményeit is: azóta már egyikük sem áll a munkáltató kötelékében.
Arról azonban kevesebb szó esett, hogy szabad-e, lehet-e embereket nyilvános rendezvényeken ilyen helyzetbe hozni, mint amilyenbe Kristin és Andy került. Ezért veszem elő újra a már kicsontozott a témát, mert erről – a helyzet bonyolultsága okán – muszáj pár gondolatot megosztani.
Vajon mi történne, ha egy hasonló eset Magyarországon fordulna elő?
A magyar jog szerint a képmás rögzítése és felhasználása – ideértve a csókolózó vagy ölelkező párok kivetítését is – személyiségi jogi védelem alatt áll. A Polgári Törvénykönyv (Ptk. 2:48. §) szerint: „Képmás vagy hangfelvétel elkészítéséhez és felhasználásához az érintett hozzájárulása szükséges.” Ez alól kivétel csak akkor van, ha a felvétel nyilvános közéleti szereplés során, tömegfelvételként vagy közérdekből történik. Egy koncerten történő csókjelenet azonban nem minősül közéleti szereplésnek, és a pár fókuszált kiemelése a tömegből kizárja a „tömegfelvétel”-re való hivatkozás lehetőségét is.
A GDPR 6. cikk (1) bekezdése alapján a képmás mint személyes adat kezelése csak akkor jogszerű, ha:
- az érintett hozzájárult (GDPR 6. cikk (1) a) pont), vagy
- a kezelés más jogalapon történik (pl. jogos érdek vagy szerződés teljesítése), de ez nem írhatja felül az érintett alapvető jogait.
Magyarországon tehát a „kiss cam” típusú kivetítés csak akkor lehet jogszerű, ha az érintettek előzetesen, egyértelműen és dokumentáltan hozzájárultak a képmásuk ilyen célú felhasználásához. Ezeknek a hozzájárulásoknak a beszerzése még online jegyvásárlás esetén is körülményes, nem elég felületes tájékoztatást követően a vásárlóval pipát rakatni egy négyzetbe, részletes tájékoztatót kell vele – utólag igazolható módon - elolvastatni az adatkezelés céljáról és módjáról. Egy ilyen tájékoztató “ijesztő” tartalma, valamint az online jegyvásárlás tranzakciós idejének megnövekedése értékesítési veszteséggel járhatna, ezért a jogszabályoknak megfelelő tájékoztatás és az explicit hozzájárulás megadásának lehetősége e körben gyakorlatilag lehetetlenül.
A hozzájárulás-alapú adatkezelés helyett felmerülhetne a jogos érdek alapú adatkezelés lehetősége is. Ez arról szól, hogy a koncertszervezőnek le kellene írni a tájékoztatóban, hogy a hangulat fokozása érdekében a szervező által felvételek készíthetőek és hozhatóak nyilvánosságra a koncert intim és bensőséges pillanatairól, és egy ún. érdekmérlegelési teszt nevű előzetesen kiadott dokumentumban meg kellene tudni magyarázni azt, hogy ez a szervező számára igen jövedelmező show-elem az érintett pár ember számára még a tűszúrás szintjének fájdalmát sem elérő jogvesztés. Ez szinte lehetetlen jogászi feladat lenne. Maradjunk tehát annyiban, hogy Magyarországon az ilyen típúsú hangulatfokozó módszerek tömegrendezvényeken jogszerűen nem működtethetők.
Ha valamely rendezvényszervező mégis látna a helyzetben fantáziát, és közszemlére tenne ölelkező párokat, az alábbi eshetőségekkel kellene számolnia.
Közigazgatási jogi következmény: adatvédelmi bírság. A GDPR megsértése esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a koncertszervező cég éves globális árbevételének 4%-áig terjedő bírságot is kiszabhat. Magyarországon álláspontom szerint egy hasonló eset 5-15 millió forint közötti bírságot eredményezne.
Polgári jogi következmény: sérelemdíj (Ptk. 2:52. §). Az érintett személyek a képmásuk jogosulatlan felhasználása miatt sérelemdíjat követelhetnek. A bíróság a jogsértés súlyától, a nyilvánosság mértékétől és az érintett társadalmi pozíciójától függően állapítja meg az összeget. Ez azt jelenti, ha férj és feleség, de szégyenlősek, akkor ez pár százezres összeget jelent csak, ha együtt vannak, de még nem szerették volna nyilvánosságra hozni a frigyet, akkor átcsúszunk hétszámjegyű összegbe, ha pedig a karrierük törik bele, mint az értékelt esetben, akkor ez már egy autó ára is lehet a két személyre vetítve.
Büntetőjogi következmény: akár szabadságvesztésig terjedő felelősségre vonás. Az eset tehát büntetőjogi relevanciával is bírhat. A Btk. 226. § szerint a képmás jogosulatlan felhasználása magánindítványra büntetendő. Súlyosabb esetben – ha például a felvétel szándékosan megalázó vagy zaklató céllal történik – akár zaklatás (Btk. 222. §) vagy becsületsértés (Btk. 226. §) is megvalósulhat.
Mindezekhez képest megvizsgáltuk a hat legnagyobb magyar esemény- és koncertszervező cég adatkezelési tájékoztatóit, és meglepő eredményre jutottunk. Ellövöm a poént: csókkamera használatának lehetősége egyik cég esetében sem merül fel.
A cégek egy részénél még marketingcélú kamerázás sincsen, csak és kizárólag a személy- és vagyonbiztonság fenntartása érdekében készítenek fix és mozgó, azaz biztonsági személyzet által viselt testkamerás felvételeket. Ezt a GDPR 6. cikk (1) f) pontja alapján, az adatkezelő jogos érdekére hivatkozva teszik. Ez a jogalap elfogadható, ha a felvételkészítés a biztonság fenntartása érdekében szükséges, és az érintetteket megfelelően tájékoztatják. Az egyik ilyen cégnél a tájékoztató szerint a részletes feltételeket a vagyonvédelmi szolgáltatók külön adatkezelési szabályzata tartalmazza, ezért a látogatók számára közvetlenül itt már nem világos, mennyi ideig őrzik a felvételeket vagy hogyan lehet élni a tiltakozási joggal. A tájékoztatás egyértelműsége és hozzáférhetősége ebben az esetben már súlyosan sérül.
Az esetek másik részében az adatvédelmi tájékoztató és a házirend kimondja, hogy a jegy megvásárlásával a látogató elfogadja a hang- és képfelvétel készítését, és a felvétel a rendezvényszervező weboldalán vagy social media oldalán is megjelenhet. Ez a megfogalmazás nem tesz különbséget biztonsági és marketingcélú felhasználás között, és nem ad információt a kezelt adatok köréről, a jogalapról, a tárolási időről vagy az érintetti jogokról. Ez a tájékoztatás nem felel meg a követelményeknek, ezért vitatható, hogy a látogató valódi hozzájárulása egyáltalán fennáll-e; sőt, kimondható, hogy a hozzájárulás biztosan nem explicit, tehát az ekként szabályozó cégek adatkezelési rendszere jogellenes.
Hiába írja rá tehát a szervező a jegyre, vagy küld az online vásárláskor (zömében nem előre, hanem azt követően!) tájékoztatót azzal a szöveggel, hogy „a belépéssel hozzájárulsz, hogy rólad a rendezvényen felvétel készüljön, és ez a felvétel nyilvánosságot kapjon”, ez nem minősíthető önkéntes hozzájárulásnak.
Az egyik nagy koncertszervező cég kifejezetten a GDPR 6. cikk (1) bekezdés b) pontjára hivatkozik, mint jogalapra a résztvevőkről való kamera- és képfelvételek kezelésénél. Az adatkezelési tájékoztatójuk szerint a rendezvényre váltott jegy által létrejövő szerződés teljesítéséhez szükséges a hang- és képfelvételek készítése és felhasználása. Az nem vitatott, hogy a jegyvásárlással egy szerződés jön létre a koncertszervező és a koncertlátogató között, a kérdés az, hogy ezt a szerződést lehet-e a kor követelményeinek megfelelően személyekről készített, beazonosíthatóságot lehetővé tevő felvételek készítése nélkül is teljesíteni?
Ez a legvékonyabb jég. A könnyelmű válasz az lenne, hogy igen, de a helyzet bonyolultabb.
A GDPR 6. cikk (1) bekezdés b) pontja akkor alkalmazható, ha a személyes adat kezelése „szükséges a szerződés teljesítéséhez” – vagyis anélkül a szolgáltatás nem, vagy csak érdemi sérelemmel nyújtható. A jegyvásárlás révén a koncertlátogató és a szervező között létrejövő szerződés elsődleges tárgya az, hogy az érintett beléphessen a helyszínre, élvezhesse az előadást, esetleg kiegészítő szolgáltatásokat kapjon. A szerződés teljesítéséhez általában nincs technikai szükség arra, hogy a résztvevők arcát ábrázoló felvételeket készítsenek, különösen marketing- vagy kereskedelmi célból.
Ugyanakkor ma már a koncertélmény elvárt része, hogy a kivetítőn időnként mutatják a közönséget, vagy a zenekar a közönség soraiból hív fel valakit a színpadra. Ezek a pillanatok valóban hozzátartoznak egy nagyszínpados show hangulatához, és bizonyos mértékig indokolhatják, hogy a szervező személyeket bemutató videotechnikát használjon. Ettől azonban még kérdéses, hogy a látogatók képmásának közzététele vagy promóciós felhasználása mennyiben „szükséges” a jegyvásárlási szerződés teljesítéséhez. A GDPR értelmezése során a hatóságok feljelentés esetén szűken fogják értelmezni a b) pontot: ha az adatkezelés nélkül is teljesíthető a szolgáltatás, akkor nem tekinthető szerződéses szükségességnek. Tehát ez a megoldás is egy időzített bírság-bomba.
Összességében elmondható, hogy a rendezvények bonyolultsága, biztosíthatósága, illetve élvezhetőségének fenntartása a koncertszervező cégek adatvédelmi szakembereit szép jogászi kihívások elé állítják. Dehát ezeket szeretjük. ☺
szerző:
Dr. Varga M. Péter - LL.M.
irodavezető ügyvéd
munkajogi és adatvédelmi szakjogász