A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ugyanis olvasta a sajtóban tavaly megjelent híreket a tevezett, siófoki biometrikus adatkezelésről, és hivatalból indított adatvédelmi hatósági eljárást, melynek eredményeként még meg is bírságolta az adatkezelőt.
A tervezett kamerarendszer ugyanis nem volt rendben a hatósági vizsgálat alapján. Annak ellenére sem, hogy az arcképeket letároló és összehasonlító térfigyelő rendszer a polgármester nyilatkozata szerint nincsen összekötve semmilyen adatbázissal, az adatok másik adatbázisba nem kerülnek továbbításra, kizárólag a rendszer tárolná azokat. A feltételes mód azért indokolt, mert valójában soha nem is kapcsolták be az arcképfelismerést.
A rendszerrel egyébként az érintett mozgását követnék le, és a megjelölt arcképet a rendszer csak a saját adatbázisában lévő arcképekkel hasonlítaná össze. Ez azonban nem változtat azon a tényen, hogy ilyen esetben is a szigorúbb adatvédelmi kereteket kellene figyelembe venni (vö.: személyes adatok különleges kategóriáinak fokozottabb védelme). Az adatkezelő által elkészített előzetes hatásvizsgálat szerint azonban a mesterséges intelligencia használata magas kockázattal járna az érintettek jogaira nézve (ezért nem is kapcsolták be).
A hatóság szerint a hatályos jogszabályok egyébként nem teszik lehetővé biometrikus adatokat kezelő közterületi térfigyelő rendszer működtetését Magyarországon.
Még akkor sem, ha az ellenőrzött fél arra hivatkozott, hogy a Fővárosi Főügyészség sajtóközleménye egy olyan terrorcselekmény elkövetésének előkészületével kapcsolatos vádemelésről számolt be, melynek egyik elkövetési helyszíne a siófoki sétány lett volna. Ezzel is alátámasztani kívánták ugyanis azt, hogy a sétány bűnüldözési és bűnmegelőzési szempontból kiemelkedő jellegű.
A hatóság mindezt nem vitatta, ugyanakkor – a szükségesség-arányosság szempontjából – rámutatott, hogy ebben az ügyben is a bűnüldöző hatóságok előkészületi szakban megakadályozták a bűncselekményt anélkül, hogy a sétányon elhelyezett és mesterséges intelligenciával ellátott arcfelismerő kamerarendszert igénybe vették volna.
A konkrét adatkezelés kapcsán a hatóság rámutatott arra is, hogy, ha a különböző adatkezelők vagy az egyes adatkezelők alkalmazásában álló különböző felhasználók az adatkezeléssel kapcsolatos feladatellátásuk függvényében eltérő adatkezelési tevékenységet jogosultak ellátni, akkor az eltérő jogosultságuknak megfelelő hozzáférési jogosultság beállítása szükséges.
Az egyes felhasználók számára beállított különböző adatkezelési műveletekre vonatkozó jogosultságokról pedig naprakész nyilvántartást kell vezetni. A Dahua kamerák jogosultságkezelése kapcsán a hatóság eljáró tagja ezzel ellentétben azt állapította meg, hogy Police, Technotel, Operátor és Adminisztrátor szerepkörök voltak beállítva, továbbá Police, Városőrség, Technotel és System felhasználó került rögzítésre.
Egyetlen élő és használható logállományból annyi volt megállapítható, hogy system administrator jogosultsággal szerepkör és felhasználó törlés, létrehozás és módosítás történt 2021. augusztus 26. napján 13 óra 13 perc és 13 óra 22 perc között. Törölt felhasználónevek: Laci, user; törölt szerepkörök: Glaci, Nezo; hozzáadott szerepkör: police; míg módosított felhasználó: Police, Technotel voltak. Egyéb log állomány vizsgálatára a rendszer alkalmatlan volt.
Az elégtelen logolás oka – amit ellenőrzés alá vont kör végig vitatott, illetve cáfolni kívánt – ismeretlen maradt, a gyártó pedig azt állította, hogy ő csak eszközt szállította, a rendszert nem. A hatóság végül több problémát is feltárt, és végül ötszázezer forint adatvédelmi bírságot szabott ki.
Kép: Gyömbér Béla, illusztráció
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: