Az Alsó-Szászországban működő adatvédelmi hatóság 10,4 millió eurós (3,75 milliárd forintnak megfelelő) bírságot szabott ki egy elektronikai kiskereskedelmi láncra, amiért az bármilyen törvényes felhatalmazás nélkül, folyamatos videós megfigyelésnek vetette alá alkalmazottait az elmúlt két év során. A német szövetségi tartomány ezzel az EU általános adatvédelmi rendeletének (GDPR) hatályba lépése, illetve tényleges alkalmazásának 2018-as megkezdése óta az egyik legmagasabb összegű büntetést osztotta ki a személyes adatok védelmét és áramlását szabályozó törvények megsértéséért.

A notebooksbilliger.de AG (NBB) nevű, online kereskedelmi portált is üzemeltető vállalat laptopokat és más informatikai kiegészítőket árul, üzletei pedig Németország hét nagyvárosában működnek. A társaság két évvel ezelőtt telepített új videomegfigyelő rendszert raktáraiba, a boltok eladóterébe és a dolgozók által közösen használt helyiségekbe, állítólag azzal a céllal, hogy követhesse az áru mozgását, illetve megelőzhesse és kivizsgálhassa az esetleges lopásokat.

Az illetékes adatvédelmi biztos szerint azonban mindez nem jogosította volna fel a céget arra, hogy a megfigyelőrendszer 0-24 órában aktív legyen, ráadásul annak felvételeit 60 napig megőrizzék saját adtbázisukban. A jelek szerint az NBB tényleg meg volt győződve róla, hogy egy banális monitoring rendszert állít üzembeahogy azt Németországban és világszerte számtalan más vállalkozás is megtette már, a német adatvédelmi hatóság azonban úgy találta, hog ezzel súlyosan megsértette alkalmazottainak személyiségi jogait.

Az adatvédelmi biztos januárban kiadott közleménye nagyon komoly megfigyelési ügynek nevezte az NBB tevékenységét, és felhívta rá a figyelmet, hogy a rendszer használatának ilyen intenzitása masszívan jogsértő gyakorlatnak számít. Ebből kiderül, hogy a dolgozóknak egyáltalán nem kell feladni a GDPR által is biztosított jogaikat csak azért, mert a munkáltatójuk potenciális jövőbeni bűncselekményeket kíván megakadályozni – ha így lenne, az határtalan lehetőségeket adna a megfigyelő rendszerek üzemeltetőinek kezébe.

Csak úgy általában nem lehet megfigyelgetni

Másfelől a megfigyelésre szolgáló eszközök nem használhatók szabadon valamilyen általános prevenciós céllal: a munkáltatónak valamilyen megalapozott gyanúra lett volna szüksége, hogy folyamatosan rögzítse az alkalmazottak tevékenységét, és arra is csak korlátozott ideig lett volna lehetősége, semmiképpen sem évekig. A videomegfigyelő rendszerek, mivel egy adott személy teljes viselkedése nyomon követhető és elemezhető rajtuk keresztül, az adatvédelmi biztos szerint különösen alkalmasak a durva jogsértések elkövetésére.

A hatóság döntése arra is kitért, hogy a folyamatos monitorozás a munkavállalókat folyamatos stressz és nyomás alá helyezte, amelyben akaratlanul is úgy viselkedtek, hogy ne érje őket retorzió a magatartásuk miatt. Ennél is érdekesebb, hogy a rendszer a fizikai boltokba betévedő vásárlókat is rögzítette azok tudta és beleegyezése nélkül, ami minden bizonnyal a büntetés összegére is rápakolt egy nagy lapáttal – hasonlóan ahhoz a körülményhez, hogy a vállalat a lopások megakadályozásának egyéb lehetőségeit (mondjuk a távozó alkalmazottak csomagjának átvizsgálását) egyátalán nem merítette ki.

Az NBB időközben kiadott állásfoglalásában alaptalannak nevezte az ellene felhozott vádakat, a hatóság döntését pedig tévesnek és felelőtlennek minősítette. A cég vezérigazgatója szerint a videomegfigyelő rendszer technológiailag is alkalmatlan volt az egyes személyek viselkedésének elemzésére, az illetékes tisztviselők egyáltalán nem vették figyelembe az NBB saját érveit a harmadik éve húzódó vizsgálat során, különös tekintettel arra, hogy a társaság korábban éppen az adatvédelmi hatóság felszólítására végzett el bizonyos beállításokat a megfigyelő rendszeren, hogy az eleget tegyen a megfelelőségi követelményeknek.

A cégvezető mindehhez hozzáteszi, hogy a büntetés nagyságrendje a vállalkozás méretéhez viszonyítva abszurd módon magas, erre pedig nem lát más magyarázatot, mint hogy éppen velük akarnak példát statuálni a többi felhasználó és szervezet számára. (Éhen veszni azért nem fognak, miután az NBB eurómilliárdos nagyságrendű forgalommal dicsekedhet.) Az alsó-szászországi adatvédelmi hatóság egyébként valóban nem viccel, ha a GDPR érvényesítéséről van szó: tavaly októberben a H&M divatcikk-kiskereskedelmi láncot büntették 35,3 millió euróra (12,7 milliárd forintra) egy ehhez nagyon hasonló ügyben.