act legal covers all major European business centres.
Budapest • Amsterdam • Bratislava • Brussels • Frankfurt • Madrid • Paris • Prague • Vienna • Warsaw


Meet us at www.actlegal.com

Fitnesz és a GDPR – fókuszban az edzőtermek

Az Európai Unió 28 országában egységes európai általános adatvédelmi rendelet, a GDPR neve már igen sokaknak ismerősen cseng, különösen, hogy a rendelet által hozott változások hazánkban 670.000 céget érintenek ma is. A rendelet megsértése esetén elrendelhető akár 20 millió eurós bírság továbbra is elrettentő, különös figyelemmel arra, hogy a türelmi időszakot követő időben a magyar adatvédelmi hatóság (NAIH) európai viszonylatban is meglehetősen aktív, több esetben is szabott már ki bírságot. A NAIH által kiszabott bírság eddigi legmagasabb összege 30 millió forint volt. Jellemzően az érintetti jogok és az incidensek megfelelő kezelésének érvényesülését kezeli kiemelt figyelemmel a hatóság. Mindezek ellenére úgy tűnik, hogy számos hazai vállalkozás a rendelet hatályba lépése óta eltelt lassan másfél évben sem változtatott számottevően adatvédelmi gyakorlatán.

Mi a helyzet a fitnesz termekkel?

Vizsgálódásunk fő célkitűzése a különböző fitnesz termek honlapjainak és az azokon fellelhető adatvédelmi tájékoztatóknak, valamint szabályzatoknak az elemzése volt, amelyet „terepszemlével” is kiegészítettünk, azaz utánajártunk annak, hogy az egyes edzőtermekben megfelelő adatkezelési tájékoztatást kapnak-e a sportolni vágyók, illetve az adatkezelési gyakorlat megfelel-e a GDPR követelményeinek.

A vizsgált honlapok között egészen nagy eltéréseket tapasztaltunk, kezdve azzal, hogy egyáltalán található-e adatvédelmi tájékoztató a honlapon vagy sem. Meglepődve tapasztaltuk, hogy az általunk vizsgált közel két tucat edzőterem több mint harmada nem tett közzé adatkezelési tájékoztatót a honlapján. A többi terem esetében a fent lévő adatkezelési tájékoztatók között számos nem hatályos szabályozás szerepel. Gyakran találkoztunk olyan megoldással is, hogy az „Általános Szerződési Feltételek” vagy a „Házirend” részeként említették az adatkezelési gyakorlatot vagy éppen az adatkezelés szűk területét emelték ki, például az arcképes igazolvány készítését érintő kérdéseket – helytelenül, de erről a későbbiekben. Szintén gyakori jelenség a sütik (cookie) alkalmazásával kapcsolatos nem megfelelő tartalmú tájékoztatók.

A vizsgált honlapok körülbelül 60 %-nál tapasztaltuk, hogy az adatkezelési tájékoztatók már első ránézésre sem felelnek meg az új előírásoknak. amely kirívóan nagy szám a bírsággal való fenyegetettség szempontjából.

Helyszíni szemle – további problémák

Ezek után kíváncsiak voltunk arra, hogy a tapasztalt hiányosságok/nem megfelelőségek vajon a helyszínen is előfordulnak-e. Friss tapasztalataink azt mutatják, hogy nagyjából a honlapokon észlelt hibákat és hiányosságokat tükrözik az edzőtermek is; volt, ahol a házirend részeként szerepelt a tájékoztató, de sajnos az is előfordult, hogy az edzőterem recepciósai sem tudtak nekünk tájékoztatást nyújtani az adatkezelési tájékoztató fellelhetőségéről. Ezzel együtt találtunk példát arra is, hogy részletes, a GDPR szerint hatályosított adatkezelési tájékoztató került kifüggesztésre olyan edzőteremben, melynek a honlapjáról az teljesen hiányzott.

A fentiek alapján megállapítható, hogy az adatvédelem területén a fitnesz termeknél tapasztalt hiányosságok jellemzőek és kiterjedtek, de orvosolhatók is egyben.

Az adatvédelmi 1x1

Az alábbiakban összeszedtük, hogy melyek azok az alapvető lépések, amelyek feltétlenül szükségesek ahhoz, hogy a működés megfeleljen a GDPR-nak és ezáltal jó eséllyel elkerülhető legyen az adatvédelmi bírság kiszabása. Leszögezzük azonban, hogy nincs általános „recept” a teljes GDPR-megfelelésre, a soron következő to-do lista csupán segít eligazodni az adatvédelem területén, de nem ad teljeskörű megoldást, ezért minden esetben javasolt szakértő igénybevétele.

  1. Először is, ha honlappal rendelkezik a szolgáltató érdemes a weboldalt alaposan felülvizsgálni és frissíteni az új szabályozásnak megfelelően az adatkezelési tájékoztatót.

  2. Nagyon fontos, hogy az adatkezelési tájékoztató tartalmi megfelelősége még nem jelenti azt, hogy hátra dőlhetünk és nincs további teendő. A tájékoztatót a honlapon minden menüpontból könnyen elérhető, egyértelmű és jól látható helyre kell kihelyezni. Szintén legalább ennyire fontos, hogy az adatkezelési tájékoztató egy különálló dokumentumként kerüljön megjelölésre és ne valamely más jogi dokumentum, pl. házirend, általános szerződési feltételek részeként.

  3. Bár triviális, de ha a honlap több nyelven is üzemel, úgy valamennyi tartalmat több nyelven is elérhetővé kell tenni, így pl. a weboldal angol nyelvű verziójában ne a magyar nyelvű adatkezelési tájékoztató legyen elérhető (ez különösen fontos olyan edzőtermeknél, ahol gyakoriak a külföldi állampolgárságú, magyarul nem beszélő sportolni vágyók).

  4. Hírlevél adatbázis építése esetén felül kell vizsgálni a már meglévő adatbázis jogszerűségét, azaz, hogy a feliratkozásra vonatkozó hozzájárulások igazolható módon az adatkezelő rendelkezésére állnak-e. Az újonnan feliratkozók esetében pedig figyelemmel kell lenni arra, hogy a hozzájárulás feltételei a korábbi szabályozáshoz képest szigorúbbá váltak. A hírlevél feliratkozás nem kapcsolható össze kedvezményekkel, nyereményjátékokkal.

  5. A sütik alkalmazása az adatvédelmen belül is egy különálló kategória, ezért célszerű és javasolt a sütik alkalmazásával kapcsolatos tájékoztatót külön dokumentumként kezelni. Azon sütik vonatkozásában, amelyeknek alkalmazása hozzájáruláshoz kötött (pl. marketing célból elhelyezett sütik), már a felugró pop-up ablakban lehetővé kell tenni, hogy a látogató/felhasználó maga állíthassa be, hogy milyen sütiket szeretne engedélyezni a böngészés során.

  6. Napjainkban egyre népszerűbbé vált a személyi edző igénybevétele, azonban kevesen tudják, hogy még a személyi edzés alkalmával is sor kerül adatkezelésre, amely során szintén be kell tartani az adatvédelmi előírásokat. A személyi edző ugyanis a megfelelő, személyre szabott edzésterv kialakításához egészségügyi adatokat kezel (gyógyszeres terápia, betegségre vonatkozó adatok stb.). Az egészségügyi adatok különleges adatoknak minősülnek szenzitív jellegük miatt, ezért a GDPR csak kivételes esetekben teszi lehetővé kezelésüket, így például, ha ahhoz az érintett előzetesen, kifejezetten hozzájárult.

  7. Kiemeljük, hogy az egyes csoportos órákon való részvétel szintén személyes adatok kezelésével járhat, hiszen az edzők a résztvevők adatait (pl. az órán részt vevők névsora) szintén kezelik. A felelősség szempontjából különbséget kell tenni a munkavállalóként és a megbízottként órát tartó edzők között. A munkavállaló tevékenységéért „kifelé” a munkáltató a felelős, tehát az edzőtermet működtető vállalkozás felelőssége, hogy az edző az adatvédelmi előírásoknak megfelelően kezelje a tudomására jutott adatokat. Amennyiben vállalkozóként tart órát az edző, úgy a felelősség kérdése árnyaltabb lesz: adatfeldolgozónak, önálló adatkezelőnek, de akár közös adatkezelőnek is minősülhet az adott jogviszony természetétől függően (minden esetben egyedileg meg kell vizsgálni). Adatfeldolgozás esetében adatfeldolgozó csak és kizárólag írásbeli adatfeldolgozói szerződés megkötése mellett vehető igénybe.

  8. Általános tapasztalat, hogy az edzőtermek a regisztrált vendégekről képfelvételt készítenek, amely szintén adatkezelésnek minősül (a fotó is személyes adat). A GDPR előírásai szerint az adatkezelés megkezdése előtt tájékoztatni kell az érintetteket arról, hogy a személyes adatát milyen célból, jogalapon és mennyi ideig kezeljük. A regisztrációkor tehát javasolt nulladik lépésként beépíteni egy tájékoztatást az adatkezelés legfontosabb feltételeiről.

  9. Amennyiben a helyszínen kamerafelvétel készítésére kerül sor, szintén megvalósulhat személyes adat kezelése (a kép és/vagy hangfelvétel is személyes adat). A kamerák használata esetében ún. érdekmérlegelési tesztet kell lefolytatni arra vonatkozóan, hogy a kamerafelvétel nem sérti-e az érintettek jogait, illetve a videófelvétel készítéséhez fűződő érdek igazolható. Az érdekmérlegelési teszt eredményét nem kell elérhetővé tenni (kitűzni, feltölteni), de kérésre tájékoztatást kell nyújtani az érintetteknek.

  10. Az adatvédelmi tudatosság kiépítése elengedhetetlen a megfelelő működés kialakítása során. Ennek keretében a munkavállalók felkészítése az új adatvédelmi előírások lényegét érintően kulcs momentum, hiszen a megfelelő dokumentumok kialakítása mellett az is szükséges, hogy a munkavállalók értsék és tudják, hogy a dokumentumok hogyan épülnek bele a folyamatba, a mindennapi működésbe.

A fenti lista tehát nem teljeskörű, minden esetben egyedi vizsgálat szükséges a megfelelés kialakítása kapcsán. Mindemellett a fenti lépések megtételével a bírságkockázat csökkenthető.

Amennyiben az Ön adatvédelmi tájékoztatója sincs rendben vagy úgy érzi konzultálni szeretne, kérjük keresse dr. Sipőcz Guiditta Dalma ügyvédet!

dalma.sipocz@actlegal-bk.com
+36 1 501 5360

1117 Budapest, Alíz u. 1.
Office Garden A épület 5. emelet

Laworld Opten HVCA