Aς υποθέσουμε ότι βρίσκεστε στο γκαράζ ενός σούπερ μάρκετ και είστε έτοιμοι να φορτώσετε τα πράγματα στο αυτοκίνητο σας, όταν παρατηρείτε ένα βαθούλωμα στην πόρτα του οδηγού, που δεν υπήρχε πριν μπείτε στο γκαράζ. Για να ανακαλύψετε τι έχει συμβεί και να επανορθώσετε τη ζημιά, ζητάτε από τη διεύθυνση του σούπερ μάρκετ το "βίντεο" (εννοώντας το υλικό που έχει καταγράψει η κάμερα επιτήρησης) που υποψιάζεστε ότι περιέχει την αλήθεια για το τι συνέβη και πώς συνέβη και, κυρίως, το πρόσωπο και τον αριθμό αυτοκινήτου που σας προκάλεσε τη ζημιά.
Όμως, το σούπερ μάρκετ σας απαντά ότι έχει αναθέσει τη φύλαξη σε εταιρεία security, η οποία έχει τοποθετήσει τις κάμερες και έχει άμεση πρόσβαση στο υλικό.
Τι ακριβώς έχει συμβεί εδώ και πώς θα βρείτε το δίκιο σας;
Για να απαντήσουμε στη συγκεκριμένη ερώτηση πρέπει να εξηγήσουμε τι είναι το σύστημα CCTV, πότε θεωρείται αναγκαία η χρήση του συστήματος και ποιος έχει πρόσβαση σε αυτό.
Τι είναι το σύστημα CCTV;
Το CCTV σημαίνει κλειστό κύκλωμα τηλεόρασης, γνωστό και ως βιντεοεπιτήρηση. Τα συστήματα παρακολούθησης βίντεο παρακολουθούν τη συμπεριφορά, τις δραστηριότητες ή άλλες μεταβαλλόμενες πληροφορίες, συνήθως, ανθρώπων από απόσταση μέσω ηλεκτρονικού εξοπλισμού.
Η παρακολούθηση βίντεο μπορεί να περιλαμβάνει οτιδήποτε, από συστήματα κλειστού κυκλώματος τηλεόρασης ή αυτόματης αναγνώρισης πινακίδων, για την καταγραφή, αποθήκευση, λήψη ή προβολή οπτικών εικόνων για σκοπούς επιτήρησης.
Πότε θεωρείται αναγκαία η χρήση συστήματος βιντεοεπιτήρησης;
Γενικά, η αναγκαιότητα της χρήσης βιντεοεπιτήρησης με σκοπό την προστασία της περιουσίας του Υπεύθυνου Επεξεργασίας, τελειώνει στα όρια της ιδιοκτησίας του (EDPB, Guidelines 3/2019). Σε κάθε περίπτωση, υπάρχουν περιπτώσεις όπου η βιντεοεπιτήρηση της ιδιωτικής περιουσίας δεν είναι αποτελεσματική για την προστασία της. Υπάρχουν (μεμονωμένες, βεβαίως) περιπτώσεις, όπου μπορεί να καταστεί αναγκαία η επέκταση της βιντεοεπιτήρησης στο άμεσο εξωτερικό περιβάλλον. Υπό αυτή την έννοια, ο Υπεύθυνος Επεξεργασίας θα πρέπει να σκεφτεί σοβαρά και την υιοθέτηση φυσικών και τεχνικών μέσων που εμποδιζουν τη λήψη των συγκεκριμένων σημείων, όπως, για παράδειγμα το μπλοκάρισμα ή η τοποθέτηση μωσαϊκού στις αντίστοιχες τοποθεσίες.
Πρόσβαση στο μαγνητοσκοπημένο υλικό και διαβίβαση των δεδομένων
Οι ταινίες / DVD, όπου αποθηκεύονται τα εγγεγραμμένα βίντεο, καθώς και ο εξοπλισμός παρακολούθησης, πρέπει να τηρούνται με ασφάλεια σε χώρο περιορισμένης πρόσβασης και από, ειδικά προς τούτο, εξουσιοδοτημένο και εκπαιδευμένο προσωπικό.
Όλα τα πρόσωπα που έχουν δικαίωμα πρόσβασης στο μαγνητοσκοπημένο υλικό ενημερώνονται σχετικά με την υποχρέωση προστασίας των εν λόγω δεδομένων με σκοπό να εξασφαλισθεί ότι δεν θα μεταφέρουν, κοινοποιήσουν ή άλλως αποκαλύψουν το περιεχόμενο οποιουδήποτε βιντεοσκοπημένου υλικού της επιχείρησης σε τρίτα πρόσωπα με εξαίρεση τους εξουσιοδοτημένους παραλήπτες. Ανάλογη εκπαίδευση παρέχεται για όλα τα μέλη του προσωπικού.
Οι πληροφορίες που συλλέγονται ως αποτέλεσμα της επεξεργασίας των προσωπικών δεδομένων, συμπεριλαμβανομένων εικόνων CCTV, επιτρέπεται να κοινοποιηθούν και χωρίς συγκατάθεση των υποκειμένων, δηλαδή των φυσικών προσώπων που απεικονίζονται οι ίδιοι, ή προσωπικά τους δεδομένα (πχ. πινακίδες, αριθμοί ταυτότητας, έγγραφα κλπ.), μόνο στις αρμόδιες δικαστικές, εισαγγελικές και αστυνομικές αρχές, που οι τελευταίες ζητούν νομίμως κατά την άσκηση των καθηκόντων τους, όταν τα δεδομένα είναι αναγκαίο να χρησιμοποιηθούν ως αποδεικτικά στοιχεία για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή στο πλαίσιο διερεύνησης μιας αξιόποινης πράξης και μπορούν να συνεισφέρουν στη διερεύνηση των πραγματικών περιστατικών ή στην αναγνώριση των δραστών.
Συνεπώς, στην περίπτωση του παραδείγματος μας, ο Υπεύθυνος επεξεργασίας (δηλαδή το σούπερ μάρκετ) πρέπει να δώσει εντολή στον εκτελούντα την επεξεργασία (που είναι η εταιρεία security) να παραδώσει το υλικό στις αστυνομικές αρχές, εφόσον το θύμα της αξιόποινης πράξης προβεί σε μήνυση, καταγγελία, μηνυτήρια αναφορά, πάντως, σε ενέργειες που θα προκαλέσουν την εισαγγελική παρέμβαση και θα θέσουν σε λειτουργία την αστυνομική έρευνα.
Τα Dash Cams
Τα συστήματα βιντεοσκόπησης τα οποία εγκαθίστανται στο ταμπλό των οχημάτων είναι γνωστά ως "Dash Cams". Πρόσφατα, η Αρχή Προστασίας Δεδομένων της Ιρλανδίας (Irish Data Protection Commission) εξέδωσε οδηγίες σχετικά με τη χρήση των Dash Cams, καθώς η ολοένα αυξανόμενη χρήση τους καθιστά απαραίτητο να διαμορφωθεί μία κατάσταση συμμόρφωσής τους με τον GDPR. Ιδιαίτερη βαρύτητα δίδεται στο ζήτημα των ασφαλιστικών εταιρειών, μερικές από τις οποίες παρέχουν εκπτώσεις σε ασφαλιστήρια συμβόλαια όταν γίνεται η χρήση Dash Cam.
Αντίγραφο του βίντεο από Dash Cam μπορούν να ζητήσουν οι αστυνομικές αρχές στα πλαίσια της έρευνας ενός εγκλήματος, αρκεί να μπορούν να αποδείξουν ότι το συγκεκριμένο υλικό είναι απαραίτητο για τη διερεύνηση ή τη δίωξη ενός συγκεκριμένου αδικήματος που αφορά συγκεκριμένα πρόσωπα.
Στην περίπτωση που η ασφαλιστική εταιρεία ζητήσει πλάνα από Dash Cam λόγω ατυχήματος, θα πρέπει να προϋπάρχει συμφωνία μεταξύ σας, όπου η ασφαλιστική εταιρεία θα εγγυάται ότι έχει λάβει όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την προστασία του εν λόγω υλικού, όπως επίσης ότι δε θα τα διαβιβάσει σε τρίτους χωρίς νόμιμη αιτία, ότι θα αποθηκευτούν για συγκεκριμένο χρονικό διάστημα και, γενικά, ό,τι προβλέπει ο GDPR στα άρθρα του 13 και 14.
Επιτήρηση στο χώρο εργασίας - τα βασικά
Σύμφωνα με το GDPR, οι εργοδότες δικαιούνται να παρακολουθούν τη δραστηριότητα των εργαζομένων, εάν όμως έχουν νόμιμη βάση για κάτι τέτοιο και ο σκοπός της παρακολούθησής τους κοινοποιείται σαφώς στους εργαζομένους εκ των προτέρων.
Λόγω της έλλειψης ισορροπίας της εξουσίας στη σχέση εργοδότη-εργαζομένου, οι εργοδότες δεν μπορούν πλέον να βασίζονται στη συγκατάθεσή τους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Για τις επιχειρήσεις, οι καταλληλότεροι λόγοι είναι κατά πάσα πιθανότητα το νόμιμο συμφέρον του εργοδότη (υπεύθυνος επεξεργασίας δεδομένων).
Υπάρχουν πολλοί νόμιμοι επιχειρηματικοί λόγοι για τους οποίους οι εργοδότες παρακολουθούν τους υπαλλήλους που χρησιμοποιούν CCTV. Οι νόμιμες βάσεις παρακολούθησης περιλαμβάνουν τη διατήρηση της ασφάλειας γενικά και την ασφάλεια των εργαζομένων ειδικότερα, την πρόληψη της εγκληματικότητας, την αποτροπή παραπτωμάτων των εργαζομένων, τη διασφάλιση της τήρησης των διαδικασιών υγείας και ασφάλειας, την παρακολούθηση και, σε ορισμένες περιπτώσεις, τη βελτίωση της παραγωγικότητας.
Οι εργοδότες πρέπει να εφαρμόζουν εξασφαλίσεις και μέτρα συμμόρφωσης για να διασφαλίσουν ότι τα δικαιώματα των εργαζομένων δεν θίγονται σε καμία περίπτωση. Εάν ένας εργαζόμενος αντιταχθεί στη χρήση κάμερας CCTV σε μια συγκεκριμένη περιοχή στο χώρο εργασίας, η νέα δοκιμή-τοποθέτηση επιβαρύνει τον εργοδότη για να αποδείξει ότι έχει "επιτακτικούς νόμιμους λόγους" για επεξεργασία που υπερισχύει των δικαιωμάτων των εργαζομένων ή για τη δημιουργία, άσκηση ή υπεράσπιση νομικών αξιώσεων.
Η παρακολούθηση των υπαλλήλων μέσω συστήματος CCTV θα πρέπει να περιορίζεται σε περιοχές όπου ο κίνδυνος παραβίασης των δικαιωμάτων απορρήτου των εργαζομένων είναι χαμηλός. Η χρήση κάμερας CCTV που παρακολουθεί συνεχώς μια επιλεγμένη ομάδα εργαζομένων σε μια συγκεκριμένη περιοχή είναι πιο πιθανό να θεωρηθεί παρεμβατική από εκείνες που παρακολουθούν όλους τους υπαλλήλους σε έναν γενικό χώρο εισόδου.
Ο σκοπός του συστήματος CCTV πρέπει να ακολουθεί τους κανόνες ενημέρωσης ή συγκατάθεσης των υπαλλήλων μέσω της ενημέρωσης περί απορρήτου. Σύμφωνα με τις απαιτήσεις του GDPR, οι εργοδότες έχουν υποχρέωση να ενημερώσουν τους εργαζόμενους ξεκάθαρα και με σαφήνεια. Η γενική τοποθέτηση για τη χρήση του συστήματος CCTV στο χώρο εργασίας είναι για λόγους ασφαλείας, αλλά η χρήση για την παρακολούθηση της απόδοσης ή συμπεριφοράς των εργαζομένων δεν είναι προφανής λόγος. Ως εκ τούτου, οι εργαζόμενοι πρέπει να ενημερώνονται σαφώς προτού καταγράψουν τα προσωπικά τους δεδομένα για το σκοπό αυτό. Η ίδια προσέγγιση στην ειδοποίηση πρέπει να υιοθετηθεί εάν ο σκοπός της επιτήρησης του συστήματος CCTV είναι επίσης για λόγους υγείας και ασφάλειας.
Ποιος είναι ο κίνδυνος της δημιουργίας προφίλ CCTV στο GDPR;
Σύμφωνα με το άρθρο 35 του GDPR, κάθε υπερβολική χρήση της παρακολούθησης μέσω συστήματος CCTV των εργαζομένων ενέχει τον κίνδυνο δημιουργίας προφίλ και θεωρείται ως "υψηλού κινδύνου", σύμφωνα με τις οδηγίες που εκπόνησε η ομάδα εργασίας του άρθρου 29. Αυτό απαιτεί εκτίμηση των επιπτώσεων στην προστασία δεδομένων ("DPIA"). Μια DPIA εξετάζει κατά πόσο η επιτήρηση είναι απαραίτητη και ανάλογη προς το τι επιδιώκει ο εργοδότης με βάση τους κινδύνους για τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα, συμπεριλαμβανομένης της λήψης μέτρων προστασίας ή μέτρων ασφαλείας που θα εφαρμόσει ο υπεύθυνος της επεξεργασίας.
Τι πρέπει να εξετάσουν οι εργοδότες;
Οι εργοδότες θα πρέπει να λάβουν υπόψη τις νέες απαιτήσεις του GDPR εάν σκοπεύουν να εγκαταστήσουν κάμερες CCTV για οποιονδήποτε σκοπό. Θα πρέπει να αντιμετωπιστούν τα δικαιώματα των εργαζομένων, των δυνητικών πελατών και των άλλων μερών, λαμβάνοντας υπόψη ότι η παρακολούθηση μπορεί να πραγματοποιηθεί μόνο εάν υπάρχει νόμιμη βάση για κάτι τέτοιο. Οι εργοδότες πρέπει να θυμούνται ότι τα προσωπικά δεδομένα που συλλέγονται πρέπει να χρησιμοποιούνται και να διατηρούνται μόνο για την εκπλήρωση του αρχικού τους σκοπού και η ειδοποίηση (ταμπελάκι) με την οποία συμμορφώνονται με το GDPR πρέπει να υπάρχει εμφανώς και σε όλες τις τοποθεσίες που υπάρχουν κάμερες.
Συνιστάται στους εργοδότες να σχεδιάσουν μια σειρά πολιτικών προστασίας προσωπικών δεδομένων σχετικά με τη χρήση συστήματος CCTV. Οι πολιτικές αυτές πρέπει να αφορούν τους σκοπούς για τους οποίους διεξάγεται η επιτήρηση μέσω συστήματος CCTV, οι συνθήκες υπό τις οποίες θα πραγματοποιηθεί η παρακολούθηση, η φύση της παρακολούθησης, ο τρόπος με τον οποίο θα χρησιμοποιηθούν τα προσωπικά δεδομένα των ατόμων, καθώς και τον αντίκτυπο στα δικαιώματα των υποκειμένων.
Οι εργοδότες θα πρέπει να εξασφαλίσουν ότι διαθέτουν έγκυρη και επαρκή σήμανση σε περιοχές όπου έχουν εγκατασταθεί κάμερες CCTV. Οι εργοδότες θα πρέπει επίσης να θέσουν σε εφαρμογή κατάλληλα τεχνικά και οργανωτικά μέτρα για να μετριάσουν κάθε κίνδυνο που συνεπάγεται παραβίαση των ατομικών δικαιωμάτων των εργαζομένων, όπως απαιτείται από το GDPR. Τα συστήματα CCTV είναι εγγενώς ευάλωτα σε επιθέσεις στον κυβερνοχώρο όταν συνδέονται με το Διαδίκτυο ή το σύννεφο (cloud) και η ασφάλεια και η προστασία της ιδιωτικής ζωής των δεδομένων που τηρούνται διασφαλίζονται καλύτερα με τον περιορισμό της πρόσβασης σε αυτά και με την ύπαρξη ισχυρών συστημάτων για την αποφυγή επιθέσεων από το Διαδίκτυο, κακόβουλο λογισμικό.
Τέλος, η χρήση του CCTV στον χώρο εργασίας από τον εργοδότη μπορεί να δημιουργήσει πολύπλοκα νομικά ζητήματα υπό το πρίσμα των νέων απαιτήσεων GDPR, ανάλογα με το σκοπό της επιτήρησης. Όπου η αναλογικότητα της επεξεργασίας δεν είναι σαφής, συνιστώνται εξειδικευμένες νομικές συμβουλές για να διασφαλιστεί ότι η χρήση είναι συμβατή με το GDPR.
*Η κα Αγγελική Μητροπούλου είναι Δικηγόρος (CIPP/E)) - Υπεύθυνος Προστασίας Δεδομένων, και Εταίρος GAGDPR