DIABASTE DWREAN SEC 139
techmail
anga2023
DIGITAL TV 177
securityreport e mag odhgos 2021
19 Φεβρουαρίου 2019 23:24

Κάμερες σε γραφεία και πολυκατοικίες.

Είναι νόμιμη η χρήση τους; Τι προβλέπει ο εθνικός νόμος και ο ΓΚΠΔ (GDPR);

Γράφει: Του Κωνσταντίνου Μ. Τζίκα – Δικηγόρος & διαμεσολαβητής Υ.Δ.Δ.Α.Δ. (info@tzikas-lawfirm.gr).
3dff3e1311879c121838140cf91b3419 XL eaeccea8

Θέλω να εγκαταστήσω στα γραφεία της εταιρίας μου κλειστό κύκλωμα βιντεοεπιτήρησης των εργαζομένων μου, διότι έχω σοβαρές υπόνοιες ότι δύο εξ αυτών δεν εκτελούν σωστά τα καθήκοντά τους, είναι νόμιμο αυτό; Ο γείτονάς μου στην πολυκατοικία που διαμένω έχει τοποθετήσει κάμερα στην είσοδο του διαμερίσματός του, η οποία κάμερα λαμβάνει εικόνα και από τον ανελκυστήρα…

Θέλω να εγκαταστήσω στα γραφεία της εταιρίας μου κλειστό κύκλωμα βιντεοεπιτήρησης των εργαζομένων μου, διότι έχω σοβαρές υπόνοιες ότι δύο εξ αυτών δεν εκτελούν σωστά τα καθήκοντά τους, είναι νόμιμο αυτό;

Ο γείτονάς μου στην πολυκατοικία που διαμένω έχει τοποθετήσει κάμερα στην είσοδο του διαμερίσματός του, η οποία κάμερα λαμβάνει εικόνα και από τον ανελκυστήρα, αλλά και από την θύρα του διαμερίσματός μου. Νιώθω άβολα διότι θεωρώ ότι παραβιάζονται προσωπικά μου δεδομένα. Είναι νόμιμη η πράξη του αυτή; Μου αποστέλλονται στο mail μου ενημερωτικά newsletters προώθησης προϊόντων και υπηρεσιών από διάφορες εταιρίες, δίχως να έχω συναλλαχθεί ποτέ μαζί τους. Δικαιούνται να πράξουν αυτό;

Αυτά είναι μεταξύ άλλων ερωτήματα τα οποία απασχολούν σχεδόν καθημερινά τους πολίτες, αλλά και την Εθνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) η οποία καλείται να δώσει απαντήσεις, αλλά και να επιβάλει κυρώσεις σε όσους δεν συμμορφώνονται με τις υποδείξεις της.

Σε όλα τα ανωτέρω ζητήματα έρχεται και δίνει απαντήσεις τόσο ο ευρωπαϊκός γενικός κανονισμός προστασίας προσωπικών δεδομένων (ΓΚΠΔ) (2016/679 ΕΕ), γνωστός πλέον και ως GDPR, ο οποίος ήδη έχει τεθεί σε ισχύ από τις 25 Μαΐου 2018, όσο και ο εθνικός νόμος 2472/1997 ο οποίος, μέχρι να αλλάξει από το ελληνικό κοινοβούλιο, συμπληρώνει όσα δεν προβλέπει ο ανωτέρω ευρωπαϊκός κανονισμός.

Πριν δώσουμε τις απαντήσεις οι οποίες προβλέπονται στον ανωτέρω ευρωπαϊκό Κανονισμό, στον εθνικό μας νόμο αλλά και στις γνωστές πλέον οδηγίες της ΑΠΔΠΧ, είναι ωφέλιμο για τον αναγνώστη να δοθούν αυτολεξεί οι εξής ορισμοί, oι οποίοι προβλέπονται στο άρθρο 4 του ανωτέρω Κανονισμού αλλά και στο ελληνικό σύνταγμα:

Τι είναι δεδομένα προσωπικού χαρακτήρα; (Άρθρο 4 – ΓΚΠΔ)

“Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου”. Mε πιο απλά λόγια, προσωπικά δεδομένα είναι το ονοματεπώνυμο, ο αριθμός της ταυτότητάς, ο αριθμός του φορολογικού μητρώου (ΑΦΜ), η διεύθυνση του σπιτιού, ο αριθμός τηλεφώνου, ο αριθμός της πιστωτικής κάρτας, η πινακίδα του αυτοκινήτου, το e-mail κλπ.

Τι είναι η επεξεργασία;

“Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή”.

Τι είναι ο υπεύθυνος επεξεργασίας;

“Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους”.

Τι είναι ο εκτελών την επεξεργασία;

“Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας”.

Τι είναι ο αποδέκτης;

“Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι”.

 Τι είναι η συγκατάθεση του υποκειμένου των δεδομένων;

“Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν”.

Τι είναι η παραβίαση δεδομένων προσωπικού χαρακτήρα;

“Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία”.

Τι προβλέπει το άρθρο 9Α του Συντάγματος για την Προστασία προσωπικών δεδομένων (άρθρο 9Α Σ);

“Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει”.

Τι προβλέπει το άρθρο 5 § 1 του Συντάγματος για την Ελεύθερη ανάπτυξη της προσωπικότητας (άρθρο 5 § 1 Σ):

“Καθένας έχει δικαίωμα να αναπτύσσει ελεύθερα την προσωπικότητά του και να συμμετέχει στην κοινωνική, οικονομική και πολιτική ζωή της Χώρας, εφόσον δεν προσβάλλει τα δικαιώματα των άλλων και δεν παραβιάζει το Σύνταγμα ή τα χρηστά ήθη”.

Τι είναι το σύστημα βιντεοεπιτήρησης (άρθρο 4 οδηγίας υπ’αριθμ. 1/2011);

“Ως συστήµατα βιντεοεπιτήρησης, στα οποία περιλαμβάνονται ιδίως τα κλειστά κυκλώματα τηλεόρασης, ορίζονται τα συστήµατα που είναι µόνιµα εγκατεστηµένα σε ένα χώρο, λειτουργούν συνεχώς ή σε τακτά χρονικά διαστήµατα και έχουν τη δυνατότητα λήψης ή/και µετάδοσης σήµατος εικόνας ή/και ήχου από τον χώρο αυτό προς έναν περιορισµένο αριθµό οθονών προβολής ή/και µηχανηµάτων καταγραφής (πρβλ. και υπ’ αρ. 2/2010 Γνωµοδότηση της Αρχής, σκέψη 8). Η µετάδοση της εικόνας µπορεί να γίνεται µε απευθείας σύνδεση της κάµερας στην οθόνη προβολής ή/και στο µηχάνηµα καταγραφής ή µέσω εσωτερικού δικτύου ή µέσω διαδικτύου για περιορισµένο όµως αριθµό νοµιµοποιούµενων προς τούτο αποδεκτών”.

               

Είναι νόμιμη η παρακολούθηση εργαζομένων με κάμερες ασφαλείας;

Αναφορικά με την τοποθέτηση καμερών σε εργασιακό χώρο οι οποίες εστιάζουν σε πρόσωπα και συμπεριφορές, η αρχή προστασίας δεδομένων προσωπικού χαρακτήρα έχει αποφανθεί με την υπ’ αριθμ. 1/2011 οδηγία της (άρθρο 7) ότι η ανωτέρω παρακολούθηση είναι παράνομη.             

Ειδικότερα: (Άρθρο 7 – Απαγόρευση επιτήρησης στους χώρους εργασίας) Η εφαρμογή της αρχής της αναλογικότητας έχει ιδιαίτερη σηµασία στις περιπτώσεις λειτουργίας συστηµάτων βιντεοεπιτήρησης σε χώρους εργασίας. Το σύστηµα δεν θα πρέπει να χρησιµοποιείται για την επιτήρηση των εργαζοµένων εντός των χώρων αυτών, εκτός από ειδικές εξαιρετικές περιπτώσεις όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζοµένων ή την προστασία κρίσιµων χώρων εργασίας (π.χ. στρατιωτικά εργοστάσια, τράπεζες, εγκαταστάσεις υψηλού κινδύνου).

Εξάλλου, σύμφωνα με την υπ’αριθμ. 20/2017 απόφαση της ΑΠΔΠΧ “η βιντεοεπιτήρηση των γραφείων και των θέσεων εργασίας των εργαζοµένων συνιστά υπέρµετρη προσβολή των προσωπικών τους δεδοµένων ενώ αποτελεί απρόσφορο και αναποτελεσµατικό µέτρο για την προστασία του εξοπλισµού από κλοπή ή την ασφαλή επεξεργασία των τηρούµενων προσωπικών δεδοµένων, όπως αναλύθηκε στο σκεπτικό αυτής”.

Για παράδειγµα, σε έναν τυπικό χώρο γραφείων επιχείρησης, η βιντεοεπιτήρηση πρέπει να περιορίζεται σε χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριµένες αίθουσες γραφείων ή διάδροµοι. Εξαίρεση µπορεί να αποτελούν συγκεκριµένοι χώροι, όπως ταµεία ή χώροι µε χρηµατοκιβώτια, ηλεκτροµηχανολογικό εξοπλισµό κλπ., υπό τον όρο ότι οι κάµερες εστιάζουν στο αγαθό που προστατεύουν κι όχι στους χώρους των εργαζοµένων.

Επίσης, σε ειδικούς χώρους, όπως χώροι µε ηλεκτροµηχανολογικές εγκαταστάσεις, ο υπεύθυνος βάρδιας ή ο υπεύθυνος ασφαλείας µπορεί να παρακολουθεί σε πραγµατικό χρόνο τους χειριστές µηχανηµάτων υψηλής επικινδυνότητας, µε σκοπό να επέµβει άµεσα αν συµβεί κάποιο περιστατικό ασφαλείας.

Σε κάθε περίπτωση, τα δεδοµένα που συλλέγονται µέσω συστήµατος βιντεοεπιτήρησης δεν επιτρέπεται να χρησιµοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συµπεριφοράς και της αποδοτικότητας των εργαζοµένων (βλ. Οδηγία υπ’ αρ. 115/2001 για την επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων, τµήµα Ε’, παρ. 6 – 8).  

 Σύμφωνα με τα άρθρα 8, 10, 11, 12 και 13 της ανωτέρω οδηγία ο υπεύθυνος επεξεργασίας υποχρεούται:

1ον να τηρεί τα δεδομένα για συγκεκριµένο χρονικό διάστηµα ενόψει του επιδιωκόµενου κάθε φορά σκοπού επεξεργασίας.

2ον επιτρέπεται να διαβιβάζει σε τρίτους δεδοµένα που προέρχονται από σύστηµα βιντεοεπιτήρησης κατόπιν προηγούµενης συγκατάθεσης του υποκειµένου των δεδοµένων και όταν ο νόμος το ορίζει.

3oν υποχρεούται να γνωστοποιεί στην Αρχή την εγκατάσταση συστήµατος βιντεοεπιτήρησης πριν την έναρξη της επεξεργασίας, σύµφωνα µε το άρθρο 6 του 11 ν. 2472/1997. Βέβαια αυτή η υποχρέωση παύει πλέον να ισχύει ύστερα από την έναρξη ισχύος του γενικού κανονισμού προστασίας προσωπικών δεδομένων, αρκεί ο υπεύθυνος επεξεργασίας να λαμβάνει όλα εκείνα τα κατάλληλα οργανωτικά και τεχνικά µέτρα για το απόρρητο και την ασφάλεια των δεδοµένων, καθώς και για την προστασία τους από κάθε µορφή αθέµιτης επεξεργασίας. Να ενηµερώνει, πριν ένα πρόσωπο εισέλθει στην εµβέλεια του συστήµατος βιντεοεπιτήρησης,  µε τρόπο εµφανή και κατανοητό, ότι πρόκειται να εισέλθει σε χώρο που βιντεοσκοπείται. Προς τούτο, πρέπει: α) να αναρτώνται σε επαρκή αριθµό και εµφανές µέρος ευδιάκριτες πινακίδες, όπου θα αναγράφεται το πρόσωπο για λογαριασµό του οποίου γίνεται η βιντεοσκόπηση (υπεύθυνος επεξεργασίας), ο σκοπός, καθώς και το άτοµο µε το οποίο οι ενδιαφερόµενοι µπορούν να επικοινωνήσουν για να ασκήσουν τα δικαιώµατα που ο ν. 2472/1997 αναγνωρίζει στο υποκείµενο των δεδοµένων, όπως άλλωστε προβλέπει πλέον και ο ΓΚΠΔ.

Τέλος, το υποκείµενο των δεδοµένων έχει δικαίωµα πρόσβασης στα δεδοµένα του συστήµατος βιντεοεπιτήρησης που το αφορούν και ο υπεύθυνος επεξεργασίας υποχρεούται (άρθρο 13 της οδηγίας) να χορηγεί αντίγραφο του τµήµατος της εγγραφής σήµατος εικόνας όπου έχει καταγραφεί το υποκείµενο των δεδοµένων ή έντυπη σειρά στιγµιοτύπων από τις καταγεγραµµένες εικόνες ή, αναλόγως, να ενηµερώσει εγγράφως το ενδιαφερόµενο πρόσωπο µέσα στην ίδια χρονική διορία είτε ότι δεν απεικονίζεται είτε ότι το σχετικό τµήµα της εγγραφής έχει καταστραφεί.

Επίσης, το υποκείμενο των δεδομένων έχει το δικαίωμα να προβάλλει αντιρρήσεις για την επεξεργασία της εικόνας του από το σύστηµα βιντεοεπιτήρησης και να απαιτήσει τη διαγραφή ή τη δέσµευση (κλείδωµα) των δεδοµένων. Εάν ο υπεύθυνος επεξεργασίας δεν συμμορφωθεί, τότε έχει το δικαίωμα να προσφύγει στην αρχή προστασίας δεδομένων προσωπικού χαρακτήρα (ΑΠΔΠΧ) και να καταγγείλει την ανωτέρω παράνομη συμπεριφορά, δεδομένου ότι πραγματοποιείται χωρίς την ρητή του συγκατάθεση.

Αναφορικά με την τοποθέτηση καμερών στην είσοδο διαμερίσματος η οποία καταλαμβάνει και εικόνα πέραν της εισόδου, η απάντηση έχει δοθεί με την η υπ’ αριθμ. 5/2017 γνωμοδότηση της Αρχής Προστασίας Προσωπικών Δεδομένων με βάση την κείμενη νομοθεσία αλλά και την υπ’ αριθμ. 1/2011 Οδηγία της. Ειδικότερα, η ανωτέρω χρήση θεωρείται παράνομη διότι η εμβέλεια της κάμερας θα πρέπει να καταλαμβάνει μόνο τον απολύτως απαραίτητο χώρο μπροστά από τη θύρα εισόδου του διαμερίσματος του ενδιαφερομένου, χωρίς να επηρεάζονται σε καμία περίπτωση άλλα διαμερίσματα και επιπρόσθετα να μην λαμβάνεται επ’ ουδενί εικόνα από λοιπούς κοινόχρηστους χώρους, αλλά και να μην επηρεάζεται η είσοδος των διερχομένων προσώπων σε άλλα διαμερίσματα ή η διέλευση τους προς αυτά.

Τέλος, απαγορεύεται να αποστέλλονται ενημερωτικά newsletters σε mail φυσικού προσώπου, χωρίς την προηγούμενη ρητή συγκατάθεσή του (άρθρο 7 – ΓΚΠΔ). Επομένως το φυσικό πρόσωπο που θίγεται από την ανωτέρω παράνομη συμπεριφορά  έχει δικαίωμα να υποβάλλει καταγγελία στην ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων (εποπτική αρχή) της χώρας διαμονής του ή της χώρας εργασίας του. Εάν το πρόσωπο αυτό υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού αλλά και παραβίασης του δικαιώματος της ελεύθερης ανάπτυξης της προσωπικότητας και προστασίας αυτής, δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την ζημία που υπέστη σύμφωνα και με τον εθνικό νόμο, αλλά και σύμφωνα με τα άρθρα 77, 78, 79 & 82 του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων.

{gallery}6821{/gallery}

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΤΟ ΑΠΟΛΥΤΟ
ΠΕΡΙΟΔΙΚΟ
ΓΙΑ ΤΑ
ΣΥΣΤΗΜΑΤΑ
ΑΣΦΑΛΕΙΑΣ

ΕΠΙΚΟΙΝΩΝΙΑ
LIBRA PRESS
Καυκάσου 145, Αθήνα, 11364ΕΝΗΜΕΡΩΤΙΚΑ ΔΕΛΤΙΑ


Securityreport.gr - Το απόλυτο περιοδικό για τα συστήματα ασφαλείας
Libra Press © Copyright 2022 | All Rights Reserved
Dual Design