Ασφάλεια ή Προστασία Προσωπικών Δεδομένων; Υπάρχει άραγε συμβιβαστική λύση;

Το δίλημμα ασφάλεια ή προστασία προσωπικών δεδομένων, ειδικά σε σχέση με τη χρήση καμερών, εμφανίστηκε από τα πρώτα χρόνια δραστηριότητας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και αποτέλεσε ένα από τα πρώτα τομεακά αντικείμενα που απασχόλησαν τις αντίστοιχες Ευρωπαϊκές Αρχές κατά το πρώτο μισό της πρώτης δεκαετίας του αιώνα μας. Από την ΑΠΔΠΧ αντιμετωπίστηκε…

Το δίλημμα ασφάλεια ή προστασία προσωπικών δεδομένων,  ειδικά σε σχέση με τη χρήση καμερών, εμφανίστηκε από τα πρώτα χρόνια δραστηριότητας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και αποτέλεσε ένα από τα πρώτα τομεακά αντικείμενα που απασχόλησαν τις αντίστοιχες Ευρωπαϊκές Αρχές κατά το πρώτο μισό της πρώτης δεκαετίας του αιώνα μας. Από την ΑΠΔΠΧ αντιμετωπίστηκε τόσο ρυθμιστικά όσο και «ελεγκτικά».

Σήμερα, μετά από πάνω από 20 έτη λειτουργίας της ΑΠΔΠΧ, υπάρχει πλούσια νομολογία σχετικά με τη χρήση καμερών για σκοπούς ασφαλείας, τόσο με αποφάσεις σε μεμονωμένες περιπτώσεις, όσο και με ρυθμιστικές κατευθυντήριες οδηγίες σε εθνικό και ευρωπαϊκό επίπεδο. Οι τεχνολογικές δυνατότητες των συστημάτων ασφαλείας γίνονται ολοένα και περισσότερο εξελιγμένες, τα συστήματα βιντεοπιτήρησης παρέχουν πολύ περισσότερους αυτοματισμούς, ενώ παράλληλα το κόστος απλών λύσεων έχει ελαττωθεί καθιστώντας τες προσιτές σχεδόν στον καθένα.

Η αναπόφευκτη πρόοδος της τεχνολογίας δημιούργησε την ανάγκη προσαρμογής της νομοθεσίας. Στο πλαίσιο αυτό, από τις 25.5.2018 ξεκινάει μετά από περίοδο προσαρμογής 2 ετών, η εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ ή ευρύτερα γνωστός με τα αγγλικά αρχικά GDPR). Ο κανονισμός αλλάζει το τοπίο για όσους επεξεργάζονται προσωπικά δεδομένα, άρα και στο πεδίο των συστημάτων βιντεοεπιτήρησης, «μεταφέροντάς» τους την ευθύνη για την  πλήρη απόδειξη του νόμιμου των ενεργειών τους (αρχή της λογοδοσίας). Παράλληλα, στο σχέδιο νόμου που τέθηκε υπό διαβούλευση στα τέλη του Φεβρουαρίου από το Υπουργείο Δικαιοσύνης Διαφάνειας και Ανθρωπίνων Δικαιωμάτων προτάθηκαν ειδικές διατάξεις για τα κλειστά κυκλώματα τηλεόρασης, στη λογική των υφιστάμενων οδηγιών της ΑΠΔΠΧ.

Νομοθεσία και προσωπικά δεδομένα

Πριν λοιπόν προσπαθήσουμε να μελετήσουμε την επίπτωση του GDPR στη  βιντεοεπιτήρηση αξίζει τον κόπο να την αναλύσουμε, από πλευράς νομοθεσίας για τα προσωπικά δεδομένα.

Η ΑΠΔΠΧ  έχει εκδώσει την οδηγία 1/2011 με την οποία, σε συνδυασμό με το αρ. 14 παρ. 5 του ν.  3917/2011 και το ν. 2472/1997 (το σημερινό νόμο για τα προσωπικά δεδομένα), ρυθμίζεται η χρήση συστημάτων βιντεοεπιτήρησης για σκοπούς προστασίας προσώπων και αγαθών. Η εικόνα ενός προσώπου θεωρείται προσωπικό δεδομένο, ιδίως σε ένα σύστημα ασφαλείας, καθώς ο στόχος κάθε τέτοιου συστήματος είναι να μπορεί από την λαμβανόμενη εικόνα να ταυτοποιηθεί το εικονιζόμενο πρόσωπο, ώστε σε περίπτωση περιστατικού, να δοθεί η εικόνα του στις αρμόδιες διωκτικές αρχές.

Κρίσιμο για την εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα είναι να ορισθεί ποιος είναι ο «υπεύθυνος επεξεργασίας» και ποιος ο ακριβής «σκοπός» που αυτός επιδιώκει με τη χρήση καμερών. Υπεύθυνος επεξεργασίας είναι πάντοτε αυτός (φυσικό ή νομικό πρόσωπο) που έχει έννομο συμφέρον (ή νομική υποχρέωση ή αρμοδιότητα) να προστατεύσει ένα χώρο και τα αγαθά που βρίσκονται στον χώρο αυτό από παράνομες πράξεις. Επομένως, υπεύθυνος επεξεργασίας είναι ο ιδιοκτήτης ή ο διαχειριστής του χώρου.

Στο σκοπό της προστασίας προσώπων και αγαθών περιλαμβάνεται η ασφάλεια της ζωής, της σωματικής ακεραιότητας, της υγείας καθώς και της περιουσίας όλων όσων νομίμως βρίσκονται στον επιτηρούμενο χώρο. Ο σκοπός αυτός δεν πρέπει να συγχέεται με τη δίωξη των εγκλημάτων, την πάταξη της τρομοκρατίας ή ακόμα και την εθνική ασφάλεια, καθώς αυτοί μπορεί να επιδιώκονται μόνο από τις αρμόδιες κρατικές αρχές με βάση τις δικές τους ειδικές διατάξεις. Να σημειωθεί ότι η νομοθεσία για τα προσωπικά δεδομένα δεν εφαρμόζεται για αποκλειστικά οικιακές ή προσωπικές δραστηριότητες, όπως για παράδειγμα για την προστασία μια οικίας, όταν η λήψη εικόνας περιορίζεται σε ιδιόκτητους χώρους.

Όπως και στη σημερινή νομοθεσία, έτσι και στο GDPR, η νομιμότητα χρήσης καμερών κρίνεται με βάση το «υπέρτερο έννομο συμφέρον» του υπεύθυνου επεξεργασίας. Πράγματι, στα συστήματα βιντεοπιτήρησης είναι πρακτικά αδύνατη η συγκατάθεση ενός προσώπου, άρα, απουσία ειδικής διάταξης, μόνη νομική βάση αποτελεί το αρ. 6 παρ. 1 στ) του Κανονισμού το οποίο ορίζει ότι «Η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί».

Εφαρμογή της αρχής της αναλογικότητας

Πώς αναλύεται όμως στην πράξη (και μάλιστα από μη νομικούς) η ανωτέρω διάταξη, που είναι στην ουσία η εφαρμογή της αρχής της αναλογικότητας;

Ο ρόλος του υπεύθυνου επεξεργασίας είναι να βρει την κατάλληλη ισορροπία μεταξύ των αναγκών του και των δικαιωμάτων των προσώπων που βρίσκονται στο χώρο.  Από τη μία πλευρά της ζυγαριάς τοποθετούνται οι ανάγκες του υπευθύνου. Οφείλει, λοιπόν, να τεκμηριώσει αναλυτικά τους κινδύνους ασφάλειας και να προσδιορίσει με όσο πιο μεγάλη ακρίβεια, τις παραβάσεις που προσπαθεί να αποτρέψει. Όσο πιο μεγάλοι οι κίνδυνοι, τόσο πιο εύκολη η απόφαση, όσο πιο ασήμαντες οι παραβάσεις που προσπαθεί να αποτρέψει, τόσο μικρότερη η ανάγκη. Για την άλλη πλευρά της ζυγαριάς, ο υπεύθυνος οφείλει να εκτιμήσει τις επιπτώσεις για τα δικαιώματα των επιτηρούμενων προσώπων. Ποιοι επηρεάζονται; Τι δραστηριότητα κάνουν; Είναι αυτή στενά συνδεδεμένη με την προσωπικότητά τους; Θίγονται «θεμελιώδη δικαιώματά τους»;  Έχουν εξαντληθεί άλλα ηπιότερα μέσα; Ικανοποιείται η αρχή της ελαχιστοποίησης των δεδομένων με τον περιορισμό των καμερών μόνο στις απολύτως απαραίτητες;

Η στάθμιση αυτή δεν είναι καθόλου εύκολη. Γι’ αυτό και η ΑΠΔΠΧ με την οδηγία 1/2011 έχει δώσει παραδείγματα για το τι πρέπει να θεωρείται νόμιμο και τι όχι, για αρκετές γενικές περιπτώσεις και για συγκεκριμένους επαγγελματικούς κλάδους. Η οδηγία αυτή θα πρέπει να αποτελεί γενικό κατευθυντήριο κείμενο, ακόμα και μετά τη θέση σε εφαρμογή του GDPR. Επίσης, ζητήματα όπως ο χρονικός περιορισμός της επιτήρησης (στις 15 μέρες εκτός εξαιρέσεων) και ο περιορισμός αποδεκτών μόνο στις αρμόδιες αρχές είναι πρωταρχικής σημασίας και διατηρούνται και στο προσχέδιο νόμου.

Νέες υποχρεώσεις στους χρήστες καμερών

Η εφαρμογή του GDPR δημιουργεί νέες υποχρεώσεις για κάθε έναν που χρησιμοποιεί κάμερες. Υπεύθυνοι επεξεργασίας δεν είναι μόνο μεγάλα καταστήματα ή βιομηχανίες, που διαθέτουν ικανούς ανθρώπινους και οικονομικούς πόρους, αλλά και μικρές επιχειρήσεις και επαγγελματίες ή ακόμα και πολυκατοικίες. Όλοι όμως οφείλουν να ικανοποιούν τα προβλεπόμενα από τη νομοθεσία δικαιώματα των φυσικών προσώπων που επιτηρούνται, τα οποία ενισχύονται με τον Κανονισμό. Οι υποχρεώσεις δεν εξαντλούνται με την υποχρέωση ανάρτησης μιας ενημερωτικής πινακίδας (δικαίωμα ενημέρωσης), αλλά ο υπεύθυνος οφείλει να είναι σε θέση να απαντήσει ικανοποιητικά σε αιτήματα άσκησης δικαιωμάτων (πρόσβασης – αντίρρησης σήμερα, πρόσβασης – διόρθωσης – διαγραφής – περιορισμού μετά την 25η Μαΐου) αλλά ακόμα και να διαθέτει διαδικασία ανακοίνωσης περιστατικού παραβίασης στην ΑΠΔΠΧ ή στα επηρεαζόμενα πρόσωπα σε περίπτωση που χρειαστεί.

Εκ πρώτης όψεως,  το «νέο τοπίο» του GDPR δείχνει «ανασφαλές» για έναν υπεύθυνο επεξεργασίας. Περισσότερες υποχρεώσεις και, όπως θα έχετε ήδη ακούσει, φόβος για μεγαλύτερα πρόστιμα. Η όποια «ασφάλεια» παρείχε η (άκρως γραφειοκρατική κατά την άποψη του συγγραφέα) υποχρέωση γνωστοποίησης στην ΑΠΔΠΧ καταργείται. Ο κάθε υπεύθυνος, μικρός ή μεγάλος, οφείλει, με βάση την αρχή της λογοδοσίας, να μπορεί να αποδεικνύει προληπτικά το νόμιμο των ενεργειών του. Για τις σχετικά μεγάλες επιχειρήσεις, αυτό μπορεί να είναι εφικτό. Πως όμως θα αντιμετωπίσουν το GDPR οι μικρές επιχειρήσεις που χρησιμοποιούν συστήματα ασφαλείας; Πως θα προσαρμοστούν οι πολύ μικροί υπεύθυνοι επεξεργασίας (π.χ. οι πολυκατοικίες);

Ο GDPR παρέχει στα άρθρα 24-34 μια σειρά από «εργαλεία» για την εξασφάλιση της νομιμότητας. Είναι, καταρχήν, στην ευθύνη του κάθε υπευθύνου να επιλέξει το κατάλληλο για αυτόν εργαλείο. Αλλά ας δούμε την πραγματικότητα.

Από τις υποθέσεις που έχουν φτάσει στην ΑΠΔΠΧ και τις έως σήμερα γνωστοποιήσεις φαίνεται ότι λίγα είναι τα «μεγάλης κλίμακας» συστήματα βιντεοεπιτήρησης. Για παράδειγμα, στην κατηγορία αυτή εμπίπτουν μεγάλα εμπορικά κέντρα ή σταθμοί διακίνησης επιβατών. Υπεύθυνοι επεξεργασίας αυτής της κατηγορίας χρησιμοποιούν κατά κανόνα ολοκληρωμένα συστήματα ασφάλειας και διαθέτουν αυξημένους πόρους για τη λειτουργία τους. Αναμένεται ότι θα έχουν υποχρέωση τήρησης αρχείων δραστηριοτήτων επεξεργασίας και ορισμού υπευθύνου προστασίας δεδομένων (DPO). Η χρήση του «εργαλείου» της εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) είναι η πλέον κατάλληλη για τέτοιες εγκαταστάσεις, ενώ είναι πολύ πιθανό να καταστεί και υποχρεωτική.

Όμως, η αριθμητικά μεγαλύτερη κατηγορία συστημάτων βιντεοεπιτήρησης αφορά μικρούς επαγγελματίες, μικρομεσαίες επιχειρήσεις ακόμα και πολυκατοικίες. Οι περισσότεροι από αυτούς αναζητούν μια γρήγορη, εύκολη και σχετικά ανέξοδη λύση για την προστασία τους, αναθέτοντας την εγκατάσταση και ενίοτε και τη λειτουργία των καμερών, σε εταιρείες ασφαλείας ή εγκατάστασης συστημάτων. Πόσο βέβαιοι μπορεί να νοιώθουν αυτοί οι υπεύθυνοι ότι δεν θα βρεθούν ξαφνικά αντιμέτωποι με κυρώσεις ή με υπερβολικές απαιτήσεις από την ικανοποίηση των δικαιωμάτων που προβλέπει ο GDPR; Πώς θα είναι σε θέση να αποδείξουν ότι σέβονται τις αρχές της «προστασίας των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού»,  ότι διαθέτουν κατάλληλα μέτρα ασφάλειας; Τι θα κάνουν αν ξαφνικά ένα βίντεο βρεθεί αναρτημένο στο youtube;

Τι προβλέπεται για τις εταιρείες ασφαλείας

Ο Κανονισμός προβλέπει αυτοτελείς υποχρεώσεις και για τους «εκτελούντες την επεξεργασία». Συνεπώς, όλες οι εταιρείες που δραστηριοποιούνται ως «εκτελούντες» για λογαριασμό «υπευθύνων», όπως σε μεγάλο βαθμό πράττουν οι εταιρείες ασφαλείας, επηρεάζονται άμεσα. O GDPR προσφέρει νέα, σε σχέση με το υφιστάμενο θεσμικό πλαίσιο, εργαλεία όπως οι εγκεκριμένοι κώδικες δεοντολογίας και οι αναγνωρισμένες πιστοποιήσεις, που είναι πιο κατάλληλα για αυτές τις περιπτώσεις. Για παράδειγμα, εύκολα μπορεί κάποιος να σκεφτεί ότι οι εταιρείες που παρέχουν υπηρεσίες βιντεοεπιτήρησης έχουν πλέον συμφέρον να «συνασπιστούν» ώστε να ετοιμάσουν ένα κλαδικό κώδικα δεοντολογίας, εγκεκριμένο από την ΑΠΔΠΧ και άρα συμβατό με το GDPR. Εύκολα μπορεί να ετοιμαστούν πρότυπες συμβάσεις για χρήση από τους πελάτες τους. Με τη χρήση τέτοιων «εργαλείων» οι εταιρείες που θα επενδύσουν στην «προστασία προσωπικών δεδομένων» μαζί με την «ασφάλεια» θα αποκτήσουν ενδεχομένως συγκριτικό πλεονέκτημα στην αγορά και θα προτιμώνται από τους υπεύθυνους επεξεργασίας είτε για μικρές είτε για μεγάλες εγκαταστάσεις.

Άλλωστε, η νέα νομοθεσία δεν πρέπει να αντιμετωπίζεται ως φόβητρο αλλά ως ευκαιρία. Γιατί τελικά, όπως και σε κάθε αλλαγή, αυτός που προσαρμόζεται καλύτερα στις νέες συνθήκες είναι αυτός που θα συνεχίσει να προοδεύει.

{gallery}5491{/gallery}