Γράφει η Έλενα Σαλαντή
Είναι γεγονός πως από την ψήφιση τουΓενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR), μια νέα τάξη πραγμάτων ξετυλίγεται καθημερινά. Στο επίκεντρο τίθενται ο άνθρωπος και η προστασία των συνταγματικά κατοχυρωμένων δικαιωμάτων του, η ελεύθερη ανάπτυξη της προσωπικότητάς του (ά. 5 Σ.) και η προστασία των προσωπικών του δεδομένων (ά. 9Α Σ.). Το ζήτημα της εγκατάστασης συστημάτων βιντεοεπιτήρησης και της συμμόρφωσης με τον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων αποτελεί αναμφίβολα ένα από τα φλέγοντα ζητήματα της εποχής σε συνάρτηση και με τις ραγδαίες τεχνολογικές εξελίξεις (GDPR, βλ. Αιτιολ. Σκέψη αρ. 6). Στο εύφλεκτο αυτό πεδίο σύγκρουσης και χαρτογράφησης των ορίων, από την μια πλευρά, των συνταγματικά κατοχυρωμένων δικαιωμάτων της προστασίας των προσωπικών δεδομένων και από την άλλη, της ασφάλειας και προστασίας του ατόμου, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) έρχεται να θωρακίσει τα υποκείμενα με μια σειρά συστάσεις αλλά και βαριά πρόστιμα σε περιπτώσεις ευθείας παράβασης του Κανονισμού. Αξίζει, επομένως, σε πρώτο στάδιο να δοθεί μια γενική εικόνα του Κανονισμού (GDPR), προτού παρουσιαστεί το εξαιρετικά επίκαιρο θέμα της παρούσας ανάλυσης.
Εισαγωγικά, ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR 2016/679), ψηφίσθηκε την 27η Απριλίου του έτους 2016 και τέθηκε σε εφαρμογή την 25η Μαΐου του 2018, οριοθετώντας ένα αχαρτογράφητο έως τότε τοπίο στον τομέα της προστασίας των προσωπικών δεδομένων και των ψηφιακών δικαιωμάτων του υποκειμένου. Στην ελληνική έννομη τάξη ψηφίστηκε, με την διαδικασία του κατεπείγοντος, ο Ν. 4624/2019 με τίτλο «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προσαρμογή της εθνικής νομοθεσίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου της 27ης Απριλίου 2016 και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου της 27ης Απριλίου 2016».
Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα συνιστά θεμελιώδες δικαίωμα, όπως κατοχυρώνεται στο άρθρο 8 παρ. 1 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και το άρθρο 16 παρ. 1 της Συνθήκης για την λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ) και όπως αποτυπώνεται και στην αιτιολογική σκέψη 1 του Κανονισμού 2016/679 (εφεξής GDPR). Στο Σύνταγμα ορίζεται ρητά στο άρθρο 9Α «Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει». Η επεξεργασία δεδομένων προσωπικού χαρακτήρα έχει ως μοναδικό κριτήριο και ρόλο την εξυπηρέτηση του ανθρώπου και γίνεται πάντοτε με την στάθμιση άλλων θεμελιωδών δικαιωμάτων σύμφωνα με την αρχή της αναλογικότητας (βλ. Αιτιολ. Σκέψη 4).
Ποιο είναι, λοιπόν, το ισχύον πλαίσιο σε ό,τι αφορά την επεξεργασία των προσωπικών δεδομένων από εγκατεστημένες κάμερες σε χώρους όπως σχολεία, χώροι εργασίας κ.α.; Κάθε είδους επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται πάντοτε με γνώμονα τις γενικές αρχές που κατοχυρώνονται στο άρθρο 5 και σύμφωνα με την αρχή νομιμότητας, όπως αυτή εξειδικεύεται στο άρθρο 6 και επόμενα του Κανονισμού, όπου προβλέπεται πως η επεξεργασία είναι σύννομη εάν και εφόσον ισχύει μια τουλάχιστον από τις προϋποθέσεις του οικείου άρθρου (Ιγγλεζάκης, 2020). Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) δίνει ρητά τον ορισμό του συστήματος βιντεοεπιτήρησης: «Συστήματα βιντεοεπιτήρησης ονομάζονται τα συστήματα εκείνα που είναι μόνιμα εγκατεστημένα σε έναν χώρο και έχουν τη δυνατότητα λήψης ή/και μετάδοσης εικόνας ή και ήχου προς οθόνες προβολής ή μηχανήματα καταγραφής (όπου οι κάμερες μπορούν να συνδέονται με την οθόνη ή το μηχάνημα καταγραφής είτε απευθείας είτε μέσω δικτύου/διαδικτύου). Εφόσον ένα σύστημα βιντεοεπιτήρησης λαμβάνει εικόνα από πρόσωπα (ανεξάρτητα αν το σύστημα είναι σε μόνιμη λειτουργία ή όχι), τότε συντελείται επεξεργασία προσωπικών δεδομένων. Σημειώνεται ιδιαίτερα ότι ακόμα και η απλή λήψη εικόνας, χωρίς καταγραφή, συνιστά επίσης επεξεργασία προσωπικών δεδομένων.». Λόγω της επεξεργασίας που πραγματοποιείται μέσω των συστημάτων βιντεοεπιτήρησης, ο GDPR προβλέπει αυστηρές προϋποθέσεις και υποχρεώσεις του υπεύθυνου επεξεργασίας, δηλαδή του φυσικού ή νομικού προσώπου ή της δημόσιας αρχής που καθορίζει την επεξεργασία των δεδομένων, λ.χ. ο εκάστοτε Δήμος είναι αυτός που πρέπει να συμμορφωθεί με τις υποχρεώσεις του GDPR στην περίπτωση της εγκατάστασης καμερών στα σχολεία.
Στο σημείο αυτό κρίνεται σημαντικό να γίνει μια ειδική αναφορά στο νομοθετικό πλαίσιο που ίσχυε πριν την ψήφιση του GDPR, ήτοι στην Οδηγία 1/2011 που εξέδωσε η ΑΠΔΠΧ, η οποία αφορούσε στη λειτουργία των συστημάτων αυτών. Σήμερα, η εφαρμογή του GDPR πραγματοποιείται λαμβάνοντας υπόψη την οδηγία αυτή, σχετικά με τις προϋποθέσεις εγκατάστασης καμερών, το πως διατηρούν αυτές τα δεδομένα, για πόσο χρόνο κλπ. Τόσο η Οδηγία 1/2011 όσο και ο GDPR καθορίζουν τον σκοπό της επεξεργασίας μέσω της εγκατάστασης και της λειτουργίας των συστημάτων βιντεοεπιτήρησης, ο οποίος δεν είναι άλλος από την προστασία προσώπων και αγαθών. Η επεξεργασία αυτή σε κάθε περίπτωση θα πρέπει να είναι σύννομη, σύμφωνα με το άρθρο 6 του Κανονισμού και απαραίτητη για τον σκοπό που επιδιώκει ο υπεύθυνος επεξεργασίας. Σύμφωνα με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) «πριν από τη λειτουργία του συστήματος βιντεοεπιτήρησης, ο υπεύθυνος επεξεργασίας είναι υποχρεωμένος να αξιολογεί πότε και πού τα μέτρα βιντεοεπιτήρησης είναι απολύτως αναγκαία».
Σύμφωνα, λοιπόν, με την ΑΠΔΠΧ, καθώς η επεξεργασία μέσω συστημάτων βιντεοεπιτήρησης, μέσω της συλλογής, καταχώρισης και αποθήκευσης των δεδομένων, είναι συνεχής και πραγματοποιείται σε μεγάλη κλίμακα, ενέχει την σοβαρή πιθανότητα να οδηγήσει σε υψηλούς κινδύνους για τα δικαιώματα των φυσικών προσώπων μέσω της συστηματικής παρακολούθησής τους. Για τον λόγο αυτό ο GDPR προβλέπει στο άρθρο 35 την υποχρέωση εκπόνησης της λεγόμενης Εκτίμησης Αντικτύπου (DPIA) (Ιγγλεζάκης, 2020). Η Εκτίμηση Αντικτύπου σχετικά με την προστασία δεδομένων είναι μία από τις βασικές προϋποθέσεις που πρέπει να ακολουθήσει ο υπεύθυνος επεξεργασίας πριν την εγκατάσταση και τη λειτουργία καμερών για να διασφαλίσει την συμμόρφωσή του με τον Κανονισμό. Το τι ακριβώς πρέπει να περιλαμβάνει η Εκτίμηση Αντικτύπου περιγράφεται αναλυτικά στην παράγραφο 7 του άρθρου 35 του GDPR.
Μία επιπλέον προϋπόθεση που θέτει ο GDPR για την σύννομη λειτουργία ενός συστήματος βιντεοεπιτήρησης είναι η ενημέρωση των εισερχομένων στον υπό παρακολούθηση χώρο πως υπάρχει σύστημα βιντεοεπιτήρησης. Αυτό πρακτικά πραγματοποιείται σε πρώτο στάδιο με μια ευδιάκριτη, ειδική πινακίδα, σε μέγεθος ανάλογο του χώρου, και σε δεύτερο στάδιο με την κατάλληλη πληροφόρηση ως προς την ύπαρξη καμερών (Βέρρας, 2023). Η πληροφόρηση των προσώπων πρέπει να συνδυάζεται και με την ενημέρωση τους για τα δικαιώματα τους (άρθρο 13 GDPR), τα οποία απορρέουν από τον GDPR και φυσικά την άμεση ικανοποίησή τους από τον υπεύθυνο επεξεργασίας. Μάλιστα, σύμφωνα με το ΕΣΠΔ, «η προειδοποιητική πινακίδα σήμανσης θα πρέπει να είναι τοποθετημένη κατά τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί εύκολα να αναγνωρίζει τις συνθήκες της βιντεοεπιτήρησης προτούεισέλθει στον παρακολουθούμενο χώρο».
Είναι φυσικό πως είναι διαφορετική η προσέγγιση του ζητήματος της εγκατάστασης συστήματος βιντεοεπιτήρησης μελετώντας κάθε φορά τον υπό περίπτωση χώρο και την εκάστοτε συνθήκη. Για παράδειγμα, οι προϋποθέσεις εγκατάστασης καμερών σε χώρους όπου βρίσκονται ανήλικα άτομα, άρα πρόκειται για ευαίσθητα προσωπικά δεδομένα, είναι πολύ αυστηρές (βλ. την υπ’ αριθμ. 60/2021 Απόφαση της ΑΠΔΠΧ μετά τις καταγγελίες-αναφορές που έγιναν στον Δήμο Παλλήνης για εγκατάσταση συστήματος βιντεοεπιτήρησης σε σχολεία). Αντίστοιχα, όσον αφορά στην χρήση καμερών για την εποπτεία του χώρου εργασίας, οι προϋποθέσεις είναι ιδιαιτέρως αυστηρές και κάθε είδους παρακολούθηση των εργαζομένων μέσω εγκατάστασης καμερών είναι παράνομη (βλ. ειδικότερα το άρθρο 7 της οδηγίας 1/2011 αλλά και το άρθρο 27 του ν. 4624/2019). Κάμερες μπορούν να τοποθετούνται για λόγους ασφάλειας και προστασίας της επιχείρησης, λ.χ. σε σημεία εισόδου/εξόδου ή στα ταμεία και σε χώρους φύλαξης χρημάτων με εστίαση στο ταμείο για αποφυγή κλοπής, χωρίς όμως να λαμβάνουν εικόνα από δημόσιο χώρο (Βέρρας, 2023). Για να γίνει αντιληπτό πόσο αυστηρός είναι ο Κανονισμός με το συγκεκριμένο ζήτημα, αξίζει να αναφερθεί η περίπτωση του προστίμου που επέβαλε η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) στην Amazon France Logistique ύψους 32 εκατομμυρίων ευρώ για το παρεμβατικά εγκατεστημένο σύστημα καμερών, μέσω του οποίου παρακολουθούσε την δραστηριότητα και την αποδοτικότητα των εργαζομένων στις αποθήκες της (Lawspot.gr, 2024).
Εν κατακλείδι, γίνεται αντιληπτό πως με την εισβολή και επικράτηση των νέων τεχνολογιών σε πολλαπλές πτυχές του καθημερινού βίου, η κατοχύρωση των δικαιωμάτων του ατόμου αποτελεί όπλο ενάντια στην ολοένα και αυξανόμενη απειλή της επεξεργασίας που δέχονται τα προσωπικά δεδομένα του ανά πάσα στιγμή. Δυστυχώς, το φαινόμενο αυτό δεν περιορίζεται μόνο στη θεματική της επεξεργασίας μέσω καμερών όπως αναλύθηκε ανωτέρω, ωστόσο σε κάθε περίπτωση το άτομο προστατεύεται, ενώ μπορεί να στραφεί στο κείμενο του Κανονισμού GDPR και να προσφύγει στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και να υποβάλλει την σχετική καταγγελία.
Βιβλιογραφία
Ιγγλεζάκης I. (2020). Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων: Κανονισμός 2016/679 και ο Εφαρμοστικός Νόμος (Ν. 4624/2019). Εκδόσεις Interactive Books.
EUR-Lex.europa.eu. (2016). Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016. Διαθέσιμο σε: https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex%3A32016R0679
Βέρρας Δ. (2024). Οθόνες CCTV σε διαδρόμους των καταστημάτων: Είναι νόμιμη η πρακτική;. www.lawspot.gr. Διαθέσιμο σε: https://www.lawspot.gr/nomika-blogs/dimitris_verras/othones-cctv-se-diadromoys-ton-katastimaton-einai-nomimi-i-praktiki
Βέρρας Δ. (2023). Η Ενημέρωση στην Βιντεοεπιτήρηση: Εννέα απαιτήσεις για την διαφάνεια στην λειτουργία καμερών. www.lawspot.gr. Διαθέσιμο σε: https://www.lawspot.gr/nomika-blogs/dimitris_verras/i-enimerosi-sti-vinteoepitirisi
Lawspot.gr. (2024). Πρόστιμο 32 εκατομμυρίων ευρώ στην AMAZON για την παρακολούθηση των εργαζομένων στις αποθήκες της. Διαθέσιμο σε: https://www.lawspot.gr/nomika-nea/prostimo-32-ekat-eyro-stin-amazon-gia-tin-parakoloythisi-ergazomenon-stis-apothikes-tis
Πηγή εικόνας εξωφύλλου
Pixabay (n.d.). Privacy policy faces. Διαθέσιμο σε: https://pixabay.com/illustrations/privacy-policy-privacy-faces-puzzle-550785/