Όλοι μας έχουμε την ανάγκη να νιώθουμε ασφαλείς. Θέλουμε να γνωρίζουμε ανά πάσα στιγμή τι συμβαίνει στο εργασιακό μας περιβάλλον ή στους ιδιωτικούς μας χώρους, ακόμα και όταν δεν είμαστε εκεί .

Όταν βρισκόμαστε στον χώρο εργασίας μας και έχουμε αφήσει τα παιδία μας στο σπίτι, έχοντας ορίσει κάποιον υπεύθυνο για να τα προσέχει, γίνεται να τοποθετήσουμε κάμερα μέσα στο σπίτι για να είμαστε σίγουροι οτι ο άνθρωπος που έχουμε εμπιστευτεί εκτελεί σωστά τα καθήκοντά του ;

Συχνά, δέχομαι παράπονα ότι ο υπάλληλος στο ταμείο της επιχείρησής μου δίνει λάθος ρέστα και μιλάει με άσχημο και απότομο τρόπο προς τους πελάτες. Θα ήταν παράνομο να εγκαταστήσω κάμερα εντός του κτηρίου της επιχείρησής μου, για να μπορέσω να παρακολουθήσω τον υπάλληλο και να διαπιστώσω εάν αληθεύουν τα παραπάνω;

Τέτοιες ερωτήσεις μας απασχολούν καθημερινά, αλλά δεν γίνεται να δράσουμε χωρίς να γνωρίζουμε την νομοθεσία. Εδώ έρχεται η Εθνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία καλείται να δώσει απαντήσεις μέσω του Ευρωπαϊκού Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) και να επιβάλει κυρώσεις σε όσους δεν τηρούν τους κανονισμούς της.

Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Πριν δώσουμε τις απαντήσεις οι οποίες προβλέπονται στον ανωτέρω ευρωπαϊκό Κανονισμό , στον εθνικό μας νόμο αλλά και στις γνωστές πλέον οδηγίες της Εθνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα , είναι ωφέλιμο για τον αναγνώστη να δωθούν οι εξής ορισμοί, oι οποίοι προβλέπονται στο άρθρο 4 του παραπάνω κανονισμού αλλά και στο ελληνικό σύνταγμα:

Τι είναι δεδομένα προσωπικού χαρακτήρα; (Άρθρο 4 – ΓΚΠΔ)

“Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου”. Mε πιο απλά λόγια, προσωπικά δεδομένα είναι το ονοματεπώνυμο, ο αριθμός της ταυτότητάς, ο αριθμός του φορολογικού μητρώου (ΑΦΜ), η διεύθυνση του σπιτιού, ο αριθμός τηλεφώνου, ο αριθμός της πιστωτικής κάρτας, η πινακίδα του αυτοκινήτου, το e-mail κλπ.

Τι είναι η επεξεργασία;

“Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή”.

Τι είναι ο υπεύθυνος επεξεργασίας;

“Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους”.

Τι είναι ο εκτελών την επεξεργασία;

“Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας”.

Τι είναι ο αποδέκτης;

“Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι”.

Τι είναι η συγκατάθεση του υποκειμένου των δεδομένων;

“Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν”.

Τι είναι η παραβίαση δεδομένων προσωπικού χαρακτήρα;

“Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία”.

Τι προβλέπει το άρθρο 9Α του Συντάγματος για την Προστασία προσωπικών δεδομένων (άρθρο 9Α Σ);

“Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει”.

Τι προβλέπει το άρθρο 5 § 1 του Συντάγματος για την Ελεύθερη ανάπτυξη της προσωπικότητας (άρθρο 5 § 1 Σ):

“Καθένας έχει δικαίωμα να αναπτύσσει ελεύθερα την προσωπικότητά του και να συμμετέχει στην κοινωνική, οικονομική και πολιτική ζωή της Χώρας, εφόσον δεν προσβάλλει τα δικαιώματα των άλλων και δεν παραβιάζει το Σύνταγμα ή τα χρηστά ήθη”.

Τι είναι το κλειστό κύκλωμα τηλεόρασης (άρθρο 4 οδηγίας υπ’αριθμ. 1/2011);

“Ως συστήµατα βιντεοεπιτήρησης, στα οποία περιλαμβάνονται ιδίως τα κλειστά κυκλώματα τηλεόρασης, ορίζονται τα συστήµατα που είναι µόνιµα εγκατεστηµένα σε ένα χώρο, λειτουργούν συνεχώς ή σε τακτά χρονικά διαστήµατα και έχουν τη δυνατότητα λήψης ή/και µετάδοσης σήµατος εικόνας ή/και ήχου από τον χώρο αυτό προς έναν περιορισµένο αριθµό οθονών προβολής ή/και µηχανηµάτων καταγραφής (πρβλ. και υπ’ αρ. 2/2010 Γνωµοδότηση της Αρχής, σκέψη 8). Η µετάδοση της εικόνας µπορεί να γίνεται µε απευθείας σύνδεση της κάµερας στην οθόνη προβολής ή/και στο µηχάνηµα καταγραφής ή µέσω εσωτερικού δικτύου ή µέσω διαδικτύου για περιορισµένο όµως αριθµό νοµιµοποιούµενων προς τούτο αποδεκτών”.

Είναι νόμιμη η παρακολούθηση εργαζομένων με κάμερες ασφαλείας;

Αναφορικά με την τοποθέτηση καμερών σε εργασιακό χώρο οι οποίες εστιάζουν σε πρόσωπα και συμπεριφορές, η αρχή προστασίας δεδομένων προσωπικού χαρακτήρα έχει αποφανθεί με την υπ’ αριθμ. 1/2011 οδηγία της (άρθρο 7) ότι η ανωτέρω παρακολούθηση είναι παράνομη.

Ειδικότερα: (Άρθρο 7 – Απαγόρευση επιτήρησης στους χώρους εργασίας) Η εφαρμογή της αρχής της αναλογικότητας έχει ιδιαίτερη σηµασία στις περιπτώσεις λειτουργίας συστηµάτων βιντεοεπιτήρησης σε χώρους εργασίας. Το σύστηµα δεν θα πρέπει να χρησιµοποιείται για την επιτήρηση των εργαζοµένων εντός των χώρων αυτών, εκτός από ειδικές εξαιρετικές περιπτώσεις όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζοµένων ή την προστασία κρίσιµων χώρων εργασίας (π.χ. στρατιωτικά εργοστάσια, τράπεζες, εγκαταστάσεις υψηλού κινδύνου).

Εξάλλου, σύμφωνα με την υπ’αριθμ. 20/2017 απόφαση της ΑΠΔΠΧ “η βιντεοεπιτήρηση των γραφείων και των θέσεων εργασίας των εργαζοµένων συνιστά υπέρµετρη προσβολή των προσωπικών τους δεδοµένων ενώ αποτελεί απρόσφορο και αναποτελεσµατικό µέτρο για την προστασία του εξοπλισµού από κλοπή ή την ασφαλή επεξεργασία των τηρούµενων προσωπικών δεδοµένων, όπως αναλύθηκε στο σκεπτικό αυτής”.

Για παράδειγµα, σε έναν τυπικό χώρο γραφείων επιχείρησης, η βιντεοεπιτήρηση πρέπει να περιορίζεται σε χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριµένες αίθουσες γραφείων ή διάδροµοι. Εξαίρεση µπορεί να αποτελούν συγκεκριµένοι χώροι, όπως ταµεία ή χώροι µε χρηµατοκιβώτια, ηλεκτροµηχανολογικό εξοπλισµό κλπ., υπό τον όρο ότι οι κάµερες εστιάζουν στο αγαθό που προστατεύουν κι όχι στους χώρους των εργαζοµένων.

Επίσης, σε ειδικούς χώρους, όπως χώροι µε ηλεκτροµηχανολογικές εγκαταστάσεις, ο υπεύθυνος βάρδιας ή ο υπεύθυνος ασφαλείας µπορεί να παρακολουθεί σε πραγµατικό χρόνο τους χειριστές µηχανηµάτων υψηλής επικινδυνότητας, µε σκοπό να επέµβει άµεσα αν συµβεί κάποιο περιστατικό ασφαλείας.

Σε κάθε περίπτωση, τα δεδοµένα που συλλέγονται µέσω συστήµατος βιντεοεπιτήρησης δεν επιτρέπεται να χρησιµοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συµπεριφοράς και της αποδοτικότητας των εργαζοµένων (βλ. Οδηγία υπ’ αρ. 115/2001 για την επεξεργασία των προσωπικών δεδοµένων των εργαζοµένων, τµήµα Ε’, παρ. 6 – 8).

Σύμφωνα με τα άρθρα 8, 10, 11, 12 και 13 της ανωτέρω οδηγία ο υπεύθυνος επεξεργασίας υποχρεούται:

Πρώτον να τηρεί τα δεδομένα για συγκεκριµένο χρονικό διάστηµα ενόψει του επιδιωκόµενου κάθε φορά σκοπού επεξεργασίας.

Δεύτερον επιτρέπεται να διαβιβάζει σε τρίτους δεδοµένα που προέρχονται από σύστηµα βιντεοεπιτήρησης κατόπιν προηγούµενης συγκατάθεσης του υποκειµένου των δεδοµένων και όταν ο νόμος το ορίζει.

Τρίτον υποχρεούται να γνωστοποιεί στην Αρχή την εγκατάσταση συστήµατος βιντεοεπιτήρησης πριν την έναρξη της επεξεργασίας, σύµφωνα µε το άρθρο 6 του 11 ν. 2472/1997. Βέβαια αυτή η υποχρέωση παύει πλέον να ισχύει ύστερα από την έναρξη ισχύος του γενικού κανονισμού προστασίας προσωπικών δεδομένων, αρκεί ο υπεύθυνος επεξεργασίας να λαμβάνει όλα εκείνα τα κατάλληλα οργανωτικά και τεχνικά µέτρα για το απόρρητο και την ασφάλεια των δεδοµένων, καθώς και για την προστασία τους από κάθε µορφή αθέµιτης επεξεργασίας. Να ενηµερώνει, πριν ένα πρόσωπο εισέλθει στην εµβέλεια του συστήµατος βιντεοεπιτήρησης,  µε τρόπο εµφανή και κατανοητό, ότι πρόκειται να εισέλθει σε χώρο που βιντεοσκοπείται. Προς τούτο, πρέπει: α) να αναρτώνται σε επαρκή αριθµό και εµφανές µέρος ευδιάκριτες πινακίδες, όπου θα αναγράφεται το πρόσωπο για λογαριασµό του οποίου γίνεται η βιντεοσκόπηση (υπεύθυνος επεξεργασίας), ο σκοπός, καθώς και το άτοµο µε το οποίο οι ενδιαφερόµενοι µπορούν να επικοινωνήσουν για να ασκήσουν τα δικαιώµατα που ο ν. 2472/1997 αναγνωρίζει στο υποκείµενο των δεδοµένων, όπως άλλωστε προβλέπει πλέον και ο ΓΚΠΔ.

Τέλος, το υποκείµενο των δεδοµένων έχει δικαίωµα πρόσβασης στα δεδοµένα του συστήµατος βιντεοεπιτήρησης που το αφορούν και ο υπεύθυνος επεξεργασίας υποχρεούται (άρθρο 13 της οδηγίας) να χορηγεί αντίγραφο του τµήµατος της εγγραφής σήµατος εικόνας όπου έχει καταγραφεί το υποκείµενο των δεδοµένων ή έντυπη σειρά στιγµιοτύπων από τις καταγεγραµµένες εικόνες ή, αναλόγως, να ενηµερώσει εγγράφως το ενδιαφερόµενο πρόσωπο µέσα στην ίδια χρονική διορία είτε ότι δεν απεικονίζεται είτε ότι το σχετικό τµήµα της εγγραφής έχει καταστραφεί.

Επίσης, το υποκείμενο των δεδομένων έχει το δικαίωμα να προβάλλει αντιρρήσεις για την επεξεργασία της εικόνας του από το σύστηµα βιντεοεπιτήρησης και να απαιτήσει τη διαγραφή ή τη δέσµευση (κλείδωµα) των δεδοµένων. Εάν ο υπεύθυνος επεξεργασίας δεν συμμορφωθεί, τότε έχει το δικαίωμα να προσφύγει στην αρχή προστασίας δεδομένων προσωπικού χαρακτήρα (ΑΠΔΠΧ) και να καταγγείλει την ανωτέρω παράνομη συμπεριφορά, δεδομένου ότι πραγματοποιείται χωρίς την ρητή του συγκατάθεση.

Αναφορικά με την τοποθέτηση καμερών στην είσοδο διαμερίσματος η οποία καταλαμβάνει και εικόνα πέραν της εισόδου, η απάντηση έχει δοθεί με την η υπ’ αριθμ. 5/2017 γνωμοδότηση της Αρχής Προστασίας Προσωπικών Δεδομένων με βάση την κείμενη νομοθεσία αλλά και την υπ’ αριθμ. 1/2011 Οδηγία της. Ειδικότερα, η ανωτέρω χρήση θεωρείται παράνομη διότι η εμβέλεια της κάμερας θα πρέπει να καταλαμβάνει μόνο τον απολύτως απαραίτητο χώρο μπροστά από τη θύρα εισόδου του διαμερίσματος του ενδιαφερομένου, χωρίς να επηρεάζονται σε καμία περίπτωση άλλα διαμερίσματα και επιπρόσθετα να μην λαμβάνεται επ’ ουδενί εικόνα από λοιπούς κοινόχρηστους χώρους, αλλά και να μην επηρεάζεται η είσοδος των διερχομένων προσώπων σε άλλα διαμερίσματα ή η διέλευση τους προς αυτά.

Τέλος, απαγορεύεται να αποστέλλονται ενημερωτικά newsletters σε mail φυσικού προσώπου, χωρίς την προηγούμενη ρητή συγκατάθεσή του (άρθρο 7 – ΓΚΠΔ). Επομένως το φυσικό πρόσωπο που θίγεται από την ανωτέρω παράνομη συμπεριφορά  έχει δικαίωμα να υποβάλλει καταγγελία στην ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων (εποπτική αρχή) της χώρας διαμονής του ή της χώρας εργασίας του. Εάν το πρόσωπο αυτό υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού αλλά και παραβίασης του δικαιώματος της ελεύθερης ανάπτυξης της προσωπικότητας και προστασίας αυτής, δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την ζημία που υπέστη σύμφωνα και με τον εθνικό νόμο, αλλά και σύμφωνα με τα άρθρα 77, 78, 79 & 82 του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων.