GDPR: Η ύπαρξη συστήματος βιντεοεπιτήρησης θεωρείται λειτουργικό ακόμα και αν δεν βρίσκεται σε πλήρη λειτουργία, σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Σε μια απόφαση εξαιρετικά σημαντική προέβη η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) . Αυτή είχε να κάνει με την ύπαρξη ενός συστήματος βιντεοεπιτήρησης σε υπολειτουργία. Συγκεκριμένα, θέτει τα όρια υπαγωγής ή μη στις απαιτήσεις νομιμότητας του ΓΚΠΔ.

GDPR και βιντεοεπιτήρηση: Η αφορμή

Η ΑΠΔΠΧ έλαβε τις καταγγελίες δυο πρώην εργαζομένων μια ιδιωτικής εταιρείας. Είχαν παραπονεθεί για την παρακολούθηση και τον έλεγχο τους μέσω συστήματος βιντεοεπιτήρησης. Η Αρχή κάλεσε την εταιρεία να εκφράσει τις απόψεις της για τις καταγγελίες αυτές.

Η εταιρεία ισχυρίστηκε πως στους χώρους της εργασίας της υπήρχαν μόνο τρία συστήματα. Μια θυροτηλεόραση στην κεντρική είσοδο της πολυκατοικίας. Επίσης, ένα σύστημα βιντεοεπιτήρησης περιμετρικά του κτηρίου που είχε εγκατασταθεί με απόφαση της Γενικής Συνέλευσης των ενοίκων. Τέλος υπήρχε και σύστημα βιντεοεπιτήρησης στους κοινόχρηστους χώρους και πάλι κατόπιν απόφασης της Γενικής Συνέλευσης.

Για τη λειτουργία της βιντεοεπιτήρησης η εταιρεία ισχυρίστηκε πως «δεν υπάρχουν κάμερες λήψεως εικόνας και ήχου σε λειτουργία». Όπως συμπλήρωσαν, αυτές είχαν εγκατασταθεί το 2008. Οι κάμερες είχαν τοποθετηθεί εκείνο το χρονικό διάστημα αποκλειστικά και μόνο για λόγους ασφαλείας. Ορισμένοι εκ των μελών της εταιρίας για λόγους προσωπικής εξυπηρέτησής τους διανυκτέρευαν και κοιμόντουσαν στους χώρους των γραφείων. Έκτοτε και πριν προβεί η εταιρεία σε προσλήψεις προσωπικού οι κάμερες απενεργοποιήθηκαν και παραμένουν απενεργοποιημένες μέχρι και σήμερα.

Η αρχή ζήτησε περισσότερες διευκρινίσεις, μεταξύ άλλων για τον τρόπο της απενεργοποίησης του συστήματος βιντεοεπιτήρησης. Επίσης ζητήθηκαν διευκρινίσεις για το λόγο που δεν έγινε η απεγκατάσταση τους, εφόσον δεν λειτουργούν.

GDPR και βιντεοεπιτήρηση: Η απάντηση της εταιρείας

Η εταιρεία επανήλθε ισχυριζόμενη πως δεν υπάρχει καμία κάμερα σε λειτουργία στον όροφο της, καθώς και σε όλους τους χώρους εργασίας. Οι έξι στο αριθμό κάμερες είναι απομονωμένες μέσα από το μενού του καταγραφικού και λαμβάνουν μόνο «μαύρη» εικόνα. Αυτές οι κάμερες απενεργοποιούνται με παρέμβαση του τεχνικού εγκατάστασης.

Ισχυρίστηκε επίσης πως οι κάμερες δεν αφαιρέθηκαν από τα σημεία τοποθέτησης, προς αποφυγή κατά κύριο λόγο των μερεμετιών, καθώς και για το ενδεχόμενο σε περίπτωση αλλαγής της χρήσης του χώρου να υπάρχει η δυνατότητα εκ νέου λειτουργίας τους αν και εφόσον κριθεί κάποια στιγμή απαραίτητο.

Τέλος η εταιρεία προσκόμισε και μια ενημερωτική πινακίδα για την βιντεοεπιτήρηση, καθώς και φωτογραφίες που ελήφθησαν σε πραγματικό χρόνο από τον Υπεύθυνο Επεξεργασίας κατά την παρακολούθηση των καμερών από τον υπολογιστή του με «printscreen» (δυνατότητα του υπολογιστή), για να αποδείξει πως η εικόνα που εμφανίζεται στην οθόνη είναι μαυρισμένη.

GDPR και βιντεοεπιτήρηση: Η κρίση της ΑΠΔΠΧ

Η Αρχή επεσήμανε τους κανόνες νομιμότητας της επεξεργασίας, κατά τα άρθρα 5 και 6 ΓΚΠΔ, καθώς και τη σημασία της λογοδοσίας. Επίσης υπενθύμισε τις Κατευθυντήριες Γραμμές 3/2019 του ΕΣΠΔ. Σε αυτές αναφέρεται ότι: «προκειμένου να κριθεί η νομιμότητα της εγκατάστασης και λειτουργίας του συστήματος βιντεοεπιτήρησης πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις των άρθρων 5 και 6 παρ. 1 ΓΚΠΔ, θα πρέπει σε προηγούμενο χρόνο της εγκατάστασης και λειτουργίας του συστήματος να τεκμηριωθεί εσωτερικά η νομιμότητα της επεξεργασίας και μάλιστα κατά τον προσδιορισμό του σκοπού της επεξεργασίας ενδέχεται να χρειαστεί σχετική αξιολόγηση για κάθε κάμερα ξεχωριστά, ανάλογα με το σημείο τοποθέτησης της».

Ταυτόχρονα διατύπωσε και πάλι τους όρους νομιμότητας συστημάτων βιντεοεπιτήρησης, που έχει θέσει με την Οδηγία 1/2011.

Για την υπόθεση που εξέτασε, δέχθηκε τους ισχυρισμούς των καταγγελλόμενων λειτουργίας του συστήματος βιντεοεπιτήρησης στους χώρους των γραφείων της, καταλήγοντας ότι υπό τους όρους αυτούς, το σύστημα αυτό είναι πλήρως λειτουργικό.

GDPR και βιντεοεπιτήρηση: Οι διαπιστώσεις της Αρχής

Η ΑΠΔΠΧ για την υπόθεση αυτή διαπίστωσε πως οι κάμερες παραμένουν μόνιμα εγκατεστημένες στη θέση τους. Επίσης αυτές είναι συνδεδεμένες με το καταγραφικό μηχάνημα του ενιαίου συστήματος βιντεοεπιτήρησης. Το σύστημα λαμβάνει εικόνα. Ωστόσο, δεν εμφανίζεται στην οθόνη λόγω σχετικής ρύθμισης από το μενού του καταγραφικού με αποτέλεσμα η οθόνη να είναι «μαυρισμένη». Ενώ δηλαδή λαμβάνει συλλογή και μετάδοση της εικόνας, εκείνη λαμβάνεται μεν στην οθόνη, ωστόσο καλύπτεται από «μαύρο καμβά», με βάση ρύθμιση του συστήματος.

Άρα οποιαδήποτε στιγμή και με βάση αντίστροφη ρύθμιση, αφαιρείται ο «μαύρος καμβάς». Με τον τρόπο αυτό, δύναται η θέαση της εικόνας του χώρου ή των προσώπων χωρίς «μεταμφίεση» (masked).

Επιπλέον η Αρχή, δέχτηκε πως η οθόνη του υπολογιστή του ΥΠΔ αποτελεί τμήμα του συστήματος της βιντεοεπιτήρησης παρά τους ισχυρισμούς της καταγγελλόμενης εταιρείας για το αντίθετο.

Η εικόνα των υποκειμένων των δεδομένων που τυχόν εισέρχονται ή ήδη βρίσκονται στο πεδίο εμβέλειας του εν λόγω συστήματος συλλέγεται και μεταδίδεται κανονικά στον αποδέκτη. Αυτός έχει την τεχνική δυνατότητα να εμφανίσει στην οθόνη την πλήρη εικόνα ή να την καλύψει μαυρίζοντας την οθόνη. Ακόμα και αν για αυτό χρειάζεται η συνδρομή του εγκαταστάτη κατά τους ισχυρισμούς της καταγγελλόμενης εταιρείας.

Τέλος η Αρχή ανέφερε πως η εταιρεία θα έπρεπε να μην έχει αναρτήσει πινακίδες ενημέρωσης. Αντιθέτως θα έπρεπε να είχε ενημερώσει τους εργαζομένους για τη μη λειτουργία του συστήματος. «Δοθέντος ότι η ύπαρξη εγκατεστημένων καμερών στον χώρο δημιουργεί την εύλογη πεποίθηση ότι οι κάμερες λειτουργούν, με όσες συνέπειες προκαλεί η αίσθηση αυτή (ανάμεσα στις οποίες και το “chilling effect”), που επιτείνεται από την ανάρτηση προειδοποιητικών πινακίδων που ενημερώνουν σχετικά για τη λειτουργία των καμερών».

GDPR και βιντεοεπιτήρηση: Η απόφαση της ΑΠΔΠΧ

Η Αρχή διαπίστωσε παραβιάσεις. Αυτές ήταν των αρχών της νομιμότητας και διαφάνειας (5.1α ΓΚΠΔ), περιορισμού του σκοπού (5.2 ΓΚΠΔ) και της λογοδοσίας (5.2 ΓΚΠΔ).

Η καταγγελλόμενη εταιρεία δεν εξέτασε τη νομιμότητα της εγκατάστασης του συστήματος βιντεοεπιτήρησης, Αυτή προηγείται, προϋποτίθεται και απαιτείται της νομιμότητας της επεξεργασίας προσωπικών δεδομένων. Αυτό συμβαίνει για να μην εγκαταστήσει καθόλου κάμερες σε χώρους γραφείων και σε χώρο εστίασης εργαζομένων.

Επιπλέον, μετά την αρχική εγκατάσταση, η εταιρεία δεν προέβη σε επαναξιολόγηση της νομιμότητας της επεξεργασίας. Αυτό απαιτείται ώστε να πληρούνται οι απαιτήσεις του θεσμικού πλαισίου. Αυτό το θεσμικό πλαίσιο, τροποποιήθηκε εισάγοντας περισσότερες υποχρεώσεις για τους υπευθύνους επεξεργασίας.

Η εν λόγω υποχρέωση βαρύνει την καταγγελλόμενη εταιρεία. Τόσο σε χρόνο πριν την εγκατάσταση, κατά τη λήψη της σχετικής απόφασης, όσο και σε μεταγενέστερο χρόνο επαναξιολόγησης αυτής. Στο πλαίσιο της διαρκούς υποχρέωσης για συμμόρφωση με τη νομοθεσία και πλέον, μετά την εφαρμογή του ΓΚΠΔ και για τεκμηρίωση της νομιμότητας της επεξεργασίας. Εάν η καταγγελλόμενη εταιρεία δεν λειτουργούσε το εγκατεστημένο σύστημα βιντεοεπιτήρησης, όφειλε να το είχε απεγκαταστήσει (πρβλ. ΣτΕ 1137/2020 σκ. 9) ή τουλάχιστον να είχε προβεί σε ενημέρωση των εργαζομένων της για τη μη λειτουργία του.

Βασιζόμενη σε όλα τα παραπάνω η Αρχή αποφάσισε να δώσει εντολή στην καταγγελλόμενη εταιρία να απεγκαταστήσει τις κάμερες εντός ένα μήνα. Επίσης να καταστρέψει πλήρως οποιοδήποτε υλικό τυχόν έχει συλλεχθεί μέχρι τότε. Τέλος της επέβαλε διοικητικό πρόστιμο 15.000 ευρώ.

Συμπερασματικά:

Γίνεται αντιληπτό πως ακόμα και αν φαίνεται πως δεν χρησιμοποιείται, η ύπαρξη του συστήματος της βιντεοεπιτήρησης το κρίνει λειτουργικό. Μια «μαύρη» απεικόνιση δεν αναιρεί την αρχική επεξεργασία της συλλογής και διαβίβασης σύμφωνα με την ΑΠΔΠΧ. Ο Γ.Κ.Π.Δ. (GDPR) ακόμα και στο ξεκίνημα της διαδικασίας συμμόρφωσης, δεν χωρά ασάφειες ή κενά για τον τρόπο της λειτουργίας ενός οργανισμού.

Ο οργανισμός σας, πόσο καλά προετοιμασμένος είναι ως προς την συμμόρφωση του στο GDPR;