Συστήματα Βιντεοεπιτήρησης (CCTV) και Απαιτήσεις σε Σχέση με το GDPR

4.jpg

Συντάκτης: Γιάννης Σ. Καλαντζάκης

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) βρέθηκε τις τελευταίες εβδομάδες να συγκεντρώνει ξαφνικά το ενδιαφέρον όχι μόνο των εταιρειών σε ό,τι αφορά τη συμμόρφωσή τους ως προς το Γενικό Κανονισμό ΓΚΠΔ (GDPR) σε ό,τι αφορά τη χρήση συστημάτων βιντεοεπιτήρησης, αλλά και του συνόλου των πολιτών με την έκδοση νέων οδηγιών για τη χρήση καμερών και με τη γνωμοδότηση της σε σχέδιο Προεδρικού Διατάγματος (ΠΔ) σχετικά με τη «χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους».

Ικανοποίηση του δικαιώματος ενημέρωσης κατά την επεξεργασία δεδομένων μέσω συστημάτων βιντεοεπιτήρησης – νέα υποδείγματα ενημερωτικών πινακίδων

Οι οδηγίες της ΑΠΔΠΧ (εδώ) έρχονται να ικανοποιήσουν με διαφάνεια το δικαίωμα ενημέρωσης κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω συστημάτων βιντεοεπιτήρησης. Η Αρχή συστήνει την παροχή πληροφοριών σε 2 επίπεδα.

Στο πρώτο επίπεδο απαιτείται η χρήση προειδοποιητικών πινακίδων με τις ακόλουθες υποχρεωτικές πληροφορίες:

  • σκοπό της επεξεργασίας,
  • ταυτότητα του υπευθύνου επεξεργασίας ή/και του εκπροσώπου του
  • αναφορά στα δικαιώματα του υποκειμένου των δεδομένων
  • παραπομπή στην αναλυτική ενημέρωση (2ο επίπεδο ενημέρωσης).
  • αναφορά των στοιχείων επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων (DPO), (στις περιπτώσεις για τις οποίες έχει ορισθεί),
  • διαβιβάσεις σε μη αναμενόμενους τρίτους (π.χ. διαβίβαση εκτός ΕΕ) (αν εφαρμόζεται),
  • υπέρβαση των χρονικών διαστημάτων τήρησης δεδομένων αν εφαρμόζεται).

Υποδείγματα προειδοποιητικών πινακίδων με ή χωρίς χρήση QR code προσφέρονται από την ΑΠΔΠΧ στον παραπάνω σύνδεσμο.

Στο δεύτερο επίπεδο απαιτείται αναλυτική ενημέρωση για όλα τα χαρακτηριστικά της επεξεργασίας, όπως προβλέπεται στο άρθρο 13 του ΓΚΠΔ, (δηλαδή α. την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας, β. τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, γ. τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, δ. εάν η επεξεργασία βασίζεται στο άρθρο 6 του ΓΚΠΔ παράγραφος 1στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο, ε. τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν, στ. κατά περίπτωση, την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό).

Πιο συγκεκριμένα η ΑΠΔΠΧ δίνει παράδειγμα ενημερωτικού κειμένου Β’ επιπέδου, το οποίο πρέπει να περιλαμβάνει τα εξής:

  • Η πλήρης ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, εφόσον υπάρχει, του εκπροσώπου του υπευθύνου επεξεργασίας.
  • Τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων, εφόσον έχει ορισθεί.
  • Ο σκοπός της επεξεργασίας καθώς και η νομική βάση για την επεξεργασία. Στις περιπτώσεις στις οποίες η επεξεργασία διαφοροποιείται από τις τυπικές, απαιτείται αναλυτική εξειδίκευση του σκοπού της επεξεργασίας. Τυπικές δραστηριότητες επεξεργασίας αποτελούν ιδίως αυτές οι οποίες προσδιορίζονται στην οδηγία 1/2011 της Αρχής.
  • Tα έννομα συμφέροντα που επιδιώκει ο υπεύθυνος επεξεργασίας, όταν η επεξεργασία βασίζεται στο άρθρο 6 παρ. 1 στ’ του ΓΚΠΔ, όπως συμβαίνει στην πλειονότητα των περιπτώσεων.
  • Τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα συμπεριλαμβανομένων και των κατηγοριών/ιδιοτήτων των προσώπων που χειρίζονται το σύστημα.
  • Πληροφορίες για τη διαβίβαση δεδομένων σε χώρα εκτός ΕΕ, (αν εφαρμόζεται).
  • Το χρονικό διάστημα για το οποίο αποθηκεύονται τα δεδομένα.
  • Ο τρόπος με τον οποίο το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του τα οποία απορρέουν από τη νομοθεσία για την προστασία των προσωπικών δεδομένων, προσδιορίζοντας ποια δικαιώματα εφαρμόζονται.
  • Ενημέρωση για το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και για τα στοιχεία της εποπτικής Αρχής.

Στην ΑΡΙΣΤΗ ΣΥΜΒΟΥΛΕΥΤΙΚΗ προτείνουμε ανεπιφύλακτα να φτιαχτούν επικαιροποιημένα σχέδια για το που χρησιμοποιούνται συστήματα βιντεοεπιτήρησης (κάμερες CCTV) και να δημιουργηθούν τα σχετικά έντυπα και τα προειδοποιητικά σήματα.

Κάμερες σε δημόσιους χώρους: Προβληματικές οι προτεινόμενες ρυθμίσεις σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Με τη Γνωμοδότηση 3/2020 η ΑΠΔΠΧ (εδώ), αφού αναλύει το ελληνικό και ευρωπαϊκό νομικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα, λαμβάνοντας υπόψη της ιδίως τη νομολογία του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου καθώς και του Δικαστηρίου της Ε.Ε., προβαίνει σε σειρά παρατηρήσεων και, μεταξύ άλλων, επισημαίνεται η ανάγκη τροποποίησης ορισμένων διατάξεων προκειμένου να είναι συμβατές με το εθνικό και ευρωπαϊκό δίκαιο προς διασφάλιση και προστασία των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων.

Αναφέρουμε ενδεικτικά ορισμένα σημεία αυτής της γνωμοδότησης:

1. Χρήση drones και τεχνολογιών αναγνώρισης προσώπου

Για την ΑΠΔΠΧ με δεδομένη την πρόοδο της τεχνολογίας καθίσταται δυσχερής η εξαντλητική και περιοριστική απαρίθμηση κάθε είδους και τεχνολογίας συσκευών ή συστημάτων καταγραφής εικόνας ή και ήχου. Παρόλα αυτά, θα πρέπει να γίνεται προσπάθεια ειδικότερου προσδιορισμού τους. Σε κάθε περίπτωση, συστήματα επιτήρησης συμπεριλαμβανομένων των φορητών από φυσικά πρόσωπα (π.χ. wearables) ή µμεταφερόμενων από οχήματα όπως π.χ. των συστημάτων µη επανδρωμένων αεροσκαφών (ΣµηΕΑ, UAV’s ή RPAS ή drones), θα πρέπει να λειτουργούν σύμφωνα προς το οικείο νομοθετικό πλαίσιο. Η ΑΠΔΠΧ επισημαίνει ότι τυχόν εγκατάσταση και χρήση πρόσθετου εξοπλισμού στον οποίο περιλαμβάνεται και λογισμικό που αποσκοπεί σε «περαιτέρω επεξεργασία της εικόνας και του ήχου» ενδέχεται να αφορά διαφορετική, αυτοτελή και διακριτή επεξεργασία σε σχέση µε την αρχική συλλογή, αποθήκευση και διατήρηση του υλικού, όπως π.χ. σε περίπτωση χρήσης λογισµικού αναγνώρισης και ταυτοποίησης προσώπου (facial recognition) ή και ενδεχομένως σε περίπτωση χρήσης τεχνητής νοημοσύνης.

2. Χρόνος ενεργοποίησης καμερών για τη ρύθμιση της κυκλοφορίας ή σε τυχόν επεισόδια δημόσιας συνάθροισης

Η Αρχή τονίζει πως θα πρέπει να προσδιοριστούν στο Π∆ οι προϋποθέσεις ενεργοποίησης - θέσης σε λειτουργία του συστήματος επιτήρησης για όλες τις προβλεπόμενες περιπτώσεις, όπως π.χ. κατά τη διάρκεια επεισοδίων σε δημόσια συνάθροιση. Και ενώ η διαχείριση της οδικής κυκλοφορίας θα µμπορούσε υπό προϋποθέσεις να δικαιολογήσει τη συνεχή λειτουργία των καμερών π.χ. για την παρακολούθηση και βελτίωση των πυκνωμάτων στις οδικές αρτηρίες, δεν ισχύει το ίδιο για λόγους διακρίβωσης αξιόποινων πράξεων (αναλόγως φυσικά του συστήματος επιτήρησης), οπότε η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύμφωνη όχι µόνο µε τις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας, αλλά επιπλέον και µε την αρχή του περιορισμού του σκοπού σε συνδυασμό µε την αρχή της αναλογικότητας σε ευρεία έννοια.

3. Δυνατότητα εστίασης (zoom) της εικόνας

Η εστίαση της εικόνας δεν επιτρέπεται σε περιπτώσεις κατά τις οποίες δεν έχουν τελεσθεί παράνοµες πράξεις, όπως π.χ. στην περίπτωση πρόληψης µελλοντικών αξιόποινων πράξεων».

4. Φορητές κάμερες

Η χρήση φορητών καμερών δεν μπορεί να επιτραπεί χωρίς την παρουσία νοµοθετικής πρόβλεψης ορισμού ενός εκπροσώπου ανεξάρτητης και αμερόληπτης διοικητικής αρχής ή δικαστικού/εισαγγελικού λειτουργού που θα αποφασίζει εκ των προτέρων ή θα ελέγχει ή θα επιβλέπει τη διαδικασία εστίασης καθώς και τις µμεταγενέστερες εξαρτημένες πράξεις επεξεργασίας (π.χ. επιλογής) του συναφούς υλικού.

5. Περίοδος διατήρησης δεδομένων και προσδιορισμός της έννοιας του «υπόπτου» τέλεσης µελλοντικού εγκλήµατος

Μεταξύ άλλων, η ΑΠΔΠΧ αναφέρει πως «η παντελής απουσία κριτηρίων προσδιορισμού της έννοιας του «υπόπτου» ή των «δικαιολογημένων υπονοιών» τέλεσης µελλοντικού εγκλήµατος, δημιουργεί τον κίνδυνο χαρακτηρισμού ως υπόπτου κάθε προσώπου που εισέρχεται στο πεδίο λήψης και καταγραφής των συστημάτων επιτήρησης µε βάση µια υποκειμενική και αδιευκρίνιστη πιθανολογική κρίση της αρμόδιας δημόσιας αρχής, η οποία καθιστά αδύνατο το συναφή έλεγχο νομιμότητας αυτής, περιλαμβανομένης της αδυναμίας ελέγχου της τήρησης της αρχής της αναλογικότητάς».

Τι να κρατήσουμε; Σύμφωνα με την ΑΠΔΠΧ στο τελευταίο σημείο αυτής της γνωμοδότησης, οι απαιτήσεις προστασίας των δεδομένων προσωπικού χαρακτήρα που απορρέουν από το δίκαιο της Ε.Ε. ισχύουν ακόμη και εάν δεν έχουν περιληφθεί στις διατάξεις ενός Π∆.