Κάμερες σε γραφεία, πολυκατοικίες, δημόσιους χώρους
Τι προβλέπει ο εθνικός νόμος και ο ΓΚΠΔ (GDPR);
Θέλω να εγκαταστήσω στα γραφεία της εταιρίας μου κλειστό κύκλωμα βιντεοεπιτήρησης των εργαζομένων μου, διότι έχω σοβαρές υπόνοιες οτι δύο εξ αυτών δεν εκτελούν σωστά τα καθήκοντά τους, είναι νόμιμο αυτό;
Ο γείτονάς μου στην πολυκατοικία που διαμένω έχει τοποθετήσει κάμερα στην είσοδο του διαμερίσματός του, η οποία κάμερα λαμβάνει εικόνα και από τον ανελκυστήρα αλλά και από την θύρα του διαμερίσματός μου. Νιώθω άβολα διότι θεωρώ οτι παραβιάζονται προσωπικά μου δεδομένα. Είναι νόμιμη η πράξη του αυτή;
Μου αποστέλλονται στο mail μου ενημερωτικά newsletters προώθησης προϊόντων και υπηρεσιών από διάφορες εταιρίες δίχως να έχω συναλλαχθεί ποτέ μαζί τους. Δικαιούνται να πράξουν αυτό;
Αυτά είναι μεταξύ άλλων ερωτήματα τα οποία απασχολούν σχεδόν καθημερινά τους πολίτες αλλά και την Εθνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) η οποία καλείται να δώσει απαντήσεις αλλά και να επιβάλει κυρώσεις σε όσους δεν συμμορφώνονται με τις υποδείξεις της.
Σε όλα τα ανωτέρω ζητήματα έρχεται και δίνει απαντήσεις τόσο ο ευρωπαϊκός γενικός κανονισμός προστασίας προσωπικών δεδομένων (ΓΚΠΔ) (2016/679 ΕΕ) γνωστός πλέον και ως GDPR ο οποίος ήδη έχει τεθεί σε ισχύ από τις 25 Μαϊου 2018, όσο και ο εθνικός νόμος 2472/1997 ο οποίος, μέχρι να αλλάξει από το ελληνικό κοινοβούλιο, συμπληρώνει όσα δεν προβλέπει ο ανωτέρω ευρωπαϊκός κανονισμός.
Ξεκινάμε από τα βασικά: Έχει δικαίωμα ο εργοδότης να τοποθετήσει κάμερες στον χώρο εργασίας; Ναι. Αλλά υπό (αρκετές) προϋποθέσεις.
Υπό το πρίσμα της αρχής της αναλογικότητας, η υπ’ αριθμ. 1/2011 Οδηγία (άρθρο 7) απαγορεύει ρητά την χρησιμοποίηση συστήματος βιντεοεπιτήρησης σε χώρους εργασίας για τον σκοπό επιτήρησης των εργαζομένων εντός των χώρων αυτών, ορίζοντας περαιτέρω ότι, απαγορεύεται ρητά και η χρησιμοποίηση των δεδομένων που τυχόν έχουν συλλεγεί μέσω συστήματος βιντεοεπιτήρησης ως αποκλειστικά κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων. Ωστόσο, επιτρέπεται η χρησιμοποίηση εικονοληπτικών μηχανών σε χώρους εργασίας, στην περίπτωση που αυτή δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας (π.χ. στρατιωτικά εργοστάσια, τράπεζες, εγκαταστάσεις υψηλού κινδύνου). Για παράδειγμα, σε έναν τυπικό χώρο γραφείων επιχείρησης, η βιντεοεπιτήρηση πρέπει να περιορίζεται σε χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων ή διάδρομοι. Εξαίρεση μπορεί να αποτελούν συγκεκριμένοι χώροι, όπως ταμεία ή χώροι με χρηματοκιβώτια, ηλεκτρομηχανολογικό εξοπλισμό κλπ., υπό τον όρο ότι οι κάμερες εστιάζουν στο αγαθό που προστατεύουν κι όχι στους χώρους των εργαζομένων. Επίσης, σε ειδικούς χώρους, όπως χώροι με ηλεκτρομηχανολογικές εγκαταστάσεις ο υπεύθυνος βάρδιας ή ο υπεύθυνος ασφαλείας μπορεί να παρακολουθεί σε πραγματικό χρόνο τους χειριστές μηχανημάτων υψηλής επικινδυνότητας, με σκοπό να επέμβει άμεσα αν συμβεί κάποιο περιστατικό ασφαλείας. Στο σημείο αυτό είναι απαραίτητο να διευκρινίσουμε ότι, γενικώς η επεξεργασία δεδομένων εικόνας ή/και ήχου που πραγματοποιείται μέσω εικονοληπτικών μηχανών είναι νόμιμη, μόνον στην περίπτωση που έχει αυτή ως σκοπό την προστασία προσώπων και αγαθών, όπως ο εν λόγω σκοπός δικαιολογείται από το έννομο συμφέρον ή την νομική υποχρέωση του ιδιοκτήτη ή διαχειριστή του χώρου να προστατεύσει τον χώρο και τα αγαθά που ευρίσκονται στον χώρο αυτό από παράνομες πράξεις καθώς και να εξασφαλίσει την ασφάλεια της ζωής, σωματικής ακεραιότητας, υγείας και περιουσίας τρίτων που νομίμως ευρίσκονται στον επιτηρούμενο χώρο.
Αναφορικά δε με τις προϋποθέσεις που πρέπει να τηρηθούν σε περίπτωση που, κατά τα ανωτέρω, επιτρέπεται η εγκατάσταση εικονοληπτικών μηχανών στο χώρο εργασίας, λεκτέο ότι, πριν την έναρξη οποιασδήποτε λήψης και επεξεργασίας προσωπικών δεδομένων εικόνας και ήχου εργαζομένων, ο εργοδότης υποχρεούται να γνωστοποιήσει εγγράφως στην Αρχή την εγκατάσταση στο χώρο εργασίας εικονοληπτικών μηχανών (άρθρο 6 Ν. 2472/1997, άρθρο 10 υπ’αριθμ. 1/2011 Οδηγίας) εκθέτοντας συνάμα τον σκοπό που επιδιώκει μέσω της εν λόγω επεξεργασίας, το είδος των δεδομένων που προτίθεται να συλλέξει και τους αποδέκτες της επεξεργασίας. Σε κάθε περίπτωση, ο επιδιωκόμενος με την επεξεργασία σκοπός πρέπει να είναι συγκεκριμένος και επαρκώς αιτιολογημένος, ώστε να καθίσταται σαφές ότι η επεξεργασία είναι πρόσφορη και αναγκαία, και ότι έχουν ληφθεί υπόψη οι επιπτώσεις στα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων που επιδιώκεται να ληφθούν. Πέραν αυτού, ο εργοδότης έχει υποχρέωση να ενημερώνει, με εμφανή και κατανοητό τρόπο, κάθε πρόσωπο που πρόκειται να εισέλθει στην εμβέλεια του συστήματος βιντεοεπιτήρησης, περί του ότι αυτός εισέρχεται σε χώρο που βιντεοσκοπείται. Προς τούτο, πρέπει ο εργοδότης να φροντίσει για την ανάρτηση εντός του χώρου εργασίας σε επαρκή αριθμό και εμφανές μέρος ευδιάκριτων πινακίδων, οι οποίες θα εξασφαλίζουν ότι όποιο φυσικό πρόσωπο εισέρχεται στον υπό επιτήρηση χώρο έχει ενημερωθεί πριν την είσοδό του σε αυτόν.
Περαιτέρω, να σημειωθεί ότι, όπως διευκρινίζεται από την ανωτέρω Οδηγία (άρθρο 6) απαγορεύεται η εγκατάσταση συστήματος βιντεοεπιτήρησης σε χώρους, όπου θεωρείται ότι αυτή προσβάλλει τον σκληρό πυρήνα του δικαιώματος στην προστασία της ιδιωτικής ζωής. Ειδικότερα, ο εργοδότης δεν επιτρέπεται σε καμιά περίπτωση να λαμβάνει εικόνα από χώρους στους οποίους τα υποκείμενα των δεδομένων έχουν αυξημένες προσδοκίες για την ιδιωτικότητά τους, όπως από α) χώρους και προθαλάμους τουαλετών ανεξάρτητα του είδους της επιχείρησης ή του φορέα που βρίσκονται οι χώροι αυτοί και β) αποδυτήρια και λουτρά προσωπικού ή πελατών. Ειδικά για την αποφυγή κλοπών, ο εργοδότης οφείλει να εξετάσει τη λήψη εναλλακτικών και ηπιότερων μέτρων προς το σκοπό εξυπηρέτησης του εκ μέρους του επιδιωκόμενου σκοπού, όπως τη χρήση ερμαρίων που κλειδώνουν ή διαχωρισμένων χώρων φύλαξης.
Σε εξαιρετικές περιπτώσεις μπορεί ο εργοδότης να τοποθετήσει σύστημα βιντεοεπιτήρησης με το οποίο είναι δυνατή η λήψη δεδομένων ήχου, και μόνον αφότου προηγουμένως ο ίδιος προβεί σε ειδική αιτιολόγηση του μέτρου αυτού, και η Αρχή το κρίνει ως απολύτως απαραίτητο για την εξυπηρέτηση του επιδιωκόμενου σκοπού (π.χ. επιτρεπτή η τοποθέτηση και λειτουργία συσκευών λήψης και μετάδοσης ήχου σε δωμάτιο νοσοκομείου ή ιδρύματος όπου φιλοξενούνται βρέφη, επειδή δεν υπάρχει δυνατότητα συνεχούς παρουσίας αρμόδιου προσωπικού στο συγκεκριμένο δωμάτιο και επειδή θα πρέπει να υπάρξει άμεση επέμβαση σε περίπτωση που ακουστεί η φωνή/το κλάμα ενός βρέφους). Περαιτέρω, επιτρέπεται στον εργοδότη να τοποθετήσει στο χώρο εργασίας κάμερες με δυνατότητα στρέψης (στριψίματος) και εστίασης, μόνο στις περιπτώσεις κατά τις οποίες απαιτείται η παρακολούθηση κινήσεων φυσικών προσώπων σε πραγματικό χρόνο προκειμένου για την άμεση επέμβαση προς αποτροπή κάποιου συμβάντος (π.χ. νυχτερινή ασφάλεια σε μεγάλους χώρους, όπως εργοστάσια, αποθήκες κ.α.) και εφόσον έχουν ληφθεί όλα τα απαιτούμενα τεχνικά μέτρα για τον περιορισμό της περιοχής λήψης στην απολύτως απαραίτητη (π.χ. με χρήση της λειτουργίας απόκρυψης περιοχών – λειτουργία “μάσκας”).
Πέραν των ανωτέρω, η ως άνω Οδηγία θέτει περιορισμό αναφορικά με τον επιτρεπόμενο χρόνο τήρησης εκ μέρους του εργοδότη των δεδομένων προσωπικού χαρακτήρα που ελήφθησαν μέσω εικονοληπτικών μηχανών. Ειδικότερα, όπως ορίζεται (άρθρο 8), τα δεδομένα πρέπει να καταστρέφονται το αργότερο μέσα σε δεκαπέντε (15) εργάσιμες ημέρες, αν από τα ληφθέντα δεδομένα δεν προκύπτει επέλευση συμβάντος που εμπίπτει στον επιδιωκόμενο σκοπό. Σε περίπτωση δε επέλευσης του συμβάντος (π.χ. κλοπή, ληστεία, ξυλοδαρμός) σε βάρος του προσώπου ή των αγαθών για την προστασία των οποίων τοποθετήθηκαν στο χώρο κάμερες παρακολούθησης, ο εργοδότης επιτρέπεται να τηρεί τις εικόνες στις οποίες έχει καταγραφεί το συγκεκριμένο συμβάν σε χωριστό αρχείο για 30 ημέρες. Σε περίπτωση που το συμβάν αφορά τρίτον, ο εργοδότης επιτρέπεται να τηρεί τις εικόνες για 3 μήνες, ενώ αν αυτό αφορά τον ίδιο τον εργοδότη και χρήζει περαιτέρω διερεύνησης (π.χ. διερεύνηση απάτης ή διαφθοράς στο πλαίσιο εσωτερικού ελέγχου μιας τράπεζας), αυτός έχει υποχρέωση να γνωστοποιήσει στην Αρχή το αναγκαίο χρονικό διάστημα τήρησης των εικόνων.
Τέλος, είναι αναγκαίο να αναφέρουμε ότι σε περίπτωση μη τήρησης εκ μέρους του εργοδότη των ανωτέρω τιθέμενων προϋποθέσεων νόμιμης εγκατάστασης και λειτουργίας συστημάτων βιντεοεπιτήρησης στο χώρο εργασίας, ο εργαζόμενος μπορεί να καταγγείλει αυτές ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία με τη σειρά της, και έχοντας προηγουμένως διαπιστώσει τις εν λόγω παραβάσεις, μπορεί να επιβάλει στον παραβάτη εργοδότη τις διοικητικές κυρώσεις που προβλέπει το άρθρο 21 του Ν. 2472/1997, μεταξύ των οποίων αναφέρεται η επιβολή προστίμου στον παραβάτη εκ ποσού από 300.000 δρχ. (ήδη κατά το κυκλοφορούν σήμερα νόμισμα 880,41 ευρώ) έως 50.000.000 δρχ. (146.735,14 ευρώ), καταστροφή αρχείου ή διακοπή επεξεργασίας και καταστροφή, επιστροφή ή κλείδωμα (δέσμευση) των σχετικών δεδομένων κλπ..
Πέραν του ανωτέρω, σε περίπτωση παράνομης λειτουργίας εικονοληπτικών μηχανών στο χώρο εργασίας ο εργαζόμενος μπορεί να στραφεί κατά του εργοδότη του ενώπιον των πολιτικών δικαστηρίων, αξιώνοντας χρηματική ικανοποίηση της ηθικής του βλάβης σύμφωνα με το άρθρο 23 του Ν.2472/1997, όπου η ηθική βλάβη, που μπορεί να επιδικασθεί, ορίζεται κατ’ ελάχιστον στο ποσό των 2.000.000 δρχ (ήδη 5.869,40 ευρώ), εκτός εάν ζητηθεί από τον ενάγοντα μικρότερο ποσό ή η παράβαση οφείλεται σε αμέλεια του παραβάτη. Και τούτο διότι, η μη τήρηση ή η μη συνδρομή μιας οποιασδήποτε από τις παραπάνω προϋποθέσεις καθιστά παράνομη την διά κλειστού κυκλώματος τηλεόρασης και κάμερας λήψη και επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένου, όπως μεταξύ άλλων είναι και η εικόνα του, ως προσβάλλουσα το δικαίωμα της προσωπικότητάς του, με αποτέλεσμα να δικαιούται αυτός, κατ΄ άρθρο 57 Αστικού Κώδικα, να αξιώσει χρηματική ικανοποίηση της ηθικής του βλάβης, η οποία προϋποθέτει υπαιτιότητα του προσβάλλοντος.
Τι είναι η επεξεργασία; “Κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή”,
Τι είναι ο υπεύθυνος επεξεργασίας; “Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους”,
Τι είναι ο εκτελών την επεξεργασία; “Το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας”,
Τι είναι ο αποδέκτης; “το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι”.
Τι είναι η συγκατάθεση του υποκειμένου των δεδομένων; “Κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν”,
Τι είναι η παραβίαση δεδομένων προσωπικού χαρακτήρα; “Η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία”.
Τι προβλέπει το άρθρο 9Α του Συντάγματος για την Προστασία προσωπικών δεδομένων (άρθρο 9Α Σ): “Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει”.
Τι προβλέπει το άρθρο 5 § 1 του Συντάγματος για την Ελεύθερη ανάπτυξη της προσωπικότητας (άρθρο 5 § 1 Σ): “Καθένας έχει δικαίωμα να αναπτύσσει ελεύθερα την προσωπικότητά του και να συμμετέχει στην κοινωνική, οικονομική και πολιτική ζωή της Χώρας, εφόσον δεν προσβάλλει τα δικαιώματα των άλλων και δεν παραβιάζει το Σύνταγμα ή τα χρηστά ήθη”.
Τι είναι το σύστημα βιντεοεπιτήρησης (άρθρο 4 οδηγίας υπ’αριθμ. 1/2011); “Ως συστήµατα βιντεοεπιτήρησης, στα οποία περιλαµβάνονται ιδίως τα κλειστά κυκλώµατα τηλεόρασης, ορίζονται τα συστήµατα που είναι µόνιµα εγκατεστηµένα σε ένα χώρο, λειτουργούν συνεχώς ή σε τακτά χρονικά διαστήµατα και έχουν τη δυνατότητα λήψης ή/και µετάδοσης σήµατος εικόνας ή/και ήχου από τον χώρο αυτό προς έναν περιορισµένο αριθµό οθονών προβολής ή/και µηχανηµάτων καταγραφής (πρβλ. και υπ’ αρ. 2/2010 Γνωµοδότηση της Αρχής, σκέψη 8).
Η µετάδοση της εικόνας µπορεί να γίνεται µε απευθείας σύνδεση της κάµερας στην οθόνη προβολής ή/και στο µηχάνηµα καταγραφής ή µέσω εσωτερικού δικτύου ή µέσω διαδικτύου για περιορισµένο όµως αριθµό νοµιµοποιούµενων προς τούτο αποδεκτών”.