tuv-iso-logo tuv-iso-27001-logo

GDPR & CCTV στην εργασία

Στις 30/12/2019 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Αρχή» ή «ΑΠΔΠΧ») εξέδωσε απόφαση σχετική με τη χρήση συστημάτων βιντεοεπιτήρησης στο χώρο εργασίας. Η υπόθεση αφορούσε καταγγελία, που υπέβαλε το σωματείο εργαζομένων εταιρείας και είχε ως επίκεντρο τη νομιμότητα λειτουργίας κλειστού κυκλώματος τηλεόρασης (εφεξής «CCTV») σε χώρους όπως οι αποθήκες της εταιρείας, το τηλεφωνικό κέντρο, όχι αποκλειστικά για σκοπούς ασφαλείας αλλά για σκοπούς παρακολούθησης και επιτήρησης του προσωπικού.

Η εταιρεία υποστήριξε ότι η λειτουργία του συστήματος CCTV στις εγκαταστάσεις της βασίζεται στην επιδίωξη του εννόμου συμφέροντος της προστασίας προσώπων ή/και αγαθών (υψηλής τεχνολογίας και ως εκ τούτου μεγάλης αξίας) που διακινούνται στα καταστήματά της και τις εγκαταστάσεις της.

Η ΑΠΔΠΧ, διαπίστωσε διάφορες παραβάσεις του ισχύοντος, κατά την περίοδο υποβολής της καταγγελίας, καθεστώτος[1] αναφορικά με τις των υποχρεώσεων του εργοδότη και εν συνεχεία απηύθυνε αφενός προειδοποίηση προς την εν λόγω εταιρεία για την παραβίαση, αφετέρου δε διέταξε τη διενέργεια διορθωτικών μέτρων.

Λαμβάνοντας υπόψη την ως άνω απόφαση της ΑΠΔΠΧ, αλλά και τις πρόσφατες οδηγίες που εξέδωσε, τόσο η ΑΠΔΠΧ, όσο και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων  (ΕΣΠΔ/EDPB), αναφορικά με τις προϋποθέσεις σύννομης και διαφανούς υιοθέτησης συστημάτων βιντεοεπιτήρησης στον εργασιακό χώρο, με το παρόν επιδιώκεται μια συνοπτική περιγραφή, τόσο του σχετικού νομικού πλαισίου, όσο και των πρακτικών βημάτων που πρέπει να ακολουθήσει ένας υπεύθυνος επεξεργασίας προκειμένου να διασφαλίσει τη συμμόρφωσή του με τις απαιτήσεις ιδιωτικότητας που επιτάσσει ο Κανονισμός (ΕΕ) 679/2016, αλλά και η εθνική νομοθεσία.

Ι. Νομικό πλαίσιο

Σημειώνεται ήδη ευθύς εξαρχής ότι η χρήση και λειτουργία συστήματος CCTV με τη χρήση καταγραφικού συστήματος στο χώρο εργασίας συνιστά επεξεργασία προσωπικών δεδομένων. Η ΑΠΔΠΧ στις 31/3/2011 εξέδωσε την Οδηγία 1/2011[2], στην οποία ως Συστήματα CCTV, «ορίζονται τα συστήματα που είναι μόνιμα εγκατεστημένα σε ένα χώρο, λειτουργούν συνεχώς ή σε τακτά χρονικά διαστήματα και έχουν τη δυνατότητα λήψης ή/και μετάδοσης σήματος εικόνας ή/και ήχου από τον χώρο αυτό προς έναν περιορισμένο αριθμό οθονών προβολής ή/και μηχανημάτων καταγραφής (πρβλ. και υπ’ αρ. 2/2010 Γνωμοδότηση της Αρχής, σκέψη 8)»[3].

Εν γένει, η νομιμότητα της επεξεργασίας εξετάζεται βάσει του επιδιωκόμενου σκοπού σε συνάρτηση με το μέσο που χρησιμοποιείται, την αναγκαιότητα και προσφορότητα αυτού. Πιο συγκεκριμένα, η νομιμότητα της λειτουργίας ενός συστήματος CCTV σταθμίζεται βάσει του επιδιωκόμενου σκοπού του εκάστοτε Υπευθύνου Επεξεργασίας, την έκταση του κινδύνου, τα δικαιώματα και τις ελευθερίες των υποκειμένων και την ύπαρξη εναλλακτικών μέτρων με βάση την αρχή της αναλογικότητας[4]. Η αρχή της αναλογικότητας παίζει κρίσιμο ρόλο στη στάθμιση αυτή, ιδιαιτέρως όταν συστήματα CCTV εγκαθίστανται σε χώρους εργασίας.

Όσον αφορά τη χρήση συστημάτων βιντεοεπιτήρησης σε χώρους εργασίας, η ΑΠΔΠΧ έχει κρίνει ότι τα συστήματα CCTV στον εργασιακό χώρο αποτελούν εν γένει μέσα ελέγχου και παρακολούθησης των εργαζομένων[5]. Σε περίπτωση κατά την οποία είναι απαραίτητη η εγκατάσταση τους για λόγους ασφαλείας, τα συστήματα αυτά δεν θα πρέπει να χρησιμοποιούνται για την παρακολούθηση και επιτήρηση των εργαζομένων[6]. Συνεπώς, η εγκατάσταση τους δεν θα είναι αναλογικό να γίνεται σε συγκεκριμένους χώρους εργασίας (όπως λ.χ. διαδρόμους, γραφεία, κ.ο.κ.) αλλά μόνο στα σημεία που χρήζουν προστασίας (λ.χ. πόρτες εισόδου/εξόδου, ταμεία, χρηματοκιβώτια κλπ.).  

Η ίδια προσέγγιση ακολουθήθηκε και κατά την ψήφιση του Ν. 4624/2019, σύμφωνα με τον οποίο η εγκατάσταση συστήματος CCTV σε χώρους εργασίας επιτρέπεται μόνο για την προστασία προσώπων και αγαθών[7], υπό την προϋπόθεση ότι δεν προσβάλλεται ο πυρήνας των δικαιωμάτων και ελευθεριών των υποκειμένων[8].

Σε περίπτωση κατά την οποία συλλέγονται προσωπικά δεδομένα εργαζομένων μέσω συστήματος CCTV, τα δεδομένα αυτά δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων[9]. Τα δεδομένα που θα τυγχάνουν επεξεργασίας για την αξιολόγηση των εργαζομένων θα πρέπει να έχουν άμεση σύνδεση με τη σχέση απασχόλησης και να μη περιλαμβάνουν στοιχεία εκτός αυτής (λ.χ. στοιχεία συμπεριφοράς, σχέσεις μεταξύ εργαζομένων κ.ο.κ.)[10]. Σε κάθε περίπτωση, ο Υπεύθυνος Επεξεργασίας θα πρέπει να διασφαλίζει ότι τα υποκείμενα των δεδομένων θα ενημερώνονται σχετικά εγκαίρως και προσηκόντως,  ότι θα χρησιμοποιούνται τα κατάλληλα τεχνικά και οργανωτικά μέτρα (λ.χ. face mask, συλλογή μόνο δεδομένων εικόνας και όχι ήχου), καθώς και να μεριμνήσουν για την τήρηση των δεδομένων μόνο για το προβλεπόμενο χρονικό διάστημα (έως 15 ημέρες).

ΙΙ. Λογοδοσία

Ο Εργοδότης, υπό την ιδιότητα του Υπευθύνου Επεξεργασίας, προτού προχωρήσει στην εγκατάσταση συστήματος CCTV ενδέχεται να χρειαστεί να προβεί στη διενέργεια μελέτης Εκτίμησης Αντίκτυπου Προστασίας Δεδομένων (εφεξής «ΕΑΠΔ» ή «DPIA»).

Ο Κανονισμός (ΕΕ) 2016/679 προβλέπει ότι στις περιπτώσεις κατά τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα αποτελεί συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε «μεγάλη κλίμακα»[11]  ή η επεξεργασία εμπίπτει στον κατάλογο πράξεων που έχει ορίσει η εποπτική Αρχή του κάθε κράτους-μέλους[12] ως υψηλού κινδύνου (high risk) για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, τότε η διενέργεια ΕΑΠΔ είναι υποχρεωτική.

Σύμφωνα με την ΑΠΔΠΧ, η ΕΑΠΔ κρίνεται απαραίτητη όταν υπάρχει «[σ]υστηματική και σε μεγάλη κλίμακα επεξεργασία για την παρακολούθηση, την παρατήρηση ή τον έλεγχο των φυσικών προσώπων με χρήση δεδομένων που συλλέγονται μέσω συστημάτων βιντεοεπιτήρησηςσε δημόσιο χώρο, δημοσίως προσβάσιμο χώρο ή ιδιωτικό χώρο προσιτό σε απεριόριστο αριθμό προσώπων»[13].

Παράλληλα, σύμφωνα με τις κατευθυντήριες γραμμές, που εξέδωσε η Ομάδα Εργασίας του Άρθρου 29 (εφεξής «ΟΕ29») [14] υπάρχουν εννέα κριτήρια τα οποία πρέπει να λαμβάνουν υπόψη οι εργοδότες για να καθορίσουν κατά πόσον πρέπει να διενεργηθεί μια ΕΑΠΔ[15]. Εάν δύο από τα κριτήρια αυτά πληρούνται, σύμφωνα με την ΟΕ29, θα πρέπει οπωσδήποτε να διενεργηθεί ΕΑΠΔ[16]. Συγκεκριμένα τα κριτήρια αυτά είναι:

  1. Αν διενεργείται αξιολόγηση ή βαθμολόγηση, περιλαμβανομένης της κατάρτισης προφίλ.
  2. Αν υπάρχει λήψη αυτοματοποιημένων αποφάσεων που παράγουν έννομα αποτελέσματα ή σημαντικά αποτελέσματα κατά ανάλογο τρόπο.
  3. Αν τα δεδομένα υφίστανται συστηματική παρακολούθηση.
  4. Αν διενεργείται επεξεργασία σε ευαίσθητα δεδομένα ή δεδομένα εξαιρετικά προσωπικού χαρακτήρα.
  5. Αν πραγματοποιείται επεξεργασία σε «μεγάλη κλίμακα». Σημειώνεται ότι ο Κανονισμός (ΕΕ) 2016/679 δεν ορίζει ρητά τι συνιστά μεγάλης κλίμακας επεξεργασία ωστόσο παρέχει ορισμένες κατευθύνσεις[17]ως προς την εκτίμησή της. Σε κάθε περίπτωση, η Ομάδα Εργασίας του άρθρου 29[18], με την επιβεβαίωση της Αρχής[19] προτείνει να λαμβάνονται υπόψη οι ακόλουθες παράμετροι κατά τον προσδιορισμό του κατά πόσον η επεξεργασία τελείται σε μεγάλη κλίμακα:
  • ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού·
  • ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων που υποβάλλονται σε επεξεργασία,
  • η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας δεδομένων,
  • το γεωγραφικό εύρος της δραστηριότητας επεξεργασίας.
  1. Η αντιστοίχιση ή ο συνδυασμός συνόλων δεδομένων.
  2. Δεδομένα που αφορούν ευάλωτα υποκείμενα δεδομένων.
  3. Καινοτόμος χρήση ή εφαρμογή νέων τεχνολογικών ή οργανωτικών λύσεων.
  4. Όταν η επεξεργασία αυτή καθαυτή «εμποδίζει τα υποκείμενα των δεδομένων να ασκήσουν κάποιο δικαίωμα ή να χρησιμοποιήσουν μια υπηρεσία ή σύμβαση».

ΙΙΙ. Συμπέρασμα

Όπως αναλύθηκε ανωτέρω σύμφωνα με το ενωσιακό και εθνικό ρυθμιστικό πλαίσιο για την προστασία δεδομένων υπό το πρίσμα της νομολογίας του ΔΕΕ και των κατευθυντηρίων γραμμών, Οδηγίες και αποφάσεις του ΕΣΠΔ και της ΑΠΔΠΧ, η εγκατάσταση και λειτουργία συστημάτων  CCTV σε εργασιακούς χώρους είναι επιτρεπτή μόνο για σκοπούς ασφαλείας (λ.χ. εμπορευμάτων, εγκαταστάσεων, προσωπικού όταν αυτό επιτελεί επικίνδυνη εργασία). Εφόσον, ο Εργοδότης κρίνει απαραίτητη την εγκατάσταση καμερών στον εργασιακό χώρο θα πρέπει απαραίτητα:

  • Να εξασφαλίσει ότι:
  • Δεν πραγματοποιείται λήψη εικόνας από παράπλευρες οδούς ή/και πεζοδρόμια, ούτε από εισόδους ή εσωτερικό γειτονικών κατοικιών ή κτιρίων.
  • Δεν πραγματοποιείται η λήψη εικόνας σε χώρους όπου προσβάλλεται ο σκληρός πυρήνας του δικαιώματος στην προστασία της ιδιωτικής ζωής, όπως χώροι και προθάλαμοι τουαλετών, αποδυτήρια και λουτρά προσωπικού/πελατών, κ.λπ.
  • Κατ’αρχήν δεν επιτρέπεται η καταγραφή ήχου (αυτή μπορεί να επιτραπεί μόνο σε πολύ εξαιρετικές περιπτώσεις).
  • Κατ’αρχήν δεν γίνεται χρήση καμερών με δυνατότητα στρέψης και εστίασης (zoom) επιτρέπεται μόνο υπό πολύ συγκεκριμένες και ειδικές προϋποθέσεις.
  • Δεν έχουν τοποθετηθεί κάμερες σε χώρους εργασίας (λ.χ. γραφεία, διαδρόμους, κουζίνα κ.ο.κ.). Κατ’ εξαίρεση επιτρέπεται όταν λόγω των συνθηκών δικαιολογείται η ανάγκη του αγαθού ή του προσώπου (π.χ. εγκαταστάσεις υψηλού κινδύνου, τράπεζες, εργασίες υψηλού κινδύνου), εφόσον οι κάμερες εστιάζουν στο αγαθό που προστατεύουν.
  • Να έχει πρόσβαση στο σύστημα CCTV μόνο συγκεκριμένο και εντεταλμένο προς το σκοπό αυτό προσωπικό,
  • Τα δεδομένα που συλλέγονται από σύστημα βιντεοεπιτήρησης απαγορεύεται να χρησιμοποιηθούν για αξιολόγηση εργαζομένων.
  • Ότι καταστρέφει τα συλλεγόμενα δεδομένα το αργότερο εντός δεκαπέντε (15) ημερών. Κατ’ εξαίρεση, σε περίπτωση οποιουδήποτε συμβάντος, τα δεδομένα θα μπορούν να εξάγονται από το σύστημα και να τηρούνται σε ξεχωριστό αρχείο μέχρι 30 ημέρες. Αν το συμβάν αφορά τρίτον, η τήρηση των εικόνων μπορεί να γίνεται και μέχρι 3 μήνες.
  • Δεν διαβιβάζει τα τηρούμενα δεδομένα εκτός εάν λάβει συγκατάθεση των ατόμων που απεικονίζονται ή εάν αρμόδιες δικαστικές, εισαγγελικές και αστυνομικές αρχές ζητούν νομίμως δεδομένα κατά την άσκηση των καθηκόντων τους, ενώ επίσης επιτρέπεται διαβίβαση στο πρόσωπο που απεικονίζεται στα τηρούμενα αρχεία ως θύμα ή δράστης αξιόποινης πράξης.
  • Ότι ικανοποιεί τα δικαιώματα των υποκειμένων των δεδομένων. Σημειώνεται ιδιαίτερα ότι αν ο υπεύθυνος επεξεργασίας διαπιστώσει ότι το αίτημα αντίρρησης είναι νόμιμο και πρέπει να ικανοποιηθεί, οφείλει να προβεί στις απαραίτητες ενέργειες, καθώς επίσης να προσαρμόσει τη λειτουργία του συστήματος εν γένει ώστε να αποφευχθεί αντίστοιχη παράνομη επεξεργασία στο μέλλον.
  • Να παρέχει εγκαίρως και προσηκόντως στους εργαζομένους, τις προβλεπόμενες πληροφορίες για την εγκατάσταση του συστήματος CCTV,
  • Να επικαιροποιήσει σχετικά το αρχείο δραστηριοτήτων του,
  • Να εξετάσει την ανάγκη ΕΑΠΔ και αν κριθεί ότι χρειάζεται να προχωρήσει στη διενέργεια της,
  • Σε περίπτωση που το πόρισμα της ΕΑΠΔ το επιτάσσει, να προχωρήσει σε προηγούμενη διαβούλευση με την ΑΠΔΠΧ για να την παροχή συμβουλών για την υιοθέτηση τεχνικών και οργανωτικών μέτρων για τον μετριασμό των κινδύνων.

Επισημαίνεται ότι με την έναρξη ισχύος του Κανονισμού ΕΕ 2016/679, η μη συμμόρφωση των υπευθύνων επεξεργασίας με τις υποχρεώσεις περί προστασίας δεδομένων προσωπικού χαρακτήρα δύναται να επιφέρει ιδιαίτερα υψηλά διοικητικά πρόστιμα, τα οποία μπορούν να ανέρχονται μέχρι και στο 4% του ετήσιου κύκλου εργασιών ή 20.000.000,00 ευρώ (όποιο είναι υψηλότερο).

Για το λόγο αυτό είναι καθοριστικής σημασίας η συνεργασία με εξειδικευμένους συμβούλους, οι οποίοι με τις γνώσεις  και την εμπειρία τους θα συνδράμουν στην  διασφάλιση της επιχειρησιακής συνέχειας του κάθε οργανισμού και κυρίως της συμμόρφωσής με το ενωσιακό και εθνικό ρυθμιστικό πλαίσιο για την Προστασία Προσωπικών Δεδομένων.

 

Για τη ΔΙΚΗΓΟΡΙΚΗ ΕΤAIPEIA

Ν . ΚΑΝΕΛΛΟΠΟΥΛΟΣ- Χ. ΖΕΡΒΑ & ΣΥΝΕΡΓΑΤΕΣ

ΥΠΕΥΘΥΝΟΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ Ε.Ε.Α.

Στέργιος Κωνσταντίνου

Δικηγόρος, Advanced LLM | CIPP/E

[1] Ν. 2472/1997

[2]Οδηγία 1/2011 – Χρήση συστηµάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών, Γ/ΕΞ/2274/31.03.2011

[3] Άρθρο 4, Οδηγία 1/2011 ΑΠΔΠΧ

[4] Κατευθυντήριες γραμμές 3/2019 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω βιντεοσυσκευών, έκδοση 2η, 29.01.2020, σ 12.

[5] Οδηγία 115/2001 για την επεξεργασία δεδομένων των εργαζομένων, 1830-20/09/2001, σ.16

[6] Άρθρο 7, Οδηγία 1/2011 ΑΠΔΠΧ

[7] Άρθρο 27 παρ. 7, ν,4624/2019

[8] Κατευθυντήριες γραμμές 3/2019 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω βιντεοσυσκευών, έκδοση 2η, 29.01.2020,

[9] Άρθρο 27 παρ. 7, ν .4624/2019 & Οδηγία 115/2001 για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων, 1830-20/09/2001, σ.19

[10] Οδηγία 115/2001 για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων, 1830-20/09/2001, σ.16

[11] Άρθρο 35 παρ. 3 περ. γ’ ΓΚΠΔ

[12] Άρθρο 35 παρ. 4 ΓΚΠΔ

[13] ΑΠΔΠΧ, Κατάλογος με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων σύμφωνα με το άρθρο 35 παρ. 4 του ΓΚΠΔ, 16.10.2018, σ.2

[14] Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τους σκοπούς του κανονισμού 2016/679, WP248 REV.01 τις οποίες έχει εγκρίνει το ΕΣΠΔ

[15] Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τους σκοπούς του κανονισμού 2016/679, WP248 REV.01, σ.12-13

[16] Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τους σκοπούς του κανονισμού 2016/679, WP248 REV.01, σ. 13

[17] Αιτιολογική σκέψη 91, ΓΚΠΔ

[18] Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τους σκοπούς του κανονισμού 2016/679, WP248 REV.01, σ.12

[19] ΑΠΔΠΧ, Κατάλογος με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων σύμφωνα με το άρθρο 35 παρ. 4 του ΓΚΠΔ, 16.10.2018, σ.2