Είναι γεγονός ότι πολλά πράγματα έχουν αλλάξει σε σχέση με την τοποθέτηση ή/και εγκατάσταση καμερών ασφαλείας απο τις 25 Μαίου 2018, όπου και τέθηκε σε ισχύ ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (ΕΕ) 2016/679 (ο «Κανονισμός»).
Ο Κανονισμός, απο την πιο πάνω ημερομηνία δεσμεύει όλα τα κράτη μέλη της ‘Ενωσης, συμπεριλαμβανομένης και της Κυπριακής Δημοκρατίας.
Ο Κανονισμός εφαρμόζεται μεταξύ άλλων και στην παρακολούθηση μέσω κάμερας φυσικών προσώπων εφόσον οι πληροφορίες που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο[1] αποτελούν προσωπικά δεδομένα σύμφωνα με τον Κανονισμό (βλέπετε άρθρο 2 του Κανονισμού).
Δεδομένου ότι οι φωτογραφίες και τα βίντεο δυνατόν να οδηγήσουν σε εξακρίβωση της ταυτότητας προσώπων μέσω άλλων επιπρόσθετων στοιχείων (ή αν τα πρόσωπα αυτά είναι γνωστά, τότε το υλικό απο μόνο του αφορά ταυτοποιημένο πρόσωπο), τα δεδομένα αυτά αποτελούν προσωπικά δεδομένα και τυγχάνουν της προστασίας του Κανονισμού σε σχέση με την δυνατότητα και τον τρόπο επεξεργασίας τους.
Σύμφωνα με το άρθρο 2 του Κανονισμού:
«επεξεργασία κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση».
Εν όψει των πιο πάνω, σημειώνεται ότι η παρακολούθηση μέσω κάμερας αποτελεί επεξεργασία δεδομένων, όπως και η αποθήκευση του υλικού και η κοινολόγηση με διαβίβαση αυτού.
Στην υπόθεση Ryneš v Úřad pro ochranu osobních údajů (C-212/13) το Ευρωπαικό Δικαστήριο ανέφερε τα εξής:
«η παρακολούθηση με κάμερα ασφαλείας εμπίπτει, κατ’ αρχήν, στο πεδίο εφαρμογής της οδηγίας αυτής στον βαθμό που αποτελεί αυτοματοποιημένη επεξεργασία. Η παρακολούθηση που πραγματοποιείται με βιντεοσκόπηση προσώπων, όπως στην υπόθεση της κύριας δίκης, και η οποία αποθηκεύεται σε μέσο συνεχούς ροής, δηλαδή σε σκληρό δίσκο, συνιστά, κατά το άρθρο 3, παράγραφος 1, της οδηγίας 95/46, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα»
Προυποθέσεις της επεξεργασίας σύμφωνα με τον Κανονισμό.
Για την επεξεργασία προσωπικών δεδομένων θα πρέπει να υφίσταται μία νόμιμη βάση επεξεργασίας σύμφωνα με τις πρόνοιες του Κανονισμού.
- Ύπαρξη νόμιμης βάσης επεξεργασίας.
Οι νόμιμες βάσεις επεξεργασίας προβλέπονται στο άρθρο 6 του Κανονισμού, το οποίο προνοεί τα εξής:
«1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί» (η υπογράμμιση είναι δική μου).
Μια συχνά επικαλούμενη νόμιμη βάση παρακολούθησης μέσω κάμερας για τους ιδιοκτήτες καταστημάτων ή/και άλλων επιχειρήσεων είναι η προστασία των δικών τους έννομων συμφερόντων (legitimate interests).
2. Συμμόρφωση με τις αρχές επεξεργασίας
Περαιτέρω, ακόμη και εάν υφίσταται μια νόμιμη βάση επεξεργασίας σύμφωνα με το άρθρο 6 του Κανονισμού, ο υπεύθυνος επεξεργασίας οφείλει επιπρόσθετα να συμμορφωθεί με τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων σύμφωνα με τον Κανονισμό (π.χ data minimization, purpose limitation, transparency).
Το άρθρο 5 του Κανονισμού προνοεί τα εξής:
«1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»), γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια)…ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»), στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»). 2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)» (η υπογράμμιση είναι δική μου).
Για να υπάρξει συμμόρφωση με την αρχή του περιορισμού των δεδομένων που συλλέγονται σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, θα πρέπει ο επεξεργαστής των δεδομένων να μήν τοποθετεί τις κάμερες σε χώρους πέραν του αναγκαίου. (π.χ να μήν τοποθετεί κάμερες σε ασανσέρ αλλά να τοποθετεί μόνο στην είσοδο ή/και στο εσωτερικό του καταστήματος και να μήν βιντεοσκοπεί πεζοδρόμια και δρόμους ή/και εισόδους γειτονικών σπιτιών και καταστημάτων).
Στην υπόθεση Rynes v Urad pro ochranu osobnich udaju (C-212/13) ιδιώτης, για σκοπούς προστασίας από κλοπές, εγκατέστησε σύστημα κάμερας ασφαλείας στην είσοδο του σπιτιού του το οποίο αποθήκευε ταυτόχρονα το υλικό σε σκληρό δίσκο. Η κάμερα πέρα απο την είσοδο βιντεοσκοπούσε και πεζοδρόμιο (public footpath) καθώς και την είσοδο του απέναντι σπιτιού.
Ένα βράδυ ένα παράθυρο στο σπίτι του έσπασε από πυροβολισμό. Το βιντεοσκοπημένο υλικό δόθηκε στην αστυνομία για σκοπούς διερεύνησης και σύλληψης των δραστών. Με βάση το υλικό εντοπίστηκαν οι 2 δράστες οι οποίοι στην συνέχεια καταδικάστηκαν. Ωστόσο ένας από τους δράστες προέβαλε στο εθνικό Δικαστήριο της Τσεχίας ότι η επεξεργασία των δεδομένων δεν ήταν νόμιμη. Το εθνικό Δικαστήριο έκρινε ότι ο κύριος Rynes (ο ιδιοκτήτης) παραβίασε τους κανόνες προστασίας προσωπικών δεδομένων και του επέβαλε πρόστιμο. Το δικαστήριο έκρινε ότι η βιντεοσκόπηση του υπόπτου ενώ ήταν στο πεζοδρόμιο (public footpath) μπροστά από το σπίτι ήταν ανεπίτρεπτη. Το εθνικό Δικαστήριο παρέπεμψε το θέμα στο Ευρωπαϊκό Δικαστήριο, το οποίο αποφάσισε ότι η επεξεργασία αυτή δεν ήταν για προσωπική ή οικιακή δραστηριότητα και συνεπώς η τότε Οδηγία τύγχανε εφαρμογής.
To Ευρωπαικό Δικαστήριο ανέφερε μεταξύ άλλών τα εξής
« To the extent that video surveillance such as that at issue in the main proceedings covers, even partially, a public space and is accordingly directed outwards from the private setting of the person processing the data in that manner, it cannot be regarded as an activity which is a purely “personal or household” activity for the purposes of the second indent of article 3(2) of Directive 95/46 ….Consequently, the answer to the question referred is that the second indent of article 3(2) of Directive 95/46 must be interpreted as meaning that the operation of a camera system, as a result of which a video recording of people is stored on a continuous recording device such as a hard disk drive, installed by an individual on his family home for the purposes of protecting the property, health and life of the home owners, but which also monitors a public space, does not amount to the processing of data in the course of a purely personal or household activity, for the purposes of that provision»
Σχετική με την πιο πάνω αρχή είναι και η απόφαση της Επιτρόπου Προστασίας Δεδομένων της Κύπρου, ημερομηνίας 10.3.2016, στην υπόθεση εναντίον της εταιρείας Gluckness (βλέπετε ΑΠΟΦΑΣΗ Επιτρόπου 10.3.2016.pdf (dataprotection.gov.cy)).
Συγκεκριμένα, στις 7.5.2015 ο ιδιοκτήτης της καφετέριας Pieto υπέβαλε παράπονο εναντίον της εταιρείας Gluckness Ltd και του ιδιοκτήτη της που διατηρεί το κοσμηματοπωλείο «Μεταξάς» διότι ο τελευταίος είχε εγκαταστήσει στον εξωτερικό χώρο του κοσμηματοπωλείου του, το οποίο βρίσκεται δίπλα από την καφετέρια, Κλειστό Κύκλωμα Βίντεο-Παρακολούθησης (ΚΚΒΠ) και δύο από τις κάμερες είχαν τοποθετηθεί με τέτοιο τρόπο ώστε να κατοπτεύουν χώρους ελεγχόμενους από την επιχείρησή του παραπονούμενου (ιδιοκτήτη της καφετέριας Pieto) και να καταγράφουν κάθε κίνηση και συμπεριφορά των ιδιοκτητών/προσωπικού, αλλά και των πελατών του, χωρίς τη συγκατάθεσή τους. Η Επίτροπος επισήμανε ότι παρόλο που λόγω της φύσεως του καταστήματός (όπου διακινούνται εμπορεύματα μεγάλης αξίας) του καθ’ου το παράπονο (ιδιοκτήτη του κοσμηματοπωλείου), η εγκατάσταση και λειτουργία ΚΚΒΠ, είναι όχι απλά δικαιολογημένη αλλά απαραίτητη, για αποτροπή κλοπών, διαρρήξεων, εγκληματικών ενεργειών και εν γένει για την ασφάλεια του κτιρίου και την προστασία του προσωπικού και των πελατών, αυτό μπορούσε και θα έπρεπε να επιτευχθεί με την ύπαρξη του ΚΚΒΠ στο εσωτερικό του καταστήματος, στο χώρο του ταμείου και στις εισόδους/εξόδους, χωρίς να επηρεάζει τα παρακείμενα καταστήματα.
Περαιτέρω, τα υποκείμενα δεδομένων θα πρέπει να ενημερώνονται για την χρήση κάμερας και την παρακολούθηση εντός του συγκεκριμένου χώρου. Αυτό καλύπτεται απο την αρχή της διαφάνειας της επεξεργασίας (βλέπετε άρθρο 5). Για αυτό τον λόγο θα πρέπει να τοποθετούνται πινακίδες που να ενημερώνουν το υποκείμενο δεδομένων για την χρήση της κάμερας.
Σημειώνεται όμως ότι εάν αυτή η παρακολούθηση αφορά οικιακή κάμερα ασφαλείας στην είσοδο της οικίας εντός του αναγκαίου χώρου, αυτό αποτελεί επεξεργασία αποκλειστικά για οικιακή δραστηριότητα και δέν εμπίπτει στον Κανονισμό, σύμφωνα με το άρθρο 2 αυτού και άρα οι αρχές της επεξεργασίας που θετει ο Κανονισμός όπως αυτή της ενημέρωσης δέν εφαρμοζονται. (Δέν χρειάζεται δηλαδή να τοποθετηθεί πινακίδα έξω απο την οικία ότι υπάρχει κάμερα). ‘Oταν όμως η παρακολούθηση επεκτεινεται σε δημόσιο χώρο η γειτονικό ιδιωτικό χώρο, τοτε ο Κανονισμός εφαρμοζεται. (βλέπετε πιο πάνω αναφορά στην υπόθεση Ryneš v Úřad pro ochranu osobních údajů (C-212/13).
Πέραν των πιο πάνω, σημειώνεται ότι η διατήρηση των δεδομένων αυτών δέν δύναται να είναι απεριόριστη αλλά τα δεδομένα θα πρέπει να διατηρούνται μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας, σύμφωνα με το άρθρο 5.
Το υλικό που αποθηκεύεται στον σκληρό δίσκο της κάμερας θα πρέπει επομένως να διαγράφεται ανα χρονικά διαστήματα που δέν θα δικαιολογούσαν την αναγκαιότητα τους (π.χ ισχυριζόμενο έγκλημα θα είχε ήδη εντοπιστεί στους 6 μήνες)
3. Διενέργεια προηγούμενης εκτίμησης επιπτώσεων (άρθρο 35 του Κανονισμού)
Για σκοπούς διασφάλισης όλων των πιο πάνω, θα πρέπει πρίν την εγκατάσταση κάμερας να γίνεται προηγούμενη εκτίμηση των επιπτώσεων στην προστασία των δεδομένων (data privacy impact assessment).
4. Ενημέρωση και διασφάλιση δικαιωμάτων των υποκειμένων δεδομένων.
Τέλος, τα υποκείμενα δεδομένων έχουν δικαιώματα, τα οποία και θα πρέπει να διασφαλίζονται, συμπεριλαμβανομένου του δικαιώματος τους να υποβάλουν αίτημα για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα (άρθρο 13).
5. Ανθρώπινα Δικαιώματα
Πέραν των πιο πάνω, σημειώνουμε ότι σε σχέση με την βιντεοσκόπηση/παρακολούθηση μέσω κάμερας, πέραν της εφαρμογής του Κανονισμού, το θέμα διέπεται και απο τον Ευρωπαϊκό Χάρτη Ανθρωπίνων Δικαιωμάτων (άρθρο 7-EUR-Lex – 12016P/TXT – EN – EUR-Lex (europa.eu)), την Σύμβαση Ανθρωπίνων δικαιωμάτων της Ευρώπης (άρθρο 8-Wayback Machine (archive.org)) καθώς και το Σύνταγμα της Κυπριακής Δημοκρατίας (άρθρο 15-Το Σύνταγμα της Κυπριακής Δημοκρατίας – ΣΥΝΤΑΓΜΑ (cylaw.org)), διότι η λήψη τέτοιου υλικού συνιστά παραβίαση του δικαιώματος σε σεβασμό της ιδιωτικής ζωής του ατόμου.
Το ανθρώπινο δικαίωμα σε σεβασμό της ιδιωτικής ζωής είναι ύψιστης σημασίας και δύναται να υπόκειται σε περιορισμούς σε πολύ συγκεκριμένες περιπτώσεις, όπως για την προστασία των δικαιωμάτων και ελευθεριών άλλων προσώπων (π.χ την προστασία της ασφάλειας τους), την δημόσια ασφάλεια και την πρόληψη ποινικών παραβάσεων (βλέπετε το άρθρο Workplace monitoring και ανθρώπινο δικαίωμα σεβασμού στην ιδιωτική ζωή και επικοινωνία. – Cyprus Law Notes (wordpress.com))
Σε κάθε περίπτωση θα πρέπει να γίνεται προηγούμενη ανάλυση των επιπτώσεων κινδύνου. Η κάθε περίπτωση είναι ξεχωριστή και πρέπει να εξετάζεται με βάση τα δικά της μοναδικά γεγονότα.
Tα πιο πάνω δέν αποτελούν νομική συμβουλή.
[1] γνωστό ως το υποκείμενο των δεδομένων.
Cyprus Law Notes 