ΚΑΝΟΝΙΣΜΟΙ

Πληροφορίες Κανονισμών

Ο νέος Γενικός Κανονισμός 2016/679 είναι γεγονός και ανατάραξε τις ισορροπίες σε ότι έχει να κάνει με την διαχείριση των δεδομένων. Καλύπτει όλη την αλυσίδα διαχείρισης της πληροφορίας προσπαθώντας να ελαχιστοποιήσει όλα τα τρωτά σημεία τα οποία μπορούν να προκαλέσουν διαρροή ευαίσθητων δεδομένων.

Ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΓΚΠΔ) έχει υποχρεωτική εφαρμογή και ισχύει άμεσα σε κάθε κράτος μέλος (δηλαδή δεν απαιτείται ειδική προσαρμογή της Εθνικής Νομοθεσίας) από 25 Μαΐου 2018, αλλάζοντας το νομοθετικό πλαίσιο προστασίας προσωπικών δεδομένων, διασφαλίζοντας σε μεγαλύτερο βαθμό την προστασία των δεδομένων των υποκειμένων των δικαιωμάτων και δημιουργώντας αυξημένες υποχρεώσεις στους υπεύθυνους επεξεργασίας και στους εκτελούντες την επεξεργασία.

Ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (General Data Protection Regulation – GDPR) αποτελεί το νέο ρυθμιστικό πλαίσιο της Ευρωπαϊκής Ένωσης. Αντικείμενο του κανονισμού είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προς προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και ιδίως του δικαιώματος προστασίας προσωπικών δεδομένων.

Ο νέος Κανονισμός αφορά όλες τις επιχειρήσεις, (ιδιωτικού και δημόσιου τομέα) που με οποιοδήποτε τρόπο διαχειρίζονται προσωπικά δεδομένα εργαζομένων, συνεργατών, πελατών, ή άλλων φυσικών προσώπων. Παρόλα αυτά, για να ληφθεί υπόψιν η ειδική κατάσταση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, ο παρών κανονισμός περιλαμβάνει παρέκκλιση για οργανισμούς που απασχολούν λιγότερα από 250 άτομα (άρθρο 30 παρ. 5) όσον αφορά την τήρηση αρχείων.

Μέχρι το 2019 στην Ελλάδα ίσχυε ο Ν. 2472/1997, που ενσωμάτωνε την Οδηγία 95/46/ΕΚ. Με την κατάργηση όμως της εν λόγω οδηγίας όπως προαναφέρθηκε και τη θέσπιση του ΓΚΠΔ, ο Ν.2472/1997 καταργήθηκε στις περισσότερες διατάξεις του καθώς θεσπίστηκε ο Ν. 4624/2019. Με τον Ν.4624 αντικαταστάθηκε και το νομοθετικό πλαίσιο που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ).

Αρχή Προσωπικών Δεδομένων (ΑΠΔΧ)

Η Αρχή Προσωπικών Δεδομένων είναι συνταγματικά κατοχυρωμένη ανεξάρτητη Αρχή που συστάθηκε με τον ν. 2472/1997 (ΦΕΚ 50Α/10.04.1997). Όσον αφορά την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, η ΑΠΔΠΧ εφαρμόζει τον νόμο 3471/2006 που αντίστοιχα ενσωματώνει στο εθνικό δίκαιο την Ευρωπαϊκή Οδηγία 58/2002. Με τον πρόσφατο ν. 4624/2019 (ΦΕΚ 137Α/29.08.2019), αρμόδια για την εποπτεία εφαρμογής των διατάξεων του ΓΚΠΔ, καθώς επίσης και την εν γένει προστασία του ατόμου έναντι της προστασίας δεδομένων προσωπικού χαρακτήρα στην ελληνική επικράτεια είναι η ΑΠΔΠΧ. Η Αρχή συνεργάζεται με τις εποπτικές αρχές κρατών – μελών της Ευρωπαϊκής Ένωσης και με την Ευρωπαϊκή Επιτροπή. Επίσης, εκπροσωπεί την Ελλάδας στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, καθώς επίσης και σε άλλα όργανα, επιφορτισμένα με την προστασία δεδομένων προσωπικού χαρακτήρα, στα οποία προβλέπεται η συμμετοχή εθνικής εποπτικής αρχής. Συνεργάζεται με ομόλογες αρχές τρίτων χωρών και διεθνείς οργανισμούς για την εκπλήρωση των σκοπών του άρθρου 50 του ΓΚΠΔ και διαθέτει και αρμοδιότητες ανεξάρτητου ελέγχου, όπου σε διεθνείς ή διακρατικές συμβάσεις ή στο ενωσιακό ή το εθνικό δίκαιο προβλέπεται ανεξάρτητος έλεγχος ή εποπτεία.

Επιπλέον απαιτήσεις του Νέου Κανονισμού

Μια σημαντική απαίτηση που συνοδεύει τον GDPR είναι η ύπαρξη μελέτης εκτίμησης επιπτώσεων, όπου θα πρέπει να αξιολογούνται οι ενδεχόμενοι κίνδυνοι για την ασφάλεια των προσωπικών δεδομένων, και βάσει αυτών να προτείνονται μέτρα και ενέργειες για την αντιμετώπιση τους. Η εν λόγω μελέτη, αφού καταγράψει όλα τα συστήματα στα οποία γίνεται διαχείριση ευαίσθητων πληροφοριών (data flow mapping), θα διαπιστώσει τα ενδεχόμενα ρίσκα και θα προτείνει τρόπους αντιμετώπισης. Μια από τις σημαντικότερες αλλαγές που επιβάλλει ο νέος κανονισμός σε όλους τους οργανισμούς είναι η δημιουργία της θέσης του Υπεύθυνου Προστασίας Δεδομένων, που είναι υποχρεωτική σε δημόσιους οργανισμούς ή σε οργανισμούς που ασκούν συστηματική επιτήρηση σε μεγάλη κλίμακα και σε δημόσιους χώρους, και προαιρετική σε επιχειρήσεις που χρησιμοποιούν τα συστήματα επιτήρησης για λόγους ασφάλειας μέσα στις δικές τους εγκαταστάσεις.

Στον ΓΠΔΧ εμφανίζεται και για πρώτη φορά ο ρόλος των data processors, ήτοι το τμήμα που παρέχει την τεχνική υποστήριξη σε όσα συστήματα σχετίζονται με την διαχείριση των δεδομένων. Πλέον υπεύθυνοι για κάθε παραβίαση του κανονισμού είναι τόσο οι υπεύθυνοι επεξεργασίας (data controllers) δηλαδή οι οργανισμοί-τελικοί χρήστες όσο και οι data processors.

Επιπλέον, υποχρεωτική είναι και η καταγραφή των διαδικασιών. Τόσο οι υπεύθυνοι επεξεργασίας δεδομένων (data controllers) όσο και οι data processors οφείλουν να διαθέτουν γραπτές διαδικασίες με τις οποίες να αποτυπώνεται με σαφήνεια όλος ο τρόπος με τον οποίο λειτουργεί το σύστημα επιτήρησης. Επίσης, θα πρέπει κάθε αλλαγή στον τρόπο με τον οποίο καταγράφονται και αποθηκεύονται τα δεδομένα να τεκμηριώνεται.

Βασικά μέτρα συμμόρφωσης των συστημάτων CCTV με τον GDPR

Αναζητώντας τα βασικότερα σημεία στον τρόπο διαχείρισης των συστημάτων CCTV, προκειμένου να συμμορφωθούν σε όσα προβλέπονται από τον GDPR, θα αναφέραμε κυρίως τα εξής: δικαίωμα πρόσβασης – περιορισμός του χρόνου αποθήκευσης – πρωτοκόλλα ασφάλειας δεδομένων και κωδικών πρόσβασης – κρυπτογράφηση firmware – πρωτόκολλα μετάδοσης και αποχαρακτηρισμός (de-identify) δεδομένων.
Για την εγκατάσταση καμερών, θα χρειαστεί να εκτελεστεί μια αξιολόγηση κινδύνου που θα αναφέρει κάθε κάμερα, την επιθυμητή περιοχή προβολής και τον λόγο ύπαρξης της κάμερας ασφαλείας σε εκείνο το σημείο.

Για τα συστήματα επιτήρησης τα ακόλουθα βήματα είναι απαραίτητα:

1. Το σύστημα παρακολούθησης πρέπει να είναι νόμιμο και αιτιολογημένο π.χ. για λόγους Υγείας και Ασφάλειας, και όχι για έλεγχο των εργαζομένων. Τοποθέτηση ευδιάκριτων σημάνσεων που θα ενημερώνουν ότι στον χώρο αυτό λειτουργεί σύστημα επιτήρησης και θα αναφέρουν τα στοιχεία για τον διαχειριστή του συστήματος, το σκοπό της λειτουργίας του συστήματος, τον τρόπο επικοινωνίας με τον υπεύθυνο επεξεργασίας κλπ. Το σύστημα πρέπει να είναι τοποθετημένο σε ιδιωτικό χώρο και να μην καταγράφουν και χώρους εκτός της ιδιοκτησίας, εκτός αν υπάρχει ειδικός λόγος, και με την προϋπόθεση θα έχει τοποθετηθεί και σε αυτούς τους χώρους εδική σήμανση.

2. Το προσωπικό ενός οργανισμού οφείλει να είναι ενημερωμένο για την ύπαρξη και των σκοπό των καμερών.

3. Ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να αιτιολογεί επίσης τους λόγους για τη διατήρηση δεδομένων και τυχόν υπερκέρασης του χρόνου τήρησης (10 ημέρες), μετά από εκτίμηση του κινδύνου.

Βάσει του Κανονισμού:

«Κάθε πρόσωπο του οποίου η εικόνα εγγράφεται σε σύστημα παρακολούθησης έχει το δικαίωμα να ζητήσει και να του παρασχεθεί αντίγραφο των δικών του προσωπικών δεδομένων από το υλικό.»
Συνεπώς, όποιος έχει καταγραφεί από τις κάμερες ασφαλείας σας έχει το δικαίωμα να ζητήσει αυτό το βίντεο, και αν υπάρχουν άλλα άτομα που είναι ορατά στο βίντεο, χρειάζεται οι κάμερες σας να διαθέτουν την λειτουργία Face Blurring & Redaction, η οποία παρέχει την επεξεργασία με θόλωση των προσώπων που επιλέγουμε.

Η αστυνομία μπορεί να ζητήσει το εν λόγω υλικό το οποίο έχει δικαίωμα να προμηθευτεί, δεδομένου ότι θα προϋπάρχει γραπτό αίτημα από τον επικεφαλής τον κρατικών αρχών ασφαλείας. Η αστυνομία θέλει να ελέγχει το αρχείο βίντεο για την προστασία των πολιτών και η ενέργεια αυτή δεν θα εγείρει καμία ανησυχία για την προστασία των δεδομένων.


 Αρχή Προσωπικών Δεδομένων (ΑΠΔΧ) – Οδηγία 1/2011

Η ΑΠΔΠΧ έχει εκδώσει την οδηγία 1/2011 με την οποία, σε συνδυασμό με το ν. 2472/1997 (τον προ Κανονισμού ελληνικό νόμο για τα προσωπικά δεδομένα), ρυθμιζόταν η χρήση συστημάτων βιντεοεπιτήρησΑης για σκοπούς προστασίας προσώπων και αγαθών. Η εικόνα ενός προσώπου θεωρείται προσωπικό δεδομένο, ιδίως σε ένα σύστημα ασφαλείας, καθώς ο στόχος κάθε τέτοιου συστήματος είναι να μπορεί από την λαμβανόμενη εικόνα να ταυτοποιηθεί το εικονιζόμενο πρόσωπο, ώστε σε περίπτωση περιστατικού, να δοθεί η εικόνα του στις αρμόδιες διωκτικές αρχές.

Ως συστήματα βιντεοεπιτήρησης, σύμφωνα με το Άρθρο 4 της οδηγίας 1/2011 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ορίζονται όσα παρέχουν την δυνατότητα λήψης ή/και μετάδοσης σήματος εικόνας ή/και ήχου, από τον χώρο όπου είναι μόνιμα εγκατεστημένα προς έναν περιορισμένο αριθμό οθονών προβολής ή/και μηχανημάτων καταγραφής, και τα οποία λειτουργούν συνεχώς ή ανά τακτά χρονικά διαστήματα. Από τις υποθέσεις που έχουν φτάσει στην ΑΠΔΠΧ και τις έως σήμερα γνωστοποιήσεις φαίνεται ότι λίγα είναι τα «μεγάλης κλίμακας» συστήματα βιντεοεπιτήρησης, όπως είναι τα μεγάλα εμπορικά κέντρα ή σταθμοί διακίνησης επιβατών. Στα εν λόγω συστήματα είναι υποχρεωτικός ο ορισμός υπευθύνου επεξεργασίας (DPO). Η αριθμητικά μεγαλύτερη κατηγορία συστημάτων βιντεοεπιτήρησης όμως, αφορά μικρούς επαγγελματίες, μικρομεσαίες επιχειρήσεις, πολυκατοικίες κλπ. Οι περισσότεροι από αυτούς αναζητούν μια γρήγορη, εύκολη και σχετικά ανέξοδη λύση για την προστασία τους, αναθέτοντας την εγκατάσταση και τη λειτουργία των καμερών, σε εταιρείες ασφαλείας ή εγκατάστασης συστημάτων. Δεδομένου ότι η ιδιωτική ζωή και τα προσωπικά δεδομένα του ατόμου προστατεύονται από το Σύνταγμα ως θεμελιώδη δικαιώματα (Άρθρα 4 και 9Α του Συντάγματος), η εγκατάσταση καμερών ασφαλείας και κλειστών κυκλωμάτων τηλεόρασης υπόκειται σε εύλογους περιορισμούς.

Σύμφωνα με την Οδηγία 1/2011 της ΑΠΔΧ, η νομική δικαιολόγηση του επιτρεπτού της παρακολούθησης και επεξεργασίας προσωπικών δεδομένων εντοπίζεται στην αρχή της αναλογικότητας. Εξετάζεται δηλαδή αν τα συλλεγόμενα στοιχεία είναι αναγκαία και πρόσφορα για να επιτευχθεί ο σκοπός, η προστασία προσώπων και αγαθών (αρ. 2 Οδ. 1/2011), ή αν μπορούν να χρησιμοποιηθούν άλλα μέσα, ηπιότερα για την προστασία της προσωπικότητας (για παράδειγμα τακτικοί έλεγχοι από προσωπικό ασφαλείας).

Περαιτέρω, τα σημεία εγκατάστασης των καμερών και ο τρόπος λήψης των δεδομένων πρέπει επίσης να εναρμονίζονται με τον σκοπό της καταγραφής, ώστε να μην θίγονται τα θεμελιώδη δικαιώματα των παρευρισκόμενων στον χώρο.

Παράλληλα, χώροι όπου το άτομο έχει αυξημένες προσδοκίες για την ιδιωτικότητά του, όπως χώροι και προθάλαμοι τουαλετών, εξαιρούνται ρητά από την δυνατότητα εγκατάστασης καμερών (βλ. και άρθρο 6 της Οδ. 1/2011) διότι προσβάλλεται ο σκληρός πυρήνας του δικαιώματος στην ιδιωτική ζωή.

Σύμφωνα με το άρθρο 5 της με αριθμ. 1/2011 Οδηγίας για τα κλειστά κυκλώματα τηλεόρασης, η νομιμότητα της επεξεργασίας εξετάζεται στο πλαίσιο του σκοπού που επιδιώκει ο υπεύθυνος επεξεργασίας και σύμφωνα με την αρχή της αναλογικότητας, η οποία επιβάλλει τα συστήματα βιντεοεπιτήρησης να είναι πρόσφορα και αναγκαία σε σχέση με τον επιδιωκόμενο σκοπό, ο οποίος θα πρέπει να μη δύναται να επιτευχθεί με ηπιότερα μέσα. Η προσφορότητα και η αναγκαιότητα της βιντεοεπιτήρησης εκτιμάται με βάση τον κίνδυνο που ο υπεύθυνος επεξεργασίας θέλει να αντιμετωπίσει σε σχέση με τον επιδιωκόμενο σκοπό.

Περαιτέρω, τα σημεία εγκατάστασης των καμερών και ο τρόπος λήψης των δεδομένων πρέπει να προσδιορίζονται με τέτοιο τρόπο, ώστε τα δεδομένα που συλλέγονται να μην είναι περισσότερα από όσα είναι απολύτως αναγκαία για την εκπλήρωση του σκοπού της επεξεργασίας και να μη θίγονται τα θεμελιώδη δικαιώματα των προσώπων που ευρίσκονται στο χώρο που επιτηρείται και ιδίως να μην παραβιάζεται αυτό το οποίο μπορεί να θεωρηθεί ως «νόμιμη προσδοκία ορισμένου βαθμού προστασίας της ιδιωτικής ζωής» σε συγκεκριμένο χώρο.

Η αρχή της αναλογικότητας εξειδικεύεται περαιτέρω στο άρθρο 6 της με αριθμ. 1/2011 Οδηγίας, όπου ορίζεται ότι η χρήση καμερών με δυνατότητα στρέψης και εστίασης μπορεί να επιτρέπεται μόνο στις περιπτώσεις κατά τις οποίες ο υπεύθυνος επεξεργασίας παρακολουθεί κινήσεις φυσικών προσώπων σε πραγματικό χρόνο προκειμένου να επέμβει άμεσα προς αποτροπή κάποιου συμβάντος (π.χ. νυχτερινή ασφάλεια σε μεγάλους χώρους, όπως εργοστάσια, αποθήκες κ.α.) και εφόσον έχουν ληφθεί όλα τα απαιτούμενα τεχνικά μέτρα για τον περιορισμό της περιοχής λήψης στην απολύτως απαραίτητη (π.χ. με χρήση της λειτουργίας απόκρυψης περιοχών λειτουργία «μάσκας»).

Επιπλέον, στο άρθρο 6 της με αριθμ. 1/2011 Οδηγίας ορίζεται ότι κατά την επιτήρηση της περιμέτρου κτιρίων με σκοπό την ασφάλεια προσώπων ή/και αγαθών (π.χ. προστασία της ιδιοκτησίας από φθορές), απαγορεύεται η λήψη εικόνας από παράπλευρες οδούς και πεζοδρόμια, καθώς ενυπάρχει ο κίνδυνος παρακολούθησης των περαστικών, εκτός από εξαιρετικές περιπτώσεις, που περιγράφονται στο ίδιο άρθρο.

Επίσης, σύμφωνα με το άρθρο 7 της με αριθμ. 1/2011 Οδηγίας, το σύστημα δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας, εκτός από ειδικές εξαιρετικές περιπτώσεις όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας (π.χ. στρατιωτικά εργοστάσια, τράπεζες, εγκαταστάσεις υψηλού κινδύνου). Για παράδειγμα, σε έναν τυπικό χώρο γραφείων επιχείρησης, η βιντεοεπιτήρηση πρέπει να περιορίζεται σε χώρους εισόδου και εξόδου, χωρίς να επιτηρούνται συγκεκριμένες αίθουσες γραφείων ή διάδρομοι. Εξαίρεση μπορεί να αποτελούν συγκεκριμένοι χώροι, όπως ταμεία ή χώροι με χρηματοκιβώτια, ηλεκτρομηχανολογικό εξοπλισμό κλπ., υπό τον όρο ότι οι κάμερες εστιάζουν στο αγαθό που προστατεύουν κι όχι στους χώρους των εργαζομένων.

Σύμφωνα με το άρθρο 8 της με αριθμ. 1/2011 Οδηγίας, τα δεδομένα πρέπει να τηρούνται για συγκεκριμένο χρονικό διάστημα ενόψει του επιδιωκόμενου κάθε φορά σκοπού επεξεργασίας, και, σε κάθε περίπτωση, εφόσον από τη λήψη εικόνων που αποθηκεύονται ή τη λήψη που γίνεται σε πραγματικό χρόνο δεν προκύπτει επέλευση συμβάντος που εμπίπτει στον επιδιωκόμενο σκοπό, τα δεδομένα πρέπει να καταστρέφονται το αργότερο μέσα σε δεκαπέντε (15) εργάσιμες ημέρες.

Σύμφωνα με το άρθρο 12 της με αριθμ. 1/2011 Οδηγίας, πριν ένα πρόσωπο εισέλθει στην εμβέλεια του συστήματος βιντεοεπιτήρησης, ο υπεύθυνος επεξεργασίας οφείλει να το ενημερώνει, με τρόπο εμφανή και κατανοητό, ότι πρόκειται να εισέλθει σε χώρο που βιντεοσκοπείται.

Επίσης, σύμφωνα με το άρθρο 19 παρ. 2 της με αριθμ. 1/2011 Οδηγίας, κάμερες επιτρέπεται να τοποθετούνται στα σημεία εισόδου και εξόδου των καταστημάτων, στα ταμεία και τους χώρους φύλαξης χρημάτων, στις αποθήκες εμπορευμάτων, ενώ, σύμφωνα με το άρθρο 19 παρ. 4 της ίδιας Οδηγίας, απαγορεύεται η λειτουργία καμερών σε χώρους εστίασης και αναψυχής, στα δοκιμαστήρια, στις τουαλέτες και στους χώρους όπου εργάζονται υπάλληλοι καταστήματος και δεν είναι προσιτοί στο κοινό.

 

Ασφαλίστε κι εσείς την περιουσία σας με συστήματα της BST Systems