logo-print

Πρόστιμο 10.000 ευρώ για σύστημα βιντεοεπιτήρησης σε εγκαταστάσεις βιοτεχνίας ρούχων (ΑΠΔΠΧ 60/2022)

Η Αρχή απορρίπτει αίτηση θεραπείας επί απόφασής της για κάμερες σε κατάστημα ένδυσης, αλλά επιβάλλει πρόστιμο για το σύστημα βιντεοεπιτήρησης στους χώρους παραγωγής των ενδυμάτων

07/02/2023

08/05/2023

Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Δίκαιο πληροφορικής - E έκδοση

Με την υπ’ αριθμ. 31/2020 απόφασή της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είχε απορρίψει ως αβάσιμη καταγγελία πρώην εργαζόμενης σε επιχείρηση ένδυσης για παράνομη λειτουργία συστήματος βιντεοεπιτήρησης σε κατάστημα ρούχων.

Στην απόφαση εκείνη, η Αρχή δεν είχε διαπιστώσει παραβίαση των απαιτήσεων των άρθρων 5 και 6 ΓΚΠΔ και της Οδηγίας 1/2011 ως προς το συγκεκριμένο κατάστημα, που αφορούσε η καταγγελία. Είχε όμως επιφυλαχθεί για την περαιτέρω διερεύνηση της νομιμότητας λειτουργίας των καμερών στα υπόλοιπα καταστήματα και εγκαταστάσεις του υπευθύνου επεξεργασίας.

Η επιφύλαξη αυτή εκπληρώθηκε μετά από αίτηση θεραπείας, την οποία υπέβαλε η καταγγέλλουσα, ζητώντας την επανεξέταση της καταγγελίας της. Η Αρχή εξέτασε εκ νέου την υπόθεση και διενήργησε έρευνα στα συστήματα βιντεοεπιτήρησης του υπευθύνου επεξεργασίας, με αποτέλεσμα - απορρίπτοντας την αίτηση θεραπείας – να επιβάλει διοικητικό πρόστιμο 10.000 ευρώ σε βάρος της επιχείρησης.

Το πρόστιμο αυτό δεν επιβλήθηκε για τις κάμερες στο κατάστημα ρούχων, αλλά για το σύστημα βιντεοεπιτήρησης στις εγκαταστάσεις της βιοτεχνίας.

Ιστορικό της υπόθεσης

Ενώπιον της Αρχής υποβλήθηκε η με αρ. πρωτ. Γ/ΕΙΣ/7204/20-10-2020 αίτηση της Α, με την οποία η αιτούσα ζητεί την επανεξέταση της 31/2020 απόφασης της Αρχής που εκδόθηκε επί της με αρ. πρωτ. Γ/ΕΙΣ/2527/02-04-2019 καταγγελίας της.

Με την απόφαση 31/2020, η Αρχή είχε επιφυλαχθεί για περαιτέρω διερεύνηση του συστήματος βιντεοεπιτήρησης της εταιρίας «Β ΟΕ» (εφεξής «υπεύθυνος επεξεργασίας») όσον αφορά τη νομιμότητα εγκατάστασης και λειτουργίας των καμερών στα καταστήματα και εγκαταστάσεις του υπευθύνου επεξεργασίας.

Αφού εξέτασε τα υποβαλλόμενα με την αίτηση θεραπείας στοιχεία της αιτούσας και σε συνάφεια με την σχετική επιφύλαξη της απόφασης 31/2020 για περαιτέρω διερεύνηση, η Αρχή διενήργησε στις 19/11/2021 αιφνίδιο επιτόπιο έλεγχο στο κατάστημα του υπευθύνου επεξεργασίας και συνέταξε το με αρ. πρωτ. Γ/ΕΙΣ/8149/14-12-2021 πόρισμα διοικητικού ελέγχου. Μέσω της πρόσβασης που δόθηκε από τον τεχνικό υπεύθυνο του υπευθύνου επεξεργασίας, ελέγχθηκαν από το εν λόγω κατάστημα μέσω απομακρυσμένης σύνδεσης με τα λοιπά καταγραφικά, τα πεδία λήψης, τα αρχεία καταγραφής συμβάντων, οι καταγεγραμμένες βιντεοσκοπήσεις και η διαμόρφωση του συστήματος και για τις εγκαταστάσεις της βιοτεχνίας του υπευθύνου επεξεργασίας.

Οι ισχυρισμοί της καταγγελλόμενης επιχείρησης

Με υπόμνημά του που κατατέθηκε μετά την ακρόαση ενώπιον της Αρχής, ο υπεύθυνος επεξεργασίας υποστήριξε ότι:

«Ο σκοπός της επεξεργασίας του συστήματος βιντεοεπιτήρησης στις εγκαταστάσεις της μονάδας είναι η ασφάλεια του εξοπλισμού από βλάβες/καταστροφές/δυσλειτουργίες/κλοπές αλλά και η προστασία των ίδιων των εργαζομένων. Η κάμερα του χώρου εργασίας δεν καλύπτει το σύνολο του χώρου αλλά των σημείων όπου βρίσκονται τα μηχανήματα και το σύστημα πυρασφάλειας, δεν υπάρχει παρακολούθηση σε χώρους αναψυχής ή ξεκούρασης και δεν καταγράφονται τα πρόσωπα και τα χέρια των εργαζομένων ώστε να διαπιστωθεί ποιοι εργαζόμενοι βρίσκονται στον χώρο.

Η χρήση μη αυτοματοποιημένης διαδικασίας διαγραφής των δεδομένων βιντεοεπιτήρησης πέραν των δεκαπέντε ημερών οφείλεται σε περιορισμό του συστήματος που προσδιορίζει την διάρκεια της κυκλικής εγγραφής σε συνδυασμό με την εξάντληση της φυσικής χωρητικότητας των σκληρών και όχι με το πλήθος των ημερών εγγραφής. Ως εκ τούτου, δεδομένου ότι τα μέσα αποθήκευσης του εν λόγω συστήματος έχουν φυσική δυνατότητα αποθήκευσης για περισσότερες από δεκαπέντε ημέρες, η συγκεκριμένη μεθοδολογία δε δύναται να εφαρμοστεί.

Ο λόγος της υπέρβασης του χρόνου των δεκαπέντε ημερών στο κατάστημα του … οφείλεται σε τεχνικό πρόβλημα του τηλεπικοινωνιακού δικτύου για το οποίο ευθύνεται ο πάροχος υπηρεσιών διαδικτύου. Προς τεκμηρίωση του εν λόγω ισχυρισμού ο υπεύθυνος επεξεργασίας υπέβαλε την με αρ. πρωτ. … βεβαίωση του ομίλου ΟΤΕ ΑΕ.

Ο περιηγητής που χρησιμοποιείται ανήκει στην εταιρία Microsoft μια από τις μεγαλύτερες εταιρίες ανάπτυξης λογισμικού παγκοσμίως. Οι νεότερες εκδόσεις άλλων περιηγητών δεν παρέχουν την δυνατότητα ζωντανής προβολής της λήψης των καμερών ή αναπαραγωγής παλιών video. Τα πρωτόκολλα «https» και «sttp» δεν είναι συμβατά με τους τρόπους επικοινωνίας των καταγραφικών συστημάτων της εταιρίας, με αποτέλεσμα να είναι αδύνατη η χρήση αυτών κατά την πρόσβαση σε αυτά. Η ασφάλεια της πρόσβασης εξασφαλίζεται απολύτως μέσω όλων των μοναδικών και απόρρητων στοιχείων αυθεντικοποίησης χρήστη, τα οποία γνωρίζουν o υπεύθυνος και ο εκτελών την επεξεργασία»

Η απόφαση της Αρχής (απόσπασμα)

8. Κατά τον επιτόπιο έλεγχο διαπιστώθηκε ότι στο κατάστημα του … επί της οδού … υπάρχει εγκατεστημένη μια κάμερα, όπως ισχυρίζεται ο υπεύθυνος επεξεργασίας στο υπόμνημα του, και όχι δύο όπως ισχυρίζεται η αιτούσα τη θεραπεία και δεν μπορεί να διαπιστωθεί εάν η κάμερα στην οποία αναφέρεται η αιτούσα ήταν εγκατεστημένη στο συγκεκριμένο σημείο στο παρελθόν.

9. Κατά τον επιτόπιο έλεγχο διαπιστώθηκε περαιτέρω ότι η δυνατότητα λήψης ήχου από τις κάμερες ήταν απενεργοποιημένη σε όλες τις συσκευές καταγραφής, στο δε κατάστημα του … η κάμερα δεν είχε ενσωματωμένο μικρόφωνο και ως εκ τούτου δεν είναι εφικτή η δυνατότητα καταγραφής ήχου σε επίπεδο υλικού.

[…]

15. Σχετικά με το σύστημα βιντεοεπιτήρησης που λειτουργεί στις εγκαταστάσεις της βιοτεχνίας στον …, ο αναφερόμενος από τον υπεύθυνο επεξεργασίας σκοπός επεξεργασίας θα μπορούσε να επιτευχθεί με ηπιότερα και εξίσου αποτελεσματικά μέσα, όπως με την τοποθέτηση καμερών στις εισόδους/εξόδους των εγκαταστάσεων, η δε προστασία των εργαζομένων από ατυχήματα με την λήψη άλλων τεχνικών και οργανωτικών μέτρων. Επίσης υπάρχουν ισχυρές επιφυλάξεις για το εάν τα μηχανήματα (ραπτομηχανές) που παρακολουθούνται μπορούν να χαρακτηριστούν ως υψηλής επικινδυνότητας.

Από την εξέταση των στοιχείων προκύπτει μεν ότι η παρακολούθηση των μηχανημάτων δεν γίνεται μόνο σε πραγματικό χρόνο από τον υπεύθυνο βάρδιας ή τον υπεύθυνο ασφαλείας με στόχο την άμεση επέμβαση αν συμβεί κάποιο περιστατικό ασφαλείας, αλλά λαμβάνει χώρα και αποθήκευση του βιντεοσκοπημένου υλικού στο οποίο έχει πρόσβαση ο ιδιοκτήτης της καταγγελλόμενης εταιρίας.

Ο ισχυρισμός του υπευθύνου επεξεργασίας ότι από το εν λόγω υλικό δεν μπορούν να ταυτοποιηθούν τα πρόσωπα που εργάζονται είναι αβάσιμος, δεδομένου ότι οι θέσεις των καμερών σε συνδυασμό με τεχνικές δυνατότητες, όπως η ψηφιακή μεγέθυνση (zoom) εντός του πεδίου λήψης των καμερών, επιτρέπουν τον προσδιορισμό της ταυτότητας των εργαζομένων. Κατά συνέπεια με τη λειτουργία του εν λόγω συστήματος βιντεοεπιτήρησης παραβιάζεται το άρθρο 5 παρ. 1 εδ. α’ και β’ του ΓΚΠΔ.

16. Περαιτέρω, η μη αυτόματη διαγραφή των δεδομένων του συστήματος βιντεοεπιτήρησης μετά από 15 μέρες, που διαπιστώθηκε κατά τον επιτόπιο έλεγχο στο κατάστημα του …, συνιστά παραβίαση του άρθρου 5 παρ. 1 εδ. ε’ του ΓΚΠΔ δεδομένου ότι ο υπεύθυνος επεξεργασίας θα μπορούσε να είχε επιλύσει το αναφερόμενο πρόβλημα του περιορισμού που υπάρχει στις συσκευές καταγραφής σε σχέση με τη δημιουργία διαδικασίας αυτοματοποιημένης διαγραφής των καταγεγραμμένων δεδομένων λαμβάνοντας τεχνικά μέτρα (λ.χ. δημιουργία partitions κατάλληλου μεγέθους στους σκληρούς δίσκους του συστήματος ή χρήση άλλης μεθοδολογίας αυτοματοποιημένης διαγραφής, όπως εκτέλεση script διαγραφής αρχείων με χρονοδιακόπτη).

17. Όσον αφορά το ζήτημα της ασφάλειας κατά την πρόσβαση μέσω διαδικτύου στα μεταδιδόμενα δεδομένα, ο ισχυρισμός του υπευθύνου επεξεργασίας ότι ο περιηγητής που χρησιμοποιείται για την πρόσβαση στις κάμερες είναι ασφαλής επειδή ανήκει στην εταιρία Microsoft δεν ευσταθεί, διότι η ίδια η κατασκευάστρια εταιρία αποδέχεται ότι ο εν λόγω περιηγητής έχει κενό ασφαλείας, δεν υποστηρίζεται πλέον από την Microsoft, ούτε κυκλοφορούν πλέον περιοδικές αναβαθμίσεις ασφαλείας, αφού έχει αντικατασταθεί από το λογισμικό Microsoft Edge. Επίσης, υπάρχουν μεθοδολογίες μέσω των οποίων η πρόσβαση σε οποιαδήποτε ιστοσελίδα μπορεί να γίνεται με κρυπτογραφημένο τρόπο άσχετα με το περιεχόμενο της και υπάρχουν διαθέσιμες τεχνικές λύσεις μέσω των οποίων η πρόσβαση θα μπορούσε να γίνεται με την χρήση του πρωτοκόλλου https ανεξάρτητα από τους όποιους περιορισμούς έχει το εν λόγω σύστημα. Η είσοδος στο σύστημα μέσω αυθεντικοποίησης των χρηστών είναι μια μόνο από τις παραμέτρους που προστατεύουν από μη εξουσιοδοτημένη πρόσβαση, ενώ στη συγκεκριμένη περίπτωση δεν φαίνεται να υπάρχει διαδικασία ελεγχόμενης πρόσβασης του υπευθύνου επεξεργασίας και του εκτελούντα την επεξεργασία με την χρήση ρόλων χρηστών, καθώς οι χρήστες εισέρχονται στο σύστημα με τα διαπιστευτήρια του διαχειριστή (admin). Ενόψει των ανωτέρω διαπιστώνεται ότι η εταιρεία δεν έχει λάβει τα αναγκαία τεχνικά και οργανωτικά μέτρα για την ασφάλεια της επεξεργασίας κατά παράβαση του άρθρου 32 του ΓΚΠΔ.

Το διατακτικό της απόφασης

Α. Επιβάλλει στην καταγγελλόμενη εταιρεία με την επωνυμία «Β ΟΕ» το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση, σύμφωνα με τις ειδικότερες περιστάσεις αυτής, ύψους δέκα χιλιάδων (10.000,00) ευρώ για τις ως άνω διαπιστωθείσες παραβιάσεις των άρθρων 5 παρ. 1 εδ. α’ και β’ όσον αφορά το σύστημα βιντεοεπιτήρησης στη βιοτεχνία στο …, για τους λόγους που εκτενώς αναλύονται στη σκέψη 15, και δίνει εντολή όπως εντός ενός (1) μηνός από την παραλαβή της παρούσας, να απεγκαταστήσει τις κάμερες από τη βιοτεχνία στο …, ενημερώνοντας σχετικά την Αρχή.

Β. Απευθύνει επίπληξη στην καταγγελλόμενη εταιρεία με την επωνυμία «Β ΟΕ», ως υπεύθυνο επεξεργασίας, για παράβαση του άρθρου 5 παρ. 1 εδ. ε’ του ΓΚΠΔ, για τους λόγους που εκτενώς αναλύονται στη σκέψη 16 και δίνει εντολή να λάβει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα ώστε να γίνεται αυτοματοποιημένη διαγραφή των δεδομένων.

Γ. Απευθύνει επίπληξη στην καταγγελλόμενη εταιρεία με την επωνυμία «Β ΟΕ», ως υπεύθυνο επεξεργασίας, για παράβαση του άρθρου 32 του ΓΚΠΔ, και δίνει εντολή, για τους λόγους που αναλύονται στη σκέψη 17 να λάβει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα προσαρμογής του συστήματος.

Δ. Απορρίπτει την αίτηση θεραπείας της Α για τους λόγους που εκτενώς αναλύονται στις σκέψεις του 9-14.

Η απόφαση είναι διαθέσιμη στην ιστοσελίδα της Αρχής.

ΕΣΔΑ Κατ΄άρθρο ερμηνεία

ΙΩΑΝΝΗ ΣΑΡΜΑΣ
ΞΕΝΟΦΩΝ ΚΟΝΤΙΑΔΗΣ
ΧΑΡΑΛΑΜΠΟΣ ΑΝΘΟΠΟΥΛΟΣ

ΕΥΡΩΠΑΪΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΩΜΑΤΑ

Το μέτρο απόδειξης στην πιθανολόγηση ΕΠολΔ 30
send