logo-print

Η ενημέρωση στη βιντεοεπιτήρηση

Εννέα απαιτήσεις για τη διαφάνεια στη λειτουργία των καμερών

15/09/2023

19/09/2023

Εισαγωγικά: Η ενημέρωση για τη λειτουργία συστήματος βιντεοεπιτήρησης

Οποιαδήποτε συλλογή δεδομένων προσωπικού χαρακτήρα πρέπει να χαρακτηρίζεται από διαφάνεια απέναντι στο υποκείμενο των δεδομένων. Η διαφάνεια εκπληρώνεται καταρχήν με την παροχή προς το υποκείμενο των πληροφοριών των άρθρων 13 ή 14 ΓΚΠΔ, ανάλογα με τον τρόπο που συλλέγονται τα δεδομένα. Στην περίπτωση που τα δεδομένα συλλέγονται από το υποκείμενο, εφαρμόζεται το άρθρο 13 ΓΚΠΔ, ενώ αντίθετα, όταν τα δεδομένα δεν συλλέγονται από το υποκείμενο των δεδομένων, εφαρμόζεται το άρθρο 14.

Η περίπτωση της βιντεοεπιτήρησης είναι ιδιαίτερη, υπό την έννοια ότι τα δεδομένα συλλέγονται μεν από το υποκείμενο των δεδομένων, χωρίς ωστόσο την ενεργό συμμετοχή του. Για το λόγο αυτό, έχουν υπάρξει διαφορετικές προσεγγίσεις ως προς το ποια από τις δύο διατάξεις πρέπει να εφαρμοστεί. Η κύρια προσέγγιση, την οποία δέχεται το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων,[1] είναι πως η συλλογή δεδομένων από μια κάμερα αποτελεί συλλογή δεδομένων από το υποκείμενο, έστω και αν αυτό γίνεται χωρίς κάποια ενέργεια αυτού ή ακόμη και εν αγνοία του· κατά συνέπεια, στη βιντεοεπιτήρηση εφαρμόζεται το άρθρο 13 ΓΚΠΔ.[2] Αντίθετη ερμηνεία ακολουθεί η εποπτική αρχή της Δανίας, ενώ ενδιαφέρον παρουσιάζει και η υπόθεση της επιβολής προστίμου στις συγκοινωνίες της Στοκχόλμης από τη σουηδική ΙΜΥ, το οποίο μειώθηκε από το δικαστήριο κατά το μέρος που αυτό αφορούσε την παραβίαση του άρθρου 13 ΓΚΠΔ. Το εφετείο δέχθηκε πως οι κάμερες των ελεγκτών στα μέσα μεταφοράς δεν συλλέγουν δεδομένα από το υποκείμενο, ως εκ τούτου θα πρέπει να εφαρμόζεται το άρθρο 14 ΓΚΠΔ. Η σουηδική αρχή έχει προσφύγει στο ανώτατο ακυρωτικό της χώρας κατά της απόφασης αυτής, ζητώντας μάλιστα την υποβολή προδικαστικού αιτήματος στο ΔΕΕ, σε περίπτωση όπου τα μέλη του έχουν αμφιβολία σχετικά με την εφαρμογή του άρθρου 13.

Η ενημέρωση του υποκειμένου για τη συλλογή των δεδομένων του από μια κάμερα εκ των πραγμάτων δεν μπορεί να περιλαμβάνει την άμεση παροχή όλων των πληροφοριών που προβλέπει το άρθρο 13 ΓΚΠΔ. Για το λόγο αυτό, έχει προ πολλού προκριθεί η λύση της παροχής ενημέρωσης δύο επιπέδων: στο πρώτο επίπεδο παρέχονται οι βασικές πληροφορίες σχετικά με το σύστημα βιντεοεπιτήρησης, καθώς και ο τρόπος με τον οποίο το υποκείμενο μπορεί να λάβει γνώση όλων των πληροφοριών του άρθρου 13, οι οποίες παρέχονται μέσω της ενημέρωσης δευτέρου επιπέδου.

Επί του ζητήματος αυτού, και λαμβάνοντας υπόψιν την πρακτική της τοποθέτησης πινακίδων με απλοποιημένες αναφορές όπως «Ο χώρος επιτηρείται», πρέπει να επισημανθεί το εξής: σκοπός της τοποθέτησης πινακίδας δεν είναι (για την ακρίβεια, δεν είναι αποκλειστικά) η αποτροπή διάπραξης παράνομων πράξεων ή η αποθάρρυνση επίδοξων δραστών. Η πινακίδα αυτή, στον βαθμό που εξυπηρετεί τη συμμόρφωση με τις απαιτήσεις νομιμότητας του Γενικού Κανονισμού Προστασίας Δεδομένων, αποσκοπεί:

α. στην ενημέρωση του υποκειμένου ως προς τη λειτουργία καμερών, καθώς και τα σημεία που αυτές βρίσκονται, προκειμένου να προσαρμόσει τη συμπεριφορά του ή να αποφύγει την είσοδο στα σημεία αυτά. Προς αποφυγή παρανοήσεων, επισημαίνεται ότι ως "προσαρμογή της συμπεριφοράς" δεν εννοείται η αποθάρρυνση του προσώπου που σκέπτεται να κλέψει ένα προϊόν, αλλά η αποφυγή συμπεριφορών που συνδέονται με μια εύλογη προσδοκία ιδιωτικότητας. Διαχυτικότητες, αστεϊσμοί, εκφράσεις του προσώπου ή χειρονομίες μπορούν να εκδηλώνονται ελεύθερα στον δημόσιο χώρο, αλλά πρέπει και να μπορούν να αποφεύγονται, όταν το άτομο αντιλαμβάνεται ότι καταγράφεται από μια κάμερα.

β. στην πληροφόρηση του υποκειμένου ως προς το ποιος, για ποιο λόγο, για πόσο χρόνο και υπό ποιες προϋποθέσεις θα συλλέξει και θα επεξεργαστεί την εικόνα του και όλα τα προσωπικά δεδομένα που συνάγονται μέσω αυτής. Η πληροφόρηση αυτή δεν είναι αποτελεί τυπική προϋπόθεση: μέσω αυτής το υποκείμενο είναι σε θέση να ασκήσει τα δικαιώματά του, μεταξύ των οποίων και η πρόσβαση στο υλικό ή η εναντίωση στην επεξεργασία των δεδομένων του.

Κατά συνέπεια, μια πινακίδα με την οποία απλώς γνωστοποιείται η επιτήρηση του χώρου δεν ικανοποιεί τους σκοπούς ενημέρωσης και πληροφόρησης που απαιτεί ο νόμος, η δε ανάρτησή της συνιστά κακή πρακτική και πλημμελή εκπλήρωση των απαιτήσεων του νομοθέτη.

1. Η τοποθέτηση πινακίδας ως ενημέρωση πρώτου επιπέδου.

Στο πρώτο επίπεδο ενημέρωσης, ο υπεύθυνος επεξεργασίας οφείλει να αναρτά πινακίδα (ή πινακίδες) ενημέρωσης για τη λειτουργία συστήματος βιντεοεπιτήρησης. Η υποχρέωση αυτή είναι εκ των ων ουκ άνευ: ένα σύστημα βιντεοεπιτήρησης που λειτουργεί χωρίς ενημέρωση των υποκειμένων πραγματοποιεί επεξεργασία κατά παράβαση της αρχής της διαφάνειας. Κατά συνέπεια, η εν γένει λειτουργία του είναι παράνομη.

2. Οι διαστάσεις της πινακίδας.

Οι πινακίδες που αναρτώνται μπορούν και πρέπει να ελέγχονται από την εποπτική αρχή ως προς τις διαστάσεις τους, οι οποίες πρέπει να είναι ανάλογες των χώρων.[3] Είναι προφανές ότι οι ικανοποιητικές, με βάση τον χώρο επιτήρησης, διαστάσεις αφενός βοηθούν στον εντοπισμό της σήμανσης από το υποκείμενο, αφετέρου καθιστούν ευανάγνωστες τις παρεχόμενες σε αυτήν πληροφορίες. Μια πινακίδα που είναι δυσανάλογα μικρή σε σχέση με τον επιτηρούμενο χώρο θα μπορούσε να κριθεί πως παραβιάζει και το άρθρο 12 παρ. 1 ΓΚΠΔ, την υποχρέωση του υπευθύνου επεξεργασίας να λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων την ενημέρωση του άρθρου 13.

Οι ακριβείς (ή έστω, οι ελάχιστες επιτρεπόμενες) διαστάσεις των ενημερωτικών πινακίδων δεν ορίζονται από τον νόμο, ούτε και έχουν κριθεί μέσα από απόφαση εποπτικής αρχής, καθώς άλλωστε οι περισσότερες αποφάσεις σχετικά με τη λειτουργία συστημάτων βιντεοεπιτήρησης εστιάζουν στην εν στενή εννοία νομιμότητα της εγκατάστασης και λειτουργίας τους και την αναλογικότητα και όχι στην ενημέρωση των υποκειμένων. Ειδική νομοθετική ρύθμιση έχει περάσει το Βέλγιο, όπου με το Βασιλικό Διάταγμα της 10ης Φεβρουαρίου 2008 έχουν καθοριστεί με ακρίβεια οι διαστάσεις, τα χρώματα, το υλικό και το πάχος των ενημερωτικών πινακίδων.

3. Η πινακίδα πρέπει να είναι ευδιάκριτη.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει, εδώ και αρκετά χρόνια, διαμορφώσει και θέσει στη διάθεση των υπευθύνων επεξεργασίας υποδείγματα πινακίδων ενημέρωσης πρώτου επιπέδου. Τα υποδείγματα αυτά, τα οποία δυστυχώς δεν έχουν αξιοποιηθεί στον βαθμό που θα περίμενε κανείς, είναι αναγνωρίσιμα από το χαρακτηριστικό κίτρινο χρώμα τους, η επιλογή του οποίου δεν μοιάζει τυχαία. Θα μπορούσε να παρατηρηθεί πως η Αρχή έχει επιλέξει ένα χρώμα το οποίο καθιστά την πινακίδα εύκολη στον εντοπισμό και την άμεση αναγνώριση των χαρακτηριστικών της.[4]

Η αξιοποίηση των εγκεκριμένων από την Αρχή προτύπων επιτυγχάνει δύο στόχους: αφενός συνδράμει τους υπευθύνους επεξεργασίας στο να παρέχουν στα υποκείμενα των δεδομένων όλες τις αναγκαίες πληροφορίες πρώτου επιπέδου, αφετέρου – και αυτό δεν είναι καθόλου αμελητέο – εκπαιδεύει τα υποκείμενα στην αναγνώριση της λειτουργίας συστήματος βιντεοεπιτήρησης. Στο πλαίσιο αυτό και με δεδομένο πως το πρότυπο της εθνικής αρχής δεν είναι δεσμευτικό ως προς τη χρήση του, ο εθνικός νομοθέτης θα μπορούσε να εγκρίνει συγκεκριμένο πρότυπο πινακίδας για κάμερες, η χρήση του οποίου θα ήταν υποχρεωτική.[5] Όλα αυτά βέβαια, στην υποθετική περίπτωση όπου κάποια στιγμή θα ρυθμιζόταν νομοθετικά η βιντεοεπιτήρηση.

Η ενημέρωση πρώτου επιπέδου καθίσταται αναποτελεσματική και άνευ αντικειμένου, αν όχι παραπλανητική, όταν η πινακίδα δεν μπορεί εύκολα να εντοπιστεί από το υποκείμενο των δεδομένων. Στην απόφαση 312/2023, η ιταλική αρχή προστασίας δεδομένων Garante παρατήρησε πως η πινακίδα που είχε αναρτηθεί από τον καταγγελλόμενο Δήμο βρισκόταν ανάμεσα σε άλλες πινακίδες και σημάνσεις, γεγονός που προκαλούσε σύγχυση σε όσους βρίσκονταν στον χώρο και περιόριζε τη δυνατότητά τους να την εντοπίσουν. Η παρατήρηση αυτή αποτέλεσε μια από τις παραμέτρους για την επιβολή προστίμου για παραβίαση του άρθρου 13 ΓΚΠΔ.

Για τον ίδιο λόγο, η πινακίδα πρέπει και να τοποθετείται περίπου στο επίπεδο των ματιών του υποκειμένου,[6] λαμβάνοντας προφανώς υπόψιν το μέσο ύψος του ανθρώπου. Είναι προφανές ότι μια σήμανση που τοποθετείται στο επίπεδο του πατώματος-δρόμου, όπως έχουμε συχνά παρατηρήσει, δεν αποσκοπεί παρά στην τυπική εκπλήρωση της υποχρέωσης, χωρίς όμως να επιτυγχάνει τον στόχο της ενημέρωσης. Μια τέτοια πινακίδα είναι δυσδιάκριτη, ενώ ακόμη και αν γίνει αντιληπτή, δυσκολεύει το υποκείμενο στην ανάγνωση των πληροφοριών.

Και στις περιπτώσεις αυτές, θα μπορούσε να διαπιστωθεί η παραβίαση τόσο του άρθρου 13, όσο και της υποχρέωσης του άρθρου 12 παρ.1 ΓΚΠΔ.

4. Η ενημέρωση πρέπει να δίνεται προτού το υποκείμενο εισέλθει στον χώρο που επιτηρείται.

Σύμφωνα με το ΕΣΠΔ, «η προειδοποιητική πινακίδα σήμανσης θα πρέπει να είναι τοποθετημένη κατά τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί εύκολα να αναγνωρίζει τις συνθήκες της βιντεοεπιτήρησης προτού εισέλθει στον παρακολουθούμενο χώρο».[7] Πρόκειται, χωρίς αμφιβολία, για μια από τις σημαντικότερες πτυχές της υποχρέωσης παροχής ενημέρωσης πρώτου επιπέδου.

Η τοποθέτηση πινακίδων στο εσωτερικό του επιτηρούμενου χώρου δεν αποτελεί κακή πρακτική, αντιθέτως συνιστά βέλτιστη εκπλήρωση της υποχρέωσης ενημέρωσης, όπως θα αναφερθεί αμέσως μετά. Καμία εσωτερική πινακίδα όμως δεν μπορεί να θεραπεύσει τυχόν απουσία ενημέρωσης πριν την είσοδο στον χώρο. Όπως έχει ήδη αναφερθεί, ένας από τους σκοπούς της ενημέρωσης για σύστημα βιντεοεπιτήρησης είναι η παροχή στο υποκείμενο των δεδομένων της δυνατότητας να αποφύγει την είσοδο στον χώρο. Υπό μια έννοια δηλαδή – και σε συμφωνία με τα όσα αναφέρθηκαν σχετικά με την εφαρμογή του άρθρου 13 ΓΚΠΔ – το υποκείμενο πρέπει να είναι σε θέση να αρνηθεί να παράσχει τα προσωπικά δεδομένα του στον υπεύθυνο επεξεργασίας.

Για τον λόγο αυτό, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να ενημερώνει τα υποκείμενα των δεδομένων κατά την είσοδό τους στον επιτηρούμενο χώρο. Στην περίπτωση δε όπου ο χώρος έχει πολλαπλές εισόδους, πινακίδες πρέπει να αναρτώνται σε κάθε μια εξ αυτών.[8]

5. Πρέπει να καθίσταται σαφές ποιες περιοχές παρακολουθούνται. Η θέση της κάμερας δεν είναι αναγκαίο να διευκρινίζεται.

Σε συνέχεια των ανωτέρω, το υποκείμενο των δεδομένων δεν αρκεί να γνωρίζει τη λειτουργία συστήματος βιντεοεπιτήρησης οπουδήποτε στον χώρο, αλλά πρέπει και «να είναι σε θέση να εκτιμήσει ποια περιοχή υπόκειται σε παρακολούθηση από κάμερα ώστε να είναι σε θέση να αποφύγει την επιτήρηση ή να προσαρμόσει τη συμπεριφορά του εάν είναι απαραίτητο».[9] Ό,τι ισχύει για την είσοδο, ισχύει και για το εσωτερικό του χώρου. Αν ο υπεύθυνος επεξεργασίας έχει αποφασίσει να καλύψει με κάμερες συγκεκριμένα σημεία του χώρου που αυτός διαχειρίζεται,[10] σκόπιμο είναι να ενημερώνει για τα σημεία αυτά με την τοποθέτηση ειδικών εσωτερικών σημάνσεων. Με τον τρόπο αυτό, το υποκείμενο θα γνωρίζει ποιες περιοχές υπόκεινται σε παρακολούθηση και ποιες όχι.[11]

Η υποχρέωση αυτή έχει ιδιαίτερη σημασία στην περίπτωση της επιτήρησης εργασιακού χώρου: δεν αρκεί οι εργαζόμενοι να γνωρίζουν πως ο εργοδότης έχει τοποθετήσει κάμερες σε διάφορα σημεία των εγκαταστάσεών του. Πρέπει και να ενημερώνονται για το ποια είναι τα σημεία αυτά, ώστε να μπορούν να προσαρμόσουν τη συμπεριφορά τους καταλλήλως.

Αντίστοιχη η σημασία και στην περίπτωση των καταστημάτων υγειονομικού ενδιαφέροντος: εάν ο υπεύθυνος επεξεργασίας έχει αποφασίσει να εγκαταστήσει κάμερες σε χώρους όπου κάθονται οι πελάτες, όπως πολύ συχνά παρατηρούμε να γίνεται παρά την απαγόρευση της Αρχής, αυτό πρέπει να τίθεται σε γνώση των υποκειμένων. Μια γενική ενημέρωση στην είσοδο του καταστήματος περί λειτουργίας καμερών δεν επαρκεί για να καταστήσει σαφές στον πελάτη πως οι κάμερες δεν επιτηρούν τις εισόδους ή τα ταμεία, αλλά τον ίδιο την ώρα που θα απολαμβάνει το γεύμα του. Δεδομένου ότι ο πελάτης αυτός έχει την απολύτως εύλογη προσδοκία ιδιωτικότητας σε μια τέτοια περίσταση, η λειτουργία καμερών πρέπει να γίνεται γνωστή. 

Σε κάθε περίπτωση, ωστόσο, η υποχρέωση αυτή δεν συνεπάγεται και την υποχρέωση να αποκαλύπτεται η θέση της κάμερας· αρκεί να μην υπάρχει αμφιβολία ως προς το ποιες περιοχές υπόκεινται σε παρακολούθηση και να διευκρινίζονται με σαφήνεια οι συνθήκες της επιτήρησης.

6. Ποιες πληροφορίες περιλαμβάνονται στο πρώτο επίπεδο.

Σύμφωνα με το ΕΣΠΔ, το πρώτο επίπεδο ενημέρωσης θα πρέπει σε γενικές γραμμές να παρέχει τις πλέον σημαντικές πληροφορίες, όπως τους σκοπούς της επεξεργασίας,[12] την ταυτότητα του υπευθύνου επεξεργασίας και την ύπαρξη των δικαιωμάτων του υποκειμένου των δεδομένων, μαζί με πληροφορίες σχετικά με την επεξεργασία που θα έχει τον μεγαλύτερο αντίκτυπο. Στο πλαίσιο αυτό μπορούν π.χ. να αναφέρονται τα έννομα συμφέροντα στα οποία βασίζεται ο υπεύθυνος επεξεργασίας (ή τρίτος) και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων (κατά περίπτωση). Επιπλέον, πρέπει να γίνεται λεπτομερέστερη αναφορά στο δεύτερο επίπεδο πληροφοριών, και συγκεκριμένα αναφορά σχετικά με τον τόπο και τον τρόπο πρόσβασης σε αυτές τις πληροφορίες.[13]
Οι πινακίδες της ΑΠΔΠΧ είναι σαφώς λιτότερες, καθώς περιλαμβάνουν μόνο πέντε (5) στοιχεία: τον σκοπό (η Αρχή έχει προσθέσει by default την προστασία προσώπων και αγαθών, επιτρέποντας όμως την τροποποίησή του), την ταυτότητα του υπευθύνου επεξεργασίας, την παραπομπή στο δεύτερο επίπεδο, την ύπαρξη δικαιωμάτων του ΓΚΠΔ (όχι το περιεχόμενο αυτών) και τα στοιχεία επικοινωνίας του DPO, εφόσον αυτός έχει οριστεί.
Η προσέγγιση της Αρχής είναι σαφώς πιο ευέλικτη σε σχέση με τις απαιτήσεις του ΕΣΠΔ, το υπόδειγμα πινακίδας του οποίου έχει περισσότερες πληροφορίες και μικρότερο εικονίδιο. Για την ελληνική αρχή, σημαντικό είναι να καθίσταται εμφανής η λειτουργία της κάμερας, να γνωστοποιείται στο υποκείμενο το ότι έχει δικαιώματα και ότι μπορεί να αναζητήσει περισσότερες πληροφορίες και να παρέχεται ενημέρωση ως προς τα απολύτως αναγκαία. Όλες οι υπόλοιπες πληροφορίες θα δίνονται στο δεύτερο επίπεδο.

Ιδιαίτερη προσοχή απαιτείται στην υποχρέωση παροχής και «κάθε πληροφορίας που θα μπορούσε να προκαλέσει έκπληξη στο υποκείμενο των δεδομένων». Ως προς το ποιες είναι οι πληροφορίες αυτές, και πάλι παρατηρείται μια ελαφρά διαφοροποίηση μεταξύ ΕΣΠΔ και ΑΠΔΠΧ. Σύμφωνα με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, πληροφορίες που θα μπορούσαν να προκαλέσουν έκπληξη είναι «π.χ. η διαβίβαση σε τρίτους, ιδίως εάν βρίσκονται εκτός της ΕΕ, ακόμη και η περίοδος αποθήκευσης», με το Συμβούλιο να επισημαίνει πως εάν οι πληροφορίες αυτές δεν αναγράφονται, «τότε το φυσικό πρόσωπο θα μπορεί ευλόγως να υποθέσει ότι η παρακολούθηση γίνεται μόνο σε πραγματικό χρόνο (χωρίς καταγραφή δεδομένων ή διαβίβαση σε τρίτους)».[14]

Η ελληνική εποπτική αρχή προσεγγίζει το ζήτημα με λιτότητα, εκτιμώντας πιθανώς πως οι συστάσεις του ΕΣΠΔ περιπλέκουν την παρεχόμενη πληροφόρηση, κουράζουν τα υποκείμενα[15] και επιβαρύνουν τον υπεύθυνο επεξεργασίας, χωρίς να έχουν κάποια πρακτική αξία, δεδομένου άλλωστε πως όλες οι πληροφορίες παρέχονται στο δεύτερο επίπεδο. Σύμφωνα με την ΑΠΔΠΧ, «σε περίπτωση κατά την οποία η επεξεργασία δεν περιλαμβάνεται στις τυπικά αναμενόμενες από ένα υποκείμενο των δεδομένων, η πινακίδα πρώτου επιπέδου πρέπει να περιλαμβάνει περαιτέρω πληροφορίες, όπως διαβιβάσεις σε μη αναμενόμενους τρίτους (π.χ. διαβίβαση εκτός ΕΕ) ή υπέρβαση των χρονικών διαστημάτων τήρησης δεδομένων που ορίζονται στην οδηγία 1/2011. Στο άρθρο 9 της οδηγίας 1/2011 της Αρχής προσδιορίζονται οι αναμενόμενοι αποδέκτες, όπως π.χ. οι αρμόδιες διωκτικές αρχές».

Στις «μη τυπικά αναμενόμενες» πληροφορίες θα μπορούσαμε να προσθέσουμε και τον οποιονδήποτε δευτερεύοντα σκοπό του υπευθύνου επεξεργασίας, πέραν της προστασίας προσώπων και αγαθών. Όταν για παράδειγμα, ο υπεύθυνος επεξεργασίας χρησιμοποιεί το υλικό των καμερών προκειμένου να αναλύει την καταναλωτική συμπεριφορά των πελατών του, τότε οφείλει να τους το καθιστά σαφές. Σε διαφορετική περίπτωση, η επεξεργασία αυτή, ανεξαρτήτως της νομιμότητας του σκοπού, θα έπασχε ως προς την ενημέρωση των υποκειμένων.

7. Υποχρεωτική αναφορά στην πληροφόρηση δευτέρου επιπέδου

Ανεξαρτήτως των λοιπών πληροφοριών που κατά τα ως άνω πρέπει να περιλαμβάνονται, η πινακίδα ενημέρωσης πρώτου επιπέδου πρέπει υποχρεωτικώς να αναφέρει τη δυνατότητα παροχής ενημέρωσης δευτέρου επιπέδου, καθώς και τον τρόπο πρόσβασης στην ενημέρωση αυτή.[16] Στην πράξη, η πρόσβαση αυτή συνηθέστερα παρέχεται με τη χρήση ειδικού QR-code,[17] ή με την παραπομπή σε συγκεκριμένο url του ιστοτόπου του υπευθύνου επεξεργασίας.

Η αναφορά αυτή αποτελεί τον σύνδεσμο μεταξύ των δύο επιπέδων ενημέρωσης, τα οποία λειτουργούν ως σύνολο. Η πλήρης ενημέρωση του δευτέρου επιπέδου δεν αρκεί να βρίσκεται τυπωμένη σε φυλλάδια σε κάποιο συρτάρι, για την περίπτωση όπου ζητηθεί από υποκείμενο των δεδομένων, όπως δεν αρκεί να βρίσκεται αναρτημένη σε κάποιο σημείο του ιστοτόπου του υπευθύνου επεξεργασίας. Η ύπαρξή της, αλλά και ο τρόπος πρόσβασης σε αυτή, πρέπει να αναφέρονται στην πινακίδα.

8. Παροχή πληροφοριών δευτέρου επιπέδου.

Η ενημέρωση δευτέρου επιπέδου είναι ένα κανονικό, πλήρες κείμενο ενημέρωσης για τη συλλογή και επεξεργασία προσωπικών δεδομένων· μια Πολιτική Προστασίας προσωπικών δεδομένων. Η πληροφόρηση αυτή μπορεί να δίδεται με πολλούς διαφορετικούς τρόπους, αρκεί η πρόσβαση σε αυτήν να είναι εύκολη. Όπως μάλιστα ορθά παρατηρεί η Αρχή, για την ενημέρωση δευτέρου επιπέδου δεν απαιτείται αίτημα του υποκειμένου.[18] Αυτή πρέπει σε κάθε περίπτωση να βρίσκεται στη διάθεσή του.

Ως προς τους τρόπους παροχής της ενημέρωσης, το ΕΣΠΔ αναφέρει ενδεικτικά[19] τη δυνατότητα διανομής ενημερωτικού φυλλαδίου σε κεντρική τοποθεσία (π.χ. γραφείο πληροφοριών, υποδοχή ή ταμείο), την ανάρτηση «εύκολα προσβάσιμης» αφίσας ή ακόμη και τη χρήση τηλεφωνικού αριθμού, λύση η οποία μοιάζει μάλλον αναποτελεσματική. Είναι σαφές πως, σε αντίθεση με την πινακίδα πρώτου επιπέδου, η ενημέρωση δευτέρου επιπέδου μπορεί να παρέχεται και μετά την είσοδο του υποκειμένου στον επιτηρούμενο χώρο.

Συνηθέστερη περίπτωση βέβαια και κατά τεκμήριο πιο αποτελεσματική είναι η παροχή ηλεκτρονικής ενημέρωσης μέσα από τον ιστότοπο του υπευθύνου επεξεργασίας.[20] Η ενημέρωση αυτή έχει το πλεονέκτημα πως μπορεί να παρέχεται στο υποκείμενο, χωρίς αυτό να χρειάζεται να εισέλθει στον επιτηρούμενο χώρο, ενώ περαιτέρω είναι ανά πάσα στιγμή προσβάσιμη. Ωστόσο, αξίζει να επισημανθεί πως, σύμφωνα με το ΕΣΠΔ,[21] οι πληροφορίες θα πρέπει να είναι εύκολα προσβάσιμες και σε μη ψηφιακή μορφή.[22] Αυτό σημαίνει πως η αποκλειστική παραπομπή σε ένα url δεν αποτελεί πλήρη ικανοποίηση της υποχρέωσης· ο υπεύθυνος επεξεργασίας οφείλει σε κάθε περίπτωση να διαθέτει έντυπα φυλλάδια ή να έχει αναρτήσει αφίσες για όσα υποκείμενα δεν έχουν τη δυνατότητα πρόσβασης στο ψηφιακό ενημερωτικό υλικό.

9. Περιεχόμενο ενημέρωσης δευτέρου επιπέδου.

Στην ενημέρωση δεύτερου επιπέδου περιλαμβάνονται όλες οι πληροφορίες του άρθρου 13 ΓΚΠΔ.[23] Στις πληροφορίες αυτές, σύμφωνα με την Αρχή Προστασίας Δεδομένων πρέπει να περιλαμβάνονται τα εξής:

• Η πλήρης ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, εφόσον υπάρχει, του εκπροσώπου του υπευθύνου επεξεργασίας.

• Τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων, εφόσον έχει ορισθεί.

• Ο σκοπός της επεξεργασίας καθώς και η νομική βάση για την επεξεργασία. Στις περιπτώσεις στις οποίες η επεξεργασία διαφοροποιείται από τις τυπικές, απαιτείται αναλυτική εξειδίκευση του σκοπού της επεξεργασίας. Τυπικές δραστηριότητες επεξεργασίας αποτελούν ιδίως αυτές οι οποίες προσδιορίζονται στην οδηγία 1/2011 της Αρχής.

• Tα έννομα συμφέροντα που επιδιώκει ο υπεύθυνος επεξεργασίας, όταν η επεξεργασία βασίζεται στο άρθρο 6 παρ. 1 στ’ του ΓΚΠΔ, όπως συμβαίνει στην πλειονότητα των περιπτώσεων.

• Οι αποδέκτες ή οι κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα (βλ. και άρθρο 9 της οδηγίας 1/2011). Σε αυτούς περιλαμβάνονται και οι κατηγορίες/ιδιότητες των προσώπων που χειρίζονται το σύστημα.

• Πληροφορίες για τη διαβίβαση δεδομένων σε χώρα εκτός ΕΕ, εφόσον αυτό συμβαίνει.

• Το χρονικό διάστημα για το οποίο αποθηκεύονται τα δεδομένα.

• Ο τρόπος με τον οποίο το υποκείμενο των δεδομένων μπορεί να ασκήσει τα δικαιώματά του τα οποία απορρέουν από τη νομοθεσία για την προστασία των προσωπικών δεδομένων, προσδιορίζοντας ποια δικαιώματα εφαρμόζονται. Επισημαίνεται ότι στις τυπικές περιπτώσεις συστημάτων βιντεοεπιτήρησης εφαρμόζονται τα δικαιώματα πρόσβασης, περιορισμού, εναντίωσης και διαγραφής, ενώ σε εξαιρετικές περιπτώσεις μπορεί να εφαρμόζονται και τα λοιπά δικαιώματα.

• Ενημέρωση για το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και για τα στοιχεία της εποπτικής Αρχής.

Επισημαίνεται ότι η Αρχή έχει συντάξει και σχετικό υπόδειγμα ενημερωτικού κειμένου δευτέρου επιπέδου («Τυπική μικρομεσαία εμπορική επιχείρηση με ένα κατάστημα το οποίο εξυπηρετεί πελάτες»), το οποίο έχει τύχει ευρείας αποδοχής και χρήσης από υπευθύνους επεξεργασίας.

Image by StockSnap from Pixabay

[1] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 110

[2] Αυτό δέχεται και η ελληνική εποπτική αρχή.

[3] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 110

[4] Παρόμοιο και το υπόδειγμα σήμανσης της ισπανικής αρχής.

[5] Τη λύση αυτή έχει ακολουθήσει η Πορτογαλία.

[6] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 113, ίδια άποψη και η Σύνοδος των γερμανικών εποπτικών αρχών DSK σε Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen, στ. 3.3

[7] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 113

[8] Έτσι και ισπανική αρχή προστασίας δεδομένων.

[9] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 113

[10] Ειδικά λαμβάνοντας υπόψιν τις σταθμίσεις αναλογικότητας της Οδηγίας 1/2011 ΑΠΔΠΧ.

[11] Η εποπτική αρχή της Δανίας έχει την άποψη πως η ενημέρωση αυτή δεν είναι αναγκαία, όταν η κάμερα είναι εμφανής στο υποκείμενο.

[12] Στην Ελλάδα νόμιμος σκοπός επεξεργασίας είναι η προστασία προσώπων και αγαθών.

[13] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 114

[14] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 115

[15] Δεν πρέπει να ξεχνάμε πως, σύμφωνα με τις Κατευθυντήριες Γραμμές της ΟΕ29 για τη διαφάνεια, ο υπεύθυνος επεξεργασίας πρέπει να αποφεύγει τη δημιουργία κούρασης στο υποκείμενο λόγω της παροχής πληροφοριών. (σκ. 35)

[16] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 114

[17] Για τον λόγο αυτό, η ΑΠΔΠΧ έχει διαμορφώσει υποδείγματα πινακίδας με ή χωρίς τη χρήση QR-code.

[18] «Πλέον, με την εφαρμογή του ΓΚΠΔ, απαιτείται παροχή των επαυξημένων πληροφοριών του Β’ επιπέδου χωρίς αίτημα του υποκειμένου

[19] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 117

[20] Η χρήση συνδέσμου προς ιστοσελίδα του υπευθύνου επεξεργασίας ((με URL ή QR) συστήνεται και από την ΑΠΔΠΧ, η οποία επισημαίνει πως αν ο υπεύθυνος επεξεργασίας δεν διαθέτει ιστοσελίδα, «οφείλει να παραπέμψει στον χώρο όπου τα υποκείμενα των δεδομένων μπορούν να βρουν την αναλυτική ενημέρωση».

[21] ΕΣΠΔ Κατευθυντήριες Γραμμές 3/2019, σκ. 117

[22] Το ίδιο δέχεται και η ΑΠΔΠΧ: «Η ανάρτησή τους σε ιστοσελίδα αποτελεί ορθή πρακτική, αλλά πρέπει επίσης να συνοδεύεται από μη ηλεκτρονική ενημέρωση, για όσα πρόσωπα δεν έχουν άμεση ηλεκτρονική πρόσβαση

[23] ΑΠΔΠΧ: «Στο επίπεδο αυτό απαιτείται αναλυτική ενημέρωση για όλα τα χαρακτηριστικά της επεξεργασίας, όπως προβλέπεται στο άρθρο 13 του ΓΚΠΔ

Δημήτρης Βέρρας

Φορολογικός Πολυκώδικας - Σεπτέμβριος 2022

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΦΟΡΟΛΟΓΙΚΟ ΔΙΚΑΙΟ

ΣΥΓΧΡΟΝΗ ΝΟΜΟΘΕΣΙΑ

ΝΙΚΟΛΑΟΣ ΜΠΑΡΜΠΑΣ

ΣΤΥΛΙΑΝΟΣ ΜΑΥΡΙΔΗΣ

 

Το εφαρμοστέο δίκαιο ως προς τις έννομες συνέπειες των δικαστικών αποφάσεων - Μελέτες ΕΡΜΕΚ Νο 11
send