ΜΕΛΕΤΗ ΓΙΑ ΤΗΝ ΧΡΗΣΗ ΣΥΣΤΗΜΑΤΟΣ ΒΙΝΤΕΟΕΠΙΤΗΡΗΣΗΣ KAI ΤHΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Το θέμα της εγκατάστασης και χρήσης καμερών τόσο σε δημόσιους χώρους όσο και σε ιδιωτικούς έχει απασχολήσει και συνεχίζει να απασχολεί έντονα όλους τους δημόσιους και ιδιωτικούς οργανισμούς και επιχειρήσεις που αναρωτιούνται τι άλλαξε μετά την εφαρμογή του Γενικού Κανονισμού Προστασίας Προσωπικών δεδομένων 2016/ 679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 γνωστός ως «GDPR»,  ο οποίος τέθηκε σε εφαρμογή στις 25 Μαΐου 2018 αλλά και μετά την πρόσφατη ψήφιση του νέου εθνικού νόμου Ν. 4624/2019 για τα προσωπικά δεδομένα.

Ανεξάρτητα από την ψήφιση του εθνικού νόμου ο οποίος δρα συμπληρωματικά ως προς τον Κανονισμό, οι γενικές αρχές του GDPR του άρθρου 5 θα πρέπει να λαμβάνονται υπόψη από τους εκάστοτε Υπεύθυνους επεξεργασίας, δηλαδή τον κάθε φορέα, οργανισμό ή επιχείρηση, πριν την εγκατάσταση συστήματος βιντεοεπιτήρησης στους χώρους τους.

Αναμφίβολα, οι ιδιώτες τις περισσότερες φορές επαναπαύονται, σκεπτόμενοι ότι η χρήση καμερών και η αντίστοιχη επεξεργασία των προσωπικών τους δεδομένων γίνεται για λόγους ασφαλείας. Ωστόσο, το πρόβλημα προκύπτει από την ενδεχόμενη χρήση του υλικού αυτού για άλλους σκοπούς (π.χ για σκοπούς μάρκετινγκ, παρακολούθησης συμπεριφοράς) τους οποίους δεν μπορούν να φανταστούν ή να προβλέψουν. H σύγκρουση δικαιωμάτων των ιδιωτών είναι αναπόφευκτη εφόσον για την επίτευξη της ασφάλειάς τους ενδέχεται να διακυβεύονται δικαιώματά τους, όπως αυτό της προστασίας τους έναντι της επεξεργασίας προσωπικών δεδομένων που τα αφορούν με αυτό της προστασίας της ιδιοκτησίας κάποιου άλλου προσώπου. Η διαφύλαξη της ιδιωτικότητας των φυσικών προσώπων κάμπτεται κυρίως από την εξαιρετικά ταχεία εξέλιξη της τεχνολογίας, καθώς η διατήρηση της ανωνυμίας καθίσταται όλο και πιο δύσκολη, με τα συστήματα βιντεοεπιτήρησης να έχουν  αποκτήσει υψηλή απόδοση μέσω τεχνολογιών ευφυούς ανάλυσης βίντεο. Αυτές οι τεχνολογίες μπορεί να είναι περισσότερο παρεμβατικές (π.χ. μέσω πολύπλοκων βιομετρικών τεχνολογιών) ή λιγότερο παρεμβατικές (π.χ. χρησιμοποιώντας απλούς αλγόριθμους μέτρησης) στην ιδιωτικότητα των φυσικών προσώπων. Τα ζητήματα προστασίας δεδομένων που τίθενται σε κάθε περίπτωση ενδέχεται να διαφέρουν, και εκτιμάται ότι θα πρέπει να  γίνεται  ξεχωριστή νομική ανάλυση κατά τη χρήση των τεχνολογιών αυτών. Δεν θα ήταν ορθό να θεωρούμε την βιντεοεπιτήρηση εξ ορισμού απαραίτητη, ειδικότερα από τη στιγμή που υφίστανται και άλλα μέσα για την επίτευξη του σκοπού ασφαλείας, για αυτό και κρίνεται σκόπιμη η εκτίμηση των κινδύνων και η νομική ανάλυση κατά περίπτωση.

Το Ευρωπαϊκό Συμβούλιο Προστασίας δεδομένων έχει εκδώσει κατευθυντήριες γραμμές σχετικά με την επεξεργασία προσωπικών δεδομένων από συσκευές βίντεο. Σε αυτές προτείνεται, πριν από κάθε χρήση κάμερας, να ορίζονται λεπτομερώς οι σκοποί επεξεργασίας, όπως ορίζει το άρθρο 5 παρ. 1 (β) του GDPR. H βιντεοεπιτήρηση, ενδέχεται να εξυπηρετεί πάνω από έναν σκοπούς, οι οποίοι όμως θα πρέπει να καταγράφονται ξεχωριστά για κάθε κάμερα επιτήρησης σε χρήση και θα πρέπει να εξειδικεύονται γραπτώς. Οι κάμερες που χρησιμοποιούνται για τον ίδιο σκοπό από έναν μόνο Υπεύθυνο Επεξεργασίας -δηλαδή από έναν οργανισμό ή επιχείρηση- μπορούν να καταγράφονται συνολικά, αρκεί να έχει καταγραφεί ξεχωριστά ο κάθε σκοπός χρήσης. Επιπλέον, τα υποκείμενα των δεδομένων είναι απαραίτητο να ενημερώνονται για τον/τους σκοπούς επεξεργασίας σύμφωνα με το άρθρο 13 του GDPR με τρόπο σαφή και συγκεκριμένο, ενώ απλή και γενική αναφορά περί ασφάλειας δεν αρκεί.

Ποιες όμως είναι οι νομιμοποιητικές βάσεις της επεξεργασίας αυτής από τις βιντεοκάμερες;

Αρχικά, η βιντεοεπιτήρηση θεωρείται νομότυπη αν είναι απαραίτητη για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο Υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών, υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία δεδομένων προσωπικού χαρακτήρα. Το επιδιωκόμενο έννομο συμφέρον μπορεί να είναι νομικού, οικονομικού ή ηθικού περιεχομένου. Ωστόσο, αυτό θα πρέπει να αφορά ένα υπαρκτό και τρέχον ζήτημα, να μην αποτελεί δηλαδή ένα υποθετικό σενάριο κινδύνου. Πριν από την εφαρμογή της βιντεοεπιτήρησης είναι απαραίτητο να έχει προηγηθεί μια πραγματική κατάσταση κινδύνου – όπως φθορές ιδιοκτησίας ή σοβαρά περιστατικά βανδαλισμού ή κλοπής. Υπό το πρίσμα της αρχής της λογοδοσίας, οι Υπεύθυνοι επεξεργασίας οφείλουν να έχουν τεκμηριώσει τα σχετικά περιστατικά (ημερομηνία, τρόπο, οικονομική ζημία), όπως και τις σχετικές ποινικές διώξεις, στοιχεία τα οποία θα μπορούν εκ των υστέρων να αποτελέσουν ισχυρή απόδειξη για την στοιχειοθέτηση έννομου συμφέροντος.

Χαρακτηρηστικό παράδειγμα που παραθέτει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων «ΕΣΠΔ» είναι αυτό του ιδιοκτήτη καταστήματος ο οποίος επιθυμεί να εγκαταστήσει σύστημα βιντεοεπιτήρησης. Θα πρέπει να μπορεί να αποδείξει, και μάλιστα με την παρουσίαση έγκυρων στατιστικών, ότι υπάρχει μεγάλη πιθανότητα πρόκλησης βανδαλισμού στην συγκεκριμένη γειτονιά. Το ίδιο χρήσιμη θα ήταν και η εμπειρία των κοντινών καταστημάτων από παρελθοντικές επιθέσεις. Παρ’ όλα αυτά, δεν μπορεί να θεωρηθεί επαρκής η παρουσίαση γενικών στατιστικών εγκληματικών ενεργειών στην χώρα και όχι στην συγκεκριμένη περιοχή όπου βρίσκεται το κατάστημα.

Σύμφωνα με την αρχή ελαχιστοποίησης του άρθρου 5 παρ. 1 περ. γ΄, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι συναφή, κατάλληλα και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους επιβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»). Επομένως, με βάση την αρχή αυτή, πριν από την εγκατάσταση ενός συστήματος παρακολούθησης βίντεο, ο Υπεύθυνος επεξεργασίας θα πρέπει πάντα να εξετάζει εάν το μέτρο αυτό είναι καταρχήν κατάλληλο για την επίτευξη του επιθυμητού σκοπού και, κατά δεύτερον, επαρκές και απαραίτητο για την εκπλήρωσή του. Το μέτρο αυτό δηλαδή θα πρέπει να επιλέγεται μόνο εάν ο σκοπός της επεξεργασίας δεν μπορεί ευλόγως να εκπληρωθεί με άλλα μέσα που παρεμποδίζουν λιγότερο τα θεμελιώδη δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Γενικότερα, η αναγκαιότητα χρήσης του συστήματος βιντεοεπιτήρησης για την προστασία των εγκαταστάσεων του Υπεύθυνου επεξεργασίας τελειώνει στα όρια της ιδιοκτησίας του. Παρ’όλα αυτά υπάρχουν περιπτώσεις που δεν επαρκεί το μέτρο αυτό για την αποτελεσματική προστασία της. Σε μεμονονωμένες περιπτώσεις δηλαδή, ενδέχεται να χρειαστεί η βιντεοπαρακολούθηση να συμπεριλαμβάνει την γύρω περιοχή της ιδιοκτησίας. Υπό το πρίσμα αυτό, ο Υπεύθυνος επεξεργασίας θα πρέπει να εφαρμόσει μέσα όπως την θόλωση με “pixels” των περιοχών αυτών.

Η αρχή της ελαχιστοποίησης μπορεί να έχει όμως και άλλες εφαρμογές, ειδικότερα αναφορικά και με το χρόνο διατήρησης των αποδεικτικών στοιχείων που προκύπτουν από το αρχείο καταγραφής.  Σε ορισμένες περιπτώσεις ενδέχεται οι Υπεύθυνοι επεξεργασίας να χρησιμοποιήσουν λύσεις με τις οποίες το βίντεο θα διαγράφεται αυτόματα μετά από μια συγκεκριμένη περίοδο αποθήκευσης και θα υπάρχει σε αυτό πρόσβαση μόνο σε περίπτωση συμβάντος παραβίασης. Σε άλλες περιπτώσεις μπορεί να μην είναι καν απαραίτητο  να καταγράφεται  το υλικό βίντεο, αλλά αντ’ αυτού να είναι πιο κατάλληλη η παρακολούθηση σε πραγματικό χρόνο. Η απόφαση μεταξύ των λύσεων αυτών θα πρέπει επίσης να βασίζεται στον επιδιωκόμενο σκοπό. Εάν για παράδειγμα ο σκοπός της επιτήρησης μέσω βίντεο είναι η διατήρηση των αποδεικτικών στοιχείων, η μέθοδος παρακολούθησης σε  πραγματικό χρόνο συνήθως δεν είναι η κατάλληλη. Μερικές φορές η παρακολούθηση σε πραγματικό χρόνο μπορεί επίσης να είναι πιο πολύπλοκη αλλά και πιο επεμβατική για τις ελευθερίες των φυσικών προσώπων από την αποθήκευση και την αυτόματη διαγραφή υλικού μετά από περιορισμένο χρονικό διάστημα. Ως εκ τούτου,  καθίσταται επιτακτική η ανάγκη στάθμισης συμφερόντων με την οποία ο Υπεύθυνος επεξεργασίας θα πρέπει προσεκτικά να αξιολογήσει και να σταθμίσει σε ποιο βαθμό η παρακολούθηση εξυπηρετεί τα συμφέροντά του, επηρεάζοντας ταυτόχρονα τα νόμιμα συμφέροντα, τα θεμελιώδη δικαιώματα και τις ελευθερίες των ατόμων, αλλά και εάν αυτή έχει δυσανάλογα αρνητικές συνέπειες στα δικαιώματα του υποκειμένου των δεδομένων.

Άλλο ένα αντίστοιχο παράδειγμα παραθέτει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, σύμφωνα με το οποίο μια εταιρεία στάθμευσης έχει καταγράψει επανειλημμένα προβλήματα με κλοπές στα αυτοκίνητα που σταθμεύουν στον χώρο της. Ο χώρος στάθμευσης είναι ένας ανοιχτός χώρος, εύκολα προσβάσιμος από οποιονδήποτε, αλλά σαφώς επισημασμένος με πινακίδες που περιβάλλουν τον χώρο. Η εταιρεία στάθμευσης έχει έννομο συμφέρον (αποτροπή κλοπών στα αυτοκίνητα του πελάτη) να παρακολουθεί την περιοχή κατά τη διάρκεια της ημέρας. Τα υποκείμενα των δεδομένων παρακολουθούνται για περιορισμένο χρονικό διάστημα, δεν βρίσκονται στην περιοχή για σκοπούς αναψυχής και η πρόληψη κλοπών  ενεργεί προς δικό τους όφελος.  Το έννομο συμφέρον των υποκειμένων των δεδομένων να μην υφίσταται παρακολούθηση στην περίπτωση αυτή υπερκαλύπτεται από το έννομο συμφέρον του υπευθύνου της επεξεργασίας.

Αντίθετη περίπτωση: Ένα εστιατόριο αποφασίζει να εγκαταστήσει κάμερες στις τουαλέτες για να ελέγξει την καθαριότητα των εγκαταστάσεων υγιεινής. Στην περίπτωση αυτή, τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα υπερισχύουν σαφώς του συμφέροντος του Υπεύθυνου επεξεργασίας και επομένως η εγκατάσταση καμερών σε τέτοιους χώρους απαγορεύεται.

Όπως προαναφέραμε, για την στάθμιση συμφερόντων θα πρέπει να γίνεται αξιολόγηση του κατά πόσο επηρεάζονται τα δικαιώματα των φυσικών προσώπων από την παρακολούθηση ανά περίπτωση και όχι με γενική αναφορά σε παρόμοιες περιπτώσεις. Η στάθμιση αυτή καθορίζεται από τον τύπο πληροφοριών που συλλέγονται (περιεχόμενο πληροφοριών), από το πεδίο εφαρμογής (πυκνότητα πληροφοριών, χωρική και γεωγραφική έκταση), τον αριθμό των ενδιαφερόμενων προσώπων στα οποία αναφέρονται, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό, τον οικείο πληθυσμό, την εκάστοτε κατάσταση, τα πραγματικά συμφέροντα της ομάδας των προσώπων στα οποία αναφέρονται τα δεδομένα, τα εναλλακτικά μέσα επεξεργασίας, καθώς και από τη φύση και το πεδίο εφαρμογής της αξιολόγησης των δεδομένων. Σημαντικοί παράγοντες εξισορρόπησης συμφερόντων μπορεί να είναι επίσης το μέγεθος της περιοχής που υπόκειται σε επιτήρηση και ο αριθμός των υποκειμένων των δεδομένων που επιτηρούνται. Η χρήση βιντεοεπιτήρησης σε μια απομακρυσμένη περιοχή (π.χ. για την προστασία κρίσιμης υποδομής, όπως μια ιδιωτική ραδιοφωνική κεραία) πρέπει να αξιολογηθεί διαφορετικά από την παρακολούθηση βίντεο σε πεζόδρομο ή εμπορικό κέντρο.

 

 

Σύμφωνα και με την εισαγωγική σκέψη 47 του GDPR, η ύπαρξη έννομου συμφέροντος χρειάζεται προσεκτική αξιολόγηση μεταξύ άλλων και ως προς το κατά πόσον το υποκείμενο των δεδομένων κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για το σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Η ερμηνεία της έννοιας των εύλογων προσδοκιών δεν πρέπει να βασίζεται μόνο στις υποκειμενικές προσδοκίες. Αντιθέτως, το καθοριστικό κριτήριο πρέπει να είναι εάν ένας αντικειμενικός τρίτος θα μπορούσε λογικά να αναμένει και να καταλήξει στο συμπέρασμα ότι θα υπόκειται σε παρακολούθηση σε αυτή τη συγκεκριμένη κατάσταση.

Για παράδειγμα, ένας εργαζόμενος στον χώρο εργασίας του στις περισσότερες περιπτώσεις δεν αναμένει να παρακολουθείται από τον εργοδότη του. Επιπλέον, δεν πρέπει να αναμένεται παρακολούθηση σε ιδιωτικό κήπο, σε χώρους διαβίωσης ή σε αίθουσες εξετάσεων και θεραπείας. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα μπορούν επίσης να αναμένουν ότι παρακολουθούνται σε δημόσιους χώρους, ειδικά εάν οι δημόσιοι χώροι χρησιμοποιούνται συνήθως για δραστηριότητες ψυχαγωγίας, καθώς και σε μέρη όπως εστιατόρια, πάρκα, κινηματογράφοι και εγκαταστάσεις γυμναστηρίου. Στο ίδιο πλαίσιο, δεν είναι λογικό να αναμένουμε την παρακολούθηση σε εγκαταστάσεις υγιεινής, καθώς η παρακολούθηση τέτοιων περιοχών αποτελεί έντονη προσβολή των δικαιωμάτων του υποκειμένου των δεδομένων. Στις περιπτώσεις αυτές τα νόμιμα συμφέροντα ή τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων συχνά υπερισχύουν των νόμιμων συμφερόντων του υπεύθυνου της επεξεργασίας. Από την άλλη πλευρά, ο πελάτης μιας τράπεζας μπορεί να αναμένει ότι παρακολουθείται μέσα στην τράπεζα ή στο ΑΤΜ.

Ξεχωριστή νομιμοποιητική βάση επεξεργασίας είναι αυτή του άρθρου 6 παρ. 1 περ. ε’ σχετικά με την επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον Υπεύθυνο επεξεργασίας. Σύμφωνα με τον Κανονισμό, τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν ειδική εθνική νομοθεσία για την επιτήρηση βίντεο, προκειμένου να προσαρμόσουν την εφαρμογή των κανόνων του GDPR, καθορίζοντας με μεγαλύτερη ακρίβεια τις ειδικές απαιτήσεις επεξεργασίας, εφόσον είναι σύμφωνες με τις αρχές που ορίζονται στο GDPR (π.χ. περιορισμός της αποθήκευσης, αναλογικότητα).

Ωστόσο, ο νέος εθνικός νόμος Ν. 4624/2019 δεν φαίνεται να ορίζει επαρκώς και με ακρίβεια τις απαιτήσεις αυτές, παρά μόνο προβαίνει σε μία απλή αναφορά για τη χρήση τους στο πλαίσιο των σχέσεων απασχόλησης. Στο άρθρο 27 παρ. 7 ορίζει ότι «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, είτε είναι δημοσίως προσβάσιμος είτε μη, επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως, είτε σε γραπτή είτε σε ηλεκτρονική μορφή για την εγκατάσταση και λειτουργία κλειστού κυκλώματος καταγραφής εντός των χώρων εργασίας».

Όσον αφορά τη νομιμοποιητική βάση της συγκατάθεσης του άρθρου 6 παρ. 1 α του GDPR, και ειδικότερα αναφορικά με τη συστηματική παρακολούθηση, δύσκολα θα μπορούσε να υποστηρίξει την νομιμότητα της επεξεργασίας. Και τούτο διότι η τεχνολογία που χρησιμοποιείται για την επιτήρηση, παρακολουθεί ζωντανά μεγάλο αριθμό ανθρώπων και ο Υπεύθυνος επεξεργασίας δεν θα είναι σε θέση να αποδείξει ότι το φυσικό πρόσωπο έχει δώσει πρότερη συγκατάθεση. Επιπλέον, αν υποθέσουμε ότι το υποκείμενο των δεδομένων αποσύρει τη συγκατάθεσή του, θα είναι δύσκολο για τον Υπεύθυνο επεξεργασίας να αποδείξει ότι τα δεδομένα προσωπικού χαρακτήρα δεν υφίστανται πλέον επεξεργασία. Υπάρχει επίσης σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του Υπεύθυνου επεξεργασίας ειδικότερα στην περίπτωση παρακολούθησης των εργαζομένων από τον εργοδότη, οπότε είναι αμφίβολο αν μπορεί να θεωρηθεί ότι η συναίνεση δόθηκε ελεύθερα.

Χορήγηση του υλικού καταγραφής σε τρίτα μέρη

Η πράξη επεξεργασίας που προσιδιάζει στην χορήγηση του υλικού καταγραφής σε τρίτα μέρη είναι η «διαβίβαση» του άρθρου 4 παρ. 2 ή και η «κοινολόγηση με διαβίβαση» ή η «διάδοση ή κάθε άλλης μορφής διάθεση». Ως  «τρίτος» δε ορίζεται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα. Όπου η διαβίβαση πραγματοποιείται σε τρίτες χώρες ή διεθνείς οργανισμούς, εφαρμόζονται οι διατάξεις του άρθρου 44 του GDPR για τις διαβιβάσεις. Επίσης, αν η διαβίβαση σε τρίτα μέρη γίνει για σκοπούς άλλους από τους αρχικούς τότε θα πρέπει να πληρούνται οι προϋποθέσεις του άρθρου 6 περ. 4 του Κανονισμού προκειμένου να είναι νόμιμη η επεξεργασία. Για παράδειγμα: σύστημα βιντεοεπιτήρησης σε χώρο στάθμευσης είναι εγκατεστημένο για την αντιμετώπιση περιστατικών κλοπής και την επίλυση ζημιών. Παρουσιάζεται ζημία και το καταγραφικό υλικό μεταφέρεται σε δικηγόρο για να ασκήσει αγωγή. Σε αυτή την περίπτωση ο σκοπός καταγραφής είναι ο ίδιος με εκείνον για τη διαβίβαση. Στην ίδια περίπτωση, το υλικό καταγραφής δημοσιεύεται στο διαδίκτυο για  λόγους διασκέδασης. Αντιθέτως,  ο σκοπός καταγραφής έχει πλέον αλλάξει και δεν είναι συμβατός με τον αρχικό σκοπό, ενώ παράλληλα δεν μπορεί να προσδιοριστεί μια νομική βάση για την επεξεργασία αυτή (δημοσίευση).

Επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων

Τα συστήματα παρακολούθησης βίντεο συλλέγουν συνήθως έναν τεράστιο όγκο προσωπικών δεδομένων τα οποία ενδέχεται να αποκαλύψουν δεδομένα με ιδιαίτερα έντονο το προσωπικό στοιχείο, ακόμη και ευαίσθητα προσωπικά δεδομένα. Ενδέχεται δηλαδή μη σημαντικά στοιχεία που συλλέγονται αρχικά μέσω βίντεο να χρησιμοποιηθούν για την εξαγωγή άλλων πληροφοριών και για την επίτευξη διαφορετικού σκοπού (π.χ. για την χαρτογράφηση των συνηθειών ενός ατόμου). Ωστόσο, η βιντεοεπιτήρηση δεν μπορεί να θεωρηθεί ότι πραγματοποιεί επεξεργασία ειδικών κατηγοριών (ευαίσθητων) προσωπικών δεδομένων σε όλες τις περιπτώσεις, όπως για παράδειγμα όταν ένα βίντεο απεικονίζει ένα υποκείμενο των δεδομένων που φοράει γυαλιά ή χρησιμοποιεί αναπηρική καρέκλα. Αυτές οι απεικονίσεις δεν θεωρούνται ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα.

Ωστόσο, εάν η παρακολούθηση γίνεται για να εξαχθούν δεδομένα ειδικών κατηγοριών προσωπικού χαρακτήρα, τότε εφαρμόζεται το άρθρο 9 του GDPR. Για παράδειγμα, μπορούν να εξαχθούν πολιτικές πεποιθήσεις από εικόνες βίντεο που δείχνουν πρόσωπα που έχουν λάβει μέρος σε πορείες. Άλλο παράδειγμα μπορεί να είναι η παρακολούθηση συμπεριφοράς ασθενούς σε ένα νοσοκομείο.

Ευνόητο είναι πως σε κάθε περίπτωση θα πρέπει να εφαρμόζεται η αρχή της ελαχιστοποίησης. Σε περιπτώσεις δηλαδή καταγραφής που δεν εμπίπτουν στην επεξεργασία ευαίσθητων δεδομένων, ο Υπεύθυνος επεξεργασίας οφείλει να ελαχιστοποιεί το ρίσκο καταγραφής υλικού που αποκαλύπτει ευαίσθητα προσωπικά δεδομένα ανεξάρτητα από το σκοπό καταγραφής. Για παράδειγμα, αν η βιντεοεπιτήρηση γίνεται σε εκκλησία, παρ’ όλο που ο σκοπός δεν αφορά επακριβώς την επεξεργασία ευαίσθητων προσωπικών δεδομένων, ο Υπεύθυνος επεξεργασίας θα πρέπει να λάβει υπόψη του τη φύση των δεδομένων και το ρίσκο της καταγραφής ευαίσθητων δεδομένων, αφού πρώτα προβεί σε προσεκτική στάθμιση συμφερόντων των υποκειμένων των δεδομένων.

Επιπλέον, μπορούμε να υπογραμμίσουμε ότι  το άρθρο 9 παράγραφος 2 στοιχείο γ’, κατά το οποίο «η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου όπου το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του» θα μπορούσε – θεωρητικά και κατ’ εξαίρεση – να χρησιμοποιηθεί ως νομιμοποιητική βάση, αλλά ο Υπεύθυνος της επεξεργασίας θα πρέπει να το δικαιολογήσει ως απόλυτη ανάγκη για τη διαφύλαξη των ζωτικών συμφερόντων ενός ατόμου και να αποδείξει ότι αυτό το άτομο «είναι φυσικά ή νομικά ανίκανο να δώσει τη συγκατάθεσή του». Για παράδειγμα: ένα νοσοκομείο παρακολουθεί έναν ασθενή για ιατρικούς λόγους. Το υποκείμενο των δεδομένων μεταφέρθηκε στο νοσοκομείο χωρίς να έχει τις αισθήσεις του. Στην περίπτωση αυτή, θα μπορούσε να εφαρμοστεί το άρθρο 9 παράγραφος 2 στοιχείο (γ).

Τέλος, αξίζει να τονιστεί ότι η επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων απαιτεί αυξημένη και συνεχή επαγρύπνηση όσον αφορά τις υποχρεώσεις του Υπεύθυνου επεξεργασίας. Απαιτείται δηλαδή η διατήρηση ενός υψηλού επιπέδου ασφάλειας και η συνεχής επικαιροποίηση της έκθεσης εκτίμησης αντίκτυπου.

Υποχρεώσεις τήρησης διαφάνειας

Ο ενωσιακός νομοθέτης δίνει οδηγίες για την τήρηση της διαφάνειας απέναντι στο υποκείμενο των δεδομένων, ωστόσο ορίζει ότι μπορεί να προβλεφθούν ειδικότερες ρυθμίσεις από την εθνική νομοθεσία. Ο νέος νόμος Ν. 4624/2019 για τα προσωπικά δεδομένα δεν περιλαμβάνει σχετικές διατάξεις και επομένως οι Υπεύθυνοι επεξεργασίας χρειάζεται να αρκεστούν στις κατευθυντήριες γραμμές του ΕΣΠΔ.

Συγκεκριμένα, κατά τη χρήση του συστήματος βιντεοεπιτήρησης, οι πιο σημαντικές πληροφορίες θα πρέπει να αναγράφονται στην πινακίδα σήμανσης σε ένα πρώτο επίπεδο (first layer), και οι περαιτέρω υποχρεωτικές πληροφορίες θα παρέχονται με άλλα μέσα σε ένα δεύτερο επίπεδο (second layer).

To πρώτο επίπεδο (first layer) πληροφόρησης είναι η διακριτική πινακίδα σήμανσης, η οποία θα πρέπει να περιλαμβάνει τις απαραίτητες πληροφορίες, όπως και ένα σχετικό τυποποιημένο εικονίδιο προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιαστική επισκόπηση της σκοπούμενης επεξεργασίας.

Επιπλέον, η τοποθέτηση της προειδοποιητικής πινακίδας θα πρέπει να διατηρεί μία εύλογη απόσταση από τους χώρους βιντεοσκόπησης με τρόπο δηλαδή που το υποκείμενο των δεδομένων να αναγνωρίζει ευκόλως τις περιστάσεις παρακολούθησης πριν εισέλθει στην περιοχή που παρακολουθείται. Δεν είναι απαραίτητο να διευκρινιστεί η ακριβής θέση του εξοπλισμού επιτήρησης, εφόσον δεν υπάρχει αμφιβολία ως προς το ποιες περιοχές υπόκεινται σε παρακολούθηση και εφόσον το πλαίσιο της επιτήρησης διευκρινίζεται σαφώς.  Το υποκείμενο των δεδομένων πρέπει να είναι σε θέση να εκτιμήσει ποια περιοχή καταγράφεται από μια κάμερα ώστε να είναι σε θέση να αποφύγει την επιτήρηση ή να προσαρμόσει τη συμπεριφορά του εάν είναι απαραίτητο.

Οι γνωστοποιήσεις πρώτου επιπέδου (προειδοποιητική πινακίδα) πρέπει γενικά να αναγράφουν τις πιο σημαντικές πληροφορίες, όπως τις λεπτομέρειες των σκοπών της επεξεργασίας, την ταυτότητα του Υπεύθυνου επεξεργασίας και την ύπαρξη των δικαιωμάτων του υποκειμένου των δεδομένων, καθώς και πληροφορίες σχετικά με τις σημαντικότερες επιπτώσεις της επεξεργασίας. Αυτό μπορεί να περιλαμβάνει τα έννομα συμφέροντα που επιδιώκει ο Υπεύθυνος επεξεργασίας (ή τρίτο μέρος) και τα στοιχεία επικοινωνίας του Υπευθύνου προστασίας δεδομένων (DPO) εάν υπάρχει. Επιπλέον, πρέπει να γίνεται λεπτομερέστερη αναφορά στο δεύτερο επίπεδο πληροφοριών και συγκεκριμένα αναφορά σχετικά με τον τρόπο και τον τόπο πρόσβασης στα προσωπικά δεδομένα του υποκειμένου.

Επιπρόσθετα, στο στάδιο αυτό θα πρέπει να περιλαμβάνεται  οποιαδήποτε πληροφορία θα μπορούσε να «εκπλήξει» το υποκείμενο των δεδομένων. Αυτή θα μπορούσε να είναι η διαβίβαση σε τρίτους, ιδίως εάν βρίσκονται εκτός της ΕΕ, ακόμα και ο χρόνος περιόδου αποθήκευσης. Εάν αυτές οι πληροφορίες δεν περιλαμβάνονται, τότε το φυσικό πρόσωπο θα μπορεί ευλόγως να υποθέσει ότι δεν πραγματοποιείται καταγραφή και η παρακολούθηση γίνεται σε πραγματικό χρόνο (χωρίς διαβίβαση σε τρίτους και αποθήκευση καταγραφικού υλικού).

Οι πληροφορίες του δεύτερου επιπέδου πρέπει επίσης να είναι διαθέσιμες σε χώρο εύκολα προσβάσιμο από το υποκείμενο των δεδομένων, π.χ. σε γραφείο πληροφοριών, στην υποδοχή, στο ταμείο ή σε ευανάγνωστη αφίσα. Όπως αναφέρθηκε παραπάνω, το πρώτο προειδοποιητικό σήμα πρέπει να αναφέρεται σαφώς στις πληροφορίες του δεύτερου επιπέδου. Επιπλέον, είναι προτιμότερο η πρώτη πληροφορία παραπέμπει σε μία ψηφιακή πηγή του δεύτερου επιπέδου, παραθέτοντας για παράδειγμα τον QR-κώδικα ή μια διεύθυνση ιστοσελίδας. Παράλληλα, οι πληροφορίες πρέπει να είναι εύκολα διαθέσιμες και σε μη ψηφιακή μορφή. Σε κάθε περίπτωση, πρέπει να είναι δυνατή η πρόσβαση στις πληροφορίες του δεύτερου επιπέδου χωρίς την προηγούμενη είσοδο στην περιοχή που καταγράφει.

Εκτός από αυτές τις επιλογές, το ΕΣΠΔ προωθεί τη χρήση τεχνολογικών μέσων και για την παροχή πληροφοριών στα υποκείμενα των δεδομένων. Αυτό μπορεί να περιλαμβάνει τον γεωγραφικό εντοπισμό στις κάμερες και σε εφαρμογές χάρτη ή σε ιστοσελίδες με σκοπό τα άτομα να μπορούν εύκολα να προσδιορίζουν και να καθορίζουν τις πηγές βίντεο που σχετίζονται με την άσκηση των δικαιωμάτων τους και ταυτόχρονα να λαμβάνουν λεπτομερέστερες πληροφορίες σχετικά με τη διαδικασία επεξεργασίας.

Παράδειγμα: Ένας ιδιοκτήτης καταστήματος παρακολουθεί το κατάστημά του. Για να συμμορφωθεί με το άρθρο 13 του GDPR,  αρκεί να τοποθετηθεί ένα προειδοποιητικό σήμα σε ένα ορατό σημείο στην είσοδο του καταστήματός του, το οποίο να περιέχει τις πληροφορίες του πρώτου επιπέδου. Επιπλέον, οφείλει να παράσχει ένα ενημερωτικό δελτίο με τις πληροφορίες του δεύτερου επιπέδου στο ταμείο ή σε οποιοδήποτε άλλο κεντρικό και εύκολα προσβάσιμο σημείο στο κατάστημά του.

Χρόνος αποθήκευσης και υποχρέωση διαγραφής

Σύμφωνα με την αρχή περιορισμού του χρόνου αποθήκευσης του άρθρου 5 παρ. 1 ε’ τα δεδομένα προσωπικού χαρακτήρα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας. Τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο Κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων.Επομένως,  το αν τα προσωπικά δεδομένα είναι απαραίτητο να αποθηκευτούν και για πόσο χρονικό διάστημα πρέπει να ελέγχεται μέσα σε ένα στενό περιοριστικό πλαίσιο. Γενικά, οι νόμιμοι σκοποί για την παρακολούθηση μέσω βίντεο είναι συχνά η προστασία περιουσίας ή η διατήρηση αποδεικτικών στοιχείων. Συνήθως οι ζημιές που σημειώθηκαν μπορούν να αναγνωριστούν εντός μίας ή δύο ημερών. Λαμβάνοντας υπόψη τις αρχές του άρθρου 5 (1) (γ) και (ε) του GDPR και συγκεκριμένα την αρχή της ελαχιστοποίησης των δεδομένων και του περιορισμού του χρόνου αποθήκευσης, τα προσωπικά δεδομένα θα πρέπει στις περισσότερες περιπτώσεις -όπως στην περίπτωση πιθανού βανδαλισμού- να διατηρούνται για λίγες μόνο ημέρες. Όσο μεγαλύτερη είναι η περίοδος αποθήκευσης (ειδικά όταν υπερβαίνει τις 72 ώρες), τόσο περισσότερο πρέπει να υποστηριχθεί η νομιμότητα του σκοπού και να τεκμηριωθεί η ανάγκη αποθήκευσης. Εάν ο Υπεύθυνος επεξεργασίας χρησιμοποιεί την παρακολούθηση βίντεο όχι μόνο για την παρακολούθηση των εγκαταστάσεών του, αλλά σκοπεύει επίσης να αποθηκεύσει τα δεδομένα που συλλέγει, θα πρέπει να βεβαιωθεί ότι η αποθήκευση είναι πράγματι αναγκαία για την επίτευξη του σκοπού παρακολούθησης. Αν είναι όντως αναγκαία, τότε η περίοδος αποθήκευσης πρέπει να οριστεί με σαφήνεια και να καθοριστεί ξεχωριστά για κάθε συγκεκριμένο σκοπό. Ο Υπεύθυνος επεξεργασίας είναι υπεύθυνος να καθορίσει την περίοδο διατήρησης σύμφωνα με τις αρχές της αναγκαιότητας και της αναλογικότητας και να αποδείξει τη συμμόρφωση με τις διατάξεις του GDPR.

Σύμφωνα με την οδηγία 1/2011 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τα δεδομένα πρέπει να τηρούνται για το μικρότερο δυνατό χρόνο. Σε κάθε περίπτωση δεν επιτρέπεται να τηρούνται για διάστημα μεγαλύτερο των 15 ημερών, εκτός ορισμένων εξαιρέσεων. Ειδικά για τις πολυκατοικίες, πρέπει να τηρούνται το πολύ μέχρι 48 ώρες, ενώ για σχολικά συγκροτήματα και τις παρόμοιες με αυτά εγκαταστάσεις, μέχρι την επόμενη εργάσιμη ημέρα. Οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα μπορούν να τα τηρούν μέχρι 45 ημέρες. Ο χρόνος τήρησης μπορεί να παραταθεί εφόσον υπάρξει κάποιο συμβάν ασφαλείας και το υλικό μπορεί να χρησιμοποιηθεί ως αποδεικτικό στοιχείο (βλ. άρθρο 8 της οδηγίας 1/2011 για αναλυτικότερη περιγραφή, καθώς και το αντίστοιχο άρθρο του Ειδικού Μέρους της οδηγίας ανάλογα με την κατηγορία του υπευθύνου επεξεργασίας).

Όπως αναφέρεται στο άρθρο 25 του GDPR, οι Υπεύθυνοι επεξεργασίας πρέπει να εφαρμόσουν κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας δεδομένων μόλις αποφασίσουν την εγκατάσταση συστήματος παρακολούθησης μέσω βίντεο και προτού ξεκινήσουν τη συλλογή και επεξεργασία δεδομένων. Αυτές οι αρχές τονίζουν την ανάγκη για χρήση ενσωματωμένων τεχνολογιών βελτίωσης της ιδιωτικής ζωής, προεπιλεγμένων ρυθμίσεων ελαχιστοποίησης της επεξεργασίας δεδομένων, όπως και την ανάγκη για παροχή κατάλληλων εργαλείων που επιτρέπουν την όσο το δυνατόν υψηλότερη προστασία των προσωπικών δεδομένων. Οι Υπεύθυνοι επεξεργασίας χρειάζονται να αναπτύξουν συστήματα προστασίας δεδομένων και προστασίας της ιδιωτικής ζωής όχι μόνο στις προδιαγραφές σχεδιασμού της τεχνολογίας αλλά και στις οργανωτικές τους πρακτικές. Όσον αφορά τις οργανωτικές πρακτικές, ο Υπεύθυνος επεξεργασίας θα πρέπει να υιοθετήσει κατάλληλο πλαίσιο διαχείρισης, να θεσπίσει και να επιβάλει πολιτικές και διαδικασίες σχετικά με την παρακολούθηση μέσω βίντεο. Από τεχνικής άποψης, οι προδιαγραφές και ο σχεδιασμός του συστήματος θα πρέπει να πληρούν τις απαιτήσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις αρχές που ορίζονται στο άρθρο 5 του GDPR (νομιμότητα της επεξεργασίας, περιορισμός του σκοπού και των δεδομένων, ελαχιστοποίηση δεδομένων εξ ορισμού, κατά την έννοια του άρθρου 25 παράγραφος 2 GDPR, ακεραιότητα και εμπιστευτικότητα, λογοδοσία κ.λπ.) και να εφαρμόζονται σε όλα τα στοιχεία του συστήματος και σε όλα τα δεδομένα που υφίστανται επεξεργασία καθ’ όλη τη διάρκεια του κύκλου ζωής τους.

Τα περισσότερα από τα μέτρα που μπορούν να χρησιμοποιηθούν για την εξασφάλιση της βιντεοεπιτήρησης, ειδικά όταν χρησιμοποιείται ψηφιακός εξοπλισμός και λογισμικό, δεν διαφέρουν από εκείνα που χρησιμοποιούνται σε άλλα συστήματα τεχνολογίας πληροφοριών. Ωστόσο, ανεξάρτητα από την επιλεγμένη λύση, ο Υπεύθυνος επεξεργασίας πρέπει να προστατεύει επαρκώς όλα τα εξαρτήματα ενός συστήματος παρακολούθησης βίντεο και δεδομένων σε όλα τα στάδια της αποθήκευσης (δεδομένα at rest), μετάδοσης (δεδομένα υπό διαβίβαση ) και επεξεργασίας (δεδομένα σε χρήση). Για το σκοπό αυτό, είναι απαραίτητο οι Υπεύθυνοι επεξεργασίας και οι Εκτελούντες να λαμβάνουν συνδυαστικά οργανωτικά και τεχνικά μέτρα.

Κατά την επιλογή τεχνικών λύσεων, ο Υπεύθυνος επεξεργασίας θα πρέπει να εξετάσει τις φιλικές προς την ιδιωτική ζωή τεχνολογίες, ενισχύοντας την ασφάλεια της επεξεργασίας. Παραδείγματα τέτοιων τεχνολογιών αποτελούν τα συστήματα που επιτρέπουν την επεξεργασία εικόνων με τρόπο που να μην αποκαλύπτονται δεδομένα τρίτων προσώπων κατά την παροχή βίντεο σε πρόσωπα στα οποία αναφέρονται τα δεδομένα. Από την άλλη πλευρά, οι επιλεγμένες λύσεις δεν θα πρέπει να παρέχουν λειτουργίες που δεν είναι απαραίτητες (π.χ. απεριόριστη κίνηση φωτογραφικών μηχανών, δυνατότητα ζουμ, εκπομπή ραδιοφώνου, ανάλυση και ηχητικές εγγραφές). Οι λειτουργίες που παρέχονται, αλλά δεν είναι απαραίτητες θα πρέπει να απενεργοποιούνται. Υπάρχει μεγάλη διαθέσιμη βιβλιογραφία σχετικά με αυτό το θέμα, συμπεριλαμβανομένων διεθνών προτύπων και τεχνικών προδιαγραφών σχετικά με τη φυσική ασφάλεια των συστημάτων πολυμέσων και την ασφάλεια των γενικών συστημάτων πληροφορικής.

Οργανωτικά μέτρα

Εκτός από την εκπόνηση μελέτης εκτίμησης αντικτύπου, οι υπεύθυνοι επεξεργασίας πρέπει να εξετάζουν τα ακόλουθα θέματα όταν δημιουργούν τις δικές τους πολιτικές και διαδικασίες παρακολούθησης βίντεο:

  • Ποιος είναι υπεύθυνος για τη διαχείριση και τη λειτουργία του συστήματος βιντεοεπιτήρησης
  • Ποιος είναι ο σκοπός και το πεδίο εφαρμογής του συστήματος
  • Είναι κατάλληλη ή απαγορευμένη χρήση (πού και πότε επιτρέπεται η παρακολούθηση βίντεο)
  • Ποια μέτρα διαφάνειας έχουν ληφθεί
  • Πώς καταγράφεται το βίντεο και για πόσο χρόνο, συμπεριλαμβανομένης της αρχειοθετημένης αποθήκευσης των βιντεοσκοπήσεων που σχετίζονται με συμβάντα ασφαλείας
  • Ποιος πρέπει να υποβληθεί σε κατάλληλη εκπαίδευση και πότε
  • Ποιος έχει πρόσβαση σε εγγραφές βίντεο και για ποιους σκοπούς
  • Ποιες είναι οι λειτουργικές διαδικασίες (από ποιον και από πού παρακολουθείται η παρακολούθηση βίντεο, τι πρέπει να γίνει σε περίπτωση περιστατικού παραβίασης δεδομένων)
  • Τι διαδικασίες πρέπει να ακολουθούν τα υποκείμενα των δεδομένων για να ζητήσουν βιντεοσκοπήσεις, ποιες είναι οι διαδικασίες άρνησης χορήγησης τέτοιων αιτήσεων
  • Ποιες είναι οι διαδικασίες για την προμήθεια, εγκατάσταση και συντήρηση συστήματος
  • Ποιες είναι οι διαδικασίες διαχείρισης περιστατικών ασφαλείας και ανάκτησης των δεδομένων.

Τεχνικά μέτρα

Η ασφάλεια του συστήματος σημαίνει φυσική ασφάλεια όλων των στοιχείων του συστήματος, ακεραιότητα του συστήματος, δηλαδή προστασία, ανθεκτικότητα και ελαστικότητα σε περίπτωση σκόπιμης και ακούσιας παρεμπόδισης των κανονικών λειτουργιών και ελέγχου της πρόσβασης. Η ασφάλεια των δεδομένων περιλαμβάνει την εξασφάλιση της εμπιστευτικότητας (ότι δηλαδή τα δεδομένα είναι προσβάσιμα μόνο σε εκείνους στους οποίους έχει χορηγηθεί πρόσβαση), της ακεραιότητας (πρόληψη της απώλειας ή παράνομης επεξεργασίας δεδομένων) και της διαθεσιμότητας (τα δεδομένα είναι προσπελάσιμα όταν απαιτείται).

Η φυσική ασφάλεια αποτελεί ζωτικό μέρος της προστασίας δεδομένων και βρίσκεται  στην  πρώτη γραμμή άμυνας, συντελώντας στην προστασία του εξοπλισμού από κλοπές, βανδαλισμούς, φυσικές καταστροφές, ανθρωπογενείς καταστροφές και τυχαία περιστατικά (π.χ. ηλεκτρικές υπερτάσεις, ακραίες θερμοκρασίες, χυμένος καφές). Σε περίπτωση αναλογικών συστημάτων, η φυσική ασφάλεια παίζει καίριο ρόλο στην προστασία τους. Η ασφάλεια του συστήματος και των δεδομένων που επεξεργάζεται, καθώς και η προστασία από σκόπιμη ή ακούσια παρεμβολή στις συνήθεις λειτουργίες του μπορεί να περιλαμβάνει:

  • Προστασία ολόκληρης της υποδομής του συστήματος βιντεοπαρακολούθησης (συμπεριλαμβανομένων των απομακρυσμένων καμερών, καλωδίωσης και τροφοδοσίας) έναντι φυσικής παραβίασης και κλοπής.
  • Προστασία καναλιών παρακολούθησης
  • Κρυπτογράφηση δεδομένων
  • Χρήση λύσεων βασισμένων σε υλικό και λογισμικό όπως τείχη προστασίας, συστήματα αντιμετώπισης ιών, εντοπισμός εισβολών κατά των επιθέσεων στον κυβερνοχώρο κ.α.
  • Ανίχνευση βλαβών εξαρτημάτων, λογισμικού και διασυνδέσεων
  • Μέσα αποκατάστασης διαθεσιμότητας και πρόσβασης στο σύστημα στην περίπτωση ενός φυσικού ή τεχνικού συμβάντος. Ο έλεγχος πρόσβασης διασφαλίζει ότι μόνο τα εξουσιοδοτημένα άτομα έχουν πρόσβαση στο σύστημα και τα δεδομένα, εμποδίζοντας την μη εξουσιοδοτημένη πρόσβαση.

Τα μέτρα που υποστηρίζουν τον φυσικό έλεγχο πρόσβασης περιλαμβάνουν:

  • Διασφάλιση ότι όλα τα κτήρια όπου πραγματοποιείται παρακολούθηση της βιντεοεπιτήρησης και αποθηκεύονται οι βιντεοταινίες είναι ασφαλισμένα έναντι μη επιτηρούμενης πρόσβασης τρίτων
  • Τοποθέτηση των οθονών με τέτοιο τρόπο ώστε μόνο οι εξουσιοδοτημένοι χειριστές να μπορούν να τα βλέπουν (ειδικά όταν βρίσκονται σε ανοικτές περιοχές , όπως μια υποδοχή)
  • Καθορισμός και εφαρμογή διαδικασιών για τη χορήγηση, την αλλαγή και την ανάκληση της φυσικής και λογικής πρόσβασης
  • Μέθοδοι και μέσα επαλήθευσης και εξουσιοδότησης χρήστη, π.χ. προηγούμενος προσδιορισμός μήκους του κωδικού πρόσβασης και συχνότητας αλλαγής.
  • Καταγραφή και τακτική εξέταση των ενεργειών που εκτελούνται από τον χρήστη (τόσο στο σύστημα όσο και στα δεδομένα)
  • Συνεχής παρακολούθηση και εντοπισμός των αποτυχημένων προσπαθειών πρόσβασης και άμεσος, όσο το δυνατόν ταχύτερος εντοπισμός αδυναμιών του συστήματος.

 

Από την ανωτέρω ανάλυση για ακόμη μια φορά προκύπτει η απαίτηση για ταυτόχρονη ικανοποίηση των δικαιωμάτων των υποκειμένων, δικαιώματα που όμως μπορεί να συγκρούονται, ειδικότερα με τη χρήση νέων τεχνολογιών, λαμβάνοντας μάλιστα υπόψη τον ιδιαίτερα ευαίσθητο χαρακτήρα ορισμένων από αυτά. Η εξέλιξη της τεχνολογίας έχει θέσει νέες προσκλήσεις για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων σε όλες τις εκφάνσεις της κοινωνικής μας ζωής, γεγονός που καθιστά αδήριτη ανάγκη την δικαϊκή τους προστασία και της θέσπιση αυστηρού νομοθετικού πλαίσιο, ανταποκρινόμενου στις σύγχρονες κοινωνικές απαιτήσεις.

 

 

Leave a Reply

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.

Top