• Ροή Ειδήσεων

    Αφιέρωμα GDPR: Μπορούν οι επιχειρήσεις να επιτηρούν τους υπαλλήλους τους με κάμερες;

    GDPR


    Το CCTV σημαίνει κλειστό κύκλωμα τηλεόρασης, γνωστό και ως βιντεοεπιτήρηση. Τα συστήματα παρακολούθησης βίντεο παρακολουθούν τη συμπεριφορά, τις δραστηριότητες ή άλλες μεταβαλλόμενες πληροφορίες, συνήθως, ανθρώπων από απόσταση μέσω ηλεκτρονικού εξοπλισμού. Η παρακολούθηση βίντεο μπορεί να περιλαμβάνει οτιδήποτε από συστήματα κλειστού κυκλώματος τηλεόρασης ή αυτόματης αναγνώρισης πινακίδων, σε οποιοδήποτε άλλο σύστημα για την καταγραφή, αποθήκευση, λήψη ή προβολή οπτικών εικόνων για σκοπούς επιτήρησης. Το 2016, εκτιμάται ότι υπήρχαν ήδη περίπου 350 εκατομμύρια κάμερες παρακολούθησης βίντεο εγκατεστημένες παγκοσμίως.

    Επιτήρηση στο χώρο εργασίας – τα βασικά

    Σύμφωνα με το GDPR (Γενικός Κανονισμός Προστασίας Δεδομένων), οι εργοδότες δικαιούνται να παρακολουθούν τη δραστηριότητα των εργαζομένων, εάν όμως έχουν νόμιμη βάση για κάτι τέτοιο και ο σκοπός της παρακολούθησής τους κοινοποιείται σαφώς στους εργαζομένους εκ των προτέρων.

    Λόγω της έλλειψης ισορροπίας της εξουσίας στη σχέση εργοδότη-εργαζομένου, οι εργοδότες δεν μπορούν πλέον να βασίζονται στη συγκατάθεσή τους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. 

    Για τις επιχειρήσεις, οι καταλληλότεροι λόγοι είναι κατά πάσα πιθανότητα το νόμιμο συμφέρον του εργοδότη (υπεύθυνος επεξεργασίας δεδομένων).

    του Ιωάννη Γουμενόπουλου. Δικηγόρου

    Υπάρχουν πολλοί νόμιμοι επιχειρηματικοί λόγοι για τους οποίους οι εργοδότες παρακολουθούν τους υπαλλήλους που χρησιμοποιούν CCTV. Οι νόμιμες βάσεις παρακολούθησης περιλαμβάνουν τη διατήρηση της ασφάλειας γενικά και την ασφάλεια των εργαζομένων ειδικότερα, την πρόληψη της εγκληματικότητας, την αποτροπή παραπτωμάτων των εργαζομένων, τη διασφάλιση της τήρησης των διαδικασιών υγείας και ασφάλειας, την παρακολούθηση και, σε ορισμένες περιπτώσεις, τη βελτίωση της παραγωγικότητας.

    Οι εργοδότες πρέπει να εφαρμόζουν εξασφαλίσεις και μέτρα συμμόρφωσης για να διασφαλίσουν ότι τα δικαιώματα των εργαζομένων δεν θίγονται σε καμία περίπτωση. 

    Εάν ένας εργαζόμενος αντιταχθεί στη χρήση κάμερας CCTV σε μια συγκεκριμένη περιοχή στο χώρο εργασίας, η νέα δοκιμή-τοποθέτηση επιβαρύνει τον εργοδότη για να αποδείξει ότι έχει «επιτακτικούς νόμιμους λόγους» για επεξεργασία που υπερισχύει των δικαιωμάτων των εργαζομένων ή για τη δημιουργία, άσκηση ή υπεράσπιση νομικών αξιώσεων.

    Η παρακολούθηση των υπαλλήλων μέσω συστήματος CCTV θα πρέπει να περιορίζεται σε περιοχές όπου ο κίνδυνος παραβίασης των δικαιωμάτων απορρήτου των εργαζομένων είναι χαμηλός. Η χρήση κάμερας CCTV που παρακολουθεί συνεχώς μια επιλεγμένη ομάδα εργαζομένων σε μια συγκεκριμένη περιοχή είναι πιο πιθανό να θεωρηθεί παρεμβατική από εκείνες που παρακολουθούν όλους τους υπαλλήλους σε έναν γενικό χώρο εισόδου.

    Ο σκοπός του συστήματος CCTV πρέπει να ακολουθεί τους κανόνες ενημέρωσης ή συγκατάθεσης των υπαλλήλων μέσω της ενημέρωσης περί απορρήτου. 

    Σύμφωνα με τις απαιτήσεις του GDPR, οι εργοδότες έχουν υποχρέωση να ενημερώσουν τους εργαζόμενους ξεκάθαρα και με σαφήνεια. 

    Η γενική τοποθέτηση για τη χρήση του συστήματος CCTV στο χώρο εργασίας είναι για λόγους ασφαλείας, αλλά η χρήση για την παρακολούθηση της απόδοσης ή συμπεριφοράς των εργαζομένων δεν είναι προφανής λόγος. 

    Ως εκ τούτου, οι εργαζόμενοι πρέπει να ενημερώνονται σαφώς προτού καταγράψουν τα προσωπικά τους δεδομένα για το σκοπό αυτό. Η ίδια προσέγγιση στην ειδοποίηση πρέπει να υιοθετηθεί εάν ο σκοπός της επιτήρησης του συστήματος CCTV είναι επίσης για λόγους υγείας και ασφάλειας.

    Ποιος είναι ο κίνδυνος της δημιουργίας προφίλ CCTV στο GDPR;

    Σύμφωνα με το άρθρο 35 του GDPR, κάθε υπερβολική χρήση της παρακολούθησης μέσω συστήματος CCTV των εργαζομένων ενέχει τον κίνδυνο δημιουργίας προφίλ και θεωρείται ως “υψηλού κινδύνου”, σύμφωνα με τις οδηγίες που εκπόνησε η ομάδα εργασίας του άρθρου 29. Αυτό απαιτεί εκτίμηση των επιπτώσεων στην προστασία δεδομένων (“DPIA”). 

    Μια DPIA εξετάζει κατά πόσο η επιτήρηση είναι απαραίτητη και ανάλογη προς το τι επιδιώκει ο εργοδότης με βάση τους κινδύνους για τα δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα, συμπεριλαμβανομένης της λήψης μέτρων προστασίας ή μέτρων ασφαλείας που θα εφαρμόσει ο υπεύθυνος της επεξεργασίας.

    Τι πρέπει να εξετάσουν οι εργοδότες;

    Οι εργοδότες θα πρέπει να λάβουν υπόψη τις νέες απαιτήσεις του GDPR εάν σκοπεύουν να εγκαταστήσουν κάμερες CCTV για οποιονδήποτε σκοπό. Θα πρέπει να αντιμετωπιστούν τα δικαιώματα των εργαζομένων, των δυνητικών πελατών και των άλλων μερών, λαμβάνοντας υπόψη ότι η παρακολούθηση μπορεί να πραγματοποιηθεί μόνο εάν υπάρχει νόμιμη βάση για κάτι τέτοιο. 

    Οι εργοδότες πρέπει να θυμούνται ότι τα προσωπικά δεδομένα που συλλέγονται πρέπει να χρησιμοποιούνται και να διατηρούνται μόνο για την εκπλήρωση του αρχικού τους σκοπού και η ειδοποίηση (ταμπελάκι) με την οποία συμμορφώνονται με το GDPR πρέπει να υπάρχει εμφανώς και σε όλες τις τοποθεσίες που υπάρχουν κάμερες.

    Συνιστάται στους εργοδότες να σχεδιάσουν μια σειρά πολιτικών προστασίας προσωπικών δεδομένων σχετικά με τη χρήση συστήματος CCTV. 

    Οι πολιτικές αυτές πρέπει να αφορούν τους σκοπούς για τους οποίους διεξάγεται η επιτήρηση μέσω συστήματος CCTV, οι συνθήκες υπό τις οποίες θα πραγματοποιηθεί η παρακολούθηση, η φύση της παρακολούθησης, ο τρόπος με τον οποίο θα χρησιμοποιηθούν τα προσωπικά δεδομένα των ατόμων, καθώς και τον αντίκτυπο στα δικαιώματα των υποκειμένων.

    Οι εργοδότες θα πρέπει να εξασφαλίσουν ότι διαθέτουν έγκυρη και επαρκή σήμανση σε περιοχές όπου έχουν εγκατασταθεί κάμερες CCTV. Οι εργοδότες θα πρέπει επίσης να θέσουν σε εφαρμογή κατάλληλα τεχνικά και οργανωτικά μέτρα για να μετριάσουν κάθε κίνδυνο που συνεπάγεται παραβίαση για τα προσωπικά δικαιώματα των εργαζομένων, όπως απαιτείται από το GDPR. 

    Τα συστήματα CCTV είναι εγγενώς ευάλωτα σε επιθέσεις στον κυβερνοχώρο όταν συνδέονται με το Διαδίκτυο ή το σύννεφο (cloud) και η ασφάλεια και η προστασία της ιδιωτικής ζωής των δεδομένων που τηρούνται διασφαλίζονται καλύτερα με τον περιορισμό της πρόσβασης σε αυτά και με την ύπαρξη ισχυρών συστημάτων για την αποφυγή επιθέσεων από το Διαδίκτυο, κακόβουλο λογισμικό.

    Τέλος, η χρήση του CCTV στον χώρο εργασίας από τον εργοδότη μπορεί να δημιουργήσει πολύπλοκα νομικά ζητήματα υπό το πρίσμα των νέων απαιτήσεων GDPR, ανάλογα με το σκοπό της επιτήρησης. 

    Όπου η αναλογικότητα της επεξεργασίας δεν είναι σαφής, συνιστώνται εξειδικευμένες νομικές συμβουλές για να διασφαλιστεί ότι η χρήση είναι συμβατή με το GDPR.

     

    To κείμενο είναι του Δικηγόρου Ιωάννη Γουμενόπουλου.  Γενικός Διευθυντής GAGDPR
    Λεωφόρος Δημοκρατίας 4-6,  ΤΚ 15451,Νέο Ψυχικό – Αττική
    Τηλ.+302106747361 εσωτ.210, Κιν. +306948500034
    Fax. +302106747347
    www.gagdpr.com

    • Η GAG-DPR Ι.Κ.Ε είναι μια εταιρεία έμπειρων συμβούλων (Νομικών, Οικονομολόγων, Συμβούλων επιχειρήσεων κ.α) που στοχεύει στην παροχή λύσεων κορυφαίας ποιότητας σε επιχειρήσεις & φορείς του Δημοσίου, παρέχοντας υπηρεσίες συμμόρφωσης με την ευρωπαϊκή νομοθεσία για την προστασία προσωπικών δεδομένων και την ασφάλεια στον κυβερνοχώρο.
    • Συγκεκριμένα, παρέχει συμβουλές σχετικά με τις πολιτικές διακυβέρνησης και επεξεργασίας δεδομένων, τη μεταφορά δεδομένων, τη λογοδοσία, τις εκτιμήσεις των επιπτώσεων της επεξεργασίας των προσωπικών δεδομένων, τους ελέγχους ασφαλείας και τις αναθεωρήσεις πολιτικής. Διεξάγουμε επίσης έρευνες και καταρτίζουμε έγγραφα στρατηγικής για την παρακολούθηση της επεξεργασίας των δεδομένων με τις εθνικές και ευρωπαϊκές ρυθμιστικές αρχές εποπτείας.
    • Ο ρόλος μας συνίσταται κυρίως στο να βοηθήσουμε τους οργανισμούς και τις επιχειρήσεις να προσαρμόσουν τις πρακτικές τους σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων με τον κανονισμό 2016/679 της ΕΕ για την προστασία των δεδομένων, η εφαρμογή του οποίου ξεκίνησε στις 25 Μαΐου 2018.



    ΣΧΟΛΙΑ