Το πρώτο βήμα για την εγκατάσταση CCTV είναι ο προσδιορισμός του σκοπού ή των σκοπών για αυτό. Οι σκοποί εγκατάστασης CCTV μπορούν να ποικίλουν: ασφάλεια των εγκαταστάσεων, συνδρομή στην πρόληψη και τον εντοπισμό κλοπών και άλλων εγκλημάτων ή προστασία της ζωής και της υγείας των εργαζομένων, λόγω της φύσης της εργασίας.

Όπως συμβαίνει με κάθε επεξεργασία προσωπικών δεδομένων, η καταγραφή των φυσικών προσώπων πρέπει να έχει νομική βάση σύμφωνα με τον ΓΚΠΔ. Η συγκατάθεση μπορεί να αποτελεί νομική βάση για την εν λόγω επεξεργασία δεδομένων. Ωστόσο, αυτό είναι απίθανο να ισχύει για τη χρήση CCTV στις περισσότερες περιπτώσεις, καθώς θα είναι δύσκολο να εξασφαλιστεί  η ελεύθερη συγκατάθεση όλων των ατόμων που είναι πιθανό να καταγράφονται. Η συνηθέστερη νομική βάση για τέτοιου είδους επεξεργασία προσωπικών δεδομένων είναι το έννομο συμφέρον. Όταν η επεξεργασία βασίζεται στο έννομο συμφέρον, θα πρέπει να διεξάγετε στάθμιση προκειμένου να προσδιορίσετε αν τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων του ατόμου.

Θα πρέπει να ενημερώσετε τα άτομα ότι καταγράφονται. Αυτό μπορεί να γίνει με την τοποθέτηση ευανάγνωστων πινακίδων σε περίοπτη θέση. Επιπλέον, σε όλες τις εισόδους θα πρέπει να τοποθετείται πινακίδα με ένδειξη του σκοπού του συστήματος CCTV και της ταυτότητας και των στοιχείων επικοινωνίας του υπευθύνου επεξεργασίας των δεδομένων.

Τα άτομα που καταγράφονται από σύστημα CCTV θα πρέπει να ενημερώνονται ως προς τα ακόλουθα:

• την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας δεδομένων·
• τους σκοπούς της επεξεργασίας·
• τη νομική βάση της επεξεργασίας (εάν είναι το έννομο συμφέρον, συγκεκριμένες πληροφορίες σχετικά με το ποια έννομα συμφέροντα σχετίζονται με τη συγκεκριμένη επεξεργασία και ποια οντότητα επιδιώκει κάθε έννομο συμφέρον).
• τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, ΥΠΔ (εάν υπάρχει ΥΠΔ)·
• τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων·
• τις ρυθμίσεις ασφαλείας για τα πλάνα του συστήματος CCTV·
• την περίοδο διατήρησης του βίντεο από CCTV·
• την ύπαρξη δικαιωμάτων των φυσικών προσώπων βάσει του ΓΚΠΔ και το δικαίωμα υποβολής καταγγελίας στην εθνική αρχή προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων
• Σεβασμός των δικαιωμάτων των ατόμων

Ναι, οι εκτελούντες την επεξεργασία δεδομένων (δηλαδή άτομα ή φορείς που επεξεργάζονται δεδομένα για λογαριασμό υπευθύνου επεξεργασίας) έχουν υποχρεώσεις βάσει του ΓΚΠΔ. Ωστόσο, υπάρχουν ορισμένες διαφορές μεταξύ των αρμοδιοτήτων των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία.

Οι εκτελούντες την επεξεργασία πρέπει να τηρούν τις αρμοδιότητες που ορίζονται στη σύμβαση υπευθύνου επεξεργασίας-εκτελούντος την επεξεργασία, η οποία περιγράφει λεπτομερώς τις πράξεις επεξεργασίας και τα μέσα επεξεργασίας προσωπικών δεδομένων. Για παράδειγμα, ο εκτελών την επεξεργασία θα πρέπει να εκτελεί τις πράξεις επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας. Με τον τρόπο αυτό, ο εκτελών την επεξεργασία βοηθά τον υπεύθυνο επεξεργασίας να συμμορφώνεται με τον ΓΚΠΔ.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Ο ΓΚΠΔ παρέχει  στα άτομα τον έλεγχο της επεξεργασίας των προσωπικών τους δεδομένων. Για να γίνει αυτό, η διαφάνεια είναι καίριας σημασίας. Αυτό σημαίνει ότι πρέπει να ενημερώσετε τα άτομα των οποίων επεξεργάζεστε τα δεδομένα σχετικά με τις πράξεις επεξεργασίας και τους σκοπούς σας. Με άλλα λόγια, πρέπει να τους εξηγήσετε ποιος επεξεργάζεται τα δεδομένα τους, αλλά και πώς και γιατί. Μόνο εάν η χρήση προσωπικών δεδομένων  είναι «διαφανής» για τα επηρεαζόμενα άτομα , μπορούν να αξιολογήσουν τους πιθανούς κινδύνους και να λάβουν αποφάσεις σχετικά με τα προσωπικά τους δεδομένα.

Σύμφωνα με τον ΓΚΠΔ, είστε υποχρεωμένοι να μοιραστείτε τις ακόλουθες πληροφορίες με τα άτομα:

• την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας·
• τους σκοπούς της επεξεργασίας·
• τη νομική βάση της επεξεργασίας (εάν έννομο συμφέρον, συγκεκριμένες πληροφορίες σχετικά με ποια έννομα συμφέροντα σχετίζονται με τη συγκεκριμένη επεξεργασία και ποια οντότητα επιδιώκει κάθε έννομο συμφέρον).
• τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας·
• τα στοιχεία επικοινωνίας του ΥΠΔ (εάν υπάρχει ΥΠΔ)·
• τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων·
• Πληροφορίες σχετικά με ενδεχόμενη διαβίβαση δεδομένων εκτός Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ) (κατά περίπτωση: την ύπαρξη ή μη απόφασης επάρκειας ή αναφορά στις κατάλληλες διασφαλίσεις και τον τρόπο με τον οποίο οι πληροφορίες αυτές μπορούν να τεθούν στη διάθεση των υποκειμένων των δεδομένων)·
• τις κατηγορίες προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία, όταν τα δεδομένα δεν λαμβάνονται από το άτομο.

Επιπλέον, ο ΓΚΠΔ απαιτεί από τον οργανισμό σας να παρέχει τις ακόλουθες πληροφορίες για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας:

• την περίοδο διατήρησης ή, όταν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιούνται για τον καθορισμό της εν λόγω περιόδου·
• το δικαίωμα υποβολής αιτήματος  πρόσβασης, διαγραφής, διόρθωσης, περιορισμού, αντίρρησης και φορητότητας των προσωπικών δεδομένων·
• το δικαίωμα υποβολής καταγγελίας σε αρχή προστασίας δεδομένων·
• εάν η νομική βάση για την επεξεργασία είναι η συγκατάθεση: το δικαίωμα ανάκλησης της συγκατάθεσης ανά πάσα στιγμή·
• σε περίπτωση αυτοματοποιημένης λήψης αποφάσεων, σχετικές πληροφορίες σχετικά με την υποκείμενη λογική και τις προβλεπόμενες συνέπειες της επεξεργασίας για το υποκείμενο των δεδομένων·
• την πηγή των προσωπικών δεδομένων (εάν δεν τα λάβατε απευθείας από το ενδιαφερόμενο πρόσωπο)·
• εάν το φυσικό πρόσωπο υποχρεούται να παράσχει τα προσωπικά δεδομένα (με νόμο ή σύμβαση ή για τη συνομολόγηση σύμβασης) και τις συνέπειες της άρνησης παροχής των δεδομένων.

Περισσότερες πληροφορίες:

• Σεβασμός των δικαιωμάτων των ατόμων

Η σύμβαση μεταξύ του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία πρέπει να ορίζει ότι ο εκτελών την επεξεργασία:

• επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τις οδηγίες του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε χώρα εκτός του ΕΟΧ·
• διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα έχουν δεσμευθεί να τηρούν την εμπιστευτικότητα ή ότι υπόκεινται σε κατάλληλη εκ του νόμου υποχρέωση εμπιστευτικότητας·
• διασφαλίζει την ασφάλεια της επεξεργασίας·
• δεν αναθέτει σε άλλον εκτελούντα την επεξεργασία χωρίς προηγούμενη ειδική ή γενική γραπτή άδεια του υπευθύνου επεξεργασίας·
• επικουρεί τον υπεύθυνο επεξεργασίας στην εκπλήρωση των υποχρεώσεών του να ανταποκρίνεται στα αιτήματα των ατόμων για την άσκηση των δικαιωμάτων τους·
• επικουρεί τον υπεύθυνο επεξεργασίας στην ασφάλεια της επεξεργασίας, στην κοινοποίηση παραβιάσεων δεδομένων και στην εκτέλεση ΕΑΠΔ·
• κατ’ επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα προσωπικά δεδομένα στον υπεύθυνο επεξεργασίας μετά τη λήξη της παροχής των υπηρεσιών·
• θέτει στη διάθεση του υπευθύνου επεξεργασίας όλες τις απαραίτητες πληροφορίες για να αποδείξει τη συμμόρφωση με τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ·
• επιτρέπει και συμβάλλει σε ελέγχους, συμπεριλαμβανομένων των ελέγχων που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλο εξουσιοδοτημένο, από τον υπεύθυνο επεξεργασίας, ελεγκτή.

Επιπλέον, ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας δεδομένων εάν, κατά τη γνώμη του, οι οδηγίες παραβιάζουν τον ΓΚΠΔ ή άλλες ενωσιακές ή εθνικές διατάξεις για την προστασία των δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία

Η επεξεργασία προσωπικών δεδομένων επιτρέπεται εφόσον υπάρχει νομική βάση γι’ αυτό. Εκτός από την ελεύθερη, συγκεκριμένη, εν πλήρη επιγνώσει και αδιαμφισβήτητη συγκατάθεση, μπορούν να χρησιμοποιηθούν και άλλες νομικές βάσεις για την επεξεργασία.

Με άλλα λόγια, η συγκατάθεση είναι απαραίτητη όταν δεν ισχύει καμία από τις άλλες νομικές βάσεις.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να επεξεργάζονται προσωπικά δεδομένα μόνο σε μία από τις ακόλουθες περιπτώσεις:

• με τη συγκατάθεση των ατόμων·
• όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση μιας σύμβασης (σύμβαση μεταξύ του οργανισμού σας και ενός ατόμου)·
• για την εκπλήρωση νομικής υποχρέωσης δυνάμει  ενωσιακής ή εθνικής νομοθεσίας·
• όταν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον δυνάμει  ενωσιακής ή εθνικής νομοθεσίας·
• για την προστασία των ζωτικών συμφερόντων ενός ατόμου·

για τα έννομα συμφέροντα του οργανισμού σας — εκτός εάν υπερισχύουν τα δικαιώματα και οι ελευθερίες των ατόμων.
Επιπλέον, ο ΓΚΠΔ θεσπίζει πρόσθετες προϋποθέσεις για την επεξεργασία ευαίσθητων δεδομένων.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Η εκτίμηση αντικτύπου  σχετικά με την προστασία των δεδομένων ή ΕΑΠΔ είναι μια γραπτή εκτίμηση που θα πρέπει να ετοιμάσει ο οργανισμός σας για να αξιολογήσει τον αντίκτυπο μιας προγραμματισμένης πράξης επεξεργασίας. Σας βοηθά να προσδιορίσετε τα κατάλληλα μέτρα για την αντιμετώπιση των κινδύνων και να καταδείξετε τη συμμόρφωση.

Ενώ είναι πάντα προτιμότερο να προβλεφθεί ο αντίκτυπος των προγραμματισμένων πράξεων επεξεργασίας του οργανισμού σας με τη διενέργεια ΕΑΠΔ, είναι υποχρεωτική η διενέργεια ΕΑΠΔ όταν η επεξεργασία είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων.

Συγκεκριμένα, αυτό συμβαίνει όταν η προβλεπόμενη επεξεργασία περιλαμβάνει:

• την επεξεργασία — σε μεγάλη κλίμακα — ευαίσθητων δεδομένων ή προσωπικών δεδομένων που σχετίζονται με ποινικές καταδίκες·  
• συστηματική και εκτεταμένη αξιολόγηση των προσωπικών πτυχών ενός ατόμου με βάση την αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, και επί της οποίας βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σε σχέση με το εν λόγω άτομο ή επηρεάζουν σημαντικά με παρόμοιο τρόπο τα φυσικά πρόσωπα·
• συστηματική παρακολούθηση μιας δημοσίως προσβάσιμης περιοχής σε μεγάλη κλίμακα.

Το ΕΣΠΔ έχει καταρτίσει κατευθυντήριες γραμμές στις οποίες απαριθμούνται τα κριτήρια που πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση του κατά πόσον μια ΕΑΠΔ είναι υποχρεωτική ή όχι. Οι αρχές προστασίας δεδομένων (ΑΠΔ) έχουν επίσης δημοσιεύσει καταλόγους πράξεων επεξεργασίας που προϋποθέτουν την κατάρτιση  ΕΑΠΔ. Επιπλέον, αρκετές ΑΠΔ έχουν αναπτύξει οδηγούς, λογισμικό ή εργαλεία αυτοαξιολόγησης για να σας βοηθήσουν με την αξιολόγησή σας.

Περισσότερες πληροφορίες:

• Συμμορφωθείτε με τον ΓΚΠΔ

Όχι, δεν χρειάζεται να πιστοποιηθείτε για να γίνετε ΥΠΔ.

Οι ΥΠΔ πρέπει, ωστόσο, να είναι σε θέση να αποδείξουν ότι διαθέτουν τα απαραίτητα προσόντα που απαιτούνται από τον ΓΚΠΔ, όπως ειδικές γνώσεις σχετικά με τη νομοθεσία και τις πρακτικές προστασίας δεδομένων.

Περισσότερες πληροφορίες:

• Υπεύθυνος προστασίας δεδομένων

Ναι, αλλά για να γίνει αυτό, θα πρέπει πρώτα να καθορίσετε τη νομική βάση για την επεξεργασία αυτού του είδους προσωπικών δεδομένων. Για παράδειγμα, η επεξεργασία θα μπορούσε να θεωρηθεί ως έννομο συμφέρον για τον οργανισμό σας. Κατά την επεξεργασία προσωπικών δεδομένων με βάση το έννομο συμφέρον, είναι πάντα απαραίτητο να διενεργείται στάθμιση για να καθορίζεται  κατά πόσον τα έννομα συμφέροντά σας υπερτερούν των δικαιωμάτων των ατόμων, ιδίως εάν πρόκειται για παιδιά.

Μια άλλη πιθανή νομική βάση για την εν λόγω επεξεργασία θα μπορούσε να είναι η συγκατάθεση. Σε κάθε περίπτωση, τα άτομα θα πρέπει πάντα να ενημερώνονται εκ των προτέρων ότι η εκδήλωση φωτογραφίζεται ή βιντεοσκοπείται.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων

Η συγκατάθεση θα μπορούσε πράγματι να αποτελέσει έγκυρη νομική βάση για την αποθήκευση των βιογραφικών σημειωμάτων των αιτούντων εργασία. Μια άλλη πιθανή νομική βάση θα μπορούσε να είναι το έννομο συμφέρον. Σε αυτή την περίπτωση, θα πρέπει να διενεργήσετε  στάθμιση για να αποδείξετε ότι τα έννομα συμφέροντα του οργανισμού σας υπερτερούν των δικαιωμάτων των αιτούντων.

Σε κάθε περίπτωση, θα πρέπει να ενημερώσετε τους υποψηφίους ότι σκοπεύετε να αποθηκεύσετε τα δεδομένα τους και για ποιους σκοπούς.

Περισσότερες πληροφορίες:

• Νόμιμη επεξεργασία προσωπικών δεδομένων