Παρασκεύη 05 Μαρ 2021

Αναλυτική ενημέρωση για το κλειστό κύκλωμα παρακολούθησης των χώρων φιλοξενίας εξυπηρετητών και δικτυακού εξοπλισμού του Υπουργείου

ΑΝΑΛΥΤΙΚΗ ΕΝΗΜΕΡΩΣΗ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΜΕΣΩ ΣΥΣΤΗΜΑΤΟΣ ΒΙΝΤΕΟΕΠΙΤΗΡΗΣΗΣ

 

1. Υπεύθυνος επεξεργασίας

Υπουργείο Υποδομών και Μεταφορών,

Αναστάσεως 2 και Τσιγάντε, Τ.Κ. 10191 - Παπάγου,

τηλ. 210-650.80.00

2. Σκοπός και νόμιμη βάση της επεξεργασίας

Το Υπουργείο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της  αποστολής του, που επιτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που του έχει ανατεθεί (άρθρο 6 παράγραφος 1 στοιχείο ε του ΓΚΠΔ).

Το Υπουργείο έχει νόμιμη υποχρέωση να προστατεύει τον εξοπλισμό που βρίσκεται στους χώρους του και ιδίως τα  κρίσιμα για την επιχειρησιακή του λειτουργία, πληροφοριακά   συστήματα και τον αναγκαίο  για τη λειτουργία τους, εξοπλισμό.

Οι  χώροι όπου φιλοξενείται ο εν λόγω εξοπλισμός είναι  εξ ορισμού  χώροι αυξημένης ασφάλειας και έχουν πρόσβαση σε αυτούς μόνο εξουσιοδοτημένα άτομα.

Για το λόγο αυτό προβαίνει στην εγκατάσταση κλειστού κυκλώματος παρακολούθησης, για το οποίο έχουν προβλεφθεί τα ακόλουθα:

  • κάμερες τεχνολογίας IP χωρίς μηχανισμό περιστροφής (σταθερής γωνίας θέασης), οι οποίες θα παρακολουθούν αποκλειστικά και μόνο τους χώρους που βρίσκονται εγκατεστημένοι εξυπηρετητές και δικτυακός εξοπλισμός, με στόχο την εξασφάλιση της φυσικής ασφάλειας του χώρου και του εξοπλισμού.
  • οι κάμερες θα καταγράφουν μόνο κίνηση κατά τον εντοπισμό της και δεν θα γίνεται λήψη, μετάδοση και επεξεργασία δεδομένων ήχου.
  • η μετάδοση των δεδομένων θα γίνεται μέσω κρυπτογραφημένου (ασφαλούς) καναλιού επικοινωνίας σε κεντρικό σύστημα αποθήκευσης, διαχείρισης και επεξεργασίας, εγκατεστημένο σε χώρους της αρμόδιας, για τη διαχείρισή του, Υπηρεσίας.
  • η πρόσβαση στα δεδομένα βιντεοεπιτήρησης περιορίζεται αυστηρά σε μικρό αριθμό σαφώς καθορισμένων, ειδικά εκπαιδευμένων, χειριστών. 

3. Ανάλυση νομιμότητας σκοπού και ασφάλεια της επεξεργασίας

Η εγκατάσταση συστήματος βιντεοεπιτήρησης και ο τρόπος λήψης των δεδομένων είναι σύμφωνα με τις αρχές της νομιμότητας, της αναγκαιότητας, της αναλογικότητας και της ελαχιστοποίησης δεδομένων, όπως προβλέπονται στον ΓΚΠΔ.  Ειδικότερα:

  • Το σύστημα βιντεοεπιτήρησης χρησιμοποιείται αποκλειστικά για λόγους ασφάλειας και προστασίας των κρίσιμων για την επιχειρησιακή λειτουργία του Υπουργείου πληροφοριακών συστημάτων και του αναγκαίου για τη λειτουργία τους εξοπλισμού.
  • Η επιλογή των σημείων τοποθέτησης έγινε προσεκτικά ώστε να διασφαλίζεται ότι η παρακολούθηση περιορίζεται κατά το δυνατόν, στους χώρους που έχουν σημασία για τους επιδιωκόμενους σκοπούς της βιντεοεπιτήρησης. Ειδικότερα, το πεδίο λήψης και η συλλογή δεδομένων εικόνας περιορίζεται σε χώρους που βρίσκεται εγκατεστημένη κρίσιμη ψηφιακή υποδομή (π.χ εξυπηρετητές, δικτυακός εξοπλισμός). Στους χώρους αυτούς δεν έχουν πρόσβαση επισκέπτες και οι κάμερες εστιάζουν στον εξοπλισμό που επιτηρούν.
  • Το σύστημα δεν θα χρησιμοποιηθεί για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας τους. Τα δεδομένα που συλλέγονται μέσω του συστήματος δεν χρησιμοποιούνται για την παρακολούθηση της εργασίας του προσωπικού, την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων.
  • Δεν λαμβάνεται εικόνα από εξωτερικό δημόσιο χώρο, όπως δρόμο ή πεζοδρόμιο ή γειτονικά κτίρια.
  • Δεν λαμβάνεται εικόνα από εισόδους ή το εσωτερικό γειτονικών γραφείων.
  • Δεν λαμβάνονται εικόνες από χώρους στους οποίους αυτό απαγορεύεται γιατί τα φυσικά πρόσωπα/υποκείμενα των δεδομένων έχουν αυξημένες προσδοκίες για την ιδιωτικότητά τους, όπως π.χ. χώρους και προθαλάμους τουαλετών κτλ.
  • Δεν γίνεται επεξεργασία ήχου.
  • Το σύστημα βιντεοεπιτήρησης λειτουργεί σε εργάσιμες και μη εργάσιμες ημέρες και σε 24ωρη βάση καταγράφει την κίνηση στον επιτηρούμενο χώρο σε συνδυασμό με την ημερομηνία και την ώρα.

4. Προστασία των δεδομένων βιντεοεπιτήρησης - Διαβίβαση δεδομένων σε τρίτους 

4.1. Προστασία των δεδομένων βιντεοεπιτήρησης

Η αρμόδια Υπηρεσία  για τη σωστή διαχείριση των καμερών, του κλειστού κυκλώματος παρακολούθησης και των συναφών με το αντικείμενο θεμάτων λαμβάνει οργανωτικά και τεχνικά μέτρα για την ασφάλεια του συστήματος βιντεοεπιτήρησης:

  • Η μετάδοση των δεδομένων θα γίνεται μέσω κρυπτογραφημένου (ασφαλούς) καναλιού επικοινωνίας σε κεντρικό σύστημα αποθήκευσης, διαχείρισης και επεξεργασίας, εγκατεστημένο σε χώρους της αρμόδιας Υπηρεσίας.
  • Στους αναφερόμενους χώρους, που αποτελούν χώρους υψηλής ασφάλειας, λειτουργεί σύστημα συναγερμού και σύστημα πυρόσβεσης.
  • Επιπλέον, η αρμόδια Υπηρεσία, μεριμνά για:
    • την ασφάλεια του καταγεγραμμένου υλικού και τη αποφυγή διάδοσής του σε μη νόμιμους αποδέκτες.
    • τον έλεγχο της πρόσβασης στον κεντρικό χώρο ελέγχου, το χώρο αποθήκευσης του καταγεγραμμένου υλικού και σε τυχόν σύστημα επεξεργασίας (σε επίπεδο υλικού και λογισμικού).
    • την ελεγχόμενη χρήσης οθονών προβολής.
    • την ασφαλή διαβίβαση των καταγεγραμμένων συμβάντων στους νόμιμους αποδέκτες και την αποφυγή διάδοσης του υλικού σε μη νόμιμους αποδέκτες.
    • την επιλογή κατάλληλου προσωπικού για το χειρισμό του συστήματος βιντεοεπιτήρησης.
    • τη συνεχή εκπαίδευση του προσωπικού σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα.
    • την επιλογή διαδικασιών και προϊόντων που υποστηρίζουν την προστασία προσωπικών δεδομένων.
    • την ενημέρωση των υποκειμένων πριν εισέλθουν στην εμβέλεια του συστήματος βιντεοεπιτήρησης με την ανάρτηση σε επαρκή αριθμό και σε εμφανή μέρη ευδιάκριτων πινακίδων όπου θα αναγράφεται ο υπεύθυνος επεξεργασίας (δηλ. το Υπουργείο), ο σκοπός, καθώς και η Υπηρεσία, με την οποία οι ενδιαφερόμενοι μπορούν να επικοινωνήσουν για να ασκήσουν τα δικαιώματα τους.

4.2 Διαβίβαση δεδομένων σε τρίτους

Πρόσβαση στο σύστημα βιντεοεπιτήρησης, στο τηρούμενο υλικό και στα δεδομένα προσωπικού χαρακτήρα που αυτό συλλέγει,  έχει μικρός αριθμός εξουσιοδοτημένων και σαφώς καθορισμένων προσώπων.

Η αρμόδια Υπηρεσία ορίζει τα δικαιώματα πρόσβασης, τα οποία καθορίζονται σύμφωνα με τους εξειδικευμένους ρόλους εργασίας, προκειμένου να διασφαλιστεί ότι οι χειριστές του συστήματος βλέπουν μόνο τις σχετικές με τα καθήκοντά τους πληροφορίες.

Οι εξωτερικοί συνεργάτες / εκτελούντες την επεξεργασία, που παρέχουν τεχνική υποστήριξη, δεσμεύονται από γραπτή σύμβαση για την τήρηση εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα στα οποία θα αποκτήσουν πρόσβαση και θα εκτελούν πράξεις επεξεργασίας στο πλαίσιο των συμβατικών τους υποχρεώσεων.

Πέραν του προαναφερόμενου μικρού αριθμού σαφώς καθορισμένων προσώπων που έχουν πρόσβαση στα δεδομένα του συστήματος βιντεοεπιτήρησης λόγω του ρόλου τους, τα δεδομένα δεν κοινοποιούνται ή διαβιβάζονται σε τρίτους παρά μόνο κατόπιν συγκατάθεσης των ατόμων που απεικονίζονται στα σχετικά αρχεία.

Εξαίρεση αποτελεί η διαβίβαση/κοινοποίηση των στοιχείων στις ακόλουθες περιπτώσεις:

α) προς τις αρμόδιες δικαστικές, εισαγγελικές και αστυνομικές αρχές όταν περιλαμβάνει στοιχεία απαραίτητα για τη διερεύνηση μιας αξιόποινης πράξης, η οποία αφορά πρόσωπα ή αγαθά του υπευθύνου επεξεργασίας,

β) προς τις αρμόδιες δικαστικές, εισαγγελικές και αστυνομικές αρχές όταν ζητούν δεδομένα, νομίμως, κατά την άσκηση των καθηκόντων τους και

γ) προς το θύμα ή τον δράστη μιας αξιόποινης πράξης, όταν πρόκειται για δεδομένα τα οποία ενδέχεται να αποτελούν αποδεικτικά στοιχεία της πράξης.

5. Χρόνος τήρησης δεδομένων

Οι εικόνες από τις κάμερες καταγράφονται και αποθηκεύονται για χρονική περίοδο δεκαπέντε (15) ημερών, σύμφωνα με τα αναφερόμενα στο άρθρο 8 της οδηγίας 1/2011 της ΑΠΔΠΧ. Μετά το πέρας αυτής της χρονικής περιόδου, οι αποθηκευμένες εικόνες διαγράφονται.

Σε περίπτωση συμβάντος που συνδέεται με την ασφάλεια (π.χ. παραβίαση, βανδαλισμός, κλοπή), το σχετικό μαγνητοσκοπημένο υλικό μπορεί να διατηρηθεί πέραν των δεκαπέντε (15) ημερών και σύμφωνα με όσα ορίζει η οδηγία της ΑΠΔΠΧ, δηλαδή τα δεδομένα μπορούν να εξάγονται από το σύστημα και να τηρούνται σε ξεχωριστό αρχείο μέχρι τριάντα (30) ημέρες ή   μέχρι την ολοκλήρωση της διερεύνησης του περιστατικού (π.χ. στο πλαίσιο εσωτερικού ελέγχου).  

Αν το συμβάν αφορά τρίτον, η τήρηση των εικόνων μπορεί να γίνεται μέχρι τρεις (3) μήνες.

6. Δικαιώματα των υποκειμένων των δεδομένων

Τα υποκείμενα των δεδομένων μπορούν  να ασκούν τα δικαιώματά που προβλέπονται  στο ΓΚΠΔ σύμφωνα με την υπ΄αριθμ. Φ.Β.1/οικ.48320/323/7-8-2020 «Διαδικασία άσκησης δικαιωμάτων που προβλέπονται στο Γενικό Κανονισμό Προστασίας Δεδομένων».

Τα δικαιώματα των υποκειμένων εξετάζονται και ικανοποιούνται κατά τα προβλεπόμενα στην κείμενη νομοθεσία. Σε κάθε περίπτωση θα αποστέλλεται αναλυτική απάντηση το συντομότερο δυνατόν, εντός των προθεσμιών που ορίζει ο ΓΚΠΔ.

Η άσκηση των ανωτέρω δικαιωμάτων μπορεί να γίνει με την αποστολή email στη διεύθυνση Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε. ή με επιστολή στην ταχυδρομική διεύθυνση του Υπουργείου Υποδομών και Μεταφορών (Αναστάσεως 2 και Τσιγάντε, Παπάγου) ή με την αυτοπρόσωπη κατάθεση αιτήματος στο Υπουργείο.

6.1. Δικαίωμα ενημέρωσης των Υποκειμένων

Το υποκείμενο των δεδομένων έχει δικαίωμα ενημέρωσης πριν εισέλθει στο χώρο που παρακολουθείται μέσω κλειστού κυκλώματος.

Τα υποκείμενα ενημερώνονται σε 1ο επίπεδο πριν εισέλθουν στην εμβέλεια του συστήματος βιντεοεπιτήρησης με την ανάρτηση σε εμφανή μέρη επαρκούς αριθμού ευδιάκριτων ενημερωτικών πινακίδων/ειδοποιήσεων ότι ο χώρος επιτηρείται από κλειστό κύκλωμα, όπου αναγράφεται ότι η βιντεοσκόπηση γίνεται για λογαριασμό του Υπουργείου Υποδομών και Μεταφορών, που είναι ο υπεύθυνος επεξεργασίας, ο σκοπός, καθώς και ο τρόπος με τον οποίο οι ενδιαφερόμενοι μπορούν να λάβουν περισσότερες πληροφορίες και να  ασκήσουν τα δικαιώματα τους.

Τα υποκείμενα λαμβάνου πληροφόρηση σε 2ο επίπεδο μέσω του παρόντος, το οποίο αναρτάται στον ιστότοπο του Υπουργείου Υποδομών και Μεταφορών.

6.2. Δικαίωμα πρόσβασης

Ο καθένας έχει δικαίωμα πρόσβασης στα δεδομένα ενός συστήματος βιντεοεπιτήρησης που τον αφορούν (ως υποκείμενο των δεδομένων).

Το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης στα δεδομένα του συστήματος βιντεοεπιτήρησης που το αφορούν, υποβάλλοντας σχετική αίτηση, στην οποία θα αναφέρεται  η ακριβής ώρα που ευρέθη στην εμβέλεια των καμερών και ο χώρος, καθώς και μία πρόσφατη φωτογραφία καλής ποιότητας.

6.3. Δικαίωμα αντίρρησης

Το υποκείμενο των δεδομένων έχει δικαίωμα να προβάλλει αντιρρήσεις για την επεξεργασία της εικόνας του από το σύστημα βιντεοεπιτήρησης και να απαιτήσει τη διαγραφή ή τη δέσμευση (κλείδωμα) των δεδομένων. Η άσκηση δικαιώματος εναντίωσης ή διαγραφής δεν συνεπάγεται την άμεση διαγραφή δεδομένων ή την τροποποίηση της επεξεργασίας.

Αν η αρμόδια, για τη διαχείριση του συστήματος βιντεοεπιτήρησης, Υπηρεσία διαπιστώσει ότι το αίτημα του υποκειμένου για διαγραφή ή δέσμευση των δεδομένων είναι νόμιμο προβαίνει αμέσως στη διαγραφή ή τη δέσμευση των δεδομένων και προσαρμόζει τη λειτουργία του συστήματος εν γένει, ώστε να αποφευχθεί αντίστοιχη παράνομη επεξεργασία στο μέλλον.

7. Δικαίωμα υποβολής καταγγελίας

Σε περίπτωση που τα υποκείμενα θεωρούν ότι θίγεται κατά οιονδήποτε τρόπο η προστασία των προσωπικών δεδομένων τους ή ότι η επεξεργασία των δεδομένων που τα αφορά παραβαίνει τον Κανονισμό (ΕΕ) 2016/679, έχουν δικαίωμα να προσφύγουν και να υποβάλλουν καταγγελία στην αρμόδια εποπτική αρχή.

Αρμόδια εποπτική αρχή για την Ελλάδα είναι η:

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Κηφισίας 1-3, Τ.Κ. 115 23 - Αθήνα

τηλ. 210-64.75.600

https://www.dpa.gr/portal/page?_pageid=33,211532&_dad=portal&_schema=PORTAL

Πριν από αυτό, συνιστάται η επικοινωνία με τον Υπεύθυνο Προστασίας Δεδομένων (DPO):

Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.