Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε την Απόφαση 38/2025 και επέβαλε συνολικό πρόστιμο 10.000 ευρώ σε Δήμο, λόγω σημαντικών παραβάσεων της νομοθεσίας περί προσωπικών δεδομένων που συνδέονται με τη λειτουργία συστήματος βιντεοεπιτήρησης στο δημοτικό αμαξοστάσιο. Η υπόθεση ξεκίνησε ύστερα από καταγγελίες εργαζομένων που ισχυρίστηκαν ότι οι κάμερες χρησιμοποιήθηκαν και για έλεγχο προσέλευσης/αποχώρησης και για εποπτεία της εργασιακής συμπεριφοράς.
Κύρια ευρήματα της Αρχής
- Έλλειψη μελέτης και σχεδιασμού: Η εγκατάσταση ξεκίνησε χωρίς σωστό σχεδιασμό (απουσία μελέτης αναγκαιότητας/τοποθέτησης), με μεταγενέστερες τροποποιήσεις — από 5 σε 7 (και τελικά 8 σύμφωνα με την εκτίμηση) κάμερες.
- Λανθασμένη νομική βάση: Ο Δήμος επικαλέστηκε ως νομική βάση το «έννομο συμφέρον», το οποίο η Αρχή έκρινε ακατάλληλο για δημόσια αρχή — ο ορθός λόγος είναι η εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον (άρθρο 6 παρ. 1 εδ. ε΄ ΓΚΠΔ).
- Ελλιπής ενημέρωση εργαζομένων: Η ενημέρωση ~200 εργαζομένων ήταν προφορική/ατεκμηρίωτη με πρόχειρες πινακίδες Α4 — παραβίαση των άρθρων 12 και 13 ΓΚΠΔ και 27 παρ. 7 ν. 4624/2019 (απαιτείται έγγραφη ενημέρωση στο χώρο εργασίας).
- Ανασφαλής διαχείριση πρόσβασης / real-time: Υπήρχε δυνατότητα απομακρυσμένης πρόσβασης (εφαρμογή RXCamView) · δεν καταγράφονταν οι πρόσβασεις και δεν τεκμηριώθηκε ανάγκη για ζωντανή παρακολούθηση· κίνδυνος κατάχρησης για έλεγχο εργαζομένων.
- Ελλιπές αρχείο δραστηριοτήτων: Το αρχείο δραστηριοτήτων (άρθρο 30 ΓΚΠΔ) ήταν ελλιπές και δυσανάγνωστο ως προς τους σκοπούς και τα υπεύθυνα πρόσωπα.
Αποτέλεσμα / κυρώσεις
- Πρόστιμο 7.000€ για παραβάσεις που σχετίζονται με μη εφαρμογή της αρχής της προστασίας από το σχεδιασμό (άρθρο 25), ελαχιστοποίηση δεδομένων και λογοδοσία (άρθρα 5, 25 ΓΚΠΔ).
- Πρόστιμο 3.000€ για παραβάσεις που αφορούν διαφάνεια και ενημέρωση (άρθρα 12, 13 ΓΚΠΔ).
- Επίπληξη για ελλιπές αρχείο δραστηριοτήτων (άρθρο 30 ΓΚΠΔ).
Η απόφαση υπενθυμίζει ότι η χρήση CCTV από δήμους είναι δυνατή μόνο όταν: υπάρχει τεκμηριωμένη ανάγκη και μελέτη αναγκαιότητας/αναλογικότητας, έχει επιλεγεί ο κατάλληλος νομικός λόγος, οι εργαζόμενοι ενημερώνονται έγκαιρα και εγγράφως, και εφαρμόζονται τεχνικά & οργανωτικά μέτρα που περιορίζουν την πρόσβαση και αποτρέπουν καταχρήσεις (π.χ. logging πρόσβασης, περιορισμός real-time monitoring, face-blurring, περιορισμένο χρόνο τήρησης).
