Π.Δ. 75/10-9-2020 / Χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους. / ΦΕΚ 173Α

Δευτέρα 14 Σεπτεμβρίου 2020

Π.Δ. 75/10-9-2020 / Χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους. / ΦΕΚ 173Α

Π.Δ. 75/10-9-2020 / Χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους. / ΦΕΚ 173Α

Η ΠΡΟΕΔΡΟΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ

Έχοντας υπόψη:

1. Τις διατάξεις της παρ. 4 του άρθρου 14 του ν. 3917/2011 «Διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών ή δημόσιων δικτύων επικοινωνιών, χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους και συναφείς διατάξεις» (Α 22).

2. Τις διατάξεις του Κανονισμού (ΕΕ) υπ' αρ. 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (OJ L 119/4.5.2016).

3. Τις διατάξεις του ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) υπ' αρ. 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις» (Α 137).

4. Τις διατάξεις του ν. 4703/2020 «Δημόσιες υπαίθριες συναθροίσεις και άλλες διατάξεις» (Α 131).

5. Τις διατάξεις της υπ' αρ. 80/18.7.2019 απόφασης του Πρωθυπουργού «Ανάθεση αρμοδιοτήτων στον Υφυπουργό Προστασίας του Πολίτη, Ελευθέριο Οικονόμου.» (Β' 3058).

6. Την υπό στοιχεία 8000/1/2020/37-δ' από 15.7.2020 Εισήγηση του Προϊσταμένου της Γενικής Διεύθυνσης Οικονομικών Υπηρεσιών και Επιτελικού Σχεδιασμού του Υπουργείου Προστασίας του Πολίτη από την οποία προκύπτει ότι δεν προκαλείται πρόσθετη οικονομική επιβάρυνση σε βάρος των πιστώσεων του Προϋπολογισμού Εξόδων (Π/Υ) των Ειδικών Φορέων του Υπουργείου Προστασίας του Πολίτη.

7. Την υπ' αρ. 3/2020 Γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

8. Την υπ' αρ. 145/2020 Γνωμοδότηση του Συμβουλίου της Επικρατείας, ύστερα από πρόταση των Υπουργών Προστασίας του Πολίτη, Δικαιοσύνης και Ναυτιλίας και Νησιωτικής Πολιτικής και του Υφυπουργού Προστασίας του Πολίτη,

αποφασίζουμε:

1.- Πεδίο εφαρμογής.

Με το παρόν διάταγμα θεσπίζονται οι ειδικότεροι κανόνες για την εγκατάσταση και λειτουργία, σε δημόσιους χώρους, συστημάτων λήψης ή καταγραφής ήχου ή εικόνας (εφεξής συστήματα επιτήρησης), στο μέτρο που διενεργείται επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά τρόπο ώστε να επιτυγχάνονται αποτελεσματικά οι σκοποί που προβλέπονται στο άρθρο 14 του ν. 3917/2011 (Α' 22), με ταυτόχρονη διασφάλιση των δικαιωμάτων των προσώπων που θίγονται από τη χρήση των συστημάτων αυτών.

2.- Συστήματα επιτήρησης.

Οι διατάξεις του παρόντος διατάγματος εφαρμόζονται στα συστήματα επιτήρησης, ανεξαρτήτως των τεχνικών τους προδιαγραφών, εάν δηλαδή χρησιμοποιούν αναλογική ή ψηφιακή τεχνολογία, εάν διαθέτουν κάμερες σταθερές, περιστρεφόμενες ή κινητές, προσαρμοσμένες σε σταθερές βάσεις ή φορητές μεταφερόμενες από οχήματα κάθε είδους (εδάφους, θαλάσσης ή αέρος, επανδρωμένα ή μη) ή από φυσικά πρόσωπα, ή εάν χρησιμοποιείται οποιαδήποτε άλλη ηλεκτρονική συσκευή ή ηλεκτρονικά συστήματα, όπως επίσης και ανεξαρτήτως του είδους της εικονοληψίας (συνεχούς ή ασυνεχούς). Στα συστήματα αυτά ανήκουν ιδίως τα κλειστά κυκλώματα τηλεόρασης, με πρόσθετο εξοπλισμό για τη μετάδοση, αποθήκευση και κάθε είδους περαιτέρω επεξεργασία της εικόνας και του ήχου.

3.- Σκοποί επεξεργασίας.

Η εγκατάσταση και λειτουργία συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας, σε δημόσιους χώρους, επιτρέπεται, σύμφωνα με την παρ. 1 του άρθρου 14 ν. 3917/2011, για τους εξής σκοπούς :

α) Την αποτροπή και καταστολή των αξιόποινων πράξεων που προβλέπονται στις περ. β' έως δ' της παρ. 1 του άρθρου 14 του ν. 3917/2011. Στα εγκλήματα αυτά ανήκουν ιδίως τα αδικήματα που προβλέπονται στα κεφάλαια έκτο, δέκατο τρίτο, δέκατο τέταρτο, δέκατο πέμπτο, δέκατο έκτο, δέκατο όγδοο, δέκατο ένατο και εικοστό τρίτο του Ειδικού Μέρους του Ποινικού Κώδικα και τα κακουργήματα της νομοθεσίας περί εξαρτησιογόνων ουσιών. Αντικείμενο της καταστολής συνιστά και η απόδειξη τέλεσης αξιόποινων πράξεων και ταυτοποίησης του δράστη.

β) Τη διαχείριση της κυκλοφορίας που περιλαμβάνει την αντιμετώπιση εκτάκτων καταστάσεων στο οδικό δίκτυο, τη ρύθμιση της κυκλοφορίας οχημάτων, καθώς και την πρόληψη και διαχείριση τροχαίων ατυχημάτων.

4.- Υπεύθυνοι επεξεργασίας.

1. Οι δημόσιες αρχές που είναι αρμόδιες για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη των εγκλημάτων ή την εκτέλεση των ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, εν προκειμένω η Ελληνική Αστυνομία, το Πυροσβεστικό Σώμα και το Λιμενικό Σώμα - Ελληνική Ακτοφυλακή, είναι υπεύθυνοι επεξεργασίας κατά τα οριζόμενα στο άρθρο 43 του ν. 4624/2019 (Α' 137).

2. Για τη ρύθμιση της κυκλοφορίας των οχημάτων, την πρόληψη και διαχείριση τροχαίων ατυχημάτων και την αντιμετώπιση εκτάκτων καταστάσεων στο οδικό δίκτυο, ως υπεύθυνος επεξεργασίας ορίζεται η/οι δημόσια αρχή/δημόσιες αρχές, που εγκαθιστά/ούν το σύστημα επιτήρησης, δηλαδή η Ελληνική Αστυνομία.

3. Σε περίπτωση που και έτερη δημόσια αρχή χρησιμοποιεί ή χρειάζεται να χρησιμοποιήσει το σύστημα επιτήρησης, καθίσταται από κοινού υπεύθυνος επεξεργασίας και εφαρμόζονται σχετικά οι διατάξεις των άρθρων 26 του ΓΚΠΔ και 61 του ν. 4624/2019.

5.- Προϋποθέσεις και κριτήρια εγκατάστασης και λειτουργίας συστημάτων επιτήρησης.

1. Η εγκατάσταση και λειτουργία συστημάτων επιτήρησης σε δημόσιους χώρους επιτρέπεται μόνο στο μέτρο που είναι απαραίτητο και όταν οι επιδιωκόμενοι κατά το άρθρο 3 του παρόντος διατάγματος σκοποί, της πρόληψης ή καταστολής της εγκληματικότητας και της διαχείρισης της κυκλοφορίας δεν μπορούν να επιτευχθούν εξίσου αποτελεσματικά με άλλα ηπιότερα μέτρα. Με την απόφαση που εκδίδεται κατά την παρ. 1 του άρθρου 12 του παρόντος για την εγκατάσταση των συστημάτων επιτήρησης αιτιολογείται ειδικώς η συνδρομή των νομίμων προϋποθέσεων που δικαιολογούν την επιτήρηση συγκεκριμένου χώρου. Ειδικώς για την εγκατάσταση και λειτουργία συστημάτων επιτήρησης για την πρόληψη ή καταστολή των εγκλημάτων απαιτείται να συντρέχουν επαρκείς ενδείξεις ότι τελούνται ή πρόκειται να τελεσθούν στον συγκεκριμένο χώρο ποινικά αδικήματα από τα αναφερόμενα στο άρθρο 3 του παρόντος. Η συνδρομή επαρκών ενδείξεων αιτιολογείται με την αναφορά πραγματικών στοιχείων όπως, ιδίως, στατιστικών ή εμπειρικών δεδομένων, μελετών, εκθέσεων, μαρτυριών, πληροφοριών για τη συχνότητα, το είδος και τα ιδιαίτερα χαρακτηριστικά των εγκλημάτων που τελούνται σε συγκεκριμένο χώρο, καθώς και για την, βάσει των ανωτέρω στοιχείων, πιθανολογούμενη εξάπλωση ή μεταφορά της εγκληματικότητας σε άλλο δημόσιο χώρο. Η επιτήρηση κρίνεται απαραίτητη όταν, κατ' εκτίμηση των ανωτέρω πραγματικών στοιχείων, σχηματίζεται η εύλογη πεποίθηση ότι στους συγκεκριμένους δημόσιους χώρους απειλούνται σοβαροί κίνδυνοι για τη δημόσια ασφάλεια.

2. Η εγκατάσταση και λειτουργία συστημάτων επιτήρησης περιορίζεται στον συγκεκριμένο χώρο, για τον οποίο κρίνεται από τον υπεύθυνο επεξεργασίας απαραίτητη η επιτήρηση και δεν μπορεί να επεκτείνεται σε ευρύτερη περιοχή. Ο υπεύθυνος επεξεργασίας εξασφαλίζει, με τη χρήση κατάλληλων τεχνικών μέσων, ότι τα συστήματα επιτηρούν τον προκαθορισμένο χώρο και δεν λαμβάνουν εικόνα από μη δημόσιους χώρους ή από εσωτερικό κατοικιών. Οι λεπτομέρειες ως προς τη θέση εγκατάστασης των καμερών και τα χαρακτηριστικά του συστήματος επιτήρησης προβλέπονται στην απόφαση που εκδίδεται σύμφωνα με την παρ. 1 του άρθρου 12. Με την απόφαση που εκδίδεται κατά την παρ. 2 του άρθρου 12 καθορίζονται ο χρόνος ενεργοποίησης του συστήματος επιτήρησης, η εμβέλειά του και η διάρκεια λειτουργίας του, κατά τρόπο ώστε να διασφαλίζεται η τήρηση της προϋποθέσεως του πρώτου εδαφίου της παρ. 1 του παρόντος άρθρου.

3. Η λειτουργία φορητών συστημάτων επιτήρησης επιτρέπεται σε περιπτώσεις που υπάρχει άμεσος σοβαρός κίνδυνος τέλεσης των αναφερομένων στο άρθρο 3 αξιόποινων πράξεων, κατόπιν σχετικής απόφασης του υπεύθυνου επεξεργασίας που εκδίδεται κατά τα προβλεπόμενα στην παρ. 2 του άρθρου 12 του παρόντος. Με την απόφαση αυτή αιτιολογείται ειδικώς η συνδρομή των προϋποθέσεων για τη λειτουργία φορητών συστημάτων επιτήρησης, με την αναφορά συγκεκριμένων πραγματικών στοιχείων.

4. Η εστίαση της εικόνας επιτρέπεται για τη διαπίστωση αξιόποινων πράξεων που εμπίπτουν στο πλαίσιο των επιδιωκόμενων σκοπών. Η διαδικασία εστίασης της εικόνας και επαναφοράς της εκτελείται με αιτιολογημένη απόφαση του υπευθύνου επεξεργασίας, κατόπιν έγκρισης του αρμοδίου εισαγγελέα πρωτοδικών. Σε περίπτωση κατεπείγοντος, η εστίαση είναι δυνατό να εκτελείται κατόπιν αιτιολογημένης απόφασης του υπεύθυνου επεξεργασίας, με υποχρέωση άμεσης ενημέρωσης του αρμόδιου εισαγγελέα, ο οποίος μπορεί να απαγορεύσει τη συνέχιση της διαδικασίας και τη χρήση των συλλεγέντων δεδομένων. Σε κάθε περίπτωση, η συνδρομή των προϋποθέσεων εστίασης της κάμερας, καθώς και επαναφοράς της στην προκαθορισμένη θέση, αποδεικνύονται από τα τηρούμενα κατ' άρθρο 11 αρχεία καταγραφής ενεργειών. Ο αρμόδιος κατά τα ανωτέρω εισαγγελέας δύναται να ζητά, οποτεδήποτε το κρίνει αναγκαίο, επιπλέον στοιχεία, με σκοπό τον έλεγχο της νομιμότητας των ενεργειών. Είναι επιτρεπτή η λήψη εικόνας και κάθε τρίτου προσώπου, εφόσον τούτο είναι αναγκαίο για την επίτευξη του σκοπού επεξεργασίας.

6.- Δημόσιες υπαίθριες συναθροίσεις.

1. Η εγκατάσταση και λειτουργία σταθερών, περιστρεφόμενων ή κινητών συστημάτων επιτήρησης, κατά την έννοια του άρθρου 2 του παρόντος, σε χώρους και κατά τη διάρκεια πραγματοποίησης δημόσιας υπαίθριας συνάθροισης, είναι επιτρεπτή με ειδικώς αιτιολογημένη απόφαση του υπεύθυνου επεξεργασίας, κατόπιν έγκρισης του αρμόδιου εισαγγελέα πρωτοδικών, εφόσον έχει γνωστοποιηθεί στον οργανωτή της συνάθροισης και τους μετέχοντες σε αυτή και μόνο για τους σκοπούς που αναφέρονται στο άρθρο 3. Στην ανωτέρω απόφαση συμπεριλαμβάνονται τόσο τα πραγματικά στοιχεία βάσει των οποίων κρίνεται απαραίτητη η επιτήρηση, όσο και αυτά βάσει των οποίων καθορίζεται ο χρόνος ενεργοποίησης και λειτουργίας των συστημάτων επιτήρησης.

2. Η λήψη εικόνας πλήρους εποπτείας της συνάθροισης για τη διαπίστωση του όγκου και της διαδρομής αυτής, χωρίς δυνατότητα εστίασης σε φυσικά πρόσωπα, είναι επιτρεπτή, αποκλειστικά προς πλήρωση των σκοπών του άρθρου 3 και εφόσον αυτό είναι αναγκαίο για την ομαλή διεξαγωγή της συνάθροισης.

3. Τα δεδομένα που συλλέγονται, στο πλαίσιο εφαρμογής των διατάξεων του παρόντος άρθρου, καταστρέφονται αυτόματα, με μέριμνα του υπεύθυνου επεξεργασίας, εντός σαράντα οκτώ (48) ωρών από τη λήξη της συνάθροισης, εφόσον αυτή εξελίχθηκε και ολοκληρώθηκε ομαλά και δεν αποτυπώνεται κρίσιμο συμβάν που εμπίπτει στον επιδιωκόμενο σκοπό. Σε αντίθετη περίπτωση, εφαρμόζονται αναλόγως οι διατάξεις του άρθρου 8.

7.- Είδος δεδομένων.

1. Κατά τη διαχείριση της κυκλοφορίας, η επεξεργασία δεδομένων εικόνας περιορίζεται στην αναγνώριση των πινακίδων κυκλοφορίας και της κατηγορίας (επιβατικά, φορτηγά, λεωφορεία κ.λπ.) των οχημάτων.

2. Η λήψη και επεξεργασία δεδομένων ήχου, στο μέτρο που σε αυτόν περιλαμβάνονται δεδομένα από τα οποία μπορεί να γίνει αναγνώριση προσώπων, δεν πρέπει να είναι ενεργοποιημένη. Η επεξεργασία δεδομένων ήχου επιτρέπεται κατ' εξαίρεση, κατόπιν ειδικώς αιτιολογημένης απόφασης του υπεύθυνου επεξεργασίας, η οποία εγκρίνεται από τον αρμόδιο εισαγγελέα, με σκοπό τον εντοπισμό και την αναγνώριση προσώπων που εμπλέκονται σε αξιόποινες πράξεις της περ. α του άρθρου 3 και οι οποίες διαλαμβάνονται στην παρ. 1 του άρθρου 4 του ν. 2225/1994 (Α' 121), εφόσον η διερεύνηση των ανωτέρω αξιόποινων πράξεων είναι αδύνατη ή ουσιωδώς δυσχερής χωρίς αυτή. Στην προαναφερόμενη απόφαση γίνεται ειδική μνεία α) της αξιόποινης πράξης, για τη διακρίβωση της οποίας είναι απαραίτητη η επεξεργασία β) των ενδείξεων ως προς την εμπλοκή των ερευνώμενων προσώπων στην τέλεση της πράξεως αυτής, γ) του σκοπού της επεξεργασίας, δ) της αδυναμίας ή ιδιαίτερης δυσχέρειας διακρίβωσης της πράξης με άλλο τρόπο και ε) της απολύτως αναγκαίας χρονικής διάρκειας της επεξεργασίας.

8.- Χρόνος τήρησης και καταστροφή δεδομένων.

1. Τα δεδομένα διατηρούνται κατά μέγιστο για χρονικό διάστημα δεκαπέντε (15) ημερών από τη συλλογή τους, εκτός αν η διατήρηση είναι απαραίτητη για μεγαλύτερο χρονικό διάστημα, με σκοπό τη διερεύνηση αξιόποινων πράξεων. Μετά την πάροδο του ανωτέρω χρονικού διαστήματος, τα δεδομένα καταστρέφονται. Ο υπεύθυνος επεξεργασίας εξασφαλίζει ότι η διαγραφή πραγματοποιείται με αυτόματη μέθοδο και ότι τα καταστρεφόμενα δεδομένα δεν είναι δυνατό να ανακτηθούν. Δεδομένα που αφορούν γεγονότα που εμπίπτουν στον επιδιωκόμενο σκοπό, αποθηκεύονται και διατηρούνται, εφόσον είναι απαραίτητα, για την διερεύνηση αξιόποινων πράξεων του άρθρου 3 του παρόντος διατάγματος. Τα δεδομένα αυτά διαγράφονται μετά την έκδοση αμετάκλητης δικαστικής απόφασης ή την οριστική παύση της δίωξης ή την παρέλευση του χρόνου παραγραφής. Ο υπεύθυνος επεξεργασίας ενημερώνεται σχετικώς από τις αρμόδιες δικαστικές υπηρεσίες, προκειμένου να προβεί στη διαγραφή.

2. Επιτρέπεται, επίσης, η διατήρηση, όταν υπάρχουν δικαιολογημένες υπόνοιες σε βάρος του ατόμου στο οποίο αναφέρονται τα δεδομένα, για την προπαρασκευή ή τη διάπραξη στο μέλλον των αξιόποινων πράξεων της παρ. 1. Οι δικαιολογημένες υπόνοιες προπαρασκευής ή μελλοντικής διάπραξης των ανωτέρω αξιόποινων πράξεων συναρτώνται με μαρτυρίες ή κάθε είδους σχετικές πληροφορίες, εν γένει κινήσεις και επαφές του ατόμου, καθώς και τη φύση, σοβαρότητα και αριθμό των εγκλημάτων, για τα οποία το υποκείμενο των δεδομένων έχει τυχόν κατά το παρελθόν καταδικασθεί ή ασκηθεί σε βάρος του ποινική δίωξη. Για τη διατήρηση των δεδομένων στην περίπτωση αυτή εκδίδεται αιτιολογημένη απόφαση του υπεύθυνου επεξεργασίας, η οποία υπόκειται σε περιοδική επανεκτίμηση ανά διετία.

3. Κατ' εξαίρεση, επιτρέπεται η διατήρηση δεδομένων για εκπαιδευτικούς, αποκλειστικά, σκοπούς. Εντός του αναφερόμενου στην παρ. 1 χρονικού διαστήματος, επιλέγονται τα τμήματα των δεδομένων, τα οποία θα τηρηθούν αποκλειστικά για εκπαιδευτικούς λόγους και τα οποία ανωνυμοποιούνται κατά τρόπο μη αναστρέψιμο, εντός χρονικού διαστήματος δύο (2) μηνών. Οι εκπαιδευτές και οι εκπαιδευόμενοι, καθώς και κάθε τρίτος που κάνει χρήση των διατηρούμενων δεδομένων, για τους λόγους της παρούσας παραγράφου, υπογράφει σχετική δήλωση εχεμύθειας.

9.- Αποδέκτες των δεδομένων.

1. Αποδέκτες των δεδομένων μπορεί να είναι οι αρμόδιες για κάθε σκοπό δικαστικές, εισαγγελικές ή διοικητικές αρχές. Ο υπεύθυνος επεξεργασίας ή οι εκτελούντες την επεξεργασία επιτρέπεται να διαβιβάζουν τα δεδομένα, προς το σκοπό της απόδειξης μιας αξιόποινης πράξης, στο θύμα ή στο φερόμενο ως δράστη της πράξης, κατόπιν υποβολής σχετικού αιτήματος, εφόσον ο αιτών αποδείξει ότι η διαβίβαση είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.

2. Ο υπεύθυνος επεξεργασίας και οι μετέχοντες στη διαδικασία της επεξεργασίας εξασφαλίζουν με κατάλληλα τεχνικά μέσα ότι οι διαβιβαζόμενες εικόνες δεν είναι δυνατό να αλλοιωθούν κατά τρόπο μη αντιληπτό. Το υλικό που κοινοποιείται στους αποδέκτες είναι συναφές, κατάλληλο και απολύτως αναγκαίο για την επίτευξη των επιδιωκόμενων σκοπών. Με μέριμνα του υπεύθυνου επεξεργασίας και των μετεχόντων στη διαδικασία της επεξεργασίας, λαμβάνονται όλα τα αναγκαία μέτρα, ώστε να επιτευχθεί η ασφαλής διαβίβαση των δεδομένων, σύμφωνα με τις διατάξεις της παρ. 2 του άρθρου 46 του ν. 4624/2019. Για κάθε περίπτωση κοινοποίησης των δεδομένων σε έτερη διοικητική αρχή, λαμβάνεται σχετική έγκριση από τον εισαγγελέα, στον οποίο είχε γνωστοποιηθεί η απόφαση εγκατάστασης και λειτουργίας των συστημάτων επιτήρησης.

10.- Δικαιώματα υποκειμένων της επεξεργασίας.

1. Τα θέματα που αφορούν τα δικαιώματα των υποκειμένων ρυθμίζονται από τις ανά περίπτωση εφαρμοστέες διατάξεις του Κανονισμού (ΕΕ) υπ' αρ. 2016/679 και του ν. 4624/2019.

2. Σε κάθε περίπτωση, συμπληρωματικά των υποχρεώσεων που απορρέουν από τις ανωτέρω διατάξεις, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει το κοινό ότι πρόκειται να εισέλθει σε χώρο που εμπίπτει στην εμβέλεια εγκατεστημένων ή φορητών συστημάτων επιτήρησης. Η εν λόγω ενημέρωση μπορεί να γίνεται με κάθε πρόσφορο μέσο, ιδίως με ανάρτηση, σε εμφανές μέρος, ευδιάκριτων πινακίδων, όπου αναγράφεται ο σκοπός και ο υπεύθυνος επεξεργασίας, καθώς και ο σύνδεσμος της ιστοσελίδας στην οποία ο υπεύθυνος επεξεργασίας δημοσιεύει τα απαραίτητα για την ενημέρωση στοιχεία.

3. Το υποκείμενο των δεδομένων, στο πλαίσιο των δικαιωμάτων του που καθορίζονται στις διατάξεις του Κανονισμού (ΕΕ) υπ' αρ. 2016/679 και του ν. 4624/2019, έχει, ιδίως, το δικαίωμα να ζητεί και να λαμβάνει, από τον υπεύθυνο επεξεργασίας ή τους μετέχοντες στη διαδικασία επεξεργασίας, πληροφορίες για τα δεδομένα που το αφορούν και τους τυχόν αποδέκτες της επεξεργασίας, προσδιορίζοντας, με αίτησή του, κατά το δυνατόν, τον χρόνο και τον τόπο καταγραφής των προσωπικών του δεδομένων. Οι εκτελούντες την επεξεργασία οφείλουν να πληροφορήσουν τον αιτούντα χωρίς καθυστέρηση και σε κάθε περίπτωση, εντός τριάντα (30) ημερών από την υποβολή της αιτήσεώς του, αν έχει καταγραφεί η εικόνα του ή η φωνή του και σε καταφατική περίπτωση, εφόσον ζητείται, να χορηγούν αντίγραφο του σχετικού τμήματος της εγγραφής. Εφόσον συμφωνεί και το υποκείμενο των δεδομένων, μπορούν, εναλλακτικά, απλώς να επιδείξουν το ανωτέρω τμήμα. Όταν χορηγείται αντίγραφο, οι εκτελούντες την επεξεργασία οφείλουν να καλύπτουν την εικόνα ή να αφαιρούν το ηχητικό απόσπασμα που αφορά τρίτα πρόσωπα. Οι πληροφορίες που παρέχονται, κάθε επικοινωνία, καθώς και οι αιτήσεις που υποβάλλονται, δεν υπόκεινται σε τέλος. Όταν η αίτηση υποβάλλεται προδήλως αβάσιμα ή καταχρηστικά, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει ένα εύλογο τέλος βάσει των διοικητικών του εξόδων. Οι εκτελούντες την επεξεργασία μπορούν να αρνηθούν να ενεργήσουν βάσει του αιτήματος. Στην περίπτωση αυτή, πρέπει να είναι σε θέση να αποδείξουν τον προδήλως αβάσιμο ή καταχρηστικό χαρακτήρα της αίτησης.

4. Ο υπεύθυνος επεξεργασίας ή οι μετέχοντες στη διαδικασία της επεξεργασίας μπορεί να αρνηθούν την ικανοποίηση δικαιωμάτων μόνο για τους λόγους που αναφέρονται στις ανά περίπτωση εφαρμοστέες διατάξεις του Κανονισμού (ΕΕ) υπ' αρ. 2016/679 και του ν. 4624/2019.

5. Εάν ο υπεύθυνος επεξεργασίας ή οι μετέχοντες στη διαδικασία της επεξεργασίας αρνηθούν να ικανοποιήσουν το αίτημα παροχής πληροφοριών ή δεν απαντήσουν εντός του τριακονθημέρου, ο αιτών μπορεί να προσφύγει από την πάροδο άπρακτης της προθεσμίας απαντήσεως ή από την κοινοποίηση της αρνητικής απόφασης στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με την επιφύλαξη των διατάξεων της παρ. 5 του άρθρου 10 και 59 του ν. 4624/2019.

11.- Οργανωτικά και τεχνικά μέτρα ασφάλειας.

1. Ο υπεύθυνος επεξεργασίας, καθώς και όσοι μετέχουν στη διαδικασία της επεξεργασίας, τόσο κατά τη σχεδίαση και τον καθορισμό των τεχνικών προδιαγραφών του συστήματος όσο και κατά τη λειτουργία του, προβλέπουν διαδικασίες και λαμβάνουν τεχνικά και οργανωτικά μέτρα, ώστε να ελαχιστοποιούνται οι επιπτώσεις στο δικαίωμα προστασίας των προσωπικών δεδομένων. Προς το σκοπό αυτό, λαμβάνουν υπόψη τους τη διαθέσιμη τεχνολογία, το κόστος υλοποίησης, τη φύση, το πεδίο εφαρμογής, τις περιστάσεις και τους σκοπούς της επεξεργασίας, καθώς και την πιθανότητα και σοβαρότητα των κινδύνων επεξεργασίας για τα υποκείμενα των δεδομένων.

2. Ο υπεύθυνος επεξεργασίας καταρτίζει και θέτει σε λειτουργία ολοκληρωμένο σύστημα διαχείρισης ασφάλειας των δεδομένων του συστήματος, λαμβάνοντας υπόψη τα αποδεκτά διεθνή πρότυπα, ώστε να εξασφαλίζονται τα δεδομένα από τυχαία ή παράνομη καταστροφή και απώλεια, καθώς και από κάθε άλλη παράνομη επεξεργασία, όπως είναι ιδίως η μη εξουσιοδοτημένη κοινοποίηση, διάδοση, πρόσβαση ή αλλοίωση, ενώ σε περίπτωση που καταστεί αναγκαίο, να διασφαλίζεται η αποκατάστασή τους. Προς τούτο, καταρτίζει πολιτική ασφάλειας, η οποία περιέχει κατάλληλη διαδικασία για την αναθεώρησή της και, εφόσον συντρέχει περίπτωση, αναφορές σε ειδικότερες διαδικασίες του συστήματος διαχείρισης ασφάλειας. Επιπλέον εξειδικεύει τα μέτρα ασφάλειας και μεριμνά για την αδιάλειπτη τήρηση και περιοδική αξιολόγησή τους.

3. Στα μέτρα ασφάλειας προβλέπονται κατ' ελάχιστο τα ακόλουθα:

α. Διακριτοί ρόλοι χρηστών του συστήματος και αντίστοιχα δικαιώματα πρόσβασης, τουλάχιστον για αα) τη θέαση, ββ) την εξαγωγή δεδομένων, γγ) τη διαγραφή δεδομένων, δδ) την παροχή εξουσιοδότησης για την εξαγωγή δεδομένων, εε) την ανάθεση ρόλων σε κάθε χρήστη, στστ) την τεχνική συντήρηση του συστήματος και ζζ) τον έλεγχο των ενεργειών των χρηστών.

β. Παροχή κατάλληλης εκπαίδευσης στους χρήστες του συστήματος, ανάλογα με τα καθήκοντά τους.

γ. Πρόσβαση στα δεδομένα του συστήματος και στις εγκαταστάσεις επεξεργασίας, στις οποίες συμπεριλαμβάνονται οι αίθουσες ελέγχου του συστήματος, των βάσεων δεδομένων και των καμερών, μόνον σε εξουσιοδοτημένους, κατάλληλα εκπαιδευμένους χρήστες και σύμφωνα με το ρόλο που τους έχει ανατεθεί. Ο υπεύθυνος επεξεργασίας τηρεί επικαιροποιημένο κατάλογο χρηστών με το ρόλο που τους ανατίθεται κάθε φορά.

δ. Πρόσβαση των χρηστών στο λογισμικό του συστήματος βιντεοεπιτήρησης, μόνο με χρήση αντίστοιχου λογαριασμού, ήτοι, τουλάχιστον ζεύγους ονόματος χρήστη και κωδικού πρόσβασης, ο οποίος δημιουργείται αποκλειστικά για κάθε χρήστη. Η δημιουργία των λογαριασμών των χρηστών, η μέθοδος αυθεντικοποίησης των χρηστών, η ιστορικότητα και η χρονική ισχύς τους προβλέπεται σε ειδικότερη διαδικασία του συστήματος διαχείρισης ασφάλειας, σύμφωνα με την παρ.

3. Ο λογαριασμός κάθε χρήστη χρησιμοποιείται αποκλειστικά από αυτόν.

ε. Τήρηση επικαιροποιημένων αρχείων καταγραφής των ενεργειών που εκτελούνται στα δεδομένα του συστήματος βιντεοεπιτήρησης, σύμφωνα με το άρθρο 74 του ν. 4624/2019. Στα αρχεία αυτά καταγράφεται πάντοτε το όνομα χρήστη και ο χρόνος συμβάντος, καθώς και οι ακόλουθες τουλάχιστον ενέργειες: αα) πρόσβαση στα αποθηκευμένα δεδομένα και αιτιολόγηση αυτής, ββ) εξαγωγή δεδομένων, γγ) παράταση χρόνου τήρησης δεδομένων και αιτιολόγηση αυτής, δδ) διαβίβαση δεδομένων με μνεία των αποδεκτών και αιτιολόγηση αυτής, εε) ενεργοποίηση της λειτουργίας της εστίασης και επαναφοράς της εικόνας στην προκαθορισμένη θέση, σύμφωνα με τα οριζόμενα στην παρ. 4 του άρθρου 5.

στ. Δικτυακή πρόσβαση των χρηστών στο σύστημα, η οποία επιτρέπεται μόνον από καταγεγραμμένο αριθμό τερματικών, με τη χρήση έμπιστου δικτύου και ασφαλούς μεθόδου κρυπτογράφησης. Οποιαδήποτε αποστολή δεδομένων με ηλεκτρονικά μέσα πραγματοποιείται, είτε μέσω του ως άνω έμπιστου δικτύου, είτε με κρυπτογράφηση των προς αποστολή δεδομένων. Για την κρυπτογράφηση χρησιμοποιούνται αποδεκτά διεθνή πρότυπα, με ασφαλές μήκος κλειδιού.

ζ. Λήψη ειδικών μέτρων ασφαλείας ως προς τη χρήση φορητών συστημάτων από τον υπεύθυνο επεξεργασίας, τα οποία προσδιορίζονται από τη διενέργεια εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.

12.- Απόφαση εγκατάστασης και λειτουργίας.

1. Η εγκατάσταση συστημάτων επιτήρησης επιτρέπεται ύστερα από απόφαση της αρμόδιας δημόσιας αρχής, που έχει την ιδιότητα του υπεύθυνου επεξεργασίας, κατά τα οριζόμενα στο άρθρο 4. Στην απόφαση αναγράφεται η θέση εγκατάστασης των καμερών, τα χαρακτηριστικά του συστήματος επιτήρησης και αιτιολογείται η συνδρομή των νομίμων προϋποθέσεων που δικαιολογούν την επιτήρηση του συγκεκριμένου χώρου. Η απόφαση εγκατάστασης δεν μπορεί να έχει χρονική ισχύ ανώτερη της τριετίας, υπόκειται σε περιοδική αξιολόγηση και εκδίδεται ύστερα από διενέργεια εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.

2. Η λειτουργία συστημάτων επιτήρησης επιτρέπεται ύστερα από απόφαση της αρμόδιας δημόσιας αρχής, που έχει την ιδιότητα του υπεύθυνου επεξεργασίας. Με την απόφαση, που εκδίδεται κάθε φορά, καθορίζεται ο χρόνος ενεργοποίησης, καθώς και η διάρκεια λειτουργίας, η οποία δύναται να παραταθεί, κατόπιν νέας, ειδικά αιτιολογημένης απόφασης των αναφερομένων στο προηγούμενο εδάφιο. Στην απόφαση λειτουργίας, η οποία τελεί σε συνάρτηση με την εκάστοτε μελέτη εκτίμησης αντικτύπου αναφορικά με την εγκατάσταση ή προμήθεια των συστημάτων επιτήρησης, προσδιορίζονται ακόμη, η εμβέλεια λειτουργίας αυτών και τα ειδικότερα χαρακτηριστικά τους, ενώ παράλληλα αιτιολογείται η σκοπιμότητα χρήσης τους. Μελέτη εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα, διενεργείται τόσο για την προμήθεια, όσο και πριν την αρχική θέση σε λειτουργία των φορητών συστημάτων επιτήρησης. Η μελέτη διενεργείται επίσης για την προμήθεια και εγκατάσταση νέου λογισμικού και εν γένει πρόσθετου εξοπλισμού σε λειτουργούντα συστήματα επιτήρησης, όταν ο νέος αυτός εξοπλισμός συνεπάγεται ουσιώδη διαφοροποίηση των τεχνικών χαρακτηριστικών των συστημάτων και παρέχει τη δυνατότητα εκτέλεσης νέων μορφών επεξεργασίας των δεδομένων. Η απόφαση λειτουργίας των συστημάτων επιτήρησης, κοινοποιείται με κάθε πρόσφορο μέσο και ιδίως με πινακίδες, καθώς και ανάρτηση σε ιστοσελίδα, στην οποία ο υπεύθυνος επεξεργασίας δημοσιεύει τα απαραίτητα για την ενημέρωση στοιχεία.

3. Αντίγραφο των αποφάσεων των παρ. 1 και 2 αποστέλλεται, αμελλητί, στον αρμόδιο εισαγγελέα πρωτοδικών, με μέριμνα του υπεύθυνου επεξεργασίας. Ο αρμόδιος εισαγγελέας μπορεί να ζητήσει επιπλέον στοιχεία, προκειμένου να ελέγξει τη νομιμότητα της εν γένει λειτουργίας των συστημάτων επιτήρησης.

13.- Έννομη προστασία.

Κατά της απόφασης εγκατάστασης και λειτουργίας συστήματος επιτήρησης ασκείται αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας κατά τις ισχύουσες διατάξεις.

14.- Εφαρμογή των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων (Γ.Κ.Π.Δ.) και του ν. 4624/2019.

Τα θέματα που δεν ρυθμίζονται ειδικώς από τις διατάξεις του άρθρου 14 του ν. 3917/2011 και του παρόντος διατάγματος, διέπονται από τις εκάστοτε εφαρμοστέες διατάξεις του Κανονισμού (ΕΕ) υπ' αρ. 2016/679, της Οδηγίας (ΕΕ) υπ' αρ. 2016/680 και του ν. 4624/2019.

15.- Έναρξη ισχύος.

Η ισχύς του παρόντος διατάγματος αρχίζει από την δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.