Κάμερες που κατέγραφαν τερματικά POS: 1.5 εκατομμύριο ευρώ πρόστιμο σε θυγατρική διεθνούς ομίλου επίπλων και ειδών σπιτιού

Νόμιμο και σύμφωνο με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων κρίθηκε από το Ομοσπονδιακό Διοικητικό Δικαστήριο της Αυστρίας το διοικητικό πρόστιμο ύψους 1,5 εκατομμυρίου ευρώ που είχε επιβάλει η αυστριακή Αρχή Προστασίας Δεδομένων σε θυγατρική εταιρεία διεθνούς ομίλου λιανικής επίπλων, για παράνομη λειτουργία συστήματος βιντεοεπιτήρησης σε εμπορικό κατάστημα.

Η υπόθεση ξεκίνησε τον Μάρτιο του 2022, όταν η αυστριακή Αρχή Προστασίας Δεδομένων DSB έλαβε ανώνυμη ηλεκτρονική καταγγελία αναφορικά με τη λειτουργία συστήματος βιντεοεπιτήρησης σε νέο κατάστημα μεγάλης αλυσίδας επίπλων στη Βιέννη. Η καταγγελία συνοδευόταν από φωτογραφίες που απεικόνιζαν οθόνες παρακολούθησης συνδεδεμένες με το σύστημα καμερών και από τις οποίες προέκυπτε ότι η επιχείρηση κατέγραφε τόσο τον εσωτερικό χώρο του καταστήματος, ιδίως τις ταμειακές μηχανές αυτοεξυπηρέτησης, όσο και εκτεταμένους εξωτερικούς χώρους. Στους τελευταίους περιλαμβάνονταν πεζοδρόμια, στάσεις μέσων μαζικής μεταφοράς, είσοδοι σε γειτονικές εγκαταστάσεις και τμήματα δημόσιου χώρου με αυξημένη διέλευση πολιτών.

Η Αρχή Προστασίας Δεδομένων κίνησε αυτεπάγγελτο έλεγχο και κάλεσε την επιχείρηση να υποβάλει παρατηρήσεις. Από τη συλλογή των στοιχείων προέκυψε ότι, κατά το χρονικό διάστημα από 25 Μαρτίου έως τουλάχιστον 23 Μαΐου 2022, λειτουργούσε ενιαίο σύστημα βιντεοεπιτήρησης αποτελούμενο από εννέα κάμερες. Τρεις από αυτές κάλυπταν τον εσωτερικό χώρο των ταμείων αυτοεξυπηρέτησης, ενώ έξι κάμερες ήταν τοποθετημένες σε εξωτερικά σημεία γύρω από το κατάστημα, με διαφορετικά πεδία λήψης. Το σύστημα λειτουργούσε συνεχώς, με αποθήκευση των δεδομένων για 72 ώρες σε τοπικούς διακομιστές και δυνατότητα μεγέθυνσης επιμέρους τμημάτων της εικόνας μέσω λειτουργίας zoom.

Στις εξηγήσεις της, η επιχείρηση υποστήριξε ότι η επεξεργασία στηριζόταν στο έννομο συμφέρον της, κατά το άρθρο 6 παρ.1στ’ ΓΚΠΔ, επικαλούμενη την προστασία της περιουσίας της, την ασφάλεια εργαζομένων και πελατών, την πρόληψη και διερεύνηση αξιόποινων πράξεων, καθώς και την ανάγκη τεκμηρίωσης της τήρησης υποχρεώσεων ασφάλειας και συντήρησης παρακείμενων χώρων, που της επιβάλλει η αυστριακή νομοθεσία. Παράλληλα, αναγνώρισε ότι, κατόπιν εσωτερικού ελέγχου, είχε προβεί σε αλλαγές, αφαιρώντας ορισμένες κάμερες, τροποποιώντας τον προσανατολισμό άλλων και εφαρμόζοντας τεχνικά μέτρα απόκρυψης τμημάτων της εικόνας (masking), κυρίως στον χώρο των ταμείων.

Η DSB, αφού έλαβε υπόψη τις μεταγενέστερες αυτές ενέργειες, περάτωσε το αυτεπάγγελτο ελεγκτικό σκέλος ως προς τη μελλοντική λειτουργία του συστήματος, αλλά έκρινε ότι τα ήδη τελεσθέντα περιστατικά συνιστούσαν αυτοτελείς τελεσθείσες παραβάσεις. Με απόφαση που εξέδωσε στις 16 Αυγούστου 2024 κατέληξε στο συμπέρασμα ότι η επεξεργασία δεν πληρούσε τις αρχές της νομιμότητας, της διαφάνειας και της ελαχιστοποίησης των δεδομένων, των άρθρων 5 παρ.1α’ και γ’ ΓΚΠΔ, και ότι δεν υφίστατο έγκυρη νομική βάση κατά το άρθρο 6.

Ιδιαίτερη έμφαση δόθηκε στο γεγονός ότι οι εσωτερικές κάμερες κατέγραφαν την περιοχή των πληκτρολογίων των τερματικών πληρωμής, επιτρέποντας την έμμεση αναγνώριση της εισαγωγής PIN, παρά τις δεσμεύσεις της επιχείρησης στο πλαίσιο του προτύπου Payment Card Industry Data Security Standard. Ως προς τους εξωτερικούς χώρους, η αρχή έκρινε ότι η μόνιμη και αδιάκριτη καταγραφή μεγάλων τμημάτων δημόσιου χώρου υπερέβαινε σαφώς το αναγκαίο μέτρο για την επίτευξη των προβαλλόμενων σκοπών.

Κατά τον καθορισμό της κύρωσης, η Αρχή εφάρμοσε το άρθρο 83 παρ. 3 και 5α ́ ΓΚΠΔ και επέβαλε πρόστιμο ύψους 1,5 εκατομμυρίου ευρώ, καθώς και πρόσθετη χρηματική επιβάρυνση ύψους 150.000 ευρώ για τα έξοδα της διοικητικής διαδικασίας. Στον υπολογισμό αυτόν έλαβε υπόψη τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης και ειδικότερα την υπόθεση Deutsche Wohnen (C-807/21), θεωρώντας ότι για τον προσδιορισμό του ανώτατου ορίου και της αναλογικότητας του προστίμου έπρεπε να ληφθεί υπόψη ο συνολικός παγκόσμιος κύκλος εργασιών της οικονομικής ενότητας στην οποία ανήκε η επιχείρηση, ο οποίος ανερχόταν σε περίπου 27,9 δισεκατομμύρια ευρώ.

Η επιχείρηση προσέφυγε ενώπιον του Ομοσπονδιακού Διοικητικού Δικαστηρίου (Bundesverwaltungsgericht), προβάλλοντας, μεταξύ άλλων, ότι η Αρχή είχε υπερεκτιμήσει την έκταση της παραβίασης, ότι δεν είχε αποδειχθεί επαρκώς η καταγραφή δεδομένων, όπως το PIN, και ότι το πρόστιμο ήταν δυσανάλογο, ιδίως υπό το πρίσμα του τοπικού χαρακτήρα της παράβασης. Το Δικαστήριο προέβη σε εκτενή επανεξέταση τόσο των πραγματικών περιστατικών όσο και της νομικής αξιολόγησης.

Στην απόφασή του, το Δικαστήριο επιβεβαίωσε καταρχάς ότι η λειτουργία του συστήματος συνιστούσε επεξεργασία προσωπικών δεδομένων κατά την έννοια του άρθρου 4 ΓΚΠΔ και ότι η επιχείρηση ενεργούσε ως υπεύθυνος επεξεργασίας. Υπογράμμισε ότι ακόμη και η έμμεση δυνατότητα ταυτοποίησης προσώπων ή συσχέτισης συμπεριφοράς με συγκεκριμένο άτομο αρκεί για τον χαρακτηρισμό των δεδομένων ως προσωπικών. Ως προς τη νομική βάση, συμφώνησε ότι η επιχείρηση μπορούσε κατ’ αρχήν να επικαλεστεί έννομα συμφέροντα, πλην όμως τόνισε ότι αυτά υπόκεινται σε αυστηρό έλεγχο αναγκαιότητας και στάθμισης.

Το Δικαστήριο προχώρησε σε αναλυτική διάκριση ανάμεσα στις επιμέρους κάμερες. Για δύο από τις τρεις εσωτερικές κάμερες έκρινε ότι δεν αποδείχθηκε επαρκώς πως η γωνία λήψης και η ποιότητα της εικόνας επέτρεπαν πράγματι την καταγραφή της εισαγωγής PIN, με αποτέλεσμα να ακυρώσει την απόφαση ως προς αυτές, χωρίς ωστόσο η ακύρωση αυτή να επηρεάσει τον καθορισμό του επιβληθέντος προστίμου. Αντιθέτως, για την τρίτη εσωτερική κάμερα, το Δικαστήριο δέχθηκε ότι, μέσω της παρατήρησης κινήσεων χεριών και δακτύλων, καθίστατο δυνατή η αναγνώριση της διαδικασίας πληκτρολόγησης, γεγονός που αφορούσε εκατοντάδες συναλλαγές. Το στοιχείο αυτό κρίθηκε επαρκές για τη στοιχειοθέτηση παράβασης των άρθρων 5 και 6 ΓΚΠΔ.

Ως προς τις εξωτερικές κάμερες, το Δικαστήριο υιοθέτησε πλήρως τη συλλογιστική της Αρχής. Έκρινε ότι η καταγραφή εκτεταμένων τμημάτων δημόσιου χώρου, με συνεχή λειτουργία και χωρίς επαρκή περιορισμό του πεδίου λήψης, δεν μπορούσε να θεωρηθεί αναγκαία για την προστασία της περιουσίας ή την τεκμηρίωση υποχρεώσεων συντήρησης. Τόνισε ότι οι σκοποί αυτοί μπορούσαν να επιτευχθούν με λιγότερο παρεμβατικά μέσα και ότι η επίκληση ενδεχόμενων μελλοντικών διαφορών ή αξιώσεων δεν αρκεί για να δικαιολογήσει μαζική και προληπτική καταγραφή.

Ιδιαίτερη σημασία απέδωσε το Δικαστήριο στην αρχή της ελαχιστοποίησης των δεδομένων, επισημαίνοντας ότι ακόμη και όταν η βιντεοεπιτήρηση είναι κατ’ αρχήν θεμιτή, ο υπεύθυνος επεξεργασίας οφείλει να περιορίζει αυστηρά το πεδίο, τη διάρκεια και την ένταση της επεξεργασίας. Η μεταγενέστερη λήψη διορθωτικών μέτρων αναγνωρίστηκε ως ελαφρυντικό στοιχείο, δεν κρίθηκε όμως ικανή να αναιρέσει τον παράνομο χαρακτήρα της αρχικής επεξεργασίας.

Στο ζήτημα της κύρωσης, το Δικαστήριο επιβεβαίωσε το σκεπτικό της DSB, ως προς την εφαρμογή του άρθρου 83 παρ.3 ΓΚΠΔ, θεωρώντας ότι οι επιμέρους παραβάσεις συνδέονταν λειτουργικά στο πλαίσιο ενός ενιαίου συστήματος βιντεοεπιτήρησης. Αποδέχθηκε επίσης την προσέγγιση της Αρχής ως προς την έννοια της «επιχείρησης», κρίνοντας ότι ο συνολικός κύκλος εργασιών του ομίλου έπρεπε να ληφθεί υπόψη για την αξιολόγηση της αναλογικότητας και της αποτρεπτικότητας του προστίμου. Υπό το πρίσμα αυτό, έκρινε ότι το τελικώς επιβληθέν πρόστιμο, παρά την εν μέρει ακύρωση επιμέρους διαπιστώσεων, παρέμενε εντός των ορίων της διακριτικής ευχέρειας της Αρχής και ανταποκρινόταν στις απαιτήσεις του άρθρου 83 ΓΚΠΔ.

Με την απόφασή του, το Ομοσπονδιακό Διοικητικό Δικαστήριο επικύρωσε σε μεγάλο βαθμό το πρόστιμο που είχε επιβάλει η αυστριακή Αρχή Προστασίας Δεδομένων, κρίνοντας παράλληλα παραδεκτή την άσκηση αναίρεσης. Κατά συνέπεια, η υπόθεση δεν έχει ακόμη κλείσει οριστικά, καθώς η καταγγελλόμενη εταιρεία έχει ασκήσει αναίρεση ενώπιον του Ανώτατου Διοικητικού Δικαστηρίου της Αυστρίας (Verwaltungsgerichtshof), ενώπιον του οποίου εκκρεμεί πλέον ο περαιτέρω δικαστικός έλεγχος της υπόθεσης.