Πολιτική Ασφάλειας: Τα ηλεκτρονικά μέσα επιτήρησης και η διαφύλαξη των ατομικών ελευθεριών

Πολύς λόγος γίνεται για την τοποθέτηση και λειτουργία των ηλεκτρονικών συστημάτων επιτήρησης σε σχέση με τις διαφύλαξη των προσωπικών δεδομένων αλλά φυσικά και με την επίτευξη του βασικού τους σκοπού που είναι η ασφάλεια. Για την βέλτιστη ισορροπία μεταξύ των δυο αυτών παραμέτρων απαιτείται η κατάρτιση μιας πολιτικής ασφαλείας.

"Αμφίβολης συνταγματικότητας η διάταξη που επιτρέπει την καταγραφή συγκεντρώσεων."
Στέφανος Ματθίας , Επίτ. Πρόεδρος του Αρείου Πάγου
(ΑΝΑΔΗΜΟΣΙΕΥΣΗ ΑΠΟ ΤΟ ΒΗΜΑ ΙΔΕΩΝ – ΤΕΥΧΟΣ 10 – ΦΕΒΡΟΥΑΡΙΟΣ 2008, ΑΦΙΕΡΩΜΑ: ΙΔΙΩΤΙΚΟΤΗΤΑ – ΤΑ ΌΡΙΑ ΜΕΤΑΞΥ ΕΛΕΥΘΕΡΙΑΣ ΚΑΙ ΑΣΦΑΛΕΙΑΣ, ΔΗΜΟΣΙΟΥ ΚΑΙ ΙΔΙΩΤΙΚΟΥ)
Στις 12.8.2005 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με απόφασή της απέρριψε το αίτημα της Ελληνικής Αστυνομίας με το οποίο ζητούσε άδεια για την εγκατάσταση και λειτουργία συστήματος ηλεκτρονικής παρακολούθησης, το οποίο να καλύπτει εκτός από τη ρύθμιση της κυκλοφορίας και κάθε άλλη δραστηριότητα σε δημόσιους χώρους. Με την ίδια απόφαση η Αρχή ρητά απαγόρευσε «τη λειτουργία των καμερών… κατά τη διάρκεια εκδηλώσεων, διαδηλώσεων κτλ.». Η Αστυνομία, αντιδρώντας, ζήτησε:
1) από τον Υπουργό Δημόσιας Τάξης να προσβάλει την απόφαση της Αρχής στο Συμβούλιο της Επικρατείας και
2) από τον Εισαγγελέα του Αρείου Πάγου να γνωμοδοτήσει για το αν η χρήση των καμερών κατά τη διάρκεια διαδηλώσεων, πορειών κτλ. είναι επιτρεπτή για την καταγραφή ενδεχόμενης εγκληματικής δράσης.

Η γνωμοδότηση του εισαγγελέα του Αρείου Πάγου
Ο εισαγγελέας του Αρείου Πάγου γνωμοδότησε με έγγραφό του, ότι η χρήση καμερών κατά τη διάρκεια συγκεντρώσεων και πορειών επιτρέπεται για «τη βεβαίωση των τελουμένων αυτοφώρων εγκλημάτων και τον εντοπισμό των δραστών» (γνωμ. 14/07). Έτσι, στις 17.11.2007 η Αστυνομία παρακολούθησε με κάμερες τις συγκεντρώσεις και την πορεία για την επέτειο της εξέγερσης του Πολυτεχνείου. Μετά διήμερο, ο πρόεδρος, ο αναπληρωτής πρόεδρος και πέντε μέλη της Αρχής παραιτήθηκαν σε ένδειξη διαμαρτυρίας, ενώ αντιδράσεις υπήρξαν και σε ευρωπαϊκό επίπεδο. Η Σύνοδος των προέδρων των Αρχών Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης, με βάση το άρθρο 29 της Οδηγίας 95/46/ΕΚ, διατύπωσε τη «βαθύτατη ανησυχία της για τις εξελίξεις» και ζήτησε «να αποκατασταθεί αμέσως η Ανεξάρτητη Αρχή Προστασίας Δεδομένων στην Ελλάδα».

Το Νομικό Πλαίσιο
Το άρθρο 9 Α του Συντάγματος, αφενός καθιερώνει ως ατομικό δικαίωμα την «προστασία από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών δεδομένων» και αφετέρου αναθέτει κατ΄ αποκλειστικότητα στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα τη διασφάλιση και την προστασία του δικαιώματος αυτού.
Με την αναθεώρηση του 2001, το Σύνταγμά μας καθιέρωσε πέντε Ανεξάρτητες Αρχές, που δεν ανήκουν στην κυβέρνηση ούτε εντάσσονται σε υπουργείο. Τα μέλη τους διορίζονται με απόφαση της Διάσκεψης των Προέδρων της Βουλής και απολαμβάνουν «προσωπική και λειτουργική ανεξαρτησία», όπως οι δικαστικοί λειτουργοί. Η Βουλή και μόνο αυτή, δικαιούται να ασκεί επί των Αρχών κοινοβουλευτικό, αποκλειστικά, έλεγχο (άρθρο 101 Α Συντάγματος).
Στις ως άνω Αρχές περιλαμβάνονται ο Συνήγορος του Πολίτη, το Εθνικό Συμβούλιο Ραδιοτηλεόρασης, το ΑΣΕΠ, η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Τα Προσωπικά δεδομένα & ευαίσθητα δεδομένα
Προσωπικά δεδομένα (ή δεδομένα Προσωπικού Χαρακτήρα) είναι κάθε πληροφορία που αναφέρεται αποκλειστικά στο κάθε άτομο και αφορά μοναδικά σε αυτό, όπως: το όνομα και το επάγγελμά του, η οικογενειακή του κατάσταση, η ηλικία του, ο τόπος κατοικίας, η φυλετική του προέλευση, τα πολιτικά του φρονήματα, η θρησκεία που πιστεύει, οι φιλοσοφικές του απόψεις, η συνδικαλιστική του δράση, η υγεία του, η ερωτική του ζωή και οι τυχόν ποινικές του διώξεις και καταδίκες. Από τα παραπάνω προσωπικά δεδομένα πολλά είναι ευαίσθητα, έχουν δηλαδή ιδιαίτερη βαρύτητα για το σχηματισμό της εικόνας της προσωπικότητάς του ατόμου. Αυτά είναι η φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, οι θρησκευτικές ή φιλοσοφικές πεποιθήσεις, η συμμετοχή σε ένωση, σωματείο και συνδικαλιστική οργάνωση, η υγεία, η κοινωνική πρόνοια και η ερωτική ζωή, καθώς και τα σχετικά με ποινικές διώξεις ή καταδίκες.
Σύμφωνα με τις διατάξεις του ν. 2472/1997(στον οποίο ενσωματώνεται και η ΟΔΗΓΙΑ 2006/24/ΕΚ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ) και τις κατευθυντήριες οδηγίες που εκδίδονται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η εγκατάσταση και λειτουργία συστημάτων επιτήρησης με λήψη ή καταγραφή ήχου ή εικόνας από δημόσιες αρχές, Ο.Τ.Α. και φυσικά ή νομικά πρόσωπα, στους χώρους που διαχειρίζονται, επιτρέπεται μόνο για το σκοπό της προστασίας προσώπων και αγαθών.
Εκτός βέβαια των συγκεντρώσεων-συναθροίσεων, κάμερες χρησιμοποιούνται και σε πολλά καταστήματα, επιχειρήσεις κ.λπ. Επιτρέπεται λοιπόν ο εργοδότης να εγκαταστήσει κλειστό κύκλωμα βίντεο-παρακολούθησης, με το οποίο θα ελέγχει και τους υπαλλήλους ;
Είναι σαφές ότι ο εργοδότης δεν επιτρέπεται να ελέγχει την προσωπική συμπεριφορά, τις προσωπικές επαφές και την αποδοτικότητα των υπαλλήλων μέσω τέτοιων συστημάτων και θα πρέπει να ενημερώνει εκ των προτέρων τους υπαλλήλους ότι θα εγκαταστήσει τέτοια συστήματα, αφού απαγορεύεται να τους παρακολουθεί μυστικά. Η εγκατάσταση των καμερών στο χώρο εργασίας επιτρέπεται αν δεν υπάρχει λιγότερο παρεμβατικός τρόπος για την πραγματοποίηση του σκοπού που επιδιώκει ο εργοδότης, που είναι όπως προαναφέραμε η προστασία προσώπων και αγαθών (ληστείες, διαρρήξεις, κλοπές κ.λπ.). Επίσης, τα σημεία εγκατάστασης των καμερών και ο τρόπος λήψης πρέπει να είναι τέτοια, ώστε να μη συλλέγονται περισσότερα δεδομένα από όσα είναι απολύτως απαραίτητα για την πραγματοποίηση του προαναφερόμενου σκοπού (π.χ. δεν τοποθετούνται σε αποδυτήρια, τουαλέτες κ.λπ.).
Είναι κάτι παραπάνω από εμφανής η δυσπιστία με την οποία η κοινωνία μας «υποδέχθηκε» την εφαρμογή του μέτρου της λειτουργίας συστημάτων επιτήρησης με λήψη – καταγραφή εικόνας και ήχου. Το γεγονός ότι στην πορεία του χρόνου αξιοποιώντας το υλικό της καταγραφής των συστημάτων αυτών, εξιχνιάστηκαν πολύ σοβαρά εγκλήματα (υπόθεση Σεργιανόπουλου, δολοφονία ημεδαπού στον Αγ. Παντελεήμονα από ομάδα αλλοδαπών), κατέστησε ακόμα πιο σαφή το διαχωρισμό της χρήσης τους, κατά περίπτωση.
Έτσι λοιπόν, η τοποθέτηση και περαιτέρω η λειτουργία τους, συνοδεύεται από την κατάρτιση της πολιτικής ασφάλειας των Ηλεκτρονικών συστημάτων επιτήρησης-εποπτείας, ώστε να πληρούνται οι προϋποθέσεις που θέτει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και αποτελεί αποτελεσματικό μέσο για την προστασία των ίδιων των Συστημάτων Εποπτείας, των χρηστών, καθώς και των δεδομένων που προκύπτουν από τη λειτουργία τους.

Τι είναι η πολιτική ασφάλειας- στόχοι της
Αλλά τι είναι η πολιτική ασφάλειας και γιατί είναι αναγκαία; Με πολύ απλά λόγια, θα μπορούσαμε να την περιγράψουμε ως το σύνολο των διαδικασιών και δεσμεύσεων που πρέπει να τηρηθούν ώστε να εξασφαλισθεί ότι η λειτουργία των Ηλεκτρονικών Συστημάτων Εποπτείας θα εναρμονίζονται πλήρως με τα οριζόμενα στις ισχύουσες διατάξεις.
Η πολιτική ασφάλειας εισάγει ορισμένο πλαίσιο και προϋποθέσεις για τη λειτουργία και χρήση των Ηλεκτρονικών Συστημάτων Εποπτείας, δηλαδή, χαρακτηριστικά ασφαλείας των εγκαταστάσεων-δικτύων, επεξεργασιών, διαδικασιών και συμπεριφοράς του προσωπικού, ποιος, πού, πότε, γιατί και πώς θα χρησιμοποιεί τους πόρους του κάθε ηλεκτρονικού συστήματος εποπτείας, π.χ. εξυπηρετητές, τερματικά, συσκευές, δίκτυα, λειτουργικά συστήματα, εφαρμογές, δεδομένα, προσωπικό, επεξεργασίες, διαδικασίες, κανόνες, συνήθειες.
Αναφέρεται στους κανόνες ασφαλείας που πρέπει να εφαρμοστούν, ώστε να εξασφαλίζεται η λειτουργικότητα των ηλεκτρονικών συστημάτων εποπτείας, η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα του υλικού και των δεδομένων που παράγουν τα ηλεκτρονικά αυτά συστήματα και η απόδοση ευθυνών σε περίπτωση παράβασης των κανόνων αυτών.
Οι ουσιαστικοί στόχοι της πολιτικής ασφάλειας των ηλεκτρονικών συστημάτων εποπτείας υλοποιούνται με τον καθορισμό διαδικασιών και μέτρων, ώστε να εξασφαλίζεται:
α. Η χρησιμοποίηση των ηλεκτρονικών συστημάτων και των δεδομένων που αυτά παράγουν και αποθηκεύουν, αποκλειστικά για τους σκοπούς για τους οποίους προορίζονται σύμφωνα με τις ισχύουσες διατάξεις.
β. Η χρήση και λειτουργία τους από εξειδικευμένο -εκπαιδευμένο προσωπικό.
γ. Η καλή – αξιόπιστη λειτουργία τους και η ακεραιότητα των δεδομένων εικόνας που καταγράφουν, ώστε να καθίστανται πρόσφορα για την απόδειξη γεγονότων που αφορούν ή σχετίζονται με αξιόποινες εν γένει πράξεις που τελούνται στους χώρους-σημεία που εποπτεύουν.
δ. Η διαφύλαξη των δεδομένων που καταγράφουν τα ηλεκτρονικά συστήματα, ιδίως από αλλοίωση, παραποίηση, νόθευση, μεταβολή, καταστροφή, βλάβη, απόκρυψη, παραβίαση του απορρήτου.
ε. Η διαθεσιμότητα των δεδομένων σύμφωνα με τις ισχύουσες διατάξεις.
στ. Η τήρηση και φύλαξη των δεδομένων που καταγράφονται, αποθηκεύονται και αναπαράγονται με οποιονδήποτε τρόπο, από τον υπεύθυνο για τη φύλαξή τους, φορέα.
ζ. Ο αποκλεισμός πρόσβασης στα δεδομένα και στα μέσα αποθήκευσης αυτών, μη δικαιουμένων προσώπων.
η. Η καταστροφή των δεδομένων μετά την πάροδο του προβλεπόμενου χρόνου διατήρησής τους.

Φυσική ασφάλεια
Η φυσική ασφάλεια ανήκει στα βασικά δομικά στοιχεία της Πολιτικής Ασφάλειας και αφορά στην προστασία των εγκαταστάσεων, των υπηρεσιών και του εξοπλισμού πληροφορικής από απειλές προερχόμενες από φυσικά αίτια ή παράνομη πρόσβαση.
Οι εγκαταστάσεις όπου μεταφέρεται και καταγράφεται εικόνα και ήχος, απαιτείται να είναι προστατευμένες από πλημμύρες, πυρκαγιές, περιβαλλοντικούς ρύπους, υπερβολικά υψηλές ή χαμηλές θερμοκρασίες (όχι μεγαλύτερες από 40 και μικρότερες από 5 βαθμούς Κελσίου), υψηλή υγρασία (όχι μεγαλύτερη από 70%), καλά αεριζόμενες – κλιματιζόμενες. Η παροχή ρεύματος απαιτείται να είναι πλήρης (ικανού φορτίου), σταθερής ροής, απαλλαγμένη από συχνές διακοπές και να εξασφαλίζει αδιάλειπτη λειτουργία.
Ο αποκλεισμός τρίτων μη εξουσιοδοτημένων προσώπων στους χώρους λειτουργίας-καταγραφής ηλεκτρονικών συστημάτων εποπτείας, πρέπει να εξασφαλίζεται μέσω της φύλαξης με κατάλληλο προσωπικό που διατίθεται για την ασφάλεια συνολικά της εγκατάστασης όπου αυτά λειτουργούν ή με ηλεκτρονικά μέσα ή με συνδυασμό αυτών (π.χ. access control).
Ειδικότερα, η φυσική ασφάλεια μπορεί να επιτευχθεί ως εξής:
Ασφάλεια κτιριακών εγκαταστάσεων που στεγάζουν τα Κέντρα λήψεως εικόνας-ήχου και παρεμπόδιση μη εξουσιοδοτημένης πρόσβασης ή καταστροφής των εγκαταστάσεων αυτών.
Ορισμός περιμέτρου ασφαλείας. Η φυσική προστασία πρέπει να στηρίζεται στον καθορισμό ζωνών ασφαλείας. Ο ορισμός των ζωνών ασφαλείας πρέπει να καθορίζεται με βάση την αξιολόγηση των αγαθών που στεγάζονται σε κάθε ζώνη, καθώς και προστασία των χώρων που στεγάζουν τα Κέντρα λήψεως εικόνας-ήχου, με μέτρα προστασίας από επιθέσεις- πράξεις βίας. Ασφάλεια εξοπλισμού και μέσων λειτουργίας των ηλεκτρονικών συστημάτων εποπτείας για την αποφυγή απώλειας, καταστροφής ή άλλου είδους μείωσης της ακεραιότητας του εξοπλισμού πληροφορικής, που θα μπορούσε να προκαλέσει διακοπή της ομαλής λειτουργίας του εν λόγω συστήματος. Προστασία εξωτερικών μέσων αποθήκευσης και μεταφοράς δεδομένων, συντήρηση εξοπλισμού, αδιάλειπτη παροχή ηλεκτρικού ρεύματος και έμφαση στην ασφάλεια καλωδιώσεων, ώστε να προστατεύονται από τυχαίες ή κακόβουλες απειλές που μπορεί να προκαλέσουν δυσλειτουργίες, καταστροφή, υποκλοπή κ.λπ.

Η Ασφάλεια του λειτουργικού ηλεκτρονικού συστήματος ανήκει επίσης στα βασικά δομικά στοιχεία της Πολιτικής Ασφάλειας και θα έχουμε την ευκαιρία να αναφερθούμε σε αυτό διεξοδικά στο Β΄μέρος, σε έναν από τους πλέον ευαίσθητους χώρους που καλείται να επιτηρήσει-προστατεύσει η σύγχρονη τεχνολογία μέσω των CCTV, όπως είναι αυτός των αθλητικών εγκαταστάσεων και των εκδηλώσεων που εν γένει πραγματοποιούνται σε αυτές.

Του Δημήτρη Λόγου
Ταξίαρχος ΕΛ.ΑΣ. ε.α.