在GDPR裁罰資料庫裡,如果搜尋”Camera”,截至2022年9月1日,會出現104則裁罰案,其中相當比例是西班牙所簽發的罰鍰。
這些裁罰案在說甚麼呢?我們來講其中一個案例:
2022年8月30日,西班牙主管機關對S公司進行了480歐元的罰鍰,理由是這公司在外面裝了幾支監視器,可是卻沒有公告並通知附近的相關住戶。
在監視器密布的台灣,這個問題就顯得很突兀了。你會問,為什麼要通知呢?
‧當地法令有相關規定
除了GDPR外,西班牙還有另外一個子法來保護數位資料,這個法令叫做The Organic Law 3/2018 of December 5 on Protection of Personal Data and Guarantee of Digital Rights (Spanish: Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, “LOPDGDD”)。在這個法令裡面,直接規定監視器的資料應該要如何蒐集、處理、利用及保存。
在LOPDGDD第22條裡面是這樣寫的(以下節錄並非完整翻譯僅供參考):
- 無論是公家機關或私人機構,在保護人身、財產及設施安全的前提下,可以使用監視器或攝影機進行資料處理。
- 公有道路的影像只能在前項所述目的所必需的範圍內拍攝。
但是,為保證相關資產的安全,在必要時可以擴張拍攝範圍,但是在任何情況下都不能涉及私人住宅影像。- 這些相關影像只能保留1個月,除非已證明影像內容有人員、貨物或設施遭到侵害的行為。若是這樣,該影像必須在錄下來的72小時內提供給主管機關。
(下略)
‧監視器畫面原來也是個人資料?
在上述的法令規範裡面,明明就是說我可以裝監視器,也可以暫時保存這些影像,並沒有講到我必須要公告並通知相關住戶啊?
裁罰書裡給出了原因:
‧違反了,會怎樣?
在GDPR的架構下,罰鍰的決定在各國的個人資料主管機關。在西班牙,主要的主管機關是Agencia Española de Protección de Datos (AEPD)。在這個案件裡,AEPD說:根據當地法令,由於S公司違反了兩項GDPR(5.1(C)最小蒐集原則&12.1告知義務),每項要罰400歐元,兩項共800歐元。有趣的事情是,如果直接「認罪」,罰鍰可以減少20%;如果在繳款期限內繳款,罰鍰可以再減少20%。因此,如果直接全額付款,實際罰鍰金額將是€(400+400)(100%-20%-20%)=€480。這跟我們印象中的GDPR鉅額罰鍰是不是差很遠呢?
‧不教而殺謂之虐!!我要怎麼遵守相關的規範?
其實,西班牙針對使用監視器有提出相關宣導文件及指引。《la Guía sobre el uso de videocámaras para seguridad y otras finalidades(出於安全或其他目的使用監視器指南)》其實解析了LOPDGDD第22條的規定,也提供了友善的服務。這就是為什麼,APED會非常堅決的開出一張又一張有關監視器的罰單,讓一般使用者知道:保護他人的隱私還是非常重要的事情!