在GDPR裁罰資料庫裡，如果搜尋”Camera”，截至2022年9月1日，會出現104則裁罰案，其中相當比例是西班牙所簽發的罰鍰。

這些裁罰案在說甚麼呢？我們來講其中一個案例：
2022年8月30日，西班牙主管機關對S公司進行了480歐元的罰鍰，理由是這公司在外面裝了幾支監視器，可是卻沒有公告並通知附近的相關住戶。

在監視器密布的台灣，這個問題就顯得很突兀了。你會問，為什麼要通知呢？

‧當地法令有相關規定
除了GDPR外，西班牙還有另外一個子法來保護數位資料，這個法令叫做The Organic Law 3/2018 of December 5 on Protection of Personal Data and Guarantee of Digital Rights (Spanish: Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, “LOPDGDD”)。在這個法令裡面，直接規定監視器的資料應該要如何蒐集、處理、利用及保存。
在LOPDGDD第22條裡面是這樣寫的(以下節錄並非完整翻譯僅供參考)：

1. 無論是公家機關或私人機構，在保護人身、財產及設施安全的前提下，可以使用監視器或攝影機進行資料處理。
2. 公有道路的影像只能在前項所述目的所必需的範圍內拍攝。
   但是，為保證相關資產的安全，在必要時可以擴張拍攝範圍，但是在任何情況下都不能涉及私人住宅影像。
3. 這些相關影像只能保留1個月，除非已證明影像內容有人員、貨物或設施遭到侵害的行為。若是這樣，該影像必須在錄下來的72小時內提供給主管機關。
   (下略)

‧監視器畫面原來也是個人資料？
在上述的法令規範裡面，明明就是說我可以裝監視器，也可以暫時保存這些影像，並沒有講到我必須要公告並通知相關住戶啊？
裁罰書裡給出了原因：

1. GDPR第4條規定，直接或間接可以識別個人的資料，就是個人資料。
   監視器影像能夠拍到個人，包含長相跟正在進行的行為，當然是個人資料喔！
   你的照片、你的跳舞影片、你跟家人朋友一起聚餐的合照，也許常常被你放在社群網站上讓大家閱覽；但與此同時，這些照片及影片是不是能夠讓一般人辨認出是你本人呢？
   在社群網站上你的照片跟影片是公開的，所以很容易被轉載，那是你自己或者是經過你的朋友非正式同意而做的決定。但是，監視器裡的影像未必是經過你同意就錄下來，有沒有想過，如果你不同意，你能做甚麼來保護自己？
2. 裁罰書裡並沒有提供相關的照片，但是根據裁罰書所述，檢舉人提供的照片顯示，監視器拍到的範圍及內容已經超過合理目的必要範圍。
   合理目的必要範圍雖然是個相對抽象的概念，不過在LOPDGDD第22條以及GDPR第5.1(c)條有說，要儘可能限制越少越好、不能涉及私人住宅。本案當事人設置了2-3隻監視器，大範圍的保留附近的街景，很容易就違反前面所說的「越少越好、不能涉及私人住宅」。
3. 根據GDPR第12.1條規定，擁有資料的人(Data Controller)應該要踐行告知義務(有點像你進到各大網站註冊會員的時候會收到的個人資料告知義務—通常你只能按「我同意」的其中一份文件)。
   因此，既然被定義為個人資料，那麼個人資料的蒐集、處理跟利用，也要照法令規定公告並通知。在這裡的通知當然不是對每個經過監視器的人，而是讓這些人可以很輕易的看到，並且知道是誰設的監視器，要找誰去抗議等等。

‧違反了，會怎樣？
在GDPR的架構下，罰鍰的決定在各國的個人資料主管機關。在西班牙，主要的主管機關是Agencia Española de Protección de Datos (AEPD)。在這個案件裡，AEPD說：根據當地法令，由於S公司違反了兩項GDPR(5.1(C)最小蒐集原則&12.1告知義務)，每項要罰400歐元，兩項共800歐元。有趣的事情是，如果直接「認罪」，罰鍰可以減少20%；如果在繳款期限內繳款，罰鍰可以再減少20%。因此，如果直接全額付款，實際罰鍰金額將是€(400+400)(100%-20%-20%)=€480。這跟我們印象中的GDPR鉅額罰鍰是不是差很遠呢？

‧不教而殺謂之虐!!我要怎麼遵守相關的規範？
其實，西班牙針對使用監視器有提出相關宣導文件及指引。《la Guía sobre el uso de videocámaras para seguridad y otras finalidades(出於安全或其他目的使用監視器指南)》其實解析了LOPDGDD第22條的規定，也提供了友善的服務。這就是為什麼，APED會非常堅決的開出一張又一張有關監視器的罰單，讓一般使用者知道：保護他人的隱私還是非常重要的事情！