ΑΡΘΡΟ

Τηλεργασία & Ασφάλεια Προσωπικών Δεδομένων

Αθηνά Μουστάκη, Partner, Financial Services
By:
insight featured image
Contents

Όπως συνεχίζει να διαμορφώνεται μέχρι στιγμής το εργασιακό περιβάλλον, μετά και τις εξελίξεις λόγω της πανδημίας Covid-19, η τηλεργασία φαίνεται πως θα παραμείνει και θα  αποτελέσει σημαντικό παράγοντα του νέου μοντέλου οργάνωσης και λειτουργίας αρκετών επιχειρήσεων του Ιδιωτικού Τομέα προς επίτευξης εξοικονομήσεων αλλά και αύξησης αποτελεσματικότητας. Ωστόσο δεν μένει ανεπηρέαστος ούτε ο Δημόσιος Τομέας, καθώς μεγάλο ποσοστό δημοσίων υπαλλήλων συνεχίζει να εργάζεται εξ αποστάσεως.

Μέσα σε αυτό το πλαίσιο, είναι κρίσιμή η διαφύλαξη της ασφάλειας των προσωπικών δεδομένων και πληροφοριών. Για τον λόγο αυτό η Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ) εξέδωσε στις 4/8/2021 σχετική κατευθυντήρια οδηγία ( 1/2021) με οδηγίες και προτεινόμενα μέτρα προς τους Υπευθύνους Επεξεργασίας Προσωπικών Δεδομένων, τις επιχειρήσεις και τους δημόσιους οργανισμούς.

Κατευθυντήριες Γραμμές 1/2021 ΑΠΔΠΧ

Σχετικά με την εφαρμογή των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της τηλεργασίας

Σε συνέχεια της απόφασης 05/2020 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με την οποία εκδόθηκαν Κατευθυντήριες Γραμμές αναφορικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαχείρισης του Covid-19, των Κατευθυντήριων Γραμμών 2/2020 για τη λήψη μέτρων ασφάλειας στο πλαίσιο της  τηλεργασίας και της Οδηγίας 115/2001 για την προστασία των προσωπικών δεδομένων στο πλαίσιο των εργασιακών σχέσεων, λαμβάνοντας υπόψη την ένταση και την έκταση που έχει λάβει η εξ αποστάσεως παροχή εργασίας, κυρίως λόγω της επιδημίας που οφείλεται στην Covid-19, και τους κινδύνους που ελλοχεύουν μέσω της χρήσης τεχνολογιών πληροφορικής και επικοινωνιών (ΤΠΕ) για τα δικαιώματα των εμπλεκομένων σ’ αυτήν προσώπων και την ασφάλεια των υποδομών και υπηρεσιών που χρησιμοποιούνται, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την απόφαση 32/2021 εξέδωσε Κατευθυντήριες Γραμμές 1/2021 ειδικά για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά την παροχή εργασίας εξ αποστάσεως, ανεξαρτήτως μορφής και είδους απασχόλησης, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα. Στόχος της εν λόγω απόφασης είναι να εξειδικευθούν αφενός οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα των υποκειμένων των δεδομένων και αφετέρου οι υποχρεώσεις των δημοσίων αρχών και ιδιωτικών φορέων, ως υπευθύνων επεξεργασίας, σε συμμόρφωση προς το θεσμικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα.

Γενικές υποχρεώσεις εργοδοτών, ως υπευθύνων επεξεργασίας, στο πλαίσιο της τηλεργασίας

Γενική Συμμόρφωση με νομοθετικό πλαίσιο

Ο υπεύθυνος επεξεργασίας οφείλει:

  • να έχει συμμορφωθεί προς τις απαιτήσεις του ΓΚΠΔ και της οικείας εθνικής νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα προ της επεξεργασίας αυτών, δια της λήψης των απαιτούμενων τεχνικών και οργανωτικών μέτρων
  • να προσαρμόζεται διαρκώς στις νέες συνθήκες που δημιουργούνται κατά την οργάνωση της εργασίας από απόσταση και να αποδεικνύει τη συμμόρφωση του
  • να συμμορφώνεται προς τις αρχές που διέπουν τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα
  • να λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η χρήση κατάλληλων εργαλείων εντοπισμού κακόβουλου λογισμικού, η επαρκής διαχείριση ενημερώσεων λογισμικού στις συσκευές μέσω των οποίων πραγματοποιείται η τηλεργασία, καθώς και η κατάλληλη διαδικασία λήψης αντιγράφων ασφαλείας

Ενημέρωση απασχολούμενου

Ο υπεύθυνος επεξεργασίας αναλαμβάνει την ενημέρωση του απασχολούμενου, με τρόπο διαφανή, όχι μόνο για τους όρους εκτέλεσης, αλλά και για τα οφέλη και τους κινδύνους της τηλεργασίας.

Ανισότητες & Διακρίσεις

Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι η οργάνωση του τρόπου απασχόλησης εξ αποστάσεως από οποιαδήποτε αιτία δεν οδηγεί σε ανισότητες και διακρίσεις (μισθολογικές, ευκαιρίες επαγγελματικής ανέλιξης, συμμετοχή σε προγράμματα επαγγελματικής κατάρτισης) και δεν θίγει εργασιακά, ασφαλιστικά και κοινωνικά δικαιώματα των απασχολούμενων, ούτε οδηγεί σε αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ των απασχολούμενων εξ αποστάσεως κατά παράβαση της διάταξης του άρθρου 22 του ΓΚΠΔ, σε ευθεία προσβολή του δικαιώματος στην προσωπικότητα, σύμφωνα με την Οδηγία 115/2001 της Αρχής.

Αρχή ελαχιστοποίησης & Χρόνος διατήρησης

Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα των απασχολούμενων προσώπων που τυγχάνουν επεξεργασίας περιορίζονται μόνο σε όσα είναι αναγκαία για τον σκοπό επεξεργασίας, με βάση την αρχή της ελαχιστοποίησης, και διατηρούνται για το χρονικό διάστημα που απαιτείται κατά περίπτωση για την επίτευξη αυτού.

ESG - Sustainability Strategy: Πώς οι επιχειρήσεις μπορούν να εξασφαλίσουν μακροπρόθεσμη επιτυχία
Δείτε περισσότερα
ESG - Sustainability Strategy: Πώς οι επιχειρήσεις μπορούν να εξασφαλίσουν μακροπρόθεσμη επιτυχία

 

Συστάσεις ΑΠΔΠΧ προς τους εργοδότες

Τα προτεινόμενα μέτρα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προς τους εργοδότες είναι τα εξής:

  • Επικαιροποίηση αρχείου καταγραφής κατά το άρθρο 30 ΓΚΠΔ
  • Επικαιροποίηση-τροποποίηση συμβάσεων επεξεργασίας δεδομένων με εκτελούντες την επεξεργασία κατά το άρθρο 28 ΓΚΠΔ
  • Επικαιροποίηση των πολιτικών και διαδικασιών για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, αλλά και εξέταση του ενδεχομένου κατάρτισης και εφαρμογής πολιτικής επεξεργασίας προσωπικών δεδομένων για λόγους που συνδέονται με έκτακτες συνθήκες (π.χ. Covid-19) και την αντιμετώπιση σχετικών περιστατικών
  • Διαμόρφωση πολιτικής και διαδικασιών για την τηλεργασία
  • Διαμόρφωση πολιτικής και διαδικασιών για την χρήση ιδιωτικού εξοπλισμού σε επαγγελματικό πλαίσιο (“Bring your own device- B.Y.O.D.”)
  • Διενέργεια, όπου απαιτείται, εκτίμησης αντικτύπου (DPIA). Ειδικά για την καταγραφή των τηλεδιασκέψεων που πραγματοποιούνται στο πλαίσιο των υποχρεώσεων του εργαζομένου όπως προκύπτουν από τη σύμβαση τηλεργασίας ή τον νόμο ο υπεύθυνος επεξεργασίας, πριν από την επεξεργασία, λαμβάνει τα κατάλληλα μέτρα για την προστασία των προσωπικών δεδομένων και όπου απαιτείται, διενεργεί μελέτη αντικτύπου
  • Λήψη συμβουλών από τους Υπευθύνους Προστασίας Δεδομένων
  • Ενημέρωση και εκπαίδευση του προσωπικού σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα κατά την παροχή τηλεργασίας
  • Σε περίπτωση τυχόν επεξεργασίας των εν λόγω δεδομένων των εργαζομένων από τον εργοδότη εκτός της Ε.Ε. (περιλαμβανομένου και του Η.Β. σύντομα) θα πρέπει πλέον να λαμβάνεται υπόψη η απόφαση του ΔΕΕ Schrems II.