ΑΠΔΠΧ: Η προστασία των προσωπικών δεδομένων κατά την τηλεργασία στο δημόσιο τομέα (Γνωμ. 1/2022)
Γνωμοδότηση της Αρχής επί προσχεδίου του π.δ/τος που υποβλήθηκε από το Υπουργείο Εσωτερικών
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέτασε προσχέδιο Προεδρικού Διατάγματος που υποβλήθηκε από το Υπουργείο Εσωτερικών κατ’ εξουσιοδότηση της παρ. 1 του άρθρου 19 ν. 4807/2021 σχετικά με την τηλεργασία στον δημόσιο τομέα (Γνωμ. 1/2022).
Η Αρχή υπογράμμισε ότι το υποβληθέν προσχέδιο επαναλαμβάνει ρυθμίσεις του ν. 4807/2021 και του ΓΚΠΔ, χωρίς να εξειδικεύει ειδικότερα ρυθμιζόμενα ζητήματα, εφιστά την προσοχή στον καθορισμό του ρόλου του υπευθύνου επεξεργασίας σε σχέση με την προβλεπόμενη λειτουργία της διαδικτυακής πύλης τηλεργασίας στον δημόσιο τομέα και γνωμοδοτεί επί συγκεκριμένων άρθρων του υποβληθέντος προσχεδίου Π. Δ/τος.
Πιο αναλυτικά, η Αρχή επεσήμανε τα εξής:
(α) Επανάληψη διατυπώσεων νόμου
Το υποβληθέν προσχέδιο Π. Δ/τος επαναλαμβάνει ρυθμίσεις του ν. 4807/2021 και του ΓΚΠΔ 2016/679, χωρίς να εξειδικεύει ειδικότερα τις ρυθμίσεις αυτές (βλ. ιδίως, άρθρα 3 τελευταία παράγραφος, 6, 8, 9 παρ. 3 και 10 προσχεδίου Π. Δ/τος).
(β) Καθορισμός του ρόλου του υπευθύνου επεξεργασίας σε σχέση με την διαδικτυακή πύλη τηλεργασίας στον δημόσιο τομέα
Στον ν. 4807/2021 καθορίζεται ως υπεύθυνος επεξεργασίας ο φορέας του δημοσίου, ο οποίος ενεργοποιεί την τηλεργασία για τους υπαλλήλους του (άρθρο 6 παρ. 1). Ο εκάστοτε φορέας του δημοσίου, όπως περιγράφεται στο νόμο, προσδιορίζει τόσο τον σκοπό επεξεργασίας (δηλ. την παροχή τηλεργασίας από τους υπαλλήλους) όσο και τα μέσα αυτής (πρόσβαση στο δίκτυο, αποκλειστική χρήση επίσημου ηλεκτρονικού ταχυδρομείου, χρήση τερματικής συσκευής και αποθηκευτικών μέσων, καταρχήν απαγόρευση χρήσης συστημάτων λήψης και εγγραφής κινούμενων εικόνων, χρήση πλατφορμών που υποστηρίζουν υπηρεσίες ασφάλειας για την πραγματοποίηση τηλεδιασκέψεων), σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 6 παρ. 1 και 6 παρ. 3 – 9 ν. 4807/2021.
Στο υποβληθέν προσχέδιο Π. Δ/τος προβλέπεται η δημιουργία μιας διαδικτυακής πύλης τηλεργασίας για το δημόσιο τομέα (άρθρο 5). Εισαγωγικά παρατηρείται ότι η δημιουργία της διαδικτυακής πύλης τηλεργασίας δεν φαίνεται να επιβάλλεται από τον νόμο (άρθρο 6 ν.4807/2021), χωρίς πάντως να αποκλείεται η πρόβλεψή της με το προεδρικό διάταγμα που εκδίδεται με βάση την ανωτέρω εξουσιοδότηση. Από την διατύπωση της σχετικής διάταξης του άρθρου 5 του υποβληθέντος προσχεδίου προκύπτει ότι η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (ΓΓΠΣΔΔ) του Υπουργείου Ψηφιακής Διακυβέρνησης διαδραματίζει καθοριστικό ρόλο στον προσδιορισμό του σκοπού και τον καθορισμό των μέσων για την επίτευξή του και ως εκ τούτου αναλαμβάνει ρόλο υπευθύνου επεξεργασίας (από κοινού με κάθε φορέα).
Προκειμένου η δημιουργία της διαδικτυακής πύλης τηλεργασίας στον δημόσιο τομέα κατά το άρθρο 5 του υποβληθέντος προσχεδίου Π. Δ/τος να είναι σύμφωνη με τους κανόνες προστασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις διατάξεις του ΓΚΠΔ και του ν. 4624/2019, ιδίως τους όρους διαφάνειας και νομιμότητας (άρθρο 5 παρ. 1 στοιχ. α΄ ΓΚΠΔ), πρέπει να ρυθμίζεται ειδικώς. Ενδεικτικά, πρέπει κατ’ ελάχιστον να προσδιορίζεται ο ρόλος της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης και να καθορίζονται ειδικά μέτρα αναφορικά με την επεξεργασία των δεδομένων (π.χ. πρόβλεψη για διαχωρισμό των δεδομένων ανά φορέα, μη συσχέτιση με την χρήση ψευδωνύμων).
Ακολούθως, η Αρχή προέβη σε παρατηρήσεις αναφορικά με τις επιμέρους κατ’ άρθρο ρυθμίσεις του Π.Δ/τος.
Ενδεικτικά, παρατηρείται ότι ο προσδιορισμός των ειδικότερων σκοπών, η τεκμηρίωση της νομιμότητας και ο καθορισμός των κατηγοριών δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας δεν δύναται να εξαντλείται στην παραπομπή στην εκτίμηση επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα του άρθρου 35 ΓΚΠΔ, αλλά πρέπει τα περιγραφόμενα στο άρθρο αυτό στοιχεία να εξειδικεύονται στο υποβληθέν προσχέδιο Π. Δ/τος.
Περαιτέρω, όσον αφορά την δυνατότητα εγκατάστασης και λειτουργίας συστήματος για την παρακολούθηση του χρόνου εργασίας, πρέπει να εξειδικεύεται ο επιδιωκόμενος σκοπός, η πλήρωση της αναλογικότητας, καθώς επίσης να καθορίζονται οι λειτουργικές ανάγκες του φορέα που δικαιολογούν την υλοποίηση της δυνατότητας αυτής.
Αναφορικά με την λειτουργία της προβλεπόμενης διαδικτυακής πύλης τηλεργασίας, αυτή προϋποθέτει, κατ’ εφαρμογή ιδίως των αρχών της νομιμότητας και διαφάνειας, καθώς και της ακεραιότητας και εμπιστευτικότητας των άρθρων 5 παρ. 1 στοιχ. α΄ και στ’ του ΓΚΠΔ αντίστοιχα, την πρόβλεψη στο προσχέδιο Π. Δ/τος των λειτουργικών απαιτήσεων και δυνατοτήτων της διαδικτυακής πύλης, ώστε εν συνεχεία να προσδιοριστούν, μετά από την διενέργεια εκτίμησης των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα, τα εφαρμοστέα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας.
Λόγω δε της πρόβλεψης για την λειτουργία διαδικτυακής πύλης τηλεργασίας στην ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης, πρέπει να επανοριοθετηθούν οι υποχρεώσεις έκαστου φορέα, ως υπευθύνου επεξεργασίας, με τις υποχρεώσεις της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης, λόγω του ρόλου που αναλαμβάνει κατά την λειτουργία αυτής.
Ακόμα, στις υποχρεώσεις του φορέα πρέπει να ενσωματωθούν και οι υποχρεώσεις που απορρέουν από την χρήση προσωπικών συσκευών (B.Y.O.D.) των τηλεργαζόμενων, όπως ειδικότερα έχουν εξειδικευτεί στις ΚΓ 1/2021 της Αρχής.
Στο άρθρο 7 του προσχεδίου, προβλέπεται η διατήρηση των δεδομένων των τηλεδιασκέψεων, χωρίς ωστόσο να προσδιορίζεται η κατηγορία των δεδομένων που αποθηκεύονται, ενώ δεν κατονομάζονται οι εξαιρετικοί λόγοι σε συνάρτηση με τους συγκεκριμένους προσδιορισμένους σκοπούς επεξεργασίας για τους οποίους η διατήρηση των δεδομένων παρίσταται αναγκαία. Επιπλέον, προσδιορίζεται ο χρόνος τήρησης των δεδομένων των εξωτερικών στοιχείων της ηλεκτρονικής επικοινωνίας χωρίς να προσδιορίζεται ο σκοπός επεξεργασίας για τον οποίο η τήρηση τους παρίσταται αναγκαία για διάστημα 12 μηνών. Η Αρχή επεσήμανε ότι τα κριτήρια για τον χρόνο διατήρησης ή ακόμη και ο χρόνος διατήρησης των δεδομένων πρέπει να προσδιορίζεται στο Π.Δ/γμα και να μην καταλείπεται στην πολιτική διατήρησης των δεδομένων της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης.
Ομοίως, πρέπει να προσδιοριστούν οι υποχρεώσεις της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης στην εκπλήρωση των δικαιωμάτων των υποκειμένων των δεδομένων, βάσει του ρόλου που αναλαμβάνει.
Τέλος, η Αρχή τόνισε ότι πρέπει να προσδιοριστεί ο λόγος αρμοδιότητας έκαστου φορέα, ως υπευθύνου επεξεργασίας κατ’ άρθρο 6 παρ. 1 ν. 4807/2021 και της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης για την λειτουργία διαδικτυακής πύλης τηλεργασίας κατ’ άρθρο 5 προσχεδίου Π. Δ/τος, αν δηλ. πρόκειται για από κοινού υπευθύνους επεξεργασίας, για την εκπλήρωση των σχετικών υποχρεώσεων του άρθρου 5 παρ. 1 στοιχ. στ΄ ΓΚΠΔ και την απόδοση ευθυνών (λογοδοσία).
Δείτε αναλυτικά την γνωμοδότηση στο dpa.gr.