logo-print

ΑΠΔΠΧ: Κατευθυντήριες γραμμές σχετικά με την εφαρμογή των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της τηλεργασίας (32/2021)

Απαντήσεις σε συχνές και κρίσιμες ερωτήσεις αναφορικά με επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά την παροχή εργασίας εξ αποστάσεως

Γενικός κανονισμός για την προστασία δεδομένων

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ - ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΚΟΜΝΙΟΣ ΚΟΜΝΗΝΟΣ

Γενικός κανονισμός για την προστασία δεδομένων

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ - ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΚΟΜΝΙΟΣ ΚΟΜΝΗΝΟΣ

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την υπ’ αριθμ. 32/2021 απόφασή της, εξέδωσε κατευθυντήριες γραμμές ειδικά για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά την παροχή εργασίας εξ αποστάσεως (τηλεργασία), ανεξαρτήτως μορφής και είδους απασχόλησης, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα.

Λαμβάνοντας υπόψη την ένταση και την έκταση που έχει λάβει η εξ αποστάσεως παροχή εργασίας, ιδίως λόγω του COVID-19,  και τους κινδύνους που ελλοχεύουν μέσω της χρήσης τεχνολογιών πληροφορικής και επικοινωνιών για τα δικαιώματα των εμπλεκομένων σε αυτήν προσώπων και την ασφάλεια των υποδομών και υπηρεσιών που χρησιμοποιούνται, σκοπός της Αρχής είναι να εξειδικευθούν αφενός οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα των υποκειμένων των δεδομένων, και αφετέρου οι υποχρεώσεις των δημοσίων αρχών και ιδιωτικών φορέων, ως υπευθύνων επεξεργασίας, σε συμμόρφωση προς το θεσμικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα.

Περαιτέρω, δημοσίευσε ερωταπαντήσεις, βάσει της ως άνω απόφασης, με την οποία εκδόθηκαν οι κατευθυντήριες γραμμές σχετικά με την εφαρμογή των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της τηλεργασίας.

Σύμφωνα με την απόφαση της Αρχής, ο υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, προ της ενάρξεως της επεξεργασίας, οφείλει να ενημερώνει τον απασχολούμενο με τρόπο διαφανή για τους όρους εκτέλεσης, τα οφέλη και τους κινδύνους της τηλεργασίας και, επιπλέον, να διασφαλίζει ότι τα δεδομένα που τυγχάνουν επεξεργασίας περιορίζονται μόνο σε όσα είναι αναγκαία για τον σκοπό επεξεργασίας και διατηρούνται για το χρονικό διάστημα που απαιτείται κατά περίπτωση για την επίτευξη αυτού.

Ως προς τις τυχόν καθυστερήσεις στην ανταπόκριση σε αιτήματα που συνιστούν άσκηση δικαιωμάτων από τα υποκείμενα, εν προκειμένω ιδίως από απασχολούμενους, η Αρχή επεσήμανε ότι αφενός από καμία διάταξη του ΓΚΠΔ και της εθνικής νομοθεσίας δεν προβλέπεται η πρόσκαιρη αναστολή των σχετικών προθεσμιών και υποχρεώσεων ικανοποίησης των δικαιωμάτων, αφετέρου ότι συνιστά υποχρέωση του υπευθύνου επεξεργασίας να τεκμηριώνει εσωτερικά τους λόγους καθυστέρησης ή μη ικανοποίησης των ασκηθέντων δικαιωμάτων, συνυπολογίζοντας τόσο την αρχή του δικαίου «ουδείς υποχρεούται στα αδύνατα», όσο και το αντικείμενο και τις συνθήκες άσκησης της δραστηριότητας του υπευθύνου επεξεργασίας που τυχόν επιβαρύνεται από την έκτακτη συνθήκη.

Μεταξύ άλλων, η Αρχή τόνισε πως ο υπεύθυνος επεξεργασίας δικαιούται να ελέγξει εάν πράγματι ο απασχολούμενος παρέχει την συμφωνηθείσα εργασία ως προς την τήρηση χρόνου απασχόλησης (ωραρίου) και της πλήρωσης των όρων αυτής. Στο πλαίσιο αυτό, θα ήταν καταρχήν θεμιτό να ζητείται εκ μέρους του υπευθύνου επεξεργασίας πρόσθετη επιβεβαίωση (αυθεντικοποίηση) από τον χρήστη ΤΠΕ (Η/Υ, λογισμικών επικοινωνίας – ηλεκτρονικής αλληλογραφίας) – απασχολούμενο ότι αυτός πράγματι παρέχει τη συμφωνηθείσα εργασία και να τηρεί τη σχετική πληροφορία.

Ωστόσο, ως προς το ειδικότερο ζήτημα της τυχόν συνεχούς επιτήρησης του εργαζόμενου με την υποχρέωση λειτουργίας της κάμερας του Η/Υ και τη χρήση λογισμικού Τ.Ν. (π.χ. αναγνώρισης προσώπου και κινήσεως) ή την κοινή χρήση της οθόνης ή την εγκατάσταση και λειτουργία λογισμικού καταγραφής πληκτρολόγησης τύπου Keylogger ή ακόμη και την υποχρέωση του εργαζομένου να εκτελεί πολύ τακτικές ενέργειες για να αποδείξει την παρουσία του πίσω από την οθόνη του, κατά την κρίση της Αρχής «μια συστηματική, διαρκής και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ δύσκολα θα μπορούσε να χαρακτηρισθεί ως σύμφωνη με την αρχή της αναλογικότητας».

Ενώ δεν πρέπει να παραβλέπεται ότι στο πλαίσιο του διευθυντικού του δικαιώματος ο εργοδότης έχει την εξουσία να ασκεί τον αναγκαίο και πρόσφορο έλεγχο επί της παρεχόμενης εργασίας, της εκπλήρωσης των συμβατικών υποχρεώσεων, περιλαμβανομένης της υποχρέωσης πίστης του εργαζομένου καθώς και επί των υποχρεώσεων παροχής των αναγκαίων πληροφοριών, μεταξύ άλλων, στο πλαίσιο ελέγχου της προστασίας των οικονομικών πόρων και υποδομών της επιχείρησης, τα μέτρα τα οποία θα υιοθετεί ο εργοδότης προς τη συγκεκριμένη κατεύθυνση θα πρέπει να σέβονται τα θεμελιώδη δικαιώματα των εργαζομένων, σύμφωνα με την αρχή της αναλογικότητας. Για παράδειγμα, δεν δικαιολογείται η παρακολούθηση, μέσω κατάλληλου λογισμικού (π.χ. TLS appliance) κάθε εξερχόμενης από την επιχείρηση διαδικτυακής κίνησης εν όψει των ανωτέρω σκοπών, όταν αυτοί μπορούν να επιτευχθούν με ηπιότερα προληπτικά μέσα.

Επιπλέον, η Αρχή τόνισε πως το δικαίωμα στην ψηφιακή αποσύνδεση μετά το πέρας του χρόνου εργασίας αποτελεί θεμελιώδες δικαίωμα των εργαζομένων, ζωτικής σημασίας και άμεσα συνδεδεμένο τόσο με το θεμελιώδες δικαίωμα της προστασίας της ιδιωτικότητας, των προσωπικών δεδομένων, του δικαιώματος στον ιδιωτικό βίο και του σεβασμού στην ιδιωτική και οικογενειακή ζωή, όσο και με την ισορροπία επαγγελματικής και προσωπικής ζωής, την προστασία της σωματικής, ψυχικής υγείας και ευημερίας των εργαζομένων.

Οι ερωταπαντήσεις, τις οποίες εξέδωσε η Αρχή βάσει της ως άνω απόφασής της, αποσαφηνίζουν πλήθος κρίσιμων ζητημάτων, όπως, ενδεικτικά, οι ακόλουθες:

Είναι υποχρεωτική η παροχή τηλεργασίας;

Η παροχή τηλεργασίας είναι καταρχήν προαιρετική. Προβλέπεται, όμως, κατ’ εξαίρεση, τόσο για τους απασχολούμενους του δημοσίου τομέα όσο και για τους εργαζόμενους του ιδιωτικού τομέα, η υποχρεωτική παροχή τηλεργασίας μετά από πρόταση του φορέα ή του εργοδότη, αντίστοιχα, κυρίως για λόγους προστασίας της δημόσιας υγείας.

Ποια τα βασικά χαρακτηριστικά της τηλεργασίας που μπορεί να θέσουν σε κίνδυνο την προστασία των προσωπικών δεδομένων και την ιδιωτικότητα του εργαζόμενου;

Η τηλεργασία και η «κινητή τεχνολογία» καθιστά δυσδιάκριτα τα όρια μεταξύ σπιτιού και εργασίας. Οι νέες μορφές εργασίας απαιτούν συχνά μεγαλύτερη συμμετοχή και αυτενέργεια των εργαζομένων αλλά συνεπάγονται και μεγαλύτερη διείσδυση στον ιδιωτικό χώρο και χρόνο, αμφισβητώντας εκ των πραγμάτων την προστασία της ιδιωτικότητας, των προσωπικών δεδομένων και του δικαιώματος στον ιδιωτικό βίο και διαμορφώνοντας παράλληλα μια κουλτούρα «διαρκούς παρουσίας και μόνιμης επιφυλακής των εργαζομένων», η οποία έχει αρνητικό αντίκτυπο στην ισορροπία μεταξύ της επαγγελματικής και της προσωπικής τους ζωής.

Τι είναι το δικαίωμα στην αποσύνδεση;

Σύμφωνα με τις αρχές της νομιμότητας και του περιορισμού του σκοπού του άρθρου, ο απασχολούμενος εξ αποστάσεως έχει το δικαίωμα μετά το πέρας του χρόνου κατά τον οποίο έχει υποχρέωση παροχής εργασίας (συμπεριλαμβανομένων των περιόδων που βρίσκονται σε οποιασδήποτε μορφής άδεια), να αποσυνδέεται χωρίς επιπτώσεις σε βάρος του από τα ψηφιακά μέσα (λογισμικά, ψηφιακή πλατφόρμα, κοινωνικά δίκτυα, ασύρματες συνδέσεις, ηλεκτρονικά μηνύματα, internet/intranet) που χρησιμοποιούνται για την οργάνωση της απασχόλησης. Το δικαίωμα στην αποσύνδεση προβλέπεται ρητά στις διατάξεις των άρθρων 18 του ν.4807/2021 και 67 παρ. 10 του ν.4808/2021, για τους απασχολούμενους του δημοσίου και του ιδιωτικού τομέα, αντίστοιχα.

Είναι νόμιμος ο έλεγχος της τήρησης του χρόνου τηλεργασίας από τον εργοδότη;

Για τους απασχολούμενους του δημοσίου τομέα προβλέπεται η δυνατότητα λειτουργίας συστήματος παρακολούθησης του χρόνου εργασίας και ορίζεται ότι οποιοδήποτε είδος συστήματος παρακολούθησης του χρόνου εργασίας πρέπει να επιβάλλεται από τις λειτουργικές ανάγκες του φορέα.( άρθρο 5 στοιχ. δ΄ ν.4807/2021). Ως προς τον ιδιωτικό τομέα, αναμένεται η έκδοση Προεδρικού Διατάγματος σύμφωνα με το άρθρο 67 παρ. 12 ν. 4808/21 με το οποίο θα ρυθμίζονται οι λεπτομέρειες ελέγχου τήρησης του ωραρίου εργασίας και εν γένει της εργατικής νομοθεσίας κατά την τηλεργασία, με διασφάλιση του επιχειρηματικού απορρήτου και των προσωπικών δεδομένων των εργαζομένων. Με βάση τις αρχές προστασίας των προσωπικών δεδομένων κατ’ άρθρο 5 παρ. 1 ΓΚΠΔ θα ήταν καταρχήν θεμιτό εκ μέρους του υπευθύνου επεξεργασίας να ζητά πρόσθετη επιβεβαίωση (αυθεντικοποίηση) από τον χρήστη ΤΠΕ (Η/Υ, λογισμικών επικοινωνίας – ηλεκτρονικής αλληλογραφίας) – απασχολούμενο ότι αυτός πράγματι παρέχει τη συμφωνηθείσα εργασία και να τηρεί τη σχετική πληροφορία.

Ποιες οι γενικές υποχρεώσεις για την ασφάλεια κατά την επεξεργασία προσωπικών δεδομένων μέσω τηλεργασίας;

Ο υπεύθυνος επεξεργασίας έχει διαρκή υποχρέωση λήψης τεχνικών μέτρων ασφάλειας και σχετικής ενημέρωσης των απασχολούμενων, αξιοποιώντας τις υπηρεσίες του Υπευθύνου Προστασίας Δεδομένων της επιχείρησης ή του οργανισμού (άρθρο 39 παρ. 1 στοιχ. α΄ ΓΚΠΔ). Επίσης ευθύνεται για την ασφαλή επεξεργασία των προσωπικών δεδομένων στο πλαίσιο της λειτουργίας της επιχείρησης που λαμβάνει χώρα μέσω των συστημάτων υλικού και λογισμικού της εταιρίας, δικτύων VPN κ.λπ. των οποίων κάνουν χρήση οι εργαζόμενοι, συμπεριλαμβανομένων των αποθηκευμένων σε τερματικές συσκευές, διακομιστές κ.λπ., είτε ανήκουν στην επιχείρηση, είτε στους ίδιους τους υπαλλήλους. Η Αρχή, στις Κατευθυντήριες Γραμμές 2/2020 έχει συστήσει τεχνικά μέτρα που θα πρέπει να περιλαμβάνουν οι διαδικασίες που εφαρμόζει ο υπεύθυνος επεξεργασίας για τη τηλεργασία.

Εξάλλου, οι απασχολούμενοι έχουν υποχρέωση τήρησης απορρήτου- εχεμύθειας – πίστης, κατ΄ εφαρμογή των διατάξεων των άρθρων 371 ΠΚ, 26 του ν. 3528/2007 και 1 του ν. 146/1914, κατά τρόπο που να διασφαλίζεται ότι τρίτοι προς τη σχέση απασχόλησης (π.χ. μέλη οικογένειας) δεν αποκτούν πρόσβαση στα αρχεία του οργανισμού ή της επιχείρησης.

Ποια τα ζητήματα του «B.Y.O.D» για την ιδιωτικότητα του εργαζόμενου και με ποια μέτρα μπορούν να αντιμετωπιστούν από τον εργοδότη;

Ο υπεύθυνος επεξεργασίας οφείλει να διαθέτει εγκεκριμένη από την ανώτατη διοίκηση του φορέα πολιτική και διαδικασία για τη χρήση ιδιωτικού εξοπλισμού προ της ενάρξεως της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Δεν επιτρέπεται καταρχήν η προσπέλαση εκ μέρους του υπεύθυνου επεξεργασίας, οργανισμού ή επιχείρησης, σε τμήματα της προσωπικής συσκευής, τα οποία τεκμαίρεται ότι χρησιμοποιούνται μόνο για ιδιωτικούς σκοπούς. Επιπλέον, πρέπει να εφαρμόζονται κατάλληλα μέτρα με σκοπό τη διάκριση μεταξύ της ιδιωτικής και επαγγελματικής χρήσης της συσκευής, ιδίως όταν μέσω της παρακολούθησης της θέσης και της κυκλοφορίας των συσκευών αυτών είναι δυνατό να συλλεγούν δεδομένα που σχετίζονται με την ιδιωτική και οικογενειακή ζωή του απασχολούμενου. Ακόμα, ο υπεύθυνος επεξεργασίας πρέπει να εφαρμόζει μεθόδους με τις οποίες να διαβιβάζονται με ασφάλεια μεταξύ της συσκευής του απασχολούμενου και του δικτύου του προσωπικά δεδομένα που λαμβάνουν επεξεργασία στο πλαίσιο της υπηρεσιακής ή επιχειρηματικής δραστηριότητας.

Ποια είναι τα συνιστώμενα μέτρα για τη διασφάλιση της εμπιστευτικότητας κατά τη διακίνηση προσωπικών δεδομένων μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου και εκτυπώσεων;

Πρέπει να αποφεύγεται η προώθηση μηνυμάτων ηλεκτρονικού ταχυδρομείου, τόσο από την επιχείρηση ή τον οργανισμό όσο και από τον εξ αποστάσεως απασχολούμενο στην προσωπική ηλεκτρονική διεύθυνση του τελευταίου, ιδίως όταν δεν πραγματοποιείται κρυπτογράφηση του περιεχόμενου του μηνύματος. Ακόμα, η εκτύπωση υπηρεσιακών/εταιρικών εγγράφων στην οικία του απασχολούμενου ή σε τόπο/χώρο άλλο πέραν του χώρου εργασίας πρέπει να πραγματοποιείται κατά τρόπο που να διασφαλίζεται ότι δεδομένα προσωπικά χαρακτήρα δεν μπορούν να διαρρεύσουν σε τρίτα μη δικαιούμενα πρόσωπα.

Υποχρεούται ο εργαζόμενος στο πλαίσιο τηλεδιάσκεψης να έχει ανοικτή την κάμερα ή αρκεί η συμμετοχή μέσω του μικροφώνου;

Κατά την πραγματοποίηση τηλεδιασκέψεων, ο υπεύθυνος επεξεργασίας θα πρέπει κατ’ αρχήν να μην προβαίνει σε χρήση συστημάτων λήψης και εγγραφής κινούμενων εικόνων του τηλεργαζόμενου (κάμερα), ούτε να υποχρεώνει τους τηλεργαζόμενους να ενεργοποιούν την σχετική ρύθμιση, εκτός αν πληρούνται οι προϋποθέσεις του δεύτερου εδαφίου της παρ. 6 του άρθρου 6 του ν. 4807/2021 και έχει προηγουμένως προβεί σε τεκμηρίωση και αξιολόγηση της αναγκαιότητας και προσφορότητας (εκφάνσεις της αρχής της αναλογικότητάς) της εν λόγω επεξεργασίας. Αντίστοιχα, ο απασχολούμενος εξ αποστάσεως, δικαιούται, κατ΄ εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων, να ενεργοποιεί τη δυνατότητα της χρησιμοποιούμενης πλατφόρμας, για συμμετοχή του σ΄ αυτή μόνο μέσω μικροφώνου, και όχι συνεχώς κατά τη διάρκεια πραγματοποίησής της μέσω κάμερας, ιδίως όταν συντρέχουν λόγοι που το επιβάλλουν (π.χ. προστασία της ανηλικότητας). Επιπλέον, ο απασχολούμενος εξ αποστάσεως συστήνεται να επιλέγει δυνατότητες της χρησιμοποιούμενης πλατφόρμας που επιτρέπουν την απόκρυψη φόντου (background) με θόλωση ή με προσθήκη εικόνας (virtual background) προκειμένου να αποφευχθεί ο κίνδυνος αποκάλυψης προσωπικών πληροφοριών που μπορεί να προκύψουν από την θέαση.

Δείτε αναλυτικά την απόφαση και τις ερωταπαντήσεις της Αρχής. 

Κώδικας Ποινικής Δικονομίας -  Τόμος IV - Άρθρα 320-461
ΠΟΙΝΙΚΕΣ ΕΠΙΣΤΗΜΕΣ / ΠΟΙΝΙΚΗ ΔΙΚΟΝΟΜΙΑ
ΧΑΡΑΛΑΜΠΟΣ ΣΕΒΑΣΤΙΔΗΣ
Δίκαιο κεφαλαιαγοράς

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΚΕΦΑΛΑΙΑΓΟΡΑΣ

ΤΟΥΝΤΟΠΟΥΛΟΣ ΒΑΣΙΛΕΙΟΣ