Χρήση προσωπικού κινητού για εργασιακούς σκοπούς: Οδηγία της Επιτρόπου Προστασίας Δεδομένων της Κύπρου

Μια πολύ ενδιαφέρουσα και χρηστική Οδηγία εξέδωσε η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κύπρου με θέμα τη χρήση προσωπικών κινητών τηλεφώνων για εργασιακούς σκοπούς.

Η έκδοση της Οδηγίας, όπως διευκρινίζεται εισαγωγικώς, καθίσταται αναγκαία δεδομένης της ιδιαίτερης διάδοσης του φαινομένου της χρήσης προσωπικών κινητών στο πλαίσιο της εργασιακής σχέσης και των κινδύνων που συνεπάγεται η χρήση αυτή, αφενός για την ιδιωτικότητα του εργαζόμενου, αφετέρου για την ασφάλεια των δεδομένων του εργοδότη.

Η κυπριακή εποπτική αρχή επισημαίνει πως η χρήση προσωπικού τηλεφώνου δεν συνεπάγεται κατ’ ανάγκην την επεξεργασία των προσωπικών δεδομένων του εργαζόμενου από τον εργοδότη, συνιστά όμως εν δυνάμει παρεμβατικό μέτρο. Για τον λόγο αυτό, η Επίτροπος χαρακτηρίζει ως επιβεβλημένη την ανάγκη για καθορισμό ορίων, προκειμένου ο εργοδότης να γνωρίζει πότε και υπό ποιες προϋποθέσεις μπορεί να ζητά από τους υπαλλήλους του να χρησιμοποιούν τα προσωπικά τους τηλέφωνα.

Ο κανόνας που τίθεται μέσα από τις Οδηγίες είναι αυτός της καταρχήν απαγόρευσης: Κανένας υπάλληλος δεν είναι υποχρεωμένος να χρησιμοποιεί το προσωπικό του κινητό τηλέφωνο για εργασιακούς σκοπούς. Ο κανόνας αυτός συναντά τρεις εξαιρέσεις, οι οποίες καθιστούν τη χρήση επιτρεπτή: όταν ο υπάλληλος το επιθυμεί, όταν η χρήση τον διευκολύνει για την εκτέλεση των καθηκόντων του και όταν η χρήση δεν συνεπάγεται επεξεργασία προσωπικών δεδομένων εκ μέρους του εργοδότη.

Περαιτέρω, σε περίπτωση που ο υπάλληλος δεν επιθυμεί τη χρήση αυτή, η κυπριακή αρχή προτείνει σειρά εναλλακτικών λύσεων που μπορούν να ακολουθήσουν οι εργοδότες, υπενθυμίζοντας παράλληλα τις υποχρεώσεις που αυτοί φέρουν βάσει της νομοθεσίας για την προστασία δεδομένων.

Το πλήρες κείμενο της Οδηγίας έχει ως εξής:

Οδηγία υπ. αρ. 1/2025 Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Χρήση προσωπικών κινητών τηλεφώνων για εργασιακούς σκοπούς

Η πρακτική χρήσης προσωπικών κινητών τηλεφώνων στο πλαίσιο της εργασιακής σχέσης είναι αρκετά διαδεδομένη στις μέρες μας. Τέτοια παραδείγματα περιλαμβάνουν την χρήση κινητών τηλεφώνων για ηλεκτρονική υπογραφή εγγράφων ή για λήψη κωδικού με σκοπό την πρόσβαση σε κάποιο έγγραφο, για χρήση κάποιας εφαρμογής (app), για πρόσβαση σε υπηρεσιακό ηλεκτρονικό ταχυδρομείο ή για έλεγχο της τήρησης ωραρίου των υπαλλήλων. Ο κατάλογος δεν είναι εξαντλητικός.

Η παρούσα Οδηγία στοχεύει στην ομοιόμορφη και συνεκτική χρήση προσωπικών κινητών τηλεφώνων, για σκοπούς διεκπεραίωσης συγκεκριμένων εργασιακών καθηκόντων εν ώρα εργασίας, κατά τρόπο που διασφαλίζει την προστασία των προσωπικών δεδομένων και την ιδιωτικότητα των εργαζομένων.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εξέδωσε Καθοδηγητικές Γραμμές για την χρήση προσωπικών συσκευών.[1] Παρόλο που απευθύνονται σε όργανα της Ευρωπαϊκής Ένωσης αποτελούν χρήσιμο εργαλείο και μπορούν να τις συμβουλευτούν εργοδότες και υπάλληλοι στα Κράτη Μέλη. Χρήσιμες πληροφορίες για την πρακτική BYOD (Bring your own device) στην εργασία, παρέχονται και στη Γνώμη του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων 2/2017 για την επεξεργασία προσωπικών δεδομένων στην εργασία,[2]ενώ σχετική πληροφόρηση περιλαμβάνει και ο οδηγός του ΕΣΠΔ για μικρομεσαίες επιχειρήσεις.[3] To γενικό συμπέρασμα από αυτά και άλλα παρόμοια έγγραφα[4] είναι ότι, η εν λόγω πρακτική μπορεί να συνδέεται με πιθανούς κινδύνους που αφορούν στην παρακολούθηση της ιδιωτικής ζωής των υπαλλήλων, ενώ σχετίζεται επίσης με πιθανούς κινδύνους για την ασφάλεια των δεδομένων που είναι καταχωρισμένα στα συστήματα και βάσεις δεδομένων του εργοδότη, στα οποία ενδέχεται να έχει πρόσβαση ο υπάλληλος μέσω της προσωπικής του συσκευής. Η πρακτική BYOD πρέπει να διευκολύνει και όχι να δυσκολεύει τους υπαλλήλους.

Παρόλο που ενδεχομένως να υπάρχουν περιπτώσεις όπου αυτή καθ’ εαυτή η χρήση προσωπικών τηλεφώνων δεν συνεπάγεται επεξεργασία των προσωπικών δεδομένων του υπαλλήλου, από τον εργοδότη, εντούτοις τέτοια χρήση συνιστά εν δυνάμει παρεμβατικό μέτρο. Ακόμη πιο παρεμβατικό είναι, όταν γίνεται επεξεργασία δεδομένων. Γι’ αυτό, κρίνεται επιβεβλημένος ο καθορισμός ορίων, ώστε να είναι ξεκάθαρο, πότε ένας εργοδότης μπορεί να ζητά από τους υπάλληλους του να χρησιμοποιούν τα προσωπικά τους τηλέφωνα στην εργασία και υπό ποιες προϋποθέσεις. Τα πιο κάτω, έχουν σκοπό να καθορίσουν αυτά τα όρια, τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα.

1. Κανένας υπάλληλος υποχρεούται να χρησιμοποιεί προσωπικό του κινητό τηλέφωνο για εργασιακούς σκοπούς.

2. Η χρήση προσωπικού κινητού για εργασιακούς σκοπούς μπορεί να είναι επιτρεπτή όταν:

(α) το επιθυμεί ο υπάλληλος,

(β) τον διευκολύνει για την εκτέλεση των καθηκόντων του και

(γ) δεν συνεπάγεται επεξεργασία προσωπικών δεδομένων εκ μέρους του εργοδότη.

3. Αν ο υπάλληλος δεν επιθυμεί να χρησιμοποιεί το προσωπικό του κινητό, έστω και όταν δεν πραγματοποιείται οποιαδήποτε επεξεργασία, ο εργοδότης οφείλει να:

(α) να του παράσχει εναλλακτική λύση και

(β) διασφαλίσει ότι, ο υπάλληλος δεν υπόκειται σε δυσμενείς συνέπειες εάν επιλέξει αυτή την εναλλακτική λύση

4. Σε σχέση με το 3(α), οι εναλλακτικές λύσεις δύναται να περιλαμβάνουν την παροχή:

(α) υπηρεσιακής συσκευής,

(β) αποζημίωσης για κόστος χρήσης, όπου εφαρμόζεται,

(γ) χορηγίας για αγορά συσκευής.

5. Όταν, τα καθήκοντα ενός υπαλλήλου επιβάλλουν περιστασιακή χρήση προσωπικού κινητού, π.χ. για πρόσβαση σε έγγραφα με λήψη κωδικού μίας χρήσης (OTP) και δεν συνεπάγεται οποιαδήποτε επεξεργασία προσωπικών δεδομένων από ή εκ μέρους του εργοδότη, αυτό επιτρέπεται. Ο εργοδότης σε κάθε περίπτωση θα πρέπει να είναι σε θέση να τεκμηριώσει επαρκώς και κατάλληλα την απουσία επεξεργασίας, στο πλαίσιο της Αρχής της Λογοδοσίας βάσει του Άρθρου 5(2) του Κανονισμού (ΕΕ) 2016/679 (εφεξής «ο ΓΚΠΔ»).

6.1. Όταν η χρήση προσωπικού κινητού τηλεφώνου συνεπάγεται επεξεργασία δεδομένων υπαλλήλων από ή εκ μέρους του εργοδότη, π.χ. στα πλαίσια λειτουργίας εφαρμογής (app) για έλεγχο ωραρίου και/ ή εναπομεινάντων αδειών ανάπαυσης, ο εργοδότης οφείλει να διασφαλίσει ότι:

(α) τηρούνται οι βασικές αρχές επεξεργασίας (Άρθρο 5 του ΓΚΠΔ),

(β) η επεξεργασία εδράζεται σε μία από τις προϋποθέσεις του Άρθρου 6 του ΓΚΠΔ, όχι όμως τη συγκατάθεση [Άρθρο 6(1)(α)], λόγω της θέσης ισχύος του εργοδότη,

(γ) τηρείται η διαδικασία διαφάνειας και ο εργοδότης ενημερώνει εκ των προτέρων τους υπαλλήλους για την εν λόγω επεξεργασία,

(δ) όπου δυνατό προσφέρεται και εναλλακτικό, λιγότερο παρεμβατικό μέτρο, π.χ. κτύπημα κάρτας αντί για εφαρμογή (app) μέσω κινητού,

(ε) υπάλληλοι που επιλέγουν το εναλλακτικό μέτρο, δεν υπόκειται σε δυσμενείς συνέπειες ή διακρίσεις και ότι,

(στ) τηρούνται όλες οι λοιπές εκ του ΓΚΠΔ υποχρεώσεις.

6.2. Νοείται ότι, όπου επιβάλλεται, ο εργοδότης διενεργεί εκτίμηση αντίκτυπου (Άρθρο 35 του ΓΚΠΔ) και προηγούμενη διαβούλευση με την Επίτροπο (Άρθρο 36).

7. Στην περίπτωση όπου η προσωπική συσκευή του υπάλληλου δεν υποστηρίζει μία τεχνική λύση, ο εργοδότης οφείλει να του προσφέρει απαραίτητες υποδομές και εναλλακτικές τεχνολογικές λύσεις.

8. Όταν τα καθήκοντα του υπαλλήλου επιβάλλουν την χρήση προσωπικού κινητού τηλεφώνου σε συστηματική βάση, είτε γίνεται επεξεργασία των δεδομένων του, είτε όχι, ο εργοδότης οφείλει να θεσπίσει πολιτική και να την γνωστοποιήσει στους υπαλλήλους, η οποία θα πρέπει μεταξύ άλλων να ρυθμίσει τί γίνεται σε περίπτωση όπου:

(α) ο υπάλληλος ξεχάσει την συσκευή στο σπίτι,

(β) η συσκευή χαλάσει,

(γ) ο υπάλληλος δεν επιθυμεί να την χρησιμοποιεί πλέον για εργασιακούς σκοπούς.

9. Κάθε άλλη περίπτωση που δεν εμπίπτει στις πιο πάνω περιπτώσεις, θα πρέπει να αξιολογείται και να κρίνεται με βάση τα δικά της περιστατικά και κατά ανάλογο τρόπο να τυγχάνουν εφαρμογής οι διατάξεις του ΓΚΠΔ από έκαστο υπεύθυνο επεξεργασίας.

10. Σημειώνεται ότι θα ακολουθήσει επόμενη σχετική με την Τηλεργασία Οδηγία τόσο για τον Δημόσιο όσο και για τον Ιδιωτικό Τομέα.

 

[1] https://www.edps.europa.eu/sites/default/files/publication/15-12-17_mobile_devices_en.pdf

[2] https://ec.europa.eu/newsroom/article29/items/610169/en

[3] https://www.edpb.europa.eu/sme-data-protection-guide/secure-personal-data_en

[4] Δείτε για παράδειγμα το «Working Paper on Privacy and Security Risks with the Use of “Own Devices” in Corporate Networks» του International Working Group on Data Protection in Telecommunications και τις Καθοδηγητικές Γραμμές με τίτλο «Bring your own device (BOYD)» της εποπτικής Αρχής ICO του ΗΒ