Τηλεργασία και GDPR

Τηλεργασία και GDPR

Την 15η Απριλίου 2020, έναν περίπου μήνα μετά την έναρξη εφαρμογής μέτρων περιορισμού των μετακινήσεων στο πλαίσιο προστασίας από τον COVID-19, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («ΑΠΔΠΧ») προέβη στην έκδοση Κατευθυντηρίων Γραμμών για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας. Στόχος της ΑΠΔΠΧ είναι η ευαισθητοποίηση των επιχειρήσεων, των εργαζομένων και γενικότερα του κοινού αναφορικά με τους κινδύνους που αφορούν την προστασία των προσωπικών δεδομένων, κατά την εργασία από απόσταση, λαμβάνοντας υπόψη και τις σχετικές υποχρεώσεις που απορρέουν από τον Κανονισμό και τον ν. 4624/2019.

Οι κατευθυντήριες αυτές γραμμές και κατευθύνσεις της ΑΠΔΠΧ έρχονται σε μία περίοδο, κατά την οποία η τηλεργασία εμφανίζει αλματώδη αύξηση, καθώς παρουσιάζεται ως η βέλτιστη λύση για την -κατά το δυνατό- ομαλή συνέχιση της λειτουργίας πολλών επιχειρήσεων εν μέσω της πανδημίας του COVID-19.

Ως «τηλεργασία» ορίζεται η εργασία από απόσταση (δηλαδή χωρίς φυσική παρουσία στον χώρο της εργασίας) με χρήση των απαραίτητων τεχνολογιών πληροφορικής και επικοινωνιών.

Οι Κατευθυντήριες Γραμμές της ΑΠΔΠΧ περιστρέφονται γύρω από τους ακόλουθους άξονες: 1. Θέσπιση πολιτικών και διαδικασιών, 2. Εκπαίδευση και ευαισθητοποίηση του προσωπικού, 3. Λήψη κατάλληλων τεχνικών μέτρων ασφαλείας ανάλογων με τους κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβάνοντας ιδιαιτέρως υπόψη την αυξημένη ανάγκη προστασίας της ιδιωτικής ζωής του εργαζομένου από την στιγμή που θα βρίσκεται σπίτι του και θα εργάζεται.

Ειδικότερα, σύμφωνα με τα οριζόμενα στις Κατευθυντήριες Γραμμές, οι διαδικασίες που θα υιοθετηθούν από τις επιχειρήσεις για την τηλεργασία συστήνεται να περιλαμβάνουν μέτρα για την πρόσβαση στο δίκτυο, τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ ανταλλαγής μηνυμάτων, τη χρήση τερματικής συσκευής/ αποθηκευτικών μέσων, καθώς και την πραγματοποίηση τηλεδιασκέψεων. Πιο συγκεκριμένα:

Α. Βασική προϋπόθεση για την πραγματοποίηση τηλεργασίας είναι η δυνατότητα πρόσβασης στο δίκτυο. Αναλυτικότερα, η ασφαλής σύνδεση μπορεί να επιτευχθεί, για παράδειγμα, μέσω εικονικού ιδιωτικού δικτύου στο οποίο πραγματοποιείται κρυπτογράφηση των δεδομένων και αυθεντικοποίηση των χρηστών (π.χ. IPSec VPN). Θα πρέπει να υπάρχει καθορισμός και περιορισμός των πόρων στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση στα απολύτως απαραίτητα πεδία για την εργασία τους, ενώ η σύνδεση σε υπολογιστικά συστήματα του οργανισμού/ επιχείρησης μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» θα πρέπει να επιτυγχάνεται μέσω ασφαλούς εικονικού ιδιωτικού δικτύου. Επιπλέον, θα πρέπει να γίνεται χρήση ασφαλούς πρωτοκόλλου WPA2 με ισχυρό κωδικό, ενώ θα πρέπει να αποφεύγεται η αποθήκευση αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης (λ.χ. One Drive google drive), εκτός κι αν υπάρχουν τα κατάλληλα εχέγγυα από τον οργανισμό/ επιχείρηση ή να υπάρχει η δυνατότητα να αποθηκεύονται τα δεδομένα αποκλειστικά σε κατάλληλα κρυπτογραφημένη μορφή.

Β. Κατά τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ ανταλλαγής μηνυμάτων πρέπει να χρησιμοποιείται η επαγγελματική ηλεκτρονική διεύθυνση (και όχι η προσωπική) και αν αυτό δεν είναι τεχνικά εφικτό, τότε το περιεχόμενο των μηνυμάτων που αφορά προσωπικά δεδομένα πρέπει να κρυπτογραφείται κατάλληλα. Σε κάθε περίπτωση, αν κριθεί απαραίτητο να σταλεί μήνυμα που περιέχει προσωπικά δεδομένα, θα πρέπει να προτιμώνται υπηρεσίες με ασφαλή και ισχυρά χαρακτηριστικά (κρυπτογράφηση, ρυθμίσεις προστασίας δεδομένων κλπ).

Γ. Όταν ο εργαζόμενος κάνει χρήση τερματικής συσκευής/ αποθηκευτικών μέσων, θα πρέπει να τηρούνται τα ακόλουθα μέτρα: (α) εγκατάσταση και ενημέρωση τακτική αντιϊκού προγράμματος και «αναχώματος ασφαλείας» (firewall) στη συσκευή (λ.χ. Η/Υ) μέσω της οποίας πραγματοποιείται η τηλεργασία, (β) εγκατάσταση των πρόσφατων ενημερώσεων λογισμικού εφαρμογών και λειτουργικού συστήματος της συσκευής του εργαζομένου, (γ) χρήση ενημερωμένων εκδόσεων προγραμμάτων πλοήγησης στο Διαδίκτυο (όχι τήρηση ιστορικού, διαγραφή από το ιστορικό των συνδέσμων σχετιζόμενων με την τηλεργασία), (δ) διαχωρισμός επαγγελματικών αρχείων από τα προσωπικά του εργαζομένου, (ε) υποστήριξη από τον φορέα διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν προσωπικά δεδομένα, (στ) η κάθε επιχείρηση θα πρέπει να υποστηρίζει διαδικασίες λήψης αντιγράφων ασφαλείας για αρχεία με προσωπικά δεδομένα, στα οποία πραγματοποιείται επεξεργασία στο πλαίσιο δραστηριοτήτων τηλεργασίας και (ζ) κλείδωμα συσκευής από την οποία γίνεται η τηλεργασία (λ.χ. με κωδικό απενεργοποίησης) εφόσον μείνει, για κάποιο λόγο, χωρίς επιτήρηση.

Δ. Κατά την πραγματοποίηση τηλεδιασκέψεων, θα πρέπει να αξιοποιούνται πλατφόρμες που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση), ενώ σε περίπτωση προγραμματισμένης τηλεδιάσκεψης, θα πρέπει να προστατεύονται οι σύνδεσμοι (links) και θα πρέπει να επιδεικνύεται ιδιαίτερη μελέτη των όρων χρήσης και των όρων προστασίας προσωπικών δεδομένων κατά τη χρήση της τηλεδιάσκεψης.

Με την έκδοση των Κατευθυντηρίων Γραμμών η ΑΠΔΠΧ στοχεύει στην ευαισθητοποίηση όλων των εμπλεκόμενων φορέων για τους κινδύνους που αφορούν στην προστασία των προσωπικών δεδομένων και θεμελιωδών ελευθεριών. Η υιοθέτηση και εφαρμογή διαδικασιών τηλεργασίας αποσκοπεί στη συνέχιση λειτουργίας των επιχειρήσεων και τη διασφάλιση επαρκούς επιπέδου ασφάλειας και προστασίας των προσωπικών δεδομένων. Στο πλαίσιο αυτό, η συμβολή του Υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ/DPO) κρίνεται πολύτιμη, καθώς με τις γνώσεις και την εμπειρογνωσία του μπορεί να συμβουλεύσει τις επιχειρήσεις και να συμβάλλει στην αποτελεσματικότερη διαμόρφωση του συστήματος τηλεργασίας.