Μπαίνουν οι βάσεις για την προστασία προσωπικών δεδομένων κατά την τηλεργασία

Με την τηλεργασία να εδραιώνεται εξαιτίας της πανδημίας του κορωνοΐου, μπαίνουν και στην χώρα μας οι βάσεις για την προστασία προσωπικών δεδομένων, με τους γνώστες τις πληροφορικής να εστιάζουν στην κυβερνο-ασφάλεια και στην ασφάλεια των υπολογιστών και των ηλεκτρονικών συσκευών, όπως και της διακίνησης ηλεκτρονικών δεδομένων.

Της Μαρίας Θαλασσινού

Να σημειωθεί ότι στην χώρα μας υπάρχει καθυστέρηση στην υιοθέτηση της κοινοτικής νομοθεσίας για την προστασία προσωπικών δεδομένων, η οποία μπορεί να είναι επαρκής, αλλά στον Δημόσιο Τομέα έχει εφαρμοστεί κατά ένα μέρος, καθώς μέχρι το ξέσπασμα της πανδημίας η τηλεργασία δεν ήταν καθόλου διαδεδομένη μέθοδος για την παροχή εργασίας εκ μέρους των δημοσίων υπαλλήλων.

Εν γένει η χώρα μας σε πανευρωπαϊκό επίπεδο, προ πανδημίας, είχε χαμηλά ποσοστά απασχολούμενων με τηλεργασία αγγίζοντας μόλις το 1,9% του συνολικού εργατικού δυναμικού, σύμφωνα με στοιχεία της Ευρωπαϊκής Στατιστικής Υπηρεσίας του 2019. Την πρώτη θέση στην τηλεργασία έχει η Ολλανδία και η Φιλανδία με το 14,1% των εργαζομένων να απασχολούνται με αυτόν τον τρόπο. Ακολουθεί το Λουξεμβούργο με 11,6% των εργαζομένων και η Αυστρία με 9,9% των εργαζομένων. Τα χαμηλότερα ποσοστά τηλεργασίας καταγράφονται σε Ελλάδα και Κροατία (1,9%), Κύπρο (1,3%), Ουγγαρία (1,2%), Ρουμανία (0,8%) και Βουλγαρία (0,5%),

Η τηλεργασία στο Δημόσιο

Η κατοχύρωση, πάντως, των δικαιωμάτων για την προστασία των προσωπικών δεδομένων κατά την άσκηση της τηλεργασίας έρχεται να συζητηθεί εμφατικά και στην χώρα μας. Η σχετική πρόβλεψη, υπάρχει, άλλωστε και στο νομοσχέδιο του υπουργείου Εσωτερικών, που κατατέθηκε πρόσφατα και διευθετεί τα ζητήματα της τηλεργασίας στον Δημόσιο Τομέα.

Έτσι, λοιπόν, προβλέπεται ότι για την προστασία προσωπικών δεδομένων απορρέουν υποχρεώσεις του Δημοσίου προς τους δημοσίους υπαλλήλους. Συγκεκριμένα, στο νομοσχέδιο αναφέρεται ότι «ο Φορέας – δηλαδή η υπηρεσία - πρέπει να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα που χρησιμοποιούνται και υποβάλλονται σε επεξεργασία από τον τηλεργαζόμενο στο πλαίσιο της εκτέλεσης των καθηκόντων του».

Η προστασία των προσωπικών δεδομένων

Σε αυτό το πλαίσιο, και με βάση τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) της Ευρωπαϊκής Ένωσης, που ενσωματώθηκε στην εθνική νομοθεσία το 2019 και με βάση τις οδηγίες της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προβλέπεται στο νομοσχέδιο του υπουργείου Εσωτερικών ότι «ο Φορέας ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, οφείλει να διασφαλίζει το κατάλληλο επίπεδο ασφαλείας έναντι των κινδύνων για τα προσωπικά δεδομένα, εφαρμόζοντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα».

Παράλληλα, με βάση τον Γενικό Κανονισμό για την Προστασία Δεδομένων και την υποχρέωση του Δημοσίου να ορίσει Υπεύθυνο Προστασίας Δεδομένων, ο Φορέας αξιοποιώντας την συνδρομή του τελευταίου έχει την υποχρέωση «να ενημερώνει επαρκώς, να εκπαιδεύει και να συνδράμει τους τηλεργαζομένους στην εφαρμογή των διαδικασιών για την προστασία των προσωπικών δεδομένων».

Ασφαλής απομακρυσμένη πρόσβαση

Απαντώντας στην ανησυχία των εξειδικευμένων στην κυβερνοασφάλεια, στο νομοσχέδιο υπάρχει ειδική αναφορά στην προστασία πρόσβασης στο Δίκτυο. Έτσι, επισημαίνεται «ο Φορέας ως υπεύθυνος επεξεργασίας δεδομένων διασφαλίζει ότι υπάρχει δυνατότητα ασφαλούς απομακρυσμένης πρόσβασης σε πόρους πληροφοριακών συστημάτων του Φορέα». Παράλληλα, ο Φορέας «καθορίζει τους περιορισμούς στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση στο απολύτως απαραίτητο, διασφαλίζει τη σύνδεση σε υπολογιστικά συστήματα του Φορέα μέσω υπηρεσίας ‘απομακρυσμένης επιφάνειας εργασίας’ μόνο μέσω συνδέσεως εικονικού ιδιωτικού δικτύου με κρυπτογραφημένη και προστατευμένη δρομολόγηση δεδομένων».

Ο Φορέας είναι υποχρεωμένος, μάλιστα, να «εγκαθιστά ασφαλές πρωτόκολλο ασύρματης σύνδεσης με ισχυρό κωδικό στη συσκευή τηλεργασίας που χρησιμοποιεί ο τηλεργαζόμενος, όταν ο τελευταίος συνδέεται στο διαδίκτυο μέσω ασύρματου δικτύου, και διασφαλίζει ότι αποφεύγεται η χρήση αρχείων με προσωπικά δεδομένα σε υπηρεσίες προσωπικής διαδικτυακής αποθήκευσης των τηλεργαζόμενων».

Ηλεκτρονικό ταχυδρομείο

Οι γνώστες ζητημάτων κυβερνο-ασφάλειας επισημαίνουν ότι πρέπει οι απασχολούμενοι με τηλεργασία να είναι ιδιαιτέρα προσεκτικοί με την χρήση του προσωπικού τους ηλεκτρονικού ταχυδρομείου. Έτσι, λοιπόν, στο νομοσχέδιο του υπουργείου Εσωτερικών αναφέρεται ρητά ότι «για τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου, η ανταλλαγή ηλεκτρονικών μηνυμάτων των τηλεργαζόμενων πραγματοποιείται μόνο μέσω του επίσημου ηλεκτρονικού ταχυδρομείου του Φορέα για σκοπούς τηλεργασίας».

Τα τείχη προστασίας

Για τη δε χρήση της τερματικής συσκευής και αποθηκευτικών μέσων, αναφέρεται ότι «με επιμέλεια του Φορέα, εγκαθίσταται στην τεχνολογική συσκευή της τηλεργασίας σύστημα εναντίον των ιών (antivirus) και «τείχος προστασίας» (firewall)». Στο νομοσχέδιο επισημαίνεται ότι «ο Φορέας επιμελείται την τακτική ενημέρωση των προαναφερόμενων συστημάτων, την εγκατάσταση των πλέον πρόσφατων ενημερώσεων του λογισμικού εφαρμογών και του λειτουργικού συστήματος στη συσκευή της τηλεργασίας, την χρήση των πλέον πρόσφατων εκδόσεων προγραμμάτων πλοήγησης στο διαδίκτυο από τον τηλεργαζόμενο, με τη μη τήρηση ιστορικού ή διαγραφή του μετά το πέρας της τηλεργασίας, το διαχωρισμό των προσωπικών δεδομένων τα οποία αφορούν την τηλεργασία στη συσκευή της τηλεργασίας, τη χρήση διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν προσωπικά δεδομένα και διαδικασιών λήψης αντιγράφων ασφαλείας των αρχείων με προσωπικά δεδομένα».

Πότε επιτρέπεται η χρήση κάμερας;

Για την προστασία των προσωπικών δεδομένων των εργαζόμενων, στο νομοσχέδιο του υπουργείου Εσωτερικών αναφέρεται ότι: «Δεν επιτρέπεται η χρήση συστημάτων λήψης και εγγραφής κινούμενων εικόνων του τηλεργαζόμενου (κάμερα) που είναι ενσωματωμένη στη συσκευή τηλεργασίας, κατά τη διενέργεια τηλεδιασκέψεων». «Αν τεθεί σε λειτουργία οποιοδήποτε σύστημα, αυτό πρέπει να επιβάλλεται από τις λειτουργικές ανάγκες της εργασίας που παρέχει ο Φορέας και να περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού και κατόπιν προηγούμενης ενημέρωσης του τηλεργαζόμενου και συγκατάθεσής του», ορίζεται ρητά στο νομοσχέδιο του υπουργείου Εσωτερικών.

Περισσότερα σε Ειδήσεις