H ιστοσελίδα αποθηκεύει μόνο τα απαραίτητα cookies για να λειτουργήσει σωστά. Με τη συγκατάθεσή σας θα χρησιμοποιήσουμε επιπλέον cookies: α. Για βελτίωση της περιήγησης (πχ. γλώσσα), επιλέξτε «ΑΠΑΡΑΙΤΗΤΑ ΜΟΝΟ». β. Για ανάλυση της επίδοσης, λειτουργικότητάς της ιστοσελίδας και την προβολή εξατομικευμένου περιεχομένου, επιλέξτε «ΟΛΑ ΤΑ COOKIES». Για περισσότερες πληροφορίες και για να ανακαλέσετε τη συγκατάθεσή σας, πατήστε εδώ.

Τηλεργασία και GDPR – Ποιες είναι οι οδηγίες της ΑΠΔΠΧ

Τηλεργασία και GDPR – Ποιες είναι οι οδηγίες της ΑΠΔΠΧ

Πηνελόπη Κασανή

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσε Κατευθυντήριες Γραμμές σε επιχειρήσεις και οργανισμούς που, στα πλαίσια του περιορισμού της εξάπλωσης του COVID-19, εφάρμοσαν ρυθμίσεις τηλεργασίας για το προσωπικό τους.


Q: Ποια είναι τα κύρια θέματα που θέτει η Αρχή στις Κατευθυντήριες Γραμμές;

 
  1. Ορισμός και υποστήριξη συγκεκριμένων διαδικασιών για την τηλεργασία, που λαμβάνουν υπόψη τη φύση και τη σοβαρότητα των κινδύνων που απορρέουν από την εξ' αποστάσεως εργασία, για την προστασία των προσωπικών δεδομένων.
  2. Επαρκής ενημέρωση, εκπαίδευση και συνδρομή των εργαζομένων στην εφαρμογή των διαδικασιών αυτών, λαμβάνοντας υπόψη ότι πολλοί χρήστες δεν είναι εξοικειωμένοι με τις τεχνολογίες που υποστηρίζουν την τηλεργασία και τους σχετικούς κινδύνους. Για τον σκοπό αυτό, είναι πολύτιμη η συμβολή του Υπεύθυνου Προστασίας Δεδομένων (DPO) όπου έχει ορισθεί.
  3. Αυξημένες υποχρεώσεις των επιχειρήσεων και των οργανισμών για την προστασία των προσωπικών δεδομένων των εργαζομένων τους, στην περίπτωση της τηλεργασίας. Και αυτό γιατί ο εργαζόμενος, λόγω του γεγονότος ότι βρίσκεται στο σπίτι του, έχει μεγαλύτερη προσδοκία για την προστασία της ιδιωτικής του ζωής.
 

Q: Τι μέτρα συστήνει η Αρχή; 


Οι διαδικασίες για την τηλεργασία συστήνεται να περιλαμβάνουν μέτρα, όπως τα ακόλουθα: 


Πρόσβαση στο δίκτυο

 
  1. Διασφάλιση ότι δεν υπάρχει δυνατότητα μη ασφαλούς απομακρυσμένης πρόσβασης σε πόρους των πληροφοριακών συστημάτων του φορέα, όπως υπολογιστές εσωτερικού δικτύου και εσωτερικά αρχεία. Η ασφαλής σύνδεση μπορεί, ενδεικτικώς, να επιτευχθεί μέσω εικονικού ιδιωτικού δικτύου στο οποίο πραγματοποιείται κρυπτογράφηση των δεδομένων και αυθεντικοποίηση των χρηστών (π.χ. IPSecVPN).
    • Καθορισμός και περιορισμός των πόρων στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση στο απολύτως απαραίτητο, ανάλογα με τα καθήκοντα που επιτελεί ο τηλεργαζόμενος.
    • Σύνδεση σε υπολογιστικά συστήματα του φορέα μέσω υπηρεσίας “απομακρυσμένης επιφάνειας εργασίας” (“Remote Desktop Protocol-RDP”), μόνο εφόσον αυτή γίνεται μέσω ασφαλούς εικονικού ιδιωτικού δικτύου (VPN). 
  2. Χρήση ασφαλούς πρωτοκόλλου WPA2 με ισχυρό κωδικό, όταν η σύνδεση της συσκευής του τηλεργαζόμενου στο Διαδίκτυο γίνεται μέσω ασύρματου δικτύου (Wi-Fi). Τούτο ισχύει ακόμα και όταν μετά τη σύνδεση στο Διαδίκτυο, γίνεται ασφαλής σύνδεση στο δίκτυο του φορέα π.χ. με χρήση VPN.
  3. Αποφυγή αποθήκευσης αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης (π.χ. Dropbox, OneDrive, Googledrive), εκτός και αν υπάρχουν τα κατάλληλα εχέγγυα, όπως π.χ. να πρόκειται για υπηρεσία που παρέχεται, με κατάλληλα μέτρα ασφάλειας, από τον φορέα ή τα δεδομένα να αποθηκεύονται αποκλειστικά σε κατάλληλα κρυπτογραφημένη μορφή.


Χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων

 
  1. Αποφυγή χρήσης προσωπικού ηλεκτρονικού ταχυδρομείου (π.χ. gmail, yahoo, hotmail) για αποστολή ή λήψη μηνυμάτων για σκοπούς τηλεργασίας, τα οποία σχετίζονται με προσωπικά δεδομένα. Αντ’ αυτού, θα πρέπει να χρησιμοποιείται η επαγγελματική ηλεκτρονική διεύθυνση την οποία παρέχει ο φορέας. Εάν αυτό δεν είναι τεχνικά εφικτό (π.χ. μη δυνατότητα πρόσβασης στο εσωτερικό ηλεκτρονικό ταχυδρομείο από εξωτερικό του φορέα δίκτυο), τότε το περιεχόμενο των μηνυμάτων που αφορά προσωπικά δεδομένα πρέπει να κρυπτογραφείται κατάλληλα (π.χ. είτε ολόκληρο το μήνυμα είτε μόνο τα συνημμένα αρχεία).
  2. Αποφυγή χρήσης εφαρμογών ανταλλαγής μηνυμάτων (κείμενο ή/και βίντεο) για τους σκοπούς της τηλεργασίας, όταν τα μηνύματα αυτά περιέχουν προσωπικά δεδομένα, των οποίων τυχόν διαρροή θα επέφερε κινδύνους. Αν είναι πραγματικά απαραίτητο, να προτιμώνται υπηρεσίες των οποίων τα χαρακτηριστικά ασφάλειας (κρυπτογράφηση, ρυθμίσεις προστασίας δεδομένων) αξιολογούνται ως ισχυρά.


Χρήση τερματικής συσκευής/αποθηκευτικών μέσων

 
  1. Εγκατάσταση και τακτική ενημέρωση αντιικού προγράμματος και “αναχώματος ασφαλείας” (firewall) στη συσκευή (π.χ. υπολογιστής, laptop κτλ.) μέσω της οποίας πραγματοποιείται η τηλεργασία.
  2. Εγκατάσταση των πλέον πρόσφατων ενημερώσεων του λογισμικού εφαρμογών και λειτουργικού συστήματος της συσκευής των εργαζομένων.
  3. Χρήση προγραμμάτων πλοήγησης στο Διαδίκτυο (π.χ. Firefox, Chrome κτλ.) με τις πλέον πρόσφατες, κάθε φορά, εκδόσεις τους. Μη τήρηση ιστορικού (ανώνυμη περιήγηση) ή διαγραφή από το ιστορικό των συνδέσμων εκείνων που σχετίζονται με την τηλεργασία, κατά το τέλος της εργασίας.
  4. Διαχωρισμός των αρχείων που περιέχουν προσωπικά δεδομένα, τα οποία σχετίζονται με την εργασία από προσωπικά αρχεία τα οποία τηρεί ο εργαζόμενος στη συσκευή (π.χ. σε σαφώς διακριτούς φακέλους, με κατάλληλη προσδιοριστική ονομασία). Χρήση «εικονικού μηχανήματος» (virtual machine) αποκλειστικά για την παροχή τηλεργασίας, όταν αυτό είναι εφικτό.
  5. Υποστήριξη από τον φορέα διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν προσωπικά δεδομένα, ιδίως όταν τηρούνται σε φορητό/αποσπώμενο μέσο αποθήκευσης (π.χ. usb stick). Ανά περίπτωση, θα πρέπει να εξετάζεται και το ενδεχόμενο κρυπτογράφησης των αρχείων και στην κυρίως συσκευή από την οποία πραγματοποιείται η τηλεργασία (H/Y, laptop κτλ.),ιδίως για δεδομένα υψηλού κινδύνου.
  6. Υποστήριξη, από τον φορέα, διαδικασιών λήψης αντιγράφων ασφαλείας για αρχεία με προσωπικά δεδομένα, τα οποία υφίστανται επεξεργασία στο πλαίσιο δραστηριοτήτων τηλεργασίας. Για τα αντίγραφα ασφαλείας πρέπει να τηρούνται μέτρα ανάλογα με όσα περιγράφονται στο σημείο 5.
  7. «Κλείδωμα» της συσκευής από την οποία γίνεται η τηλεργασία (π.χ. προφύλαξη οθόνης, με κωδικό απενεργοποίησης) εφόσον μένει, για κάποιο λόγο, χωρίς επιτήρηση.


Πραγματοποίηση τηλεδιασκέψεων

 
  1. Στην περίπτωση τηλεδιασκέψεων, θα πρέπει να αξιοποιούνται πλατφόρμες που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση). Για παράδειγμα, θα πρέπει να αποφεύγεται λογισμικό τηλεδιάσκεψης το οποίο δεν εξασφαλίζει κρυπτογράφηση από άκρη σε άκρη (end-to-end encryption).
  2. Σε περίπτωση προγραμματισμένης τηλεδιάσκεψης, προστασία του συνδέσμου (link) αυτής (π.χ. όχι δημοσιοποίησή του σε κοινωνικό δίκτυο).
  3. Προσεκτική μελέτη των όρων χρήσης και των όρων προστασίας προσωπικών δεδομένων κατά την επιλογή της λύσης τηλεδιάσκεψης.

Πηγή: dpa.gr
Εταιρική διακυβέρνηση, διαχείριση κινδύνων και συμμόρφωσηΚορωνοϊός