Τηλεργασία στο Δημόσιο: Οι “κόκκινες” γραμμές της Αρχής Προστασίας Προσωπικών Δεδομένων

Σημεία- αγκάθια διακρίνει η Αρχή Δεδομένων Προστασίας Προσωπικού Χαρακτήρα, στο σχέδιο Προεδρικού Διατάγματος του υπουργείου Εσωτερικών που αφορά το νέο καθεστώς που αφορά την τηλεργασία στο Δημόσιο.

Στο πλαίσιο της γνώμης που εξέφρασε η ανεξάρτητη Αρχή αναφέρει πως το νέο Διάταγμα επαναλαμβάνει ρυθμίσεις για την προστασία δεδομένων, χωρίς όμως – όπως σημειώνει – «να εξειδικεύει ειδικότερα ρυθμιζόμενα ζητήματα».

Αφετέρου η Αρχή εφιστά την προσοχή στον καθορισμό του ρόλου του υπευθύνου επεξεργασίας σε σχέση με την προβλεπόμενη λειτουργία της διαδικτυακής πύλης τηλεργασίας στον δημόσιο τομέα, που προβλέπεται στις διατάξεις του Π.Δ.

eurokinissi

Μεταξύ άλλων επισημαίνει:

* Παρατηρείται ότι το υποβληθέν προσχέδιο πρέπει να αναλύει και να εξειδικεύει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας για την προστασία των δεδομένων, να καθορίζει τις επιμέρους επεξεργασίες δεδομένων που πραγματοποιούνται στο πλαίσιο της τηλεργασίας, να καθορίζει τον ρόλο του φορέα που παρέχει, ως μορφή οργάνωσης και εκτέλεσης της εργασίας, την τηλεργασία και να εξειδικεύει τον ρόλο των τρίτων φορέων που μετέχουν στην οργάνωση και εκτέλεσή της. Τέλος, το Π.Δ. πρέπει να ρυθμίζει κάθε αναγκαία λεπτομέρεια για την προστασία των δεδομένων κατά την εκτέλεση της τηλεργασίας. Από το σύνολο των επιμέρους ρυθμίσεων στο υποβληθέν προσχέδιο Π.Δ. παρατηρείται ότι δεν εξειδικεύονται επιμέρους ζητήματα και συγκεκριμένα, η παράλειψη ρύθμισης των ζητημάτων αυτών με το προσχέδιο Π.Δ. δεν καλύπτεται από την παραπομπή στην εκτίμηση επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα

* Προβλέπεται ότι ο φορέας δύναται να ζητεί πρόσθετη επιβεβαίωση (αυθεντικοποίηση) από τον τηλεργαζόμενο, αφορά μία συγκεκριμένη δυνατότητα του φορέα. Δηλαδή, δεν φαίνεται ότι η ειδική αυτή αναφορά αντιστοιχεί στη γενική περιγραφή του σκοπού που γίνεται σε αυτό το άρθρο. Επιπλέον, όπως προαναφέρθηκε, ο προσδιορισμός των ειδικότερων σκοπών, η τεκμηρίωση της νομιμότητας και ο καθορισμός των κατηγοριών δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας δεν δύναται να εξαντλείται στην παραπομπή στην εκτίμηση επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα του άρθρου 35 ΓΚΠΔ, αλλά πρέπει τα περιγραφόμενα στο άρθρο αυτό στοιχεία να εξειδικεύονται στο υποβληθέν προσχέδιο Π. Δ/τος. Περαιτέρω, όσον αφορά την δυνατότητα εγκατάστασης και λειτουργίας συστήματος για την παρακολούθηση του χρόνου εργασίας, πρέπει να εξειδικεύεται ο επιδιωκόμενος σκοπός, η πλήρωση της αναλογικότητας, καθώς επίσης να καθορίζονται οι λειτουργικές ανάγκες του φορέα που δικαιολογούν την υλοποίηση της δυνατότητας αυτής.

* Περιλαμβάνονται αορίστως και κατηγορίες υποκειμένων των δεδομένων, ως «τρίτα φυσικά πρόσωπα», χωρίς να προσδιορίζεται η έννοιά τους. Οι αναφερόμενες ως ελάχιστες πληροφορίες που τυγχάνουν επεξεργασίας και εξαρτώνται από το είδος της επιλεγείσας εφαρμογής συστήματος και ως εκ τούτου η επεξεργασία τους δεν παρίσταται άνευ τινός ετέρου ως αναγκαία. Επιπλέον, προβλέπεται η επεξεργασία και άλλων κατηγοριών δεδομένων προσωπικού χαρακτήρα, χωρίς ωστόσο, κατ’ εφαρμογή ιδίως των αρχών της νομιμότητας και διαφάνειας του άρθρου του σχετικού Κανονισμού να επεξηγούνται οι λειτουργικές ανάγκες και ο σκοπός του φορέα ώστε να δικαιολογούν την επεξεργασία πρόσθετων κατηγοριών δεδομένων προσωπικού χαρακτήρα. Αναφορικά με τις κατηγορίες των δεδομένων προσωπικού χαρακτήρα (δεδομένα ήχου) που τυγχάνουν επεξεργασίας στο πλαίσιο της τηλεργασίας παρατηρείται ότι πρέπει να γίνει αναδιατύπωση της σχετικής παραγράφου. Και τούτο διότι από την συνδυαστική εφαρμογή των άρθρων του προσχεδίου του Π.Δ. προκύπτει ότι η παρούσα διατύπωση αφήνει να εννοηθεί ότι η επεξεργασία της κατηγορίας των δεδομένων ήχου πραγματοποιείται για τον σκοπό των τηλεδιασκέψεων, ο οποίος όμως δεν μπορεί να αποτελέσει διακριτό σκοπό επεξεργασίας, αλλά επιμέρους είδος επεξεργασίας που δικαιολογείται από τις συγκεκριμένες, ρητά προσδιορισμένες, λειτουργικές ανάγκες του φορέα.

* Η λειτουργία της προβλεπόμενης διαδικτυακής πύλης τηλεργασίας προϋποθέτει, κατ’ εφαρμογή ιδίως των αρχών της νομιμότητας και διαφάνειας, καθώς και της ακεραιότητας και εμπιστευτικότητας των άρθρων του Κανονισμού, την πρόβλεψη στο προσχέδιο Π.Δ. των λειτουργικών απαιτήσεων και δυνατοτήτων της διαδικτυακής πύλης, ώστε εν συνεχεία να προσδιοριστούν, μετά από την διενέργεια εκτίμησης των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα, τα εφαρμοστέα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας.

* Πρέπει να επανοριοθετηθούν οι υποχρεώσεις έκαστου φορέα, ως υπευθύνου επεξεργασίας, με τις υποχρεώσεις της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης, λόγω του ρόλου που αναλαμβάνει κατά την λειτουργία αυτής. 9 Ακόμα, στις υποχρεώσεις του φορέα πρέπει να ενσωματωθούν και οι υποχρεώσεις που απορρέουν από την χρήση προσωπικών συσκευών (B.Y.O.D.) των τηλεργαζόμενων

* Προβλέπεται η διατήρηση των δεδομένων των τηλεδιασκέψεων, χωρίς ωστόσο να προσδιορίζεται η κατηγορία των δεδομένων που αποθηκεύονται, αν δηλ. τηρούνται τα δεδομένα ήχου ή/και εικόνας. Επιπλέον, δεν κατονομάζονται οι εξαιρετικοί λόγοι σε συνάρτηση με τους συγκεκριμένους προσδιορισμένους σκοπούς επεξεργασίας για τους οποίους η διατήρηση των δεδομένων παρίσταται αναγκαία. Συνακόλουθα παρατηρείται ότι η διατήρηση των δεδομένων σε κρυπτογραφημένη μορφή δεν δύναται να εξαρτάται από την ύπαρξη σχετικής τεχνικής δυνατότητας, απεναντίας η σχετική δυνατότητα συνιστά προϋπόθεση ασφάλειας για την σύννομη διατήρηση των επίμαχων κατηγοριών δεδομένων προσωπικού χαρακτήρα για συγκεκριμένο χρονικό διάστημα προς εκπλήρωση προσδιορισμένου και νόμιμου σκοπού επεξεργασίας.

* Για την λειτουργία της διαδικτυακής πύλης τηλεργασίας στον δημόσιο τομέα, ιδίως αναφορικά με τον ρόλο της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης, επισημαίνεται ότι, για λόγους ασφάλειας δικαίου και σύννομης επεξεργασίας δεδομένων κατά τον ΓΚΠΔ, τα κριτήρια για τον χρόνο διατήρησης ή ακόμη και ο χρόνος διατήρησης των δεδομένων πρέπει να προσδιορίζεται στο παρόν Π.Δ. και να μην καταλείπεται στην πολιτική διατήρησης των δεδομένων της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης.

* Για την λειτουργία της διαδικτυακής πύλης τηλεργασίας στον δημόσιο τομέα, πρέπει να προσδιοριστούν οι υποχρεώσεις της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης στην εκπλήρωση των σχετικών δικαιωμάτων των υποκειμένων των δεδομένων, βάσει του ρόλου που αναλαμβάνει

* Πρέπει να προσδιοριστούν οι υποχρεώσεις της ΓΓΠΣΔΔ του Υπουργείου Ψηφιακής Διακυβέρνησης στην εκπλήρωση των σχετικών δικαιωμάτων των υποκειμένων των δεδομένων, βάσει του ρόλου που αναλαμβάνει.

* Πρέπει να προσδιοριστεί ο λόγος αρμοδιότητας έκαστου φορέα, ως υπευθύνου επεξεργασίας για την λειτουργία διαδικτυακής πύλης τηλεργασίας

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr