Τηλεργασία και Προσωπικά Δεδομένα Πελατών

Η επιβολή τηλεργασίας για λόγους προστασίας της δημόσιας υγείας (πανδημία κορωνοϊού) και η απομακρυσμένη πρόσβαση σε προσωπικά δεδομένα πελατών της εταιρείας σας από το σπίτι του εργαζόμενου ή άλλο χώρο εκτός των γραφείων της εταιρείας, θέτει ζητήματα προστασίας των προσωπικών δεδομένων σύμφωνα με τον GDPR.

Στις περιπτώσεις λοιπόν που δεν υπάρχει η αντίστοιχη τεχνική υποδομή για την απομακρυσμένη πρόσβαση σε προσωπικά δεδομένα χιλιάδων πελατών με ασφάλεια, η τηλεργασία δεν είναι εφικτή. Με άλλα λόγια, για να ικανοποιηθεί η επιταγή του νόμου για την τηλεργασία μέρους του προσωπικού της εταιρείας, προϋπόθεση αποτελεί ότι αυτή είναι νομικά και πραγματικά εφικτή και υπό την έννοια ότι με την τηλεργασία δεν τίθεται σε κίνδυνο η ασφάλεια των δικτύων και η ίδια η προστασία των προσωπικών δεδομένων των πελατών. Τούτο είναι βέβαια πιθανό διότι δεν μπορούμε εύλογα να θεωρήσουμε ότι κάθε εργαζόμενος διαθέτει στο σπίτι του τεχνολογικά συστήματα και τεχνικά μέτρα ασφαλείας αντίστοιχα με της εταιρείας, ούτε βέβαια ότι θα υποχρεωθεί η εργοδότρια εταιρεία να προβεί σε ένα τόσο σημαντικό κόστος εγκατάστασης και λειτουργίας τέτοιων συστημάτων στο σπίτι κάθε εργαζόμενου.

Ειδικότερα, για να θεωρηθεί ασφαλής και άρα εφικτή η τηλεργασία θα πρέπει:

  1. ως προς την πρόσβαση στο δίκτυο θα πρέπει να διασφαλίζεται ότι δεν υπάρχει δυνατότητα μη ασφαλούς απομακρυσμένης πρόσβασης σε πόρους των πληροφοριακών συστημάτων του εργοδότη, όπως υπολογιστές εσωτερικού δικτύου και εσωτερικά αρχεία. Επίσης, θα πρέπει να γίνεται χρήση ασφαλούς πρωτοκόλλου WPA2 με ισχυρό κωδικό, όταν η σύνδεση της συσκευής του τηλεργαζόμενου στο Διαδίκτυο γίνεται μέσω ασύρματου δικτύου (Wi-Fi) και να αποφεύγεται η αποθήκευση αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης (π.χ. Dropbox, One Drive, Google Drive), εκτός και αν υπάρχουν τα κατάλληλα εχέγγυα,
  2. Ως προς τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου, θα πρέπει να αποφεύγεται η χρήση προσωπικού ηλεκτρονικού ταχυδρομείου (π.χ. gmail, yahoo, hotmail) για αποστολή ή λήψη μηνυμάτων για σκοπούς τηλεργασίας, τα οποία σχετίζονται με προσωπικά δεδομένα. Αντ’ αυτού, θα πρέπει να χρησιμοποιείται η επαγγελματική ηλεκτρονική διεύθυνση την οποία παρέχει ο εργοδοτικός φορέας. Επιπλέον, θα πρέπει να αποφεύγεται η χρήση εφαρμογών ανταλλαγής μηνυμάτων (κείμενο ή/και βίντεο) για τους σκοπούς της τηλεργασίας, όταν τα μηνύματα αυτά περιέχουν προσωπικά δεδομένα,
  3. Ως προς τη χρήση τερματικής συσκευής αποθηκευτικών μέσων, συνίσταται η εγκατάσταση και τακτική ενημέρωση αντιϊκού προγράμματος και “αναχώματος ασφαλείας” (firewall) στη συσκευή (π.χ. υπολογιστής, laptop κτλ.) μέσω της οποίας πραγματοποιείται η τηλεργασία, όπως επίσης και η χρήση προγραμμάτων πλοήγησης στο Διαδίκτυο (π.χ. Firefox, Chrome κτλ.) με τις πλέον πρόσφατες, κάθε φορά, εκδόσεις τους. Μη τήρηση ιστορικού (ανώνυμη περιήγηση) ή διαγραφή από το ιστορικό των συνδέσμων εκείνων που σχετίζονται με την τηλεργασία, κατά το τέλος της εργασίας. Επίσης, θα πρέπει να υπάρχει «Κλείδωμα» της συσκευής από την οποία γίνεται η τηλεργασία (π.χ. προφύλαξη οθόνης, με κωδικό απενεργοποίησης) εφόσον μένει, για κάποιο λόγο, χωρίς επιτήρηση,
  4. Ως προς την πραγματοποίηση τηλεδιασκέψεων, θα πρέπει να αξιοποιούνται πλατφόρμες που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση). Για παράδειγμα, θα πρέπει να αποφεύγεται λογισμικό τηλεδιάσκεψης το οποίο δεν εξασφαλίζει κρυπτογράφηση από άκρη σε άκρη (end-to-end encryption). Σε περίπτωση δε προγραμματισμένης τηλεδιάσκεψης, θα πρέπει να υπάρχει προστασία του συνδέσμου (link) αυτής (π.χ. όχι δημοσιοποίησή του σε κοινωνικό δίκτυο). Σε κάθε περίπτωση, θα πρέπει να γίνεται προσεκτική μελέτη των όρων χρήσης και των όρων προστασίας προσωπικών δεδομένων κατά την επιλογή της λύσης τηλεδιάσκεψης

Εκ του συνεργάτη μας κ. Πέτρου Τσαντίλα, Διδάκτωρ Νομικής – Δικηγόρος – τ. Μέλος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Άλλα Νέα