Τηλεργασία & Προσωπικά Δεδομένα [:και η ουτοπία(;) της διασφάλισής τους…]
Στο πλαίσιο των ευέλικτων μορφών απασχόλησης, ξεχωριστή θέση καταλαμβάνει (και αξία κατέχει) η τηλεργασία. Η αξιοποίησή της υπήρξε, το τελευταίο διάστημα, εντυπωσιακή. Φυσιολογική εντούτοις-ας όψεται η πανδημία. Η διασφάλιση των προσωπικών δεδομένων δεν υπήρξε, είναι αλήθεια, προτεραιότητά μας. Αποτελεί, άραγε, μια μικρή ουτοπία η διασφάλισή τους;
Ευέλικτες μορφές απασχόλησης και τηλεργασία: μια οικεία, πλέον, πραγματικότητα.
Οι ευέλικτες μορφές απασχόλησης καταλαμβάνουν ολοένα και μεγαλύτερο χώρο στην αγορά εργασίας. Ως κάποιο βαθμό-από κάποιους, μοιάζει να έχουν δαιμονοποιηθεί. Αποτελούν, εντούτοις, μια πραγματικότητα. Μάλλον όχι δυσάρεστη για τη συντριπτική πλειονότητα των εργαζομένων που απολαμβάνουν τα προτερήματά τους.
Η εξ’ αποστάσεως απασχόληση και (η πλέον συνήθης μορφή της) η τηλεργασία είχε ξεκινήσει δειλά να καταλαμβάνει, στη χώρα μας, ζωτικό χώρο στην αγορά εργασίας. Αυτά π.Π. (:προ Πανδημίας). Η τηλεργασία, στη συνήθη μορφή της, μας είχε επίσης απασχολήσει σε προγενέστερη αρθρογραφία μας.
Η τηλεργασία έχει προαπασχολήσει τον εθνικό νομοθέτη. Η σχετική νομοθετική προσπάθεια παρουσιάζει, ωστόσο, κενά. Διατηρείτο πάντως ο οικειοθελής της χαρακτήρας για αμφότερα τα μέρη της εργασιακής σχέσης. Εργοδότης και εργαζόμενος έπρεπε να συμφωνήσουν, ως προς την παροχή εργασίας με τηλεργασία.
Οι ανάγκες των επιχειρήσεων για την αξιοποίηση των υπηρεσιών των εργαζομένων τους παραμένουν, πάντοτε, δεδομένες. Και κατά τη διάρκεια μιας πανδημίας.
Οι έκτακτες περιστάσεις που δημιούργησε ο κορωνοϊός (SARS-CoV-2), είχαν ως αποτέλεσμα τη λήψη έκτακτων μέτρων. Μεταξύ αυτών, η δυνατότητα του εργοδότη να καθορίζει με (μονομερή) απόφαση του «…ότι η εργασία που παρέχεται από τον εργαζόμενο στον προβλεπόμενο από την ατομική σύμβαση τόπο εργασίας, θα πραγματοποιείται με το σύστημα της εξ αποστάσεως εργασίας» (άρ. 4 παρ. 2ΠΝΠ/11.03.2020).
Η εξ αποστάσεως εργασία, κατέληξε να ταυτισθεί στη σκέψη μας με την τηλεργασία. Η τελευταία (:τηλεργασία) έγινε το αναγκαίο μέσο προκειμένου να διασφαλιστεί η συνέχεια στην παροχή υπηρεσιών πλήθους επιχειρήσεων. Η συνέχεια στην απασχόληση πλήθους εργαζομένων.
Η συντριπτική πλειονότητα των επιχειρήσεων απολαμβάνουν, ήδη, τα πλεονεκτήματά της.
Ως αποτέλεσμα (και των έκτακτων μέτρων), η τηλεργασία έχει εδραιωθεί-έστω και προσωρινά. Το συγκεκριμένο γεγονός προβάλλει ως καλός οιωνός για την περαιτέρω αξιοποίηση και ανάπτυξή της. Και μ.Π. (:μετά Πανδημία εποχή).
Η προσφυγή ωστόσο στην τηλεργασία, για την πρόσκαιρη αντιμετώπιση κάποιων έκτακτων καταστάσεων, δεν έγινε συγκροτημένα. Πολλές επιχειρήσεις εμφανίζονται, ακόμα και σήμερα, ελλιπώς προετοιμασμένες. Υποχρεώνονται να κατανοήσουν τις προκλήσεις της σε πραγματικό χρόνο. Οι συγκεκριμένες επιχειρήσεις (και όχι μόνον), βρίσκονται εκτεθειμένες σε σημαντικούς κινδύνους. Ένας από τους σημαντικότερους: η ασφάλεια των προσωπικών δεδομένων.
Ο κίνδυνος για τα προσωπικά δεδομένα
Η τηλεργασία εμπεριέχει, συχνά, την εξ αποστάσεως επεξεργασία προσωπικών δεδομένων. Μια επεξεργασία, η οποία δεν απολαμβάνει την προστασία που, κατά κανόνα, προσφέρει ένα εταιρικό δίκτυο. Οι εργαζόμενοι που έχουν απομακρυσμένη πρόσβαση στην υποδομή του εργοδότη δεν προστατεύονται από τα μέτρα (κυβερνο)ασφάλειας που (συνήθως) καλύπτουν τις εγκαταστάσεις της επιχείρησης. Ο κίνδυνος μη εξουσιοδοτημένης πρόσβασης σε προσωπικά δεδομένα, εμφανίζεται -και είναι- αυξημένος. Η απώλεια, μη εξουσιοδοτημένη χρήση ή καταστροφή σχετικών στοιχείων εργαζομένων, συνεργατών και πελατών επίσης ενδεχόμενες.
Ο κίνδυνος αυτός δεν είναι πρωτόφαντος. Είχε, ήδη, εντοπιστεί από την ομάδα εργασίας (Work Party) του άρθρου 29 (Γνώμη 2/08.06.2017 σχετικά με την επεξεργασία δεδομένων στην εργασία).
Τα επιγενόμενα υπήρξαν πολλά. Οι έκτακτες συνθήκες, η μαζική και «σπασμωδική» προσφυγή στην τηλεργασία, η ανάγκη ενημέρωσης και ευαισθητοποίησης των υπευθύνων επεξεργασίας, των εκτελούντων την επεξεργασία, των εργαζομένων σχετικά με τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ και τον νόμο 4624/2019, υπήρξαν κάποια από αυτά. Τα δεδομένα αυτά ώθησαν, μεταξύ άλλων, την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αρχή ΠΔΠΧ) στη έκδοση Κατευθυντήριων Αρχών. Συγκεκριμένα, στις «Κατευθυντήριες Γραμμές της Αρχής Προστασίας για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας».
Οι Κατευθυντήριες Γραμμές της Αρχής ΠΔΠΧ
Η Αρχή ΠΔΠΧ εφιστά την προσοχή στις επιχειρήσεις για τη σοβαρότητα των κινδύνων που απορρέουν από την εξ αποστάσεως εργασία. Υπογραμμίζει την ανάγκη επαρκούς ενημέρωσης των εργαζομένων και την πολύτιμη συνδρομή σε αυτούς του Υπεύθυνου Προστασίας Δεδομένων (DPO-όταν κρίνεται, βάσει νόμου, αναγκαία η ύπαρξή του). Επισημαίνει, επίσης, την υποχρέωση των επιχειρήσεων αναφορικά με την προστασία των προσωπικών δεδομένων των εργαζομένων τους. Μια προστασία που φέρει ιδιαίτερη βαρύτητα στην περίπτωση της τηλεργασίας. Ο λόγος; Η ρευστότητα των ορίων μεταξύ επαγγελματικής και ιδιωτικής ζωής. Η ανάγκη προστασίας της τελευταίας. Εύλογα, καθώς «ο εργαζόμενος, λόγω του γεγονότος ότι βρίσκεται στο σπίτι του, έχει μεγαλύτερη προσδοκία για την προστασία της ιδιωτικής του ζωής».
Επιπλέον, η Αρχή ΠΔΠΧ συστήνει την λήψη συγκεκριμένων μέτρων κατά τη διαδικασία της τηλεργασίας. Τα μέτρα αυτά αφορούν: (α) την πρόσβαση στο Διαδίκτυο, (β) τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων, (γ) τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων, (δ) την πραγματοποίηση τηλεδιασκέψεων.
Συγκεκριμένα:
(α) Ως προς την πρόσβαση στο Διαδίκτυο
Η διασφάλιση ασφαλούς απομακρυσμένης πρόσβασης στο πληροφοριακό σύστημα της επιχείρησης αξιολογείται ως ζωτικής σημασίας. Η Αρχή ΠΔΠΧ συνιστά τη χρήση εικονικού ιδιωτικού δικτύου. Ενός δικτύου στο οποίο πραγματοποιείται κρυπτογράφηση των δεδομένων και αυθεντικοποίηση των χρηστών (π.χ. IPSec VPN). Η επιχείρηση οφείλει να καθορίζει και να περιορίζει τους πόρους στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση. Και τούτο στα απολύτως απαραίτητα-ανάλογα με τα καθήκοντα του εκάστοτε τηλεργαζομένου.
Οι τηλεργαζόμενοι οφείλουν-με τη σειρά τους, όταν συνδέονται στο Διαδίκτυο μέσω ασύρματου δικτύου (Wi-Fi), να χρησιμοποιούν ασφαλές πρωτόκολλο WPA2 (Wi-Fi Protected Access II) με ισχυρό κωδικό. Πρέπει, επίσης, να αποφεύγουν την αποθήκευση αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης (π.χ. Dropbox, One Drive). Εκτός κι αν διασφαλίζονται οι κατάλληλες προϋποθέσεις τα κατάλληλα εχέγγυα (π.χ. κρυπτογράφηση)…
(β) Ως προς τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων
Στον τομέα της ηλεκτρονικής αλληλογραφίας, η Αρχή ΠΔΠΧ επισημαίνει την αναγκαιότητα αποφυγής χρήσης προσωπικού ηλεκτρονικού ταχυδρομείου κατά την τηλεργασία. Η λήψη και αποστολή μηνυμάτων, τα οποία ενδέχεται να περιέχουν προσωπικά δεδομένα, πρέπει να πραγματοποιείται μέσω της επαγγελματικής ηλεκτρονικής διεύθυνσης της επιχείρησης. Υπάρχει όμως και η περίπτωση τεχνικής αδυναμίας χρήσης της επαγγελματικής ηλεκτρονικής διεύθυνσης. Για την περίπτωση αυτή η Αρχή συστήνει την ανάγκη κατάλληλης κρυπτογράφησης του περιεχομένου των μηνυμάτων που αφορά προσωπικά δεδομένα. Υπενθυμίζει μάλιστα πως πρέπει να αποφεύγεται η χρήση προσωπικών δεδομένων στο θέμα του μηνύματος ηλεκτρονικής αλληλογραφίας.
Επιπλέον (και αυτονοήτως) η Αρχή συνιστά την αποφυγή της χρήσης εφαρμογών ανταλλαγής μηνυμάτων (κείμενο ή/και βίντεο) για τους σκοπούς της τηλεργασίας, όταν τα μηνύματα αυτά περιέχουν προσωπικά δεδομένα, των οποίων τυχόν διαρροή θα επέφερε κινδύνους.
(γ) Ως προς τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων
Η Αρχή ΠΔΠΧ υπογραμμίζει, ακόμη, την ιδιαίτερη, μέριμνα που πρέπει να επιδείξει ο εργαζόμενος -σύμφωνα πάντα και με τις κατευθύνσεις του εργοδότη- για τις συσκευές (π.χ. υπολογιστής, laptop κτλ.) μέσω των οποίων παρέχεται η τηλεργασία.
Ενδεικτικά: Οι συσκευές αυτές πρέπει να έχουν εγκατεστημένα και τακτικώς ενημερωμένα αντιϊκά προγράμματα. Επιπλέον, να έχουν εγκατεστημένες τις πλέον πρόσφατες ενημερώσεις του λογισμικού εφαρμογών και του λειτουργικού τους συστήματος. Οι πλέον πρόσφατες πρέπει να είναι και οι εκδόσεις των προγραμμάτων πλοήγησης στο Διαδίκτυο (π.χ. Firefox, Chrome κτλ.) που χρησιμοποιούνται από τους τηλεργαζομένους. Οι τηλεργαζόμενοι, ακόμη, ενδείκνυται είτε να χρησιμοποιούν την ανώνυμη περιήγηση είτε να διαγράφουν από το ιστορικό τους συνδέσμους που σχετίζονται με την τηλεργασία, κατά το τέλος της εργασίας. Πρέπει, επίσης, να διαχωρίζουν τα αρχεία που περιέχουν προσωπικά δεδομένα (που σχετίζονται με την εργασία τους) από τα προσωπικά τους αρχεία. Είναι ενδεχόμενο (τουλάχιστον όχι απίθανο), στους χρησιμοποιούμενους Η/Υ να έχουν πρόσβαση τρίτοι (μέλη, λ.χ., της οικογένειας του εργαζομένου). Για το λόγο αυτό οι συσκευές, ιδίως όμως τα συγκεκριμένα αρχεία και περιβάλλοντα εργασίας, επιβάλλεται να «κλειδώνουν» (:προστατεύονται) με ισχυρούς κωδικούς πρόσβασης.
Αντίστοιχα όμως και οι επιχειρήσεις οφείλουν να υποστηρίζουν τους τηλεργαζομένους με διαδικασίες κατάλληλης κρυπτογράφησης των αρχείων που περιέχουν προσωπικά δεδομένα. Ιδίως όταν τηρούνται σε φορητό/αποσπώμενο μέσο αποθήκευσης (π.χ. usb stick). Οι επιχειρήσεις, ακόμη, οφείλουν να υποστηρίζουν τις διαδικασίες λήψης αντιγράφων ασφαλείας. Ιδίως, όσον αφορά (και) τα αρχεία με προσωπικά δεδομένα, τα οποία υφίστανται επεξεργασία στο πλαίσιο δραστηριοτήτων τηλεργασίας.
(δ) Ως προς την πραγματοποίηση τηλεδιασκέψεων
Η πανδημία υπήρξε αφορμή για σημαντική, περαιτέρω, αξιοποίηση των τηλεδιασκέψεων και των διευκολύνσεων που αυτές προσφέρουν. Ωστόσο, και ως προς τις τηλεδιασκέψεις πρέπει να λαμβάνονται ικανοποιητικά μέτρα, προκειμένου να διασφαλίζονται τα προσωπικά δεδομένα.
Ειδικότερα, κατά την Αρχή ΠΔΠΧ, για την διεξαγωγή των τηλεδιασκέψεων καταγράφεται ως επιβαλλόμενη η αξιοποίηση πλατφορμών που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση).Επιπλέον, στις περιπτώσεις προγραμματισμένης τηλεδιάσκεψης, ο σχετικός σύνδεσμος δεν πρέπει να δημοσιοποιείται (π.χ. σε μέσα κοινωνικής δικτύωσης). Τέλος, οι επιχειρήσεις που αξιοποιούν το μέσο της τηλεδιάσκεψης οφείλουν να μελετούν προσεκτικά τους όρους χρήσης και των όρων προστασίας προσωπικών δεδομένων κατά την επιλογή της κατάλληλης πλατφόρμας τηλεδιάσκεψης.
Ο κίνδυνος λήψης δυσανάλογων μέτρων προστασίας των προσωπικών δεδομένων από τις επιχειρήσεις
Στην προσπάθεια μετριασμού του κινδύνου για τα προσωπικά δεδομένα, οι επιχειρήσεις ενδέχεται να βρεθούν εκτεθειμένες σε έναν άλλο κίνδυνο. Έναν κίνδυνο που ελλοχεύει στην αντίπερα, ακριβώς, όχθη. Εκείνον της λήψης δυσανάλογων, και εν τέλει μη νόμιμων, μέσων προστασίας των προσωπικών δεδομένων. Συγκεκριμένα, μπορεί να κρίνουν ως δικαιολογημένη τη χρήση λογισμικού που έχουν τη δυνατότητα, λ.χ., καταγραφής της ακολουθίας χαρακτήρων πληκτρολογίου και των κινήσεων του ποντικού, καταγραφής στιγμιότυπων οθόνης (είτε σε τυχαία είτε σε τακτά διαστήματα), καταγραφής των χρησιμοποιούμενων εφαρμογών (και του χρόνου χρήσης τους) και, σε συμβατές συσκευές, ενεργοποίησης διαδικτυακών καμερών και συλλογής του μαγνητοσκοπημένου υλικού.
Οι τεχνολογίες αυτές είναι ευρέως διαθέσιμες. Ωστόσο, η ομάδα εργασίας (Work Party) του άρθρου 29 (Γνώμη 2/08.06.2017) έχει, ήδη, αποφανθεί γι’ αυτές. Συγκεκριμένα, έκρινε ότι η επεξεργασία που διενεργείται στο πλαίσιο των συγκεκριμένων τεχνολογιών είναι δυσανάλογη. Ο εργοδότης δεν μπορεί να τη δικαιολογήσει με έρεισμα τη νομική βάση του εννόμου συμφέροντός του. Τέτοιες πρακτικές είναι απαγορευμένες. Οι εργοδότες οφείλουν να μην τις υιοθετούν (αυτονοήτως ούτε και) στο πλαίσιο της τηλεργασίας. Η πανδημία δεν μπορεί να αποτελεί δικαιολογία.
Η τηλεργασία (συνεχίζει να) αποτελεί ένα σημαντικό εργαλείο για την αντιμετώπιση κάποιων από τις συνέπειες της πανδημίας.
Έννοιες, πρωτόκολλα σύνδεσης και επικοινωνίας, πλατφόρμες άγνωστες στο πλατύ κοινό μας έγιναν, ήδη, γνωστές. Σε σημαντικό βαθμό: οικείες. Κάποιες φορές μάλιστα: αναγκαία εργαλεία δουλειάς.
Γνωρίζουμε, ήδη, καλά πως τα εργαλεία τεχνολογίας διευρύνουν τους ορίζοντες και τις δυνατότητες. Διευρύνουν όμως και τους κινδύνους. Κάποιοι από αυτούς συναρτώνται με τη διαχείριση και προστασία των προσωπικών δεδομένων.
Η Αρχή ΠΔΠΧ μας τους υπενθυμίζει.
Σε κάθε περίπτωση: Η τηλεργασία δεν κινδυνεύει από τη μέριμνα για τα προσωπικά δεδομένα. Αντίθετα, τα προσωπικά δεδομένα διατρέχουν σημαντικούς κινδύνους από την (αμέριμνη) αξιοποίηση της τηλεργασίας. Η προστασία τους δεν αποτελεί ουτοπία στο πλαίσιο της τελευταίας.
Ας είναι ένα κομμάτι της μέριμνάς μας η προστασία τους. Όχι όμως γιατί το «λέει η Αρχή».
Οι κίνδυνοι που διατρέχουμε από την τυχόν κακή τους χρήση, υπαρκτοί.
Και προ των πυλών.
Και σοβαροί.
Και οικονομικά μετρήσιμοι.
Σταύρος Κουμεντάκης
Managing Partner
Υ.Γ. Συνοπτική έκδοση του άρθρου δημοσιεύτηκε στην Εφημερίδα ΜΑΚΕΔΟΝΙΑ, στις 26 Απριλίου 2020.
Η πληροφόρηση που εμπεριέχεται στο παρόν άρθρο δεν συνιστά (ούτε και έχει σκοπό να αποτελέσει) νομική συμβουλή. Μια τέτοια νομική συμβουλή είναι δυνατό να παρασχεθεί μόνον από αρμόδιο δικηγόρο ο οποίος θα λάβει υπόψη του το σύνολο των δεδομένων που θα του εκθέσετε για την υπόθεσή σας. Αναλυτικά.