Facebook-f Linkedin-in

Τηλεργασία στο Δημόσιο: Οδηγίες και Υποχρεώσεις

Τηλεργασία στο Δημόσιο

Τηλεργασία στο Δημόσιο: Δημοσιεύτηκε στην Εφημερίδα της Κυβερνήσεως το Προεδρικό Διάταγμα 13/2025 με τίτλο «Προστασία δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα», σύμφωνα με τα προβλεπόμενα στην παρ. 1 του άρθρου 19 του ν. 4807/2021, όπως ισχύει.

Εν γένει, η χρήση της τηλεργασίας στον δημόσιο τομέα απαιτεί από τους φορείς να διασφαλίζουν όχι μόνο την ομαλή λειτουργία των υπηρεσιών, αλλά και την προστασία των προσωπικών δεδομένων που επεξεργάζονται.
Υπενθυμίζεται ότι η τηλεργασία στον Δημόσιο Τομέα διέπεται κατ’ αρχήν από τις διατάξεις του ν. 4807/2021, όπως ισχύει, από το Π.Δ. 13/2025, καθώς και από τον Κανονισμό (ΕΕ) 2016/679 (ΓΚΠΔ) και το ν. 4624/2019, όπως ισχύει, ενώ χρήσιμη είναι και η Γνωμοδότηση 1/2022 της ΑΠΔΠΧ.

I. Υποχρεώσεις των Φορέων

Οι δημόσιοι φορείς, ως υπεύθυνοι επεξεργασίας, πριν από την έκδοση απόφασης τηλεργασίας, οφείλουν:

α. Να προχωρήσουν στην διενέργεια Εκτίμησης Αντίκτυπου Προστασίας Δεδομένων (ΕΑΠΔ ή DPIA). Σε περίπτωση που ο Δημόσιος Φορέας αξιοποιεί σύστημα παρακολούθησης του χρόνου εργασίας, στην ΕΑΠΔ θα πρέπει να αποδεικνύεται ότι δεν υπήρχαν ηπιότερα μέσα και ότι το σύστημα αυτό δεν θα επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των τηλεργαζόμενων του Φορέα.

β. Να διαμορφώσουν πολιτική ορθής χρήσης εφαρμογής, πολιτικής ασφάλειας λειτουργίας εφαρμογής και πολιτικής για ανταπόκριση στα συμβάντα ασφάλειας για μετριασμό και αποκατάσταση απειλών.

γ. Ενδείκνυται να διαθέτουν πολιτική με τα ελάχιστα κριτήρια που πρέπει να πληροί ο “Σταθμός Εργασίας” των τηλεργαζόμενων. Σε περίπτωση που δεν έχουν τη δυνατότητα χορήγησης κατάλληλου “Σταθμού Εργασίας”, ενδείκνυται να διαμορφώσουν πολιτική “Bring Your Own Device” (BYOD).

  1. Να ενημερώνουν εγκαίρως και προσηκόντως τα υποκείμενα των δεδομένων (ενδεικτικά: τηλεργαζόμενοι, διοικούμενοι, τρίτοι) σύμφωνα με τα κατ’ ελάχιστον προβλεπόμενα στα άρθρα 13 & 14 του ΓΚΠΔ.

  2. Να γνωρίζουν τις χώρες στις οποίες οι πάροχοι έχουν εξυπηρετητές, ώστε να εφαρμόζουν τα προβλεπόμενα στο Κεφάλαιο V του ΓΚΠΔ σε συνδυασμό με τη σχετική νομολογία του ΔΕΕ και τις αντίστοιχες πράξεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (εφεξής “ΕΣΠΔ”).

  3. Να παρέχουν σαφείς οδηγίες και εκπαίδευση στους τηλεργαζόμενους (σε κατανοητή και εύκολα προσβάσιμη μορφή) για ό,τι αφορά την κατάλληλη παραμετροποίηση και ασφάλεια του σταθμού εργασίας (π.χ. πολιτικές, διαδικασίες, χωροθέτηση κ.ο.κ.), αλλά και να παρέχουν εξειδικευμένη τεχνική υποστήριξη.

  4. Να εφαρμόζουν συστήματα ασφαλούς πρόσβασης (όπως VPN), να διατηρούν ενημερωμένα τα λογισμικά ασφαλείας (π.χ. antivirus, firewalls κ.ο.κ.) και να λαμβάνουν μέτρα για την αποτροπή μη εξουσιοδοτημένης πρόσβασης ή αλλοίωσης των δεδομένων.

  5. Να προμηθεύουν τους τηλεργαζόμενους με τον κατάλληλο «Σταθμό Τηλεργασίας» ή να εγκρίνουν τη χρήση προσωπικού εξοπλισμού (BYOD). Ωστόσο, απαραίτητο θα είναι να υπάρχει μια ανάλυση κινδύνου (Risk Assessment) από την οποία να προκύπτει ότι η αποδεκτή συσκευή πληροί τις απαραίτητες προδιαγραφές. Εντούτοις, ο Δημόσιος Φορέας ενδέχεται να περιορίσει την πρόσβαση σε συστήματα που μπορεί να κρίνει ως “Κρίσιμα” ή “Ευαίσθητα”.

  6. Να ορίζουν διαδικασίες για τη διενέργεια παρακολούθησης ωραρίου και καταγραφής (π.χ. τηλεδιασκέψεων). Αξίζει να αναφερθεί ότι το ΠΔ δίνει τη δυνατότητα στους φορείς να λαμβάνουν μέτρα στο πλαίσιο “πρόσφορου” ελέγχου της εργασίας. Τα μέσα του ελέγχου θα πρέπει να συμπεριλαμβάνονται στην ΕΑΠΔ και να υπάρχει προσήκουσα πληροφόρηση.

  7. Σε περίπτωση έγκρισης αιτήματος τηλεργαζόμενου για εργασία σε χώρα εκτός του Ε.Ο.Χ., θα πρέπει, προηγουμένως, ο Δημόσιος Φορέας να διενεργήσει Εκτίμηση Αντικτύπου Διαβιβάσεων.

II. Μέτρα κατά τις τηλεδιασκέψεις

Η καταγραφή των τηλεδιασκέψεων, κατ’ αρχήν, απαγορεύεται. Κατ’ εξαίρεση, επιτρέπεται όταν το περιεχόμενό τους πιθανολογείται να προκαλέσει έννομες συνέπειες για τους συμμετέχοντες και υφίσταται σχετική υποχρέωση τήρησης πρακτικών. Σε αυτές τις περιπτώσεις:

  1. Να υπάρχει ενημέρωση των συμμετεχόντων (ιδιαίτερα με τη χρήση ενημερωτικού σημειώματος).

  2. Να εξασφαλίζεται και η εμπιστευτικότητα των αρχείων (π.χ. μέσω κρυπτογράφησης).

  3. Απαγορεύεται η αποθήκευση τηλεδιασκέψεων στις ατομικές συσκευές εργαζομένων, τις οποίες έχει εγκρίνει ο φορέας (BYOD συσκευές).

  4. Ο χρόνος τήρησης του περιεχομένου θα πρέπει να οριστεί από τον ίδιο τον φορέα, με βασικό κριτήριο την αρχή του περιορισμού της περιόδου αποθήκευσης.

  5. Τα μεταδεδομένα (π.χ. ονοματεπώνυμο συμμετέχοντος, ώρα και ημέρα σύνδεσης, διεύθυνση IP) θα τηρούνται για 12 μήνες.

  6. Με ευθύνη του τηλεργαζόμενου, τυχόν καταγραφές που έλαβαν χώρα σε BYOD συσκευή θα πρέπει να διαγράφονται, βάσει της ορισμένης σχετικής διαδικασίας που έχει ορίσει ο φορέας. Η διαγραφή αυτή θα πρέπει να συνοδεύεται από γραπτή σχετική βεβαίωση προς τον φορέα.

III. Υποχρεώσεις τηλεργαζομένων

Οι τηλεργαζόμενοι υποχρεούνται:

• Να ακολουθούν αυστηρά τις πολιτικές που ορίζονται από τον φορέα, εξασφαλίζοντας την εμπιστευτικότητα και την ασφάλεια των δεδομένων που επεξεργάζονται.
• Να χρησιμοποιούν αποκλειστικά τον εξοπλισμό που έχει διατεθεί για την εργασία ή να εφαρμόζουν τα προβλεπόμενα μέτρα όταν χρησιμοποιούν προσωπικές συσκευές.
• Να εξασφαλίζουν ότι ο χώρος τηλεργασίας πληροί τα κριτήρια ασφάλειας και εργονομίας.
• Να διασφαλίζουν τον εμπιστευτικό χαρακτήρα των πληροφοριών που διαχειρίζονται. Αυτό σημαίνει ότι θα πρέπει να λαμβάνουν ειδικά μέτρα για την αποτροπή αποκάλυψης ευαίσθητων πληροφοριών σε μη εξουσιοδοτημένα πρόσωπα. Ενδεικτικό παράδειγμα αποτελεί η εκτύπωση εγγράφων εκτός των εγκαταστάσεων του φορέα, για την οποία ευθύνεται ο τηλεργαζόμενος.

Η εφαρμογή της τηλεργασίας στον δημόσιο τομέα συνοδεύεται από αυστηρές υποχρεώσεις για την προστασία των προσωπικών δεδομένων. Η σωστή εφαρμογή των μέτρων ασφαλείας, η ενημέρωση και η κατάρτιση τόσο των φορέων όσο και των εργαζομένων αποτελούν κρίσιμους παράγοντες για την αποτελεσματική διαχείριση των δεδομένων και την προστασία των δικαιωμάτων των υποκειμένων. Με την υιοθέτηση αυτών των μέτρων, διασφαλίζεται ότι η τηλεργασία πραγματοποιείται σε ένα ασφαλές περιβάλλον, συμβατό με τις απαιτήσεις του ΓΚΠΔ και των σχετικών νομοθετικών διατάξεων.

Σε κάθε περίπτωση, η εφαρμογή των παραπάνω μέτρων και η διασφάλιση της συμμόρφωσης με το υφιστάμενο νομικό πλαίσιο αποτελεί απαραίτητο βήμα για την προστασία των προσωπικών δεδομένων στον δημόσιο τομέα.

Το Δικηγορικό Γραφείο ‘Στέργιος Κωνσταντίνου & Συνεργάτες – SGKLegal” παρέχει εξειδικευμένες νομικές υπηρεσίες στον τομέα της προστασίας προσωπικών δεδομένων, της εφαρμογής του ΓΚΠΔ και της τηλεργασίας. Με πολυετή εμπειρία και βαθιά γνώση του θεσμικού πλαισίου, προσφέρουμε ολοκληρωμένη νομική συμβουλευτική, εκπροσώπηση και υποστήριξη για:

  • Παροχή Υπηρεσιών ΥΠΔ για φορείς του Δημοσίου,
  • Τη διενέργεια DPIA καθώς και Εκτιμήσεων Αντικτύπου Διαβιβάσεων (DTIA),
  • Τη συμμόρφωση φορέων με το ενωσιακό και εθνικό ρυθμιστικό πλαίσιο περί προστασίας προσωπικών δεδομένων
  • Τη σύνταξη και αναθεώρηση πολιτικών ασφάλειας και προστασίας δεδομένων.
  • Την αντιμετώπιση νομικών ζητημάτων που προκύπτουν από τη χρήση προσωπικού εξοπλισμού (B.Y.O.D.) και την απομακρυσμένη πρόσβαση σε κρίσιμα δεδομένα.

Εάν επιθυμείτε περαιτέρω νομική καθοδήγηση για την εφαρμογή των μέτρων προστασίας δεδομένων ή για την αντιμετώπιση τυχόν νομικών ζητημάτων στον τομέα της προστασίας προσωπικών δεδομένων, το Δικηγορικό μας Γραφείο βρίσκεται στη διάθεσή σας για να σας παρέχει εξειδικευμένες και αποτελεσματικές λύσεις.